Browse > Home / Archive by category 'Encryption'

| Subcribe RSS

Dijital imza sertifikası, Elektronik İmza’ya Giriş

November 10th, 2010 | No Comments | Posted in Authentication, Encryption

Ben aslında buna en güzel tabiri ile “Dijital Parmak İzi” demeyi tercih ediyorum. Nasıl ki ülkede yaşayan her vatandaşın belirli bir kimlik bilgisi yer alıyorsa, dijital imza sertifikalarını da bunun gibi düşünebilirsiniz. Çalıştığınız kuruma ait giriş kartınız, ehliyet cüzdanınız, arabanıza ya da evinize ait ruhsat bilgilerinizin hepsinde, sahip olunan nesne/araç ya da belirli kişilere ait bir takım bilgiler yer almaktadır. Dijital sertifikalar da aynı prensibe dayanarak, Internet üzerinde kullandığınız hizmetler doğrultusunda yaptığınız işlemleri sizin yaptığınıza dair elektronik olarak işleme konmasına ve kayıt alması prensibine dayanmaktadır.

Yazılımsal soft olarak saklanabildiği gibi (ki bu tercih edilmeyen bir yöntemdir) genellikle güvenlik unsurları nedeniyle Smart Kart ya da USB Token gibi donanımsal cihazların üzerinde oluşturularak saklanması uygun görülen kişiye özel dijital sertifikalara erişim için ayrıca bir şifre belirlenmiştir. Bu çok özel kişisel bilgiye erişmek için kullandığınız hizmet ile donanım cihazı arasında küçük bir yazılım (middleware) çalışır. Belirli standartları destekleyen bu yazılım ve dijital sertifikasyon hizmetleri, örneğin kendi oluşturduğunuz PDF dökümanını imzlayacağınız zaman, çıktı alıp ıslak imza attıktan sonra faks çekmek ya da kargolamak yerine; kullandığınız PDF yazılımının dijital imza standartlarını destekleyen “plug-in” leri yardımıyla, çok kolay ve rahat bir şekilde gerekli dijital imzalarınızı atabilirsiniz. Her ne kadar gerekmese de, bazı dijital imza’lara ek olarak; dökümanlara kendi ıslak imzanızın bir kopyası da grafik olarak eklenebilmektedir.

Benzer bir uygulama yine iş dünyasında sıklıkla kullanılan e-mail gönderme işlemlerinde kullanılır. Mail Client’ınıza önceden tanıttığınız elektronik imzanız, maili gönderirken otomatik olarak –  şifre işlemlerinden sonra -mailin ilgili header’larına eklenerek karşı tarafa iletilmektedir. Böylece karşı taraf e-posta’nın sizden geldiğini bilecek ve güven sorunu ortadan kalkacaktır. Yine aynı şekilde e-posta’larınızı bu yöntem ile şifreleyebilir ve iletim sırasında herhangi bir değişikliğe mağruz kalmamasını sağlayabilirsiniz.

Elektronik sertifikaların çözüm portföyü bir hayli geniş sayılabilir. Buna gerekli elektronik imzanın atıldığı tarih ve saat bilgisini gösteren Zaman Damgası (Özellikle Finansal kurumlar tarafından kullanılır), e-ticaret için kullanılan SSL Sertifika hizmetleri, yine kurumsal olarak belirli sunucu ve istemcilere erişmek için kullanılan SSL-VPN -Network Logon- hizmetleri gibi düşünebilirsiniz.

Fazla teknik bilgilere yer vermeden genel hatlarıyla aktarmaya çalıştığım bu konu, özellikle yakın zaman Türkiye’de devreye giren e-devlet uygulamaları, henüz yasallaşmayan ancak meclisten özellikle 2011 yılında devreye girmesi beklenen KEP – Kayıtlı Elektronik Posta – gibi servis ve uygulamaların artmasıyla çok büyük bir potansiyele sahip.

PKI (Public Key Infrastructure – Açık Anahtar Altyapısı) sistemlerinin bir parçası olan elektronik sertifikalar şu an yasal olarak geçerliliğe sahip, Turktrust gibi  Türkiye’de 4 farklı kurum tarafından verilebilmektedir.

Bir başka yazımda daha detaylı teknik bilgi vermeyi planlıyorum.

Tags: , , , , , , , , ,

DES Şifrelemeyi, Brute Force ile kırmak çocuk oyuncağı

April 13th, 2009 | No Comments | Posted in Encryption, Hacking, Physical Security

Şifreleme ciddi bir tasarım, emek ve öngörü ister. Daha çok PKI dediğimiz platformlarda uygulanan şifreleme yöntemleri kurumsal ölçekte olabileceği gibi, kişisel olarak ta kullanılabilir. Bunun uygulamalı örneğini geçtiğimiz günlerde yazmıştım.

Asimetrik ve simetrik algoritmalardan oluşan genel sistemin başlıca bileşenlerinden biri olan DES (Data Encryption Standard – Bilgi Şifreleme Standardı) algoritması, 1976 senesinde FIPS (Federal information processing Standard) dediğimiz önemli bilgilerin güvenli olarak işlenmesi onayını alarak birçok platformda uygulanmaya başlandı. 56-bit uzunluğunda simetrik bir algoritma olan DES, teknolojiye yenik düştü ve ne yazık ki gücünü yitirerek 🙁 , yerini 3DES ve şimdilerde şifreleme konusunda henüz kırılamayan AES (128 ve 256-bit) algoritmalarına bıraktı. 3DES, AES’ten farklı olarak bünyesinde bilgiyi 3 kere DES yöntemi kullanılarak şifreleme prensibine dayanıyor.

Genel bir bilgi verdikten sonra konumuza dönelim. 56-bit olması nedeniyle diğer algoritmalara nazaran daha zayıf kalan DES algoritması, meşhur Brute Force atağına yenik düşerek, 1 gün içinde (Yaklaşık 22 saat) pes edilebilir hale geldi (Bilinen eski kırma zamanı 10bin dolarlık bir donanım ile 6 gündü). Electronic Frontier Foundation (EFF) tarafından üretilen “DES Cracker” adlı cihaz, kendi bünyesinde barındığı çok hızlı bir kriptografik motoru (Altera Cyclone II FPGA) sayesinde Brute Force tekniğini kullanarak ilgili algoritmayı bir gün içinde (Yaklaşık 22 saat) kırabiliyor ve bulduğu şifreyi ekranındaki minik bir lcd’de görüntülüyor.

Sistemin bu kadar kolay işlediğine aldanmamak gerek. Böyle “custom made” bir cihazı satın almak o kadar da kolay değil. Bütçenizi şöyle bir “250.000 dolarcık” zorlamanız gerekiyor. 😀 Kişilere göre fazla gözükse de, özellikle Siber alemde firmaların birbirleriyle mücadelesinde o kadar da fazla gözükmüyor  8)

Son Sözler…

Burada yazacaklarımın konuyla ilgisi yok ama genel olarak söylemek istiyorum. Her zaman diyoruz, mevcut teknolojilerle bağımlı kalmayın, her zaman bir adım ileride olmayı hedefleyin diye. Buna örnek olarak iyi tasarlanmayan MD5 hash algoritmasının yaklaşık 100’ün üzerinde PlayStation 3 kullanılarak kırıldığına tanık olmuştuk (Gezdiğiniz sitelerindeki bu açıklığı tespit etmek için Firefox için SSL Blacklist eklentisini kurmanızı öneririm). Peki, bundan sonra yapılması gerek bir sonraki SHA-1 hash algoritmasına geçmek mi? – Hiç sanmıyorum. Tamam bu tür sistemleri kırmak için çok emek, işlem gücü ve maddiyat gerekiyor ancak tüm dünyanın kullandığı bir standart oluşturacaksanız, bazı tedbirleri şimdiden almalısınız. Bu konuda Sertifika Otoritelerinin önde gelen firmalarını bundan sonra MD5 hash algoritmasına sahip hiçbir CA’yı bünyelerinde barındırmayacaklarını duyurdular. Bundan sonraki adım benim görüşüme göre SHA-1 değil, bir sonraki adım olan SHA256 olması. Beraberinde bazı donanım yenilemeleri ve bir nebze yavaşlık, kullanım zorlukları getirebilir. Ancak olması gereken budur diye düşünüyorum.

Tags: , , , , ,

Kişisel PC Güvenliği’ne Örnek Uygulama: Security In A Box ®

Kişisel PC Güvenliği özellikle kullanıcıların üzerinde durması gereken bir konu. Bu alandaki ilk ürün tanıtımını yapacağım. Silicon Vadisi’nde yeralan ve Güvenlik sektöründe özellikle Kimlik Yönetimi üzerine faaliyet gösteren SPYRUS firmasının ürünü olan Security In A Box ®,  USB Token ve Smart Kartlarla birlikte kullanılabilen bir güvenlik yazılımı.

