THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

Elektronik Ticarette Güvenlik İlkeleri

CmcEagle - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2013
Nereden:
Spain
Yaş:
33
Mesajlar:
136
Konular:
111
Teşekkür (Etti):
1
Teşekkür (Aldı):
12
Ticaret:
(0) %
23-06-2013 17:52
#1
Elektronik Ticarette Güvenlik İlkeleri
Son çeyrek yüzyılda teknolojinin üssel bir oranda ilerlemesiyle birlikte 21. yüzyıl, enformasyon çağı olarak adlandırılmaya başlanmıştır. Bu çağdaki en önemli gelişmelerden birisi de kuşkusuz elektronik ticaret olmuştur. Gerçek hayatta yapılan her olay, artık sanal ortamda da yapılabilir bir duruma gelmiştir. Fakat gerçek hayatta olduğu gibi sanal ortamda da karşılaşması olası pek çok sorun mevcuttur. Bu tür sorunların önüne geçilmesi için ulaşılması gereken hedef, varolan güvenlik sistemlerini daha da geliştirmek olmalıdır.
I. GİRİŞ

Elektronik ticaret, bilgisayar ağları aracılığı ile ürünlerin üretilmesi, tanıtımının, satışının, ödemesinin ve dağıtımının yapılması olarak tanımlanabilmektedir [1][2][3]. Yapılan işlemler, sayısal biçime dönüştürülmüş yazılı metin, ses ve video görüntülerinin işlenmesi ve iletilmesi işlemlerini içermektedir.
Elektronik ticaret, enformasyon analizi içeren ve bir şebekedeki ticari aktiviteleri destekleyen süreçler bütünüdür. Bu aktiviteler, enformasyon üretmekte ve olayları, hizmetleri, sağlayıcıları, tüketicileri, reklamcıları içine almaktadır. Aynı zamanda işlemleri, bir grup hizmet ve oturumlar için olan (örneğin ürünü bulmak ve ucuz ürünü bulmak) borsa sistemlerini, işlemlerin güvenliğini ve güvenilirliğini vb. destekler. Elektronik ticaret aynı zamanda bir ticari süreç içerisinde verimliliği ve etkinliği geliştirmek amacıyla ileri enformasyon teknolojisi tarafından desteklenen bir iş vizyonunun olmasına imkan verir [4].
Şekil 1’deki model, elektronik ticaretin çok disiplinli doğasını yansıtmaktadır [1]. Şekilden görüldüğü gibi bu model, birkaç ana bileşenden oluşmaktadır. İlk olarak ürünleri global bir elektronik pazar ortamının bir parçası olan satıcıdan elektronik olarak eşya satın almak isteyen tüketici ile modele başlanır. Ticaretin bu yeni modu, yeni iş modellerinin kabul edilmesine, çeşitli yasal ve idari konular tarafından etkilenmesine yol açar.
Bu tür global bir elektronik pazar ortamını mümkün kılmak için; kaynakların paylaşılmasına olanak sağlayan, asimetrik protokoller üzerine kurulmuş, veri konumlarının ve karar desteğinin şeffaf olmasını sağlayan, çoklu ortam enformasyonunu destekleyen, çeşitli yazılım ve donanım platformlarının birleştirilip uyuşmalarına izin veren, mesaj tabanlı değiştokuş üzerinden haberleşmeyi destekleyen ve verinin güvenliğini ve bütünlüğünü garanti eden teknik bir mimariye gereksinim duyulmaktadır.
Elektronik ticaretin öncelikli hedefi; iş dünyasındaki işlemlerin ve süreçlerin hızını ve verimliliğini arttırmak ve müşteri hizmetlerinin geliştirilmesini sağlamaktır. Ayrıca iştirakçilerin yükseltilmiş rekabet, iş yaratma ve ekonomik büyüme gibi konulara önem vermesini teşvik etmek de elektronik ticaretin hedefleri arasındadır. Bilindiği gibi yüksek rekabet, eşya ve hizmet fiyatlarında bir ucuzlamaya sebep olmaktadır. Bu amaçlar, endüstri için ve aynı zamanda müşteriler için yeni seçenekler sunan yeni pazarlar geliştirilmelidir. Bu noktada elektronik ticaret, iş dünyasındaki süreçleri daha basit ve daha verimli yapmak zorundadır. Amerika Birleşik Devletleri, devleti küçültmek için büyük bir güç sarf etmektedir. Böylece tüm devlet işlemleri, yerini iş dünyasında görülen elektronik işlemlere bırakmaktadır. Bunlara ek olarak elektronik ticaretin; ürünü tedarik etme süreçlerinin gelişmesini sağlamak, ürün çemberinin uzunluğunda bir azalmaya neden olmak, teşebbüslerin komşu partnerlerle ilişkili olduğu kadar uzak mesafedeki partnerlerle de ilişkili olmasını sağlamak, küçük çaptaki işlere de yetki vermek, yeni hizmetler ve işler yaratmak ve iştirakçilerinin ufkunun genişlemesine yardımcı olmak gibi amaçları da mevcuttur.

Şekil 1. Çok disiplinli bir elektronik ticaret modeli
Bu bildiride güvenli bir elektronik ticaret için yerine getirilmesi şart olan kimlik doğrulama, yetkilendirme, güvenilirlik, inkar edememe, bütünlük ve elde edilebilirlik gibi fonksiyonlar ve gereksinimler, işlem ve şebeke güvenliğindeki teknolojiler, şifreleme türleri ve algoritmaları ile sayısal imza ve sayısal sertifika kavramları ele alınmıştır.
II. FONKSİYONLAR VE GEREKSİNİMLER

Kimlik doğrulama (authentication), bilgisayar ağları üzerinde iki tarafın birbirlerinin kimliklerini doğrulaması işlemidir. Bilgisayar ağlarında iletişim, istemci ile sunucu arasında gerçekleşmektedir [5][6]. İstemci kimlik doğrulama, istemcinin kimliğinin sunucu tarafından doğrulanması olarak tanımlanırken; sunucu kimlik doğrulama ise, sunucunun kimliğinin istemci tarafından doğrulanması olarak tanımlanmaktadır. Kimlik doğrulama metotları, aşağıda listelenen faktörler üzerine kurulmuştur:
  • Parola (password) gibi özel bir enformasyonun bilinmesi
  • Anahtar veya kart gibi özerklik belirten nesnelere sahip olunması
  • Parmak izi gibi bazı biyometrik karakteristiklerin bilinmesi
Bir kullanıcının kimliğini ispatlamak için, bu faktörler tek başına kullanılmamakta; genelde birbirleriyle olan kombinasyonları denenmektedir.
Yetkilendirme (authorization) işlemi, kimliğin ispatlandığı andan itibaren kısmi bir enformasyona erişimin kontrolü olarak tanımlanmaktadır. Bazı oturumlar kısmi olarak ulaşılabilirlik gereksiniminde bulunsa da, bazı oturumlar hiçbir ulaşılabilirlik gereksiniminde bulunmamaktadır. Yetkilendirme işlemi, kimliği ispatlanmış kişilerin şebekeli bir çevrede yaptıkları hareket ve işlemlere bir sınır getirmektedir. Bu sınırlamalar, güvenliğin seviyesine bağlı olarak değişmektedir.
Güvenilirlik (confidentiality) işlemi, veri ve/veya enformasyonun gizliliği ve bu veri ve/veya enformasyona yetkisiz kişilerce ulaşılmasının engellenmesi olarak tanımlanmaktadır. Elektronik ticaret için güvenilirlik ise; bir organizasyonun veya şirketin finansal verisine, ürün geliştirme enformasyonuna, organizasyon yapılarına ve çeşitli tipte gizli enformasyona yetkisiz kişiler tarafından erişilebilmesini engellemek olarak tanımlanabilmektedir. Güvenilirlik kavramı, aşağıdaki iki konuyu garanti etmek zorundadır:
  • Herhangi bir enformasyon, özel bir yetki olmadığı sürece; kesinlikle okunamaz, kopyalanamaz veya değiştirilemez.
  • Şebekeler üzerinden haberleşme hiçbir şekilde kesilemez.
Kriptografi temelli şifreleme teknikleri, bu tür gereksinimleri karşılamak üzere tasarlanmışlardır.
İnkar edememe (nonrepudiation) işlevi, enformasyon göndericisinin sonradan gönderdiği bilgiyi inkar etmesini engellemektedir. Böylece orijinin, dağıtımın, arz etmenin ve verinin doğru gönderilmesinin ispatı da yapılmış olmaktadır.
Bütünlük (integrity) ölçütü, enformasyonun beklenmeyen yollarla güncellenememesini garanti etmektedir. Bütünlük kaybına insan hataları veya kasıtlı kurcalamalar neden olmaktadır. Şüphesiz ki herhangi bir işte yanlış enformasyonun kullanılması, istenmeyen sonuçlar doğurabilmektedir. Uygunsuz bir şekilde güncellenmiş bir verinin işe yaramaz veya tehlikeli olması gerçeği, verinin doğruluk ve tutarlılığının korunması için çok büyük bir çabanın sarf edilmesini gerektirmektedir.
Verinin geçerliliği çok önemli bir unsur olduğuna göre, bunu garanti edecek kontrollerin tasarlanması ve verinin doğruluğunun kontrol edilmesi gerekmektedir. Eğer veri bir şekilde çalınmışsa veya yetkisiz kişiler tarafından değiştirilmişse; bunun tespit edilmesi, sistemin bütünlüğü açısından gerekmektedir. Şifreleme verinin yetkisiz kişiler tarafından erişilmesi ve değiştirilmesini, veriyi gizli bir forma çevirerek, engellemede kullanılan bir yöntemdir.
Olgunlaşmış bir bilgi güvenliği politikası, etkin önlem alma ve tepki oluşturma işlevlerini içermelidir. Etkin önlem alma işlevi, kuvvetli güvenlik denetimlerinin konulmasını gerektirirken; tepki oluşturma işlevi, bu kontrollerin kayıtlanması ve izlenmesini gerektirmektedir. İyi bir sistem yöneticisi sistem içerisindeki hareketleri kayıt dosyalarından izleyerek, gerçekleşen olaylardan sonuçlar çıkarıp, yeni önlemler oluşturmalıdır.
Elde edilebilirlik (availability), kaynakların silinmesini veya erişilemez hale gelmesini engelleyen bir ölçüttür. Bu ölçüt sadece enformasyon için değil, diğer tüm teknoloji altyapısı ve şebekeye bağlı makineler için de geçerlidir. Bu gerekli kaynakları kullanamama durumu, hizmet dışı bırakma (denial of service) olarak adlandırılmaktadır.
Bir kurumun güvenlik stratejisi yukarıda belirtilen ölçütler doğrultusunda değerlendirilmeli ve kurumun ihtiyaçlarına göre ölçütler, değişik seviyelerde incelenmelidir [7]. Örneğin milli savunma sistemlerinde güvenilirliğe daha çok önem verilmesi gerekirken, fon aktarım sistemlerinde bütünlüğe daha çok önem verilmelidir.
III. GÜVENLİK TEKNOLOJİLERİ


İnternet üzerinden iletişimi gerçekleşen bilgilerin güvenilirliği, açık anahtar kriptografi olarak adlandırılan bir teknikle sağlanmaktadır [7][8]. Açık anahtar kriptografinin gerçekleştirdiği faaliyetler aşağıda listelenmiştir:
Şifreleme ve Şifre Çözme: Güvensiz bir ortamda birbirleriyle haberleşen iki tarafın, bilgiye sadece kendilerinin anlayacağı bir biçim vermesi tekniği olarak tanımlanmaktadır. Gönderilmeden önce gönderici tarafından şifrelenen veri, alıcı tarafından açılmakta ve orijinal veri elde edilmektedir. İletilen verinin şifreli olması, saldırganın veriye erişimini engellemektedir.
Kurcalama Sezme: İletişim sırasında veri üzerinde gerçekleştirilebilecek olası değişikliklerin sezilmesinde kullanılan teknik olarak tanımlanmaktadır.
Kimlik Doğrulama: Enformasyon alıcısına, enformasyonun kaynağının ve göndericinin kimliğinin doğrulanması imkanını vermek olarak tanımlanmaktadır
İnkar Edememe: Enformasyonun göndericisinin, daha sonraki bir zamanda, gönderdiği enformasyonu inkar etmesini engellemek olarak tanımlanmaktadır.
Şifreleme işlevi enformasyonun, alıcı haricindeki kişiler tarafından anlaşılmayacak bir şekle çevrilmesi olarak tanımlanmaktadır. Şifre çözme ise; özel bir anahtar yardımıyla anlamsız bilgiye, şifrelenmeden önceki anlamlı halinin geri verilmesi olarak tanımlanmaktadır. Şifreleme ve şifre çözme işlevleri, kriptografi algoritması olarak adlandırılan matematiksel işlevlerce gerçekleştirilmektedir. Şifreleme yönteminin kuvveti; algoritmanın bilinmezliği ile değil, kullanılan anahtarın uzunluğu ile ilgili olmaktadır. Şifrelenen veri; anahtar kullanımı ile rahatlıkla açılmakta iken, anahtarın bilinmemesi durumunda verinin elde edilmesi matematiksel işlemlerin yoğunluğu dolayısıyla imkansız olmaktadır.
Simetrik Anahtarlı Şifreleme

