1. Giriş ve Metodoloji
Post-kuantum kriptografi (PQC) algoritmaları seçilirken yalnızca güvenlik değil, performans da kritik bir kriterdir. Bir algoritma teorik olarak ne kadar güvenli olursa olsun, anahtar boyutları MTU sınırını aşıyor, el sıkışma süresi gözle görülür gecikme yaratıyor veya gömülü cihazda RAM yetersiz kalıyorsa pratikte konuşlandırılamaz. Bu rapor, NIST'in 2024'te nihai hâle getirdiği üç standart (FIPS 203, 204, 205) ile taslak FIPS 206 ve yedek HQC algoritmasını, klasik baselineler (X25519, Ed25519, ECDSA P-256, RSA-3072) karşısında dört eksende karşılaştırır:
- Bayt cinsinden boyutlar — açık anahtar, gizli anahtar, şifreli metin (KEM), imza (DSA).
- Çalışma süreleri — anahtar üretimi, kapsülleme/imzalama, çözme/doğrulama.
- Pratik etki — TLS 1.3 el sıkışmasında ek paket sayısı ve gecikme.
- Donanım kısıtları — RAM, kod boyutu, gömülü/IoT senaryosu uygulanabilirliği.
Veri Kaynakları
Bu raporda kullanılan ölçümler şu açık kaynaklardan derlenmiştir:
- eBACS / SUPERCOP — Bernstein ve Lange'nin sürdürdüğü kriptografik benchmark çerçevesi. Skylake/Zen3 x86_64 medyanları.
- NIST PQC Project benchmark verileri — referans uygulamalar.
- Open Quantum Safe (liboqs) — açık kaynak entegrasyon kütüphanesi benchmark çıktıları.
- Cloudflare PQ-TLS deployment data — gerçek-dünya internet trafiği üzerinde X25519MLKEM768 ölçümleri.
- pqm4 — ARM Cortex-M4 üzerinde gömülü sistem ölçümleri.
Süre ölçümleri 3.5 GHz Intel/AMD x86_64 üzerinde mikrosaniye (μs) veya saat döngüsü cinsinden
verilmiştir. Pratik karşılaştırma için bağlam: bir X25519 anahtar üretimi modern bir
işlemcide yaklaşık 25 μs sürer.
2. KEM Karşılaştırması
2.1 Boyutlar
| Algoritma | Güvenlik | Açık Anahtar | Gizli Anahtar | Şifreli Metin | Paylaşılan Sır |
|---|---|---|---|---|---|
| X25519 (klasik) | ~128-bit | 32 B | 32 B | 32 B | 32 B |
| ML-KEM-512 | Seviye 1 | 800 B | 1632 B | 768 B | 32 B |
| ML-KEM-768 | Seviye 3 | 1184 B | 2400 B | 1088 B | 32 B |
| ML-KEM-1024 | Seviye 5 | 1568 B | 3168 B | 1568 B | 32 B |
| HQC-128 | Seviye 1 | 2249 B | 2305 B | 4497 B | 64 B |
| HQC-192 | Seviye 3 | 4522 B | 4586 B | 9042 B | 64 B |
| HQC-256 | Seviye 5 | 7245 B | 7317 B | 14485 B | 64 B |
| Classic McEliece-348864 | Seviye 1 | 261 120 B | 6492 B | 96 B | 32 B |
Tablodan üç gözlem çıkar:
- ML-KEM klasik X25519'a göre 25–50× daha büyüktür, ancak mutlak değer hâlâ küçüktür (1–3 KB). Bu, TLS el sıkışma paketleri için yönetilebilir bir maliyettir.
- HQC, ML-KEM'in 4–10×'i kadar büyüktür — bant genişliği ucuz olmadığında HQC'nin maliyeti hissedilir.
- Classic McEliece'in açık anahtarı 261 KB'tır — bu boyut TLS için pratik değildir; uzun-ömürlü yüksek-güvence senaryolar (BSI önerisi) için ayrı bir bağlamda kullanılır.
2.2 Çalışma Süreleri
| Algoritma | KeyGen (μs) | Encaps (μs) | Decaps (μs) |
|---|---|---|---|
| X25519 | ~25 | ~50 | ~50 |
| ML-KEM-512 | ~20 | ~25 | ~30 |
| ML-KEM-768 | ~35 | ~40 | ~45 |
| ML-KEM-1024 | ~55 | ~60 | ~70 |
| HQC-128 | ~120 | ~210 | ~340 |
| HQC-256 | ~520 | ~880 | ~1430 |
| Classic McEliece-348864 | ~70 000 | ~50 | ~140 |
Sürpriz sonuç: ML-KEM, X25519'dan daha hızlıdır. Bu, kafes operasyonlarının (NTT — Number Theoretic Transform) yüksek paralelleştirilebilirliği sayesindedir. AVX2 vektör talimatlarıyla ML-KEM-768 encaps/decaps yaklaşık 40 μs civarında ölçülmüştür.
