Açık Anahtar Altyapısı (AAA) Sistemindeki Sertifikasyon Problemleri ve Diğer Güvenlik Sorunları

Ebat: px
Şu sayfadan göstermeyi başlat:

Download "Açık Anahtar Altyapısı (AAA) Sistemindeki Sertifikasyon Problemleri ve Diğer Güvenlik Sorunları"

Transkript

1 Açık Anahtar Altyapısı (AAA) Sistemindeki Sertifikasyon Problemleri ve Diğer Güvenlik Sorunları Dinçer Önel Gebze Yüksek Teknoloji Enstitüsü Mühendislik Fakültesi Gebze, Kocaeli Özet Bu makalede İnternet üzerinden güvenli haberleşmeyi sağlayan ve son yıllarda uygulamalarını sıkça gördüğümüz açık anahtar altyapısının (AAA) kullanımıyla ortaya çıkmaya başlayan problemler tartışılmıştır. Üretici firmalar tarafından, ilk ortaya çıktığında tüm dertlere çözüm getiren bir sihirli değnek gibi tanıtılan açık anahtar altyapısı sistemine bu makaleyle eleştirel bir bakış getirilmeye çalışılmıştır. Teoride sorunsuz çalıştığı ve güvenliği garanti ettiği iddia edilen açık anahtar altyapıları günlük hayatta uygulamaya geçtikçe bir takım sorunları da beraberinde getirmiştir. Özellikle güven sorunu ve sertifikasyon problemi üzerinde durulmakla beraber diğer güvenlik sorunlarına da değinilmiştir. 1. Giriş Açık anahtar altyapısının temeli, 1976 yılında Stanford Üniversitesinden Diffie ve Hellman tarafından ortaya atılan yeni bir şifreleme mantığına dayanmaktadır [1]. Açık anahtar tabanlı şifreleme adını verdikleri bu yeni sistemde karşı tarafa gizli bir mesaj göndermek istediğimizde eskiden olduğu gibi aynı gizli anahtarla mesajı kapatıp açma yerine, mesajı şifrelerken açık anahtar karşı tarafta açarken de özel anahtar kullanılmaktadır. Böylece gizli mesajı sadece özel anahtara sahip olan kişi açıp okuyabilmektedir. Kriptografi tarihinde yeni bir çığır açan bu düşünce zaman içinde daha da geliştirilmiş gizlilik dışında, bütünlük, kimlik doğrulama ve inkar edememe gibi olmazsa olmaz güvenlik işlevlerini de açık anahtar altyapıları bünyesinde sağlar hale getirilmiştir. Açık anahtar altyapısı sisteminde her kullanıcıya sertifika otoritesi dediğimiz güvenilir merkezler tarafından, kullanıcıların kimlikleriyle ilişkilendirilmiş sertifikalar dağıtılmaktadır. Kullanıcın açık anahtarı, ismi, e-posta adresi gibi kimlik bilgilerini içeren bu sertifikalar, sertifika otoriteleri tarafından imzalanarak oluşturulurlar ve erişime açık bir depolama merkezinde tutulurlar. Bu sistemde herkese ait bir anahtar çifti bulunmak zorundadır. Birbirleriyle ilişkili bu anahtarlardan deşifreleme ve imza atma için kullanılan, ve sadece sahibi tarafından bilinene özel anahtar; şifreleme ve imza doğrulama için kullanılan ve herkes tarafından bilinebilen anahtara da açık anahtar denmektedir. 2

2 Burak ismindeki kullanıcının, Ayşe isimli kullanıcıya şifreli ve imzalı bir mesaj iletmek istediği durumu ele alalım. Her iki kullanıcı da bir adet özel anahtara ve bir adet açık anahtara sahiptir. Açık anahtarlar kullanıcılara ait diğer kimlik bilgileriyle beraber sertifikalar halinde, sertifika otoritelerinde erişime açık halde bulunmaktadır. Burak öncelikle Ayşe nin sertifikasını sertifika otoritesinden ister. Ayşe nin sertifikasının sonundaki sertifika otoritesine ait imza sayesinde Burak doğru kaynaktan bir sertifika aldığına emin olur. İletmek istediği mesajı Ayşe nin açık anahtarını da kullanarak bir şifreleme algoritmasından geçiren Burak mesajı gizlemiş olur. Elde ettiği gizli mesajı sadece kendisinde bulunan özel anahtarla da imzaladıktan sonra Burak mesajı Ayşe ye gönderir. Karşı taraftaki Ayşe ise mesaj kendine ulaştıktan sonra sertifika otoritesinden elde ettiği Burak a ait açık anahtarın bulunduğu sertifika ile önce mesajın gerçekten Burak tan gelip gelmediğine emin olur. İmza doğrulamasıyla mesajın kimden geldiğine emin olan Ayşe kendi özel anahtarıyla şifreli mesajı açar ve böylece güvenli haberleşme süreci tamamlanmış olur. İlk bakışta yukarıda anlatılan sistemin işleyişinde herhangi bir kusur görülmemekte, her şeyin son derece mantıklı ve güvenlik prensiplerine uygun geliştiği söylenebilmektedir. Teorik olarak bunu doğru kabul edebiliriz, fakat kullanımının yaygınlaşmasıyla açık anahtar altyapısının aslında hala bazı sorunları ortadan kaldırmadığı, bir takım önemli problemleri bünyesinde barındırdığı daha da bariz bir şekilde ortaya çıkmıştır [2]. Bu problemleri sırayla ele alalım. 2. Güven Sorunu Açık anahtar altyapısında sistemin en önemli öğesi olarak kabul edilen unsurlar sertifika otoriteleridir (SO). Açık anahtarlar herkese dağıtılabilir, ancak hangi anahtarın kime ait olduğundan emin olmak gerekmektedir. Bu konuda kişisel beyanlara güvenilemez. Bu sebeple sertifikalar kullanılmaktadır. Güvenilir olduğu kabul edilen sertifika otoriteleri kendi sayısal imzalarını kullanarak sertifika üretirler ve bunları sistemdeki kullanıcılara dağıtırlar. En basit anlatımı ile sertifika, bir açık anahtar ile sahibinin kimliği arasında bağıntının belgesidir. Diğer bir anlatımla sertifika, bir açık anahtarın kime ait olduğunu ispatlayan belge hükmündedir. Sertifika otoriteleri kendi sayısal imzalarını kullanarak bu sertifikaları üretirler. Sertifika otoritesinin imzasını doğrulayarak sertifika otoritesinden emin olan kişi aynı zamanda onun ürettiği sertifikalardaki açık anahtarların sahiplerinin kimliklerinden de emin olur. Güvenilir sertifika otoriteleri tarafından üretilen sertifikaların içerdiği bilgilerin doğru olduğu varsayılır. Açık anahtar altyapısında güven sorunu olarak tanımladığımız problemin temelinde bu varsayım yatmaktadır. Sertifika otoriteleri tanım olarak güvenilir diye tabir edilirler. Güvenilir olduğu kabul edilen sertifika otoritelerinin ürettiği sertifikaların içerdiği bilgilerin sadece doğru varsayılabilmesi bu noktada bir çelişki oluşturmaktadır. Güvenilir sıfatı, varsayımdan daha kuvvetli bir anlam içermelidir. Aslında buradaki sorun güvenilir kelimesinin tam kesinlik ifade etmeyen kullanımından kaynaklanmaktadır [3]. Kriptografi literatüründe sertifika otoriteleri, özel anahtarlarının idaresini kendi başlarına halledebilen unsurlar olarak 3

3 tanımlanmaktadır. Bu ifade, bir kişinin belirli bir sertifika otoritesinden alınmış olan ve başka bir kişiye ait sertifikaya kayıtsız şartsız güvenmesini gerektirmemektedir. Kullanıcılardan sertifika otoritelerine ve altlarında onların imzasını taşıyan sertifikalara güvenilmesi beklenmektedir [4]. Kullanıcılar bu güvenin nerden ve kimden geldiğini sorgulayamamaktadır. Zaten bu işi açık anahtar altyapısına uyumlu uygulamalar kullanıcı yerine otomatik olarak yapmaktadır. Sertifikaları doğrulamak için gerekli olan kök sertifika otoritelerine ait olan sertifikalar İnternet tarayıcı programları ve elektronik posta uygulamalarıyla beraber gelmektedir. Kullanıcılar bu uygulamalarla beraber gelen kök sertifika otoritelerine güvenmek zorunda bırakılmaktadır. Açık anahtar altyapısı kavramsal olarak karmaşık bir yapı arz ettiğinden dolayı çoğu kullanıcı sistemi anlayamamaktadır. Bu sebeple çoğu kullanıcı kavramdan habersiz bir şekilde sistemi kullanmakta ve farkında bile olmadan bu kök sertifika otoritelerine güvenmektedir. Sistemi az da olsa anlayan kullanıcılar ise isteyerek veya istemeyerek, İnternet tarayıcı program üreticisi bunlara güveniyorsa ben de güvenirim gibi veya benzeri bir mantıkla, kök sertifika otoritelerine güvenmektedir, daha doğru bir ifadeyle güvenmek zorunda bırakılmaktadır. Güvenmek zorundadırlar çünkü aksi takdirde sistemi kullanmaları imkansız hale gelmektedir. Uygulamalarla beraber gelen kök sertifika otoriteleri dışında bir sertifika otoritesi ile karşılaşıldığında ise, uygulama yazılımı kullanıcıya söz konusu sertifika otoritesine güvenilip güvenilmediğini soracaktır. Bu soruya cevap vermek çoğu kullanıcı için zordur. Çünkü söz konusu yeni sertifika otoritesi tanınmış biri değildir. Kullanıcıda, güvenilir biri olsa zaten listede olurdu şeklinde bir düşünce hakim olacaktır. Belki de geçerli olduğu halde uygulama yazılımı üreticisi ile anlaşması olmadığından dolayı kullanıcı o sertifika otoritesine güvenmeyecektir. Görüldüğü gibi kullanıcılar kime ne sebeple güvenmeleri gerektiği konusunda yeterli bilgi sahibi olamamakta ve sadece kendilerinden bekleneni yerine getirmektedirler. Giriş bölümünde verdiğimiz örnek modele tekrar geri dönüp güven sorununun nasıl ortaya çıktığına bakalım. Burak ve Ayşe isimli kullanıcılar açık anahtar altyapısını kullanarak aralarında güvenli bir haberleşme gerçekleştirmek istiyorlar. Burak ismindeki kullanıcı Ayşe isimli kullanıcıya şifreli ve imzalı bir elektronik posta iletmek istemektedir. Bunu gerçekleştirmek için Burak, Ayşe nin sertifikasına ihtiyaç duymaktadır. Burak, öncelikle Ayşe ye sertifikasını vermiş olan sertifika otoritesinden Ayşe ye ait sertifikayı ister. Aldığı sertifikanın güvenli bir otoriteden gelip gelmediğini anlamak için, Burak ın kendisine iletilen sertifikayı kontrol etmesi gerekmektedir. Ayşe ye ait olduğu iddia edilen sertifikayı açan Burak, bu sertifikayı üretmiş olan sertifika üreticisinin kullandığı elektronik posta uygulamasında önceden tanımlanmış güvenilir kök sertifika otoritelerinden biri olup olmadığını görebilmektedir. Fakat yukarıda da belirttiğimiz gibi, bu güvenilir kabul edilen kök sertifika otoriteleri kullanılan uygulama yazılımları ile beraber gelmektedir. Burak hangi kök sertifika otoritesine güvenip güvenmeyeceğini kendisi seçmemiştir. Kaldı ki Burak ın kendi başına sertifika otoritelerine bir güven onayı vermesi gibi bir olay da zaten söz konusu bile değildir. Kullandığı elektronik posta uygulaması Burak tan önceden tanımlı bu kök sertifika otoritelerine güvenmesini beklemektedir. Sertifika üretip dağıtmak için gerekli yazılımları bulmak günümüzde hiç de zor değildir. Kişisel bir sertifika otoritesi kurup herkese ücretsiz sertifika dağıtmak da mümkündür. Ancak bu şekilde kurulan sertifika otoritelerinin var olan güven ağına girmeleri pek olası değildir. O yüzden bu sertifika otoriteleri tarafından üretilen 4

4 sertifikalar, kullanılan uygulama yazılımının verdiği uyarı mesajından ötürü kullanıcılar tarafından kuşkuyla karşılanacaktır. Geçerli bir sertifika otoritesi dahi olsa güvenilir kabul edilen kök sertifika otoriteleri arasında değilse uygulama yazılımı kullanıcıları bu sertifika otoritesine karşı uyaracaktır. Dolayısıyla Burak isimli kullanıcı uygulama yazılımının belirttiği kişilere güvenmek zorunda bırakılmaktadır. Burak kime ne sebeple güvenmeliyim sorularıyla sistemi sorgulamak istediğinde de sistemi kullanması imkansız hale gelmektedir. Burak isteyerek veya istemeyerek güvenilir kabul ettiği Ayşe ye ait olan sertifika ile mesajını şifreleyip kendi sertifikasıyla da imzaladıktan sonra mesajı karşı tarafa gönderir. Mesajı alan Ayşe eğer mesaj gerçekten de kendisine ait olan doğru sertifika ile şifrelenmişse mesajın şifresini başarıyla çözebilecek ve mesajın açık halini okuyabilecektir. Bundan sonra Ayşe nin mesajın gerçekten Burak tan gelip gelmediğine emin olması, yani Burak ın imzasını doğrulaması gerekmektedir. Bunun için Ayşe, Burak a sertifikasını vermiş olan sertifika otoritesinden Burak a ait olan sertifikayı ister. Kendisine gönderilen sertifika ile imzayı doğruladığı takdirde Ayşe, mesajın Burak olduğu iddia edilen kişi tarafından gönderildiğine emin olur. İmza doğrulanamazsa bu durum, mesajın Ayşe nin kullandığı elektronik posta yazılımı tarafından güvenilir kabul edilmeyen bir sertifika otoritesinden alınmış bir sertifika ile imzalandığı anlamına gelmektedir. Yukarıda Burak için bahsettiğimiz kime ne sebeple güvenmeliyim sorularıyla ilgili durumlar Ayşe için de geçerlidir. Ayşe de sadece kendisinden güvenmesi beklenen kişilere güvenmek durumunda bırakılmaktadır. Ayşe nin kullandığı uygulama yazılımı hangi sertifika otoritelerine güveniyorsa Ayşe de onlara güvenmek zorundadır. Sonuç olarak örnek modelle de gördüğümüz gibi, açık anahtar altyapılarını kullanan sistemlerde güven ve güvenilirlik problematik bir konu olarak karşımıza çıkmaktadır. Kullanıcılar bir varsayımla sistemdeki diğer kullanıcılardan ve unsurlardan emin olabilmekte, kendilerinden beklenenin ötesinde bir güven sorgulamasına girdiklerinde ise sistemi kullanamaz duruma düşmektedirler. 3. Sertifikasyon Problemi Güven sorunu bölümünde de anlatıldığı gibi açık anahtar altyapısı tabanlı sistemlerde, sertifika otoriteleri denilen güvenilir merkezler tarafından sistemdeki kullanıcılara kendilerinin kimlik bilgilerini içeren sertifikalar dağıtılmaktadır. Sertifika edinme isteğiyle sertifika otoritesine başvuran bir kullanıcının kimlik bilgilerinin ve diğer tanımlayıcı bilgilerinin doğrulanması, diğer bir deyişle gerçekten iddia ettiği kişi olduğunun onaylanması işlemine sertifikasyon denmektedir. Bu işlem sertifika otoriteleri tarafından yürütülmekte ve yeni kullanıcıları sisteme dahil etme esnasında gerçekleştirilmektedir. Sertifika üretilirken sertifikanın sahibi olacak kişinin kimliği sertifika otoritesi tarafından doğrulanmalıdır. Bunun için ise kullanışlı olmayan, örneğin kişisel başvuru veya kimlik fotokopisi fakslamayı gerektiren, çevrim dışı yöntemlerin devreye girmesi gerekmektedir. Bu tür yöntemler sertifika sahibi olmayı zorlaştırmaktadır. Diğer taraftan, çevrim içi kayıt etme ve kimlik doğrulama yöntemlerini kullanan ve class-1 sertifika olarak sınıflandırılan sertifika tipleri de bulunmaktadır. Ancak bu tür sertifikalarda kullanılan kimlik doğrulama yöntemlerinin güvenlik açısından zayıf 5

5 tarafları bulunmaktadır. Bu sebeple de çevrim içi yöntemler değişik ataklara karşı korumasız kalmaktadırlar. Sertifikasyon problemi olarak adlandırdığımız sorun, en basit anlatımı ile, sertifikadaki açık anahtar ile sertifika sahibine ait tanımlayıcı bilgiler arasındaki bağıntının sağlamlığını ve doğruluğunu garanti edebilmenin zorluğundan kaynaklanmaktadır [5]. Sertifikalar genelde bir açık anahtar ile sahibinin ismini ilişkilendirirler, fakat bu ilişkilendirmenin ne derece gerçeği yansıttığının kesin olarak bilinebilmesi zorluklar içermektedir [6]. Problemi daha da netleştirmek için Burak Demir isimli kullanıcıdan imzalı bir elektronik posta aldığımız durumu inceleyelim. Bizim tanıdığımız sadece bir tane Burak Demir olabilir, peki sertifika otoritesi kaç tane Burak Demir isminde kullanıcıyı biliyor? İmzayı doğrulamak için sertifika otoritesinden Burak Demir in sertifikasını istediğimizde, bize verilen sertifikanın tanıdığımız kişiye mi yoksa aynı isimde başka bir kişiye mi ait olup olmadığını nasıl anlayacağız? Mesajla beraber açık anahtarı da şahsen tanıdığımız Burak Demir in elinden almış olsaydık doğru kişi olduğundan emin olabilirdik. Fakat mesajı elektronik posta yoluyla aldığımızdan sertifika otoritesinin bize verdiği sertifikaya, dolayısıyla açık anahtarın Burak Demir e ait olduğuna inanmak zorundayız. Sertifikadaki açık anahtar ile sahibinin ismi arasındaki bağıntının, sertifika sahibine ait daha çok tanımlayıcı bilgiyle genişletilmesi gerekmektedir. Bu sayede aynı isimdeki birçok kullanıcı arasından bizim tanıdığımız kişiyi ayırabilmemiz kolaylaşacaktır. Bu seferde tanıdığımız kişinin tanımlayıcı bilgileri hakkında ne kadar detaylı bilgi sahibi olduğumuz sorunu karşımıza çıkmaktadır. Bizim bilmediğimiz küçük bir fark dışında diğer bilgileri tanıdığımız kişiyle aynı olan başka bir Burak Demir den bu elektronik postayı almış olamaz mıyız? [3]. Bu tip kuşkular, açık anahtar altyapısındaki sertifikasyon olayının aslında göründüğünden daha da zor bir işlem olduğunu anlamamıza yardımcı olmaktadır. Açık anahtar altyapısı sisteminde, açık anahtarla mesajın şifrelenmesi ve sadece özel anahtarla şifreli mesajın açılabilmesi sayesinde gizliliğin büyük bir başarı ile sağlandığı konusunda kimsenin şüphesi bulunmamaktadır [3]. Mesajını alıcının açık anahtarıyla şifreleyerek gönderen taraf, mesajının sadece şifrelemede kullandığı açık anahtarın çifti olan özel anahtarla açılabileceğinden emin olabilmektedir. Mesaj iletim esnasında kimin eline geçerse geçsin, özel anahtar olmadan gizli mesajın okuması mümkün değildir. Fakat güvenlik sadece gizliliğin başarılı bir şekilde sağlanmasıyla gerçekleşmez, bunun yanında başka prensiplerin de sağlanmış olması gerekmektedir ki, sertifikasyonla alakalı olarak, kimlik doğrulama bunların en önemlilerinden biridir. Bu mesaj gerçekte kimden gelmiştir? Anahtar gerçekten gönderen kişiye mi aittir? Gönderilen anahtar hala geçerli bir anahtar mıdır? Bu tarz soruların artmasıyla zaman içinde açık anahtar altyapısının, doğru anahtarın edinilmesi, tanınması, dağıtımı ve onaylanması problemlerine yeterli çözümler getirmekte zorlandığı ortaya çıkmıştır. Kimlik doğrulaması düzgün olmayan bir haberleşmenin gizli olabileceğini söyleyebiliriz, ama güvenli olduğunu iddia etmek mümkün değildir. Yukarıda da belirttiğimiz gibi sertifikasyondaki temel amaç açık anahtar ile sahibi arasındaki bağın yüzde yüz kesinlik taşıyan bir gerçeklik ile oluşturulmasıdır. Şurası açıktır ki, herhangi bir kişiyle ilişkilendirilmemiş bir anahtar bit dizisinden başka bir şey değildir. Bana ait olabileceği gibi bir başkasına da ait olabilir. Açık anahtarla 6

