Browse > Home / Archive by category 'Authentication'

| Subcribe RSS

Dijital imza sertifikası, Elektronik İmza’ya Giriş

November 10th, 2010 | No Comments | Posted in Authentication, Encryption

Ben aslında buna en güzel tabiri ile “Dijital Parmak İzi” demeyi tercih ediyorum. Nasıl ki ülkede yaşayan her vatandaşın belirli bir kimlik bilgisi yer alıyorsa, dijital imza sertifikalarını da bunun gibi düşünebilirsiniz. Çalıştığınız kuruma ait giriş kartınız, ehliyet cüzdanınız, arabanıza ya da evinize ait ruhsat bilgilerinizin hepsinde, sahip olunan nesne/araç ya da belirli kişilere ait bir takım bilgiler yer almaktadır. Dijital sertifikalar da aynı prensibe dayanarak, Internet üzerinde kullandığınız hizmetler doğrultusunda yaptığınız işlemleri sizin yaptığınıza dair elektronik olarak işleme konmasına ve kayıt alması prensibine dayanmaktadır.

Yazılımsal soft olarak saklanabildiği gibi (ki bu tercih edilmeyen bir yöntemdir) genellikle güvenlik unsurları nedeniyle Smart Kart ya da USB Token gibi donanımsal cihazların üzerinde oluşturularak saklanması uygun görülen kişiye özel dijital sertifikalara erişim için ayrıca bir şifre belirlenmiştir. Bu çok özel kişisel bilgiye erişmek için kullandığınız hizmet ile donanım cihazı arasında küçük bir yazılım (middleware) çalışır. Belirli standartları destekleyen bu yazılım ve dijital sertifikasyon hizmetleri, örneğin kendi oluşturduğunuz PDF dökümanını imzlayacağınız zaman, çıktı alıp ıslak imza attıktan sonra faks çekmek ya da kargolamak yerine; kullandığınız PDF yazılımının dijital imza standartlarını destekleyen “plug-in” leri yardımıyla, çok kolay ve rahat bir şekilde gerekli dijital imzalarınızı atabilirsiniz. Her ne kadar gerekmese de, bazı dijital imza’lara ek olarak; dökümanlara kendi ıslak imzanızın bir kopyası da grafik olarak eklenebilmektedir.

Benzer bir uygulama yine iş dünyasında sıklıkla kullanılan e-mail gönderme işlemlerinde kullanılır. Mail Client’ınıza önceden tanıttığınız elektronik imzanız, maili gönderirken otomatik olarak –  şifre işlemlerinden sonra -mailin ilgili header’larına eklenerek karşı tarafa iletilmektedir. Böylece karşı taraf e-posta’nın sizden geldiğini bilecek ve güven sorunu ortadan kalkacaktır. Yine aynı şekilde e-posta’larınızı bu yöntem ile şifreleyebilir ve iletim sırasında herhangi bir değişikliğe mağruz kalmamasını sağlayabilirsiniz.

Elektronik sertifikaların çözüm portföyü bir hayli geniş sayılabilir. Buna gerekli elektronik imzanın atıldığı tarih ve saat bilgisini gösteren Zaman Damgası (Özellikle Finansal kurumlar tarafından kullanılır), e-ticaret için kullanılan SSL Sertifika hizmetleri, yine kurumsal olarak belirli sunucu ve istemcilere erişmek için kullanılan SSL-VPN -Network Logon- hizmetleri gibi düşünebilirsiniz.

Fazla teknik bilgilere yer vermeden genel hatlarıyla aktarmaya çalıştığım bu konu, özellikle yakın zaman Türkiye’de devreye giren e-devlet uygulamaları, henüz yasallaşmayan ancak meclisten özellikle 2011 yılında devreye girmesi beklenen KEP – Kayıtlı Elektronik Posta – gibi servis ve uygulamaların artmasıyla çok büyük bir potansiyele sahip.

PKI (Public Key Infrastructure – Açık Anahtar Altyapısı) sistemlerinin bir parçası olan elektronik sertifikalar şu an yasal olarak geçerliliğe sahip, Turktrust gibi  Türkiye’de 4 farklı kurum tarafından verilebilmektedir.

Bir başka yazımda daha detaylı teknik bilgi vermeyi planlıyorum.