Simetrik anahtarlı şifreleme (Symmetric Key Encryption); şifreleme anahtarının deşifreleme anahtarından elde edilebildiği bir şifreleme yöntemidir. Şekil 2’den de görüldüğü gibi, çoğu simetrik algoritmalarda şifreleme ve deşifreleme (şifre çözme) anahtarları aynı olmaktadır. Simetrik anahtarlı şifreleme, verinin şifrelenmesinde ve deşifrelenmesinde herhangi bir gecikmeye neden olmamaktadır. Bu tarz şifrelemede bir anahtar ile şifrelenen veri, diğer bir anahtarla açılamadığından dolayı; anahtarın gizli tutulması durumunda bir derecede kimlik doğrulama işlemi sağlanmaktadır. Simetrik anahtarlı şifrelemede, simetrik anahtarın gizli tutulması vazgeçilmez bir şarttır. Simetrik anahtarın gizli tutulmadığı durumlarda, hem verinin güvenilirliği hem de kimlik doğrulama ölçütleri tehlikeye girmektedir. Başkasına ait bir simetrik anahtar; saldırganın hem kişiye ait gizli bilgilere erişmesine, hem de anahtar sahibinin kimliğiyle başkalarına veri göndermesine neden olmaktadır.


Şekil 2. Simetrik anahtarlı şifreleme
Genel olarak dört tip simetrik anahtarlı şifreleme algoritması kullanılmaktadır. Bu algoritmalar; veri şifreleme standardı (Data Encryption Standard – DES) algoritması, üçlü veri şifreleme standardı (Triple Data Encryption Standard – Triple DES) algoritması, uluslar arası veri şifreleme algoritması (International Data Encryption Algorithm – IDEA) ve RC4 algoritması olarak adlandırılmaktadır.
Ulusal Standartlar Bürosu (National Bureau of Standards) tarafından yayınlanmış veri şifreleme standardı (Data Encryption Standard – DES) algoritmasının aşamaları aşağıda listelenmiştir [9][10]:
  • Mesaj 64 bitlik parçalara bölünür.
  • Bu bölmeler bir başlangıç permütasyonundan geçirilir.
  • 56 bitlik anahtar kullanılarak, 16 adet 48 bitlik anahtar elde edilir.
  • 56 bitlik anahtar üzerinde permütasyon gerçekleştirilerek, 2 adet 28 bitlik anahtar elde edilir.
  • Her iki bölme de; 1, 2, 9 ve 16’ncı aşamalarda sola doğru 1, diğer aşamalarda sola doğru 2 bit döndürme (rotate) işlemine tabi tutulur.
  • Her bir bölme ayrı ayrı permütasyondan geçirilip; birinci anahtarın 9, 18, 22 ve 25’inci, ikinci anahtarın 35, 38, 43 ve 54’üncü bitleri elenir ve 48 bitlik anahtar elde edilir.
  • DES aşamalarını gerçekleştirmek üzere, 16 adet 48 bitlik anahtarın her biri kullanılır.
  • 64 bitlik giriş değeri, 32 bitlik iki parçaya bölünür.
  • DES aşamasına giriş değerinin sağ tarafı, aşama çıkış değerinin sol tarafı olur.
  • Aşamaya giriş değerinin sağ tarafına parçalayıcı işlevi, aşamaya ait anahtarla uygulanır.
  • Parçalayıcı işlevin sonucu, aşamaya giren değerin sol tarafı ile aşamadan çıkan değerin sağ tarafının EXOR işleminden geçirilmesi ile elde edilir.
  • Dördüncü aşama 16 kez tekrar edilir.
  • Sonucun sol ve sağ parçaları yer değiştirilir.
  • Son permütasyon gerçekleştirilir.
Üçlü veri şifreleme standardı (Triple Data Encryption Standard – Triple DES) algoritmasında ise, DES algoritmasının üç kez çalıştırılması işlemini içeren üç adet anahtar kullanılmaktadır. Anahtar 1, anahtar 2 ve anahtar 3 olarak adlandırılan ve üç adet 56 bitlik bölmelere ayrılan 168 bitlik anahtar kullanılmaktadır.
Uluslar arası veri şifreleme algoritması (International Data Encryption Algorithm – IDEA) ise; 128 bitlik anahtar kullanarak, 64 bitlik açık metni 64 bitlik şifreli parçalar halinde şifreleyen bir algoritmadır. Bu algoritma, hesapsal olarak birbirinin aynı 8 aşama içermektedir. Uzun zamandır bilinen IDEA algoritması, herhangi bir saldırı teşebbüsüne maruz kalmamıştır. Biham, Shamir ve Biryukov tarafından IDEA’ya gerçekleştirilen saldırı teşebbüsü, algoritmanın ancak dördüncü seviyesine kadar ulaşmış; algoritmanın 8 aşamalık toplam bölümü yine güvenli olarak kalmıştır. Amerika Birleşik Devletleri ve birçok Avrupa ülkesinde patentlenmiş olan IDEA algoritmasının aşamaları kabaca aşağıda verilmiştir [9][10]:
  • Şifrelenecek mesaj, 64 bitlik parçalara bölünür. Her bir açık metin parçası, şifreli parça haline dönüşecektir.
  • 64 bitlik parçalar, 16 bitlik 4 bloğa ayrılır.
  • 52 adet 16 bitlik anahtar oluşturmak üzere, 128 bitlik bir anahtar kullanılır.
  • Tek sayılı aşamalarda dörtlü, çift sayılı aşamalarda ise ikili kümelerde anahtar kullanılarak 17 aşama gerçekleştirilir.
  • 16 bitlik bloklar, 64 bitlik şifreli bloklar olarak birleştirilir.
RSA Veri Güvenlik Firması ve Ron Rivest tarafından geliştirilen RC4 algoritması, çalışma hızının çok yüksek olması ve güvenlik seviyesinin bilinmemesine rağmen bazı hız gerektiren uygulamalarda kullanılmaktadır. İstenildiği kadar anahtar uzunluğu kabul edebilen RC4 algoritması; bir sahte rastgele sayı üreteci ve bu sayı üretecinin çıktısının, şifrelenecek veri ile EXOR işlemine tabi tutulmasından ibarettir. Bu nedenle aynı anahtar, iki farklı veri kümesini şifrelemede kullanılmamalıdır.
Açık Anahtarlı Şifreleme

