- 24 Kas 2007
- 2,188
- 14
Kriptoloji Nedir?
Kriptoloji kelimesi, köken olarak eski Yunanca'da yer alan "kryptos logos" kelimelerinden gelmektedir. "kryptos" kelimesi "gizli dünya" anlamını, "logos" ise sebep-sonuç ilişkisi kurma, mantıksal çözümleme alanı anlamını taşımaktadır. Kelimenin birçok dünya dilindeki karşılığı da bu orijinal halini korumaktadır.
Kriptoloji, kavram olarak şöyle tanımlanabilir:
"Kriptoloji, haberleşen iki veya daha fazla tarafın bilgi alışverişini emniyetli olarak yapmasını sağlayan, temeli matematiksel zor problemlere dayanan tekniklerin ve uygulamaların bütünüdür."
Günümüzde kriptoloji, matematik, elektronik, optik, bilgisayar bilimleri gibi birçok disiplini kullanan özelleşmiş bir bilim dalı olarak kabul edilmektedir. Kriptolojinin iki temel alt dalı vardır: Kriptografi ve kriptoanaliz.
Kriptografi, belgelerin şifrelenmesi ve şifresinin çözülmesi için kullanılan yöntemlere verilen addır.
Kriptoanaliz, kriptografik sistemlerin kurduğu mekanizmaları inceler ve çözmeye çalışır. Kriptoanalizin kriptoloji içindeki önemi çok büyüktür çünkü ortaya konan bir şifreleme sistemini inceleyerek, zayıf ve kuvvetli yönlerini ortaya koymak için kriptoanaliz kullanılır.
Günümüzde elektronik bilgi sistemlerinin yaygınlaşması kriptolojinin önemini çok fazla arttırmıştır. Kriptolojinin başlıca kullanım alanı hareket halindeki veya depolanmış bilginin şifrelenmesi ve istendiğinde bu şifrenin çözülmesidir. Kriptolojinin temel malzemesi bilgi olduğu için neredeyse sınırsız sayıda uygulamada kullanılması söz konusu olmuştur.
Haberleşmede Emniyet
Haberleşen iki tarafın güvenlikle ilgili çeşitli beklentileri vardır. Bu beklentiler haberleşmenin emniyet öğeleri olarak sınıflandırılmıştır. Haberleşmede emniyet öğeleri aşağıdaki görülmektedir:
[FONT="]•[/FONT]
Gizlilik : Taşınan bilginin içeriğinin gizli kalmasıdır.
[FONT="]•[/FONT]
Bütünlük : Taşınan bilginin içeriğinin yolda değiştirilememesidir.
[FONT="]•[/FONT]
Kimlik Doğrulama : Bilgiyi gönderen kişinin kimliğinin doğruluğundan emin olmaktır.
[FONT="]•[/FONT]
İnkâr Edememezlik : Bilgiyi gönderen veya işleyen kişinin yaptığı işi sonradan inkar edememesidir.
[FONT="]•[/FONT]
Haberleşmenin Sürekliliği : Haberleşmenin kesintiye uğramadan yapılmasıdır.
Günlük hayatta bu emniyet gereksinimlerini karşılamak için aşağıdaki yöntemler kullanılmaktadır:
[FONT="]•[/FONT]
Gizlilik sağlamak için mühürlü zarf
[FONT="]•[/FONT]
Bütünlük sağlamak için imza, barkod, damgalama
[FONT="]•[/FONT]
Kimlik doğrulaması için noter, kimlik kartı, trafik ehliyeti, kişinin şahsen başvuru yapması
[FONT="]•[/FONT]
İnkâr edememezlik için imza, alındı, onay
[FONT="]•[/FONT]
Haberleşmenin sürekliliğini sağlamak için farklı, birbirine alternatif iletişim yolları
Şifreleme
Şifreleme, bir bilginin özel bir yöntemle değiştirilerek farklı bir şekle sokulması olarak tanımlanabilir. Şifreleme işlemi sonucunda ortaya çıkan yeni biçimdeki bilgi, şifre çözme işlemine tabi tutularak ilk haline dönüştürülebilir.
Şifreleme yönteminde aranan bir takım özellikler vardır. Bunlar aşağıda listelenmiştir:
[FONT="]•[/FONT]
Şifreleme ve şifre çözme işleminin zorluğu ihtiyaç duyulan güvenlikle doğru orantılı olmalıdır. Çok önemli olmayan bir bilginin şifrelenmesi için bilginin kendisinden daha fazla işgücü ve zaman harcanması verimli olmayacaktır.
[FONT="]•[/FONT]
Anahtar seçimi ve şifreleme algoritması özel koşullara bağlı olmamalıdır. Şifreleme yöntemi her türlü bilgi için aynı şekilde çalışmalıdır.
[FONT="]•[/FONT]
Sürecin gerçeklenmesi mümkün olduğunca basit olmalıdır. Çok karışık bir sistemin gerçeklenmesi hem hatalara sebep olabilir hem de performans açısından tatmin edici olmayabilir.
[FONT="]•[/FONT]
Şifrelemede yapılan hatalar sonraki adımlara yansımamalı ve mesajın tamamını bozmamalıdır. Saldırılara karşı bu özellik koruyucu olacaktır. Ayrıca haberleşme hattında meydana gelen bir hata bütün mesajın bozulmasına neden olmayacağı için bu özellik tercih edilmektedir.
[FONT="]•[/FONT]
Kullanılan algoritmanın karıştırma özelliği olmalıdır. Mesajın şifrelenmiş hali ile açık hali arasında ilişki kurulması çok zor olmalıdır.
[FONT="]•[/FONT]
Kullanılan algoritmanın dağıtma özelliği olmalıdır. Mesajın açık hali şifreli hale gelirken içerdiği kelime ve harf grupları şifreli mesajın içinde olabildiğince dağıtılmalıdır.
