cryptography - BTUYUM

BİLGİ GÜVENLİĞİ DERSLERİ: KRİPTOGRAFİK ALGORİTMALARI ANLAMAK

Merhabalar,

Yaşadığımız çağda, bilgi güvenliğinin hayatımızın her alanında önemini hissettirmektedir. Bu noktada en önemli ihtiyaçlardan biri, istenmeyen tarafların bu bilgilere yetkisiz müdahalesinin önüne geçilmelidir.

Bunun için en önemli araçlardan Kriptografi’dir. Bu yazı dizisinde, soru/cevap tekniği kullanılarak, bilgi güvenliği ile ilgilenen veya takip eden paydaşlar için ihtiyaç duyacakları temel kriptoloji bilgisinin kazandırılması hedeflenmektedir.

Bu yazı özelinde kriptografik algoritmalara değinilecektir.

Konunun daha iyi anlaşılması için serinin ilk yazısı olan “BİLGİ GÜVENLİĞİ DERSLERİ: KRİPTOLOJİ İÇİN TEMEL SORULAR ve CEVAPLAR” başlıklı yazıyı bu bağlantıdan erişerek okuyabilirsiniz .

Kriptografik algoritmalar için genel resmi kafamızda nasıl toplayabiliriz?

Kriptografik algoritmaların çok sayıda türü ve bu türe ait algoritmalar vardır. Ancak genel resmi aşağıdaki diyagramda kolayca görebilirsiniz?

Simetrik ve asimetrik algoritma nedir?

Simetrik ve asimetrik algoritmalar detaya girdikçe kapsamlı tanımlar yapılabilir. Ancak en temel tanım aşağıdaki gibidir.

Simetrik algoritmalar; şifreleme ve çözme işleminin aynı anahtar tarafından yapıldığı algoritmalardır.

Asimetrik algoritmalar, şifreleme ve çözme işleminin farklı anahtarlar tarafından yapıldığı algoritmalardır. Ancak anahtarlar arasında matematiksel bir bağlantı bulunmaktadır.

“Block Cipher “ ve “Stream Cipher” nedir?

Blok şifreleme ve dizi şifreleme simetrik algoritmalar için 2 alt grubu temsil etmektedir.

Block şifrelemede; veriler bloklara ayrılır. Bu veriler sabit boydaki bir anahtar ile işleme girerler. Kullanılan algoritmalar karmaşık fonksiyonlar içerir. Verilerdeki bozunmanın kritik olduğu günümüz şartlarında yaygın olarak kullanılan algoritmalar bu gruptadır. AES, TDES algoritması gibi.

Dizi şifrelemede ise, verideki her bir binary bileşenin anahtar ile işleme sokulması şeklinde uygulanan şifreleme yöntemidir. Dizi şifrelemede yapılan işlem genelde XOR gibi basit işlemdir. Ancak kayan anahtar şeklinde uzun boyutlu ve zamana bağlı üretilmiş bir anahtar ile işlem yapılır. Dolayısıyla şifre çözme işleminde de bu anahtarın aynı şekilde üretilmesi ve kullanılması gerekir.

Daha çok telsiz haberleşmesi gibi gürültülü ortamlarda ses iletimini sağlamak için bu algoritmalar tercih edilir.

Algoritmanın modu nedir? Güvenliğe nasıl etki yapar?

Algoritmanın modu, onun kullanma şeklini gösterir. Güvenlik açısından çok kritik olmakla beraber çoğu zaman dikkatten kaçırılır.

Örneğin yaygın olan kullanılan ve güvenli olarak kabul edilen AES algoritmasının ECB (Electronic Code Book) modu güvenli değilken Counter Modu güvenlidir.

Her 2 mod için çalışma diyagramları aşağıdadır.

Asimetrik sistemlere neden ihtiyaç vardır?

Asimetrik sistemler kriptolojide en temel problemlerden biri anahtar dağıtım problemidir.

Hem şifreleme hem de çözme işleminin aynı anahtarca yapılması, sistemde yer alacak her bir paydaşa güvenli anahtar ulaştırma ihtiyacı, bir anahtar ifşa olduğunda tüm sistemin çökmesi önemli kısıtlardandır. Bu nedenle 1970’lere kadar kriptoloji sadece devletlere veya devlet seviyesinde güçlü kurumlara özgü bir teknoloji olarak kalmıştır.

