Şifreleme, WhatsApp’ta mesajlaşmak, çevrimiçi alışveriş yapmak, güvenli bir HTTPS bağlantısı üzerinden makaleler okumak veya bir uygulamaya veya web sitesine giriş yaparken şifrelerini korumak gibi çoğu insan için günlük yaşamın önemli bir bileşenidir.
Kuruluş içinde yetkisiz erişimin önlenmesi ve mahremiyetin korunması, günlük olarak kullanılan hizmetlerin çoğunun şifrelenmesine bağlıdır; Güvenli trafik ve iletişim sağlamak üzere arka planda çalışan bu hizmet, VPN üzerinden yapılan bağlantıları ve uçtan uca ağ bağlantılarını, sunucu, bilgisayar ve bulut uygulamalarına erişimi ve şifre koruma hizmetlerini kapsar. E-posta kadar basit görünen bir şey bile, yalnızca gönderenin ve alıcının mesajları okuyabilmesini sağlamak için güvenli ve şifreli iletim kullanır.
Temeller
Şifreleme, sistemler ve sunucular arasındaki düz metin iletişimlerini en aza indirir; Bir tehdit aktörünün bir kuruluşun sistemlerine erişmesi durumunda, şifrelenmiş trafik, ağdaki verilerin okunmasını veya kuruluşun verilerini bozabilecek kötü amaçlı yazılımların enjekte edilmesini çok daha zorlaştırır.
Şifreleme, hassas verilerin güvenliğini sağlamak için şifreleme yazılımı, şifreleme özellikli depolama cihazları veya şifreleme özellikli ağlar kullanılarak gerçekleştirilebilir. Hem aktarım halindeki hem de beklemedeki (depolanmakta olan) verileri korumak için kullanılabilir ve korunan bilgiyi hem ‘kilitlemek’ (şifrelemek) hem de ‘kilidini açmak’ (şifresini çözmek) için ‘anahtarlar’ gerektirir. Simetrik şifreleme, bilgiyi gönderen ve alan kişinin şifrelemek ve şifreyi çözmek için aynı anahtarı kullanması gerektiği, asimetrik şifreleme için ise iki farklı anahtarın gerekli olduğu anlamına gelir.
Kullanılan şifrelemenin merkezinde yer alan, matematiksel yaratıcılık ile dijital esnekliğin bir karışımı olan şifreleme algoritması, şifrelemenin pratikte ne kadar sağlam olduğunu belirler. RSA (Rivest-Shamir-Adleman) ve AES (Gelişmiş Şifreleme Standardı) gibi saygın algoritmalardan kuantum dirençli şifreleme gibi çağdaş yeniliklere kadar bunlar dijital korumanın temelini oluşturur.
Göz önünde bulundurulması gereken zorluklar
Ancak şifreleme her iki yönde de çalışır; kötü niyetli aktörler de verileri şifreleyebilir. Düz metin olarak saklanan hareketsiz veriler, verilerin şifresini çözmek için gereken anahtarın yalnızca fidye ödendiğinde sağlanacağı bir fidye yazılımı saldırısı başlatmak üzere şifrelenebilir (ve bu bile kesin olmaktan uzaktır). Veri yedeklemeleri bir çözüm olabilir ancak yalnızca verilerin kötü niyetli bir kişi tarafından şifrelenmesini önleyecek kadar korunması durumunda işe yarar.
SaaS uygulamaları gibi bulut tabanlı çözümlerin düşük maliyeti ve uygulama kolaylığı da karmaşıklığı artırıyor; üçüncü taraf sağlayıcılar tarafından yönetilen bu veriler, kuruluşun ‘ağının’ nerede bittiği konusunda belirsizlik yaratırken, veriler yalnızca harici hizmet kadar güvenlidir; kuruluşların, sağlayıcının kullanımda olmayan ve aktarım halindeki veriler için şifreleme kullandığından emin olması gerekir.
Kuantum hesaplamanın ortaya çıkışı aynı zamanda önemli soruları da beraberinde getiriyor; çünkü bu teknolojinin saf gücü, potansiyel olarak geleneksel şifreleme yöntemlerine başarılı bir şekilde saldırmak için gereken süreyi yıllardan saniyelere indirecek. Kuantum sonrası kriptografi, kuantum saldırılarına dayanabilecek algoritmalar geliştirmeye odaklanan oldukça uzmanlaşmış bir araştırma alanıdır; Bunun gelecekte şifrelemenin geçerli bir seçenek olması için yeterince güçlü olup olmadığını zaman gösterecek.
‘Arka kapı’ erişimi riski
Uçtan uca şifreleme, yalnızca belirli kişilerin girebileceği süper güvenli bir odada gizli görüşmeler yapmaya eşdeğerdir. Bununla birlikte, zaman zaman bu tür güvenlikle ilgili kurallar, kolluk kuvvetlerinin gereklilikleriyle çatışabilir; bunun büyük bir kısmı, hükümetlerin uçtan uca mesajlaşmayı başlatma hakkı talep etmesi nedeniyle terörle mücadele önlemlerine dayanmaktadır.
Sorun, hükümetin ve emniyet teşkilatının şifrelenmiş verilere, aynı arka kapının kötü niyetli aktörler tarafından istismar edilmediği sürece ‘arka kapı’ erişimine sahip olamamasıdır. Şirketlerin şifreleme için devlet tarafından tavsiye edilen bir tedarikçi kullanmasını gerektirecek ve diğer her şeyin uyumsuz olduğu kabul edilecek.
Aynı şekilde, güvenli iletişimin doğrudan yasaklanmasının hem birey hem de kuruluş açısından önemli etik ve pratik sonuçları vardır; Açılış paragraflarına atıfta bulunarak, insanların temel kişisel mahremiyet hakkının oldukça dışında, şifreleme, sayısız çevrimiçi etkinliğin perde arkası güvenlik sağlayıcısıdır. Şifrelemenin kısıtlanması veya ciddi şekilde tehlikeye atılması, çevrimiçi alışverişten ağlara yapılan güvenli bağlantılara kadar bunların çoğunu güvensiz hale getirecektir; aynı zamanda veri aktarımını veya kişisel olarak tanımlanabilir bilgilerin (PII) korunmasını da imkansız hale getirecek, bu da birçok işletmenin faaliyet gösteremeyeceği anlamına gelecektir.
Güvenli iletişim ile arka kapı haklarının uyumsuzluğu, birçok mesajlaşma şirketinin, sistemlerine erişimin iktidardakiler tarafından talep edildiği ülkelerden çekilme tehdidiyle belirginleşiyor; Hizmetlerinin artık mevcut olmaması halinde, bu durum birçok kuruluşun bu bölgelerde iş yapma kabiliyetini daha da kötüleştirecektir.
Bu nedenle şifrelemenin en büyük zorluklarından biri, birçok hükümetin ele almak istediği gizlilik ve yasal düzenlemeler arasındaki hassas dengeyi akıllıca yönetmektir.
Anahtar yönetimi ve şifre yöneticileri
Şifreleme, verileri korumak için harika bir araç olsa da, yalnızca bir kuruluşun anahtar yönetim süreçleri kadar güçlüdür.
Örneğin, tüm şifreleme anahtarlarının bir envanteri, verileri güvende tutmak için güvenilen tüm anahtarların merkezi ve bütünsel bir görünümünü sağlar, bir anahtarın izini kaybetme olasılığını azaltır ve şifrelenen bilgilerin bir kaydını sağlar. Anahtarların güvenli bir şekilde saklanması ve ihlal durumunda etkiyi en aza indirmek için uygun bir felaket kurtarma planının uygulamaya konması gerekir. Anahtarların kullanımını ve sıklığını izlemek de önemlidir; erişim kontrolü ise anahtarları kimin kullanabileceğini ve onlarla neler yapabileceğini yönetir.
Etkili anahtar yönetimi aynı zamanda bir (anahtarın) kaybı veya ele geçirilmesi durumunda şifreleme anahtarlarının kaldırıldığı ve değiştirildiği iptali de kapsar.
Kuruluşların şifreleme faaliyetlerini güçlendirmek için üstlenebilecekleri ek faaliyetler vardır. Kişileri şifrelenmiş parola yöneticilerini kullanacak şekilde eğitmek, kullanıcı adlarının ve parolaların açığa çıkması (örneğin, not defterlerine yazılması veya ortak sürücülere kaydedilmesi) riskini azaltırken, herkesin bu uygulamayı benimsemesini sağlamak için kontroller yapılabilir. Şifreleme kullanan donanım ve yazılımlardaki güvenlik açıklarını yamalamak ve düzenli güncellemeleri kontrol etmek çok önemlidir.
Şifreleme: koruma bulmacasının bir parçası
Şifreleme son derece etkili olsa da kuruluşların ‘derinlemesine savunma’ yaklaşımını benimsemesi gerekir. Ağ bölümleme, güvenlik duvarları ve izinsiz giriş tespit sistemleri dahil olmak üzere çok sayıda güvenlik önleminin sürdürülmesinin yanı sıra önemli varlıkların ve iletişimlerin şifrelenmesi, hayati veri varlıklarının bunlara erişimi olmaması gereken kişilerden korunmasına yardımcı olur.