Tags: , , , , , , , , ,

Türkiye Avrupa Birliği kapsamında Dijital Takograf Sistemi’ne geçiyor

September 3rd, 2010 | No Comments | Posted in Authentication, Kimlik Yönetimi

Güvenlik hayat kalitemizi ve dolaylı olarak yaşam biçimimizi şekillendiren unsurlar arasında yer alırken, özellikle trafik güvenliği birçok alanda daha önemli bir rol oynuyor. Bu kapsamda Avrupa Birliği kapsamında yer alan 3821/85/AET tüzük gereğince, diğer ülkelerde kullanılmaya başlanan Dijital Takograf Sistemi, Türkiye için 2010 senesi itibariyle yürürlüğe giriyor. Bu uyum süreci en basit ve genel anlamda 3821/85/AET ve 561/2006/AET sayılı tüzükler doğrultusunda, azami ağırlığı 3,5 tonu geçen bir araçla taşımacılık yapan her sürücünün, kayıt cihazı yani digital takograf kullanması zorunlu hale geliyor.

Aslında AB, 1 Mayıs 2006’dan itibaren, üye ülkelerdeki yeni araçlarda sayısal (dijital) takograf kullanılmasını zorunla hale getirdi. Uyum süresince büyük ihtimalle bürokrotik işlemlere mağruz kalan bu uygulama, ülkemizde sene sonuna doğru faaliyete geçmesi bekleniyor.

Peki bu uygulama sisteme ne gibi yararlar sağlıyor?

  • Yeni araçların plaka gibi tanım bilgilerinin yetkili servisler tarafından digital takografa işlenmiş olması gerekiyor
  • Şoför kartı verilerinin en geç her 28 günde bir elektronik olarak indirilmesi ve arşivlenmesi gerekiyor
  • Araç verilerinin en geç her 3 ayda bir elektronik olarak indirilmesi ve arşivlenmesi gerekiyor
  • Firmanın nakliye sorumlusunun bu bilgileri düzenli olarak takip ederek sürüş saatlerinin ve diğer tüm bilgilerin doğruluğu ve sağlamlığından emin olması, ihlal durumlarında sürücüyü bilgilendirerek uyarması gerekiyor
  • Verinin güvenliğinin sağlanması amacıyla verilerin düzenli olarak arşivlenerek yedeklenmesi gerekiyor
  • Gerekli olduğunda incelenebilmesi amacıyla, tüm sürücü ve araç bilgilerinin en az 1 yıl süre ile araç dışında elektronik olarak saklanması ve arşivlenmesi gerekiyor

Maddelerin bazılarından görebileceğiniz gibi, tüm kayıtlar analog yerine dijital ortamlarda saklanıyor. Böylece şöförlerin ilgili takograflara herhangi bir şekilde müdahalesi mümkün olmuyor ve araçların yaptıkları km’lerden tutun da, ne zaman ve nerede mola verdiklerine kadar pekçok bilgi, şöförlere özel olarak sağlanan bu dijital kartlarda saklanıyor. Türkiye’de ortalama 500.000 adet taşımacılık yapan araç olduğu düşünüldüğünde, dijital takograf kullanımı konusunda ciddi bir eğitime ve uyum sürecine ihtiyaç olduğu açıkça görülüyor.

Güvenlik anlamında dijital sertifikasyon süreçleri yine adını vermeyeceğim bazı HSM ‘lerle sağlanıyor. AB’nin Root CA’nin yanında her ülkenin gerekli şartlar ve kurallar doğrultusunda oluşturulan Sub-CA dediğimiz, o ülkeye ait bir Sub-Root CA bulunuyor ve tüm şöförlere dağıtlacak olan kartlarda yer alan dijital sertifikalar bu CA ile oluşturuluyor. Eğer sistemi teknik olarak incelemek isterseniz ilgili tüm şartlara Digital Tachograph SystemEuropean Root Policy dökümanından ulaşabilirsiniz.

Proje başarılı bir şekilde oluşturuldu ve hayata geçmek üzere.  Türkiye ve taşımacılık sektörü adına sağlıklı ve ileriye dönük olarak başarılı bir proje olacağına gönülden inanıyorum.

Tags: , , ,

GMail’de güvenlik güncellemesi: https her zaman aktif hale geldi

January 14th, 2010 | No Comments | Posted in Authentication, Güvenlik

2009’un mayıs ayında yazdığım yazıda, gmail’e login olurken kullandığım bilgilerin plain text olduğunu farketmiş ve bunun üzerine mail ayarlarımdan güvenlik öğeleri sekmesinde https protokolünü kendim manuel olarak aktif etmiştim. Bu güvenlik aktifliğinden sonra, adres çubuğunda http yerine https yani “Secure http” aktif olarak, girdiğim bilgilerin gmail’e ulaşırken şifrelendiği güvenini duyuyordum.

More »

Tags: , , , ,

Windows 7 İşletim Sisteminin Güvenlik Özellikleri

Windows 7  İşletim Sistemi’nin neler getirdiklerini daha önceki yazımda kabaca anlatmaya çalışmıştım. Şimdi ise bu özelliklerin özellikle güvenlik yöneticileri ve adminler üzerinde neler getireceklerine değineceğim. Bakalım User Access Control (UAC), Applocker ve Bitlocker ile Windows 7’yi şahlandırabilecek miyiz?

Henüz layığı ile testlere başlayamadım ancak internet üzerinden incelediğim kadarıyla Windows 7, özellikle Server 2008 R2 ile kullandığı zaman bir hayli etkili kullanılıyor. Bu özelliklere kabaca bir gözatalım:
More »

Tags: , , , , , , , ,

Kişisel PC Güvenliği’ne Örnek Uygulama: Security In A Box ®

Kişisel PC Güvenliği özellikle kullanıcıların üzerinde durması gereken bir konu. Bu alandaki ilk ürün tanıtımını yapacağım. Silicon Vadisi’nde yeralan ve Güvenlik sektöründe özellikle Kimlik Yönetimi üzerine faaliyet gösteren SPYRUS firmasının ürünü olan Security In A Box ®,  USB Token ve Smart Kartlarla birlikte kullanılabilen bir güvenlik yazılımı.

Rosetta model USB ya da Smart Kartlarla kullanabileceğiniz yazılım, çok güçlü güvenlik öğeleri içererek, PC’nizi koruma altına alıyor. Peki korumada kasıt derken, ne demek istiyorum, hemen açıklayayım.  Önemli dosyalarınızı şifreleyip,  sadece sizin açmanızı sağlıyor. Windows giriş şifrelerinizi unutmanıza aldırmıyor, ilgili donanım ürününe entegre olarak kendi üzerinde saklıyor. Güvenli E-posta göndermenizi sağlıyor, dijital sertifikalarını yönetmenizi sağlıyor ve en önemlilerinden bir tanesi olan dosyalarını şifreleme aracıyla beraberinde geliyor. Tüm bu işlemleri herhangi bir güvenlik bilgisine gerek duymadan kolaylıkla yapabilirsiniz. Daha çok ev kullanımı için olsa da, ilgili CA (Sertifika Otoritesi) ile Public Key Infrastructure (PKI) ortamlarında kurumsal olarak ta kullanılabilen bir yazılım, Security In A Box ®.

Öncelikle yazılım ile kullanılan donanımların güvenlik öğelerinden bahsetmek istiyorum. Rosetta USB token ve Smart Kartlar FIPS 140-2 L2 ve L3 güvenlik sertifikalarına sahiptirler. Konuya vakıf olmayanlar için hatırlatmakta fayda var. Bu gibi sertifikasyonlar, ilgili dijital sertifikaların güvenli olarak oluşturulduğunun bir kanıtıdır ve dışarıdan herhangi fiziksel ya da yazılımsal hacklenme olasılıklarına karşı tam korumalıdırlar.

Security In A Box Güvenlik yazılımının Genel Özellikleri

  • Ek olarak Donanımsal koruma ile Dijital imza, log-on ve şifreleme işlemleri için 2 yönlü erişim desteği sağlar
  • Kişiye özeldir. Kullanılan işlemler sizden başkası tarafından yapılamaz.
  • Adım adım kurulum ile kullanıcı dostudur, herhangi bir güvenlik bilgisi gerektirmez
  • 100MB’a kadar olan dosyalarınızı şifreleyerek,  kırılması mümkün olmayan şifreleme özelliği sağlar
  • Oluşturulan Dijital Sertifikalar, güvenlik anahtarlarını denetler
  • Yetkisiz 10 şifre girişinden sonra PIN bloklama sağlar
  • Unutulan PIN için Recovery özellikleri sağlar
  • Cihaz üzerinde FIPS normlarında  RSA-1024 ya da 2048bitlik anahtar çiftleri oluşturur
  • Microsoft Güvenlik Uygulamaları ile tam uyumludur
  • PC başından kalktığınız zaman otomatik olarak sistemin kilitlenmesini sağlar

Desteklenen Kripto Algoritmalarıyla ilgili Teknik Bilgiler:
Digital Signature Algorithm – RSA (1024-bit/2048-bit) ve DSA (1024 bit)
Key Exchange – RSA (1024/2048-bit)
Symmetric – Triple-DES (ECB, CBC, MAC)
AES 128/192/256 symmetric key algorithms
Secure Hash Algorithms – SHA-1 ve SHA-224/256/384/512
MD5 hash algorithm

Adım Adım Uygulama Safhaları

İlk aşamada donanım cihazımıza erişmek için 1 ile 10 haneli bir PIN kodu belirliyoruz. Tavsiyem 8 haneli bir PIN girmeniz olacaktır.

Alttaki resimde, PIN unutmalarına karşı geliştiren Recovery özelliğini görüyorsunuz. Recovery özelliği bilgisayarınızda bir dosya halinde şifreli olarak tutuluyor. Bu dosyayı çok iyi saklamalısınız, aksi halde unuttuğunuz PIN ile birlikte bir daha şifrelediğiniz dosyalara ve yetkili tüm işlemleri yapamazsınız.

2. aşama olarak opsiyonel olarak Windows kullanıcı yetkisi tanımlıyorsunuz. Kullanıcı adı ve şifrenizi (ve varsa bağlı olunan Domain adı) girdikten sonra bir sonraki adıma geçebilir ya da bu opsiyonel özelliği boş geçebilirsiniz.

Bu işlemleri yaptıktan sonra oluşturacağımız Dijital Sertifika kısmına geçebiliriz. Eğer var ise dışarıdan PKCS formatındaki herhangi bir sertifikayı import edebilir ya da donanımsal olarak yeni bir dijital sertifika oluşturmak için; “Request and Load New Certificate” kısmına tik atabilirsiniz.

Şimdiki adımda gerekli kişisel bilgilerimizi gireceğiz. Bu bilgiler özellikle Güvenli E-mail gönderme gibi işlemler için önem arzediyor. İlgili mesajlarınızı bu sertifika ile imzalarken ya da şifrelerken bu dijital sertifikayı kullanacağımızdan, özellikle karşı taraftaki kişinin aldığı mesajın sizin tarafından yollandığına emin olması  gerekiyor. Ayrıca ekranda görünmese de sertifikanızın boyutu ve kaç sene geçerli kalacağı da önem arzediyor. Bu konuda özellikle mevcut CA’lardan (Sertifika Otoritesi) yardım alabilirsiniz. Türkiye’de bu konuda faaliyet gösteren Turktrust ve E-Güven gibi firmalar bulunuyor. Ancak ticari amaçları doğrultusunda bu firmalar, kendilerinin kullandığı CA’ları kullanmanıza izin vermeyebilir. Bu firmaların size gönderdiği Token ve Smart Kart’larda aynı prensipte üretilerek, tarafınıza sağlanır. Ancak özellikle donanım cihazları konusunda pek güvenli olduklarını düşünmüyorum (Tamamen kişisel görüşümdür).

Son olarak son resimde gördüğünüz kısımdan şifrelemek istediğiniz dökümanlarınızın ayarlarını yapacağız. Bu kısımda özellikle ilgili dosyayı şifreledikten sonra silebilirsiniz. Bu tamamen sizin tercihiniz olmakla birlikte, cihazla birlikte sunulan birden fazla sertifika desteği sayesinde, kullanıcı profilleri oluşturarak; şifrelemenin kullanılacağı User Listeleri oluşturabilirsiniz. Şifreleme gerçekleştirilen dosyanın uzantısı SDD olarak belirlenir. Yalnız bu noktada unutmamanız gereken bir nokta var. Eğer bir şekilde PIN kodunuzu unutur ve Recovery planı yapmasanız, şifrelediğiniz veriler yüksek standartlarda şifrelendiği için, bu verileri ASLA geri getiremezsiniz.

Security In A Box ® yazılımını genel olarak açıklamaya ve konu hakkında bilgi sahibi olmanız açısından elimden geldiğince anlaşılabilir bir yazı yazdım. Sorularınız olursa, çekinmeden sorabilirsiniz.

Tags: , , ,
  • Site istatistik

    Bugünkü ziyaret: 26
  • Add to Technorati Favorites

    Mail adresinizi girin:



  • Google Connnect
  • RSS DarkHardWare News