Anonim veya simetrik olmayan anahtarlı şifreleme olarak da adlandırılan açık anahtarlı şifrelemede (Public Key Encryption); biri açık anahtar, diğeri özel anahtar olarak isimlendirilen bir anahtar çifti kullanılmaktadır. Bu anahtar çifti; verinin imzalanması, şifrelenmesi ve kimlik doğrulama işlemlerinde kullanılmaktadır. Bu şifreleme yönteminde açık anahtar herkese dağıtılırken, özel anahtar sadece anahtar sahibi tarafından bilinmektedir. Açık anahtar ile şifrelenen veri sadece özel anahtar ile açılabilirken, özel anahtarla şifrelenen veri ise sadece açık anahtar ile açılabilmektedir. Şekil 3’ten de görüldüğü üzere; gönderici veriyi alıcının açık anahtarı ile şifrelemekte ve alıcıya göndermektedir. Alıcı ise, şifrelenmiş veriyi özel anahtarı ile açmaktadır.


Şekil 3. Açık anahtarlı şifreleme
Açık anahtarlı şifreleme, simetrik anahtarlı şifrelemeye göre daha fazla matematiksel işlem gerektirmektedir. Bu nedenle açık anahtarlı şifrelemenin, büyük uzunluklu verilerin şifrelenmesinde kullanılması uygun değildir. Bu tarz veri boyutlarında açık anahtarlı şifreleme ve simetrik anahtarlı şifreleme birlikte kullanılmalıdır. Çoğunlukla karşılaşılan yöntem; simetrik anahtarın değişiminde açık anahtarlı şifrelemenin kullanılması, verinin değişiminde ise simetrik anahtarlı şifrelemenin kullanılması şeklidir. Açık anahtarlı şifreleme, kimlik doğrulama işleminde de kullanılmaktadır. Kimliği doğrulanacak olan gönderici, özel anahtarı ile veriyi şifreler. Özel anahtar ile şifrelenen veri sadece açık anahtar ile açılabildiği için, göndericinin kimliği doğrulanmış olur.
1977 yılında Rivest, Shamir ve Adleman tarafından bulunan ve şifreleme ve şifre çözme işlemlerinin her ikisinde de kullanılan RSA algoritmasında, ilk önce şifreleme ve şifre çözmede kullanılacak açık ve gizli anahtar çiftinin oluşturulması gerekmektedir. RSA algoritmasının aşamaları aşağıda verilmektedir [9][10]:
  • Tipik olarak 10000’den daha büyük p ve q gibi iki büyük asal sayı seçilir.
  • n = p * q ve z = (p-1) * (q-1) işlemleri gerçekleştirilir.
  • z sayısına göre aralarında asal bir d sayısı belirlenir.
  • e * d = 1 (mod z) olacak biçimde bir e sayısı belirlenir.
  • Şifrelenecek metin, 2k < n olacak şekilde k bit uzunluklu bloklara ayrılır ve her bir blok, P olarak adlandırılır.
  • P mesajının şifrelenmesi için, C=P^e (mod n) işlemi gerçekleştirilir.
  • Mesajın deşifrelenmesi içinse, P=C^d (mod n) işlemi gerçekleştirilir.
RSA algoritmasının işlem aşamaları ve sonuçları Tablo 1’de gösterilmektedir. Buradaki örnekte; p = 3, q = 11, n = 33, z = 20, d = 7 ve e = 3 olarak alınmıştır.