Elektronik İmza
Sayısal imza veya kanunlara geçen adıyla elektronik imza kriptografik bir dönüşüm olarak tanımlanabilir. Elektronik imza, mesajın içeriği ile mesajı imzalayan kişinin asimetrik özel anahtarının beraber kullanılması ile elde edilir. Sayısal (elektronik) imza aşağıdaki özelliklere sahiptir:
[FONT="]•[/FONT]
Mesajın sonuna eklenir
[FONT="]•[/FONT]
Mesaj alıcısının, mesajın göndericisinin kimliğini doğrulamasını ve mesajın bütünlüğünü kontrolünü sağlar.
[FONT="]•[/FONT]
İnkâr edememezlik hizmetini sağlar.
[FONT="]•[/FONT]
Asimetrik kriptografi kullanır.
Sayısal imzanın bu şekilde kullanılması bir problemi beraberinde getirir. Bu kullanım şeklinde sayısal imza mesaj uzunluğunu iki katına çıkarır. Bu sorunu çözmek için özetleme fonksiyonu kullanılarak bir "Mesaj Özeti" çıkarılır.
Kripto Sistemlerinin Karşılaştırması
Asimetrik ve simetrik kriptografi sistemlerinin özelliklerini aşağıdaki karşılaştırma tablosuna görebilirsiniz:
Gizlilik
Bütünlük
Kimlik doğrulama
İnkar Edememezlik
Performans
Güvenlik
Açık Anahtar Altyapısı Temelleri
Bu bölümde açık anahtar altyapısına niçin ihtiyaç duyulduğu sorusunun cevabını bulacaksınız. Açık anahtar altyapısının en önemli ürünü olan sertifikalar ile ilgili temel bilgiler bu bölümde ele alınacak ve Basit Sertifikalar, İdeal Sertifika, Açık Anahtar Sertifikaları gibi konu başlıklarında sertifikanın tarifi verilecektir. Sertifika İptal Listeleri, Sertifikasyon Prensipleri ve Sertifikasyon Yolu gibi kavramlarda bu bölümde sırasıyla işlenecektir.
Açık Anahtar Altyapısı Bileşenleri
Bu bölümde açık anahtar altyapısının bileşenleri ele alınmaktadır. Bu bileşenler sertifika makamı, kayıt makamı, sertifika deposu ve arşivleme birimi olarak sayılabilir. Bu bölümde ayrıca açık anahtar altyapısı kullanıcıları ve açık anahtar altyapısı mimarileri de anlatılmaktadır.
X.509 Sertifikaları ve Sertifika İptal Listeleri
Bu bölümde AAA sistemleri tarafından en yaygın olarak kullanılan sertifika standardı olan X.509 sertifikası ele alınmaktadır. Buna bağlı olarak sertifikanın bütünlüğü, nasıl kodlandığı, ne tür eklentiler içerebileceği de bu bölümde anlatılmaktadır. Sertifika iptal listeleri ve çevrimiçi durum kontrol protokolü ((ÇİSDUP), nitelikli sertifika ve nitelik sertifikası konuları da ele alınmaktadır.
Anahtar ve Sertifika Yönetimi
Bu bölümde Açık Anahtar Altyapısı yönetim protokolleri , AAA işlemleri, işlem modelleri, PKCS standartları, yönetim protokolleri, sertifikasyon prensipleri ve sertifikasyon yaşam çevrimi ele alınmaktadır. Bir AAA sisteminin güvenli olarak çalışması hizmet vermesi için bu bölümde anlatılan yöntemler büyük önem taşımaktadır.
Açık Anahtar Altyapısı Uygulamaları
Bu bölümde AAA sistemlerinin bilgi sistemleri içindeki uygulamaları ele alınmaktadır. S/MIME, TLS (SSL), IPSec (IKE) gibi standartlar ve
Zaman Damgası, Kod İmzalama, XML İmzalama, Sayısal Noter, Windows Domain Logon, Masaüstü Güvenliği, Form İmzalama gibi AAA uygulamaları bu bölümde anlatılmaktadır.
Elektronik İmza Araçları
Açık anahtar altyapısı uygulamalarının en yaygın olanı elektronik imzadır. Elektronik imza için çeşitli araçlar kullanılır. Bu araçlar aşağıdaki gibi sınıflandırılabilir.
Elektronik İmza Oluşturma Araçları
[FONT="]•[/FONT]
Elektronik imza oluşturma yazılımları
[FONT="]•[/FONT]
Elektronik imza oluşturma donanımları
[FONT="]•[/FONT]
Akıllı kartlar
[FONT="]•[/FONT]
Akıllı çubuklar
[FONT="]•[/FONT]
Donanımsal Güvenlik Modülleri (Hardware Security Module : HSM)
[FONT="]•[/FONT]
Akıllı kart okuyucular
Elektronik İmza Doğrulama Araçları
[FONT="]•[/FONT]
Elektronik imza doğrulama yazılımları
Elektronik imza araçları üreten firmalar çok çeşitli ve değişik özelliklerde ürünler üretmektedirler. Bu ürünlerin hepsi aynı türde elektronik imzalar üretmediği gibi güvenlik seviyeleri açısından da çok farklı olabilmektedir. Bu nedenle kurulan sistemlerde standartlara uygun çalışan yazılım ve donanım araçlarını tercih etmek gerekmektedir. Bazı durumlarda da -örneğin nitelikli elektronik imza kullanımı- kullanılacak araçların özellikleri yasal mevzuatla tespit edilmektedir.
Standartlar ve Yasal Mevzuat
Bu bölümde açık anahtar altyapısı ve elektronik imza ile ilgili standartlar ve yasal mevzuat ele alınmaktadır. Açık anahtar altyapısı çok sayıda karmaşık standarda dayanmaktadır. Yasal mevzuatı bu teknik detaylardan tamamen ayırmak mümkün değildir. Bu nedenle bu iki konunun beraber ele alınması gerekmektedir.
Kısaltmalar ve Tanımlar
Tanımlar
Anahtar çifti: Elektronik imza oluşturmak amacıyla kullanılan özel anahtar ve ilgili açık anahtar. İmza oluşturma ve doğrulama verileri.
Bilgi deposu: Sertifikaların, sertifika iptal durum kayıtlarının ve diğer sertifika işlemleri ile ilgili bilgilerin yayımlandığı dizin sunucular gibi veri saklama ortamları.
Çevrim içi sertifika durum protokolü : Üçüncü kişilerin, sertifika iptal listesine alternatif olarak sertifika geçerlilik kontrol talebini yapıp, sertifikanın iptal durumunu öğrenmelerine imkan tanıyan standart iletişim kuralı.
Dizin Servisi : Açık Anahtar Altyapısı alanına dahil olan tüm sertifikaları, Sertifika İptal Listeleri'ni ve şebeke yapısı, kullanıcı bilgileri gibi bilgileri içinde bulunduran, herkes tarafından erişilebilir ortak depo.
Elektronik sertifika: İmza sahibinin, imza doğrulama verisini ve kimlik bilgilerini birbirine bağlayan elektronik kayıt. Bu dokümanda bahsi geçen elektronik sertifika ve sertifika kelimeleri, nitelikli elektronik sertifikayı ifade etmek amacıyla kullanılmıştır.
Elektronik Ticaret : Çeşitli iş belgelerinin, bilgisayardan bilgisayara, örneğin faks, e-posta gibi standartlaşmış bir biçimde aktarılması.
Erişim Denetimi : Kaynakların yetkisiz kişilerce kullanımının engellenmesi.
Gizlilik : Bilginin, yetkisiz kişiler tarafından ele geçirilmesinin önlenmesi.
Güvenli elektronik imza oluşturma aracı: Sertifika sahibine ait imza oluşturma verisi ve sertifikanın içinde bulunduğu taşınabilir, akıllı kart ya da benzeri güvenli cihaz.
Güvenli elektronik imza: Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imza.
İmza doğrulama verisi: Elektronik imzayı doğrulamak için kullanılan şifreler, kriptografik anahtarlar gibi veriler. Açık anahtar algoritmalarında bu veriye açık anahtar adı verilir.
İmza oluşturma verisi: İmza sahibine ait olan, imza sahibi tarafından elektronik imza oluşturma amacıyla kullanılan ve bir eşi daha olmayan şifreler, kriptografik anahtarlar gibi veriler. Açık anahtar algoritmalarında bu veriye özel anahtar adı verilir.
İptal Durum Kaydı: Kullanım süresi dolmamış sertifikaların iptal bilgisinin yer aldığı, iptal zamanının tam olarak tespit edilmesine imkan veren ve üçüncü kişilerin hızlı ve güvenli bir biçimde ulaşabileceği kayıt.
İnkâr-Edememezlik : Bir mesajı gönderen kişinin daha sonra bu işlemi yaptığını inkar edememesi.
İzlenebilirlik : Bir varlığın davranışlarının ve yaptığı işlerin sürekli olarak izlenip bu işlerin kaydedilebilmesi.
Kamu Elektronik Sertifika Hizmet Sağlayıcısı: Kamu Sertifikasyon Merkezi içinde oluşturulmuş, Kök Sertifika Hizmet Sağlayıcısı'nın imzasını taşıyan sertifikaya sahip olan ve kullanıcıların sertifikalarını oluşturup imzalamakla yetkili kılınmış Sertifika Hizmet Sağlayıcısı.
Kamu Sertifikasyon Merkezi: Türkiye Bilimsel ve Teknik Araştırma Kurumu'na bağlı Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü Müdürlüğü bünyesinde, elektronik sertifika hizmeti sağlamak üzere oluşturulan birim.
Kayıt Makamı (KM) : Bir SM'nin politikaları uyarınca o SM'ye dahil olacak kullanıcıların kimlik tespiti vb. işlemlerini üstlenen makam (MA3 sisteminde SM makinesi üzerinde çalışan bir kayıt arayüzü bu işi üstlenmektedir).
Kimlik Doğrulama : Bir elektronik işlemde yer alan tarafın kim olduğundan kesinlikle emin olunması.
Kimlik Doğrulama Sertifikası : Bir SM tarafından yayınlanan ve bir kullanıcının kimliğini, bir kimlik doğrulama açık anahtarına ilişkilendiren sertifikadır.
Kök Sertifika Hizmet Sağlayıcısı: Kamu Sertifikasyon Merkezi içinde oluşturulmuş, en yetkili imza derecesi verilmiş ve sertifikasını kendisi imzalamış olan Sertifika Hizmet Sağlayıcısı.
Kriptografik Anahtar : Geçerlilik sınama, kimlik doğrulama, şifreleme veya şifre çözme amaçlarından biri için kullanılan bir algoritmaya parametre olarak giren bit dizisi.
Kullanıcı: ESHS sisteminde kimlik doğrulaması yapılmış ve sertifika almak üzere tanımlanmış kişiler. Sertifika sahibi olan kişiler, aynı zamanda ESHS sistemi kullanıcılarıdır.
Mesaj Özeti : Bir mesajın özetlenmesi ile ortaya çıkan sabit uzunluktaki değer.
Nesne tanımlama numarası: Herhangi bir nesneyi eşsiz olarak tanımlayan, uluslararası standart belirleyen bir kurumdan alınan numara.
Nitelikli elektronik sertifika: 5070 sayılı Elektronik İmza Kanunu'nun 9'uncu maddesinde sayılan nitelikleri haiz elektronik sertifika.
Özet değeri : Özetleme işlevinin çıkışı olan bit katarı.
Özetleme : Bir bit katarını, sabit uzunlukta bir bit katarına dönüştüren bir işlevdir. Özetleme fonksiyonunun özelliği, aynı çıkışı üreten iki farklı bit katarının bulunması ve belli bir çıkıştan bir giriş değerinin üretilebilmesinin matematiksel olarak imkânsız (çok zor) olmasıdır.
Sayısal İmza : Bir veri bloğuna eklenen, mesajın alıcısının, göndericinin kimliğinden, verinin bütünlüğünden emin olmasına yarayan veri. Elektronik imzanın matematik temelli, güvenilir bir çeşididir.
Sertifika : X.509 standardında tanımlanan, sertifika sahibi ile açık anahtarını ilişkilendiren, sayısal olarak imzalanmış veri yapısı.
Sertifika Dağıtımı : Sertifikaların, son kullanıcılara ulaştırılması işlemi.
Sertifika İptali : Bir sertifikanın, kullanım dışı bırakılarak sistemden çıkartılmasıdır.
Sertifika İptal Listesi (SİL) : SM tarafından yayınlanmış ve son kullanma tarihine gelmeden yürürlükten kaldırılan sertifikaların listesi.
Sertifika Sahibi : Geçerli bir sertifikanın ait olduğu kullanıcı.
Sertifikasyon : Sertifika yayınlama işi.
Sertifikasyon Makamı (SM) : Kendi içerisinde prensipleri olan ve bu prensiplere göre son kullanıcıların kimlikleri ile açık anahtarlarını birbirine bağlayan güvenilir üçüncü taraf. Son kullanıcılara ve diğer SM'lere sertifika yayınlayan güvenilir varlık. Kanuna göre Elektronik Sertifika Hizmet Sağlayıcısı adıyla anılır.
Sertifikasyon Yolu : Açık anahtarı onaylama işlemi. Bir istemci tarafından bilinen bir sertifikadan başlayıp, istemci tarafından onaylanacak olan sertifikaya kadar süren sıralı sertifikalar dizisidir.
SİL Dağıtım Noktası : SİL'lerin dağıtımı için oluşturulmuş bir dağıtım kaynağı.
Üçüncü kişiler: Sertifikalara güvenerek işlem yapan gerçek veya tüzel kişiler.
Veri Bütünlüğü : Bilginin göndericiden alıcıya gitmesi esnasında yanlışlıkla ya da bilerek değiştirilmesinin önlenmesi.
Yetkilendirme : Kimliği doğrulanan bir kişinin yapmaya yetkili olduğu işlemlerin belirlenmesi.
Zaman damgası: Bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve/veya kaydedildiği zamanın tespit edilmesi amacıyla, ESHS tarafından elektronik imzayla doğrulanan kayıt.
Kısaltmalar
AAA : Açık anahtar altyapısı
BS (British Standards): İngiliz Standartları
CEN (Comité Européen de Normalisation): Avrupa Standardizasyon Komitesi
CWA (CEN Workshop Agreement): CEN Çalıştay Kararı
ÇİSDUP (OCSP): Çevrim İçi Sertifika Durum Protokolü [Online Certificate Status Protocol]
DSA (Digital Signature Algorithm) : FIPS PUB 186'da anlatılan sayısal imza algoritmasıdır.
EAL (Evaluation Assurance Level): Değerlendirme Garanti Düzeyi
ECDSA (Elliptic Curve Digital Signature Algorithm) : ANSI X9.62 standardında belirtildiği gibi, eliptik eğri matematiğini kullanan DSA benzeri bir sayısal imzalama algoritmasıdır.
ESHS: Elektronik Sertifika Hizmet Sağlayıcısı
ETSI (European Telecommunications Standards Institute): Avrupa Telekomünikasyon Standartları Enstitüsü
ETSI TS (ETSI Technical Specification): ETSI Teknik Özellikleri
FIPS PUB (Federal Information Processing Standards Publications): ABD'nin Federal Bilgi İşleme Standartları Yayınları
IETF RFC (Internet Engineering Task Force Request for Comments): İnternet Mühendisliği Görev Grubu Yorum Talebi
ISO/IEC (International Organisation for Standardisation / International Electrotechnical Commitee): Uluslararası Standardizasyon Teşkilatı / Uluslararası Elektroteknik Komitesi
ITU (International Telecommunication Union): Uluslararası Telekomünikasyon Birliği
KSM: Kamu Sertifikasyon Merkezi
LDAP (Lightweight Directory Access Protocol): Dizin Erişim Protokolü. RFC 3494'de tanımlanmıştır.
NIST: National Institute of Standards and Technology. ABD'nin ulusal standartlar ve teknoloji enstitüsü.
NSA: National Security Agency. ABD'nin ulusal güvenlik kurumu.
PKI : Public Key Infrastructure.Açık Anahtar Altyapısı
RSA : PKCS #1'de belirtilen açık anahtar algoritmasıdır.
SİL: Sertifika İptal Listesi
SUE: Sertifika Uygulama Esasları
Kaynakça
Bu kitabın hazırlanmasında faydanılan kaynaklar aşağıda listelenmiştir. Kitapta çeşitli yerlerde kullanılan donanım ve yazılım ürünlerinin isim hakları sahiplerine aittir ve kitap içinde sadece okuyucuya bilgi vermek amacıyla kullanılmıştır.
[FONT="]•[/FONT]
Planning for PKI: Best Practices Guide for Deploying Public Key Infrastructure / Russ Housley, Tim Polk / John Wiley & Sons, 2001, ISBN/ISSN: 0471397024
[FONT="]•[/FONT]
Understanding PKI: Concepts, Standards, and Deployment Considerations / Carlisle Adams, Steve Lloyd / 2nd edition. Addison-Wesley, 2003, ISBN/ISSN: 0672323915
[FONT="]•[/FONT]
Cryptography and Public Key infrastructure on the Internet / Klaus Schmeh / John Wiley & Sons, 2003, ISBN/ISSN: 047084745X
[FONT="]•[/FONT]
Public Key Infrastructure: Building Trusted Applications and Web Services / John R. Vacca / Auerbach Publications, 2004, ISBN/ISSN: 0849308224
[FONT="]•[/FONT]
The Codebreakers: The Story of Secret Writing / David Kahn / Scr****r, 1996, ISBN/ISSN: 0684831309
[FONT="]•[/FONT]
Applied Cryptography: Protocols, Algorithms, and Source Code in C / Bruce Schneier / John Wiley & Sons, 1996, ISBN/ISSN: 0471117099
[FONT="]•[/FONT]
Akıllı Kartlar ve Uygulama Alanları, Mithat Fidan (PMB Akıllı Kart ve Bilgi Teknolojileri A.Ş), 2002
Kriptoloji kelimesi, köken olarak eski Yunanca'da yer alan "kryptos logos" kelimelerinden gelmektedir. "kryptos" kelimesi "gizli dünya" anlamını, "logos" ise sebep-sonuç ilişkisi kurma, mantıksal çözümleme alanı anlamını taşımaktadır. Kelimenin birçok dünya dilindeki karşılığı da bu orijinal halini korumaktadır.
Kriptoloji, kavram olarak şöyle tanımlanabilir:
"Kriptoloji, haberleşen iki veya daha fazla tarafın bilgi alışverişini emniyetli olarak yapmasını sağlayan, temeli matematiksel zor problemlere dayanan tekniklerin ve uygulamaların bütünüdür."
Günümüzde kriptoloji, matematik, elektronik, optik, bilgisayar bilimleri gibi birçok disiplini kullanan özelleşmiş bir bilim dalı olarak kabul edilmektedir. Kriptolojinin iki temel alt dalı vardır: Kriptografi ve kriptoanaliz.
Kriptografi, belgelerin şifrelenmesi ve şifresinin çözülmesi için kullanılan yöntemlere verilen addır.
Kriptoanaliz, kriptografik sistemlerin kurduğu mekanizmaları inceler ve çözmeye çalışır. Kriptoanalizin kriptoloji içindeki önemi çok büyüktür çünkü ortaya konan bir şifreleme sistemini inceleyerek, zayıf ve kuvvetli yönlerini ortaya koymak için kriptoanaliz kullanılır.
Günümüzde elektronik bilgi sistemlerinin yaygınlaşması kriptolojinin önemini çok fazla arttırmıştır. Kriptolojinin başlıca kullanım alanı hareket halindeki veya depolanmış bilginin şifrelenmesi ve istendiğinde bu şifrenin çözülmesidir. Kriptolojinin temel malzemesi bilgi olduğu için neredeyse sınırsız sayıda uygulamada kullanılması söz konusu olmuştur.
Haberleşmede Emniyet
Haberleşen iki tarafın güvenlikle ilgili çeşitli beklentileri vardır. Bu beklentiler haberleşmenin emniyet öğeleri olarak sınıflandırılmıştır. Haberleşmede emniyet öğeleri aşağıdaki görülmektedir:
[FONT="]•[/FONT]
Gizlilik : Taşınan bilginin içeriğinin gizli kalmasıdır.
[FONT="]•[/FONT]
Bütünlük : Taşınan bilginin içeriğinin yolda değiştirilememesidir.
[FONT="]•[/FONT]
Kimlik Doğrulama : Bilgiyi gönderen kişinin kimliğinin doğruluğundan emin olmaktır.
[FONT="]•[/FONT]
İnkâr Edememezlik : Bilgiyi gönderen veya işleyen kişinin yaptığı işi sonradan inkar edememesidir.
[FONT="]•[/FONT]
Haberleşmenin Sürekliliği : Haberleşmenin kesintiye uğramadan yapılmasıdır.
Günlük hayatta bu emniyet gereksinimlerini karşılamak için aşağıdaki yöntemler kullanılmaktadır:
[FONT="]•[/FONT]
Gizlilik sağlamak için mühürlü zarf
[FONT="]•[/FONT]
Bütünlük sağlamak için imza, barkod, damgalama
[FONT="]•[/FONT]
Kimlik doğrulaması için noter, kimlik kartı, trafik ehliyeti, kişinin şahsen başvuru yapması
[FONT="]•[/FONT]
İnkâr edememezlik için imza, alındı, onay
[FONT="]•[/FONT]
Haberleşmenin sürekliliğini sağlamak için farklı, birbirine alternatif iletişim yolları
Şifreleme
Şifreleme, bir bilginin özel bir yöntemle değiştirilerek farklı bir şekle sokulması olarak tanımlanabilir. Şifreleme işlemi sonucunda ortaya çıkan yeni biçimdeki bilgi, şifre çözme işlemine tabi tutularak ilk haline dönüştürülebilir.
Şifreleme yönteminde aranan bir takım özellikler vardır. Bunlar aşağıda listelenmiştir:
[FONT="]•[/FONT]
Şifreleme ve şifre çözme işleminin zorluğu ihtiyaç duyulan güvenlikle doğru orantılı olmalıdır. Çok önemli olmayan bir bilginin şifrelenmesi için bilginin kendisinden daha fazla işgücü ve zaman harcanması verimli olmayacaktır.
[FONT="]•[/FONT]
Anahtar seçimi ve şifreleme algoritması özel koşullara bağlı olmamalıdır. Şifreleme yöntemi her türlü bilgi için aynı şekilde çalışmalıdır.
[FONT="]•[/FONT]
Sürecin gerçeklenmesi mümkün olduğunca basit olmalıdır. Çok karışık bir sistemin gerçeklenmesi hem hatalara sebep olabilir hem de performans açısından tatmin edici olmayabilir.
[FONT="]•[/FONT]
Şifrelemede yapılan hatalar sonraki adımlara yansımamalı ve mesajın tamamını bozmamalıdır. Saldırılara karşı bu özellik koruyucu olacaktır. Ayrıca haberleşme hattında meydana gelen bir hata bütün mesajın bozulmasına neden olmayacağı için bu özellik tercih edilmektedir.
[FONT="]•[/FONT]
Kullanılan algoritmanın karıştırma özelliği olmalıdır. Mesajın şifrelenmiş hali ile açık hali arasında ilişki kurulması çok zor olmalıdır.
[FONT="]•[/FONT]
Kullanılan algoritmanın dağıtma özelliği olmalıdır. Mesajın açık hali şifreli hale gelirken içerdiği kelime ve harf grupları şifreli mesajın içinde olabildiğince dağıtılmalıdır.
Elektronik İmza
Sayısal imza veya kanunlara geçen adıyla elektronik imza kriptografik bir dönüşüm olarak tanımlanabilir. Elektronik imza, mesajın içeriği ile mesajı imzalayan kişinin asimetrik özel anahtarının beraber kullanılması ile elde edilir. Sayısal (elektronik) imza aşağıdaki özelliklere sahiptir:
[FONT="]•[/FONT]
Mesajın sonuna eklenir
[FONT="]•[/FONT]
Mesaj alıcısının, mesajın göndericisinin kimliğini doğrulamasını ve mesajın bütünlüğünü kontrolünü sağlar.
[FONT="]•[/FONT]
İnkâr edememezlik hizmetini sağlar.
[FONT="]•[/FONT]
Asimetrik kriptografi kullanır.
Sayısal imzanın bu şekilde kullanılması bir problemi beraberinde getirir. Bu kullanım şeklinde sayısal imza mesaj uzunluğunu iki katına çıkarır. Bu sorunu çözmek için özetleme fonksiyonu kullanılarak bir "Mesaj Özeti" çıkarılır.
Kripto Sistemlerinin Karşılaştırması
Asimetrik ve simetrik kriptografi sistemlerinin özelliklerini aşağıdaki karşılaştırma tablosuna görebilirsiniz:
Konu
Simetrik Kriptografi
Asimetrik Kriptografi
Gizlilik
Sağlar
Sağlar
Bütünlük
--
Sağlar
Kimlik doğrulama
--
Sağlar
İnkar Edememezlik
--
Sağlar
Performans
Hızlı
Yavaş
Güvenlik
Anahtar uzunluğuna bağlı
Anahtar uzunluğuna bağlı
Açık Anahtar Altyapısı Temelleri
Bu bölümde açık anahtar altyapısına niçin ihtiyaç duyulduğu sorusunun cevabını bulacaksınız. Açık anahtar altyapısının en önemli ürünü olan sertifikalar ile ilgili temel bilgiler bu bölümde ele alınacak ve Basit Sertifikalar, İdeal Sertifika, Açık Anahtar Sertifikaları gibi konu başlıklarında sertifikanın tarifi verilecektir. Sertifika İptal Listeleri, Sertifikasyon Prensipleri ve Sertifikasyon Yolu gibi kavramlarda bu bölümde sırasıyla işlenecektir.
Açık Anahtar Altyapısı Bileşenleri
Bu bölümde açık anahtar altyapısının bileşenleri ele alınmaktadır. Bu bileşenler sertifika makamı, kayıt makamı, sertifika deposu ve arşivleme birimi olarak sayılabilir. Bu bölümde ayrıca açık anahtar altyapısı kullanıcıları ve açık anahtar altyapısı mimarileri de anlatılmaktadır.
X.509 Sertifikaları ve Sertifika İptal Listeleri
Bu bölümde AAA sistemleri tarafından en yaygın olarak kullanılan sertifika standardı olan X.509 sertifikası ele alınmaktadır. Buna bağlı olarak sertifikanın bütünlüğü, nasıl kodlandığı, ne tür eklentiler içerebileceği de bu bölümde anlatılmaktadır. Sertifika iptal listeleri ve çevrimiçi durum kontrol protokolü ((ÇİSDUP), nitelikli sertifika ve nitelik sertifikası konuları da ele alınmaktadır.
Anahtar ve Sertifika Yönetimi
Bu bölümde Açık Anahtar Altyapısı yönetim protokolleri , AAA işlemleri, işlem modelleri, PKCS standartları, yönetim protokolleri, sertifikasyon prensipleri ve sertifikasyon yaşam çevrimi ele alınmaktadır. Bir AAA sisteminin güvenli olarak çalışması hizmet vermesi için bu bölümde anlatılan yöntemler büyük önem taşımaktadır.
Açık Anahtar Altyapısı Uygulamaları
Bu bölümde AAA sistemlerinin bilgi sistemleri içindeki uygulamaları ele alınmaktadır. S/MIME, TLS (SSL), IPSec (IKE) gibi standartlar ve
Zaman Damgası, Kod İmzalama, XML İmzalama, Sayısal Noter, Windows Domain Logon, Masaüstü Güvenliği, Form İmzalama gibi AAA uygulamaları bu bölümde anlatılmaktadır.
Elektronik İmza Araçları
Açık anahtar altyapısı uygulamalarının en yaygın olanı elektronik imzadır. Elektronik imza için çeşitli araçlar kullanılır. Bu araçlar aşağıdaki gibi sınıflandırılabilir.
Elektronik İmza Oluşturma Araçları
[FONT="]•[/FONT]
Elektronik imza oluşturma yazılımları
[FONT="]•[/FONT]
Elektronik imza oluşturma donanımları
[FONT="]•[/FONT]
Akıllı kartlar
[FONT="]•[/FONT]
Akıllı çubuklar
[FONT="]•[/FONT]
Donanımsal Güvenlik Modülleri (Hardware Security Module : HSM)
[FONT="]•[/FONT]
Akıllı kart okuyucular
Elektronik İmza Doğrulama Araçları
[FONT="]•[/FONT]
Elektronik imza doğrulama yazılımları
Elektronik imza araçları üreten firmalar çok çeşitli ve değişik özelliklerde ürünler üretmektedirler. Bu ürünlerin hepsi aynı türde elektronik imzalar üretmediği gibi güvenlik seviyeleri açısından da çok farklı olabilmektedir. Bu nedenle kurulan sistemlerde standartlara uygun çalışan yazılım ve donanım araçlarını tercih etmek gerekmektedir. Bazı durumlarda da -örneğin nitelikli elektronik imza kullanımı- kullanılacak araçların özellikleri yasal mevzuatla tespit edilmektedir.
Standartlar ve Yasal Mevzuat
Bu bölümde açık anahtar altyapısı ve elektronik imza ile ilgili standartlar ve yasal mevzuat ele alınmaktadır. Açık anahtar altyapısı çok sayıda karmaşık standarda dayanmaktadır. Yasal mevzuatı bu teknik detaylardan tamamen ayırmak mümkün değildir. Bu nedenle bu iki konunun beraber ele alınması gerekmektedir.
Kısaltmalar ve Tanımlar
Tanımlar
Anahtar çifti: Elektronik imza oluşturmak amacıyla kullanılan özel anahtar ve ilgili açık anahtar. İmza oluşturma ve doğrulama verileri.
Bilgi deposu: Sertifikaların, sertifika iptal durum kayıtlarının ve diğer sertifika işlemleri ile ilgili bilgilerin yayımlandığı dizin sunucular gibi veri saklama ortamları.
Çevrim içi sertifika durum protokolü : Üçüncü kişilerin, sertifika iptal listesine alternatif olarak sertifika geçerlilik kontrol talebini yapıp, sertifikanın iptal durumunu öğrenmelerine imkan tanıyan standart iletişim kuralı.
Dizin Servisi : Açık Anahtar Altyapısı alanına dahil olan tüm sertifikaları, Sertifika İptal Listeleri'ni ve şebeke yapısı, kullanıcı bilgileri gibi bilgileri içinde bulunduran, herkes tarafından erişilebilir ortak depo.
Elektronik sertifika: İmza sahibinin, imza doğrulama verisini ve kimlik bilgilerini birbirine bağlayan elektronik kayıt. Bu dokümanda bahsi geçen elektronik sertifika ve sertifika kelimeleri, nitelikli elektronik sertifikayı ifade etmek amacıyla kullanılmıştır.
Elektronik Ticaret : Çeşitli iş belgelerinin, bilgisayardan bilgisayara, örneğin faks, e-posta gibi standartlaşmış bir biçimde aktarılması.
Erişim Denetimi : Kaynakların yetkisiz kişilerce kullanımının engellenmesi.
Gizlilik : Bilginin, yetkisiz kişiler tarafından ele geçirilmesinin önlenmesi.
Güvenli elektronik imza oluşturma aracı: Sertifika sahibine ait imza oluşturma verisi ve sertifikanın içinde bulunduğu taşınabilir, akıllı kart ya da benzeri güvenli cihaz.
Güvenli elektronik imza: Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imza.
İmza doğrulama verisi: Elektronik imzayı doğrulamak için kullanılan şifreler, kriptografik anahtarlar gibi veriler. Açık anahtar algoritmalarında bu veriye açık anahtar adı verilir.
İmza oluşturma verisi: İmza sahibine ait olan, imza sahibi tarafından elektronik imza oluşturma amacıyla kullanılan ve bir eşi daha olmayan şifreler, kriptografik anahtarlar gibi veriler. Açık anahtar algoritmalarında bu veriye özel anahtar adı verilir.
İptal Durum Kaydı: Kullanım süresi dolmamış sertifikaların iptal bilgisinin yer aldığı, iptal zamanının tam olarak tespit edilmesine imkan veren ve üçüncü kişilerin hızlı ve güvenli bir biçimde ulaşabileceği kayıt.
İnkâr-Edememezlik : Bir mesajı gönderen kişinin daha sonra bu işlemi yaptığını inkar edememesi.
İzlenebilirlik : Bir varlığın davranışlarının ve yaptığı işlerin sürekli olarak izlenip bu işlerin kaydedilebilmesi.
Kamu Elektronik Sertifika Hizmet Sağlayıcısı: Kamu Sertifikasyon Merkezi içinde oluşturulmuş, Kök Sertifika Hizmet Sağlayıcısı'nın imzasını taşıyan sertifikaya sahip olan ve kullanıcıların sertifikalarını oluşturup imzalamakla yetkili kılınmış Sertifika Hizmet Sağlayıcısı.
Kamu Sertifikasyon Merkezi: Türkiye Bilimsel ve Teknik Araştırma Kurumu'na bağlı Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü Müdürlüğü bünyesinde, elektronik sertifika hizmeti sağlamak üzere oluşturulan birim.
Kayıt Makamı (KM) : Bir SM'nin politikaları uyarınca o SM'ye dahil olacak kullanıcıların kimlik tespiti vb. işlemlerini üstlenen makam (MA3 sisteminde SM makinesi üzerinde çalışan bir kayıt arayüzü bu işi üstlenmektedir).
Kimlik Doğrulama : Bir elektronik işlemde yer alan tarafın kim olduğundan kesinlikle emin olunması.
Kimlik Doğrulama Sertifikası : Bir SM tarafından yayınlanan ve bir kullanıcının kimliğini, bir kimlik doğrulama açık anahtarına ilişkilendiren sertifikadır.
Kök Sertifika Hizmet Sağlayıcısı: Kamu Sertifikasyon Merkezi içinde oluşturulmuş, en yetkili imza derecesi verilmiş ve sertifikasını kendisi imzalamış olan Sertifika Hizmet Sağlayıcısı.
Kriptografik Anahtar : Geçerlilik sınama, kimlik doğrulama, şifreleme veya şifre çözme amaçlarından biri için kullanılan bir algoritmaya parametre olarak giren bit dizisi.
Kullanıcı: ESHS sisteminde kimlik doğrulaması yapılmış ve sertifika almak üzere tanımlanmış kişiler. Sertifika sahibi olan kişiler, aynı zamanda ESHS sistemi kullanıcılarıdır.
Mesaj Özeti : Bir mesajın özetlenmesi ile ortaya çıkan sabit uzunluktaki değer.
Nesne tanımlama numarası: Herhangi bir nesneyi eşsiz olarak tanımlayan, uluslararası standart belirleyen bir kurumdan alınan numara.
Nitelikli elektronik sertifika: 5070 sayılı Elektronik İmza Kanunu'nun 9'uncu maddesinde sayılan nitelikleri haiz elektronik sertifika.
Özet değeri : Özetleme işlevinin çıkışı olan bit katarı.
Özetleme : Bir bit katarını, sabit uzunlukta bir bit katarına dönüştüren bir işlevdir. Özetleme fonksiyonunun özelliği, aynı çıkışı üreten iki farklı bit katarının bulunması ve belli bir çıkıştan bir giriş değerinin üretilebilmesinin matematiksel olarak imkânsız (çok zor) olmasıdır.
Sayısal İmza : Bir veri bloğuna eklenen, mesajın alıcısının, göndericinin kimliğinden, verinin bütünlüğünden emin olmasına yarayan veri. Elektronik imzanın matematik temelli, güvenilir bir çeşididir.
Sertifika : X.509 standardında tanımlanan, sertifika sahibi ile açık anahtarını ilişkilendiren, sayısal olarak imzalanmış veri yapısı.
Sertifika Dağıtımı : Sertifikaların, son kullanıcılara ulaştırılması işlemi.
Sertifika İptali : Bir sertifikanın, kullanım dışı bırakılarak sistemden çıkartılmasıdır.
Sertifika İptal Listesi (SİL) : SM tarafından yayınlanmış ve son kullanma tarihine gelmeden yürürlükten kaldırılan sertifikaların listesi.
Sertifika Sahibi : Geçerli bir sertifikanın ait olduğu kullanıcı.
Sertifikasyon : Sertifika yayınlama işi.
Sertifikasyon Makamı (SM) : Kendi içerisinde prensipleri olan ve bu prensiplere göre son kullanıcıların kimlikleri ile açık anahtarlarını birbirine bağlayan güvenilir üçüncü taraf. Son kullanıcılara ve diğer SM'lere sertifika yayınlayan güvenilir varlık. Kanuna göre Elektronik Sertifika Hizmet Sağlayıcısı adıyla anılır.
Sertifikasyon Yolu : Açık anahtarı onaylama işlemi. Bir istemci tarafından bilinen bir sertifikadan başlayıp, istemci tarafından onaylanacak olan sertifikaya kadar süren sıralı sertifikalar dizisidir.
SİL Dağıtım Noktası : SİL'lerin dağıtımı için oluşturulmuş bir dağıtım kaynağı.
Üçüncü kişiler: Sertifikalara güvenerek işlem yapan gerçek veya tüzel kişiler.
Veri Bütünlüğü : Bilginin göndericiden alıcıya gitmesi esnasında yanlışlıkla ya da bilerek değiştirilmesinin önlenmesi.
Yetkilendirme : Kimliği doğrulanan bir kişinin yapmaya yetkili olduğu işlemlerin belirlenmesi.
Zaman damgası: Bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve/veya kaydedildiği zamanın tespit edilmesi amacıyla, ESHS tarafından elektronik imzayla doğrulanan kayıt.
Kısaltmalar
AAA : Açık anahtar altyapısı
BS (British Standards): İngiliz Standartları
CEN (Comité Européen de Normalisation): Avrupa Standardizasyon Komitesi
CWA (CEN Workshop Agreement): CEN Çalıştay Kararı
ÇİSDUP (OCSP): Çevrim İçi Sertifika Durum Protokolü [Online Certificate Status Protocol]
DSA (Digital Signature Algorithm) : FIPS PUB 186'da anlatılan sayısal imza algoritmasıdır.
EAL (Evaluation Assurance Level): Değerlendirme Garanti Düzeyi
ECDSA (Elliptic Curve Digital Signature Algorithm) : ANSI X9.62 standardında belirtildiği gibi, eliptik eğri matematiğini kullanan DSA benzeri bir sayısal imzalama algoritmasıdır.
ESHS: Elektronik Sertifika Hizmet Sağlayıcısı
ETSI (European Telecommunications Standards Institute): Avrupa Telekomünikasyon Standartları Enstitüsü
ETSI TS (ETSI Technical Specification): ETSI Teknik Özellikleri
FIPS PUB (Federal Information Processing Standards Publications): ABD'nin Federal Bilgi İşleme Standartları Yayınları
IETF RFC (Internet Engineering Task Force Request for Comments): İnternet Mühendisliği Görev Grubu Yorum Talebi
ISO/IEC (International Organisation for Standardisation / International Electrotechnical Commitee): Uluslararası Standardizasyon Teşkilatı / Uluslararası Elektroteknik Komitesi
ITU (International Telecommunication Union): Uluslararası Telekomünikasyon Birliği
KSM: Kamu Sertifikasyon Merkezi
LDAP (Lightweight Directory Access Protocol): Dizin Erişim Protokolü. RFC 3494'de tanımlanmıştır.
NIST: National Institute of Standards and Technology. ABD'nin ulusal standartlar ve teknoloji enstitüsü.
NSA: National Security Agency. ABD'nin ulusal güvenlik kurumu.
PKI : Public Key Infrastructure.Açık Anahtar Altyapısı
RSA : PKCS #1'de belirtilen açık anahtar algoritmasıdır.
SİL: Sertifika İptal Listesi
SUE: Sertifika Uygulama Esasları
Kaynakça
Bu kitabın hazırlanmasında faydanılan kaynaklar aşağıda listelenmiştir. Kitapta çeşitli yerlerde kullanılan donanım ve yazılım ürünlerinin isim hakları sahiplerine aittir ve kitap içinde sadece okuyucuya bilgi vermek amacıyla kullanılmıştır.
[FONT="]•[/FONT]
Planning for PKI: Best Practices Guide for Deploying Public Key Infrastructure / Russ Housley, Tim Polk / John Wiley & Sons, 2001, ISBN/ISSN: 0471397024
[FONT="]•[/FONT]
Understanding PKI: Concepts, Standards, and Deployment Considerations / Carlisle Adams, Steve Lloyd / 2nd edition. Addison-Wesley, 2003, ISBN/ISSN: 0672323915
[FONT="]•[/FONT]
Cryptography and Public Key infrastructure on the Internet / Klaus Schmeh / John Wiley & Sons, 2003, ISBN/ISSN: 047084745X
[FONT="]•[/FONT]
Public Key Infrastructure: Building Trusted Applications and Web Services / John R. Vacca / Auerbach Publications, 2004, ISBN/ISSN: 0849308224
[FONT="]•[/FONT]
The Codebreakers: The Story of Secret Writing / David Kahn / Scr****r, 1996, ISBN/ISSN: 0684831309
[FONT="]•[/FONT]
Applied Cryptography: Protocols, Algorithms, and Source Code in C / Bruce Schneier / John Wiley & Sons, 1996, ISBN/ISSN: 0471117099
[FONT="]•[/FONT]
Akıllı Kartlar ve Uygulama Alanları, Mithat Fidan (PMB Akıllı Kart ve Bilgi Teknolojileri A.Ş), 2002
Moderatör tarafında düzenlendi:
