(Alice ve Bob'u içerir)
kaydeden Rajvi Shroff
Bu çok eski bir soru. Alice, Bob'a bir mesaj göndermek istiyor. Ama Alice, kulak misafiri olan Eve onların konuşmalarına bakmadan, hatta belki de onları kurcalamadan bunu Bob'a nasıl gönderebilir? Cevap kriptografidir ve bu makalede kriptografinin sanal dünyayı nasıl desteklediğine dair kısa bir bilgi tazeleyeceğiz.
Genel Bakış: Kriptografi Nerede ve Nasıl Kullanılır?
Kriptografi tarihte ve günümüzde her yerdeydi ve hala da öyle. Caesar Şifresi olarak başlayan şey, Vigenère Şifresine dönüştü ve şimdi Açık Anahtar Şifrelemesini ve daha fazlasını içeriyor.
Kriptografi teknikleri ikiye ayrılabilir: simetrik ve asimetrik algoritmalar. Şifreleme, şifre karma ve hesaplarda oturum açmak için kullanılan tuzlardan, çevrimiçi gezinirken web sitelerinde kullanılan HTTPS ve TLS/SSL şifrelemesine, openPGP ve S/MIME ile ilişkili şifreleme ve şifre çözme işlemlerine kadar dijital yaşamımızın her alanında rol oynar. e-postalarımızı kontrol ederken, hatta kısa mesaj gönderirken uçtan uca şifreleme. Ana hedeflerimiz gizlilik, bütünlük ve özgünlüğü içerir (buradaki “A”, CIA Üçlüsü'nden farklıdır). Gizlilik, mesajınızı yalnızca okuması gereken kişilerin okuyabileceği anlamına gelirken, mesajın bütünlüğü mesajın tahrif edilmediğini gösterir. Özgünlük ise alıcıya gösterilen mesajı gönderenin asıl gönderenden farklı olmadığı düşüncesidir.
(Asimetrik
Kriptografi geliştikçe SSL sertifikaları ve sağlama toplamları gibi kavramlar devreye girdi. Bunun için olası iki şifreleme türü olan simetrik ve asimetrik şifrelemeye dönelim.
Simetrik Anahtar Şifreleme
Anahtar, verileri değiştirmek için kullanılan rastgele karakter dizisidir.
Bu tür şifrelemede hem işlemler hem de şifreleme ve şifre çözme için tek bir anahtar kullanılır. Bu teknikte şifreleme işlemi oldukça hızlıdır. Ancak dezavantajı simetrik anahtar şifrelemenin yalnızca gizlilik sağlamasıdır. Şifreleme algoritmalarına örnek olarak AES ve DES verilebilir.
Asimetrik Anahtar Şifreleme
Bu tür bir şifreleme bunun yerine 2 anahtar kullanır; biri özel, diğeri geneldir. Şifreleme işlemi zaman alsa da simetrik şifrelemeye göre daha güvenlidir. Modern şifreleme sistemimizin çoğunluğu asimetrik anahtar şifrelemesine dayanmaktadır. Örneğin RSA, Diffie-Hellman, DSA ve ECC'miz var.
Açık Anahtar Altyapısı (PKI)
Bu bir tür İki Anahtar Asimetrik Kripto Sistemidir. Kriptosistem, şifreleme algoritmalarının tipik olarak gerektirdiği şeydir; bileşenler şifreleme ve şifre çözme algoritmalarını içerir,
şifreleme ve şifre çözme anahtarları ve düz metin ve şifreli metin. Kriptosistem hem genel hem de özel anahtar kullanır. PKI gizlilik, bütünlük ve özgünlük ilkelerini nasıl sağlıyor?
Hadi bir bakalım:
Gizlilik – Bu çerçevede şifrelemenin çalışma şekli nedeniyle tüm işlemler gizli kalır
Bütünlük – PKI, değişikliğin tespit edilebilmesini ve dolayısıyla bir ihlalin tespit edilebilmesini sağlar
Özgünlük – PKI, dijital sertifikaları etkinleştiren şeydir ve bu da orijinalliği sağlamamıza yardımcı olur.
Kriptografik karmalar ve Uygulamalar
Başka bir yaygın senaryoya bakalım: çevrimiçi dosyaların indirilmesi. İndirdiğiniz dosyanın meşru olduğundan ve aslında bir kötü amaçlı yazılım parçası olmadığından nasıl emin olabilirsiniz? Hash'ler, düz metni şifreli metinle eşleştiren tek yönlü şifreleme algoritmalarıdır. Hashing, bir veri parçasının değiştirilmediğini ve orijinal olduğunu doğrulamak içindir. Hashing'e bazen “tek yönlü şifreleme” de denir, çünkü yalnızca şifrelemesi gerekir ve kolayca tersine çevrilmesi amaçlanmaz.
Kullanıldığında girdiye göre benzersiz bir değer üretecektir. Girdi biraz bile değişirse üretilen karma da değişecektir. Uygulamaları arasında dosya ve yazılım bütünlüğünün kontrol edilmesi, şifre karma ve daha fazlası yer alır.