6 bağıntı kurulurken kullanılan isimler veya diğer tanımlayıcı bilgiler de (elektronik posta adresi, çalıştığı şirket ismi gibi) çoğu zaman yeterli olmamaktadır [7]. Bu noktada da devreye noter gibi legal birimlerin girmesi gerekmektedir. Bu durumda sertifika sahibi olmak isteyen kişinin kimliğini ve kendisiyle ilgili tüm tanımlayıcı bilgileri böyle bir legal birim huzurunda onaylatmasını zorunlu hale gelmektedir. Bu türdeki sertifikalar ise ücret karşılığı verilmektedir. Öte yandan deneme amaçlı ücretsiz class-1 sertifikalar da bulunmaktadır; fakat bunlar genelde geçici süreyle verilmekte olup süre bitiminde aynı anahtarın kullanımına devam etmek için ücretli sisteme geçmek gerekmektedir. Kaldı ki class-1 sertifikalarda kullanılan kimlik doğrulama yöntemleri yukarıda da belirtildiği üzere ataklara açık yöntemlerdir. Legal bir birim onayı gerektiren daha yüksek derecede güvenlik ve kimlik doğrulama prosedürlerinin kullanıldığı durumlarda (class-2, class-3 sertifikalar için) ise yıllık ücretler ödemek şarttır. Az sayıdaki kullanıcıyı yüksek güvenlikli sertifika (class-2, class-3 gibi) sahibi yapmak kolay olabilir, fakat bir şirketteki tüm kullanıcılara bu tip sertifikalardan dağıtmak maliyeti çok fazla arttıracağı gibi herkesin teker teker legal bir birim tarafından onaylanmasını da gerektirdiğinden pratik olmayacaktır. W. Diffie ve M. E. Hellman açık anahtar kriptografiyi ilk kez bilim dünyasına duyurduklarında açık anahtarlara kolayca erişime imkan veren ve bildiğimiz telefon rehberlerinin benzer bir biçimi olan bir sistem öne sürmüşlerdi. Bu sistemde, telefon rehberlerindeki isim, adres, telefon numarası bağıntısı yerine isim, adres, açık anahtar bir arada sunuluyordu. Diyelim Burak Demir in açık anahtarını bulmamız gerektiğinde, rehberden Burak Demir ismini bulup adresinin doğruluğunu kontrol ettikten sonra karşılık gelen açık anahtarı almamız yeterliydi. Küçük ölçekli bir kurum veya işletmede bu sistem sorunsuz çalışabilir. Fakat altyapının çok daha büyük olduğu alanlarda bu tip bir sistemin sağlıklı çalışabilmesi kat kat zor olacaktır. Hatta küresel İnternet dünyasını ele aldığımızda, tüm İnternet kullanıcılarını içeren bir rehberde aradığımız kişiyi bulmamız ve doğru kişi olduğundan emin olmanın imkansız olacağını hayal etmek hiç de zor olmasa gerek [3]. Aşağıdaki resimlerde açık anahtar altyapısındaki sertifikasyon esnasında yapılan kimlik doğrulama işleminin değişik durumlarda ne gibi problemler içerdiği açıklanmaya çalışılmıştır [3]. Örnek 1. Ceren Ceren Ayşe Bu örnekteki durumda herhangi bir problem yoktur. Ayşe Ceren i yüz yüze görmüştür ve kimliğini doğrulamıştır. Ceren in açık anahtarlarının kendisine ait olduğu Ayşe tarafından kesin olarak bilinmektedir. 7

7 Örnek 2. Ayşe Burak Bu örnekte Burak Kc anahtarının kime ait olduğunu bilmek istemektedir. Fakat Burak Örnek 1 de olduğu gibi yüz yüze Ceren in kimliğini doğrulayamamaktadır. Kc anahtarının Ceren e ait olup olmadığını bulmak için Burak, Ayşe nin Ceren hakkındaki bilgisinden yararlanır. Fakat her ikisi de tanıdıkları Ceren in aynı kişi olup olmadığını bilememektedirler. Örnek 3. Ceren Ceren Ayşe Burak Bu örnekte Burak ve Ayşe isimleri karşılaştırma yoluyla tanıdıkları Ceren lerin aynı kişiler olup olmadığını anlamaya çalışmaktadır. Buradaki problem tanıdıkları kişilerin aynı isme sahip olmalarına rağmen farklı kişiler olabilmelerinden kaynaklanmaktadır. 8

8 Örnek 4. İmza Onay Ayşe Burak Bu örnekle Ayşe ve Burak güvenli haberleşmek istediklerinde ortaya çıkabilecek riskler gösterilmek istenmiştir. Resimdeki harf belirteçlerini takip ederek: A) Ayşe nin bilgisayarına bir saldırı olabilir. B) Bir saldırgan Ayşe nin imzasıyla gönderilmek üzere Ayşe ye bir doküman gösterip, farklı bir dokümanı imzalayıp gönderebilir. C) Ayşe nin anahtarları bilgisayarından çalınabilir. D) Mesajların iletildiği kanal üzerinde bir atak gerçekleşebilir. E) Bir saldırgan Burak ın bilgisayarındaki Ayşe ye ait anahtar yerine kendi anahtarını koyup Burak ı yanıltabilir. F) Bir saldırgan Burak a Ayşe nin imzasının onaylanmadığı yalanını söyleyerek Burak ı yanıltabilir. 4. Özel Anahtar Güvenliği Açık anahtar altyapısı tabanlı sistemlerin taşıdığı en büyük risklerden birisi de kullanıcılara ait özel anahtarların korunmasıyla ilgili olandır. Giriş bölümünde de belirtildiği gibi özel anahtarlar; şifreli mesajları açmada (deşifreleme) gerekli olan ve iletilecek mesaja imza atma için kullanılan anahtarlardır. Özel anahtarların sadece sahibi tarafından bilinmesi gerekmektedir. Bana ait olan özel anahtarlarımın bir başkasının elinde olması o kişiye, bana gelmiş olan gizli mesajları okuyabilme ve benim yerime imzalı mesaj gönderebilme imkanı vermektedir [8]. Özel anahtarlar yüksek derecede koruma gerektiren değerli unsurlardır. Peki bunları nasıl korumamız gerekmektedir? Genelde çoğu kişi veya kurum fiziksel erişim kontrolü yapılan, elektromanyetik kaçaklara karşı korumalı veya diğer koruma yöntemleri ile korunmuş, yeterli seviyede güvenli sayılabilecek bir bilgisayar 9

9 sistemine sahip değildir. Özel anahtarlar çoğunlukla sıradan kişisel bilgisayarlarda saklanmaktadır. Bu bilgisayarlar ise virüs yazılımlarının veya diğer kötü niyetli programların saldırılarına maruz kalabilmektedir. Özel anahtarlarımızın kişisel bilgisayarımızda güvenli bir şekilde saklandığını kabul etsek bile, bilgisayarımızı kapısı kilitli ve kamera gözetimli bir odada tutmadıkça, onları sadece kendimizin kullanabildiğinden nasıl emin olabiliriz? Eğer özel anahtarlarımızı bir parola ile koruyorsak, bu parolayı tahmin etmenin zor olmadığından emin olabiliyor muyuz? Eğer özel anahtarlarımızı bir akıllı kartta saklıyorsak, bu akıllı kartın ataklara karşı direncinin yeterli düzeyde olup olmadığını bilebiliyor muyuz? [3]. Bu türden sorular açık anahtar altyapısı kullanıcılarında kuşkulara yol açmakta ve sisteme güvenmelerini zorlaştıran faktörler olarak karşılarına çıkmaktadır. Özel anahtarın sadece sahibi tarafından kullanılabilmesi, dört ana güvenlik prensibinden inkar edememe olarak bilinen ilkenin hayata geçirilmesini sağlamaktadır. İmzalanmış olarak gönderilen bir mesajın altındaki imzanın sahibi bu mesajı gönderdiğini legal bağlamda inkar edemez. Yukarıda da ifade ettiğimiz gibi imzalama işlemi sadece sahibi tarafından bilinen özel anahtarla yapılabilmektedir. Güvenilir bir sertifika otoritesi tarafından onaylanan bir imzalama anahtarı (özel anahtar) ile yapılan işlemlerin tek sorumlusu anahtar sahibidir. Bu işlemler bir başkası veya bir virüs yazılımı tarafından yapılmış bile olsa sorumlu olarak anahtar sahibi bilinir. Dolayısıyla, imzalı bir mesajın, imza yada özel anahtar sahibi kişi tarafından gönderildiği kabul edilir. Bir başkasının bizim açık bilgilerimizden yola çıkarak bu özel anahtarı üretmesi ise matematiksel açıdan imkansız kabul edilmektedir. Bu sebeple özel anahtarlar çok iyi korunmalı, bir başkasının veya zararlı bir yazılımın erişimine kesinlikle engel olunmalıdır. Aksi takdirde haberimiz bile olmadığı halde bizi çok zor bir duruma düşürecek bir metnin altında kendi imzamızla karşılaşabiliriz. 5. Kullanıcı Hataları Açık anahtar altyapısının sunduğu güvenlik hizmetlerinin önündeki en büyük engellerden biri de kullanıcılardan kaynaklanan hatalardır. Açık anahtar teknolojilerinin kavramsal olarak zor anlaşılması kullanıcılar tarafından kritik güvenlik hataları yapılmasına yol açabilmektedir [9]. Güvenliği pek çok halkanın bir araya gelmesiyle oluşan bir zincire benzetebiliriz. Bu zincirin sağlamlığı en zayıf halkanın sağlamlığına eşittir. Açık anahtar tabanlı bir sistemin güvenliği de birden çok unsurun sağlamlığı üzerine inşa edilmektedir [3]. Bu unsurların her biri kriptografik değildir. Algoritmalar, protokoller, otoriteler, şifreleme anahtarları gibi unsurların dışında insanlar da bu sistemin bir parçasını teşkil etmektedir. Açık anahtar altyapıları insandan bağımsız olarak düşünülemez. Çünkü bu altyapıları belli amaçlar için kullananlar insanlardır. Yukarıda da belirtildiği gibi açık anahtar altyapıları kavramsal açıdan karmaşık bir yapı arz ettiklerinden dolayı olayların işleyişini anlamak çoğu kullanıcı için zor olmaktadır. Zaten çoğu kullanıcı sistemi anlayamadığı için altyapıyı bir çok temel kavramdan habersiz şekilde bilmeden kullanmaktadır. Bu sebeple kullanıcı olarak sistemi kullanırken dikkat etmesi gereken kurallara uymamakta ve kendisine ait sorumlulukların bilincinde olamamaktadır. Örneğin çoğu kullanıcının, oldukça kritik öneme sahip özel anahtarının nerede ve nasıl saklandığı konusunda bilgisi yoktur. Özel anahtarın bir başkasının eline geçmesi durumunda yaşanabilecek kötü durumlardan bir önceki bölümde bahsetmiştik. Bir diğer örnek ise çoğu kullanıcının kendisine ulaşan diğer kişi veya kurumlara ait sertifikaların geçerliliğini nasıl kontrol 10

