Bilgi Güvenliği

Temmuz 2012 | Ibrahim Baliç, Software Engineer

Bilgi Güvenliği


Giriş

Günümüzde hız kesmeden gelişen ve değişen teknoloji, “Bilgi/Veri” hırsızlığını da beraberinde getirdi. Bilim adamları “Bilgi/Veri”yi her an, her yerde kullanabilir duruma getirmek için yıllardır çalışıyor olsalar da, Bilgi/Veri’nin güvenliğini sağlamak gün geçtikçe daha da zorlaşmaktadır. Günümüzde ki en kıymetli şeylerden biri haline gelen “Bilgi/Veri”yi korumak ciddi sıkıntılara yol açmaktadır.

Bu kaynak “Bilgi/Veri Güvenliği” konusuna başlangıç seviyesindeki kişilere hitap etmektedir. Dilim ve Bilgim yettiğince sizlere dijital ortamlardaki ve insanlar arasındaki iletişimin içinde “Bilgi/Veri Güvenliği” konusunu işlemek istedim.

Bu alanda umarım aktarmak istediklerimi doğru şekilde ifade edebilmişimdir.
Herkese teşekkür ederim.

İbrahim BALİÇ




İNDEKS:

Bilgi Güvenliği
-- TEMPEST
-- Kaynak Güvenliği
-- Aktarım Güvenliği

Kriptoloji
- Kriptografi
--- A. Açık Anahtarlı Şifreleme
--- B. Anahtarsız Şifreleme
-----
MD5 Uygulama (perl,vb6)
--- C. Simetrik Şifreleme
-
Steganografi
---
Dosyalara Mesaj Gizleme Uygulaması (vb6)


Bilgi Güvenliği



Bilgi/Veri güvenliği konusunda yazmayı düşündüğüm ve dikkatinizi çekmek
istediğim o kadar çok şey var ki; tam olarak nereden başlamam ve nerede
sonlandırmam gerektiğine karar veremiyorum.

Yıllardır konusu açıldıkça sıkça bahsettiğim “Bilgi/Veri’nin güvenliği, Bilgi/Veri’nin önemliliğine eşittir.” Dememde sanırım tam olarak bununla alakalı. Bu teorimi biraz açıklamam gerektiğinin farkındayım fakat önce Bilgi/Veri’nin güvenliğine kısaca bir göz atalım.


Bilgi/Veri akışı denildiği zaman, genelde insanların ilk akıllarına genel şey bilgisayar veya elektronik sistemler oluyor. Oysaki gündelik yaşamımızda da her an, binlerce, belki de on binlerce Bilgi/Veri akışı gerçekleşmektedir. Bu aşamada ben Türk Dil Kurumunun bu kelime için tanımına bakmak istedim ve Bilgi kelimesi için yapmış olduğu bir tanım aynen şu şekildedir.

Öğrenme, araştırma veya gözlem yolu ile elde edilen gerçek.”

Yine aynı şekilde Türk Dil Kurumunun Veri kelimesi için yapmış olduğu bir diğer tanımda aynen şu şekildedir.

Gözlem ve deneye dayalı araştırmanın sonuçları..”

Kelimelerin anlamlarından yola çıkarak düşünürsek, anlamları itibari ile de Bilgi/Veri’nin gündelik yaşamımızda ne sıklıkta akıcılık sağladığı
ortadır.

Bir kişinin, bir diğer kişiye anlattığı herhangi bir konudan tutun, Herhangi bir kişinin herhangi farklı bir yerden edindiği Bilgi/Veri’ye kadar uzayıp giden, karanlık bir tünel gibidir.

Konumuzun bu denli geniş olmasından dolayı, Bilgi/Veri’nin korunma zaman ve kademeleri de oldukça farklı ele alınmalıdır.



1.Bilgi/Veri’nin kaynak güvenliği

a.Bilgi/Veri’nin paydaş güvenliği (çoğalma sayısı x2’tir. )
2.Bilgi/Veri’nin aktarım güvenliği

Yukarıdaki sıralamada görmüş olduğunuz gibi Bilgi/Veri’nin korunma zaman ve durumları türüne ve yerine göre farklılıklar ve farklı riskler taşımaktadır. Ben bunlara giriş yapmadan önce Türkiye’de sıklıkla kullanılan bir atasözünün ne kadar doğru bir tespitte bulunduğunu göstermek adına paylaşmak istiyorum.



Sırrını söyleme dostuna, Dostunun dostu vardır oda söyler dostuna.


Bilgi/Veri’nin en büyük risklerinden biri paydaş sayısıdır. Önemli bir Bilgi/Veri’nin paydaş sayısı ne kadar çok ise, dağılmış olma riski veya dağılabilme riski de bir o kadar artmış demektir. Bilgi/Veri’ alanına ve önemine göre kazanmış olduğu değer o Bilgi/Veri’ye ulaşılma istek ve arzularını da hep beraberinde getirmiştir. İnsanlar bu sebeple zaman içinde Bilgi/Veri’ye ulaşabilmeyi hep öncelikli hedefleri halinde tutmuşlar. Farklı farklı yollar denenmiş farklı farklı yöntemler geliştirmişlerdir. Ve halen daha farklı yollar keşfediyorlar…





Bu arayışlarda sanırım zaman içinde en çokta TIP bilimi kullanılmış ve hatta farklı bilim dalları oluşmasına bile sebep olmuştur. Özellikle günümüz teknolojisinin ve hızla ilerleyen TIP biliminin gelmiş olduğu son noktalarsa gerçekten ürkütücü seviyelere
varmaktadır.




Arayışları 19. Yüz yıla kadar sürmüş olan ve günümüzde ilk kullanan kişinin William Thomas Green Morton olduğu kabul gören “Anestezik” ilaçların, Günümüzde bu denli
farklı amaçlara hizmet edeceğinden eminim ki hiç kimsenin aklına gelmemiştir.



GABA’nın
reseptörlerinden ayrılma hızını yavaşlatarak, hücre dışında ki proteinlerin
hücre içine bağlanmasını engelleyen bu kimyasallar ile (yani uygulanan kişiyi
kısmi felç’e uğratarak)”…



Kişilere
sorulan soruları doğru şekilde cevaplamasını beklemek oldukça farklı bir
düşünce gibi gözüküyor fakat günümüz de “Pentotal
adlı bir ilaçtan bu şekilde faydalanılıyor. Hani şu filmlerde sıkça
rastladığımız, şu doğruları söyleten o kimyasal madde var ya heh işte tam
olarak o…


Bilgi Güvenliği

Buna
benzer birçok alanda biyolojik fonksiyonlarımıza müdahale edilerek
yapılabilinen çok sayıda işlem günümüz teknolojisi ve tıp kaynaklarıyla mümkün
hale gelmiştir ve hala devam etmektedir. Umut edelim ki bir gün sinir
sistemimize dışarıdan-haberimiz olmadan müdahale edemesinler fakat düşünceleri
okuyabileceğimiz teknolojinin de çok uzak olmadığına inanan insanlar
arasındayım. Günümüzde kullanılan yalan makinelerinin kan basıncı, nabız, solunum gibi etkenleri takip ederek
insanların yalan söylediğini ortaya çıkartabiliyorsa da, yakın bir tarihte
insanların düşüncelerini de okuyabileceğiz demektir.












Bunlar şimdilik insanlarda ki düşünce için Bilgi/Veri dışarıdan müdahale ile elde edilemiyor gibi gözükse de,
Bilgisayar ve elektronik cihazlarda durum biraz daha farklı.