Rosetta model USB ya da Smart Kartlarla kullanabileceğiniz yazılım, çok güçlü güvenlik öğeleri içererek, PC’nizi koruma altına alıyor. Peki korumada kasıt derken, ne demek istiyorum, hemen açıklayayım.  Önemli dosyalarınızı şifreleyip,  sadece sizin açmanızı sağlıyor. Windows giriş şifrelerinizi unutmanıza aldırmıyor, ilgili donanım ürününe entegre olarak kendi üzerinde saklıyor. Güvenli E-posta göndermenizi sağlıyor, dijital sertifikalarını yönetmenizi sağlıyor ve en önemlilerinden bir tanesi olan dosyalarını şifreleme aracıyla beraberinde geliyor. Tüm bu işlemleri herhangi bir güvenlik bilgisine gerek duymadan kolaylıkla yapabilirsiniz. Daha çok ev kullanımı için olsa da, ilgili CA (Sertifika Otoritesi) ile Public Key Infrastructure (PKI) ortamlarında kurumsal olarak ta kullanılabilen bir yazılım, Security In A Box ®.

Öncelikle yazılım ile kullanılan donanımların güvenlik öğelerinden bahsetmek istiyorum. Rosetta USB token ve Smart Kartlar FIPS 140-2 L2 ve L3 güvenlik sertifikalarına sahiptirler. Konuya vakıf olmayanlar için hatırlatmakta fayda var. Bu gibi sertifikasyonlar, ilgili dijital sertifikaların güvenli olarak oluşturulduğunun bir kanıtıdır ve dışarıdan herhangi fiziksel ya da yazılımsal hacklenme olasılıklarına karşı tam korumalıdırlar.

Security In A Box Güvenlik yazılımının Genel Özellikleri

  • Ek olarak Donanımsal koruma ile Dijital imza, log-on ve şifreleme işlemleri için 2 yönlü erişim desteği sağlar
  • Kişiye özeldir. Kullanılan işlemler sizden başkası tarafından yapılamaz.
  • Adım adım kurulum ile kullanıcı dostudur, herhangi bir güvenlik bilgisi gerektirmez
  • 100MB’a kadar olan dosyalarınızı şifreleyerek,  kırılması mümkün olmayan şifreleme özelliği sağlar
  • Oluşturulan Dijital Sertifikalar, güvenlik anahtarlarını denetler
  • Yetkisiz 10 şifre girişinden sonra PIN bloklama sağlar
  • Unutulan PIN için Recovery özellikleri sağlar
  • Cihaz üzerinde FIPS normlarında  RSA-1024 ya da 2048bitlik anahtar çiftleri oluşturur
  • Microsoft Güvenlik Uygulamaları ile tam uyumludur
  • PC başından kalktığınız zaman otomatik olarak sistemin kilitlenmesini sağlar

Desteklenen Kripto Algoritmalarıyla ilgili Teknik Bilgiler:
Digital Signature Algorithm – RSA (1024-bit/2048-bit) ve DSA (1024 bit)
Key Exchange – RSA (1024/2048-bit)
Symmetric – Triple-DES (ECB, CBC, MAC)
AES 128/192/256 symmetric key algorithms
Secure Hash Algorithms – SHA-1 ve SHA-224/256/384/512
MD5 hash algorithm

Adım Adım Uygulama Safhaları

İlk aşamada donanım cihazımıza erişmek için 1 ile 10 haneli bir PIN kodu belirliyoruz. Tavsiyem 8 haneli bir PIN girmeniz olacaktır.

Alttaki resimde, PIN unutmalarına karşı geliştiren Recovery özelliğini görüyorsunuz. Recovery özelliği bilgisayarınızda bir dosya halinde şifreli olarak tutuluyor. Bu dosyayı çok iyi saklamalısınız, aksi halde unuttuğunuz PIN ile birlikte bir daha şifrelediğiniz dosyalara ve yetkili tüm işlemleri yapamazsınız.

2. aşama olarak opsiyonel olarak Windows kullanıcı yetkisi tanımlıyorsunuz. Kullanıcı adı ve şifrenizi (ve varsa bağlı olunan Domain adı) girdikten sonra bir sonraki adıma geçebilir ya da bu opsiyonel özelliği boş geçebilirsiniz.

Bu işlemleri yaptıktan sonra oluşturacağımız Dijital Sertifika kısmına geçebiliriz. Eğer var ise dışarıdan PKCS formatındaki herhangi bir sertifikayı import edebilir ya da donanımsal olarak yeni bir dijital sertifika oluşturmak için; “Request and Load New Certificate” kısmına tik atabilirsiniz.