HQC ise 5–30× daha yavaştır; özellikle decaps maliyeti yüksektir. Classic McEliece'in anahtar üretimi inanılmaz pahalıdır (~70 ms) ancak bir kez üretildikten sonra encaps/decaps son derece hızlıdır — uzun süreli statik anahtarlarla kullanılması bu yüzden makuldür.
3. İmza Algoritması Karşılaştırması
3.1 Boyutlar
| Algoritma | Güvenlik | Açık Anahtar | Gizli Anahtar | İmza |
|---|---|---|---|---|
| Ed25519 (klasik) | ~128-bit | 32 B | 32 B | 64 B |
| ECDSA P-256 (klasik) | ~128-bit | 64 B | 32 B | ~71 B |
| RSA-3072 (klasik) | ~128-bit | 387 B | ~1700 B | 384 B |
| ML-DSA-44 | Seviye 2 | 1312 B | 2528 B | 2420 B |
| ML-DSA-65 | Seviye 3 | 1952 B | 4000 B | 3293 B |
| ML-DSA-87 | Seviye 5 | 2592 B | 4864 B | 4595 B |
| FN-DSA-512 (FALCON) | Seviye 1 | 897 B | 1281 B | ~666 B |
| FN-DSA-1024 (FALCON) | Seviye 5 | 1793 B | 2305 B | ~1280 B |
| SLH-DSA-128s | Seviye 1 | 32 B | 64 B | 7856 B |
| SLH-DSA-128f | Seviye 1 | 32 B | 64 B | 17 088 B |
| SLH-DSA-256s | Seviye 5 | 64 B | 128 B | 29 792 B |
İmza boyutları en çarpıcı PQC trade-off'unu ortaya çıkarır:
- FN-DSA en kompakt PQC imzadır (~666 B, Ed25519'un 10×'i) — sertifika zincirleri için kritik.
- ML-DSA orta yol — boyut yönetilebilir, üretim/doğrulama hızlı.
- SLH-DSA en büyük — 8–30 KB. Yüksek hacimli imzalama için uygun değil ama hash güvenliğine dayandığı için en muhafazakar varsayımları sunar.
3.2 Çalışma Süreleri (Skylake medyanı, mikrosaniye)
| Algoritma | KeyGen | Sign | Verify |
|---|---|---|---|
| Ed25519 | ~15 | ~20 | ~50 |
| ECDSA P-256 | ~30 | ~30 | ~80 |
| RSA-3072 | ~50 000 | ~3500 | ~80 |
| ML-DSA-44 | ~85 | ~330 | ~110 |
| ML-DSA-65 | ~135 | ~520 | ~170 |
| ML-DSA-87 | ~210 | ~640 | ~270 |
| FN-DSA-512 | ~9 000 | ~280 | ~80 |
| FN-DSA-1024 | ~28 000 | ~600 | ~165 |
| SLH-DSA-128s | ~7 600 | ~600 000 | ~750 |
| SLH-DSA-128f | ~360 | ~30 000 | ~1700 |
Önemli noktalar:
- ML-DSA, RSA-3072'den belirgin biçimde hızlıdır ve Ed25519'a yaklaşan doğrulama performansı sunar.
- FN-DSA anahtar üretimi pahalıdır (kayan nokta sampling); bu, ephemerel imzalar için sorun olabilir.
- SLH-DSA'nın "s" (küçük) varyantı pratikte 0.5 saniye imzalama süresi gerektirir — yalnızca nadir, kritik imzalar için (kök sertifika, firmware) uygundur. "f" (hızlı) varyantı 20× hızlı ama imza 2× daha büyüktür.
4. TLS 1.3 El Sıkışma Etkisi
TLS, kuantum geçişin en görünür konuşlandırma alanıdır. Cloudflare'in 2023–2024 internet trafiği üzerinde yürüttüğü deneyler, hibrit X25519MLKEM768 anahtar değişiminin pratik maliyetini ortaya koymuştur.
4.1 El Sıkışma Boyutu
| Anahtar Grubu | İstemci Hello | Sunucu Hello | Toplam |
|---|---|---|---|
| X25519 | ~520 B | ~155 B | ~675 B |
| X25519MLKEM768 (hibrit) | ~1690 B | ~1200 B | ~2890 B |
| ML-KEM-1024 (saf) | ~2070 B | ~1690 B | ~3760 B |
Hibrit el sıkışma yaklaşık 4× daha büyüktür. Ancak bağlam önemlidir: tipik bir web sayfası 1–3 MB'tır, bu nedenle 2 KB el sıkışma fazladan boyutu istisnai durumlar dışında hissedilmez.