Asimetrik sistemlerin icadından sonra ise aşama aşama, ticari ve gündelik yaşamda kullanılabilir hale gelmiştir.

Asimetrik sistemler daha güncel ve başarılı ise neden simetrik sistemlere ihtiyaç duyuyoruz?

Asimetrik sistemler en temelde yavaş çalışırlar. Dolayısıyla, asimetrik sistemlerle büyük boyutlu verileri şifrelemek efektif değildir. Bu nedenle asimetrik sistemler ile anahtarı paylaştıktan sonra işlemlere simetrik algoritmalar ile devam edilir.

SSL ile Asimetrik Sistemlerin ilişkisi nedir?

SSL (güncel adı ile TLS) teknolojisi ile günlük kullanılan uygulamalarda web tarayıcılar üzerinden ek bir kanala ihtiyaç duymaksızın iki nokta arasında güvenli bir haberleşme hattı kurulur.

Bu hattın kurulumu için başlangıç noktasındaki anahtar değişimi asimetrik kripto algoritmaları ile yapılır.

Sertifika nedir? Neden ihtiyaç duyulmuşur?

Asimetrik sistemlerde, “public key” ve “private key” denilen bir anahtar çifti kullanılır. “Public key” ile şifrelenen veriler ancak “private key” ile açılır. Bu nedenle “Public key” haberleşme trafiğinin başında karşı tarafa gönderilir. Bu sayede veri şifrelemede kullanılacak anahtar tohumu güvenle “private key” sahibine iletilir.

Bu noktada akla şöyle bir soru gelebilir. “Ya kötü niyetli bir saldırgan, veri şifrelemede kullanılacak “public key” olarak kendi anahtarını gönderirse ne olur ?”. Bu durumda veri şifreleme anahtarı, saldırganın “public keyi” ile şifrelenmiş olacağından onun eline geçecektir.

Bunun önüne geçilmesi için “public key” verisi uluslararası geçerli otoritelerce imzalanır. (Otoriteye ait “private key” ile işleme tutulur). Bu sayede “public key” alıcısı, aldığı anahtarın doğruluğundan emin olur. İşte “public key” ve kişiye/kuruma özel bilgileri içeren imzalanmış bu veriye “sertifika” denir?

Asimetrik algoritmalar şifreleme yapabilir mi?

Asimetrik algoritmaların bazıları hem şifreleme, hem imzalama yapar. RSA (Rivest Shamir Adleman) algoritması buna örnektir. Bazıları ise sadece imzalama gerçekleştirir. DSA (Digital Signature Algorithm) ve ECDSA (Elliptic Curve Digital Signature Algorithm) buna örnektir.

Hash algoritmalarına neden gerek vardır?

Bilgi güvenliğinin sağlanması senaryolarında şifreleme ve imzalama dışında aşağıdaki işlemleri gerçekleştirecek kriptografik mekanizmaları ihtiyaç duyulur.

Büyük boyutlu verileri bir işlemden geçirerek onu temsil edecek daha küçük bir veri elde etmek
Verilerde yapılacak olası bir müdahale ile bütünlüğünün bozulmadığını kontrol etmek
Kimlik doğrulama verileri bir anahtar kullanmadan, açık olarak kullanıcıların göremeyeceği şekilde saklamak.

Hash algoritmaları temelde veri bütünlüğünü sağlamak için tasarlanmış olmakla beraber yukarıdaki diğer fonksiyonları da sağlayan kriptografik fonksiyonlardır. En yaygın bilinen hash algoritmaları ve güvenlik durumları aşağıda verilmiştir?

Bir hash algoritmasından hangi güvenlik özellikler beklenir?

Bir hash algoritmasının aşağıdaki özellikleri sağlaması beklenir.

Çakışmaya Dayanıklılık (Collision Resistance): Aynı hash sonucunu veren 2 farklı açık metin bulunamamalıdır.
Ters Görüntüye Dayanıklılık (Preimage Resistance): Verilmiş bir özet değerine ait mesaj bulmak imkansız olmalıdır.
İkinci Ters Görüntüye Dayanıklılık (Second Preimage Resistance): Verilmiş bir mesaj ile aynı özeti veren başka bir mesaj bulunamamalıdır.

Hash algoritmasının güvenlik durumunu değerlendirirken bu 3 parametreye bakılmalıdır. Algoritma bu 3 özellikten biri açısından kırılmış olsa bile, kırılan özelliğin gerekli olmadığı senaryolarda halen kullanılabilir.

BİLGİ GÜVENLİĞİ DERSLERİ: KRİPTOLOJİ İÇİN TEMEL SORULAR ve CEVAPLAR

Yaşadığımız çağda, bilgi güvenliğinin hayatımızın her alanında önemini hissettirmektedir. Bu noktada en önemli ihtiyaçlardan biri, istenmeyen tarafların bu bilgilere yetkisiz müdahalesinin önüne geçilmesidir. Bunun için en önemli araçlardan biri Kriptografi’dir. Bu yazı dizisinde, soru/cevap tekniği kullanılarak, bilgi güvenliği ile ilgilenen veya takip eden paydaşlar için ihtiyaç duyacakları temel kriptoloji bilgisinin kazandırılması hedeflenmektedir. Serinin ilk yazısı olan bu yazıda ise, konuya uzak olan veya giriş yapan okurlar için “Kriptoloji nedir?” seviyesinde kafalarına takılacak basit konuların aydınlatılması hedeflenmektedir.
Kriptografi nedir?Kriptografi için farklı kaynaklardan bakıldığında farklı tanımlar görülebilir. Aşağıda örnek bir tanım mevcuttur. Ancak bu tanımların çok büyük kısmına bakıldığında sadece “gizlilik” üzerinden konuya yaklaşıldığı görülmektedir. Bu durum alışılagelmiş bir şekilde kabullenilse de eksik bir bakış açısıdır.
Dolayısıyla doğru tanımlama aşağıdaki minvalde olmalıdır?
Kriptografi; veriler üzerinde belirli bir prosedüre göre işlemler gerçekleştirerek bunların yetkisiz kişilerin müdahalesinden korunmasıdır.
Kriptoloji sayesinde sadece gizli verilerin gizliliği mi korunuyor?Aslında klasik kriptografi için bu durum geçerlidir? Zaten yapılan tanımlarda da bunun etkisi açıkça görülmektedir. Ancak modern kriptografinin başlanmasından itibaren yapılan uygulamalarda kriptoloji aşağıdaki 4 konuda güvenlik sağlar (Modern kriptografinin ne zaman başladığı konusuna aşağıda değinilecektir). Dolayısıyla kriptoloji için yaygın olarak halen kullanılan ve gizliliğin öne çıkarıldığı tanımlamalar eksiktir?
Gizlilik (Confidentiality)
Bütünlük (Integrity)
Kaynak Doğrulama (Authenticity)
İnkar Edilememezlik (Non-repudiation)
Veriler için her şekil değiştirme kriptografi ya da şifreleme midir?Bilgi işlemede sıklıkla karıştırılan konulardan biri Base64 gibi kodlama tekniklerinin “şifreleme” gibi algılanmasıdır. Anlık olarak verilerinin okunabilirliğinin kaybolması, geliştiricilerce bir güvenlik önlemi ve şifreleme olarak düşünülmektedir.
Bir işlemin şifreleme ya da kriprografik işlem olması için sadece bir anahtar ile geri döndürülebilir veya geri döndürülemez olması gerekir.
Kripto algoritmaları gizli midir? İfşa olursa ne olur?Moder kriptolojide genel olarak uygulanan Kerckhoffs prensibine göre kriptografik işlemlerde algoritmanın değil, anahtarın gizli olması tekniği uygulanır. AES, RSA, DSA gibi yaygın kullanılan algoritmaların da detayları açıktır. Bu sayede, tüm bilim dünyasının algoritmaların dayanıklılığını analiz edebildiklerine imkan sağlanması ile bir açıklık durumunun daha hızlı tespit ederek önlem alınabileceği varsayılır.
Ancak özellikle devletler her ne kadar bu algoritmalar için güvenlik açıklığı görülmese de, milli ve askeri organizasyonları için özel kriptografik algoritmalar tasarlayıp kullanırlar. Bu algoritmalarda da gizlilik asıl olarak anahtara dayansa da, algoritmayı da tedbir amaçlı saklı tutarlar.
Ne çok kripto algoritması var. Bunları anlaşılır şekilde nasıl sınıflandırıp toparlayabiliriz?Algoritmaları en temelde aşağıdaki diyagramda görüldüğü üzere sınıflandırabiliriz?
Simetrik algoritmalar daha çok gizlilik sağlamaya yönelik işlev görürler.
Hash algoritmaları, verilerin bütünlüğünün sağlanması için idealdir?
Asimetrik algoritmalar ise gizliliğe imkan sağlasalar da asıl olarak kimlik doğrulama ve inkar edilemezlik için kirik işlev görürler?
Bunların detaylarını sonraki yazılarımızda işleyeceğiz?

Anahtarların gizliliği önemli bir problem? Peki bu kısıta rağmen nasıl kriptografi bu kadar yaygın olabiliyor?Aslında anahtar gizliliği problemi sadece simetrik algoritmalar için. Hash (bütünlük) algoritmalarında anahtar söz konusu değil. Asimetrik sistemlerde ise “açık anahtar altyapısı” sayesinde sadece “özel anahtar” için gizlilik sağlanarak sorun çözülebilmektedir?
Modern kriptoloji nedir? Ne zamandan başlar?Kriptografi ilk çağlardan itibaren kullanılmasına rağmen konu ile ilgili en yüksek atılımın 2. Dünya savaşı yıllarında olduğu görülmektedir? Bu süreçte oluşan altyapı 1970’li yıllarda sistematik olarak kendini göstermiştir. Bu yıllarda yaşanan aşağıdaki gelişmeler “modern kriptoloji” için başlangıç sayılmıştır.
IBM tarafından DES algoritmasının tasarlanması ve kurumun kendi müşterilerinin verilerini kriptoloji ile koruma taahhüdü yapması: Bu durum kriptografinin ilk defa askeri amaç dışı kullanımı açısından kritiktir.
Whitfield Diffie ve Martin Hellman tarafından açık anahtarlı altyasının ilk defa icat edilmesi: Bu teknoloji anahtar saklama problemini çözdüğünden kriptolojinin sıradan insanların kullanımına girmesine imkan sağlamıştır.
Hash (bütünlük) algoritmalarının tasarlanması: Bütünlük algoritmalar bir anahtara ihtiyaç duymadan veri bütünlüğünü sağlayabildiklerinden modern kriptografi için önemli bir temel oluşturmuştur?
NSA kriptolanmış verileri çözüyor mu? Boşuna mı şifreliyoruz?Modern kriptolojinin ilk aşamalarında dünyada teknolojinin öncüsü olma sıfatı ile ABD ve ona bağlı bir kurum olan NSA aktif anlamda süreçte yer almıştır. Askeri alan dışında kullanıma sunulan ve yakın zamana kadar kullanılan (bazı yerlerde halen kullanımı görülebilir) DES (Data Encryption Standard) algoritmasının tasarımına bizzat müdahil olmuştur.
Bu kapsamda DES algoritmasında NSA’in verileri elde edebilecek şekilde bilinçli açıklar bırakıldığı düşünülmektedir.
Ancak; 90’lı yıllardan itibaren tasarlanan ve yaygın olarak kullanılan algoritmalar için şöyle bir durum söz konusudur. Algoritmalar bağımsız yarışmalarla (bilindiği kadarı ile) seçilmekte ve her türlü analiz için açık olmaktadır. Buna ek olarak NSA dışında diğer kamu ve özel kurumların yüksek imkanlarla bu sistemleri analiz etme imkanlarına sahip olma durumu mevcuttur.
Olası bir zafiyetin varlığı durumunda bunun farklı kaynaklarda tespit edilip açığa çıkarılma ihtimali görece daha yüksektir.
Bu veriler ışığında, günümüzde yaygın olan algoritmalarda bilinçli açıklıklar bırakıldığı ve bunların NSA veya benzeri kurumlarca istismar edilebildiğini düşünmek için somut kanıtlar yoktur.
Bununla beraber, elbette bunun olmadığından %100 emin olmak da mümkün değildir. Zaten bu nedenle, askeri ve istihbarat faaliyeti gerçekleştiren organizasyonlar, yaygın olarak bilinen ticari algoritmalar yerine kendi özel tasarladıkları algoritmaları kullanmaktadırlar.
.