Şimdiki adımda gerekli kişisel bilgilerimizi gireceğiz. Bu bilgiler özellikle Güvenli E-mail gönderme gibi işlemler için önem arzediyor. İlgili mesajlarınızı bu sertifika ile imzalarken ya da şifrelerken bu dijital sertifikayı kullanacağımızdan, özellikle karşı taraftaki kişinin aldığı mesajın sizin tarafından yollandığına emin olması  gerekiyor. Ayrıca ekranda görünmese de sertifikanızın boyutu ve kaç sene geçerli kalacağı da önem arzediyor. Bu konuda özellikle mevcut CA’lardan (Sertifika Otoritesi) yardım alabilirsiniz. Türkiye’de bu konuda faaliyet gösteren Turktrust ve E-Güven gibi firmalar bulunuyor. Ancak ticari amaçları doğrultusunda bu firmalar, kendilerinin kullandığı CA’ları kullanmanıza izin vermeyebilir. Bu firmaların size gönderdiği Token ve Smart Kart’larda aynı prensipte üretilerek, tarafınıza sağlanır. Ancak özellikle donanım cihazları konusunda pek güvenli olduklarını düşünmüyorum (Tamamen kişisel görüşümdür).

Son olarak son resimde gördüğünüz kısımdan şifrelemek istediğiniz dökümanlarınızın ayarlarını yapacağız. Bu kısımda özellikle ilgili dosyayı şifreledikten sonra silebilirsiniz. Bu tamamen sizin tercihiniz olmakla birlikte, cihazla birlikte sunulan birden fazla sertifika desteği sayesinde, kullanıcı profilleri oluşturarak; şifrelemenin kullanılacağı User Listeleri oluşturabilirsiniz. Şifreleme gerçekleştirilen dosyanın uzantısı SDD olarak belirlenir. Yalnız bu noktada unutmamanız gereken bir nokta var. Eğer bir şekilde PIN kodunuzu unutur ve Recovery planı yapmasanız, şifrelediğiniz veriler yüksek standartlarda şifrelendiği için, bu verileri ASLA geri getiremezsiniz.

Security In A Box ® yazılımını genel olarak açıklamaya ve konu hakkında bilgi sahibi olmanız açısından elimden geldiğince anlaşılabilir bir yazı yazdım. Sorularınız olursa, çekinmeden sorabilirsiniz.

Tags: , , ,

Bu şifreyi çözene ödül var

February 19th, 2009 | 1 Comment | Posted in Encryption

1911 senesinde aşık bir kadının sevgilisine yazdığı mesaj detayları aşağıda verilmiştir. Tahmin edebileceğiniz gibi mesaj şifreli. Açıklaması da aşağıda. Leydi’den başkası mesajı çözememiş. Hadi bakalım gösterin hünerlerinizi 🙂

This message was originally written in pigpen in 1911 to a lady about
to marry someone other that the guy that wrote this coded message.

No one — including the lady was able to figure out what it said. It
is line for line how it was written on the postcard. Two letters on the second line
before the “c” were unreadable and one letter after the xd on the same
line also. Capitals were put in by word.

Ocqqm.hikkd.
Odva.—c.xd-.
Rag.
Lipcapk.odmc
Tdu.wlc,satc. sat
Hikkiktdu.dniwc
Woc.bank.c.fdy.
Deuwc.qiqc.ylis.
Qdyc.is.aqzatw.
Unyc.aps.ufau, is.
Zoti.qdyc.tdu. aps,
Sddp,lndg.tdun.
Svcc.wocans.
Lnyph.szah

this is much more about security, Money :)

February 3rd, 2009 | No Comments | Posted in Encryption


Güzel mantık 🙂

Donanımsal Full Disk Encryption teknolojisi çok yakında geliyor

January 29th, 2009 | No Comments | Posted in Encryption

Özellikle mobil kullanıcılar dizüstülerinde bulunan bilgilerin bir şekilde güvenli olarak saklanmasını isterler. Bunun esas amacı tabii ki dizüstülerin, masaüstü bilgisayarlara nazaran daha fazla risk altında olduğudur. Bu bilgilerin korunmasının bir yolu da FDE yani tam disk şifreleme teknolojisini destekleyen yazılımlardan geçiyor. Bu alanda çeşitli firmaların sunduğu çok farklı çözümler olsa da, konu genel olarak donanımsal olarak desteklenmediği sürece tam olarak efektif olması beklenemiyor. Bu gibi ürünlerin ilk örneklerini Seagate (AES şifreleme – FIPS onay detayları da burada) firması vermişti ( Secude firmasının FinallySecure paketi ile) ancak görünen o ki, tüm sabit disk üreticileri tek bir standart altında birleşme kararı almışlar.

