Bilgi Güvenliği ve Kriptografi

tarihinde yayınlandıSEO Paylaşımları içinde yayınlandı

Bilgi Güvenliği ve Kriptografi

Bilgi güvenliği bilgiye izinsiz olarak ve yetkisiz şekilde erişim, kullanım, değiştirme, ifşa etme ve hasar verme durumlarını önleme olarak tanımlanmaktadır. Bu kapsamda güvenlik konusunu risk yönetimi gibi düşünebilirsiniz. Bu günümüzde aynı zamanda bilişim ve haberleşmenin temel sorunu haline gelmiştir. Biliyorsunuz ki internet sayesinde her bilgiye ulaşmak oldukça kolay. Teknolojinin daha da gelişmesiyle varolan ve artacak bilgi yoğunluğunu düşününce bilgi için erişim, paylaşma ve koruma konularının öneminin ne kadar vahim olduğunu anlayacaksınız. Bu nedenle güvenli platformlar ortaya çıkmış ve belli önlemler üretmek için birçok sertifika sağlayıcı alanında güçlü çalışmalar başlatmış ve devam ettirmektedir. Günümüz internet ve teknoloji çağı. Neredeyse tüm ihtiyaçlarımızı online şekilde giderme eğilimi mevcut. Online bankacılık, e-ticaret siteleri, sanal marketler, sanal mağazalar gibi bir çok kullanımla kredi kartı numaramız ya da kimlik bilgilerimiz risk altında. Teknolojik gelişmeler arttıkça bu anlamda bilgiyi korumakta önemli bir iş haline geliyor. Parolalı girişlerin ve şifrelemenin önem kazanmasıyla birlikte birçok platformda da, bilgiyi bu yolla korumaya gidilmiştir.

Gizlilik, bütünlük ve erişilebilirlik bilgi güvenliğinin temel unsurları olarak geçer. Bunlardan birinin zarar görmesi güvenlik zaafiyeti anlamı taşır. Bilgi güvenliği konusu 7 kategoriye ayrılabilir. Bunları sıralayacak olursak; ağ güvenliği, kullanıcı güvenliği, veri güvenliği, uygulama güvenliği, kimlik ve erişim yönetimi, güvenlik yönetimi, sanallaştırma.

  1. Gizlilik: Bilgiyi yetki çerçevesinde açmak.
  2. Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmesini önlemek.
  3. Erişilebilirlik: İhtiyaç doğrultusunda kurumsal bilgilere sürekli erişim.

Bu kapsamda, internet üzerinden bilgi gizliliği sağlamanın başlıca yolları kriptografi ve stenografiden geçmektedir.

Kriptografi: Bilginin şifrelenerek gönderilmesi ve alıcının aynı program üzerinden şifreyi çözmesi işlemiyle bilgiye ulaşılır.

Stenografi: Bilginin ses, görüntü kaydı gibi bir kayıt içine şifreli olarak yerleştirilmesi olup alıcı tarafından şifrenin çözülmesi sayesinde bilgiye ulaşılır.

Bununla ilgili elbette başka yöntemler de var ancak biz bu yazımızda kriptografi üzerinde duracağız. Bilgi güvenliğinin sağlanmasının yollarından biri olan kripto, tek başına yeterli bir yöntem değildir. Özellikle finans ve bankacılık gibi alanlarda çalışan personellerin ciddi bir zaman ayrılarak bilgi güvenliği konusunda bilinçlendirilmesi gerekir. Çünkü böyle alanlarda girilen çok küçük bir riskin maliyeti sonunuz olabilir. İşte tam olarak bu sebeple, işin teknik tarafındaki kişilere bazı talimatlar vererek kurum içinde bazı önlemler almanız işin küçük kısmı. Büyük resimde tüm personeli bilinçlendirmek ve bu konuda aydınlatmak olmalı. Örneğin, her türlü önlemi aldınız ve kriptolu bir e-posta iletmeniz gerekiyor. İleteceğiniz mesajın sonuna “… arz ederim” gibi klasik bir ibare koyduğunuz anda tüm güvenliği bir anda sıfırladığınızı biliyor muydunuz?

Kripto Nedir?

Kripto yani kriptografi, okunabilir durumda olan bilgiyi istenmeyen ya da yetkisiz kişilerce okunamayacak hale getirmektir. Bu sayede bilginin hem göndericisini hem alıcıyı koruma hedefi güdülür. Başka bir anlatımla bunun bir şifre çözme işlemi olduğunu söylemek mümkün.

Kriptografinin ele aldığı genel konular:

  • Gizlilik: İstenmeyen kişiler tarafından iletilecek bilgi anlaşılmamalı.
  • Bütünlük: Bilgi iletim sırasında değişikliğe uğramamalı.
  • Reddedilemezlik: Bilginin göndericisi sonrasında bu bilgiyi gönderdiğini asla inkar edememeli.
  • Kimlik Belirleme: Gönderen ve alıcı birbirlerinin kimliklerini doğrulayabilmeli; başka bir kimse gönderen veya alıcı kimliğine bürünememeli.

Şifreleme (Encryption) Algoritmaları

Encryption bir iletinin okunamayacak hale getirilmesi; decryption okunamayacak haldeki iletinin düz metne yani okunabilir hale çevrilmesidir.

  1. Gizli-Anahtar (Simetrik) Şifreleme: Şifreleme olayında da şifre çözme olayında da kullanılan anahtar aynıdır. En yaygın kullanılan gizli anahtarlı şifreleme sistemi Data Encryption Standard (DES) ’dır.
  2. Açık-Anahtar (Asimetrik) Şifreleme: Bu yöntemde her kullanıcı şifreleme ve şifre çözme için bir açık bir gizli anahtara sahiptir. Yani her kullanıcının 2 anahtarı vardır. Açık anahtarı isteyen herkes elde eder ancak gizli anahtar saklıdır. En yaygın kullanılan açık anahtarlı şifreleme sistemi Rivest, Shamir ve Adleman (RVS)’dir. