25 Mart 2026’da Google sessiz sedasız bir blog yazısı yayımladı. Aslında dünyanın her yerinde manşet olması gereken bir haberdi bu, ama çoğumuz duymadık bile. Yapay zeka çılgınlığını izlerken, Google aslında ürkütücü bir gerçeği itiraf ediyordu: Banka hesaplarımızı, sağlık kayıtlarımızı ve devletlerin en gizli belgelerini koruyan mevcut şifreleme algoritmalarının ömrü, düşündüğümüzden tam altı yıl daha kısa! Altmış değil, altı. Bu, sadece bizi değil, kriptografları, NSA uzmanlarını, yani bu işi meslek edinmiş herkesi şaşkına çevirdi.
Peki, tam olarak ne oluyor ve bu kuantum şifreleme tehdidi neden bu kadar acil bir konu? Hadi, bir kahve molası verip bu olayın detaylarına inelim.
Google’ın 2026 Duyurusu, Kuantum Bilgisayarların Mevcut Şifrelemeyi Kırma Eşiğini 2029 Olarak Belirleyerek Daha Önceki Tahminleri Altüst Etti
Yıllardır kriptograflar arasında şöyle bir espri vardı: “Q-Günü” hep 10 ila 20 yıl uzakta. Q-Günü mü? Dijital dünyadaki her şeyi koruyan matematiği, yani internetin ön kapısındaki iki büyük kilit olan RSA ve Eliptik Eğri Kriptografisini, bir kuantum bilgisayarın kırabilecek güce ulaştığı an o gün.
Uzmanlar bile bu konuda farklı görüşlere sahipti: NSA 2031 derken, ABD hükümeti geneli 2035’i işaret ediyordu. İngiltere’nin Ulusal Siber Güvenlik Merkezi de 2035 diyerek, bu geçişi Milenyum hatasını düzeltmekten bile daha zorlu bir program olarak tanımlıyordu. Ama sonra Google sahneye çıktı. Tüm bu tarihleri bir kenara bırakıp, “Biz 2029’a kadar bitiririz!” dedi. Evet, NSA’den iki yıl, ABD’nin genel tahmininden altı yıl önce. Google Güvenlik Mühendisliği Başkan Yardımcısı Heather Adkins ve Kıdemli Kriptografi Mühendisi Sophie Schmieg bu yazıyı yayımladı. Ne bir basın toplantısı ne de büyük bir tanıtım… Sadece Fortune 500 şirketlerinin sunucu odalarına kibarca fırlatılmış dijital bir el bombası gibiydi. Microsoft’un post-kuantum şifreleme geçişini yedi yıl boyunca yöneten Brian LaMacchia bile “Bu iddialı. Bizim bilmediğimiz ne biliyorlar?” diye sordu. Dünyanın en büyük yazılım şirketini RSA’dan taşıyan birinin bile Google’ın zaman çizelgesine şaşırması, artık sıradan bir teknoloji haberi olmaktan çıktı. Bu, ufukta yanan bir işaret fişeğiydi.
Şifreleme Kırılması İçin Gereken Kübit Sayısındaki Dramatik Düşüş, Tehdidin Artık ‘On Yıllar’ Değil, ‘Yıllar’ Mesafede Olduğunu Gösteriyor
Google neden panikledi dersiniz? İşte işin rahatsız edici kısmı burası: 2012’de, 2048-bit RSA şifreleme kırılması için bir milyar fiziksel kübite ihtiyaç duyulacağı tahmin ediliyordu. 2019’a gelindiğinde bu sayı 20 milyona düştü. Hala güvenli gibiydi, hala bilim kurguydu. Ancak Haziran 2025’te Google’dan Craig Gidney, bir milyon gürültülü kübitle bir haftadan kısa sürede bunun yapılabileceğini gösteren bir araştırma yayımladı. Ama asıl kahvenizi ağzınızdan fırlatacak kısım burası: Google’ın duyurusundan sadece günler sonra, 30 ve 31 Mart 2026’da iki yeni makale daha çıktı. Birisi Google Quantum AI, Stanford ve Berkeley’den, diğeri Caltech’ten. Bu makaleler, QLDPC kodları adı verilen yeni bir hata düzeltme yöntemiyle, 2048-bit RSA’yı sadece 102.000 fiziksel kübitle kırabileceğimizi gösteriyordu. Eliptik eğri kriptografisi için ise yaklaşık 26.000. Karşılaştırmak gerekirse, mevcut laboratuvarlar şimdiden 6.100 atom dizilerine sahip. Artık on yıllardan bahsetmiyoruz, birkaç mühendislik sprintinden bahsediyoruz. Sadece 13 yılda, banka hesabınızdaki kilidi kırmak için gereken kübit sayısı 1 milyardan 100.000’e düştü. Bu, 10.000 katlık bir çöküş!
Google bu tarihi öne çekti, çünkü kuantum bilgisayarlar hızlandığı için değil. Bizi koruyan matematiği kırmanın maliyeti ucuzladığı için ve bu eğri yavaşlamıyor, hızlanıyor.
‘Şimdi Topla, Sonra Şifre Çöz’ Stratejisi Nedeniyle, Halihazırda Şifreli Toplanan Veriler Gelecekte Kuantum Bilgisayarlar Tarafından Deşifre Edilebilir
Kablo televizyon haberlerinde size kimsenin söylemeyeceği bir şey var: Tehdit 2029 değil. Tehdit şimdi. Buna “şimdi topla, sonra şifre çöz” (Harvest Now, Decrypt Later) deniyor. İstihbarat teşkilatları — Çin, Rus, Kuzey Kore ve evet, muhtemelen bizimkiler de — şu anda petabaytlarca şifreli internet trafiğini süpürüyor. Henüz okuyamıyorlar, ama depoluyorlar. Bekliyorlar. 2024’te gönderdiğiniz her şifreli e-posta, her bankacılık işlemi, her diplomatik yazışma, her ticari sır, her tıbbi kayıt, şifrelemesini yükseltmeden önceki her özel Signal mesajı… Hepsi bir depoda, Q-Günü’nün gelmesini bekleyen bir sabit diskte duruyor. Tıpkı 6 yaşındaki bir çocuğun doğum günü partisinde bir pinatanın açılmasını bekler gibi.
İşte bu yüzden Google son tarihi öne çekti. Çünkü bugün korumaya çalıştığınız verilerin raf ömrü 2029’da sona eriyor. Düşünün bir kere: Bugün güvendiğiniz şifreleme, verilerinizi korumuyor. Sadece düşmanca bir hükümetin onları okuyacağı anı erteliyor ve bu erteleme, bir Çarşamba öğleden sonra, tek bir manşet olmadan altı yıl daha kısaldı. İşte veri güvenliği 2029 için ne kadar kritik bir tarih.
Kurumların %90’ı Kuantum Tehditlerine Karşı Hazırlıksızken, Google Gibi Büyük Teknoloji Şirketleri Post-Kuantum Şifrelemeye Geçişe Çoktan Başladı
Ocak 2026’da Bain & Company tarafından yayımlanan bir araştırmaya göre, kuruluşların %90’ı kuantum tehditlerine karşı savunma sistemlerine sahip değil. Yüzde 71’i beş yıl içinde kuantum özellikli bir saldırı bekliyor ve sadece onda biri, evet sadece onda biri, gerçek bir yol haritasına sahip. Yani dokuz şirketten onu asteroidin geldiğini biliyor, gökyüzünde görüyor, ama şu anda güverte sandalyelerini yeniden boyayıp boyamayacaklarını tartışıyorlar.
Google ise 2016’da hazırlanmaya başladı, tam on yıllık bir çalışma. NIST tarafından onaylanmış yeni bir kuantum dirençli standart olan ML-DSA’yı (Module-Lattice Dijital İmza Algoritması) doğrudan Android 17’nin donanım kök güvenliğine entegre ediyorlar. Uygulama imzaları, Play Store, doğrulanmış önyükleme, anahtar deposu, hepsi. Dünyanın en zengin teknoloji şirketi, parayla tutulabilecek en iyi kriptograflarla, kendine 10 yıl süre tanıdı. Sizin bankanız ise muhtemelen bir not ve bir PowerPoint sunumuyla yetindi.
Peki, büyük teknoloji şirketleri boş durmuyor: Apple, iMessage’da zaten PQ3’ü kullanıma sundu. Signal geçen yıl ML-KEM-768’i ekledi. Google da Android 17’ye ML-DSA’yı koyuyor. Peki teyzenizin kullandığı o sıkıcı marka telefon? Muhtemelen hayır.
Bireylerin Bankalarının ve Cihazlarının Post-Kuantum Şifrelemeye Geçiş Durumunu Sorgulaması, Şirketlerin İse Acilen Bir Geçiş Yol Haritası Oluşturması Gerekmektedir
Peki tüm bunlar sizin için ne anlama geliyor, biraz pratik düşünelim.
1. Bir banka hesabınız varsa: Bankanız şu anda RSA veya eliptik eğri kriptografisi kullanıyordur. Eğer 2029’a kadar post-kuantum şifreleme geçişi yapmazlarsa, işlem geçmişiniz, hesap numaralarınız, kimlik doğrulama belirteçleriniz, hepsi bunları toplayan herkes tarafından okunabilir hale gelecek.
2. Akıllı telefon kullanıyorsanız: İyi haber, Apple iMessage’da PQ3’ü zaten devreye soktu. Signal geçen yıl ML-KEM-768’i ekledi. Google, Android 17’ye ML-DSA’yı koyuyor. Ama dediğimiz gibi, her markanın bu kadar hızlı davranmasını beklemeyin.
3. Bir şirkette çalışıyorsanız: Bir sonraki toplantınızda tek bir soru sorun: “Post-kuantum geçiş yol haritamız nedir?” Eğer oda sessizliğe bürünürse, tebrikler, %90’lık dilimdeki şirketlerden birinde çalışıyorsunuz.
4. Geliştiriciyseniz: Tembel RSA uygulamalarının günleri sayılı. NIST, ilk PQC standartlarını 2024’te tamamladı. Algoritmalar mevcut. Cloudflare, AWS, Google, hepsi hem klasik hem de kuantum dirençli kriptoyu paralel olarak kullanan hibrit modları kullanıma sunmaya başladı. Bunları kullanın!
Google son tarihi uzatmadı çünkü kuantum bilgisayarlar daha iyi hale geldi. Kuantum bilgisayarlar her zaman daha iyi hale geliyordu. Google son tarihi öne çekti çünkü bizi koruyan matematik daha kötü hale geldi. Hata düzeltme maliyeti çöktü. Kübit gereksinimi çöktü. Bizi koruyan bilinmeyenlerin sayısı milyonlardan binlere indi. Q-Günü eskiden bir duvardı. Şimdi, bir kapı aralığı. Ve kuantum donanım manzarasının dünyanın en iyi görünümüne sahip şirketi Google, bize o aralıktan gün ışığını görebildiğini söyledi. Bu bir kriptografi hikayesi değil. Bu, on yılın en önemli altyapı duyurusunun bir Çarşamba blog yazısında nasıl yapıldığının ve dünyanın bir lansman etkinliği olmadığı için omuz silkip geçtiğinin hikayesi.
Sıkça Sorulan Sorular
Kuantum şifreleme tehdidi neden bu kadar acil?
Tehdit, “şimdi topla, sonra şifre çöz” stratejisiyle ilgili. İstihbarat birimleri ve kötü niyetli aktörler, şu anda şifreli olan verileri topluyor ve depoluyor. Kuantum bilgisayarlar 2029’a kadar mevcut şifrelemeyi kırabilecek duruma geldiğinde, bu toplanan tüm veriler deşifre edilebilir hale gelecek. Bu yüzden, bugün gönderilen veya depolanan verilerin raf ömrü 2029’da sona eriyor gibi düşünebiliriz.
Bireysel kullanıcılar olarak ne yapabiliriz?
Akıllı telefonlarınızın, kullandığınız uygulamaların ve bankanızın post-kuantum şifrelemeye geçiş durumunu sorgulayın. Google, Apple ve Signal gibi büyük teknoloji şirketleri bu geçişe başladı. Cihazlarınızın ve uygulamalarınızın güncellemelerini takip etmek ve güvenli hizmet sağlayıcılarını tercih etmek önemlidir.
Şirketler için yol haritası nasıl olmalı?
Şirketlerin acilen bir post-kuantum şifreleme geçiş yol haritası oluşturması gerekiyor. Google’ın on yıl önceden başladığı gibi, mevcut sistemlerini analiz etmeli, riskleri belirlemeli ve NIST tarafından onaylanmış kuantum dirençli algoritmalara (ML-DSA gibi) geçiş planları yapmalıdırlar. Cloudflare, AWS ve Google gibi firmaların sunduğu hibrit modları kullanarak hem klasik hem de kuantum dirençli kriptoyu paralel çalıştırmak iyi bir başlangıç olabilir.