Şifreleme yönteminin kuvveti ise, anahtarın bulunması ile ilgili olmaktadır. RSA algoritmasında anahtarın bulunması, çok büyük basamaklı sayıların çarpanlarına ayrılması işlemidir. Şifreleme yönteminin kuvveti, anahtarın uzunluğu ile doğru orantılı olmaktadır. Farklı şifreleme yöntemleri, aynı şifreleme kuvvetini sağlamak için farklı uzunlukta anahtar uzunlukları gerektirebilmektedir.


Tablo 1. RSA algoritmasıyla şifreleme ve şifre çözme
Sayısal İmzalar

İncelendiği üzere şifreleme ve şifre çözme teknikleri, verinin internet üzerinde iletiminde karşılaşılan sorunlardan sadece gözetleme sorununu engellemektedir. Sayısal imzalar ise, kurcalama ve taklit etme sorunlarına çözüm getirmektedir [11][12][13]. Kurcalama sezme ve kimlik doğrulama teknikleri, tek yönlü çırpma (one-way hash) olarak adlandırılan matematiksel bir işleve bağlı olmaktadır. Tek yönlü çırpma işlevinin özellikleri aşağıda listelenmiştir:
  • Veriden elde edilen çırpı değeri tektir. Veride yapılan bir bitlik değişiklik bile çırpı değerini değiştirmektedir.
  • Çırpı değerinden, çırpılan veri elde edilemez. Bu nedenle, çırpma işlevi tek yönlü bir işlev olarak adlandırılmıştır.
Sayısal imza veriye tek yönlü çırpı işlevi uygulanarak elde edilen çırpı değerinin, kullanıcının özel anahtarı ile şifrelenmesiyle elde edilmektedir.
Şekil 4’ten de görüldüğü gibi veri; tek yönlü çırpı işlevinden geçirilerek, tek yönlü çırpı değeri elde edilmektedir. Elde edilen çırpı değeri, özel anahtarla şifrelenmekte ve sayısal imza elde edilmektedir. Elde edilen sayısal imza, veri ile birlikte alıcıya gönderilmektedir. Alıcı, sayısal imzayı göndericinin açık anahtarı ile açmakta ve gönderici tarafından hesaplanmış tek yönlü çırpı değerini elde etmektedir. Daha sonra kendisine ulaşan veriden, tek yönlü çırpı değerini hesaplamakta ve diğer çırpı değeriyle karşılaştırmaktadır. İki değerin eşitliği durumunda göndericinin kimliği doğrulanmaktadır.

Şekil 4. Sayısal imza kullanımı
Çırpma Algoritmaları

Geniş olarak kullanılan çırpı işlevleri, MD5 ve güvenli çırpı algoritması (Secure Hash Algorithm – SHA)’dır. MD5, Rivest tarafından tasarlanmıştır. Güvenli çırpı algoritması ise; MD5 algoritmasından esinlenilerek, Ulusal Standartlar Enstitüsü (National Institute of Standards) ve Ulusal Güvenlik Acentesi (National Security Agency) tarafından sayısal imzalama standardı (Digital Signature Standard – DSS) ile birlikte kullanılmak amacıyla tasarlanmıştır.
MD5 ve güvenli çırpı algoritmasında (Secure Hash Algorithm – SHA) 128 bitlik gizli bir anahtar ve veri birimi, çırpı algoritmasına giriş değeri olarak girmektedir. Algoritma sonucunda oluşan çıktı değeri, veri birimi başlığının kimlik doğrulama sahasına (AH) yerleştirilmektedir. Algoritmanın şekilsel gösterimi, Şekil 5’te bulunmaktadır. Güvenli çırpı algoritmasının MD5’ten tek farkı, oluşan çırpı değerinin 160 bit olmasıdır.


