Yaşadığımız çağda, bilgi güvenliğinin hayatımızın her alanında önemini hissettirmektedir. Bu noktada en önemli ihtiyaçlardan biri, istenmeyen tarafların bu bilgilere yetkisiz müdahalesinin önüne geçilmesidir. Bunun için en önemli araçlardan biri Kriptografi’dir. Bu yazı dizisinde, soru/cevap tekniği kullanılarak, bilgi güvenliği ile ilgilenen veya takip eden paydaşlar için ihtiyaç duyacakları temel kriptoloji bilgisinin kazandırılması hedeflenmektedir. Serinin ilk yazısı olan bu yazıda ise, konuya uzak olan veya giriş yapan okurlar için “Kriptoloji nedir?” seviyesinde kafalarına takılacak basit konuların aydınlatılması hedeflenmektedir.
Kriptografi nedir?
Kriptografi için farklı kaynaklardan bakıldığında farklı tanımlar görülebilir. Aşağıda örnek bir tanım mevcuttur. Ancak bu tanımların çok büyük kısmına bakıldığında sadece “gizlilik” üzerinden konuya yaklaşıldığı görülmektedir. Bu durum alışılagelmiş bir şekilde kabullenilse de eksik bir bakış açısıdır.
Dolayısıyla doğru tanımlama aşağıdaki minvalde olmalıdır?
Kriptografi; veriler üzerinde belirli bir prosedüre göre işlemler gerçekleştirerek bunların yetkisiz kişilerin müdahalesinden korunmasıdır.
Kriptoloji sayesinde sadece gizli verilerin gizliliği mi korunuyor?
Aslında klasik kriptografi için bu durum geçerlidir? Zaten yapılan tanımlarda da bunun etkisi açıkça görülmektedir. Ancak modern kriptografinin başlanmasından itibaren yapılan uygulamalarda kriptoloji aşağıdaki 4 konuda güvenlik sağlar (Modern kriptografinin ne zaman başladığı konusuna aşağıda değinilecektir). Dolayısıyla kriptoloji için yaygın olarak halen kullanılan ve gizliliğin öne çıkarıldığı tanımlamalar eksiktir?
- Gizlilik (Confidentiality)
- Bütünlük (Integrity)
- Kaynak Doğrulama (Authenticity)
- İnkar Edilememezlik (Non-repudiation)
Veriler için her şekil değiştirme kriptografi ya da şifreleme midir?
Bilgi işlemede sıklıkla karıştırılan konulardan biri Base64 gibi kodlama tekniklerinin “şifreleme” gibi algılanmasıdır. Anlık olarak verilerinin okunabilirliğinin kaybolması, geliştiricilerce bir güvenlik önlemi ve şifreleme olarak düşünülmektedir.
Bir işlemin şifreleme ya da kriprografik işlem olması için sadece bir anahtar ile geri döndürülebilir veya geri döndürülemez olması gerekir.
Kripto algoritmaları gizli midir? İfşa olursa ne olur?
Moder kriptolojide genel olarak uygulanan Kerckhoffs prensibine göre kriptografik işlemlerde algoritmanın değil, anahtarın gizli olması tekniği uygulanır. AES, RSA, DSA gibi yaygın kullanılan algoritmaların da detayları açıktır. Bu sayede, tüm bilim dünyasının algoritmaların dayanıklılığını analiz edebildiklerine imkan sağlanması ile bir açıklık durumunun daha hızlı tespit ederek önlem alınabileceği varsayılır.
Ancak özellikle devletler her ne kadar bu algoritmalar için güvenlik açıklığı görülmese de, milli ve askeri organizasyonları için özel kriptografik algoritmalar tasarlayıp kullanırlar. Bu algoritmalarda da gizlilik asıl olarak anahtara dayansa da, algoritmayı da tedbir amaçlı saklı tutarlar.
Ne çok kripto algoritması var. Bunları anlaşılır şekilde nasıl sınıflandırıp toparlayabiliriz?
Algoritmaları en temelde aşağıdaki diyagramda görüldüğü üzere sınıflandırabiliriz?
- Simetrik algoritmalar daha çok gizlilik sağlamaya yönelik işlev görürler.
- Hash algoritmaları, verilerin bütünlüğünün sağlanması için idealdir?
- Asimetrik algoritmalar ise gizliliğe imkan sağlasalar da asıl olarak kimlik doğrulama ve inkar edilemezlik için kirik işlev görürler?
Bunların detaylarını sonraki yazılarımızda işleyeceğiz?
Anahtarların gizliliği önemli bir problem? Peki bu kısıta rağmen nasıl kriptografi bu kadar yaygın olabiliyor?
Aslında anahtar gizliliği problemi sadece simetrik algoritmalar için. Hash (bütünlük) algoritmalarında anahtar söz konusu değil. Asimetrik sistemlerde ise “açık anahtar altyapısı” sayesinde sadece “özel anahtar” için gizlilik sağlanarak sorun çözülebilmektedir?
Modern kriptoloji nedir? Ne zamandan başlar?
Kriptografi ilk çağlardan itibaren kullanılmasına rağmen konu ile ilgili en yüksek atılımın 2. Dünya savaşı yıllarında olduğu görülmektedir? Bu süreçte oluşan altyapı 1970’li yıllarda sistematik olarak kendini göstermiştir. Bu yıllarda yaşanan aşağıdaki gelişmeler “modern kriptoloji” için başlangıç sayılmıştır.
- IBM tarafından DES algoritmasının tasarlanması ve kurumun kendi müşterilerinin verilerini kriptoloji ile koruma taahhüdü yapması: Bu durum kriptografinin ilk defa askeri amaç dışı kullanımı açısından kritiktir.
- Whitfield Diffie ve Martin Hellman tarafından açık anahtarlı altyasının ilk defa icat edilmesi: Bu teknoloji anahtar saklama problemini çözdüğünden kriptolojinin sıradan insanların kullanımına girmesine imkan sağlamıştır.
- Hash (bütünlük) algoritmalarının tasarlanması: Bütünlük algoritmalar bir anahtara ihtiyaç duymadan veri bütünlüğünü sağlayabildiklerinden modern kriptografi için önemli bir temel oluşturmuştur?
NSA kriptolanmış verileri çözüyor mu? Boşuna mı şifreliyoruz?
Modern kriptolojinin ilk aşamalarında dünyada teknolojinin öncüsü olma sıfatı ile ABD ve ona bağlı bir kurum olan NSA aktif anlamda süreçte yer almıştır. Askeri alan dışında kullanıma sunulan ve yakın zamana kadar kullanılan (bazı yerlerde halen kullanımı görülebilir) DES (Data Encryption Standard) algoritmasının tasarımına bizzat müdahil olmuştur.
Bu kapsamda DES algoritmasında NSA’in verileri elde edebilecek şekilde bilinçli açıklar bırakıldığı düşünülmektedir.
Ancak; 90’lı yıllardan itibaren tasarlanan ve yaygın olarak kullanılan algoritmalar için şöyle bir durum söz konusudur. Algoritmalar bağımsız yarışmalarla (bilindiği kadarı ile) seçilmekte ve her türlü analiz için açık olmaktadır. Buna ek olarak NSA dışında diğer kamu ve özel kurumların yüksek imkanlarla bu sistemleri analiz etme imkanlarına sahip olma durumu mevcuttur.
Olası bir zafiyetin varlığı durumunda bunun farklı kaynaklarda tespit edilip açığa çıkarılma ihtimali görece daha yüksektir.
Bu veriler ışığında, günümüzde yaygın olan algoritmalarda bilinçli açıklıklar bırakıldığı ve bunların NSA veya benzeri kurumlarca istismar edilebildiğini düşünmek için somut kanıtlar yoktur.
Bununla beraber, elbette bunun olmadığından %100 emin olmak da mümkün değildir. Zaten bu nedenle, askeri ve istihbarat faaliyeti gerçekleştiren organizasyonlar, yaygın olarak bilinen ticari algoritmalar yerine kendi özel tasarladıkları algoritmaları kullanmaktadırlar.
.
