Havuz

Ortak Anahtar Şifreleme

GELENEKSEL GİZLİ ANAHTAR ŞİFRELEMESİNİN SINIRLARI

Bilgisayar tabanlı sistemlerde görülen tanımlama, kimlik doğrulaması ve gizlilik sorunları şifreleme yöntemiyle çözülür. Ortamların fiziksel olmaması nedeniyle, medyayı (çeşitli iş amaçlı ve yasal amaçlı) bir mühürle veya imzayla fiziksel olarak işaretlemeye yönelik geleneksel yöntemler faydasızdır. Aksine, kaynağı tanımlamak, içeriklerin kimliğini doğrulamak ve izinsiz dinlemeye karşı gizlilik sağlamak için bazı işaretler bilginin kendi içine kodlanmalıdır.

DES (devlet destekli Veri Şifreleme Standardı) içindeki gibi simetrik bir algoritma kullanan gizlilik koruması, taraflar arasındaki gizli şifreleme anahtarlarının takas edilmesini gerektiren küçük ağlarda nispeten kolaydır. Bir ağ büyüdükçe, gizli anahtarların güvenli bir şekilde takas edilmesi gitgide daha masraflı hale gelecektir ve uygulaması zorlaşacaktır. Sonuç olarak, yalnızca bu çözüm ortalama düzeyde büyük ağlar için bile elverişsiz hale gelecektir.

DES'in bir dezavantajı daha vardır: Bir gizli anahtarın paylaşılmasını gerektirir. Herkes gizli anahtarı saklamak açısından paylaştığı kişiye güvenmelidir ve anahtarı kimseye ifşa etmemelidir. Kullanıcıların iletişim kurdukları kişilerin her biri için farklı bir anahtara sahip olması gerektiği için, gizli anahtarlarından biriyle herkese güvenmelidirler. Bu, pratik uygulamalarda yalnızca önceden kişisel veya profesyonel ilişki içinde olunan kişiler arasında güvenli iletişimin gerçekleşebileceği anlamına gelir.

Kimlik doğrulaması ve inkar edilemezlik, DES'in değinmediği temel konulardır. Ortak gizli anahtarlar, taraflardan birini diğer tarafın ne yaptığını kanıtlamaktan alıkoyar. Taraflardan herhangi biri verileri gizlice değiştirebilir ve bir üçüncü tarafın suçluyu tanımlayamayacağından emin olur. Gizlice iletişim kurmayı mümkün kılan aynı anahtar, diğer kullanıcının adıyla sahtecilik yapmak için kullanılabilir.

Sayfanın başına dön

DAHA İYİ BİR ÇÖZÜM: ORTAK ANAHTAR ŞİFRELEME

Kimlik doğrulamasına ve büyük ağ gizlilik korumasına dair sorunlar, 1976 yılında, Whitfield Diffie ve Martin Hellman tarafından gizli anahtarları takas etmeksizin gizli mesajları takas etmekle ilgili bir yönteme ilişkin düşüncelerini yayınladıklarında teorik olarak ortaya atılmıştır. Fikir 1977 yılında RSA Ortak Anahtarlı Kriptosistem'in bulunmasıyla birlikte, daha sonra Massachusetts Teknoloji Enstitüsü'nde profesör olacak olan Ronald Rivest, Adi Shamir ve Len Adleman tarafından gerçekleştirilmiştir.

RSA sistemi, veriyi şifrelemek ve şifresini çözmek için aynı anahtarı kullanmaktansa, eşleşen bir çift şifreleme ve şifre çözme anahtarı kullanır. Her bir anahtar, veri üzerinde tek yönlü bir dönüştürme uygular. Her bir anahtar, diğerinin ters fonksiyonudur; birinin yaptığını yalnızca diğeri iptal edebilir.

RSA ortak anahtarı, sahibi tarafından herkes tarafından kullanılabilir hale getirilir, RSA özel anahtarı ise gizli tutulur. Mesajı gönderen kişi, özel bir mesaj yollamak istiyorsa alıcının ortak anahtarıyla mesajı karışık şifreler. Bu şekilde şifrelendiğinde mesajın şifresi yalnızca alıcının özel anahtarıyla çözülebilir.

Aksi halde, kullanıcı kendi özel anahtarını kullanarak da veriye karışık şifreleme yapabilir, yani RSA anahtarları aksi yönde de işler. Bu, "dijital imza" için temel oluşturur, çünkü kullanıcı birinin ortak anahtarıyla bir mesajın karışık şifresini çözebilirse, diğer kullanıcı karışık şifreleme uygulamak için öncelikle kendi özel anahtarını kullanmış olmalıdır. Yalnızca anahtar sahibi kendi özel anahtarını kullanabildiğinden, karışık şifrelenmiş mesaj bir tür elektronik imza haline gelir ve başka hiç kimsenin oluşturamayacağı bir belgedir.

Sayfanın başına dön

KİMLİK DOĞRULAMASI VE İNKAR EDİLEMEZLİK VERISIGN DİJİTAL SERTİFİKA

Bir dijital imza, bir mesajı güvenli karma algoritması ile çalıştırarak oluşturulur. Bu, bir mesaj özeti verir. Mesaj özeti daha sonra mesajı gönderen kişinin özel anahtarı kullanılarak şifrelenir ve anahtarı kişinin dijital imzası haline getirir. Dijital imzanın şifresi yalnızca aynı kişinin ortak anahtarıyla çözülebilir. Alıcı, dijital imzanın şifresini çözer ve daha sonra mesaj özetini yeniden hesaplar. Yeni hesaplanan bu mesaj özetinin değeri, imzadan bulunan mesaj özetinin değeriyle karşılaştırılır. İkisi eşleşiyorsa mesajla oynanmamış demektir. Göndericinin ortak anahtarı imzayı onaylamak için kullanıldığından, metnin yalnızca gönderici tarafından bilinen özel anahtarla imzalanmış olması gerekir. Tüm bu kimlik doğrulama işlemi, güvenliğe duyarlı herhangi bir uygulamayla birlikte çalışır.

Sayfanın başına dön

DİJİTAL SERTİFİKA NEDİR?

RSA teknolojisinin kullanıcıları genellikle benzersiz ortak anahtarlarını giden bir belgeye ekler. Bböylelikle alıcının bir ortak anahtar havuzundan bu ortak anahtarı aramasına gerek kalmaz. Ancak alıcı bu ortak anahtarın ve hatta ortak dizindeki herhangi bir anahtarın gerçekten gösterilen kişiye ait olduğundan nasıl emin olabilir? Bilgisayar ağına katılan davetsiz bir misafir yasal bir kullanıcı kılığına girerek arkasına yaslanır ve diğerlerinin farkında olmadan davetsiz misafir tarafından oluşturulan sahte bir hesaba hassas ve gizli belgeler göndermelerini izleyemez mi?

Çözüm bir tür "pasaport" veya "kimlik kartı" olan dijital sertifikadır. Dijital sertifika, kullanıcının bir ağ güvenliği direktörü, MIS danışma masası veya Verisign, Inc. gibi imzasına güvenilen biri tarafından kendisi "dijital olarak imzalanmış" ortak anahtarıdır. Aşağıdaki şekil, dijital bir sertifikanın resimli açıklamasını sunmaktadır.

Kişinin gönderdiği tüm mesajlara dijital sertifikaları eklenir. Mesajın alıcısı ilk olarak yazarın ortak anahtarının gerçek olduğunu doğrulamak üzere dijital sertifikayı, daha sonra ise mesajın kendisini doğrulamak için bu ortak anahtarı kullanır. Bu şekilde, onaylayan merciye ait yalnızca bir ortak anahtar merkezi olarak depolanır veya geniş ölçüde ilan edilir. Bunun ardından diğer herkes kendi ortak anahtarını ve geçerli dijital sertifikasını mesajlarıyla birlikte iletebilir.

Dijital sertifikaları kullanılarak bir örgütsel hiyerarşiye karşılık gelen bir kimlik doğrulaması zinciri oluşturulabilir, dağıtılmış bir ortamda uygun ortak anahtar kaydına ve sertifikalandırmasına izin verilir.

Sayfanın başına dön

SERTİFİKALANDIRMA HİYERARŞİLERİ

Kullanıcılar bir dijital sertifika edindiklerinde bununla ne yaparlar? Dijital sertifikaların, ofisler arası elektronik postadan dünya çapında yapılan elektronik para aktarımlarına (EFT) kadar uzanan çok çeşitli kullanım alanları vardır. Dijital sertifikaları kullanmak için, kullanıcıya veya dijital sertifikayla bağlantılı kuruma bir dijital sertifika atanırken yüksek düzeyde güven duyulması gerekir. Bu güven, dijital sertifika hiyerarşisi kurularak oluşturulur, bu hiyerarşinin tüm üyeleri aynı politikalar kümesine bağlıdır. Dijital sertifikalar, yalnızca bir hiyerarşinin potansiyel üyeleri olarak kişilere veya kurumlara, kimlik kanıtı oluşturulduğunda verilir. Kimliğin nasıl oluşturulduğuyla ve dijital sertifikaların nasıl verildiğiyle ilişkili olarak farklı hiyerarşilerin farklı politikaları olabilir.

Verisign, birçok dijital sertifika hiyerarşisini çalıştırır. Ticari CA, son kullanıcının dijital sertifikası ile gerçek son kullanıcı arasındaki bağlantıya ilişkin yüksek düzeyde bir güvenceye sahiptir. RSA'nın Ticari CA'sının üyeleri, politikalara bağlı kalmak suretiyle iletişim kurdukları kişilere ilişkin olarak yüksek düzeyde bir güvenceye sahip olacaktır. Düşük güvenceli hiyerarşilerin üyeleri olan iki son kullanıcı dijital sertifikalarla iletişim kurduklarında durum genellikle bu değildir. Doğru yönetilen bir dijital sertifika hiyerarşisiyle gelen güvence olmadan, dijital sertifikaların kullanımı sınırlı bir değere sahiptir.

Sayfanın başına dön