Browse > Home /

| Subcribe RSS

Dijital imza sertifikası, Elektronik İmza’ya Giriş

November 10th, 2010 | No Comments | Posted in Authentication, Encryption

Ben aslında buna en güzel tabiri ile “Dijital Parmak İzi” demeyi tercih ediyorum. Nasıl ki ülkede yaşayan her vatandaşın belirli bir kimlik bilgisi yer alıyorsa, dijital imza sertifikalarını da bunun gibi düşünebilirsiniz. Çalıştığınız kuruma ait giriş kartınız, ehliyet cüzdanınız, arabanıza ya da evinize ait ruhsat bilgilerinizin hepsinde, sahip olunan nesne/araç ya da belirli kişilere ait bir takım bilgiler yer almaktadır. Dijital sertifikalar da aynı prensibe dayanarak, Internet üzerinde kullandığınız hizmetler doğrultusunda yaptığınız işlemleri sizin yaptığınıza dair elektronik olarak işleme konmasına ve kayıt alması prensibine dayanmaktadır.

Yazılımsal soft olarak saklanabildiği gibi (ki bu tercih edilmeyen bir yöntemdir) genellikle güvenlik unsurları nedeniyle Smart Kart ya da USB Token gibi donanımsal cihazların üzerinde oluşturularak saklanması uygun görülen kişiye özel dijital sertifikalara erişim için ayrıca bir şifre belirlenmiştir. Bu çok özel kişisel bilgiye erişmek için kullandığınız hizmet ile donanım cihazı arasında küçük bir yazılım (middleware) çalışır. Belirli standartları destekleyen bu yazılım ve dijital sertifikasyon hizmetleri, örneğin kendi oluşturduğunuz PDF dökümanını imzlayacağınız zaman, çıktı alıp ıslak imza attıktan sonra faks çekmek ya da kargolamak yerine; kullandığınız PDF yazılımının dijital imza standartlarını destekleyen “plug-in” leri yardımıyla, çok kolay ve rahat bir şekilde gerekli dijital imzalarınızı atabilirsiniz. Her ne kadar gerekmese de, bazı dijital imza’lara ek olarak; dökümanlara kendi ıslak imzanızın bir kopyası da grafik olarak eklenebilmektedir.

Benzer bir uygulama yine iş dünyasında sıklıkla kullanılan e-mail gönderme işlemlerinde kullanılır. Mail Client’ınıza önceden tanıttığınız elektronik imzanız, maili gönderirken otomatik olarak –  şifre işlemlerinden sonra -mailin ilgili header’larına eklenerek karşı tarafa iletilmektedir. Böylece karşı taraf e-posta’nın sizden geldiğini bilecek ve güven sorunu ortadan kalkacaktır. Yine aynı şekilde e-posta’larınızı bu yöntem ile şifreleyebilir ve iletim sırasında herhangi bir değişikliğe mağruz kalmamasını sağlayabilirsiniz.

Elektronik sertifikaların çözüm portföyü bir hayli geniş sayılabilir. Buna gerekli elektronik imzanın atıldığı tarih ve saat bilgisini gösteren Zaman Damgası (Özellikle Finansal kurumlar tarafından kullanılır), e-ticaret için kullanılan SSL Sertifika hizmetleri, yine kurumsal olarak belirli sunucu ve istemcilere erişmek için kullanılan SSL-VPN -Network Logon- hizmetleri gibi düşünebilirsiniz.

Fazla teknik bilgilere yer vermeden genel hatlarıyla aktarmaya çalıştığım bu konu, özellikle yakın zaman Türkiye’de devreye giren e-devlet uygulamaları, henüz yasallaşmayan ancak meclisten özellikle 2011 yılında devreye girmesi beklenen KEP – Kayıtlı Elektronik Posta – gibi servis ve uygulamaların artmasıyla çok büyük bir potansiyele sahip.

PKI (Public Key Infrastructure – Açık Anahtar Altyapısı) sistemlerinin bir parçası olan elektronik sertifikalar şu an yasal olarak geçerliliğe sahip, Turktrust gibi  Türkiye’de 4 farklı kurum tarafından verilebilmektedir.

Bir başka yazımda daha detaylı teknik bilgi vermeyi planlıyorum.

Tags: , , , , , , , , ,

DES Şifrelemeyi, Brute Force ile kırmak çocuk oyuncağı

April 13th, 2009 | No Comments | Posted in Encryption, Hacking, Physical Security

Şifreleme ciddi bir tasarım, emek ve öngörü ister. Daha çok PKI dediğimiz platformlarda uygulanan şifreleme yöntemleri kurumsal ölçekte olabileceği gibi, kişisel olarak ta kullanılabilir. Bunun uygulamalı örneğini geçtiğimiz günlerde yazmıştım.

Asimetrik ve simetrik algoritmalardan oluşan genel sistemin başlıca bileşenlerinden biri olan DES (Data Encryption Standard – Bilgi Şifreleme Standardı) algoritması, 1976 senesinde FIPS (Federal information processing Standard) dediğimiz önemli bilgilerin güvenli olarak işlenmesi onayını alarak birçok platformda uygulanmaya başlandı. 56-bit uzunluğunda simetrik bir algoritma olan DES, teknolojiye yenik düştü ve ne yazık ki gücünü yitirerek 🙁 , yerini 3DES ve şimdilerde şifreleme konusunda henüz kırılamayan AES (128 ve 256-bit) algoritmalarına bıraktı. 3DES, AES’ten farklı olarak bünyesinde bilgiyi 3 kere DES yöntemi kullanılarak şifreleme prensibine dayanıyor.

Genel bir bilgi verdikten sonra konumuza dönelim. 56-bit olması nedeniyle diğer algoritmalara nazaran daha zayıf kalan DES algoritması, meşhur Brute Force atağına yenik düşerek, 1 gün içinde (Yaklaşık 22 saat) pes edilebilir hale geldi (Bilinen eski kırma zamanı 10bin dolarlık bir donanım ile 6 gündü). Electronic Frontier Foundation (EFF) tarafından üretilen “DES Cracker” adlı cihaz, kendi bünyesinde barındığı çok hızlı bir kriptografik motoru (Altera Cyclone II FPGA) sayesinde Brute Force tekniğini kullanarak ilgili algoritmayı bir gün içinde (Yaklaşık 22 saat) kırabiliyor ve bulduğu şifreyi ekranındaki minik bir lcd’de görüntülüyor.

Sistemin bu kadar kolay işlediğine aldanmamak gerek. Böyle “custom made” bir cihazı satın almak o kadar da kolay değil. Bütçenizi şöyle bir “250.000 dolarcık” zorlamanız gerekiyor. 😀 Kişilere göre fazla gözükse de, özellikle Siber alemde firmaların birbirleriyle mücadelesinde o kadar da fazla gözükmüyor  8)

Son Sözler…

Burada yazacaklarımın konuyla ilgisi yok ama genel olarak söylemek istiyorum. Her zaman diyoruz, mevcut teknolojilerle bağımlı kalmayın, her zaman bir adım ileride olmayı hedefleyin diye. Buna örnek olarak iyi tasarlanmayan MD5 hash algoritmasının yaklaşık 100’ün üzerinde PlayStation 3 kullanılarak kırıldığına tanık olmuştuk (Gezdiğiniz sitelerindeki bu açıklığı tespit etmek için Firefox için SSL Blacklist eklentisini kurmanızı öneririm). Peki, bundan sonra yapılması gerek bir sonraki SHA-1 hash algoritmasına geçmek mi? – Hiç sanmıyorum. Tamam bu tür sistemleri kırmak için çok emek, işlem gücü ve maddiyat gerekiyor ancak tüm dünyanın kullandığı bir standart oluşturacaksanız, bazı tedbirleri şimdiden almalısınız. Bu konuda Sertifika Otoritelerinin önde gelen firmalarını bundan sonra MD5 hash algoritmasına sahip hiçbir CA’yı bünyelerinde barındırmayacaklarını duyurdular. Bundan sonraki adım benim görüşüme göre SHA-1 değil, bir sonraki adım olan SHA256 olması. Beraberinde bazı donanım yenilemeleri ve bir nebze yavaşlık, kullanım zorlukları getirebilir. Ancak olması gereken budur diye düşünüyorum.

Tags: , , , , ,
  • Site istatistik

    Bugünkü ziyaret: 16
  • Add to Technorati Favorites

    Mail adresinizi girin:



  • Google Connnect
  • RSS DarkHardWare News