OpenSSH'nin post-kantum şifrelemesi

 (openssh.com)
4 puan yazan GN⁺ 2025-08-12 | 1 yorum | WhatsApp'ta paylaş
  • OpenSSH kuantum bilgisayar saldırılarına karşı post-kantum şifreleme algoritmalarını destekliyor
  • 9.0 sürümünden sonra varsayılan olarak sntrup761x25519-sha512 algoritmasını kullanıyor; 10.0'dan itibaren ise mlkem768x25519-sha256'ı varsayılan bağlantı yöntemi olarak benimser
  • 10.1 sürümünden itibaren, post-kantum olmayan bir anahtar değişimi kullanıldığında bir uyarı mesajı gösterilir
  • RSA, ECDSA vb. mevcut çoğu imza algoritmasına da ileride ek destek eklenecek
  • Mevcut trafiği güvenli tutmak için hem sunucu hem istemcinin post-kantum algoritmalarını uygulaması gerekiyor

OpenSSH'de post-kantum şifrelemenin devreye alınması

OpenSSH, kuantum bilgisayar saldırılarına karşı güvenli olan çeşitli anahtar anlaşma algoritmalarını destekler
Tüm SSH bağlantılarında bu algoritmaların kullanılmasını önerir

OpenSSH 9.0 (2022) sürümünden itibaren, sntrup761x25519-sha512 ile varsayılan post-kantum anahtar anlaşması (KexAlgorithms) sunuyor ve 9.9 sürümünden itibaren mlkem768x25519-sha256 ekleniyor
mlkem768x25519-sha256, OpenSSH 10.0'dan itibaren varsayılan şifreleme yöntemi olarak belirleniyor

Post-kantum algoritmalarının benimsenmesi için OpenSSH 10.1'den itibaren, kuantum dirençli bir anahtar anlaşımı kullanılmadığında aşağıdaki uyarı görüntülenir

** WARNING: connection is not using a post-quantum kex exchange algorithm. **
This session may be vulnerable to "store now, decrypt later" attacks.
The server may need to be upgraded. See https://openssh.com/pq.html

Bu uyarı varsayılan olarak görünür, ancak ssh_config(5)'teki WarnWeakCrypto seçeneğiyle devre dışı bırakılabilir

Arka Plan

Kuantum bilgisayar, bilgiyi kuantum durumu olarak kodlayarak hesaplama yapan bir cihazdır
Klasik bir bilgisayarın mümkün kılmadığı bazı belirli matematiksel problemleri hızlıca çözebilir

Birçok kriptografi algoritmasının matematik temeli, kuantum bilgisayar tarafından kolayca çözülebilen problemlere dayanır
Kast edilen güvenlik seviyesinde yeterince güçlü bir kuantum bilgisayar ortaya çıkarsa, bu kriptografi sistemlerinin kırılma riski vardır
Özellikle anahtar anlaşımı ve dijital imza için kullanılan algoritmalar en çok etkilenenlerdir

Bu tür kuantum bilgisayarlar henüz gerçekleşmemiş olsa da uzmanlar 5-20 yıl içinde veya 2030'ların ortalarında ortaya çıkacağına inanıyor

SSH bağlantısının gizlilik güvenliği anahtar anlaşımı şifrelemeye dayanır
Saldırgan, anahtar anlaşımı algoritmasını kırarsa oturumun tüm içeriğini deşifre edebilir
Ayrıca gerçek zamanlı olması gerekmeksizin, şifreli oturum saklanıp daha sonra kuantum bilgisayar çıktığında çözülerek 'store now, decrypt later' saldırısı uygulanabilir

OpenSSH, bu saldırıyı karşılamak için post-kantum şifreleme desteğini sağlamlaştırıyor

SSS

S: SSH'de uyarı aldığınızı görürseniz ne yapmalısınız?

  • OpenSSH 10.1 ve üzeri sürümlerde, kuantum açısından güvenli olmayan bir şifreleme kullanıldığında kullanıcıya uyarı gösterilir
  • Bu, bağlı olunan sunucunun post-kantum anahtar değişim algoritmalarını (mlkem768x25519-sha256, sntrup761x25519-sha512) sunmadığı anlamına gelir
  • En iyi çözüm, sunucuyu OpenSSH 9.0+ (ikincisi için 9.9+) sürümüne yükseltmek ve KexAlgorithms içinde ilgili algoritmaların devre dışı bırakılmadığını doğrulamaktır
  • Sunucuyu güncellemek mümkün değilse veya riski almak isterseniz, ssh_config(5)'te WarnWeakCrypto seçeneğiyle yalnızca uyarıyı gizlemek de mümkündür
  • Gerekirse, buna yalnızca belirli bir ana makine için müdahale edin 
    Match host unsafe.example.com
    WarnWeakCrypto no

S: Henüz kuantum bilgisayar yokken neden şimdiden hazırlanmalıyız?

  • Yukarıda bahsedilen 'store now, decrypt later' saldırısından dolayı
  • Bugün gönderdiğiniz trafik bile, daha sonra çözülebilir; bu nedenle şimdiden post-kantum güvenli bağlantı önerilir

S: İmza algoritmaları da riskli deniyor, bu neden bir sorun değil?

  • Bugün kullanılan çoğu imza algoritması (RSA, ECDSA vb.) da kuantum bilgisayarlarla etkisiz hale getirilebilir
  • Ancak burada mevcut trafik depolanıp daha sonra çözülemiyor
  • İmza algoritmalarında acil konu, kuantum bilgisayarlar yaklaşınca mevcut imza anahtarlarının emekli edilmesidir
  • OpenSSH, ileride post-kantum imza algoritmalarını da desteklemeyi planlıyor

S: Kuantum bilgisayarın imkansız olacağını sanıyorum, bu niye önemli?

  • Bazıları kuantum bilgisayarın asla gerçekleşmeyeceğini düşünüyor, ancak bugün aşılması gereken teknik engeller temel fizikten değil, mühendislikten kaynaklanıyor
  • Kuantum bilgisayar mümkün olursa, bugün alınan önlemler yüz milyonlarca kullanıcının verisini koruyabilir
  • Eğer gereksiz bir hazırlık gibi görünse bile, bu yalnızca matematiksel olarak daha güçlü kriptografiye geçişten ibarettir

S: Post-kantum algoritmaları da zayıf olabilir mi?

  • OpenSSH de bu konuda dikkatli ilerliyor
  • Son yıllarda yoğun şekilde incelenmiş algoritmalar seçildi, ancak yeni saldırı tekniklerinin ortaya çıkma ihtimali her zaman vardır
  • Bu nedenle yalnızca güvenlik payı yüksek olan algoritmalar seçildi, böylece beklenenden daha zayıf olmalarına rağmen pratik düzeyde güvenlik sağlama olasılıkları korunur
  • Ayrıca OpenSSH'nin post-kantum algoritmalarının tamamı "hibrit" yaklaşımdadır
    • Örnek: mlkem768x25519-sha256, ML-KEM (post-kantum) ve klasik bir ECDH/x25519 algoritmasının birleşimidir
    • Bu sayede post-kantum algoritması gelecekte kırılırsa bile en azından önceki güvenlik seviyesinin korunması hedeflenir

İlgili okumalar

1 yorum

 
GN⁺ 2025-08-12
Hacker News Yorumları

  • Sayfanın altında önemli bir şey var. OpenSSH'e uygulanmış tüm post-kuantum algoritmalar "hibrit" bir yaklaşımla çalışıyor; post-kuantum anahtar değişim yöntemi (ör. ML-KEM) ile klasik yöntem (x25519) aynı anda kullanılıyor. İki algoritmayı birlikte kullanarak, ileride post-kuantum algoritmalarından biri tamamen kırılırsa bile en azından klasik düzeydeki güvenliği koruyabiliriz. Hibrit yaklaşımın özü, klasik yönteme kıyasla güvenlik kaybı olmaması.

    • Hibrit yaklaşımın bir avantajı, bir algoritma bozulsa bile diğerinin sağlamlık sağlamasıdır. Ancak tersine, uygulama hataları ve yan kanal zafiyetleri iki katına hatta daha fazlasına çıkar. Pratikte kuantum bilgisayar tehdidi bir gerçeklik olmasa da bu tür hatalar ve zafiyetler zaten bugün gerçek bir sorun. Yine de son 10 yılda yapılan büyük güvenlik araştırması ve doğrulama nedeniyle bu takas edilebilir bir dengedir.

    • Endüstrinin çoğu, mevcutta PQC-klasik hibrit yapısına gidiyor. Gerçekten RSA, ECC ve DH'nin kırılabilir hale geldiği bir kuantum bilgisayar görünene kadar, iki kilidi paralel olarak takmak şu anda en güvenli seçenek gibi görünüyor. Buna karşılık NSA'nın CNSA 2.0 algoritmaları (bağlantı) yalnızca post-kuantum ailesini benimser ve resmi SSS'sinde hibrit yaklaşımın gerekli olmadığını söyler.

  • Son yayımlanan taraflı ve ilginç bir makaleyi (bağlantı) düşününce, şu anda hızlıca post-kuantum kriptoyu benimsemenin gerçekten gerekli olup olmadığı sorgulanabilir. Bildiğim kadarıyla post-kuantum anahtar verisi mevcut yönteme göre çok daha büyük olduğu için hem ağ trafiği hem de CPU tüketimi ciddi artıyor.

    • Bu yazı SSH bağlantısında sadece anahtar değişiminde PQC uygulanmasını anlatıyor; bu yüzden ek yük oldukça az. Aynı zamanda FAQ'da da görüldüğü gibi, "kuantum bilgisayarlar henüz yokken neden şimdiden hazırlık yapalım?" sorusunun cevabı, bugün gönderilen trafiğin ileride çözülme ihtimalidir ("store now, decrypt later" saldırısı). Bazıları kuantum bilgisayarın gerçekleşmesinin imkansız olduğunu iddia etse de, ana engel fizik yasaları değil mühendislik sorunlarıdır. Eğer gerçekten bir kuantum bilgisayar gerçekleşirse, inanılmaz miktarda kullanıcı verisini korumak mümkün olur. Makaleyi bir kez eğlence için okumayı öneririm ama fazla alaycı yaklaşmıyorum.

    • Bu makale komik gibi görünebilir ama sadece alaya almak için değil; gerçekten anlamlı ilerlemeler de var. PQCrypto 2025'te Sam Jacques'in sunumunu (link) öneririm. Son 10 yılda kuantum bilgisayar tabanlı çarpanlara ayırma maliyeti 1000 kata düştü; donanım tarafı hata oranı da ciddi biçimde azaldı (link1, link2, link3, link4). Kuantum bilgisayar gelişimini takip etmek isterseniz kademeli dayanıklılık artışını izlemek yeter. Gürültü büyük bir engel; kalite sorunları her iki tarafta da çözüldüğünde gerçek bir sıçrama beklenir.

    • O makale o kadar esprili ki neredeyse komik bile. Ciddi bir eleştiri ise şöyle olurdu: 1951'de birinin transistörlerin pi sayısını hesaplayamadığından şikayet etmesi gibiydi. PQC geçişinin gerekliliği iki soruya bağlı: 1) Hayatım boyunca kuantum bilgisayarın hiç çıkmayacağına inanıyor muyum? 2) Emanet ettiğim verinin hassasiyet değerini ne kadar yüksek görüyorum? İkisi de umurumda değilse PQC zaman kaybı olabilir. Ama bir şifreleme sistemi işlettiğim için, kullanıcı verisinin değerini yok sayma hakkım yok.

    • Şu anki tartışmaların çoğu anahtar değişimiyle ilgili. Anahtar değişimi nadiren yapılır ve ek yükü genelde kabul edilebilir. Özeti:

      1. PQ algoritmalarının (imza, anahtar değişimi) anahtar boyutları çok daha büyük olsa da hesaplama hızı daha hızlı ya da benzer.

      2. TLS, SSH gibi çoğu protokolde anahtar değişimi yalnızca ilk bağlantıda yapıldığından büyük anahtar boyutları genelde sorun yaratmaz. Ancak TCP MTU aşımı gibi uyumluluk sorunları olabilir. Signal ve MLS gibi çok sık anahtar değiştiren protokollerde zaman zaman sadece PQ'ye dönülür (not).

      3. TLS tarafında asıl mesele imza mesaj boyutunun büyümesidir; çok sayıda imza olduğu için sertifika zincirlerinde boyut artar. Bu yüzden PQ imzalı TLS uygulanabilirliği daha büyük bir endişe oluşturur (not)

  • Açık bilginin yanı sıra, güvenlik kurumlarımızın 20 yıldan uzun süreli gizlilik gerektiren sistemler için PQ'yı önerdikleri güven faktörü de var. Örneğin paylaşmak isterim: 2014'te Hollanda istihbarat kurumu 2030-2040 döneminden bahsetti; 2021'de 2030'a kadar olasılığı düşük ama göz ardı edilemeyeceğini söyledi. 2025'te de 18 ülke ortak bildiride 2030'a kadar "store now, decrypt later" saldırılarına karşı hazırlıklı olunması gerektiğini açıkladı (belge1, belge2, ortak beyan)

  • Secretive adlı macOS uygulaması SSH anahtarlarını Secure Enclave'de saklar. Desteklediği algoritmalar nedeniyle ecdsa-sha2-nistp256 kullanılıyor ve Secure Enclave'in muhtemelen PQC algoritmalarını desteklemediğini düşünüyorum. mlkem768×ecdsa-sha2-nistp256 gibi hibrit bir yapıyla ECDSA kısmını sadece SE'de çalıştırmak mümkün mü acaba? (Secretive GitHub)

    • Buradaki konu anahtar değişimi (KEX, yani Key Exchange) ile ilgilidir; SSH anahtarıyla doğrudan ilgisi yoktur. SSH seçeneklerinde ecdsa-sha2-nistp256 KexAlgorithms'ta izinli değil, bunun yerine ecdh-sha2-nistp256 kullanılır. bkz1, bkz2

  • ssh-audit (link) aracının teorik algoritmaları (PQC hibrit) kontrol etmeyecek maddeler eklemesi gerektiğini düşünüyorum. Belirli bir algoritmayı sabitlemek de hala "A" puanını getirmiş gibi görünüyor. Şu an yalnızca cha-cha kullanıyorum.

  • FIPS 140-3 uyumlu OpenSSH için PQC hibrit algoritmalar var mı?

    • FIPS onayı tüm "şifreleme modüllerine" (donanım ve yazılım dahil) verilir. Bu yüzden pratikte "FIPS onaylı OpenSSH" ifadesi temelde hatalıdır. Belirli bir işletim sistemi ve donanım üzerinde OpenSSH'in yüklenmiş haliyle onaylanması gerekir. FIPS belirli algoritmaların kullanımını şart koşar ve ML-KEM NIST onayıdır. Bildiğim kadarıyla NIST, hibrit KEM'i de tanıyor. Bu nedenle OpenSSH'in desteklediği mlkem768x25519-sha256'in onay alabileceğini düşünüyorum. Yalnız ben FIPS denetçisi değilim.

  • Erken önlem almak mantıklı. Anahtar değiştirmenin görece ufak bir iş olduğu durumda daha da mantıklı. İki seçenekten hangisi daha güçlü, 512'nin daha güçlü olduğunu mu düşünüyorsunuz?

    • İki algoritma tamamen farklıdır. mlkem768x25519-sha256, ML-KEM post-kuantum anahtar değişimini klasik ECDH/x25519 ile birleştiren bir hibrittir. Böylece ikisinden biri kırılırsa bile en azından klasik düzeyde korunur. Ayrıca 256 sürümü (mlkem768), 512 sürümden (sntrup761) daha yeni. OpenSSH 9.0'dan itibaren sntrup761x25519-sha512, 9.9'dan itibaren de mlkem768x25519-sha256 destekleniyor.

    • 256 bit ve 512 bit boyutlar şu anda hiç endişe etmeye gerek bir şey değil. 128 bitlik bir uzayı bile tarayacak kadar güce sahip bileşim ya da böyle bir bilgisayar yok; bu yüzden endişe etmeye henüz gerek yok.

    • mlkem şu anda mantıklı bir varsayılan seçimdir. Endüstri standardı bu yöne gidiyor.

  • Terminal tabanlı bir mikrobloglama/sohbet uygulaması yaptım; bunu post-kuantuma dönüştürmeyi düşünüyorum. Paul Durov'un bir kaç röportajını izleyince ve onun yaşadıklarını duyunca daha çok düşünüyorum.

    • Ne yaşadığını tam olarak merak ediyorum ve blogunda neden SSH'ye ihtiyaç duyduğunu anlamak istiyorum.

  • sntrup761x25519-sha512 ile mlkem768x25519-sha256 arasından hangisi daha iyi?

    • MLKEM768 daha iyi performans ve daha küçük anahtarlar sunuyor. SNTRUP761'in güvenlik varsayımı daha güçlü ve potansiyel kriptoanaliz saldırılarına karşı dayanıklılığı daha iyi.

    • NTRU Prime (sntrup) tarihsel nedenlerle dahil oldu (o dönemde mlkem yoktu). Hangisini seçerseniz seçin ikisi de iş görür ama sntrup, eskiden GPG'nin varsayılan olarak CAST kullanması gibi eski bir varsayılan hissi verir.

  • Host/kullanıcı kimlik doğrulama anahtarları için PQ sertifikalar ne zaman sağlanacak?

    • Bu konu ilgili sayfada belirtilmiş.

  • Bu tür proaktif girişimler iyi bir şey. Gelecekte daha güçlü güvenlikte alternatifler gelse bile, mevcut duruma göre kötüleşmediği sürece bu çabanın anlamı olur.

    • Kendi kontrolümde olmayan bir ağ üzerinden bir sunucuya bağlanıyorsam trafiğin bir yerde saklanacağını varsaymalıyım. Sonunda post-kuantum çağında bu trafik çözülebilir. Bunun gerçekten bir sorun olup olmadığı kullanım senaryosuna bağlı.