*GABA, engelleyici nörotransmiter
olarak sinir sisteminde aktif rol oynayan kimyasal bir maddedir.
(tr.wikipedia.org)



*** Pentotal bir ilaç ismidir.







TEMPEST



TEMPEST adıyla bilinen bir yöntem yıllardır
filmlere konu oluyor. Neredeyse tüm istihbarat servislerinin bilgi toplamak
amacı ile kullanmış olduğu Elektro Manyetik Dinleme olarak Türkçeleşen bu
yöntem, Yine elektronik cihazlar kullanılarak diğer elektronik cihazlardan
bilgi toplama işlemine deniyor. Aynı şekilde bu tür atak ve saldırılardan
korunmak içinde EMSEC diye bilinen yöntem
ve standartlar uygulanmaktadır.

Bilgi Güvenliği





Neredeyse
kullanmış olduğumuz tüm cihazlar elektromanyetik yayılım göstermektedir. Bu
elektro manyetik yayılımlar cihazın durum ve konumuna göre belli mesafelere
kadar ulaşmaktadır. Yani daha basit bir şekilde örnek vermek gerekirse
elektronik cihazlarımız bizim gözlerimiz ve kulaklarımız ile
algılayamayacağımız seviyede bir radyo yayını yapmaktadır. Bu sinyaller bazı
özel cihazlar ile birbirinden ayrıştırılarak toplanmaktadır. Bu toplama işlemi
sonunda türüne göre yine özel birkaç işleme tabi tutularak görüntü, ses veya
yazı haline getirilebilmekte.



Bu
tür özel müdahaleler ele alınırken gerçekten profesyonel bir müdahale olarak
ele alınmalıdır. Çünkü bu tür bir dinleme işlemi için özel ekip ve cihazlara
ihtiyaç duyulmaktadır. Bu kapasitede işlem yapabilen cihazlar, Türkiye ve
birçok ülke için bu ülke girişleri kontrol altında yapılmaktadır. İzinsiz
sokulamamaktadır.



TEMPEST
Konusunda Türkiye’de açıklanan en büyük araştırma ve geliştirmeler gündeme TÜBİTAK tarafından getirilmektedir.
Uluslararası kapsamda da TEMPEST
konusu standartlara bağlanmıştır. Üretim aşamasında cihaz tür ve önemine göre
standart uyumluluğu göz önünde bulundurularak üretilmektedir.



Buna
rağmen diğer elektronik cihazlardan yayılan sinyalleri Bilgi/Veri’ye dönüştürülmesi dünya genelinde çok sık kullanılan bir
yöntemdir. Güncel ve bilinen en temiz casusluk yöntemlerinden olduğu
söylenmektedir. Müdahalenin uzaktan olduğu göz önünde bulundurulursa oldukça güvenli
ve tespit edilmesi zor gibi gözüküyor.



* TEMPEST Elektro Manyetik Dinleme anlamına gelen Elektronik cihazlardan yayılan
Elektro Manyetik verileri toplayarak tekrar veriye çevirme yöntemidir.



** EMSEC Elektro Manyetik Güvenliği anlamına gelen elektro manyetik
verilerin yayılmasına karşı alınacak önlemlerin kısaca tanımıdır.



* TÜBİTAK Türkiye Bilimsel ve Teknolojik Araştırma Kurumudur.



*Uluslar arası standartlar ISO/IEC 17799 ve ISO/IEC 2700 altında incelenmektedir.





Zaten
öyle ki, Doktorlarımızın yaptığı açıklamalara göre bu cihazlardan yayılan
elektro manyetik sinyallerin insan sağlığına zararı oldukça fazla, bundan
dolayı, bu kötü sinyalleri toplamamıza insanların çok kızmayacağını düşünüyorum
J.



TEMPEST için maddi boyutu ve kanuni riskini
bir tarafa bırakırsak, Elektro manyetik dinleme yapmak için bir kaç elektronik cihaza
ve birazda sabır’a ihtiyacınız var gibi gözüküyor.





Bilgi Güvenliği



Bu videoları izlemenizi
tavsiye ederim:













Bilgi/Veri güvenliğini Bilgisayar
Sistemleri üzerine yoğunlaştırırsak eğer, Bilgi/Veri’nin
güvenliğinin günümüzde tam koruma altına alınması neredeyse imkânsız bir hal
almaktadır. İnsanlar arasındaki bilgi akıcılığından çok daha fazla tehlike
altında olduğunu anlayacaksınız. Şimdiye kadar genel olarak Bilgi/Veri olarak sınırlamadan
bahsettiğimiz konunun kendi içinde, Kullanım alan ve şekilleri itibari ile
farklı derecede, zaman ve kademelerde korunmak zorunda olduğunu umarım
anlamışsınızdır.



Bilgi/Veri’nin
tehlike ve riski neredeyse hiçbir zaman tam anlamıyla sağlanamamaktadır. Bu
sebepten ötürü dünya genelinde arayışlar hep sürmektedir. Devletler Kurumları
ve Özel sektör araştırma ve geliştirmelerini devamlı olarak geliştirmekte ve
değiştirmektedir. Şimdi Bilinen Bilgi/Veri’nin
genel anlamdaki güvenlik zaman ve kademelerine bir göz atalım.









Kaynak güvenliği



Bilgi/Veri’nin kaynağından bahsederken, adından da anlayacağınız üzere
depolandığı, barındırıldığı yer olarak ele alıyorum.



Bu
aşamada günümüz iletişim teknolojisinin olanakları dâhilin de Bilgi/Veri türüne ve amacına göre değişik kategorilerde kaynak konumunda
tutulabilmektedir. Alıcılar Bilgi/Veri’ye bu sabit alandan ulaşmaktalar. Bu aşamada hem verinin konum
hem de tür itibari ile sabit konumda bulunması bilgi ve verinin önemi
doğrultusunda olumsuzluklar yaratabiliyor. Bu durumda Bilgi/Veri’yi Sabit Bilgi/Veri türleri ve Dinamik Bilgi/Veri türleri
olarak iki ana kategoriye ayırırsam, sanırım yanlış yapmış olmam.



Bilgi Güvenliği



Bilgi/Veri türüne ve yerine göre farklı özellikler sergilese de ortak noktası
gizlenmek olduğunda durum pekte farklı değil. Sabit Bilgi/Veri türlerinde benim paydaş sayısı
olarak nitelendirdiğim kaynaklar, yerine göre önemli roller üstlenir. Bunu
biraz açıklamak gerekirse yukarıda ki görsele baktığınız da bunu daha iyi
anlayabileceğinizi düşünüyorum.



Bilgi/Veri çoğaldıkça verinin kaynak sayısı da aynı oranda çoğalmaktadır.
Bu sebep ile Sabit veri türlerinde
güvenliğin sağlanması, Dinamik
veri türlerine oranla oldukça daha zordur.



Kaynağın
çoğalması aynı zamanda korunmasını da olumsuz yönde etkilemektedir. Ne kadar
kaynak varsa riskleri de o kadar artmış demektir. Eşit oranla aktarım güvenliği
gerektirmesi, veri türüne ve kaynağına bağlı olarak ta bu durumu daha da zorlaştıracaktır.







*Kriptografi,
Şifreleme işlemleri bilimin adıdır.



** Bilgiyi
gizleme(şekil değiştirme, perdeleme vs) yöntemlerini de Steganografi alanında
inceleriz. Gizlenmiş mesajlara da “Steganografik Mesaj” denir.







Bilgi Güvenliği

Durum
insanlar ve cihazlar içinde aynıdır. Sabit veri türlerinde paydaş sayısının
artması dağılım çoğalma riskini de olumsuz yönde etkilemektedir. Buna bağlı
olarak verebileceğim net sonuç paydaş sayısının yükselmesi, güvenlik riskinin
de x2 oranında artmasına sebep olacaktır.



Özellikle Bilgi/Veri’nin aktarım aşamasında kullanılması
muhtemel gizleme tekniklerini de olumsuz yönde etkileyen bu durum, Gerek Bilgi/Veri’nin gizlenme aşamasında, gerek kaynak veriye yapılacak gizleme/şifreleme
tekniklerinde Bilgi/Veri’nin boyut ve şekil değiştirmesi
tekniklerini daha da zorlaştıran bir diğer unsurdur



Boyut
ve şekil değiştirme tekniklerini açıklamam gerekirse, Sanırım şu şekilde bir
örnek vermek durumu açıklayabilir.





Bilgi/Veri’nin aktarım veya depolama için
kullanılan gizleme algoritmaları, şekil değiştirme teknikleri gerektiriyor; bu
algoritmaların veya şekil değiştirmeler deşifre edildiğinde kaynak ve
paydaşların Kaynak ve Aktarım güvenliği de yıkılıyor. Bu
sebepten ötürü kaynak veya aktarımı; paydaş
sayısınca değiştirmeyi veya farklılaştırmayı gerektiriyor. Kaynağın çoğalması,
korumasını olumsuz yönde etkiliyor.





Sabit Bilgi/Veri türlerinde
durum böyle iken Dinamik Bilgi/Veri türlerinde ise kaynağın çoğalması, kaynak Bilgi/Veri’yi Sabit veri türüne oranla biraz
farklı etkiler. Kaynak Bilgi/Veri’nin aktarımı tamamlandıktan sonra “paydaşı” kaynak konumuna
geçirmektedir. Yani paydaş sayısının çoğalması; kaynak
sayısının da çoğalması anlamına gelmektedir. Paydaş sayımızın çoğalması aynı
zamanda aktarım güvenliğinin de eşit sayıda arttırmasına sebep olacaktır.



* Algoritma, herhangi bir işlemi belli bir
düzen içerisinde yapma işlemine(veya işlemlerine) verilen addır.



(Kriptografi ve
Stenografi konularını farklı bir başlıkta daha ayrıntılı biçimde işleyeceğiz
.)





Bilgi Güvenliği



·
A - Paydaş Güvenliği



Bilgi/Veri’nin paydaş güvenliği, Bilgi/Veri’nin türüne göre farklılıklar göstermektedir. Bilgi/Veri’nin çeşit ve sınıflarına
göre paydaş güvenliği farklı olarak ele alınır. Sabit bilgi türlerinde paydaş
sayısı kaynak sayısını çoğaltacağı için çok büyük önem taşırken dinamik veri
türlerinde paydaş güvenliği biraz daha farklı roller üstlenir. Paydaş güvenliğinde
ele alınması gereken önlem ve durumlar genellikle aktarım güvenliğinden önce
kontrol edilmesi gereken aşamalardır.





*Paydaş olarak bahsettiğim şey kaynak Bilgi/Veri’nin çoğalma
sayısıdır.



Aktarım Güvenliği



Bilgi/Veri’nin korunması aktarım güvenliği aşamasında oldukça zor ve
risklidir. Bu aşamada genellikle Kriptoloji bilimi devreye girerek, “Bilgi/Veri” üzerinde şifreleme, gizleme
yaparak bilgi aktarımını güvenli bir hale getirmeye çalışmaktadır. Fakat özellikle
bilgisayar sistemlerin de bu durum biraz karmaşık ve tahmin edildiğinden çok daha
fazla sabote edilebilir durum oluşturmaktadır.



Ham
Bilgi/Veri” şifreleme/gizleme
işlemi gerçekleştikten sonra aktarım güvenliği aşamasında sabote edilmesi(ele geçirilmesi)
hem kaynak bilgi güvenliğini hem ilgili algoritmasının(“Bilgi/Veri”nin şifreleme tekniğinin) ortaya çıkmasına sebep
olacaktır. Aynı zamanda hedefinde ortaya çıkma olasılığını arttırmaktadır.



Günümüzdeki
elektronik cihazlar, gizlilik derecesi taşıyan bilgi aktarımlarını, kendi aralarında
kurdukları bağlantı ve “Bilgi/Veri” türlerine
göre farklı teknik ve algoritmalar ile şifrelenerek gerçekleştirmektedirler. Mesela
bunlardan en basit ve hemen hemen hepimizin bilgisayarı ile internette gezerken
birçok kez kullanmış olduğu << SSL(Secure Socket Layer) >> güvenli
bir veri aktarımı sağlayan bağlantı türüdür.



SSL
konusunu genişletmeden önce söylemek isterim ki bilgisayar sistemlerinde birçok
farklı güvenli aktarım türü mevcuttur.( TLS, SSH vs) kullanmış oldukları
bağlantı çeşidi, modeline göre (“Bilgi/Veri
türü de önemli) devamlı farklılıklar gösterebilir.



Elektronik
cihazlarda durum böyle iken, İnsanlar arasındaki sözlü aktarımlar içinde durum
pek farklı değildir. 2009 yılında gündeme gelen A5 şifreleme algoritması(GSM operatörleri tarafından
kullanılmakta) Karsten Nohl ve ekibi tarafından çözülmüştü.



Bilgi Güvenliği



Bunun dışında kişisel görüşmeler için de günümüzde
birçok dinleme cihazı geliştirilmiştir. Bu cihazlar ile kişisel iletişimleri
sabote etmek çok kolay bir hale geldi. İnternette sıkça rastladığımız casus
mikrofonlar sanırım verebileceğimiz en iyi örnek olacaktır.



Casus
bilgisayar programları, Casus telefon yazılımları, Casus saatler, Casus
gözlükler gibi bilumum gündelik yaşamımızda sıkça kullandığımız araç ve
gereçlerin birer casus olabileceğini düşünmek, oldukça ürkütücü bir durum.



Kaldı
ki buna Devletlerin istihbarat servislerinin ve kolluk kuvvetlerinin kullanmış
olduğu alt yapı imkân olanaklarını düşünmek daha da ürkütücü.



* Karsten Nohl, alman asıllı bir bilgisayar
uzmanıdır.



Kriptoloji



Kriptoloji, Türk Dil Kurumu
tarafından,



“Gizli yazılar, şifreli belgeler bilimi veya
incelenmesi.”



Şeklinde
tanımlamaktadır. Fakat Kriptoloji bilimi
kendi içerisinde farklı alanlara ayrılmaktadır.



Kriptografi bilimi, daha önce bahsetmiş
olduğum “Bilgi/Veri”lerin şifrelenmesiyle ilgilenen kriptoloji dalıdır.



Steganografi ise Bilgi/Veri’nin
gizlenmesiyle ilgilenen bir diğer kriptoloji
dalıdır.



Steganografi’yi Kriptografi’den ayırıcı en belirgin özelliği, Steganografi ilgili Bilgi/Veri’yi gizler, Kriptografi ise ilgili bilgiyi şifreler. ”Steganografik Mesajlar”da bilgi perdelenmiş/gizlenmiştir.



Örnek
vermek gerekirse, yukarıda “Merkezi
Dicle
” olarak farklı bir yazı içerisinden ayırt etmiş olduğumuz gizli
içerikte göründüğü gibi.



Aynı
zamanda birazdan “Ters Mühendislik” başlığında
inceleyeceğimiz, Kriptoanaliz de yine
kriptoloji içerisinde bulunan bir bilim dalıdır. Fakat kriptolojinin bu dalı biraz farklıdır, Kriptoanaliz şifrelenmiş bir veriyi çözme ile ilgilenir.



Dünya üzerinde binlerce belki de on binlerce farklı
algoritma mevcuttur. Bunların hepsini bilmemizin veya çözmemizin sanırım imkânı
bulunmamaktır fakat genel olarak şöyle dünya genelinde bu algoritmaların
ayrıldığı birkaç kategorilere göz atalım.



Şimdi kısaca Kriptografi
başlığı altında Kriptografi
bilmini inceleyelim.

Bilgi Güvenliği





Kriptografi



Kriptografi‘nin “Bilgi/Veri”lerin
şifrelenmesiyle ilgilenen bilim dalıdır demiştik, bu şifreleme algoritmaları da
kendi içerisinde türüne göre farklılıklar göstermektedir ve bu özelliklerinden
dolayı farklı kategorilerde incelenmektedir.



A. Açık Anahtarlı Şifreleme

B.
Anahtarsız Şifreleme

C.
Simetrik Şifreleme



* Ters Mühendislik, bir
aygıtın, objenin veya sistemin; yapısının, işlevinin veya çalışmasının,
çıkarımcı bir akıl yürütme analiziyle keşfedilmesi işlemidir.(wikipedia.org)





A, Açık Anahtarlı Şifreleme



Biraz
önce bahsetmiş olduğum << SSL(Secure Socket Layer) >> bağlantı
türünü kullanmış olduğu şifreleme algoritması için “Açık Anahtarlı Şifreleme”ye örnek gösterebiliriz. Bu tür
algoritmalar “şifreleme” işlemi için farklı, “çözme” işlemi için ise farklı
anahtarlar kullanır.



Bu
iki anahtardan biri gizli anahtar
bir diğeri ise açık anahtar
diye tabir edilir. Gizli anahtara sadece bir taraf erişebilir ve bu gizli
anahtarı sadece veriyi “çözme” için kullanır, diğer açık anahtar ise bu veriyi
“şifreleme” işlemine yarar ve erişime açıktır. Durumu özetlemek gerekirse Kullanıcı A, Kullanıcı B, Kullanıcı C olarak 3 adet kullanıcımız
bulunmaktadır. Kullanıcı A Kaynak
olması durumunda her iki anahtarın sahibidir. (gizli ve açık anahtarların)



Kullanıcı B, Kullanıcı A için bir veri
göndermek istediğinde, öncelikle
Kullanıcı A ya
bağlantı kurup açık olan anahtarını alıyor ve göndereceği veriyi “şifreliyor” ve bu şifrelenmiş veriyi Kullanıcı A ya tekrar gönderiyor.



Kullanıcı C bu veriyi aktarım aşamasında
ele geçirse dahi, “çözmek” için kullanılacak olan anahtara erişim sağlayamayacağı
için ulaşmış olduğu “Bilgi/Veri” verinin
şifrelenmiş hali oluyor.





* SSL (Secure Socket Layer) internet uygulamalarında kullanılan güvenli
veri aktarımı sağlayan bir protokoldür.



B, Anahtarsız Şifreleme



Anahtarsız Şifreleme” şifrelenmiş “Bilgi/Veri”yi çözmek için anahtarı bulunmayan,
Oluşturulan şifreleme işlemini şifrelenecek veri için özel olarak üreten
algoritma türüne denir. Şifrelenecek “Bilgi/Veri
üzerinde 1Bit’lik bir değişim bile, şifreleme sonucu çıkacak olan şifreli
verinin farklı bir şifrelenmiş veri olmasına sebep olacaktır. Genellikle bu
tarz algoritmaların tabanı Kelebek Etkisi ile ilişkilendirilir. “Bilgi/Veri” içerisindeki 1 bit’lik bir
değişiklik, Şifrelenen verinin sonucunu neredeyse tamamen değiştirir. Bu yüzden
bu tür algoritmalarda “çözme” anahtarı da bulunmadığı için bu tür şifreli
verileri bilinen teknoloji ve imkânlar ile çözmek neredeyse imkânsız gibidir.



