BİLGİ SİSTEMLERİ GÜVENLİĞİ

Transkript

1 BİLGİ SİSTEMLERİ GÜVENLİĞİ Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü

2 2 BÖLÜM -3- BİLGİ GÜVENLİĞİ VE ŞİFRELEME

3 3 1.Açık k Anahtarlı Şifreleme Açık anahtarlı şifreleme, şifre ve deşifre işlemleri için farklı anahtarların kullanıldığı bir şifreleme sistemidir. Sistemin bu özelliğinden dolayı asimetrik şifreleme olarak da adlandırılır. Haberleşen taraflardan her birinde birer çift anahtar bulunur. Bu anahtar çiftlerini oluşturan anahtarlardan biri gizli anahtar diğeri açık (gizli olmayan) anahtardır.

4 4 1.Açık k Anahtarlı Şifreleme Gizli anahtarın sadece bir sahibi vardır. Gizli anahtara sahip olan taraf gizli anahtar aracılığıyla, kendi açık anahtarıyla şifrelenmiş bilgilerin şifresini çözebilir, kendisine ait sayısal imzaları oluşturabilir ya da kendi kimliğini doğrulayabilir.

5 5 1.Açık k Anahtarlı Şifreleme Açık anahtar, sadece gizli anahtarın sahibi tarafından oluşturulabilir ve herkesin erişimine açıktır. Açık anahtarla, bilgiler sadece gizli anahtarın sahibi tarafından çözülebilecek şekilde şifrelenebilir ya da gizli anahtar sahibinin sayısal imzasının ve kimliğinin doğruluğu kontrol edilebilir.

6 6 1.Açık k Anahtarlı Şifreleme Avantajları Asimetrik şifreleme sistemlerinde her kullanıcının sadece kendi anahtarını gizli tutması yeterlidir. Bunun aksine (n) tane kullanıcının bulunduğu bir simetrik şifreleme sisteminde gizli tutulması gereken anahtar sayısı her kullanıcı için (n-1) tanedir. Bu da sistem için büyük bir depolama yükü oluşturur.

7 7 1.Açık k Anahtarlı Şifreleme Avantajları Ayrıca simetrik sistemlerde anahtarların kesinlikle güvenli yollardan kullanıcılara ulaştırılması gerekmektedir. Örneğin değişik kıtalarda yaşayan kişilerin internet gibi herkese açık (güvensiz) bir ortam üzerinden güvenli bir şekilde haberleşmesi ya da alışveriş yapması için gizli anahtarlarını değiştokuş etmeleri pratikte mümkün değildir. Açık sistemlerdeyse anahtar değiş-tokuşu güvensiz kanallar üzerinde belli önlemleri almak şartıyla güvenli bir şekilde yapılabilir.

8 8 1.Açık k Anahtarlı Şifreleme Dezavantajları Simetrik şifreleme sistemleriyle karşılaştırıldığında, asimetrik sistemler çok daha yavaştır. Bu, şifrelemede kullanılan anahtarların uzunluğu ve yapılan işlemlerin yavaşlığından kaynaklanmaktadır.

9 9 1.Açık k Anahtarlı Şifreleme Dezavantajları Asimetrik şifreleme yöntemiyle şifrelenmiş bir bilgiyi aynı anda değişik kullanıcılara gönderebilmek için aynı bilginin her alıcı için ayrı ayrı şifrelenmesi gerekmektedir. Bu da sisteme için ayrı bir yük getirmektedir. Bu amaçla asimetrik ve simetrik şifreleme sistemlerinin avantajlı yönlerini bir arada kullanan hibrid sistemler kullanılmaktadır. Hibrid sistemlerde şifreleme için simetrik anahtarlar kullanılırken, bu anahtarların iki taraf arasında taşınması için asimetrik yöntemler kullanılmaktadır.

10 10 1.Açık k Anahtarlı Şifreleme Dezavantajları Bir diğer sorun ise, asimetrik sistemlerin güvenliğinin henüz daha ispatlanmamış varsayımlara dayandırılmasıdır. Asimetrik sistemlerde güvenlik tek-yönlü-fonksiyonlara dayandırılmaktadır. Bu fonksiyonların kendisinin hesaplanması "kolay", tersinin hesaplanması "imkânsızdır". İmkansızdan kasıt, fonksiyonun tersinin hesaplanmasının neredeyse imkânsız olmasıdır. Ancak ters alma işlemini hızlandıracak yöntemlerin var olmadığı henüz ispatlanmış değildir.

11 11 1.Açık k Anahtarlı Şifreleme ÖRNEKLER RSA Diffie-Hellman ElGamal Paillier

12 12 2. Bilgisayar Sistemlerinde Güvenli G Dosya Saklama ve Silme Günümüzde kişilere, kurumlara hatta ülkelere ait verilerin büyük bir kısmı disk sistemi, sabit disk, usb bellek, flash disk, CD, DVD gibi sayısal saklama ortamarında saklanmaktadır. Bu saklama ortamlarında saklanan bilgilerin tamamı aynı gizlilik seviyesinde değildir. Bazılarının ortaya çıkması kişileri kurumları para, zaman, prestij kaybı gibi önemli kayıplarla karşı karşıya bırakabilir.

13 13 2. Bilgisayar Sistemlerinde Güvenli G Dosya Saklama ve Silme Bilgilerin önemlerine uygun olarak güvenliğin temel üç ayağı olan gizlilik, bütünlük ve sürekliliğinin sağlanması çerçevesinde gizliliğin korunması adına gerektiğinde güvenli olarak silinmesi ya da imha edilmesi de büyük önem taşımaktadır. Bu bölümde bilgilerin güvenli olarak iletilmesinden ziyade saklama ortamlarında güvenli olarak saklanması ve işlenmesi ele alınmıştır.

14 14 2. Bilgisayar Sistemlerinde Güvenli G Dosya Saklama ve Silme Kurumlar tüm uygulamalarını bilgisayar ortamına taşıyıp gelir, gider, Ar-Ge, ürün, personel, kurum politikaları gibi kurum için hayati öneme sahip olan bilgileri disklerde tutmakta, yedeklerini de yedekleme ünitelerindeki veri saklama kasetlerine almaktadır. Aynı şekilde herhangi bir kişinin bilgisayarında ona ait gelir gider, banka işlemleri, sağlık bilgileri, özel resim dosyaları, özel dosyalar gibi kayıtlar bulunabilir. Hatta bu bilgiler kişilerin cep telefonlarında bile olabilir. Bu verilerin yedekleri genellikle harici bir disk, CD, DVD gibi bir saklama ortamında saklanmaktadır.

15 15 2. Bilgisayar Sistemlerinde Güvenli G Dosya Saklama ve Silme Bu bilgilerin ilgisiz kişilerin eline geçmemesi için cihazlar kullanıldığı sürece şifreleme, kimlik doğrulama, yetkilendirme gibi birçok güvenlik önlemi alınmaktadır. Fakat silindiği düşünülen dosyalar, saklama ortamının uygun bir şekilde silinmemesi durumunda sayısal adli analiz araçlarıyla ya da basit yazılım araçlarıyla kolayca geriye döndürülebilmektedir. Hatta bu saklama ortamları zaman zaman kontrolsüz bir şekilde elden çıkarılabilmektedir.

16 16 2. Bilgisayar Sistemlerinde Güvenli G Dosya Saklama ve Silme Örneğin çok kritik bilgileri bulunan bir kurum veya kişi eskiyen bilgisayarını herhangi bir işlem yapmadan başka bir kuruma bağışlayabilmekte, hurda olarak satabilmekte ya da doğrudan çöpe atabilmektedir. Bozulan veya çok eskiyen bilgisayarların diskleri uygun bir şekilde silinmeden elden çıkarılması çok önemli bilgilerin ilgisiz kişilerin eline geçmesine neden olmaktadır. Hatta bu bilgisayarlara ait saklama ortamları yeterince güvenli olmayan yöntemlerle silinmesi durumunda verilerin büyük bir bölümünün veya tamamının geriye döndürülmesi mümkün olmaktadır. Bu yetkisiz geriye döndürmelerin ortadan kaldırılması için veriler önemlerine uygun olarak silinmelidir.