4.2 Gerçek-Dünya Latensi Ölçümü
Cloudflare'in 2024 raporuna göre X25519MLKEM768'in X25519'a kıyasla medyan TLS el sıkışma gecikmesi artışı ~3 milisaniyedir. p95 (uzun kuyrukta) artış 10 ms'yi nadiren geçer. Bu, TCP RTT'nin tipik olarak 30–200 ms olduğu internet üzerinde fark edilmez bir farktır.
4.3 İstemci Hello'nun TCP Paket Çapraz Geçiş Etkisi
Önemli bir uç durum: X25519 ile İstemci Hello tek bir TCP paketine (MSS ~1460 B) sığarken, hibrit anahtar grubuyla iki pakete bölünmek durumundadır. Bu, kötü konfigüre edilmiş QUIC sunucularında ya da ortadaki bazı yük dengeleyicilerde 1-RTT'lik ek gecikme yaratabilir. Cloudflare bu olayı "post-quantum bot detection" makalesinde belgelemiştir.
5. Gömülü Sistemler ve IoT Kısıtları
PQC algoritmalarının gerçek darboğazı bulut sunucusu değil, kısıtlı belleğe sahip uç cihazlardır.
ARM Cortex-M4 (typical IoT MCU) üzerinde yapılan pqm4 benchmark sonuçları:
| Algoritma | Yığın Belleği (Stack) | Kod Boyutu (ROM) | Tipik İşlem Süresi |
|---|---|---|---|
| X25519 | ~1 KB | ~3 KB | ~2 ms |
| ML-KEM-512 | ~2.7 KB | ~10 KB | ~1.4 ms (encaps) |
| ML-KEM-768 | ~2.9 KB | ~11 KB | ~2.0 ms (encaps) |
| ML-DSA-44 | ~50 KB | ~16 KB | ~17 ms (sign) |
| ML-DSA-65 | ~70 KB | ~18 KB | ~28 ms (sign) |
| FN-DSA-512 | ~80 KB | ~85 KB | ~140 ms (sign) |
| SLH-DSA-128f | ~3 KB | ~7 KB | ~1500 ms (sign) |
Yığın belleği gereksinimi tipik bir uç cihaz için en kritik kısıttır. ML-DSA-65 imza üretimi ~70 KB yığın gerektirir; bu, 128 KB RAM'lı bir Cortex-M4 üzerinde uygulanabilirdir ama 32 KB RAM'lı bir Cortex-M0+ üzerinde imkânsızdır. FN-DSA ise hem yığın hem kod boyutu açısından çoğu IoT cihazı için fazla pahalıdır.
IoT için pratik öneri: Anahtar değişiminde ML-KEM-512/768, imzalamada ML-DSA-44 ya da SLH-DSA-128f (imza boyutunu tolere edebilirseniz). FN-DSA, yalnızca özel donanım veya Cortex-M7+ sınıfı işlemcilerde değerlendirilmelidir.
6. Donanım Hızlandırma Görünümü
6.1 x86_64 AVX2 / AVX-512
ML-KEM ve ML-DSA için referans uygulamalar AVX2 vektör talimatlarıyla 2–4× hızlanma sağlar. AVX-512 ile Keccak permütasyonu (SHAKE/SHA-3) için ek 1.5× hızlanma elde edilmiştir. Bu, modern sunucular için PQC'yi neredeyse "ücretsiz" hâle getirir.
6.2 ARM NEON
ARM64 sunucular ve Apple Silicon NEON ile ML-KEM'i AVX2'ye yakın performansla çalıştırır. Apple, iMessage PQ3 protokolü için kendi geliştirdiği NEON-optimize ML-KEM uygulamasını kullanmaktadır.
6.3 Donanım Güvenlik Modülleri (HSM)
Yerli ve uluslararası HSM üreticileri 2024'ten itibaren PQC desteği eklemektedir. Önemli referanslar: Thales Luna HSM 7 (ML-KEM/ML-DSA, 2024), Utimaco SecurityServer (PQC firmware, 2024), SafeNet ProtectServer. Türkiye için kritik olan TÜBİTAK BİLGEM TUKİT ailesinde bu bağlamda yerli PQC modül üretimi 2026 sonrası beklenen bir kapasitedir.
6.4 Yan Kanal Direnci
PQC algoritmaları için yan-kanal saldırı yüzeyi klasik şemalardan farklıdır:
- ML-KEM/ML-DSA referans uygulamalar sabit-zamanlıdır. Ancak rejection sampling ve modüler aritmetik yan-kanal sızıntısı için inceleme gerektirir.