10 edileceğini bilmemesidir. Bu durumda kullanıcıların geçersiz sertifikalar ile yanıltılması söz konusu olabilmektedir. İnternet üzerinden tarayıcı programı kullanarak bankacılık işlemleri yapmak isteyen bilinçsiz bir kullanıcıyı bu yolla bankaya ait olmayan bir siteye yönlendirmek ve şifre bilgisini çalmak hiç de zor değildir. Bu gibi örnekleri çoğaltmak mümkün. Sonuç olarak şunu söyleyebiliriz ki açık anahtar tabanlı sistemlerin anlaşılması kullanıcıların kapasitelerini aşmaktadır. Bu da sistemin sağlıklı kullanımını olumsuz yönde etkilemektedir. 6. Uygulama Kaynaklı Sorunlar Açık anahtar altyapısı sihirli bir değnek değildir. Sadece bir altyapıdır. Bu altyapının sağlıklı bir şekilde kullanımına imkan veren uygulamalar olmak zorundadır. Bunun için kurumların bu konuda ciddi yatırımlara girmesi gerekmektedir. Ayrıca geliştirilen uygulamalar da açık anahtar altyapısının etkin ve kolay kullanımına imkan verebilmelilerdir [10]. Öte yandan varolan uygulamaların da bu altyapıya uyumlu hale getirilmeleri zorunludur. En fazla sorun da bu noktada yaşanmaktadır. Zaten hatırı sayılır bir yatırım yaparak açık anahtar altyapısı kuran kuruluşlar, bir de uygulamalarını değiştirmek zorunda kalmakta ve bu konuda yatırıma gitmek istememektedirler. Uygulama ile ilgili başka bir sorun ise, sertifika kullanımını gerektiren e-ticaret gibi kişisel yanı da olan uygulamalarda, son kullanıcının bazı yazılımlar kurmak zorunda bırakılmasıdır. Kullanıcılar genellikle bu tür yazılımlara kuşkuyla yaklaşmaktadırlar. Gerek kurulumda karşılaşılabilecek bazı zorluklar, gerek zaman ve bant genişliği eksikliği, gerekse de virüs korkusu yazılım kurmayı gerektiren uygulamaların yaygınlaşması önündeki önemli engellerden birkaçıdır. 7. Sonuç Yaklaşık olarak 25 senelik bir mazisi olan açık anahtar tabanlı şifreleme sistemleri ancak son 10 yılda son kullanıcılara erişen uygulamaların parçası olmuştur. Bu 10 yıl içinde de açık anahtar tabanlı şifreleme sistemlerinin hız ve açık anahtar dağıtım sorunları sistemlerin hızlı gelişmesinin önünde engel teşkil etmiştir. Bununla beraber teorik olarak sorunsuz çalıştığı ve güvenliği garanti ettiği öne sürülen açık anahtar altyapıları günlük hayatta insanlar tarafından kullanılmaya başlandıkça bir takım sorunları da beraberinde getirmiştir. Bu çalışmada özellikle güven sorunu ve sertifikasyon problemi üzerinde durulmuştur. Kime ne sebeple güvenmeliyim sorularına verilen cevaplardaki yetersizlikler gözler önüne konulmaya çalışılmış, ayrıca açık anahtar ile sahibi arasındaki ilişkilendirmenin ne derece gerçeği yansıttığı sorgulanmıştır. Bunun yanında güvenlikle ilgili olarak özel anahtarlar, kullanıcıların sistem etkisi ve kullanılan uygulamalarla ortaya çıkan sorunlar da vurgulanmıştır. Sonuç olarak açık anahtar altyapısı dediğimiz sistemin iyileştirmeye açık yönlerinin hala mevcut olduğu gösterilmiş ve bu sistemin bütün sorunları ortadan kaldıran sihirli bir değnek gibi görülmemesi gerektiği mesajı çıkarılmıştır. Açık anahtar altyapısının çok iyi anlaşılması gerektiği; onun verebileceği ve veremeyeceği şeylerin bilincinde olmanın, ondan kazanılacak faydayı önemli ölçüde arttıracağı gerçeğinin göz ardı edilmemesi gerektiği belirtilmiştir. 11

11 Kaynaklar 1. Diffie W., ve M. E. Hellman, New directions in cryptography, IEEE Transactions on Information Theory, vol. 22, pp , Kasım Charrot, T., What's Wrong With Public Key Cryptography?, Elsevier Computer Fraud & Security Journal, Issue.7, 2001, pp Ellison C., ve B. Schneier, Ten Risks of PKI: What You're Not Being Told About Public Key Infrastructure, Computer Security Journal, vol. 16, no. 1, pp. 1-7, Chadwick, D. W., Basden, A., Evaluating Trust in a Public Key Certification Authority, Computers&Security Journal, Vol.20, No.7, pp , Gerck, E., Why Is Certification Harder Than It Looks?, 6. Perlman, R., An Overview of PKI Trust Models, IEEE Network Journal, November/December 1999, pp Gerck, E., Overview of Certification Systems: X.509, PKIX, PGP&SKIP, 8. Naor, M., Nissim, K., Certificate Revocation and Certificate Update, IEEE Journal on Selected Areas in Communications, Vol. 18, NO.4, April Wright, M. A., An Overview of PKI, Elsevier Network Security Journal, September 1999, pp Breed, C., PKI: The Myth, The Magic and The Reality, Information Security, 2 (6),1999, pp

ULUSAL GRID ÇALIŞTAYI 2005

ULUSAL GRID ÇALIŞTAYI 2005 ULUSAL GRID ÇALIŞTAYI 2005 Güvenlik ve Sertifika Otoritesi Aslı Zengin asli@ulakbim.gov.tr 21-22 Eylül ANKARA GüVENLiK VE SERTiFiKA OTORiTESi Güvenlik Nedir? Grid Uygulamalarında Güvenlik Çözüm: Sertifika

Detaylı

TODAİE edevlet MERKEZİ UYGULAMALI E-İMZA SEMİNERİ 16-17 KASIM 2011. E-imza Teknolojisi. TODAİE Sunumu

TODAİE edevlet MERKEZİ UYGULAMALI E-İMZA SEMİNERİ 16-17 KASIM 2011. E-imza Teknolojisi. TODAİE Sunumu TODAİE edevlet MERKEZİ UYGULAMALI E-İMZA SEMİNERİ 16-17 KASIM 2011 E-imza Teknolojisi TODAİE Sunumu Ferda Topcan Başuzman Araştırmacı ferdat@uekae.tubitak.gov.tr (312) 4688486-19 İçerik Açık Anahtarlı

Detaylı

E-İmza Kavramı. Bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları da içermektedir.

E-İmza Kavramı. Bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları da içermektedir. E-İmza Bilişim E-İmza Kavramı 2 5070 Sayılı Elektronik İmza Kanunu nda elektronik imza, Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla

Detaylı

TÜBİTAK KAMU SERTİFİKASYON MERKEZİ EĞİTİM KATALOĞU (2012) Sürüm 1.0

TÜBİTAK KAMU SERTİFİKASYON MERKEZİ EĞİTİM KATALOĞU (2012) Sürüm 1.0 TÜBİTAK KAMU SERTİFİKASYON MERKEZİ EĞİTİM KATALOĞU (2012) Sürüm 1.0 Kamu Sertifikasyon Merkezi TÜBİTAK Yerleşkesi, P.K. 74, Gebze, 41470 Kocaeli Tel: (0262) 648 18 18, Faks: (0262) 648 18 00 http://www.kamusm.gov.tr

Detaylı

1. Elektronik İmza nedir? 2. Elektronik imza ile dijital imza arasında ne fark vardır?

1. Elektronik İmza nedir? 2. Elektronik imza ile dijital imza arasında ne fark vardır? 1. Elektronik İmza nedir? Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulçıma amacıyla kullanılan elektronik veri olarak tanımlanabilir. 2. Elektronik

Detaylı

KRİPTOLOJİYE GİRİŞ Ders 1. Yrd. Doç. Dr. Barış Koçer

KRİPTOLOJİYE GİRİŞ Ders 1. Yrd. Doç. Dr. Barış Koçer KRİPTOLOJİYE GİRİŞ Ders 1 Yrd. Doç. Dr. Barış Koçer 1.1. Giriş Kriptolojinin uzun ve etkileyici bir geçmişi vardır. İlk olarak Mısırlılar tarafından 4000 yıl önce kısmen kullanılmıştır. 20. yüzyılda ise

Detaylı

KUANTUM KRĠPTOGRAFĠ ĠTÜ BĠDB AĞ GRUBU/TANER KOÇ

KUANTUM KRĠPTOGRAFĠ ĠTÜ BĠDB AĞ GRUBU/TANER KOÇ KUANTUM KRĠPTOGRAFĠ ĠTÜ BĠDB AĞ GRUBU/TANER KOÇ Kriptoloji, kriptosistem ya da şifre adı verilen bir algoritma kullanılarak bir mesajın sadece anahtar olarak bilinen ek bilgilerle birleştirilip okunmasının

Detaylı

ASİMETRİK ŞİFRELEME ALGORİTMALARINDA ANAHTAR DEĞİŞİM SİSTEMLERİ

ASİMETRİK ŞİFRELEME ALGORİTMALARINDA ANAHTAR DEĞİŞİM SİSTEMLERİ ASİMETRİK ŞİFRELEME ALGORİTMALARINDA ANAHTAR DEĞİŞİM SİSTEMLERİ Tarık Yerlikaya Trakya Üniversitesi Bilgisayar Müh. Bölümü tarikyer@trakya.edu.tr Ercan Buluş Trakya Üniversitesi Bilgisayar Müh. Bölümü

Detaylı

Açık Anahtar Tabanlı Şifreleme Neden Zordur?

Açık Anahtar Tabanlı Şifreleme Neden Zordur? Açık Anahtar Tabanlı Şifreleme Neden Zordur? Albert Levi ve Mahmut Özcan Sabancı Üniversitesi Mühendislik ve Doğa Bilimleri Fakültesi Orhanlı, Tuzla, İstanbul levi@sabanciuniv.edu mahmut@su.sabanciuniv.edu

Detaylı

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ GÜVENLİ KURUMSAL MESAJLAŞMA UYGULAMASI Ulusal Elektronik İmza Sempozyumu, 7-8 Aralık 2006 İsmail GÜNEŞ E-posta:ismail@uekae.tubitak.gov.tr

Detaylı

TASNİF DIŞI TÜBİTAK BİLGEM KAMU SERTİFİKASYON MAKAMI YENİ NESİL ÖKC SAYISAL SERTİFİKA YAŞAM DÖNGÜSÜ 01 TEMMUZ 2015 TÜBİTAK BİLGEM

TASNİF DIŞI TÜBİTAK BİLGEM KAMU SERTİFİKASYON MAKAMI YENİ NESİL ÖKC SAYISAL SERTİFİKA YAŞAM DÖNGÜSÜ 01 TEMMUZ 2015 TÜBİTAK BİLGEM TÜBİTAK BİLGEM KAMU SERTİFİKASYON MAKAMI YENİ NESİL ÖKC SAYISAL SERTİFİKA YAŞAM DÖNGÜSÜ 01 TEMMUZ 2015 TÜBİTAK BİLGEM Kamu Sertifikasyon Makamı Tel: (0262) 648 1818-444 5 576 Faks: (0262) 648 1800 http://www.kamusm.gov.tr

Detaylı

Bilgi Güvenliği Eğitim/Öğretimi

Bilgi Güvenliği Eğitim/Öğretimi Bilgi Güvenliği Eğitim/Öğretimi İbrahim SOĞUKPINAR Gebze Yüksek Teknoloji Enstitüsü İçerik Bilgi Güvenliği Eğitim/Öğretimi Dünyadaki Örnekler Türkiye deki Örnekler GYTE de Bilgi Güvenliği Dersi Sonuç ve

Detaylı

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar. E-İmza Kavramı Elektronik imza; Başka bir elektronik veriye (e-posta, e-belge, PDF, Powerpoint, Word, Excel vs.) eklenen ve bu veriyi imzalayan kişinin kimliğini doğrulama ve verinin bütünlüğünü yasal

Detaylı

Açık Anahtarlı Kriptografi ve Uygulamalar

Açık Anahtarlı Kriptografi ve Uygulamalar Uygulamalı Matematik Enstitüsü Kriptografi Bölümü Orta Doğu Teknik Üniversitesi SEM Seminerleri 29 Ocak 2013 Temel Kavramlar Temel Amaçlar Gizlilik Bilgi istenmeyen kişiler tarafından anlaşılamamalıdır.