Dünya’nın önde gelen 6 sabit disk üreticisi, tek bir full disk encryption standartı belirlemek için bir araya geldiler. Bu standart, sadece bildiğimiz normal sabit disklerle sınırlı kalmayarak, SSD ve şifreleme anahtar yönetimi uygulamalarını da kapsayacak ölçekte bir yapı gerçekleştirilecek.


Örnek vermek gerekirse, USB belleğinizi yuvasından çıkardığınızda, dizüstünüzün gücü (pili) tükendiğinde ya da bir admin’in sunuculardaki diskleri sökmesi sonucu devreye girecek olan sistem; sadece güçlü kriptografik şifreyi bilen kişiler tarafından okunabilecek (Peki bu şifreler nerede saklanacak? – yazının sonundaki linke bir gözatın). Sürücü hiçbir şekilde formatlanamayacak ya da eBay gibi açık arttırma sitelerinde satılamayacak.

Üreticiler şu an bu standart üzerinde çalışadursun, bazı söylemlere göre bu gibi güvenlik özellikleri firmware güncellemesi ile devreye sokulabilecek. Amaç ise belli; üretim maliyetlerini düşürerek, güvenlik teknolojilerini en üst düzeye çıkarmak. Şahsi görüşüm; bu gibi ürünler uygun yazılımlarla birleştirildiğinde daha efektif olarak kullanılacağını düşünüyorum. Sebebini daha önce dile getirdiğim Cold Boot attack yazımda okuyabilirsiniz.

Üreticiler kendi seçimlerine bağlı olarak henüz kırılamayan AES 128-bit ya da AES 256-bit şifreleme algoritmalarını kullanabilecek. Standartlar hakkında fikir birliği yapan şu firmalar bulunuyor: Fujitsu, Hitachi GST, Seagate Technology, Samsung, Toshiba, Western Digital, Wave Systems, LSI Logic, UNLINK Technology ve IBM.

Cold Boot Attacks on Encryption Keys

February 27th, 2008 | 3 Comments | Posted in Encryption, Hacking

Dünyada popüler olarak kullanılan BitLocker, FileVault ve yeni çıkardığı sürümüyle birçok kişi tarafından kullanılan TrueCrypt yazılımları, verilerinizi şifreleyerek güvenli olarak bilgisayarınızda tutar ve sizin izniniz olmadan kimse bu verileri okuyamaz. Çok fazla detay verip kafanızı karıştırmak istemiyorum, bu nedenle direkt olarak konuya gireceğim.

DRAM teknolojisi sektörün ileri gelen alanlarında kullanıyor. Öncelikle RAM’ i genel olarak tanımlarsak, yaptığımız işlemlerin geçici bir süre üzerinde çalışmasını sağlayan ve üzerindeki bilgilerin geçici olarak tutulduğu bellekler diyebiliriz. Kullandıkları çip kalitelerine göre hızlı olmalarının yanında, özellikle bilgisayar kapandıktan sonra üzerinde tutulan bilgilerin gittiğini sanıyorsanız, size koca bir HAYIR cevabı verebilirim. Bunun sebebi ise yuarıda bahsettiğim çip kalitelerine bağlı olarak, güç kesildiğinde verilerin bir süre daha DRAM’lerin üzerinde tutulduğu. Bellekleri sıvı nitrojen yardımıyla soğutarak (-50 | -190) bu süreyi daha da artırmanız mümkün. Örnek çalışmayı izlemek için tıklayın.

Bu sorun yukarıda bahsettiğim disk şifreleme yazılımları için bir sorun teşkil ediyor. Çünkü bu tip programlar “master decryption key” lerini DRAM üzerinde tutuyorlar ve genellikle güvenli olduğu düşünülür. Çünkü işletim sistemleri kötü niyetli programların anahtarlara(keys) ulaşmasını engeller. Ve bu anahtarları silmenin tek yolu bilgisayarın gücünü kesmektir.

Bu konuda araştırma yapan Princeton Üniversitesi IT grubu, ram çiplerini soğutarak bilgilerin bir süre daha ram üzerinde kalmasını sağlamış ve sistemi kötü niyetli işletim sistemiyle boot ederek, ram üzerindeki verilere ulaşarak, boot edilen harici disk ile anahtarları çözmeyi başarmış. İlgili videoyu izlemek için tıklayın.

İlgili makaleyi okumak isterseniz : http://citp.princeton.edu.nyud.net/pub/coldboot.pdf

Karşı tedbir olarak PGP tarafından bir haber yayınlandı. Önümüzdeki günlerde ayrıntıları aktaracağım.

  • Site istatistik

    Bugünkü ziyaret: 31
  • Add to Technorati Favorites

    Mail adresinizi girin:



  • Google Connnect
  • RSS DarkHardWare News