17 Verilerin SınıflandS flandırılması Günlük hayatımızda olduğu gibi bilgisayar sistemlerinde de saklanan verilerin hepsi aynı öneme sahip değildir. Verilerden bazılarını doğrudan hiçbir endişe olmadan başkaları ile paylaşırken bazı verilerin başkaları tarafından görülmemesi, bizim için önemlidir. Verilerin gizliliklerine göre tasnif edilmesi işlemine bilgi sınıflandırması denilmektedir. Bilgisayar sistemlerinde de her bir dosya içerdiği bilgiye göre bir etiket ile sınıflandırılmaktadır.

18 Verilerin SınıflandS flandırılması Bilgi sınıflandırma tarihçesi özellikle askeri ve devlet bilgileri göz önüne alındığında çok gerilere gitmektedir. Teknolojinin gelişmesiyle kurumlar ve kişilerin verilerinin de sınıflandırılması ihtiyacı ortaya çıkmıştır. Gizlilik sınıfları şu şekildedir. -Açık (Public) - Hassas (Sensitive) - Özel (Private) - Gizli (Secret)

19 Verilerin SınıflandS flandırılması Açık (Public): Başkanlarının eline geçmesi durumunda kuruma maddi ya da prestij olarak herhangi bir zararı dokunmayan bilgilerdir. Kurum reklamları, müşterilerine sunduğu hizmetler gibi topluma açık olan dokümanlar tasnif dışı olarak da değerlendirilir.

20 Verilerin SınıflandS flandırılması Hassas (Sensitive): Daha çok yetkisiz erişim ve yetkisiz değiştirilmeye karşı korunması gereken bilgilerdir. Bilginin yetkisiz olarak değiştirilmesi ve silinmesi durumunda kurum ve kişi zor durumda kalabilir.

21 Verilerin SınıflandS flandırılması Özel (Private): Kuruma veya kişiye ait bilgilerdir. Bu bilgilerin açığa çıkması kurumu ve kişileri zor duruma düşürür. Maaş bilgilerinin ortaya çıkması, kişilere ait sağlık bilgilerinin başkaları tarafından bilinmesi bu tür bilgilere örnek gösterilebilir.

22 Verilerin SınıflandS flandırılması Gizli (Secret): Bilginin başkalarının eline geçmesi durumunda kurum maddi ve prestij olarak ciddi kayba uğrar. Örneğin Ar-Ge bilgileri, ürünlere ait özel bilgiler, ticari sırlar, bu tür bilgilere örnek gösterilebilir.

23 Verilerin Güvenli G Saklanması Veriler bilgisayar ortamlarında saklanırken işletim sistemleri ve uygulama yazılımları aracılığıyla ilgisiz kişilerden kimlik doğrulama ve yetkilendirme güvenlik önlemleriyle korunurlar. Örneğin bilgisayarımız çalışırken başından ayrıldığımızda ya bilgisayarı kapatırız ya da kilitleyerek ilgisiz kişilerin çalışma ortamımıza erişmesini engelleyebiliriz.

24 Verilerin Güvenli G Saklanması Eğer çok sayıda kullanıcının dosyasının bulunduğu bir ortamda çalışıyorsak o zamanda yetkilendirme mekanizmasını kullanarak hangi kullanıcının hangi dosyalara erişim yapabileceğini belirleriz ve her kullanıcı kendi yetkileri çerçevesinde dosyalara ulaşabilir. Tabi ki bilgisayardaki verileri şifreli olarak tutmuyorsak bu çözüm yeterli olmaz çünkü bilgisayar çalıştırılabilir bir CD ile açılarak sabit disk üzerindeki veriler okunabilir, bilgisayarın sabit diski çıkarılıp başka bir bilgisayara takılarak içindeki veriler kolayca okunabilir. O yüzden çok önemli bilgilerin bilgisayarda açık olarak saklanması uygun değildir. Birçok düzenleme ve yasa önemli verilerin saklanması ile yakından ilgilenir.

25 Verilerin Güvenli G Saklanması Günümüzde veriler, bilgisayarlar arasında iletilirken şifrelenmeleri yanında saklanırken de şifreli olarak tutulabilirler. Verileri saklama ortamlarında tutmak için birçok çözüm bulunmaktadır. Veriler işletim sistemleri aracılığıyla, uygulamalar aracılığıyla ya da donanımsal şifreleme çözümleri aracılığıyla şifrelenerek saklanabilirler.

26 Verilerin Güvenli G Saklanması Verileri bilgisayarda şifreli olarak tutmak için PGP, Truecryp, Bitlocker, Mcafee Endpint Encryption, Symantec endpint Encryption, FileVault gibi programlar yaygın olarak kullanılmaktadır. Taşınabilir bellek ortamlarının birçoğu bile verileri otomatik olarak şifreli saklayacak mekanizmalara sahiptir.

27 Verilerin Güvenli G Saklanması Bilgilerin büyük bir kısmı USB belleklerde taşındığı için bu belleklerde dosyaların şifreli olarak tutulması önemlidir. USB belleklerdeki verileri şifreli olarak saklamak için Comodo Disk Encryptor, Rosho Mini Drive, USB Safe Gurad, DiskCryptor, TrueCryp gibi kullanımı kolay ve tekin çözümler mevcuttur

28 Verilerin Saklama Ortamlarından Silinmesi veya Saklama Ortamlarının İmha Edilmesi Verilerin güvenli olarak silinmesi güvenli saklanması kadar önemli bir konudur. Çünkü verilerin etkin bir şekilde silinmemesi durumunda basit adli analiz araçları ile veriler kolay bir şekilde geriye döndürülebilmektedir. Verilerin güvenli olarak silinmesi verilerin gizlilik dereceleri ve daha sonra saklama ortamının hangi amaçlar için kullanılacağı ile yakından alakalıdır.

29 Verilerin Saklama Ortamlarından Silinmesi veya Saklama Ortamlarının İmha Edilmesi Saklama ortamlarından verilerin silinmesi ve yeniden kullanılması konusunda aşağıdaki maddeler yaygın olarak kullanılmaktadır. Hassas bilgi içeren saklama ortamları fiziksel olarak imha edilmeli ya da her bir silmeden sonra saklama ortamınının rastgele karekterlerle doldurulduğu güvenli silme programları ile üç defa silinmelidir. Tüm saklama ortamları, elden çıkarılmadan (devir, satış, çöpe atma vb. ) önce hassas veri açısından kontrol edilmeli. Hassas veri içeriyorsa güvenli olarak silinmelidir. Şifrelenmiş verileri saklayan diskler doğrudan elden çıkarılmamalı basitte olsa silme işlemine tabi tutulmalıdır.

30 Verilerin Saklama Ortamlarından Silinmesi veya Saklama Ortamlarının İmha Edilmesi Hassas bilgi içeren hassa saklama ortamları tamir edilemiyorsa imha edilmelidir. Kurum kendisi için güvenli silme prosedürü oluşturmalı ve veri silmede onu kullanmalıdır. Aynı gizlilik seviyesinde kullanılacak saklama ortamlarının bir defa silinmesi yeterli olabilir. Hali hazırdaki gizlilik seviyesinden daha düşük bir gizlilik seviyesinde kullanılacak saklama ortamları her bir silmeden sonra saklama ortamının rastgele karakterlerle doldurulduğu güvenli silme programları ile üç defa silinmelidir.

31 31 KAYNAKLAR