- FN-DSA kayan nokta aritmetiği zamanlama saldırılarına açıktır; sabit-zamanlı bir FN-DSA uygulaması extremely zordur.
- SLH-DSA deterministik hash tabanlı yapısı nedeniyle yan-kanala karşı en dirençli imzadır.
7. Algoritma Seçim Kılavuzu
Aşağıdaki matris, tipik konuşlandırma senaryolarına göre algoritma seçimini özetler:
| Senaryo | Önerilen KEM | Önerilen İmza | Gerekçe |
|---|---|---|---|
| Genel amaçlı TLS 1.3 | X25519MLKEM768 (hibrit) | ML-DSA-65 | Dengeli boyut/hız, internet ölçeğinde test edildi |
| Ulusal güvenlik / CNSA 2.0 | ML-KEM-1024 | ML-DSA-87 + SLH-DSA | En yüksek güvenlik seviyesi, hibrit algoritma çeşitliliği |
| Uzun ömürlü gizli veri (HNDL) | Classic McEliece veya HQC + ML-KEM | SLH-DSA | Farklı matematiksel temellere yayılma, en muhafazakâr varsayımlar |
| Sertifika zincirleri / X.509 | — | FN-DSA (mümkünse), aksi hâlde ML-DSA | Sertifika boyutu kümülatif zincir uzunluğunda kritik |
| Kod / firmware imzalama | — | SLH-DSA-128s | Yavaş imza kabul edilebilir, en güvenli varsayım |
| IoT / Cortex-M4 sınıfı | ML-KEM-512 | ML-DSA-44 veya SLH-DSA-128f | Düşük RAM + düşük kod boyutu |
| Yüksek hacimli mesajlaşma | ML-KEM-768 | ML-DSA-65 | Düşük gecikme, küçük el sıkışma maliyeti |
8. Sonuç
Bu rapordaki ölçümler temel bir bulguya işaret eder: PQC algoritmaları "yavaş" değildir — sadece "büyük"tür. ML-KEM ve ML-DSA, modern donanımda klasik algoritmalarla karşılaştırılabilir veya daha hızlıdır; gerçek maliyet bant genişliği ve bellek boyutundadır. Bu, internet ölçeğinde yönetilebilir bir maliyettir ancak gömülü ve IoT cihazlar için titiz seçim gerektirir.
FN-DSA en kompakt imzayı sunar ama uygulama riski (yan-kanal, kayan nokta) yüksektir. SLH-DSA en muhafazakar güvenlik varsayımlarını sunar ama büyük imza ve yavaş üretim ile gelir. ML-KEM ve ML-DSA, NIST'in birincil önerisi olarak varsayılan seçim olmaya hak kazanmıştır.
Türkiye'deki konuşlandırma kararları için bu raporun ana mesajı: algoritma seçimi senaryoya bağlıdır. TLS için ML-KEM-768 + ML-DSA-65; uzun ömürlü veri için hibrit yaklaşım; IoT için ML-KEM-512 + SLH-DSA-128f kombinasyonu mevcut olgunluk düzeyinde en iyi pratiklerdir.
Kaynakça
- NIST FIPS 203/204/205 — resmi nihai standartlar, 13 Ağustos 2024.
- eBACS / SUPERCOP benchmark suite —
bench.cr.yp.to - Open Quantum Safe —
openquantumsafe.org/liboqs - pqm4 — Post-Quantum Crypto Library for the ARM Cortex-M4 —
github.com/mupq/pqm4 - Cloudflare — The state of the post-quantum Internet (blog, Mart 2024).
- Cloudflare — NIST's post-quantum cryptography standards are here (Ağustos 2024).
- Google Chrome — Post-Quantum Key Agreement in Chrome (Mayıs 2024).
- IETF draft-kwiatkowski-tls-ecdhe-mlkem — Hybrid key exchange for TLS 1.3.
- Apple Security Engineering — iMessage with PQ3, Şubat 2024.
- Bos et al. — Post-quantum key exchange for the TLS protocol from the ring learning with errors problem, IEEE S&P 2015 (zemin makale).
- Avanzi et al. — CRYSTALS-Kyber Algorithm Specifications and Supporting Documentation, NIST PQC Round 3.
- Ducas et al. — CRYSTALS-Dilithium Algorithm Specifications and Supporting Documentation, NIST PQC Round 3.
- Fouque et al. — FALCON: Fast-Fourier Lattice-based Compact Signatures over NTRU, NIST PQC Round 3.
- Bernstein et al. — SPHINCS+: Submission to the NIST post-quantum project, NIST PQC Round 3.