Detaylı

ELEKTRONİK TİCARETTE BİLGİ GÜVENLİĞİ TERİMLERİ

ELEKTRONİK TİCARETTE BİLGİ GÜVENLİĞİ TERİMLERİ ELEKTRONİK TİCARETTE BİLGİ GÜVENLİĞİ TERİMLERİ açık anahtar (public key): Açık anahtarlı bir kriptografik yöntem (algoritma) kullanan bir kullanıcının kendisine ait olan iki anahtarından kamuya açık olanı.

Detaylı

Güncel Kriptografik Sistemler

Güncel Kriptografik Sistemler Bilgi Güvenliği Güncel Kriptografik Sistemler KRİPTOLOJİ KRİPTOGRAFİ KRİPTOANALİZ Simetrik Şifreleme Asimetrik Şifreleme MAC / Özet Fonksiyonları Günümüzde Kriptografik Sistemler Bugün, kriptografi çok

Detaylı

İnternet te Bireysel Güvenliği Nasıl Sağlarız? Rauf Dilsiz Bilgi Güvenliği Uzmanı

İnternet te Bireysel Güvenliği Nasıl Sağlarız? Rauf Dilsiz Bilgi Güvenliği Uzmanı İnternet te Bireysel Güvenliği Nasıl Sağlarız? Rauf Dilsiz Bilgi Güvenliği Uzmanı İçerik Kişisel Bilgilerin Korunması İnternet üzerinden saldırganların kullandığı yöntemler Virüsler Trojan (Truva Atı)

Detaylı

------------------------------------------------- [SUB-TITLE 1] Özellikler

------------------------------------------------- [SUB-TITLE 1] Özellikler [TITLE] CitiDirect CitiDirect Online Bankacılık sistemi birçok alanda ödül almış, çok uluslu şirketlere ve finansal kuruluşlara sorunsuz, verimli ve web-tabanlı global bankacılık hizmetlerine güvenli erişim

Detaylı

ELEKTRONİK İMZA UZAKTAN EĞİTİM KAYNAK BİLGİ DÖKÜMANI

ELEKTRONİK İMZA UZAKTAN EĞİTİM KAYNAK BİLGİ DÖKÜMANI ELEKTRONİK İMZA UZAKTAN EĞİTİM KAYNAK BİLGİ DÖKÜMANI 1 İçindekiler Tablosu Elektronik imza nedir? Elektronik imza neden ve hangi uygulamalarda kullanılır?... 3 Elektronik imzanın faydaları nelerdir? Ne

Detaylı

S. N ala l n n T OP OP A B Ğ Fatih i h A BL B AK K

S. N ala l n n T OP OP A B Ğ Fatih i h A BL B AK K DİJİTAL GÜVENLİK SİSTEMLERİ VE PGP S. Nalan TOPBAĞ nalan@turksis.com Fatih ABLAK fatih@turksis.com ŞİFRELEME VE ALGORİTMALARI Şifreleme : Bir bilginin içeriğini başkalarının anlayamayacağı hale getirilmesidir.

Detaylı

Bilgi Güvenliği Farkındalık Eğitimi

Bilgi Güvenliği Farkındalık Eğitimi NECMETTİN ERBAKAN Ü N İ V E R S İ T E S İ Meram Tıp Fakültesi Hastanesi Bilgi Güvenliği Farkındalık Eğitimi Ali ALAN Necmettin Erbakan Üniversitesi Meram Tıp Fakültesi Hastanesi Bilgi İşlem Merkezi 444

Detaylı

Simetrik (Gizli) Kriptografik Sistemler Blok Şifreler Standartlaştırma. DES-Data Encryption Standard (Bilgi Şifreleme Standardı)

Simetrik (Gizli) Kriptografik Sistemler Blok Şifreler Standartlaştırma. DES-Data Encryption Standard (Bilgi Şifreleme Standardı) Bilgi Güvenliği Simetrik (Gizli) Kriptografik Sistemler Blok Şifreler Standartlaştırma DES-Data Encryption Standard (Bilgi Şifreleme Standardı) Düzmetin (64 bit) Başlangıç Permütasyonu 58 50 42 34 26 18

Detaylı

Bakanlığımız Tüketici ve Rekabetin Korunması Genel Müdürlüğü'nce yürütülen,

Bakanlığımız Tüketici ve Rekabetin Korunması Genel Müdürlüğü'nce yürütülen, T.C. Sanayi ve Ticaret Bakanlığı İle Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK) Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) Arasında "Nitelikli Elektronik Sertifika Temini

Detaylı

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 1. AMAÇ Türksat İnternet ve İnteraktif Hizmetler Direktörlüğü nün bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında

Detaylı

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar. E-İmza Kavramı Elektronik imza; Başka bir elektronik veriye (e-posta, e-belge, PDF, Powerpoint, Word, Excel vs.) eklenen ve bu veriyi imzalayan kişinin kimliğini doğrulama ve verinin bütünlüğünü yasal

Detaylı

İLETİŞİM AĞI GÜVENLİĞİ

İLETİŞİM AĞI GÜVENLİĞİ İLETİŞİM AĞI GÜVENLİĞİ Erhan Görmen Güvenlik Danışmanı Ases Bilgi Güvenlik Teknolojileri Ltd. erhan@ases.com.tr İletişim Ağı Güvenliği Bilgileri 1 Ne Zaman Güvenlik? Günümüzde, teknolojinin neredeyse tek

Detaylı

BİLGİ GÜVENLİĞİ. İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi

BİLGİ GÜVENLİĞİ. İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi BİLGİ GÜVENLİĞİ İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi 2015 20.10.2012 tarihli Resmi Gazete de yayımlanan Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi

Detaylı

Đş Odaklı Bakış Açısıyla Açık Anahtar Altyapısı 1

Đş Odaklı Bakış Açısıyla Açık Anahtar Altyapısı 1 İş Odaklı Bakış Açısıyla Açık Anahtar Altyapısı Bu yazı, ticari bir uygulama ortamında Açık Anahtar Altyapısının (AAA) kullanımını incelemektedir. Bunun için kurumların güncel güvenlik kaygılarından başlayarak

Detaylı

ELEKTRONİK TİCARETTE HİZMET SAĞLAYICI VE ARACI HİZMET SAĞLAYICILAR HAKKINDA YÖNETMELİK YAYIMLANDI:

ELEKTRONİK TİCARETTE HİZMET SAĞLAYICI VE ARACI HİZMET SAĞLAYICILAR HAKKINDA YÖNETMELİK YAYIMLANDI: TARİH : 28/08/2015 SİRKÜLER NO : 2015/70 ELEKTRONİK TİCARETTE HİZMET SAĞLAYICI VE ARACI HİZMET SAĞLAYICILAR HAKKINDA YÖNETMELİK YAYIMLANDI: 5 Kasım 2014 tarihli Resmi Gazetede elektronik ticarete ilişkin

Detaylı

AÇIK ANAHTAR KRİPTOGRAFİSİ İLE SAYISAL İMZA TASARIMI VE UYGULAMASI

AÇIK ANAHTAR KRİPTOGRAFİSİ İLE SAYISAL İMZA TASARIMI VE UYGULAMASI AÇIK ANAHTAR KRİPTOGRAFİSİ İLE SAYISAL İMZA TASARIMI VE UYGULAMASI *Meryem KIRIMLI, **O. Ayhan ERDEM Gazi Üniversitesi Teknik Eğitim Fakültesi Elektronik-Bilgisayar Eğitimi Bölümü, 06500 Teknikokullar,

Detaylı

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık Siber Savunma SG 507Siber Savaşlar Güz 2014 Siber Savunma Siber Caydırıcılık genel anlamda problemli olduğundan etkisi düşük olabilir. Bu durumda bir devletin kendisini siber tehditlere karşı savunabilmesi

Detaylı

Açık Anahtar Altyapısı (AAA) ODTÜ UYGULAMALI MATEMATİK ENSTİTÜSÜ

Açık Anahtar Altyapısı (AAA) ODTÜ UYGULAMALI MATEMATİK ENSTİTÜSÜ Açık Anahtar Altyapısı (AAA) ODTÜ UYGULAMALI MATEMATİK ENSTİTÜSÜ İçerik AAA nedir? Sertifikalar Makamlar Açık Anahtar Altyapısı Mimarileri Türkiye de Açık Anahtar Altyapısı Uygulama AAA Nedir? İş süreçlerinin

Detaylı

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ 1.AMAÇ: Kurumun otomasyon üzerindeki tüm bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kuralları ve uygulamaları belirlemeyi amaçlar. 2. KAPSAM: Bu talimat,

Detaylı

ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days

ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days ITMS DAYS Information Technologies Management Systems Days ELEKTRONİK SERTİFİKA HİZMET SAĞLAYICILARI İÇİN ISO/IEC 27001 İN GEREKLİLİĞİ Demet KABASAKAL Bilgi Teknolojileri ve İletişim Kurumu Bilgi Güvenliği

Detaylı

Yeni Nesil Ağ Güvenliği

Yeni Nesil Ağ Güvenliği Yeni Nesil Ağ Güvenliği Ders 6 Mehmet Demirci 1 Bugün Taşıma katmanı güvenliği (TLS, SSL) İnternet katmanı güvenliği (IPSec) Kablosuz bağlantı güvenliği Güvenlik duvarları 2 SSL/TLS SSL ilk olarak Netscape

Detaylı

PAROLA GÜVENLİĞİ. İlker Korkmaz. ilker.korkmaz@ieu.edu.tr homes.ieu.edu.tr/ikorkmaz 08/06 UBE

PAROLA GÜVENLİĞİ. İlker Korkmaz. ilker.korkmaz@ieu.edu.tr homes.ieu.edu.tr/ikorkmaz 08/06 UBE PAROLA GÜVENLİĞİ İlker Korkmaz ilker.korkmaz@ieu.edu.tr homes.ieu.edu.tr/ikorkmaz SUNUM TASLAĞI 1. BÖLÜM: İNTERNET HAFTASI HAKKINDA Türkiye de İnternet Haftası neyi amaçlar? 2. BÖLÜM: PAROLALAR HAKKINDA

Detaylı

Güven Kurumları ve İtibar Yönetimi Oturumu Can ORHUN

Güven Kurumları ve İtibar Yönetimi Oturumu Can ORHUN Güven Kurumları ve İtibar Yönetimi Oturumu Can ORHUN E-GÜVEN Bilgi güvenliği alanında Türkiye nin en güçlü ve güvenilir kurumu olmayı hedefleyen E-GÜVEN Elektronik Bilgi Güvenliği A.Ş., Eczacıbaşı ve Türkiye

Detaylı

CISCO IRONPORT C-SERİSİNİ TERCİH ETMEK İÇİN ÖNE ÇIKAN 10 ÖNEMLİ ÖZELLİK

CISCO IRONPORT C-SERİSİNİ TERCİH ETMEK İÇİN ÖNE ÇIKAN 10 ÖNEMLİ ÖZELLİK CISCO IRONPORT C-SERİSİNİ TERCİH ETMEK İÇİN ÖNE ÇIKAN 10 ÖNEMLİ ÖZELLİK Çeviri/Mizanpaj: Burak Unutulmazsoy İÇİNDEKİLER NEDEN CISCO IRONPORT E-POSTA GÜVENLİK DONANIMINI SEÇMELİYİM SORUSUNUN 10 ÖNEMLİ CEVABI...

Detaylı

Kriptoloji Kavramları ve Kripto Analiz Merkezi Gökçen Arslan

Kriptoloji Kavramları ve Kripto Analiz Merkezi Gökçen Arslan Kriptoloji Kavramları ve Kripto Analiz Merkezi Gökçen Arslan 9 Nisan 2009 İçerik Kriptolojinin Tanımı Bilgi Güvenliği Tehditleri & Saldırılar Kriptografik Servisler Kripto Analiz Merkezi Devam Eden Projeler

Detaylı

Yeni E-Ticaretin Düzenlenmesi Hakkında Kanun (01.05.2015 tarihinden itibaren yürürlüğe girecek)

Yeni E-Ticaretin Düzenlenmesi Hakkında Kanun (01.05.2015 tarihinden itibaren yürürlüğe girecek) Yeni E-Ticaretin Düzenlenmesi Hakkında Kanun (01.05.2015 tarihinden itibaren yürürlüğe girecek) Yeni düzenleme neler getiriyor Nisan 2015 DUBAI İçindekiler Elektronik Ticaretin Düzenlenmesi Hakkında Kanun...

Detaylı

Kurumlarda E-imzaya Yapılması Gerekenler TODAİE E Sunumu. Ferda Topcan Başuzman Araştırmacı ferdat@uekae.tubitak.gov.tr (312) 4688486-19

Kurumlarda E-imzaya Yapılması Gerekenler TODAİE E Sunumu. Ferda Topcan Başuzman Araştırmacı ferdat@uekae.tubitak.gov.tr (312) 4688486-19 Kurumlarda E-imzaya Geçişte Yapılması Gerekenler TODAİE E Sunumu Ferda Topcan Başuzman Araştırmacı ferdat@uekae.tubitak.gov.tr (312) 4688486-19 İçerik E-imzaya Geçiş Süreci Kamu Sertifikasyon Merkezi (KSM)

Detaylı

B2B E-Ticaret Siteleri ÖN ONAY KRİTERLERİ (6 sayfa)

B2B E-Ticaret Siteleri ÖN ONAY KRİTERLERİ (6 sayfa) B2B E-Ticaret Siteleri ÖN ONAY KRİTERLERİ (6 sayfa) Site işleticisinin Sunucusunun herhangi bir şey satmadığı ve malların fiyatını belirlemediği, ancak alıcı ve satıcılar için ticari işlevselliği olan

Detaylı

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri o MerSis Danışmanlık Hizmetleri Çalışanlarınız, tesisleriniz, üretim araçlarınız koruma altında! Bilgileriniz? danışmanlık hizmetlerimiz, en değerli varlıklarınız arasında yer alan bilgilerinizin gizliliğini,

Detaylı

CISSP HAZIRLIK EĞĠTĠMĠ

CISSP HAZIRLIK EĞĠTĠMĠ CISSP HAZIRLIK EĞĠTĠMĠ CISSP Sertifikasyonu Eğer bilgi güvenliği üzerine bir kariyer planlıyorsanız profesyoneller için günümüzün en gözde bilgi güvenliği sertifikası Certified Information Systems Security

Detaylı

Kullanım ve Yardım Kılavuzu

Kullanım ve Yardım Kılavuzu Kullanım ve Yardım Kılavuzu 2007 Genel Bakış TradeMaster International, uluslar arası piyasalardaki Hisse Senedi ve Futures işlemlerini kolay ve hızlı bir şekilde yapmanıza olanak sağlayan bir uygulamadır.

Detaylı

Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir.

Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir. Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir. Telefon & Faks : 0(262) 229 0706 e-posta:kocaeli155@egm.gov.tr siber.kocaeli@egm.gov.tr

Detaylı

Berk Demir Linux Kullanıcıları Derneği

Berk Demir <berk@linux.org.tr> Linux Kullanıcıları Derneği * Şifrelenmiş veri iletim sistemleri. * SSL Teknolojisi. * Apache sunucusu ile güvenli HTTP bağlantıları. * Bir gerçek yaşam örneği : LKD SSL Sunucusu Berk Demir Linux Kullanıcıları

Detaylı

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ SİBER GÜVENLİK FARKINDALIĞI 01.11.2013 Koray ATSAN korayatsan@kamusgd.org.tr Derneğimiz hakkında Kamu Siber Güvenlik Derneği 2013 yılında kuruldu. Temel Amaç : Ülkemizde

Detaylı

E POSTA GÜVENLİĞİ E POSTA GÜVENLİĞİ HAZIRLAYAN: TEAM VOLTRAN BARTIN ÜNİVERSİTESİ İKTİSADİ İDARİ BİLİMLER FAKÜLTESİ YÖNETİM BİLİŞİM SİSTEMLERİ

E POSTA GÜVENLİĞİ E POSTA GÜVENLİĞİ HAZIRLAYAN: TEAM VOLTRAN BARTIN ÜNİVERSİTESİ İKTİSADİ İDARİ BİLİMLER FAKÜLTESİ YÖNETİM BİLİŞİM SİSTEMLERİ E POSTA GÜVENLİĞİ E POSTA GÜVENLİĞİ HAZIRLAYAN: TEAM VOLTRAN BARTIN ÜNİVERSİTESİ İKTİSADİ İDARİ BİLİMLER FAKÜLTESİ YÖNETİM BİLİŞİM SİSTEMLERİ E POSTA GÜVENLİĞİ İÇİNDEKİLER 1. E POSTA GÜVENLİĞİ NEDİR? 2.

Detaylı

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar. E-İmza Kavramı Elektronik imza; Başka bir elektronik veriye (e-posta, e-belge, PDF, Powerpoint, Word, Excel vs.) eklenen ve bu veriyi imzalayan kişinin kimliğini doğrulama ve verinin bütünlüğünü yasal

Detaylı

ÜRETİCİ BİRİM ONAY BÜYÜK ÇİFTLİK BAŞVURU SÜRECİ 2015-16 SEZONU

ÜRETİCİ BİRİM ONAY BÜYÜK ÇİFTLİK BAŞVURU SÜRECİ 2015-16 SEZONU AMAÇ ÜRETİCİ BİRİM ONAY BÜYÜK ÇİFTLİK BAŞVURU SÜRECİ 2015-16 SEZONU Bu doküman 2015-16 pamuk üretimi sezonunda IPUD ile birlikte çalışarak Türkiye de Better Cotton üretimi gerçekleştirmek isteyen kurumlar

Detaylı

TARIM REFORMU GENEL MÜDÜRLÜĞÜ

TARIM REFORMU GENEL MÜDÜRLÜĞÜ web uygulamaları Üyelik Koşulları; TARIM REFORMU GENEL MÜDÜRLÜĞÜ KIRSAL KALKINMA YATIRIMLARININ DESTEKLENMESİ PROGRAMI KAPSAMINDA TARIMA DAYALI EKONOMİK YATIRIMLARIN DESTEKLENMESİ HAKKINDA TEBLİĞ (Tebliğ

Detaylı

AAA (Açık Anahtar Altyapısı) Ana Başlıklarla Kapsam Açık Anahtar Altyapısı. Gerçek Yaşamda; AAA Riskleri Türkiye de E - imza

AAA (Açık Anahtar Altyapısı) Ana Başlıklarla Kapsam Açık Anahtar Altyapısı. Gerçek Yaşamda; AAA Riskleri Türkiye de E - imza Ana Başlıklarla Kapsam Açık Anahtar Altyapısı Gerçek Yaşamda; AAA Riskleri Türkiye de E - imza AAA daki Riskler ve Uygulama Zorlukları Güncel Yaşamda Karşılaşılan Riskler Başlıca Uygulama Zorlukları Türkiye

Detaylı

Kayıtlı e-posta (KEP) güvenli e- posta hizmetidir ve bu yönü ile standart e- posta sistemlerinden ayrılır.

Kayıtlı e-posta (KEP) güvenli e- posta hizmetidir ve bu yönü ile standart e- posta sistemlerinden ayrılır. İçindekiler Kayıtlı E- Posta (KEP) Nedir?... 2 Kayıtlı E- Posta (KEP) Hizmetini Kimler Sunar?... 2 Kayıtlı E- Posta Özellikleri Nelerdir?... 2 Kayıtlı E- Posta Neden Güvenli ve Hukuken Geçerlidir?... 3

Detaylı

Tarzan: A Peer-to-Peer Anonymizing Network Layer 1 EMRE YESĐRCĐ 2 KONULAR Giriş Anonimlik Nedir? Tasarım ve Hedefler Kural Tanımı Kodlama Sonuç 3 Giriş Tarzan her düğümünde bir karıştırıcı olan bir peer

Detaylı

TASNİF DIŞI KAMU SERTİFİKASYON MERKEZİ. Doküman Adı MOBİL İMZA KULLANIM AMAÇLI NİTELİKLİ ELEKTRONİK SERTİFİKA BAŞVURU TALİMATI

TASNİF DIŞI KAMU SERTİFİKASYON MERKEZİ. Doküman Adı MOBİL İMZA KULLANIM AMAÇLI NİTELİKLİ ELEKTRONİK SERTİFİKA BAŞVURU TALİMATI Kamu SM KAMU SERTİFİKASYON MERKEZİ Doküman Adı ELEKTRONİK SERTİFİKA BAŞVURU TALİMATI Doküman Kodu Yayın Numarası Yayın Tarihi 0 Hazırlayanlar Serdar DEMİR Onay Erol KAHRAMAN DEĞİŞİKLİK KAYITLARI Yayın

Detaylı

SEÇKİN ONUR. Doküman No: Rev.Tarihi 01.11.2014. Yayın Tarihi 23.10.2013 Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI

SEÇKİN ONUR. Doküman No: Rev.Tarihi 01.11.2014. Yayın Tarihi 23.10.2013 Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI Tanım: Bilgi güvenliği, kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden

Detaylı

ELEKTRONİK İMZALI BAŞVURU ARAYÜZÜ TALİMATI

ELEKTRONİK İMZALI BAŞVURU ARAYÜZÜ TALİMATI 1 Amaç ve Kapsam Bu doküman, Kamu Sertifikasyon Merkezi'ne () Nitelikli Elektronik Sertifika (NES) başvurusu yapmak isteyen kişilerin izlemesi gereken adımları tanımlamaktadır. Başvuru, internet üzerinden

Detaylı

e-yazışma Projesi TBD Kamu-BİB Aylık Bilgilendirme Toplantısı

e-yazışma Projesi TBD Kamu-BİB Aylık Bilgilendirme Toplantısı e-yazışma Projesi TBD Kamu-BİB Aylık Bilgilendirme Toplantısı 19 Ocak 2012 Gündem e-yazışma Projesinin Amacı ve Kapsamı Projenin Çıktıları Projeye Katkı Sağlayanlar e-yazışma Paketi Önümüzdeki Dönemde

Detaylı

Elektronik Hizmetler ve Elektronik İmza

Elektronik Hizmetler ve Elektronik İmza Elektronik Hizmetler ve Elektronik İmza TELEKOMÜNİKASYON KURUMU E-İMZA ÇALIŞMA GRUBU ANKARA 22 Mart 2005 Giriş Günümüz : Bilgi ve İletişim Çağı Bilgiye ulaşmada süreklilik Erişim hızı Güvenlik ve gizlilik

Detaylı

Laboratuvar Akreditasyonu

Laboratuvar Akreditasyonu Laboratuvar Akreditasyonu Akreditasyon, Laboratuvarların, Muayene Belgelendirme ve Yeterlilik Deneyi Sağlayıcı Kuruluşlarının Ulusal ve Uluslararası Kabul Görmüş Teknik Kriterlere Göre Değerlendirilmesi,

Detaylı

TİCARİ İLETİŞİM VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA YÖNETMELİK YAYIMLANDI

TİCARİ İLETİŞİM VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA YÖNETMELİK YAYIMLANDI TİCARİ İLETİŞİM VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA YÖNETMELİK YAYIMLANDI Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik ( Yönetmelik ) 15.07.2015 tarihli ve 29417 sayılı Resmi Gazete

Detaylı

Veri(Data), sayısal veya mantıksal her değer bir veridir. Bilgi(Information), verinin işlenmiş, anlamlı hale gelmişşekline bilgi denir.

Veri(Data), sayısal veya mantıksal her değer bir veridir. Bilgi(Information), verinin işlenmiş, anlamlı hale gelmişşekline bilgi denir. Gündem Bilgi Güvenliği Farkındalık Eğitim Örneği AB Seminer 2009 Ender ŞAHİNASLAN 00:00 00:05 Tanışma / Takdim 00:05 00:08 Temel Bilgi Kavramları 00:08 00:20 Bilgi Nerelerde Bulunur? 00:20 00:25 Temiz

Detaylı

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER Dr. Hayrettin Bahşi bahsi@uekae.tubitak.gov.tr 11 Mart 2010 Gündem Bulut Hesaplama Sistemleri ve Bilgi Güvenliği Güvenli Yazılım Geliştirme Hayat Döngüsü

Detaylı

1.1.1. Avrupa Komisyonu Kimlik Tanımlama Sistemi (ECAS) ile Kayıt İşlemi 2. 1.1.2. Unutulan şifre 6. 1.1.3. Ad-soyad veya e-posta adresi değiştirme 8

1.1.1. Avrupa Komisyonu Kimlik Tanımlama Sistemi (ECAS) ile Kayıt İşlemi 2. 1.1.2. Unutulan şifre 6. 1.1.3. Ad-soyad veya e-posta adresi değiştirme 8 AVRUPA KOMİSYONU Eğitim ve Kültür Genel Müdürlüğü Hayat Boyu Öğrenme Politikaları ve Programı Hayat Boyu Öğrenme Programı Koordinatörlüğü Avrupa Komisyonu Kimlik Tanımlama Sistemi Kullanıcı Kılavuzu Avrupa

Detaylı

Kamu Sertifikasyon Merkezi

Kamu Sertifikasyon Merkezi TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ E-İmza ve Kamu Sertifikasyon Merkezi Mustafa C. Kuşçu Tel: 0 262 648 1871 e-posta: mck@uekae.tubitak.gov.tr mustafa.kuscu@kamusm.gov.tr

Detaylı

Kredi ve banka kartlarının sağ alt köşesinde yer alan ve ödeme yöntemi markasını taşıyan bölümde artık bir Türk markası var: Troy

Kredi ve banka kartlarının sağ alt köşesinde yer alan ve ödeme yöntemi markasını taşıyan bölümde artık bir Türk markası var: Troy GO GÜVENLİ ÖDE İLE İNTERNETTE ALIŞVERİŞ Kredi ve banka kartlarının sağ alt köşesinde yer alan ve ödeme yöntemi markasını taşıyan bölümde artık bir Türk markası var: Troy Troy adını Türkiye nin Ödeme Yöntemi

Detaylı

OUTLOOK 2010 İMZALI POSTA AYARLARI

OUTLOOK 2010 İMZALI POSTA AYARLARI Doküman Kodu Yayın Numarası Yayın Tarihi TALM-001-005 01 27.11.2012 DEĞİŞİKLİK KAYITLARI Yayın No Yayın Nedeni Yayın Tarihi 00 İlk Çıkış 10.11.2012 01 Şablon değiştirildi. 27.11.2012 TALM-001-005 27.11.2012

Detaylı

ISLAK İMZALI BAŞVURU ARAYÜZÜ TALİMATI

ISLAK İMZALI BAŞVURU ARAYÜZÜ TALİMATI Doküman Kodu Yayın Numarası Yayın Tarihi 0 DEĞİŞİKLİK KAYITLARI Yayın No Yayın Nedeni Yayın Tarihi 0 İlk Çıkış 2/13 İÇİNDEKİLER 1 Kapsam...4 1.1 Bilgilendirme...4 1.2 Başvuru Formu Erişim Parolası Alınması...5

Detaylı

SOSYAL MÜHENDİSLİK SALDIRILARI. Ünal TATAR

SOSYAL MÜHENDİSLİK SALDIRILARI. Ünal TATAR SOSYAL MÜHENDİSLİK SALDIRILARI Ünal TATAR Giriş Herkes bilgi işlem servislerine büyük oranda bağlı. Güvenliğin sadece küçük bir yüzdesi teknik güvenlik önlemleri ile sağlanıyor. Büyük yüzdesi ise kullanıcıya

Detaylı

Kamuoyu Duyurusu. 16 Aralık 2009

Kamuoyu Duyurusu. 16 Aralık 2009 Kamuoyu Duyurusu 16 Aralık 2009 İnternet Bankacılığına Girişlerde Tek Kullanımlık Şifre Uygulaması Bankacılık hizmetlerine kullanıcının istediği zaman ve yerden erişim imkanı sağlayan internet bankacılığı

Detaylı

Şifreleme Sistemlerine Giriş ve Açık Anahtar Şifreleme

Şifreleme Sistemlerine Giriş ve Açık Anahtar Şifreleme Şifreleme Sistemlerine Giriş ve Açık Anahtar Şifreleme Yrd. Doç. Dr. Şadi Evren ŞEKER Mühendislik ve Mimarlık Fakültesi cryptography κρσπός Hidden (Gizli) γραφία Writing (Yazışma) Şifre (TDK) 1. Gizli

Detaylı

TNB E-İMZA, TNB Elektronik İmza A.Ş. adı ile Türkiye Noterler Birliği Vakfı tarafından kurulmuştur. Elektronik İmza hizmeti vermektedir, Aynı zamanda

TNB E-İMZA, TNB Elektronik İmza A.Ş. adı ile Türkiye Noterler Birliği Vakfı tarafından kurulmuştur. Elektronik İmza hizmeti vermektedir, Aynı zamanda TNB E-İMZA, TNB Elektronik İmza A.Ş. adı ile Türkiye Noterler Birliği Vakfı tarafından kurulmuştur. Elektronik İmza hizmeti vermektedir, Aynı zamanda E-İmza ya bağlı olarak Katma Değerli servislerde sunmaktadır.

Detaylı

GİZLİLİK SÖZLEŞMESİ. Lütfen Gizlilik Sözleşmesi ni dikkatlice okuyunuz.

GİZLİLİK SÖZLEŞMESİ. Lütfen Gizlilik Sözleşmesi ni dikkatlice okuyunuz. GİZLİLİK SÖZLEŞMESİ Bilkent Üniversitesi Mühendislik Topluluğu (Bundan böyle MT olarak anılacaktır.), gizliliğinizi korumak ve kullanılmakta bulunan teknolojik altyapıdan en üst seviyede yararlanmanızı

Detaylı

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015 BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015 Ders- 14 Bilgisayar Güvenliği Yrd. Doç. Dr. Burcu Can Buğlalılar Bilgisayar Mühendisliği Bölümü İçerik Bilgi güvenliği Tehdit türleri Dahili tehdit unsurları

Detaylı

Güvenli Elektronik Belge Yönetim Sistemi İçin Temel Gereksinim: E-İMZA

Güvenli Elektronik Belge Yönetim Sistemi İçin Temel Gereksinim: E-İMZA Güvenli Elektronik Belge Yönetim Sistemi İçin Temel Gereksinim: E-İMZA Doç. Dr. Ahmet Koltuksuz Yaşar Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü İzmir

Detaylı

Yetersiz Şifre Politikasının Sonuçları

Yetersiz Şifre Politikasının Sonuçları Yetersiz Şifre Politikasının Sonuçları Bünyamin Demir, Aralık 2009, WGT E-Dergi 3. Sayı Yazıya başlamadan önce değerli okura amacımı -iyi anlatmak- maksadıyla şu notları düşmek istiyorum; Aşağıda göreceğiniz

Detaylı

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL SAYFA 1 / 6 1. AMAÇ TÜRKSAT ın bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden ve/veya dışarıdan gelebilecek, kasıtlı veya kazayla

Detaylı

Veri Güvenliği. Ders#6 Asimetrik Şifreleme Yöntemleri

Veri Güvenliği. Ders#6 Asimetrik Şifreleme Yöntemleri Veri Güvenliği Ders#6 Asimetrik Şifreleme Yöntemleri Bu ders notları aşağıdaki adreslerde yer alan dökümanlardan uyarlanmıştır: S. CH. Huang, Cryptography Ders Notları, National Tsing Hua University İ.

Detaylı

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu Mart, 2010 İçerik Veri Kaçağı Önleme Nedir? Dünyada ve Türkiye de Veri Kaçağı Teknoloji Ne Durumda?

Detaylı

Elektronik Đmza ve Güvenlik

Elektronik Đmza ve Güvenlik Elektronik Đmza ve Güvenlik Ersin GÜLAÇTI Kamu Sertifikasyon Merkezi Yöneticisi Mart, 2008 2 Konular Elektronik imza nedir? Elektronik imza neden daha güvenlidir? E-devlet uygulamalarında e-imza kullanımı

Detaylı

E-Posta Hesabı Oluşturma

E-Posta Hesabı Oluşturma E-Posta Hesabı Oluşturma Elektronik Posta (E-posta) Nedir? Elektronik posta (e-posta) internet ortamından gönderilen dijital (elektronik) mektuptur. Bir başkasına e-posta gönderebilmemiz için öncelikle

Detaylı

DOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH-01 01.03.2015 00 Sayfa 1 / 6

DOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH-01 01.03.2015 00 Sayfa 1 / 6 BG-RH-01 01.03.2015 00 Sayfa 1 / 6 BGYS Politikası Rehberi; T.C. Sağlık Bakanlığı Aydın Kamu Hastaneleri Birliği Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının kapsamını,

Detaylı

1. E-TİCARETTE MAL ve HİZMET ALIP SATMAK 1.1. E- Ticaretin Ögeleri 1.1.1. E-Posta 1.1.2. Elektronik Firma (e-firma) 1.1.3. Alıcı 1.1.4.

1. E-TİCARETTE MAL ve HİZMET ALIP SATMAK 1.1. E- Ticaretin Ögeleri 1.1.1. E-Posta 1.1.2. Elektronik Firma (e-firma) 1.1.3. Alıcı 1.1.4. 1. E-TİCARETTE MAL ve HİZMET ALIP SATMAK 1.1. E- Ticaretin Ögeleri 1.1.1. E-Posta 1.1.2. Elektronik Firma (e-firma) 1.1.3. Alıcı 1.1.4. Bankalar 1.1.5. Sigorta 1.1.6. Nakliye Elektronik posta, bir bilgisayardan

Detaylı

EKAP İdare ile Gerçek ve Tüzel Kişi Kayıtlarına ilişkin Sık Sorulan Sorular

EKAP İdare ile Gerçek ve Tüzel Kişi Kayıtlarına ilişkin Sık Sorulan Sorular EKAP İdare ile Gerçek ve Tüzel Kişi Kayıtlarına ilişkin Sık Sorulan Sorular 1. EKAP ne zaman devreye alınacaktır? 24.02.2010 tarihi itibariyle EKAP ta idare ile gerçek ve tüzel kişi kayıtlarına başlanmıştır.

Detaylı

BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ www.bilgimikoruyorum.org.tr

BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ www.bilgimikoruyorum.org.tr BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ www.bilgimikoruyorum.org.tr PROJE HAKKINDA Bilgimi Koruyorum e Öğrenme Projesi DPT tarafından desteklenmiş olan Ulusal Bilgi Sistemleri Programı kapsamında gerçekleştirilmiş

Detaylı

PTT KEP BİREYSEL MÜŞTERİ KULLANIM KILAVUZU

PTT KEP BİREYSEL MÜŞTERİ KULLANIM KILAVUZU PTT KEP BİREYSEL MÜŞTERİ KULLANIM KILAVUZU İÇİNDEKİLER KEP NEDİR?........ 3 KEP NE SAĞLAR?..... 3 ELEKTRONİK TEBLİGAT NEDİR?.... 3 MÜŞTERİ TİPLERİ (KİMLER BAŞVURABİLİR).... 3 SİSTEME GİRİŞ........ 4 1.

Detaylı

İÇİNDEKİLER. Elektronik İmza... 3 Tanım... 3 Mevzuat... 3 Giriş... 3 Akıllı Akis Kart Alındıktan Sonra İzlenecek Adımlar... 4 2. Adım:...

İÇİNDEKİLER. Elektronik İmza... 3 Tanım... 3 Mevzuat... 3 Giriş... 3 Akıllı Akis Kart Alındıktan Sonra İzlenecek Adımlar... 4 2. Adım:... ELEKTRONİK İMZA 1 İÇİNDEKİLER Elektronik İmza... 3 Tanım... 3 Mevzuat... 3 Giriş... 3 Akıllı Akis Kart Alındıktan Sonra İzlenecek Adımlar... 4 1. Adım:... 4 2. Adım:... 4 Sürücü Yükleme Nasıl Yapılır?...

Detaylı

Güvenliğin sadece küçük bir kısmı % 20 teknik güvenlik önlemleri ile sağlanıyor. Büyük kısım ise % 80 kullanıcıya bağlı.

Güvenliğin sadece küçük bir kısmı % 20 teknik güvenlik önlemleri ile sağlanıyor. Büyük kısım ise % 80 kullanıcıya bağlı. SOSYAL MÜHENDİSLİK Güvenliğin sadece küçük bir kısmı % 20 teknik güvenlik önlemleri ile sağlanıyor. Büyük kısım ise % 80 kullanıcıya bağlı. Sosyal Mühendislik Kavramı Sosyal Mühendislik: Normalde insanların

Detaylı

Kerberos Kimlik Denetimi Altyapısı

Kerberos Kimlik Denetimi Altyapısı Kerberos Kimlik Denetimi Altyapısı Necdet Yücel nyucel~comu.edu.tr V. Linux ve Özgür Yazılım Şenliği, ODTÜ KAPSAM Nedir? Nasıl Çalışır? Bilet, Oturum Anahtarı, Özel Biletler Süreçler Ataklar Eşzamanlama,

Detaylı

Kurumsal Bilgi Güvenliği ve Siber Güvenlik

Kurumsal Bilgi Güvenliği ve Siber Güvenlik Kurumsal Bilgi Güvenliği ve Siber Güvenlik Değişik Formdaki Bilgi İstemci Sunucu Dizüstü bilgisayar Kablosuz ağlar Medya Dokümanlar Kurum çalışanları Yazıcı çıktıları Radyo-televizyon yayınları Yazılımlar

Detaylı

ELEKTRONİK TEBLİGAT UYGULAMA REHBERİ

ELEKTRONİK TEBLİGAT UYGULAMA REHBERİ ELEKTRONİK TEBLİGAT UYGULAMA REHBERİ (456-467 NUMARALI VUK GENEL TEBLİĞİ) SUNUŞ Değerli Üyemiz, 11/03/2016 Gelişen teknoloji ile birliktede yıllardır kağıt ortamında ve el ile yapılan işlemler artık elektronik

Detaylı

ULAKNET KULLANIM POLİTİKASI

ULAKNET KULLANIM POLİTİKASI ULAKNET KULLANIM POLİTİKASI MADDE 1. AMAÇ Bu kullanım politikası; Türkiye Bilimsel ve Teknolojik Araştırma Kurumu'nun (TÜBİTAK) bir enstitüsü olan Ulusal Akademik Ağ ve Bilgi Merkezi (ULAKBİM) tarafından

Detaylı

www.labristeknoloji.com 5651 ve diğer Yerel Mevzuat Kapsamında Zaman Damgası

www.labristeknoloji.com 5651 ve diğer Yerel Mevzuat Kapsamında Zaman Damgası www.labristeknoloji.com 5651 ve diğer Yerel Mevzuat Kapsamında Zaman Damgası İçerik Üretici Profili Zaman Damgası 5651 İnternet Yoluyla İşlenen Suçların Eng. Hk. 5070 - Elektronik İmza Kanunu Sonuç 08.11.2010

Detaylı

KRİPTOLOJİ SÖZLÜGÜ. authentication, authorization and accounting ( AAA ) : Kaynaklara güvenli erişimi sağlayıcı güvenlik unsurlarıdır.

KRİPTOLOJİ SÖZLÜGÜ. authentication, authorization and accounting ( AAA ) : Kaynaklara güvenli erişimi sağlayıcı güvenlik unsurlarıdır. açık anahtar (public key) : Açık anahtarlı bir kriptografik yöntem (algoritma) kullanan bir kullanıcının kendisine ait olan iki anahtarından kamuya açık olanı. açık anahtar altyapısı-aaa (public key infrastructure-pki

Detaylı

BİR SANAL NOTER UYGULAMASININ GEREKTİRDİKLERİ

BİR SANAL NOTER UYGULAMASININ GEREKTİRDİKLERİ BİR SANAL NOTER UYGULAMASININ GEREKTİRDİKLERİ Dursun Akçeşme Bilgisayar Mühendisliği Bölümü Yıldız Teknik Üniversitesi, İstanbul dursunakcesme@hotmail.com A. Coşkun Sönmez Bilgisayar Mühendisliği Bölümü

Detaylı

Kayıtlı Elektronik Posta (KEP) Edinme Zorunluluğuna Ve Elektronik Tebligata İlişkin Usul ve Esaslar

Kayıtlı Elektronik Posta (KEP) Edinme Zorunluluğuna Ve Elektronik Tebligata İlişkin Usul ve Esaslar Kayıtlı Elektronik Posta (KEP) Edinme Zorunluluğuna Ve Elektronik Tebligata İlişkin Usul ve Esaslar ÖZET : Kayıtlı Elektronik Posta (KEP) Edinme Zorunluluğuna Ve Elektronik Tebligata İlişkin Usul ve Esaslar

Detaylı

Bitlocker ile sürücü şifreleme,

Bitlocker ile sürücü şifreleme, Bitlocker ile sürücü şifreleme, Bugünlerde Windows 7 işletim sisteminden bahsederken hemen herkes iyi diyor.windows 7 yi bu denli sevdiren aslında kendi üzerinde barındırdığı gelişmiş özellikleridir.bu

Detaylı

Arş.Gör.Muhammet Çağrı Gencer Bilgisayar Mühendisliği KTO Karatay Üniversitesi 2015

Arş.Gör.Muhammet Çağrı Gencer Bilgisayar Mühendisliği KTO Karatay Üniversitesi 2015 Arş.Gör.Muhammet Çağrı Gencer Bilgisayar Mühendisliği KTO Karatay Üniversitesi 2015 KONU BAŞLIKLARI 1. Yazılım Mimarisi nedir? 2. Yazılımda Karmaşıklık 3. Üç Katmanlı Mimari nedir? 4. Üç Katmanlı Mimari

Detaylı