NTM ELEKTRİK ELEKTRONİK İNŞ. SAN. VE TİC. LTD. ŞTİ. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS)

Transkript

1 NTM ELEKTRİK ELEKTRONİK İNŞ. SAN. VE TİC. LTD. ŞTİ. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS) ISO/IEC-27001:2005 POLİTİKALAR

2 POLİTİKALAR 1 - GÜVENLİK POLİTİKASI 2 - ERİŞİM DENETİMİ POLİTİKASI 3 - TEMİZ EKRAN VE TEMİZ MASA POLİTİKASI 4 - E-MAİL POLİTİKASI 5 - KRİPTOGRAFİK KONTROLLER POLİTİKASI

3 GÜVENLİK POLİTİKASI Doküman No : NTM.BG.DD.001 Sayfa No : 1/ 2 AMAÇ; Bu politikanın amacı; NTM nin hizmet sunduğu birimlerin sahip olduğu bilgi varlıklarının korunması ve uygun bir biçimde yönetilmesidir. KAPSAM; NTM, Bilgi Güvenliği Yönetim Sistemi tüm kurumu kapsar. Bu politikanın uygulanması hizmet sunulan birimlerle olan ilişkilerde uygunluğunu göstermek ve sürdürmek için önemlidir. NTM nin politikası; Bilgi; İzinsiz erişime karşı korunur. Gizliliği korunur. Yetkisiz kişilere kasten veya dikkatsizlik sonucu verilemez. Yetkisiz kişilere karşı koruma sayesinde doğruluk sağlanır. Gereksinim duyulduğunda yetkili kullanıcıların erişimine hazır bulundurulur. Yasama ve yürütmenin şartları yerine getirilir. Tüm prosedürler, tüm birimler tarafından uygulanır. Tüm çalışanlara Bilgi Güvenliği eğitimi verilir. Tüm açıklar birim sorumlusuna rapor edilir ve önlemler alınır. Çözülemeyecek açıklıklar güvenlik sorumluları tarafından organize edilir. NTM de kimlik bilgileri, müşteri bilgileri, yazılım paketleri ve sunucular koruma altında olan varlıklardır. UYGULANABİLİRLİK; Bilgi Güvenliği Yönetim Sistemi, kapsanan bilgi varlıklarıyla herhangi bir ilişkisi olan tüm NTM çalışanları bu politikayı uygulamakla yükümlüdürler ve politikayı onaylamış olan yönetimin desteğine sahiptir. HEDEFLER; 1. Uygun risk değerlendirmesi aracılığıyla bilgi varlıklarının değerini tespit etmek, zayıf noktalarının ve onları riske atabilecek tehditleri anlamak, 2. Riskleri kabul edilebilir düzeylere indirmek, 3. Kanunlara uymak, 4. Müşteri sözleşme şarlarına uymak, 5. Kontrol prosedürlerine ve talimatlarına uymak, 6. TS-EN-ISO uygunluğu, sürdürülmesi ve belgesini almak DESTEK POLİTİKALAR; 1. Temiz Masa ve Temiz Ekran Politikası 2. Politikası 3. Erişim Denetim Politikası 4. Kriptografik Kontroller Politikası SORUMLULAR; NTM üst yönetimi bu politikayı onaylar ve gözden geçirir. Bilgi Güvenliği Yöneticisi uygun standartlar ve prosedürler aracılığı ile bu politikanın uygulanmasını destekler. Tüm personel bilgi güvenliği politikasını sürdürme prosedürlerini izler. Tüm personel güvenlik olaylarını raporlamaktan ve tespit edilen zayıf noktaları bildirmekten sorumludur.

4 GÜVENLİK POLİTİKASI Doküman No : NTM.BG.DD.001 Sayfa No : 2/ 2 NTM e ya da müşterilerine ya da tedarikçilerine ait bilgilerin güvenliğini tehlikeye atacak herhangi bir kasti hareket, disiplin cezasına ve/veya hukuki (bilişim suçları) önleme tabidir. GÖZDEN GEÇİRME; Bu politika NTM.P.010 YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ ne göre gözden geçirilir.

5 POLİTİKALAR 1 - GÜVENLİK POLİTİKASI 2 - ERİŞİM DENETİMİ POLİTİKASI 3 - TEMİZ EKRAN VE TEMİZ MASA POLİTİKASI 4 - E-MAİL POLİTİKASI 5 - KRİPTOGRAFİK KONTROLLER POLİTİKASI

6 ERİŞİM DENETİMİ POLİTİKASI Doküman No : NTM.BG.DD.002 Sayfa No : 1 / 2 AMAÇ: Bu politika; yetkili kullanıcı erişimini sağlamak ve yetkisiz erişimi önlemek amacıyla oluşturulmuştur. KAPSAM: NTM in sisteminde, yeni kullanıcıların kayıt başlangıçlarından, bilgi sistemlerine ve hizmetlerine erişim gereksinimi artık kalmamış kullanıcıların son kayıttan çıkışlarına kadar olan basamaklardır. UYGULAMA: 1. Ofise giriş sisteminde bulunan giriş kartları her personel için tanımlanmıştır. Personel giriş kartını okutarak ofis içerisindeki çalışmalarına başlayabilir. 2. Firma içerisinde kullanılan ana makinadaki İşletim Sisteminde tüm bilgisayarların kullanıcı tanımlarının ve erişim yetkilerinin belirlendiği aktif dizin oluşturulmuştur. 3. Kullanıcı yetkilendirilmeleri birim bazında yapılmıştır. 4. Tanımlanan kullanıcıların donanım erişimleri (floppy, usb, cd-writer, cd-rom vb.) yasaklanmıştır. 5. Aktif dizine bağlanan kullanıcı parolaları Kullanıcı Parola Yönetim Prosedürüne göre (NTM.BG.P.003) verilmektedir. 6. Firma içerisinde kullanılan NTM ERP programı için de benzer yetkilendirme kendi içerisinde yapılmıştır. Her personel kullanıcı şifresi ile sisteme girebilmektedir. Yetkilendirme sadece üst yönetim tarafından yapılmaktadır. 7. NTM ERP menüleri ile ilgili yetkiler ilgili birim için Yönetim ve Çalışan olarak belirlenmiş ve yetkilendirme yapılmıştır. 8. Erişim gereksinimi artık kalmamış kullanıcılar için İnsan Kaynakları prosedürüne göre (NTM.P.034) hareket edilir. Sistemden de bu personelin erişim şifresi silinir. 9. Ağ Erişim Denetimi 9.1. Ağ üzerinde aktif dizin kullanıcıları için x sürücüsü oluşturulmuştur x sürücüsü üzerindeki birimler ve kullanıcılara göre yetkilendirilmiştir Hiç bir personelin dosya silme yetkisi bulunmamaktadır. Silme işlemi sadece Ayrıcalıklı Yöneticiler ve Sistem Yöneticisi tarafından yapılmaktadır x sürücüsü üzerinde iso, iso formları, vb. ortak kullanıma açık dizinler oluşturulmuştur. Bu dizinlere erişim açıktır Paylaşımlar sistem yöneticisi tarafından belirlenmektedir Yazılım dizinine sadece yazılım grubuna ait üye kullanıcıların dosya oluşturma, ekleme, değiştirme yetkisi bulunmaktadır İso formları dizinine tüm kullanıcılar erişebilmekte ancak sadece okuma yetkisine sahiptirler. Kalite Birimi dışında kullanıcıların dosya ve/veya form oluşturma, ekleme, değiştirme yetkisi bulunmamaktadır. Bu şekildeki istekleri var ise kalite birimine haber verilir İso dizinine sadece Kalite Birimine ait üye kullanıcılarının dosya oluşturma, ekleme, değiştirme yetkisi bulunmaktadır. Silme yetkileri yoktur Ağ bağlantıları için kullanıcı paroları Kullanıcı Parola Yönetim Prosedürüne göre (NTM.BG.P.003) verilmektedir.

7 ERİŞİM DENETİMİ POLİTİKASI Doküman No : NTM.BG.DD.002 Sayfa No : 2 / İşletim Sistemi Erişim Kontrolü İşletim Sistemine sadece aktif dizin kullanıcıları erişebilir. Bu kullanıcılar dışındaki kişilerin erişimi engellenmiştir Bu kullanıcıların erişim yetkisi Erişim Denetimi Politikasında tanımlanmıştır Tüm kullanıcılar kendi kişisel kullanımları için benzersiz bir kimliğe sahiptirler İşletim sistemlerine erişim için güvenli bir oturum açma işlemini bilgisayar kullanım talimatına göre yapmaktadır. (NTM.BG.T.005) Sistemin üzerine yazabilme yeteneği olabilecek yardımcı sistem programlarının kullanımı yasaklanmıştır Kullanıcıların bağlantı süresinde bir kısıtlama yapılmamıştır Her kullanıcı istediği bilgisayarda parolası ile sisteme bağlanabilir. 14. Uygulama ve Bilgi Erişim Kontrolü Firmamızın müşterilerimize erişimi ayrı bir networkte tutulan web sunucusu ile sağlanmaktadır. Dışarıdan bağlanan kişiler sadece bu web sunucusu ile bağlanabilir. Güvenliksiz bağlantı yasaklanmıştır. 15. Mobil bilgi işleme ve uzaktan çalışma kontrolü 15.1 Şirket bünyesinde bulunan elektronik posta sunucusuna, mobil telefonlar, PDA veya internet erişimi olan herhangi bir bilgisayar üzerinden erişim sağlanabilmektedir. Erişim için aktif dizinde kullanıcı hesabı ve yetkisi olmalıdır Şirketimizin uzaktan erişimi bulunmaktadır. Erişim için aktif dizinde kullanıcı hesabı ve yetkisi olmalıdır.

8 POLİTİKALAR 1 - GÜVENLİK POLİTİKASI 2 - ERİŞİM DENETİMİ POLİTİKASI 3 - TEMİZ EKRAN VE TEMİZ MASA POLİTİKASI 4 - E-MAİL POLİTİKASI 5 - KRİPTOGRAFİK KONTROLLER POLİTİKASI

9 TEMİZ EKRAN VE TEMİZ MASA POLİTİKASI Doküman No : NTM.BG.DD.003 Sayfa No : 1 / 1 AMAÇ; Normal çalışma süresince ve dışında bilgiye yetkisiz erişim, bilgi kaybı ve hasarı risklerini azaltmak amacıyla kâğıtlar ve depolama ortamları ve kişisel bilgisayarlar için gerekli şartları tanımlamak. UYGULAMA; 1. Ulaşılması istenmeyen bilgi ya da belgeler uygun olan yerlerde, kağıt ve bilgisayar ortamı, kullanılmadığında uygun kilitli dolaplarda muhafaza edilir. 2. Ağa bağlı bilgisayarlar başıboş olduklarında oturum açık olarak bırakılmazlar. Masasından ayrılan personel Windows+ L tuşlarına basarak ağ oturumunu otomatik olarak kilitlerler. 3. Hassas ve önemli iş bilgileri ya da belgeleri, gerekmedikleri zamanda özellikle de büro boş olduğunda, kilitlenir. 4. Gelen ve giden faks mesajları faks makinelerinde başıboş bırakılmaz. 5. Hafızası bulunan yazıcılar ve fotokopi makineleri kullanılmaz.

10 POLİTİKALAR 1 - GÜVENLİK POLİTİKASI 2 - ERİŞİM DENETİMİ POLİTİKASI 3 - TEMİZ EKRAN VE TEMİZ MASA POLİTİKASI 4 - E-MAİL POLİTİKASI 5 - KRİPTOGRAFİK KONTROLLER POLİTİKASI

11 E-MAİL POLİTİKASI Doküman No : NTM.BG.DD.004 Sayfa No : 1 / 1 AMAÇ; Bu politikanın amacı; NTM a gelen, giden e-postaların ( ) güvenliğini kontrol altına alarak güvenli olmayan ya da uygunsuz mesaj gönderimini ya da gelmesini engellemektir. UYGULAMA; 1. Firma içerisinde kişiler birbirlerine çok yakın otursalar dahi karşılıklı konuşmak yerine yazmayı tercih etmelidirler. 2. Gönderilecek ler kısa, açık ve anlaşılır olmalıdır. Mesaj, birden fazla kişiye gidecek ise konunun gerçekten mesaj gidecek kişileri ilgilendirip ilgilendirmediğine dikkat edilir. Konu ile sadece haberdar olması gerekli kişiler cc bölümüne yazılır. 3. Mesajın gönderildiği kişiler mümkün olduğu kadar kısıtlı tutulur. cc kısmına gerçekten gerekli olmayan kişiler eklenmez. 4. Mesaj birden fazla kişiye gönderiliyor ve bu farklı kişilerin birbirinden haberdar olması gerekmiyor ise To kısmı yerine Bcc kısmı kullanılır. 5. Mesaj karşılığı verilmek istendiğinde gereksiz adresler ve gerekmiyor ise orijinal mesaj silinir. 6. Herhangi bir dağıtım listesinden (birçok kişiye gönderilen toplu mail adresleri) gelen bir ilan ya da bildiriye cevap (reply) vermek istendiğinde mesajın gerekmiyor ise tüm liste abonelerine değil de sadece bildiri sahibine gittiğinden emin olunur. 7. Boyutu büyük gönderimler için dosya sıkıştırıcı programlar kullanılır. 8. Urgent (acil) ibaresi gerekmedikçe kullanılmaz. 9. Kişileri kışkırtıcı, onur kırıcı, kutsal inançlara saldıran, ırkçı, karalayıcı, müstehcen ya da benzeri mesajlar gönderilmez. 10. Mesajın ulaştığından emin olunmak isteniyorsa teyit ettirilir. 11. Zincir mesajlar kesinlikle gönderilmez. (örn: Bu mesajı x kadar kişiye gönderirseniz y gün sonra bir dileğiniz gerçekleşecek türünde yazılar içeren mesajlar) 12. Çok gizli bilgi içeren mesajlar gönderilemez. 13. Firmanız dışına göndereceğiniz toplu mesajlara fazlası ile dikkat edilir. 14. Alınan e- maillerin göndericisine dikkat edilir. Gönderenin kim olduğu bilinmeyeni alışık olunmayan, beklenmeyen mesajlara şüphe ile yaklaşılır. Bu tarz mesajlar virüs taramasından geçirildikten sonra açılır.

12 POLİTİKALAR 1 - GÜVENLİK POLİTİKASI 2 - ERİŞİM DENETİMİ POLİTİKASI 3 - TEMİZ EKRAN VE TEMİZ MASA POLİTİKASI 4 - E-MAİL POLİTİKASI 5 - KRİPTOGRAFİK KONTROLLER POLİTİKASI

13 KRİPTOGRAFİK KONTROLLER POLİTİKASI Doküman No : NTM.BG.DD.005 Sayfa No :1/ 6 AMAÇ; Bilginin gizliliği, aslına uygunluğu ya da bütünlüğünün korunmasıdır. UYGULAMA; Gizlilik: Bilgi, istenmeyen kişiler tarafından anlaşılmamalı. Bütünlük: Bir iletinin alıcısı bu iletinin iletim sırasında değişikliğe uğrayıp uğramadığını öğrenmek isteyebilir; davetsiz bir misafir doğru iletinin yerine yanlış bir ileti koyma şansına erişmemelidir. Saklanan veya iletilmek istenen bilgi farkına varılmadan değiştirilememeli. Reddedilemezlik: Bilgiyi oluşturan ya da gönderen, daha sonra bilgiyi kendisinin oluşturduğunu veya gönderdiğini inkar edememeli. Bir gönderici daha sonrasında bir ileti göndermiş olduğunu yanlışlıkla reddetmemelidir. Kimlik Belirleme: Gönderen ve alıcı, birbirlerinin kimliklerini doğrulayabilirler. Davetsiz bir misafir başkasının kimliğine bürünme şansına erişmemelidir. Kriptografik Yöntemlere Güven: Kriptografik yöntemler, bilgi ve iletişim sistemlerinin kullanılması için güven oluşturmalıdır. Özgür Seçim: Kullanılacak kriptografik ürünler, yasalar çerçevesinde özgürce seçilebilmelidir. Gereksinime Bağlı Gelişme: Kriptografik yöntemler, birey, kurum ve hükümetlerin gereksinim, istem ve sorumluluklarına bağlı olarak gelişmelidirler. Standartlar: Açık anahtar altyapısı ve şifreleme standartları ulusal ve uluslararası düzeylerde geliştirilmeli ve yaygınlaştırılmalıdır. Bireysel Gizlilik Hakkı: Ulusal politikalar, bireysel iletişimin gizliliğine ve kişisel bilgilerin korunması gereğine saygı göstermelidir. Yasal Erişim: Ulusal politikalar, bu kılavuzdaki diğer ilkelerle çelişmemek koşuluyla, şifreli mesajlara ve kişilerin gizli anahtarlarına yasal erişimi öngörebilir. Yasal Sorumluluk: Kriptografi hizmeti veren ve açık/ gizli anahtarları dağıtma yetkisi taşıyan kuruluşların yasal sorumlulukları açıkça belirlenmelidir. Uluslar arası Eşgüdüm: Ulusal ve uluslararası politikalar, birbirleriyle eşgüdüm içinde oluşturulmalıdır. Şifreleme/deşifreleme (encryption-decryption) bir bilgisayar ağında veya kişisel bilgisayarlarda haberleşme ya da dosya güvenliğini sağlamak için kullanılır. Bu nedenle günümüzde bilgisayarlarda ya da bilgisayar ağlarında şifrelemenin önemi gün geçtikçe artmaktadır. Bu çalışma da genel olarak şifreleme teknikleri hakkında bilgi verildikten sonra RSA şifreleme algoritmasına uygun olarak şifreleme ve deşifreleme işlemi yapan bir simulasyon tasarlanmıştır. Simulasyonu gerçekleştirmek için programlama dili olarak java seçilmiştir. Algoritma gereği kullanılan sayıların boyutları çok büyük olması nedeniyle java programlama dili kullanılmıştır.internette yollanan veri paketleri birçok halka açık networklerden geçer, bu da bu paketlere ulaşmayı mümkün kılar. Son derece gizli bilgiler internette nakil olurken, bu durum önemli bir kaygı halini alır. Bu tür bilgileri korumak mümkün olmadıkça, internet iş yapmak veya gizli, şahsi yazışmalarda bulunmak asla güvenli bir yer olmayacaktır. Bilgi güvenliği başkası tarafından dinlenme, bilginin değiştirilmesi, kimlik taklidi gibi tehditlerin ortadan kaldırılması ile sağlanır ve bu amaçla kullanılan temel araç kriptografidir. Kriptografi bilgi güvenliğini inceleyen ve anlaşılabileni anlaşılamaz yapan bir bilim dalıdır. Güvenilirlik, veri bütünlüğü, kimlik doğrulama gibi bilgi güvenliği konularıyla ilgilenen matematiksel yöntemler üzerine yapılan çalışmalar kriptografinin önemli konularıdır. Şifrelemenin Temel Elemanları; Bir göndericinin bir alıcıya açık ağlar üzerinden bir ileti göndermek istediği zaman, açık ağlardan gönderilen iletiler üçüncü şahıslar tarafından dinlenme ve değiştirilme tehdidi altındadırlar.

14 KRİPTOGRAFİK KONTROLLER POLİTİKASI Doküman No : NTM.BG.DD.005 Sayfa No :2/ 6 Burada söz konusu ileti düz metindir. Bazı kullanımlarda plaintext adı da verilir. Bir iletinin içeriğini saklamak üzere yapılan gizleme işlemi de şifrelemedir (encryption ). Bu işlem düz metini şifreli metine dönüştürür. Bilginin içeriğinin başkalarının anlamayacağı hale gelir. Bu bilgi bir yere iletilmek amacıyla şifrelenen bir mesaj veya saklanmak amacıyla şifrelenen bir bilgi olabilir. Şifrelenmiş bir ileti şifreli metindir (ciphertext ). Şifreli metini düzmetine geri çevirme işlemi şifre çözümüdür (decrypt ). Bu işlemler Şekil 1 de gösterilmektedir. Şekil 1 Şifreleme ve şifreyi çözme işlemleri İleti güvenliğini sağlama bilimi kriptografidir. Matematiğin hem şifre bilimi hem de şifre analizini kapsayan dalı kriptolojidir ve şifrebilimciler tarafından icra edilir. Eğer bir algoritmanın güvenliği bu algoritmanın çalışma biçimini gizlemeye dayalıysa, bu bir sınırlandırılmış algoritmadır. Sınırlandırılmış algoritmalar günümüzün şartlarına pek uymamaktadır; bir gruba ait kullanıcılar bunları kullanamamaktadır, çünkü gruptan bir kullanıcının her çıkışında geri kalan herkesin başka bir algoritmaya geçmesi gerekmektedir. İçlerinden birisi yanlışlıkla gizleneni açığa vurduğunda, diğer herkesin algoritmalarını değiştirmeleri gerekmektedir. Daha da kötüsü, sınırlandırılmış algoritmalar kalite kontrolüne ve standartizasyona olanak tanımamaktadır. Her bir grup kullanıcının kendisine ait bir algoritması olmalıdır. Bu tür bir grup hazır şifre çözüm anahtarının yazılım veya donanım ürünlerini kullanamaz; davetsiz bir misafir aynı ürünü alıp algoritmayı öğrenebilir. Kendi algoritmalarını ve gerçekleştirimlerini kendileri yazmaları gerekir. Günümüz kriptografisi bu sorunu bir anahtar ile çözmektedir. Bu anahtar çok çeşitli değerler alabilen herhangi bir anahtar olabilir. Günümüzde kullanılmakta olan modern ve güçlü şifreleme algoritmalaları artık gizli değildir. Bu algoritmalar güvenliklerini kullandıkları farklı uzunluk ve yapılardaki anahtarlarla sağlarlar. Bütün modern algoritmalar şifrelemeyi ve şifre çözmeyi kontrol için anahtarları kullanır. Bir anahtar ile şifrelenmiş bilgi, kullanılan algoritmaya bağlı olarak, ilgili anahtar ile çözülebilir. Genel olarak anahtarın kullanımı şu şekildedir (şekil 2): Şekil 2. Bir mesajın dinlenmesini önlemek için anahtar ile şifreleme.

15 KRİPTOGRAFİK KONTROLLER POLİTİKASI Doküman No : NTM.BG.DD.005 Sayfa No :3/ 6 Kullanıcı bir mesajı (m) göndermeden önce bir anahtar (k1) kullanarak şifreler. Şifreli metin (c) yasadışı dinleyicilere açık olan bir kanaldan gönderilir. Mesajı okumak için alıcı bir anahtar (k2) kullanarak şifreyi çözer ve m mesajını elde eder. Aktif düşmanlar araya girip iletişimi dinleyebilir. Eğer k1 ve k2 eşitse, sistem simetriktir. Aksi takdirde bu sistem asimetrik olarak nitelenir. Güvenliğin garantilenmesi için k2 her zaman gizli olmalıdır, ancak k1 i kullanarak k2 yi elde etmek mümkün olmadığı sürece k1 açıklanabilir. Bu durumda sisteme açık anahtarlı sistem (public key system) adı verilir. Açık anahtarlı sistemler pek çok ilginç olanaklar sunar; örneğin herkes online bir mağazaya mağazanın açık k1 anahtarını kullanarak şifrelenmiş bir kredi kartı numarası gönderebilir. k2 anahtarını sadece mağaza bildiği için, kartın numarasını sadece mağaza öğrenebilir. Eğer simetrik sistem kullanılsaydı, mağaza potansiyel müşterilerinin her biriyle önceden ve gizlice ayrı ayrı anahtarlar belirlemek zorunda kalırdı. Açık anahtarlı sistemlerin güvenliği her zaman belirli matematiksel problemleri çözmenin zorluğuna dayanır, simetrik sistemler daha çok tek kullanımlık, geçici yapıdadırlar. Açık anahtarlı sistemlerin en büyük dezavantajı matematiksel yapıları nedeniyle simetrik sistemlerden daha yavaş olmalarıdır; özellikle açık anahtarlı sistemlerdeki anahtarların boyutları simetrik sistemlerin anahtarlarının boyutlarından çok daha büyüktür. Kısaca, kullanılacak şifreleme yöntemi gerçekleştirilecek uygulamaya bağlı olarak seçilir. (Şekil 3) Şekil 3-a Tek anahtar ile şifreleme ve şifre çözme Şekil 3-b İki farklı anahtar ile şifreleme ve şifre çözme Algoritmalardaki bütün güvenlik anahtara (veya anahtarlara) dayalıdır, hiçbiri algoritmanın ayrıntılarında yer almaz. Bu, algoritmanın yayınlanabildiği ve incelenebildiği anlamına gelir. Bu algoritmayı kullanan ürünler seri üretilebilir. Bir davetsiz misafirin sizin algoritmanızı bilmesi önemli değildir; sizin özel anahtarınızı bilmedikçe, o şahıs iletilerinizi okuyamaz. Şifreleme algoritmaları anahtar kullanma yöntemlerine göre genel olarak iki kategoriye ayrılmaktadır. Bu yöntemler: - Gizli-Anahtar (Simetrik) yöntemleri (Geleneksel kriptolama sistemleri) - Açık-Anahtar (Asimetrik) yöntemleri (Açık anahtar kriptolama sistemleri)

16 KRİPTOGRAFİK KONTROLLER POLİTİKASI Doküman No : NTM.BG.DD.005 Sayfa No :4/ 6 Açık-Anahtar (Asimetrik) Şifreleme Yöntemleri; Bu şifreleme yöntemi iki ayrı anahtar kullanan yöntemdir. İki anahtar kullanımının; güvenirlik, anahtar dağıtımı ve onaylama alanlarında önemli sonuçları vardır. Bu kriptografi yapısında, açık ve gizli anahtar olarak adlandırılmış olan bir anahtar çifti kullanılmaktadır. Asimetrik algoritmalar da denilen açık anahtarlı algoritmalarda şifreleme için kullanılan anahtar ile şifre çözme için kullanılan anahtar birbirinden farklıdır. Anahtar çiftlerini üreten algoritmaların matematiksel özelliklerinden dolayı açık-gizli anahtar çiftleri her kişi için farklıdır, diğer bir deyişle her kullanıcının açık-gizli anahtar çifti yalnızca o kullanıcıya özeldir. Ayrıca şifre çözüm anahtarı (en azından makul bir zaman dilimi içerisinde) şifre anahtarından hesaplanamaz. Bu algoritmalara açık anahtarlı algoritmalar denmesinin sebebi şifre anahtarı halka (kamuya/genel kullanıma) açılabilir: Bir yabancı bir iletiyi şifrelemek için şifreleme anahtarını kullanabilir, ancak sadece ilgili şifre çözüm anahtarına sahip bir kişi iletinin şifresini çözebilir. Bu sistemde, şifre anahtarına genellikle açık anahtar denir, şifre çözüm anahtarı da genellikle gizli anahtar olarak adlandırılır. Gizli anahtar kimi zaman özel anahtar olarak da adlandırılır, ancak simetrik algoritmalarla karışmaması için bu terim genelde kullanılmaz. Bir kullanıcının açık anahtarıyla kilitlenen bir mesajı yalnız ve ancak ona ait gizli anahtar çözebilir. Aynı şekilde, herhangi bir kullanıcının gizli anahtarıyla attığı sayısal imzanın doğrulanabilmesi, yalnızca onun açık anahtarını kullanarak mümkün olabilir. Açık anahtar kamuya açıktır, elektronik kimlik belgelerinin içinde diğer kişisel bilgilerle birlikte tutulur ve herkes birbirinin açık anahtarını e-kimliklerine ulaşmak süretiyle istediği zaman elde edebilir. Sayısal Şifreleme: Şifreleme açık ağlardan gönderilen bilginin başkaları tarafından görülmesinin (dinlenmesinin) istenmedigi zaman yapılır. Bunun için çift anahtarlı bir kriptografik algoritma kullanılabilir. Buna göre, mesajı gönderen taraf, gönderilen bilginin sayısal içeriğini, mesajı alacak tarafın açık anahtarını, sayısal şifrelemede kullanır. Mesajı alan taraf da, şifreli mesajı çözmek için şifreli mesajın sayısal içeriği, kendisinin gizli anahtarına gereksinim duyar. Burada dikkat edilecek olursa, şifreli mesajın üçüncü taraflar tarafından dinlenebilmesi ancak gizli anahtara sahip olmaları ya da şifreli mesajı matematiksel yollarla deşifre etmeye çalışmaları ile mümkün olabilir. Güvenlik açısından iyi bir şifreleme algoritması, gizli anahtar olmadan şifreli mesajı deşifre etmeye imkân tanımıyan bir algoritmadır. Sayısal İmza: Sayısal imza elektronik mesaja eklenmiş bilgidir. Çift anahtarlı bir kriptografik algoritmayla hazırlanan sayısal imza, hem gönderilen bilginin sayısal içeriğinin değiştirilmediğinin hem de gönderen tarafın kimliğinin ispatlanması için kullanılır ve gönderilecek mesajdan üretilen mesaj özetinin sayısal içeriği, gönderen tarafın kendi gizli anahtarına bağlı olarak oluşturulur. Sayısal imzanın doğruluğunu kanıtlamak için mesaji alan taraf, kendisine gelen mesajin ve sayısal imzanın sayısal içeriği, gönderen tarafın açık anahtarını kullanır. Açık-anahtar şifreleme için pek çok algoritma bulunmaktadır. En yaygın olan iki tanesi RSA (Ron Rivest, Adi Shamir, Leonard Adleman) algoritması ve DSA (Digital Signature Algorithm - Dijital İmza Algortiması) dır. RSA pek çok uygulamada kullanılan bir algoritmadır. Mesajları şifrelemek için kullanılabileceği gibi dijital imzalarda da kullanılabilir. DSA sadece dijital imza kullanımı içindir. Mesajları şifrelemek için kullanılmaz.

17 KRİPTOGRAFİK KONTROLLER POLİTİKASI Doküman No : NTM.BG.DD.005 Sayfa No :5/ 6 Rsa Algoritması 1976 yılında Stanford Üniversitesinden Diffie ve Hellman adlı iki araştırmacı farklı bir şifreleme sistemi önerdiler, bu sistemde bir tane şifreleme için(encryption key) ve bundan farklı olarak bir tanede şifre çözmek için(decryption key) anahtar bulunmaktaydı ve decryption key encryption key den elde edilememekteydi. RSA Algoritmasının içeriği ve çalışması aşağıdaki gibidir: RSA Public Key Sistemi Hem p nin hem de q nun asal olduğu p ve q seçilir. Örnek P =11; q=13; Mod alınacak değer hesaplanır n = pq. N = 11*13 = 143. Euler's totient fonksiyonu uygulanır t = (p-1)(q-1). T değeri ile en büyük ortak böleni 1 olan bir e değeri hesaplanır. e*d = 1 mod t olacak şekilde d değeri hesaplanır public key (e, n). Private key (d, n). Plaintext M olsun. ciphertext C = M^e mod n. Şifre çözme işlemi => plaintext = C^d mod n = (M^e)^d mod n = M. RSA Algoritmasının Önemli özellikleri RSA nın yasal kullanımı ile kolayca hesaplanabilenler; - Birbirine uyan public/private anahtar çifti oluşturulabilir. - Eğer public-key varsa, encryption ve signature verification işlemleri yapılabilir. - Eğer private-key varsa, decryption ve signing işlemleri yapılabilir. RSA nın yasalara aykırı kullanımı ile hesaplaması çok zor olanlar; - public-key varken private-key in oluşturulması. - private-key yokken şifreli mesajın çözülmesi. RSA şifreleme algoritmasının güvenli olmasını şu şekilde açıklanabilir: Bu algoritmaya zarar vermek için bilinen en etkin yol N'in asal çarpanları olan P ve Q nun bulunmasıdır. Ancak P ve Q çok büyük asal sayılar olduğundan ötürü bulunmaları neredeyse imkansızdır. Ayrıca public key {E,N} belli iken D yi, P ve Q olmadan bulmak çok zordur.

18 KRİPTOGRAFİK KONTROLLER POLİTİKASI Doküman No : NTM.BG.DD.005 Sayfa No :6/ 6 Sonuç olarak; RSA açık anahtarlı şifreleme algoritması kullanılarak çeşitli anahtar uzunluklarında anahtarlar oluşturulmuş ve şifreleme işlemleri gerçekleştirilmiştir. Ayrıca anahtar oluşturma süreleri ve şifreleme süreleri tablo1 de gösterilmiştir. Test süreleri uygulamanın Pentium 4 1.7Ghz Cpu ya sahip bir bilgisayarda çalıştırılmasıyla elde edilmiştir. Uygulamanın gerektirdiği güvenlik seviyesine bağlı olarak kullanılacak bit sayısı ayarlanabilir. Normal şartlarda 1024 bitlik anahtar kullanarak şifreleme sistemi oluşturmak yeterli güvenliği sağlamaktadır. Tablo 1 RSA algoritmasında Farklı bit uzunluklarında anahtar oluşturma ve şifreleme süreleri Bit Sayısı Anahtar Oluşturma Süresi Şifreleme (saniye) Süresi (saniye)