ŞIFRELEMENIN TEMEL ELEMANLARI

Transkript

1 AMAÇ: Grafiklerin ve renklerin insan bilinci ile uyumu esasına göre şekil ve renklerden oluşmuş şifrelerin farklı kullanıcılar tarafından bulunabilirliğinin çok küçük olması neden ile daha üstün olduğunu göstererek farklı bir şifre oluşturma yöntemi uygulamak. GİRİŞ: İnternette yollanan veri paketleri birçok halka açık bilgisayar ağlarından geçer, bu da bu paketlere isteyen herkesin ulaşabilmesini mümkün kılar. Bu tür bilgileri korumak mümkün olmadıkça internet, iş yapmak veya gizli, şahsi yazışmalarda bulunmak için asla güvenli bir yer olmayacaktır. Bilgi güvenliği başkası tarafından dinlenme, bilginin değiştirilmesi, kimlik taklidi gibi tehditlerin ortadan kaldırılması ile sağlanır ve bu amaçla kullanılan temel araç kriptografidir. Kriptografi bilgi güvenliğini inceleyen ve anlaşılabileni anlaşılamaz yapan bir bilim dalıdır. Güvenilirlik, veri bütünlüğü, kimlik doğrulama gibi bilgi güvenliği konularıyla ilgilenen matematiksel yöntemler üzerine yapılan çalışmalar kriptografinin önemli konularıdır. Kriptografi genel olarak şu ana konularla ilgilenir: Gizlilik: Bilgi istenmeyen kişiler tarafından anlaşılamamalı. Bütünlük: Bir iletinin alıcısı bu iletinin iletim sırasında değişikliğe uğrayıp uğramadığını öğrenmek isteyebilir; davetsiz bir misafir doğru iletinin yerine yanlış bir ileti koyma şansına erişmemelidir. Saklanan veya iletilmek istenen bilgi farkına varılmadan değiştirilememeli. Reddedilemezlik: Bilgiyi oluşturan ya da gönderen, daha sonra bilgiyi kendisinin oluşturduğunu veya gönderdiğini inkar edememeli. Bir gönderici daha sonrasında bir ileti göndermiş olduğunu yanlışlıkla reddetmemelidir. Kimlik belirleme: Gönderen ve alıcı, birbirlerinin kimliklerini doğrulayabilirler. davetsiz bir misafir başkasının kimliğine bürünme şansına erişmemelidir. ŞIFRELEMENIN TEMEL ELEMANLARI Bir göndericinin bir alıcıya açık ağlar üzerinden bir ileti göndermek istediği zaman, açık ağlardan gönderilen iletiler üçüncü şahıslar tarafından dinlenme ve değiştirilme tehdidi altındadırlar. Burada söz konusu ileti düz metindir. Bazı kullanımlarda plaintext adı da verilir. Bir iletinin içeriğini saklamak üzere yapılan gizleme işlemi de şifrelemedir (encryption). Bu işlem düz metini şifreli metine dönüştürür. Bilginin içeriğinin başkalarının anlamayacağı hale gelir. Bu bilgi bir yere iletilmek amacıyla şifrelenen bir mesaj veya saklanmak amacıyla şifrelenen bir bilgi olabilir. Şifrelenmiş bir ileti şifreli metindir (ciphertext). Şifreli metini düz metine geri çevirme işlemi şifre çözümüdür (decrypt). Bu işlemler Şekilde gösterilmektedir. DÜZ METİN ŞİFRELEME ŞİFRELİ METİN ŞİFRE ÇÖZME ÖZGÜN DÜZMETİN Şifreleme ve şifreyi çözme işlemleri 1

2 Eğer bir algoritmanın güvenliği bu algoritmanın çalışma biçimini gizlemeye dayalıysa, bu bir sınırlandırılmış algoritmadır. Sınırlandırılmış algoritmalar günümüzün şartlarına pek uymamaktadır; bir gruba ait kullanıcılar bunları kullanamamaktadır, çünkü gruptan bir kullanıcının her çıkışında geri kalan herkesin başka bir algoritmaya geçmesi gerekmektedir. İçlerinden birisi yanlışlıkla gizleneni açığa vurduğunda, diğer herkesin algoritmalarını değiştirmeleri gerekmektedir. Daha da kötüsü, sınırlandırılmış algoritmalar kalite kontrolüne ve standartizasyona olanak tanımamaktadır. Her bir grup kullanıcının kendisine ait bir algoritması olmalıdır. Bu tür bir grup hazır şifre çözüm anahtarının yazılım veya donanım ürünlerini kullanamaz; davetsiz bir misafir aynı ürünü alıp algoritmayı öğrenebilir. Kendi algoritmalarını ve gerçekleştirimlerini kendileri yazmaları gerekir. Günümüz kriptografisi bu sorunu bir anahtar ile çözmektedir. Bu anahtar çok çeşitli değerler alabilen herhangi bir anahtar olabilir. Günümüzde kullanılmakta olan modern ve güçlü şifreleme algoritmalaları artık gizli değildir. Bu algoritmalar güvenliklerini kullandıkları farklı uzunluk ve yapılardaki anahtarlarla sağlarlar. Bütün modern algoritmalar şifrelemeyi ve şifre çözmeyi kontrol için anahtarları kullanır. Bir anahtar ile şifrelenmiş bilgi, kullanılan algoritmaya bağlı olarak, ilgili anahtar ile çözülebilir. Genel olarak anahtarın kullanımı şu şekildedir Şekil 2 - Bir mesajın dinlenmesini önlemek için anahtar ile şifreleme. Kullanıcı bir mesajı (m) göndermeden önce bir anahtar (k1) kullanarak şifreler. Şifreli metin (c) yasadışı dinleyicilere açık olan bir kanaldan gönderilir. Mesajı okumak için alıcı bir anahtar (k2) kullanarak şifreyi çözer ve m mesajını elde eder. Aktif düşmanlar araya girip iletişimi dinleyebilir. Eğer k1 ve k2 eşitse, sistem simetriktir. Aksi takdirde bu sistem asimetrik olarak nitelenir. Güvenliğin garantilenmesi için k2 her zaman gizli olmalıdır, ancak k1 i kullanarak k2 yi elde etmek mümkün olmadığı sürece k1 açıklanabilir. Bu durumda sisteme açık anahtarlı sistem (public key system) adı verilir. Açık anahtarlı sistemler pek çok ilginç olanaklar sunar; örneğin herkes online bir mağazaya mağazanın açık k1 anahtarını kullanarak şifrelenmiş bir kredi kartı numarası gönderebilir. k2 anahtarını sadece mağaza bildiği için, kartın numarasını sadece mağaza öğrenebilir. Eğer simetrik sistem kullanılsaydı, mağaza potansiyel müşterilerinin her biriyle önceden ve gizlice ayrı ayrı anahtarlar belirlemek zorunda kalırdı. Açık anahtarlı sistemlerin güvenliği her zaman belirli matematiksel problemleri çözmenin zorluğuna dayanır, simetrik sistemler daha çok tek kullanımlık, geçici yapıdadırlar. Açık anahtarlı sistemlerin en büyük dezavantajı matematiksel yapıları nedeniyle simetrik sistemlerden daha yavaş olmalarıdır; özellikle açık anahtarlı sistemlerdeki anahtarların boyutları simetrik sistemlerin anahtarlarının boyutlarından çok daha büyüktür. Kısaca, kullanılacak şifreleme yöntemi gerçekleştirilecek uygulamaya bağlı olarak seçilir. (Şekil 3a-3b) 2

3 Şekil 3-a Tek anahtar ile şifreleme ve şifre çözme Şekil 3-b İki farklı anahtar ile şifreleme ve şifre çözme Bu bilgilere göre; Algoritmalardaki bütün güvenlik anahtara (veya anahtarlara) dayalıdır, Anahtarların hiçbiri algoritmanın ayrıntılarında yer almaz. Algoritmanın yayınlanabilir ve incelenebilir. Bu algoritmayı kullanan ürünler seri üretilebilir. Bir davetsiz misafirin sizin algoritmanızı bilmesi önemli değildir; sizin özel anahtarınızı bilmedikçe, o şahıs iletilerinizi okuyamaz. Şifreleme algoritmaları anahtar kullanma yöntemlerine göre genel olarak iki kategoriye ayrılmaktadır. Bu yöntemler: Gizli-Anahtar (Simetrik) yöntemleri (Geleneksel kriptolama sistemleri) Açık-Anahtar (Asimetrik) yöntemleri (Açık anahtar kriptolama sistemleri) Görüldüğü gibi kriptolojinin kullandığı yöntemlerin tamamında anahtarlar ve şifreler kullanılmaktadır. Özellikle kullanılan şifreler çok önemlidir. Hem yüksek güvenliğe sahip, hem de kolay kullanılabilir bir kullanıcı tanıma sistemlerinde de şifreleme önemli ve güncel bir problemdir. Kullanıcı tanıma ve doğrulama sistemlerinde kullanılan şifreler genellikle alfa-nümerik tabanlıdır. Bu tip şifreler belli bir karakter dizisinden seçilmiş şifrelerdir. Kullanıcı tanıma sistemlerinde alfa-nümerik şifrelere alternatif olarak biometrik veriler, parmak izi, retina taraması, ses tanıma, manyetik ve akıllı kart uygulamaları gibi birçok farklı teknik de kullanılmaktadır. 3

4 ŞİFREME YÖNTEMLERİ VE ŞİFRELERİN KIRILMASI ALFA-NÜMERİK ŞİFRELERİN İNCELENMESİ VE ZAYIF YÖNLERİ: Şifre güvenlik zayıflıkları, güvenlik uzmanları ve saldırganlar tarafından üzerinde sürekli çalışılan ve gelişim içerisinde olan bir alandır. Hızlı bilgisayarlar ve etkin programlar ile alfanümerik şifreleme kullanan sistemlerin güvenliğini aşmak için dakikada binlerce alfa-nümerik şifre test edilebilmektedir. En sık kullanılan alfa-nümerik şifre kırma yöntemleri şunlardır; SÖZLÜK TABANLI ŞİFRE KIRMA Sözlük tabanlı şifre kırma sözlük formatına çevrilmiş kelime kombinasyonunu kullanarak şifreleri çözmeyi esas alır. Saldırganlar hazırlanan kelime kombinasyonunu manuel olarak deneme zahmetinde bulunmamak için, özel scriptler ya da programları hazırlamışlardır. Bu scriptler, oluşturulmuş kelime listesindeki kelimeleri doğru şifreye ulaşıncaya kadar teker teker dener. Local olarak yapıldığı zaman çok kısa bir sürede, aşırı derecede kelime denenir. ZORLAMA İLE ŞİFRE KIRMA YÖNTEMİ Bruteforce olarak da bilinen bu yöntemin sözlük tabanlı şifre çözme yönteminden farkı, karakterlerin her türlü kombinasyonlarının kullanılmasıdır. Şöyle ki; bu yöntemde şifreye ulaşabilmek için hem harfler(a-z), hem sayılar(0-9), hem de özel karakterler (!?$) kullanılır. Zorlamayla şifre çözme yönteminde karakterler ve rakamlar da kullanıldığından dolayı, kullanılan alfabe sayısı ve şifre basamak sayısının kombinasyon hesabı sonucu kadar şifre denenir. Ve şifreyi bulmak için (şifrenin güvenilirliğine bağlı olarak) haftalar, aylar geçebilmektedir. HİBRİT YÖNTEM Hibrit yöntem, yukarıda anlatılan 2 yöntemin birleşmesinden oluşur. Sözlük tabanlı şifre kırma yöntemi hızlı ama etkisiz, zorlamayla şifre kırma tekniği ise yavaş ama etkilidir. Hibrit yöntemde sözlükteki şifrelerle zorlama tekniğiyle yeni karakterler eklenir ve şifre kırılmaya çalışılır. Mesela sözlük listesindeki bir şifre turkuaz ise, zorlama tekniği bu kelimeye turkuaz01, turkuaz02 gibi eklemeler yapar. ALFA-NÜMERİK ŞİFRELERİN EKSİK YÖNLERİNİ İÇİN ALINMASI GEREKEN ÖNLEMLER Bu bilgiler doğrultusunda tahmin edilmesi güç şifreler seçmenin önemli olduğu görülmektedir. Bu da kullanıcıları hatırlanması zor şifreler seçmeye zorlamaktadır ki bu durumda istenmeyen başka bir uygulama gerçekleşecek ve kullanıcılar şifrelerini başka ortamlarda saklamak zorunda kalacaklardır. Çünkü, alfa-nümerik karmaşık bilgilerin hatırlanması insan beyninin çalışma ve bilgileri saklama konseptine uymamaktadır. (Kullanıcılar için pek çok şifre saklama programı ve internet çözümleri sunulmuştur.) 4

5 Yapılan araştırmalar, daha güvenli şifre isteyen kullanıcılara şifre seçiminde bazı zorunlulukları öneri olarak sunmaktadırlar. Karmaşık alfa-nümerik şifrelerin üretilmesi ve şifre seçiminde kullanıcılara yansıyan bu öneriler şu şekilde sıralanmaktadır: Sistemdeki kullanıcı ismi şifre olarak seçilmemelidir. Kullanıcı ilk adını ya da soyadını kullanmamalıdır. Eş, çocuk ya da evcil hayvanın adları gibi özel bilgiler kullanılmamalıdır. Sözlükte yer alan kelimeler seçilmemelidir, çünkü birçok şifre kırma programı sözlükleri kullanmaktadır. Doğum tarihi, telefon numarası, araba plakası gibi kişisel bilgiler kullanılmamalıdır. Şifrelerin tamamı rakamlardan ya da aynı harften oluşmamalıdır. Alfabedeki harfleri karıştırılarak bir şifre oluşturulmalıdır. Şifre harf, rakam ve noktalama işaretleri karıştırılarak oluşturulabilir. Ayrıca büyük ve küçük harfler karışık olarak kullanılmalıdır. $, ~, gibi özel karakterlerin kullanılması tavsiye edilmektedir. Şifreyi bir yere not etmek durumunda kalmamak için hatırlaması kolay şifre seçilmelidir. Kullanıcı kendisine göre bir şifre biçimi geliştirebilir. Böylece farklı sistemler için şifre belirlerken ve şifresini hatırlarken zorlanmayacaktır. Aynı şifre birden fazla sistemde kullanılmamalıdır. Aksi takdirde hesaplardan biri ele geçirildiğinde diğer sistemlerdeki hesaplar da ele geçirilebilir. Hızlı bir şekilde yazılabilen şifreler seçilmelidir. Böylece saldırganın kullanıcıyı klavyeden şifre girerken takip etmesi güçleşecektir. Güvenilir şifre yaratmak ve daha sonra bunu hatırlamak için hatırlamayı kolaylaştıracak söz öbekleri kullanılmalıdır. Bir cümledeki, şarkı sözü veya tekerleme gibi, kelimelerin ilk harflerini alarak ve bunları büyük ve küçük harfler ya da aralarına rakam ve noktalama işaretleri yerleştirerek şifre oluşturulabilir ya da bazı harfler için dönüştürmeler, O harfi için sıfır rakamı kullanmak gibi, yapılabilir. Kullanıcılar şifrelerini akıllarında tutabilmelidir. Şifreler, takvime ya da not kâğıtlarına yazılmamalı, bilgisayarda saklanmamalıdır. Aksi takdirde kullanıcının güvenliği şifrenin yazılı olduğu kâğıda ya da bilgisayarda saklanan dosyaya bağlıdır. Kullanıcı şifresini başka kişilere vermemelidir. Kullanıcılar periyodik olarak şifrelerini değiştirmelidirler. GRAFİK ŞİFRELEMELERİN İNCELENMESİ: Grafik tabanlı şifreler kolay kullanımı ve alfanümerik şifrelere oranla daha güvenilir olması nedeni ile klasik şifreleme yöntemlerine bir alternatif olarak ortaya çıkmıştır. Grafik tabanlı şifre sistemleri, insanların görsel verileri yazı ve sayılara göre daha iyi hatırladığı hipotezine dayanmaktadır. Böylece kullanıcıların hatırlama kolaylığından dolayı zayıf ve kolay kırılabilen şifre oluşturma olasılıkları azalmaktadır. Grafik şifrelerin güvenlik analizi literatürde genellikle alfabe boyutunun büyüklüğü ile değerlendirilmektedir. Ayrıca PassPoints sisteminde kullanılan şifre resimlerinin içerikleri kullanıcı ve sistem güvenliği açısından hesaba katılmamaktadır. Grafik tabanlı şifre sistemleri tanıma veya hatırlamaya dayalı olarak iki farklı şekilde geliştirilmektedir. 5

6 1- TANIMA TABANLI GRAFİK ŞİFRELEME Tanıma tabanlı sistemlerde kullanıcıların daha önceden sistem tarafında tanımlanmış bir resim seti (resim alfabesi) içerisinden önceden şifre olarak belirledikleri bir resimi tanıyıp seçmesi esasına dayanmaktadır. Tanıma tabanlı şifre sistemlerinde kullanıcılardan belirli resim alfabesi üzerinde önceden seçilmiş noktaların sıra ile tıklanması istenmektedir. 2- PASSPOİNTS GRAFİK ŞİFRELEME PassPoints grafik şifrelemede kullanıcı, şifresini ekranda görüntülenen bir resim üzerinde belirli noktalara tıklayarak oluşturmaktadır. Kullanıcının sistem tarafından tanınması için resim üzerinde önceden şifre olarak belirlenen bölgeleri veya yakın çevresini şifredeki sıra ile kullanıcı ekranı üzerinden tıklaması gerekmektedir. Grafik şifreleme _Resimlerin kullanımı BASİT Grafik şifreleme- Resimlerin kullanımı KARMAŞIK Passpoints sistemde, tanıma tabanlı şifrelemenin aksine birden fazla resim kullanılmamakta, bunun yerine tek bir resim üzerinde belirli noktaların işaretlenmesi ile sisteme giriş yapılmaktadır. Bu bazı uygulamalarda daha da basitleştirerek kullanıcıların tıklayabileceği bölgeleri resim üzerinde kalın çizgiler ile bir birinden ayırmış ve tüm resimi bir ızgara üzerine oturtarak kullanım kolaylığı sağlamıştır. 3- DİĞER FARKLI ŞİFRELEME YÖNTEMLERİ Bunların yanında farklı şifreleme teknikleri üzerine yaptığımız araştırmada iki farklı şifreleme yöntemi ile de karşılaştık. Bunlar; Renklerin şifrelemede kullanımı üzerine cep telefonları için hazırlanmış bir yöntemde, alfabenin boyutunun çok küçük olması güvenilir olmasını engellemetedir. Ayrıca harfleri ve resimleri birleştirerek kullanma fikri üzerine çalışılmış Hibrid Harf-Resim Şifreleme yöntemi de bulunmaktadır. (captcha güvenlik uygulamaları gibi) 6

7 GRAFİK ŞİFRELEMENİN OLUMLU YÖNLERİ Grafik şifreleme uygulamalarında kullanıcının seçtiği resim aynı zamanda hatırlatıcı bir görev görmekte bu da kullanıcıların kendi oluşturdukları şifreleri daha kolay hatırlamalarını sağlamaktadır. Grafik şifreler kullanıcıların bir resim üzerindeki noktaları belli bir sıra ile tıklamaları ile oluşturulduğundan yüksek çözünürlüklü resimler daha güvenilir şifrelerin oluşturulmasına imkan sağlamaktadır. Grafik şifreleme sisteminde kullanıcılar şifre seçimini kendi seçtikleri hatırlayabilecekleri noktaları belirleyerek yapmaktadırlar. Böylece kullanıcıların şifrelerini hatırlaması için herhangi bir yere not düşmesi gerekmemektedir. Grafik şifrelerin güvenlik analizi resimin içeriği dikkate alınarak gerçekleştirilmektedir. Kullanıcıların resim üzerinde şifre olarak seçebilecekleri yerlerin FoA (Focus of Attention) bölgelerinin tespiti yardımı ile belirlenmiş bu sayede resimlerin sahip oldukları tahmini grafik şifreye ait alfabe boyutu kestirilebilmiştir. Projemizde kullandığımız grafik tabanlı şifreleme yöntemi, alfa-nümerik şifreleme yöntemi ile klasik grafik tabanlı şifreleme yönteminin olumlu yönlerini birleştirerek, her iki şifreleme yöntemlerin eksikliklerini gideren daha güçlü bir şifreleme hedeflemiştir. GRAFİK ŞİFRELEME KULLANIMINDA DİKKAT EDİLMESİ GEREKENLER: Grafik şifrelemenin olumsuz yönlerinden birisi, resimin ızgara çizgileri ile bölünmesinden dolayı şifre alfabe setinin daraltılması ve bundan dolayı şifre uzunluğunun bir miktar artmasıdır. Grafik şifrelemenin kırılabilmesi için sabit resim üzerindeki kullanıcıların dikkatlerini en çok çekebilecek noktaları tespit edilerek kestirilen tahmini alfabe üzerinden FOA haritası da kullanılarak akıllı bir şifre saldırı algoritması geliştirilebileceği öngörülmektedir. Kullanılacak resmin seçimine dikkat edilmelidir. Çok ayrıntıya sahip olmayan bir resim, boyutu büyük de olsa, boyutu küçük fakat yüksek miktarda ayrıntı içeren karmaşık bir resime oranla şifre seçimi için daha az güvenilir olabilir. ALFA-NÜMERİK ŞİFRELEME VE GRAFİK ŞİFRELEMENİN KARŞILAŞTIRILMASI: Grafik Şifrelerin metin tabanlı şifrelere göre hatırlanması daha kolaydır. Çünkü grafikler, insan beyninin çalışma ve bilgileri saklama konseptine uymaktadır. Bir ağa yada bir site girişi için gerekli olan 8 karakterli bir şifre istenildiği düşünülsün. Şifrelerin genel kullanımı incelendiğinde görülüyor ki, kullanıcıların çoğunluğu a4j7f54a gibi karışık bir şifre yerine ad, soyad, doğum tarihi, okul numarası, kimlik numarası, sıralı karakter dizileri yada kelime gurupları gibi diğer kullanıcılar tarafından kolay tahmin edilebilecek ve bu yüzden güvenliği daha düşük şifreler tercih etmektedir. Alfa-nümerik şifrelemede kullanılan karakter grubu yaklaşık 70 karakterden oluşurken (sayılar + harfler + noktalama işaretleri gibi), renk ve grafik tabanlı şifrelemede istenilen oranda belirlenebilir ve bu arasında değişebilir. 7

8 Grafik şifre yönteminde ise kullanıcılar karmaşıklığı yüksek olan a4j7f54a gibi bir şifreyi resimdeki araba, lamba, eşya, hayvanlar gibi birkaç nesneye tıklayarak oluşturabilirler. Tıklanılan bu nesneleri hatırlamak a4j7f54a şifresini hatırlamaktan çok daha kolaydır. Çünkü İnsan beyninin yapısına bağlı olan öğrenme ve hatırlama işlemleri görsel yöndedir. 1 Kullanıcılar metin tabanlı şifre sistemlerinde kendilerine anlamlı gelecek sözcükleri kullandıkları için daha once belirtilen şifre kırma yöntemleri ile kısa sürede bulmak da mümkündür. Grafik tabanlı şifrelemelerde ise bu yöntemler kullanılamaz. Kullanıcılar güvenliği düşük veya yüksek olduğuna bakmaksızın, hatırlamayı kolaylaştırmak için birçok ortam da aynı şifreyi kullanma eğilimindedirler. Uyguladığımız grafik şifre yönteminde ise kullanıcı aynı alanları aynı sırayla tıklamış olsalar bile farklı renklerle farklı şifreler üretmesi sağlanabilir. Ayrıca şifrelemenin yapılacağı sistemlere göre kullanıcı kendisine çağrıştıracağı farklı bir kombinasyon seçmeyi hatırlama kolaylığı nedeni ile tercih edebilir. Alfa-nümerik şifreler klavyeden girilmektedir. Bu da kolay bir şekilde şifrelerin başkaları tarafından ele geçirilmesine imkan verir. (Keylogger vb.) Ancak grafik tabanlı şifreler tıklama esasına göre çalıştıkları için buna benzer yöntemler kullanılamaz ve güvenilirlik artmış olur. (Günümüzde bankaların web sitelerinde tıklama esaslı şifreler kullanılmaktadır) Alfa-nümerik şifrelerde, kullanıcının kişisel tercih ve bilgileri genellikle bulunmaktadır. Bu bilgiler kullanılarak şifreler kırılabilmektedir. Bunun aksine grafik tabanlı şifrelerde kullanıcının kişisel bilgileri ve tercihleri bulunamayacaktır. Alfa-nümerik şifrelerde bir hatırlatıcı unsur bulunmamakta, bundan dolayı kullanıcılar kolay hatırlayabildikleri isim, tarih, yer, vb. bilgileri şifre seçiminde kullanmaktadırlar. Bu da alfanümerik şifrelerin kötü niyetli kişiler tarafından kırılmasını veya tahmin edilmesini kolaylaştırmaktadır. 8

9 TEOREM: Bu projemizde uyguladığımız şifreleme yöntemi, alfa-nümerik şifrelemenin olumlu yönleri ile klasik grafik şifrelemelerde kullanılan yöntemlerin artılarını bir araya getiren yeni bir yöntem olarak uyguladığımız bir şifreleme olduğu için biz Turkuaz Şifreleme olarak adlandıracağız. Alfa-nümerik şifrelemede kullanılan nesne kümesi (alfabe boyutu) klavyeden girilebilecek sembollerle sınırlıdır. En fazla: ASCII tablosundaki 256 karakterdir. Ortalama olarak harfler + rakamlar + bazı semboller ile sınırlıdır ve yaklaşık 30(büyük harfler) + 30 (küçük harfler) + 10 (rakamlar) + 10 (bazı semboller) = 80 nesneden oluşabilmektedir. Tek haneli bir şifre için 80 farklı ihtimal demektir. Aynı şekilde tek haneli bir şifre için Turkuaz şifrelemede, klasik grafik şifrelemede tıklama alanı yapısı kullanılmadan, sadece renkler ve şekiller ile oluşturulabilecek alfabe boyutunu incelersek oluşturulabilecek alfabe sayısı; En fazla: kullanılan şekil sayısı ile renk paletinden seçilebilecek renk ihtimallerinin çarpımı kadardır. Bu da tek haneli bir şifre için 4 milyar dan fazla ihtimal demektir. (alfabe boyutu) 256 farklı şekil * 256 (R) * 256(G) * 256 (B) ((RGB renk modeli için))= Ortalama bir uygulama için ise şekil ve renk olarak düşünülürse, tek hane şifre için ihtimalli alfabe boyutu elde edilebilmetedir. Bu da turkuaz şifreleme yönteminin alfa-nümerik şifrelemeden tek haneli bir şifre için Enfazla = / 256 = kat daha güvenli Ortalama = / 80 = kat daha güvenli bir şifre oluşturulabilmesini mümkün kılmaktadır. 9

10 Ayrıca Turkuaz şifrelemenin kullanıcılar tarafından uygulanabilirliğini kolaylaştırmak için ve oluşturulabilecek alfabe boyutunu arttırmak için grafik şifrelemede kullanılan tıklama alanı uygulaması da sisteme dahil edilebilir. Buna göre temel olarak kullanılacak olan şifre alanında 10x10 pikselik bir alanın birim tıklama bölgesini oluşturduğu düşünülürse, Birim alan 10x10 pixel ise, 800x600=480000/10x10=4800 birim alandır. 800x600 boyutlarında bir şifre resim alanı 4800 adet farklı bölgeden oluşur. Bu durumda böyle bir resim alanında 4800 birim alan oluşmaktadır. Turkuaz Şifreleme ile oluşturulacak tek haneli bir şifrenin bu alandaki herhangi bir yere konulma ihtimali de şifrenin ihtimalini 4800 kez arttırmaktadır. Bu da yukarıdaki hesaplamalarla yine tek hanelik bir şifre kullanımı için: En fazla: * 4800 = = 20 tirilyon ihtimal Alfa-nümeri şifrelemeye göre ise kat daha güvenli şifre Ortalama : * 4800 = = 61 milyon ihtimal Alfa-nümerik şifrelemeye göre kat daha güvenli şifre elde etmeyi mümkün kılmaktadır ki, bu sistem ile gerçekten çok kaliteli bir şifre oluşturabilmektedir. Başka bir ifadeyle, Turkuaz Şifreleme yöntemi ile 1 hanede elde edilen tahmin edilebilirlik değerine - güvenlik seviyesine, alfa-nümerik şifreleme ile 7 haneli bir şifre ile ulaşılabilmektedir. Görüldüğü gibi Turkuaz grafik şifre kullanımı sayesinde karmaşık ve yüksek basamaklı alfanümerik şifrelerin sahip olduğu güvenlik düzeyine böyle bir sistemde ekran üzerinde birkaç noktayı tıklayarak ulaşılabilmektedir. 10

11 TURKUAZ ŞİFRELEME NESNE KÜMESİNİN (ALFABE) OLUŞTURULMASI: Şifreleri oluşturacak nesneler günlük hayatta kullanılan çevredeki nesnelerin şekilleri olabileceği gibi, kullanıcının istediği herhangi bir şekil kümeside olabilmektedir. Aşağıdaki örnekte temel şekillerden oluşturulmuş basit bir yapı ile biraz zenginleştirilmiş bir alfabe oluşturulması modellenmiştir. BASİT TURKUAZ GRAFİK ŞİFRELEME ALFABESİ ZENGİN TURKUAZ GRAFİK ŞİFRELEME OLUŞTURMA ALFABESİ OLUŞTURMA Şifrelerin elde edilmesinde kullanılacak yöntemler ve yapılar şifrelemenin kullanılacağı yapıya göre istenilen şekilde belirlenebilir. Burada MS. Ofis program paketi içerisindeki yapılar model olarak alınmıştır. SINIRLANDIRILMIŞ ŞİFRE RENK DEMETİ ZENGİN ŞİFRE RENK ARALIĞI (RGB) SINIRLI ŞEKİL GURUBU ZENGİN ŞEKİL GURUBU ELDE EDİLEN ÖRNEK ŞİFRE Farklı renk ELDE EDİLEN ÖRNEK ŞİFRE R*G*B = Farklı renk 28 X = Alfabenin eleman sayısıdır. 72 X = Alfabenin eleman sayısıdır. Yukarıdaki modelleme kullanılarak farklı şifreleme gerektiren sistemler için uygulamalar geliştirilebilir. Özellikle bilgisayar ağları ve internet ortamları ile günümüzde gittikçe yaygınlaşan mobil sistemlerde kullanılması mümkündür. İnternet yapısı içinde Turkuaz Grafik Şifrelemenin kullanabilirliğini çok temel bir uygulama ile projemiz içersinde ayrıca gerçekleştirdik. Bu yapıya Tıklama alanı uygulanması eklemek de ayrıca mümkündür. 11

12 UYGULAMA YÖNTEMİ: Grafik şifrelemede uygulanan, resim kullanımı yerine kullanıcının belirlediği şekil ve renkler ile şifre oluşturan nesne kümesi belirlenir. 1- Kullanıcı şifresini oluşturacak nesne elemanlarını teker teker belirler. 2- Şifrenin birinci elemanının rengini seçer. 3- Şifrenin birinci elemanının şeklini seçer. Bu sayede ilk eleman belirlenmiş olur. 4- Şifrenin ikinci, üçüncü ve diğer elemanlarını önce renk, sonra şekil belirleyerek oluşturur. 5- Böylece istenilen sayıda farklı renklerden ve nesnelerden oluşmuş bir grafik şifre dizisi elde edilir. 6- Bu şifre dizisinin sırası aynı zamanda tıklama sırasınıda ifade etmektedir. 7- Elde edilen grafik nesne kümesi eğer resim alanı kullanılıyorsa, birim tıklama bölgesi ebatlarına uygun olarak dağıtılır. 8- Artı şifre oluşturulmuştur. Oluşturulan şifrenin doğrulanmasında da aynı yol izlenir, önce renk, sonra şekil olarak şifre girilir. Onaylamanın ardından şifre doğru ise karşılama mesajı, yanlış ise bilgilendirme mesajı alınır. Bu şifre özellikle internet tabanlı sistemlerde yüksek güvenlik gerektiren ortamlarda çok rahatlıkla kullanılabilir. Şifre girişi Şifre oluşturma Yanlış şifre girişi Doğru şifre girişi 12

13 ŞIFRENIN KAYDEDILMESI: Grafik şifre seçim süreci ilk olarak öğrenme ile başlamaktadır. Bu süreçte kullanıcılar nesne kütüphanesinden N adet şekili (Bu çalışma için N=10), 10 farklı renk toleransı ile belli bir sıra ile seçerler. Şifrenin onaylanması için kullanıcıdan kendi şifresini tekrar girmesini istenir. Eğer kullanıcı arka arkaya aynı bölgeleri belli bir süre içerisinde tıklayabiliyorsa kullanıcı ismi ile seçilen şifre ilişkilendirilir. Mevcut nesnelerin ve renklerin hash değerini kayıt eder. SİSTEME GİRİŞ Kullanıcı sisteme girmek istediğinde öncelikle kendi ismini veya kısa adını klavyeden girer. Sistem klavyeden girilmiş kullanıcı adı ile ilişkilendirilmiş resim nesneleri, renkleri ve kullanıcı şifresinin hash değerini hafızaya yükler. Kullanıcı sisteme girebilmek için ekranda beliren ve önceden kendisinin belirlemiş olduğu resim nesnelerinin üzerine şifresini oluşturan şekil ve renk sırası ile tıklar. Eğer doğru noktaları doğru sıra ile tıkladıysa (tıkladığı resim pozisyonlarının hash değerleri kayıtlı değerler ile uyuşuyorsa) sisteme girebilir. 13

14 SİSTEME YANLIŞ GİRİŞ Eğer kullanıcı doğru noktaları tıklayamaz ise sistem kullanıcıdan şifre pozisyonlarını tekrar tıklamasını ister. Böyle bir sistemde grafik şifreyi oluşturan alfabe boyutu kullanılan resimin boyutu ve tıklama sayısı ile belirlenmektedir. 14

15 UYGULAMA ANKETLERİ: Yaptığımız okul anketi sonuçlarına göre, 100 arkadaşımızın grafik şifreleme ve alfa-nümerik şifreleme için vermiş olduğu cevapların değerlendirilmesi sonucu grafik şifrelemenin aşağıdaki bilgiler elde edilmiştir. ŞİFRE KULLANIMI VE ŞİFRELEME TERCİHLERİ DEĞERLENDİRME ANKET SORULARI SORU 1 Oluşturacağınız şifreyi belirlemek için ne kadar düşünüyorsunuz? % sn % sn % ,5 dk % 18 1,5-2 dk SORU 2 Şifre oluşturmak için ne kadar süre harcıyorsunuz? % sn % sn % sn % sn SORU 3 Oluşturacağınız şifreyi değiştirme ihtiyacı duyuyor musunuz? % 12 Evet % 40 Hayır % 48 Arasıra SORU 4 Oluşturduğunuz şifreyi hatırlamak için ne kadar düşünüyorsunuz? % sn % sn % sn % dk SORU 5 Aşağıdakilerden hangisini şifrelerinizi oluştururken kullanmak istersiniz? % 18 Sayı % 22 Harf % 2 Sembol % 6 Renk % 4 Şekil % 46 Renk- Şekil İlk dört sorununun incelenmesi sonucu alfa-nümerik şifrelemenin zayıf yönleri belirginleşmiştir. Birinci ve ikinci sorularda şifre oluşturmak için kulllanıcılar belli bir süre karar aşamasında bulundukları belirlenmiştir. Üçüncü soruda kullanıcıların sıklıkla veya arasıra toplam olarak %60 oranında şifrelerini güvensizlik nedeni ile değiştirdiklerini gördük. Dördüncü soruda kullanıcıların şifrelerini hatırlamak için çok az vakit harcıyor olmaları gösteriyor ki, genellike aynı şifreleri kullanmaktadırlar. Bu da alfa-nümerik şifre kullananlara uzmanlarca yapılan tavsiyelere uymamaktadır. Beşinci soruda kullanıcılar renklerin ve şekillerin beraber kullanıldığı bir şifreyi tercih edeceklerini göstermiştir. Sonuçların değerlendirildiği grafikler aşağıdadır. 15

16 SORULAR A-ŞIKKI B-ŞIKKI C-ŞIKKI D-ŞIKKI Toplam SORU SORU SORU SORU A-ŞIKKI B-ŞIKKI C-ŞIKKI D-ŞIKKI SORU 1 SORU 2 SORU 3 SORU 4 Aşağıdaki tablo ve grafikte Aşağıdakilerden hangisini şifrelerinizi oluştururken kullanmak istersiniz? sorusuna verilen cevaplar görülmektedir. SORULAR Sayı Harf Sembol Renk Şekil Renk-Şekil birlikte Toplam SORU Şifre alfabe tercihi Sayı Harf Sembol Renk-Şekil birlikte Yukarıdaki tablolara göre: Anket uyguladığımız arkaşlarımız, grafik şifreleri kullanım kolaylığı ve hatırlanabilirlik açısından alfa-nümerik şifrelere tercih etmişlerdir. Ayrıca ilk 4 soruya göre arkadaşlarımız, uzmanlarca alfa-nümerik şifre kullananlara tavsiye edilen güvenlik önlemlerine uymamaktadırlar. 16

17 SONUÇ: Hem yüksek güvenliğe sahip, hem de kolay kullanılabilir bir kullanıcı tanıma sistemi tasarımı güvenlik sistemleri için çok önemlidir. Grafiklerin ve renklerin insan bilinci ile uyumu şifrelerde ve şifreleme algoritmalarının anahtar oluşturma evrelerinde kullanılması güvenlik seviyesini ciddi oranda arttırmaktadır. Turkuaz Grafik Şifreleme nin arama uzayının çok büyük olması ve şifre güvenliğini tehdit eden kullanıcılar tarafından bulunabilirliğinin çok küçük olması, alfa-nümerik şifrelere ve bilinen diğer grafik şifrelemelere göre daha üstün olduğunu göstermektedir. Her kullanıcının kendi grafik şifresini oluşturmasının örnek programda olduğu gibi temel uygulamalarla yaygınlaştırılması veri güvenliğinin ciddi oranda artmasını sağlayacaktır. KAYNAKLAR: 1. Birget, J. C., Hong, D. and Memon, N. (2003) Robust discretization with application to graphical passwords, 2. Cryptology eprint Archive. Blonder, G. (1996) Graphical passwords, United States Patent, ( ). 3. Uludağ Üniversitesi Mühendislik-Mimarlık Fakültesi Dergisi, Cilt 11, Sayı 2 4. M.Ü. Atatürk Eğitim Fakültesi Eğitim Bilimleri Dergisi Yıl : 2002, Sayı 15, Sayfa : Halife Kodaz,Selçuk Üniversitesi, Alaeddin Keykubad Kampüsü,Konya Bruce Schneier, John Wiley & Sons, 1996, Applied Cryptography 17