KRİPTOLOJİYE GİRİŞ Ders 1. Yrd. Doç. Dr. Barış Koçer

Transkript

1 KRİPTOLOJİYE GİRİŞ Ders 1 Yrd. Doç. Dr. Barış Koçer

2 1.1. Giriş Kriptolojinin uzun ve etkileyici bir geçmişi vardır. İlk olarak Mısırlılar tarafından 4000 yıl önce kısmen kullanılmıştır. 20. yüzyılda ise dünya savaşlarının sonuçlarını belirlemede kritik bir rol oynamıştır. Kriptolojiyi pratikte kullanan kurumların başında ordu, diplomatik servisler ve devlet kurumları gösterilebilir.

3 1960 lı yıllarda bilgisayar ve iletişim sistemlerinin yaygınlaşmasıyla sayısal formda saklanan bilginin korunması ve güvenlik servislerinin sağlanması gerekmiştir de geliştirilmeye başlayıp Amerika Federal Bilgi İşleme standardı olarak kabul edilmesinin ardında 1977 yılında son haline kavuşan DES (Data Encryption Standart) tarihte en iyi biline kriptoloji mekanizmasıdır. DES günümüzde de çoğu ticari kuruluş için hala bir standart olarak kullanılmaktadır.

4 Kriptolojide devrim yaratan çalışma 1976 yılında Diffie ve Hellman tarafından yayınlanan «New Directions in Cryptography» adlı yayındır. Bu yayında devrimsel bir konsept olan public-key kriptolojisi ve anahtar değişimi için kırılması çok zor olan ayrık logaritmik problem tabanlı akılcı bir değişim metodu önermektedir. Bu yayında yazarlar metodları pratik olarak gerçekleştirmemelerine rağmen kriptoloji çevrelerinde yoğun ilgi ve aktivite alanı bulmuştur.

5 1978 yılında Rivest, Shamir ve Adleman ilk pratik public-key şifreleme ve imzalma şeması olan RSA yı ortaya koymuşlardır. RSA da yine çözümü çok zor olan büyük sayıların bölenlerinin bulunması prensibine dayanmaktadır. Bu zor problemin RSA ile kriptolojide kullanılmaya başlanması bölen bulma problemine daha verimli yöntemler bulunmasının önünü açmıştır.

6 Public-key şifrelemenin günlük hayata en büyük katkısı dijital imzadır yılında ilk dijital imza için ilk standart olan ISO/IEC 9796 standardı kabul edilmiştir. Dijital imza RSA tabanlı public-key tabanlıdır ve Amerikan hükümeti tarafından 1994 yılında Digital Signature Standart olarak kullanılmaya başlanmıştır.

7 Yeni public-key şemalarının aranması, mevcut kriptografi metotlarının iyileştirilmeye çalışılması ve güvenliklerinin kanıtlanması çalışmalarına hızla devam edilmektedir. Yine kriptolojiyi oluşturan ilgili birçok farklı standart ve altyapı da ortaya konulmaktadır.

8 1.2. Bilgi güvenliği ve kriptoloji Kriptolojiyi anlamak için bilgi güvenliği ile ilgili genel sorunların anlamak önemlidir. Bilgi güvenliği kendini durum ve ihtiyaçlara göre ortaya koyan bir kavramdır. Birbiriyle işlem yapan birimlerin belirli bir bilgi güvenliği hedeflerini sağlamaları şarttır. Bu hedefler Şekil 1 de gösterilmiştir.

9 Tablo 1. Bilgi güvenliği hedeflerinden bazıları Hedef Mahremiyet (privacy) Veri bütünlüğü (data integrity) Varlık doğrulama (authentication) veya tanımlama Mesaj doğrulama İmza Yetkilendirme (authorization) Doğrulama (validation) Erişim kontrol Sertifikasyon Zaman damgalama (timestamping) Açıklama Bilgiyi yetkili (authorized) kişiler dışında kimsenin görmemesini sağlamak Bilginin yetkili olmayan veya bilinmeyen kaynaklarca değiştirilemediğinden emin olmak İnsan, bilgisayar veya kredi kartı gibi bir varlığın kimliğinin teyit edilmesi Bilginin kaynağının teyit edilmesi veya verinin kökeninin doğrulanması Varlığa bilgi bağlama Kurumsal bir yetkiyi başka bir nesneye devrederek başka bir şey olasına veya yapmasına izin vermek Bilgi veya kaynağı kullanmak için yetki sağlamak Ayrıcalıklı varlıklara erişimin kısıtlanması Güvenilir bir varlık tarafından bilginin tasdik edilmesi Bir bilginin üretim veya mevcut olma durumunun kaydedilmesi

10 Hedef Tanıklık Alındı bilgisi (receipt) Tasdik Sahiplik Anonimlik (anonymity) İnkar edilememezlik Geri alma Açıklama Bir bilginin oluşturulma veya varlığının, üreticisi dışında bir varlık tarafından teyit edilmesi Bir bilginin alındığına dair bildirim Bir hizmetin sağlandığına dair bildirim Bir varlığın kullanım hakkını veya bir kaynağı başkalarına kullandırma yetkisine sahip olma Bir işleme karışan varlığın kimliğinin gizli tutulması Önceki sorumluluk veya davranışların red edilmesini engellemek Bir sertifikasyonu veya doğrulamayı geri almak

11 Yüzyıllar boyunca özenle hazırlanmış protokoller ve mekanizmalar bilginin fiziksel dökümanlarla taşındığı zamanlar için geliştirilmiştir. Bilgi güvenliği hedefleri genelde sadece matematiksel algoritmalarla sağlanamaz. Ayrıca prosedürel teknikler ve yasalar da gereklidir. Örneğin mektupların güvenliği mühürlü zarflarla ve resmi posta hizmetlerinin kullanılmasıyla sağlanır. Zarfların güvenliği sınırlıdır bu yüzden yetkili olmayan bir kişinin zarfı açması yasal olarak da yasaklanmıştır.

12 Bazen güvenlik bilgi üzerinden değil ek olarak fiziksel doküman kaydetme ile sağlanır. Örneğin kağıt paranın kopyalanmaması için özel materyal ve mürekkep kullanılmaktadır. Bilginin kayıt edilmesi zaman içinde çok fazla değişmedi fakat kağıt üzerinde saklanan ve transfer edilen bilgi artık manyetik ortamda ve telekominikasyon sistemleri ile hatta bazı durumlarda kablosuz olarak iletilmektedir. Bu durum bilginin kopyalanması ve değiştirilmesini kolaylaştırmıştır. Bu durum kağıtta saklanan bilgi için daha zordu.

13 İsteyen birisi dijital bir bilginin orjinali ile ayırt edilemeyecek şekilde binlerce kopyasını yapabilir. Bu durum kağıttaki bilgi için çok daha zordur. Bu durum bilgi güvenliği hedeflerinin fiziksel ortamdan bağımsız olarak bilginin kendine bağlı olması sonucunu ortaya çıkarmıştır. Bilgi güvenliğinde kullanılan temel araçlardan biri imzadır. İmza; inkar edilememezlik, veri kaynağı doğrulama, kimlik tespit, tanıklık gibi bloklardan oluşan bir yapıdır. Yazmayı öğrenmeyi bir bireye nasıl kendini tanımlayacak bir imza oluşturacağı da öğretilir.

14 Sözleşme, mukavele gibi belgelerde imza kişinin kimliğini belirlemede önemli bir görevi üstlenir. İmzanın kimlik, doğrulama ve teyit etme amacıyla kullanılabilmesi için kişiye özel olması beklenir. Elektronik bilgi ile imza kavramının da yediden değerlendirilmesi gerekir, çünkü elektronik bilgide imza sadece imzalayana has ve imzalanan bilgiden bağımsız bir kavram olarak düşünülemez. Benzer durumlar «kağıt protokoller» için de geçerlidir. Artık bilgi güvenliğini sağlamak için çok daha verimli metotlar geliştirilmesi gerektiği açıktır.

15 Kağıt tabanlı sistemin geçirdiği evrim incelenerek çok daha verimli ve akılcı sistemler geliştirilebilir ve verimsizlikler ortadan kaldırılabilir. Elektronik ortamda bilgi güvenliğini sağlamak bir dizi teknik ve kanuni beceriler gerektirir. Buna rağmen tüm bilgi güvenliği hedeflerine ulaşılabileceğinin bir garantisi yoktur. Bilgi güvenliğinin teknik kısmı kartografi tarafından sağlanır.