Örnek
vermem gerekirse en yaygın kullanılan “Anahtarsız
Şifreleme
” algoritmalarından biri olan MD5’i ele alalım. MD5 ile hemen
“ibrahim balic”’ hemde “ibrahim Balic”’i şifreleyeceğim. Sadece bir harfin
değişmesi sonucunda, şifrelenmiş verideki değişikliği kolayca
gözlemleyebilirsiniz.



MD5: 8f487fd313a9846d6f06419e034b392e – ibrahim balic

MD5: 9cc8ab5f5f38fdd322d0700503aa49b1 –
ibrahim Balic



Görmüş
olduğunuz gibi şifrelenmiş veri tamamen değişti. Bir harfin büyük olması dahi
sonucu tamamen değiştirebiliyor. Bu tür verileri çözmek için genel olarak “deneme yanılma” diye tabir edilen
bir yöntem kullanılmaktadır. Bu yöntem ile bilinen bir “Bilgi/Veri”nin şifrelenmiş halini karşılaştırma yaparak, sonuç eşleşmesi
doğru ise “çözme” girişiminde bulunulmaktadır.



MD5
hakkında örnek birkaç uygulamayı sizler için hazırladım. Buradan ilgili
algoritma yapısını ve “deneme yanılma
olarak bahsettiğim yöntemi inceleyebilirsiniz.





Bilgi Güvenliği



Bilgi Güvenliği





*MD5 anahtarsız olarak kategorize edilmiş bir tür tek taraflı şifreleme
algoritmasıdır.

**Bit , “Bilgi/Veri”nin en küçük
birimidir.



C, Simetrik Şifreleme



Şifrelenmiş
bir “Bilgi/Veri”yi çözmek için ve
şifrelemek için aynı anahtarı kullanan algoritma türüne “Simetrik Şifreleme” denir. Her iki tarafta elindeki algoritmada
şifrelemeyi ve çözmeyi başarabilmelidir. “Simetrik
Şifreleme”
taraflar arasındaki iletişimde çözüm anahtarını da ilettiğinden
dolayı daha riskli konumdadır. Bu sebepler “Simetrik Şifreleme”yi “Açık
Anahtarlı Şifreleme”
den ayırır. Kabul edilen en büyük özelliği budur. Bir
diğer özellik ise farklı bir yapıda şifreleme yapmasından dolayı “Açık Anahtarlı Şifreleme”lere göre
daha hızlı şifreleme ve çözümle gerçekleştirir. Buda ona bazı alanlarda avantaj
sağlar.



Steganografi



Steganografi için “Türk Dil Kurumu
da herhangi bir tanıma rastlayamadım. Bu sebepten ötürüdür ki gene tanımını
tekrarlayacağım. J



Steganografi, Bilgi/Veri’nin
gizlenmesiyle ilgilenen kriptoloji
dalıdır. “Veri/Bilgi” gizlemek kimi zaman şifrelemekten çok daha fazla
avantaj sağlayabilir. Şimdiye kadar vermiş olduğumuz örnekler ve görsellerden
anlaşılacağı üzere “Bilgi/Veri
şifrelenme aşamasında belli başlı işlemlerden geçerek belli bir düzende (kaotik
bir yapıda dahi olsalar) oluşturuldukları için, şifrelendikleri yapıyı veya bu
yapıdan yola çıkarak “Bilgi/Veri”nin
önemini anlayabilirler.







Steganografi bu konuda olayı biraz daha
farklı ele alır, yani veriyi şifrelemekten ziyada verinin tamamen farklı bir
şekle girmesine sebep olduğu için bu alanda biraz daha avantajlı gözükmekte.



Steganografi hakkında örnek bir
uygulamayı sizler için hazırladım.



Bilgi Güvenliği



Çıkış:





İşlemek
istediğim ve eklemek istediğim birçok uygulama bulunmasına rağmen, bir sonraki
kaynak için devam etme kararı aldım.



Herkese
iyi çalışmalar dilerim.



İbrahim BALİÇ

İbrahim[at]balicbilisim.com