Dosya bütünlüğü kontrollerinde karma uygulamaları
Örneğin, indirme işleminin bütünlüğünü doğrulamak için bir karma (sağlama toplamı) kullanılır. Sağlama toplamları, algoritmalar tarafından oluşturulan bir sayı ve harf dizisidir. Bunları üreten en popüler algoritmalardan biri de “Güvenli Hash Algoritması” ailesinden bir hash algoritması olan SHA-256'dır. Sağlama toplamı indirme kaynağından verilecektir ve belge yerel olarak indirildikten sonra indirilen dosyanın karması da oluşturulup kaynakla karşılaştırılabilir. Karma aynı değilse, bu durum kurcalamanın kanıtı olduğundan endişe kaynağıdır.
Şifre karma işleminde karma uygulamaları
Hashing'in başka bir kullanımı da şifre karmadır.
Tuzlama, parolalar ve karmalarıyla ilişkili bir kavramdır. Süreç şu şekilde ilerler: şifreye tuz ve karma algoritması eklenir ve bu da karma tuzlu şifreyi verir. Genellikle bu, tuzla birlikte bir veritabanında saklanır. Tuz, şifrenin başına veya sonuna eklenebilir, ancak tuzlama, karma işleminden önce gerçekleşir.
Bir kullanıcı hesabına erişmeye çalıştığında, girdiği şifre karma işlemine tabi tutulur ve ardından dahili dosya sisteminde depolanan karma ile kontrol edilir ve başarılı bir oturum açma için her ikisinin de eşleşmesi gerekir. Site, tüm kullanıcıların şifrelerini bir veritabanında saklar. Site bu konuda güvenliyse, şifrelerin düz metin olarak saklanması yerine (böylece kötü niyetli biri veritabanına erişirse, okuma erişimi kolay olacaktır), şifreler tuzlanacak, karma hale getirilecek ve daha sonra saklanacaktır. Bu bazen, 2019'daki Evite ihlali gibi şifrelerin yalnızca düz metin olarak saklanması nedeniyle bilgisayar korsanlarının sistemlere erişim sağladığı ihlallerin nedenidir.
Diffie-Hellman Anahtar Değişimi
Diffie-Hellman protokolü bilgi alışverişi yerine anahtarların paylaşılması içindir. Kullanımı SSL şifrelemesinden SSH'ye (güvenli kabuk protokolü) ve PKI'ya kadar uzanır. Ayrık logaritma probleminin karmaşıklığına dayanır. Anahtar değişiminin karmaşıklığı, Alice ve Bob'un doğası gereği güvensiz ve Eve'in dinlemesine açık bir ortam üzerinden gizli bir anahtarı paylaşabilmesinde ve anahtarın Alice ile Bob arasındaki gelecekteki iletişimlerin şifrelenmesine olanak sağlamasında yatmaktadır.
RSA Algoritması
RSA (Rivest-Shamir-Adleman) algoritması, büyük asal sayıları çarpanlara ayırmanın zahmetli ve zaman alıcı olduğu fikrine dayanan asimetrik bir anahtar şifrelemesidir. RSA, şu anda SSL gibi dijital sertifikalarda ve dijital imzalarda kullanılan modern bir algoritmadır.
Kriptografi ve Gündelik Siber Güvenlik
Kriptografi, kelimenin tam anlamıyla dünyayı döndürüyor! Bu, dijital dünyamızın temel bir parçasıdır; onsuz birbirimize bağlı kalamayız ve internetteki zengin kaynaklara erişemeyiz.
yazar hakkında
Rajvi Shroff, siber güvenlik alanında ödüllü bir kadın, Cyber Defense Magazine muhabiri ve bilgisayar bilimleri alanında birinci sınıf üniversite öğrencisi. Girls Go Cyberstart ve CyberStart America da dahil olmak üzere ulusal siber güvenlik yarışmalarında 4 kez CTF ulusal kazananı ve 2 kez Ulusal Siber Akademisyeni olup ABD'de ilk 34'e girmiştir. Siber güvenlik konusunda halka açık bir konuşmacıdır ve çeşitli SANS konferanslarında ve Linux Vakfı adına kuantum bilgisayarları gibi teknolojiler ve SANS Pen Test Hackfest Zirvesi'ndeki açılış konuşması da dahil olmak üzere kriptografi gibi konular hakkında konuşmalar yapmıştır. GIAC GSEC ve GIAC GFACT siber güvenlik sertifikalarına sahiptir ve GSEC sertifikasyonunda %90'ın üzerinde puan alması nedeniyle GIAC Danışma Kurulu'na davet edilmiştir ve şu anda bu kurulda yer almaktadır. Siber güvenlik odaklı gençlerin dijital güvenlik hakkında makaleler yazmasına yönelik küresel bir platform olan Cyber Student Crew'un (önceki adıyla Project Cyber) kurucusudur. Ayrıca, NPR'ye bağlı bir kamu medya yayın kuruluşu olan KQED'in Gençlik Danışma Kurulu'nda görev yaptı ve burada KQED Forumu için halkın farkındalığını artırmak amacıyla siber güvenlik konusunda canlı bir radyo talk show bölümünün ortak yapımcılığını üstlendi. Siber güvenlik alanındaki çabalarından dolayı Ulusal Kadın ve Bilgi Teknolojileri Merkezi NCWIT tarafından 2023 Bilgisayarda Ulusal Ödül Kazananlarından biri seçildi.
Rajvi'ye https://www.linkedin.com/in/rajvi-khanjan-shroff-791007261 adresinden çevrimiçi olarak veya şu adrese e-posta yoluyla ulaşılabilir: [email protected]