Şekil 5. MD5 ve SHA algoritması
Çırpılmış mesaj doğrulama kodu (Hashed Message Authentication Code – HMAC) MD5 ve SHA algoritmaları ise, IBM tarafından sunulmuş güçlü bir çırpı değeri oluşturma yöntemidir. Çırpılmış mesaj doğrulama kodu; kendi kendine bir çırpı işlevi olmaktan ziyade, mesaj doğrulama kodu hesaplaması için özel bir çırpı işlevi kullanan güçlü bir kriptografi yöntemidir. Örnek olarak MD5 algoritmasının kullanıldığı düşünülürse; HMAC, temel çırpı işlevinin üst üste iki kez uygulanmasından ibaret olmaktadır. İlk seferde veri birimi ve anahtar, çırpı işlevine giriş değerleri olurken; ikinci seferde birinci çırpı işlevinin çıktısı ve anahtar değerleri, giriş değeri olmaktadır. Algoritmanın şekilsel gösterimi, Şekil 6’da yer almaktadır. SHA için oluşan tek değişiklikse, oluşan ara değerlerin 160 bit uzunlukta olmasıdır.

Şekil 6. Çırpılmış mesaj doğrulama kodu MD5 ve SHA algoritmaları
Sayısal Sertifikalar

Sayısal sertifikalar; bir kişinin, bir sunucunun veya bir firmanın kimliğinin tanımlanması ve bir açık anahtarın bu kimlikle ilişkilendirilmesinde kullanılan elektronik belgeler olarak tanımlanmaktadır [14]. Sürücü belgesi, pasaport veya nüfus cüzdanı gibi belgeler; kullanıcının kimliğini kanıtlamak için kullanılan belgelerdir. Açık anahtarlı şifreleme, taklit etme sorununu çözümlemek amacıyla sayısal sertifikaları kullanmaktadır.
Sayısal sertifikalar; açık anahtarın yanında, nesneyi tanıtan isim, geçerlilik süresi, sayısal sertifikayı veren makamın ismi ve seri numarası gibi bilgileri içermektedir. Sayısal sertifikaların içerdiği en önemli bilgi ise, sertifika makamının sayısal imzasıdır.
Sayısal sertifikalar, istemci ile sunucu kimlik doğrulama işlemleri için kullanılmaktadır. İki tip istemci doğrulaması vardır. Şifre temelli kimlik doğrulamada sunucu, isim ve şifrelerden oluşan bir veri tabanı tutmaktadır. İstemcinin girmiş olduğu isim ve şifre, veri tabanındaki bilgilerle karşılaştırılarak kimlik doğrulama işlemi gerçekleştirilmektedir. Kimlik doğrulama işlemi; istemcinin girmiş olduğu isim ve şifre çiftinin, sunucunun veri tabanındaki çiftle aynı olduğu durumda başarıyla sonuçlanmaktadır. Tüm sunucu yazılımları, şifre temelli kimlik doğrulamayı desteklemektedir. Sertifika temelli kimlik doğrulama ise, SSL protokolünün bir parçasıdır. İstemci rastgele üretilmiş veriyi, sayısal imzası ile imzalamakta ve sayısal sertifikası ile birlikte sunucuya göndermektedir. Sunucu, açık anahtarlı kriptografi tekniklerini kullanarak sayısal imzayı doğrulamakta ve sayısal sertifikanın geçerliliğini onaylamaktadır. Şifre temelli kimlik doğrulamada yer alan aşamalar Şekil 7’de gösterilmiştir.
Sayısal sertifika temelli kimlik doğrulamada ise; istemci kimlik doğrulama, sayısal sertifika ve SSL protokolünün kullanımıyla gerçekleşmektedir. Kullanıcının sunucu tarafından doğrulanması için; istemci, rastgele üretilmiş veri parçasını sayısal imzası ile imzalamakta ve sayısal sertifika ile birlikte sunucuya göndermektedir. Sunucu ise sayısal imzasından, kullanıcının kimliğini doğrulamaktadır. Sayısal sertifika temelli kimlik doğrulama; kullanıcının bildiği bir nesne (şifre) değil de, kullanıcının sahip olduğu bir nesne (özel anahtar) gerektirdiğinden dolayı; şifre temelli kimlik doğrulamaya göre daha çok tercih edilmektedir.
Şekil 7. Şifre temelli kimlik doğrulama
Şekil 8’de sayısal sertifika kullanarak istemcinin kimliğinin doğrulanması işleminin aşamaları verilmektedir.

Şekil 8. Sayısal sertifika temelli kimlik doğrulama
Sayısal sertifika içeriği, X.509 v3 standardına göre düzenlenmektedir. X.509 v3 sertifikası, fark edilebilir ismi (distinguished name) bir açık anahtar ile ilişkilendirmektedir. Fark edilebilir isim, bir nesneyi tekil olarak tanıtan bir dizi isim ve değer çifti olarak tanımlanmaktadır. Tipik bir sayısal sertifika, veri ve imza olmak üzere iki kısımdan oluşmaktadır. Veri kısmı, aşağıdaki bilgileri içermektedir [14]:
  • Sürüm numarası
  • Sertifika seri numarası
  • Enformasyon
  • Kullanıcının açık anahtarı ile ilgili enformasyon
  • Sertifikayı dağıtan sertifika makamının tanınır ismi
  • Sertifikanın geçerlilik süresi
  • Sertifikanın fark edilebilir ismi
  • Seçimlik sertifika uzantısı
İmza kısmı ise aşağıdaki bilgileri içermektedir:
  • Sertifika otoritesi tarafından kullanılan kriptografik algoritma
  • Sertifika otoritesinin sayısal imzası
IV. SONUÇ

Elektronik ticaret, 20. yüzyılın son döneminde bilgi ve iletişim teknolojilerinde yaşanan hızlı değişim ve gelişmelere paralel bir şekilde ve giderek artan ölçüde dünya genelinde tartışılan bir kavram olarak ortaya çıkmaktadır. Elektronik ticaret çerçevesinde yaşanan gelişmeler sonucunda pek çok ülke, uluslararası örgüt ve kuruluş; elektronik ticaret ve bu alanla bağlantılı konuları gündemlerine almışlar ve elektronik ticaret olgusunu çeşitli yönleriyle araştırmaya başlamışlardır. E-ticaretteki büyüme potansiyelinin gerçekleşmesini belirleyecek unsur, bazı konuların nasıl ele alınacağına bağlı olmaktadır. Bu konular arasında vazgeçilmez olanların aşağıdaki şekilde sıralanması mümkündür:
  • Uygun bir telekomünikasyon altyapısı ile standartlarının sağlanması
  • Altyapıya girişin arttırılması
  • Yaptırımlar içeren bir yasal çerçeve oluşturulması
  • Enformasyonun güvenliği ve gizliliğin temini
  • Uygun bir vergi rejimi yaratılması
  • Fırsat eşitliğini sağlayacak politikalarla, bilhassa gelişme yolundaki ve en az gelişmiş ülkelerde eğitim düzeyi ve internete giriş imkanlarının arttırılması
Yukarıda belirtilen koşullar sağlanabildiği takdirde, internet aracılığıyla yapılan elektronik ticaret açısından yeni ve değerli fırsatlar yaratılmış olacaktır. Elektronik ticaret kavramında en önemli husus, enformasyon güvenliği olmaktadır. Ancak tam bir güvenlik ortamı sağlandığı takdirde taraflar, güvenilir olarak elektronik ticarete atılmaya başlayacaktır. Bu güveni sağlamak için de çeşitli şifreleme yöntemleri ve algoritmaları, sayısal imzalar ve sertifikalar gibi pek çok kavram ortaya çıkmıştır. Amaç hep aynı olup; kimlik doğrulama, yetkilendirme, güvenilirlik, inkar edememe, bütünlük ve elde edilebilirlik kavramları gibi pek çok fonksiyonun ve gereksinimin karşılanması olmuştur. Bu fonksiyon ve gereksinimlerin karşılanmasını sağlamak üzere geliştirilecek yeni teknoloji ve sistemler, elektronik ticaretin kullanılabilirlik ve güvenilirliğini de arttırmış olacaktır.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler