Kriptografide Kullanılan Teknikler ve Kriptografik Uygulamalar

Şifreleme ve şifre çözme işlemlerinde kullanılan anahtarların birbirleriyle olan ilişkilerine bağlı olarak iki tür şifreleme algoritması vardır. Gizli Anahtarlı (simetrik) ve Açık Anahtarlı (asimetrik) şifrelemedir. Gizli Anahtarlı kriptografide; şifreleme olayında da, şifre çözme olayında da aynı anahtar kullanılır. Bugün en çok kullanılan Gizli Anahtarlı şifre sistemi DES (Data Encryption Standard)’tir.

Açık Anahtarlı kriptografide ise, her kullanıcının şifreleme ve deşifreleme yapmak için bir açık bir de gizli olmak üzere iki anahtarı vardır. Açık Anahtarı herkese açıktır, isteyen herkes elde edebilir. Gizli anahtar ise saklı tutulur, sahibinden başka herhangi biri tarafından elde edilememeli ve kullanılamamalıdır. Şifreleme açık anahtar, şifre çözümü ise gizli anahtar ile gerçekleştirilir. Bu anahtarlar ikili biçimde anılmakta olup, birbirlerinin şifreledikleri veriyi deşifreleyebilmektedirler. Günümüzde en çok kullanılan açık anahtarlı şifreleme sistemi RSA (Rivest, Shamir ve Adleman; RSA şifre sistemini bulan bilim adamları)’dır.

DSA (Digital Signature Algorithm) da oldukça yaygın kullanılan açık anahtarlı bir şifreleme yöntemi olmasına rağmen, sadece imzalamada kullanılabilir, şifrelemede kullanılamaz. Bunların yanında, yakın zamanda kullanımı artan, eliptik eğrilere dayanan şifreleme sistemleri ve son olarak gizli anahtarları açık ağlar üzerinden aktarmada kullanılan ve yine popüler bir teknik olan Diffie – Hellman anahtar anlaşma protokolü vardır. Açık ve Gizli Anahtarlı kriptografi tekniklerini daha sonraki yazılarda ayrıntılı olarak ele alacağım.

Kriptografik Uygulamalar Nelerdir?

Çoğunluğu şu anda kullanılmakta olan birçok kriptografik uygulama vardır. Tipik bir kriptografik uygulama, temel teknikler kullanılarak kurulan sistemdir. Bu sistemler kullanımın amacına göre basit ya da karmaşık olabilir. Güvenli iletişim, kimlik belirleme ve kimlik denetimi gibi uygulamalar daha basit yapılar gerektirebilir. Elektronik Ticaret, güvenli e-posta, sertifika dağıtımı, güvenli bilgisayar erişimi gibi uygulamalar ise daha karmaşık yapılar gerektirir.

İletişim kurmak isteyen iki kişi, bunu bir ortamın fiziksel değişkenlerini belli kurallara göre değiştirerek yaparlar. Örneğin iki kişi yüzyüze konuştuğunda, ortam hava, fiziksel değişken ise basınçtır. Çoğu zaman, iletişim ortamına uyguladığımız değişikliklerin hangi alıcılar tarafından dinlendiğini bilemeyiz. Birisinden mektup aldığımızda, mektubun açılıp başkaları tarafından okunup okunmadığından emin olamayız.

Elektronik mektuplar ise hedeflerine ulaşmak için onlarca bilgisayardan geçtiğine göre, mektuplarımızın gizliliği bu bilgisayardan sorumlu kişilerin insafına kalmıştır. Doğal olarak bilgisayar ortamındaki verilerin okunup okunmadığına dair hiç bir şey bilmemiz mümkün değildir. Ve daha da önemlisi, aldığımız bir elektronik mektubun gerçekte kimden geldiğini ve yolda değiştirilip değiştirilmediğini öğrenmemiz de son derece zordur. Dolayısıyla iletişimin gizliliğini ve güvenliğini sağlamak için tek çare, bu işlerini ciddiye alan bütün kurum ve kuruluşlar gibi şifreleme kullanmaktır. Şimdi şifreyazımı kullandığımız uygulamalara biraz değinelim.

Güvenli İletişim

Güvenli iletişim, iki tarafın birbirine gönderdiği mesajları şifreleme yoluyla, mesajları, istenmeyen üçüncü kişilerin okumasını engellemesidir. Herhangi bir mesajı elde edebilse dahi şifreyi çözemez. Güvenli iletişim yüzyıllardır varolsa da anahtar yönetim sorunu, yaygınlaşmasını engellemiştir. Günümüzde bu sorun açık anahtarlı kriptografi sayesinde çözülmüştür.

Kimlik Belirleme ve Kimlik Denetimi

Kimlik belirleme ve kimlik denetimi kriptografinin en yaygın kullanım alanlarından birisidir. Kimlik belirleme birinin ya da bir şeyin kimliğinin doğrulanmasıdır. Örneğin bir bankadan para çekerken, hesap sahibinin kimliğinin doğrulanması için geçerli bir kimlik göstermesi istenir. Aynı süreç, kriptografi kullanılarak elektronik olarak da gerçekleştirilebilir. Her ATM kartının, kart sahibiyle, dolayısıyla hesapla ilişkilendiren bir PIN(Personal Idendification Number) numarası vardır. Eğer doğru PIN numarası girilirse, makine kart kullanıcısını yasal kullnıcı olarak kabul eder ve kullanım hakkı tanır. Kriptografinin başka bir önemli uygulaması da kimlik denetimidir. Kimlik denetimi de kişilerin kaynaklara erişimini sağlaması bakımından kimlik belirlemeye benzer. Ancak kimlik denetiminde asıl yapılan ilgili kişinin ilgili işlemi yapmaya yetkisi olup olmadığının tesptidir.

Elektronik Ticaret

Son bir kaç yılda internet üzerinden yürütülen işler büyük ölçüde arttı. İnternet üzerinden yürütülen işlere elektronik ticaret veya e-ticaret denir. E-ticaret, çevrimiçi bankacılık, internet üzerinden alışveriş, gibi başlıkları içerir. Ancak internet üzerinden kredi kartı numarasını göndermek gibi bir işlem, kişiyi dolandırılmaya açık hale getirir. Bu soruna kriptografik bir çözüm, çevrimiçi girildiği durumlarda kredi kartı numarasını (veya diğer gizli bilgileri) şifrelemektir veya sadece kredi kartı numarasını şifrelemek yerine tüm oturum güvenli hale getirilebilir. Bir bilgisayar bilgiyi şifreleyip internet üzerinden gönderdiği zaman, şifreli bilgi, onu elde eden üçüncü kişilere anlamsız gelir. Sunucu (internet üzerindeki alışveriş merkezi), şifreli bilgiyi alarak şifreyi çözer ve kredi kartı numarasının başkalarının eline geçmiş olabileceği konusunda kaygı duymadan satışa devam eder. İnternet üzerinden iş yapmak yaygınlaştıkça, sahtekârlıklara karşı korunma ihtiyacı da artmaktadır.

Sertifika Dağıtımı

Kriptografinin diğer bir uygulaması sertifika dağıtımıdır. Sertifika dağıtımı, sertifika hizmet sağlayıcıları gibi güvenilir kurumlar tarafından, kişilere elektronik ortamlarda kimliklerini doğrulamasını amaçlı kimlik dağıtımı sağlayan bir yapıdır.

Uzaktan Erişim

Güvenli uzaktan erişim de kriptografinin önemli uygulamalarından biridir. Temel “anahtar kelime” (şifre sorma) sistemleri belli bir seviye güvenlik sağlar, ancak bazı durumlarda yeterli olmayabilir.

Kriptografinin Önemi

Modern kriptografinin ilgilendiği ana konular şunlardır:

  • Gizlilik: Bilgi istenmeyen kişiler tarafından anlaşılamaz.
  • Bütünlük: Bilgi saklanması veya iletilmesi sırasında, farkına varılmadan değiştirilemez.
  • Reddedilemezlik: Bilgiyi oluşturan ya da gönderen, daha sonra bilgiyi kendisinin oluşturduğunu veya gönderdiğini inkar edemez.
  • Kimlik belirleme: Gönderen ve alıcı, birbirlerinin kimliklerini doğrulayabilirler.

Kriptografi, fiziksel dünyada sahip olduğumuz güvenli ortamı elektronik dünyaya taşımamıza izin verir. Böylece insanların sahtekârlık ve aldatılma kaygısı duymadan elektronik ortamda iş yapabilmesini sağlar.

Internet Üzerinde Kriptografi

Internet milyonlarca bilgisayarın birbirleriyle bağlanmasıyla oluşmuştur; dünya üzerinde anlık iletişim ve bilgi aktarımına olanak tanır. İnsanlar birbirleriyle mektuplaşmak için e-posta kullanırlar. “World Wide Web”, çevrimiçi iş yapmak, veri yaymak, pazarlama, araştırma, öğrenme ve daha pek çok etkinlik için kullanılır. Kriptografi, güvenli web sayfaları ve güvenli elektronik iletim sağlar. Bir web sayfasının güvenli olması için, bilginin tutulduğu ve bilgiyi isteyen makineler arasındaki iletimin şifreli olması gerekir. Bu, insanların, herhangi bir kaygı duymadan çevrimiçi bankacılık ve ticaret yapmasına veya kredi kartıyla alışveriş yapabilmesine olanak tanır. Kriptografi, internet ve elektronik ticaretin büyüyüp gelişmesinde büyük rol oynar. E-ticaret, hızla yayılmaktadır. Internet üzerindeki ticari işlemler, yılda milyar dolarları aşmaktadır. Bu kadar yüksek miktarlar söz konusu olunca kriptografik güvenlik yöntemlerinin kullanımı zorunlu hale gelmektedir.

E-posta, günlük kişisel veya iş yazışmalarında vazgeçilmez bir yere sahiptir. Ancak herhangi bir önlem alınmadığında istenen kişilerce ele geçirilebilir ve değiştirilebilir. Şifreleme, mektupların istenmeyen kişilerce okunabilmesini veya değiştirilmesini engeller. Ayrıca, gönderilen mesajın kaynağının doğrulanması veya mesaj içeriğinin değişmediğinin güvencesinin verilebilmesi amacıyla sayısal imza kullanılabilir.

Kimlik Denetimi

Bazı durumlarda kriptografi elektronik ortamda, fiziksel dünyadaki işlemlerde sahip olduğumuzdan daha fazla güven sağlar. İmzanız taklit edilebilir veya imzaladığınız bir belge değiştirilebilir. Ancak, elektronik imzanız gizli anahtarınız bilinmediği sürece taklit edilemez ve elektronik olarak imzaladığınız bir belge, imzanız belgenin içeriğine de bağlı olduğu için asla değiştirilemez. Kriptografi sadece internet üzerinde değil, telefonlarda, televizyonlarda ve günlük hayatın bir çok alanında kullanılmaktadır. Kriptografi olmasaydı, e-postalarımız okunabilir, telefon konuşmalarımız dinlenebilir, banka hesaplarımızla rahatlıkla oynanabilirdi.

Anahtar Nedir?

Kriptografi algoritmasının şifreleme ve şifre çözme amacıyla kullandığı sayı dizisidir. Anahtar uzunluğu ne kadar büyük olursa şifrenin kırılması o kadar zorlaşır.

Bir algoritmanın kriptografik güvenliği n sayısının bit uzunluğuyla doğru orantılıdır. N sayısının bit uzunluğuna anahtar uzunluğu denir. Yakın zamana kadar 512 bit anahtar uzunluğu standart kabul ediliyordu, ancak artık güvenli kabul edilmiyor ve gelecekte 2048 bit anahtar uzunluğuna kadar ihtiyaç duyulacaktır. 512 bitlik bir anahtar 1999 yılınn Ağustos ayında, internet üzerinden birbirine bağlı çok sayıda bilgisayarın dört aylık çalışması sonucunda çarpanlarına ayrılabildi. Ancak 1024 bitlik bir anahtarın çarpanlarına ayrılması için gereken sürenin bir milyar yıldan fazla olduğu tahmin ediliyor.

Anahtarımız n farklı değer alabiliyorsa, 0 ile n-1 arasında bir sayıyla eşdeş olduğunu düşünmek işimizi kolaylaştıracaktır. Anahtar uzunluğu ifade edilirken n sayısı doğrudan kullanılmaz, onun yerine o tamsayıyı bilgisayar belleğinde saklayabilmek için gerekli olan bit sayısı kullanılır. Bu o sayının 2 tabanındaki logaritmasına eşittir. Eklenen her bit, n sayısını iki ile çarpar. Örneğin, 16 bitlik bir anahtar, 216=65536 değer alabilir.

ABD, anahtar uzunluğu 40 bit’i geçen şifreleme algoritmaları içeren yazılımların ihracını yasaklamıştır. 40 bitlik bir anahtar için n=240 veya n=1 099 511 627 776 (bir trilyon doksan dokuz milyar beşyüz onbir milyon altı yüz yirmi yedi bin yedi yüz yetmiş altı). Bu sayı size çok gelebilir ama 1995’de yapılan bir yarışmada RC4 algoritması ile 40 bitlik bir anahtarla şifrelenmiş WWW üzerinden yapılan bir (boş) kredi kartı işlemi elinde sadece mütevazi bir bilgisayar laboratuvarı olan bir öğrenci tarafından 3 buçuk saatte bulundu.

Bölüm 1: Kriptoloji Nedir?
Bölüm 2: Kriptografide Kullanılan Teknikler ve Kriptografik Uygulamalar
Bölüm 3: Gizli Anahtarlı Kriptografi
Bölüm 4: Açık Anahtarlı Kriptografi
Bölüm 5: Sayısal İmza
Bölüm 6: Şifreleme Algoritmaları
Bölüm 7: SSL (Secure Socket Layer) Nedir?

Not: Bu yazı dizisindeki bilgiler güncelliğini yitirmiş olabilir. Bu yazıları hazırladığım zaman kaynakları yazmadığım için burada belirtemedim.

Print Friendly, PDF & Email

2 yorum

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir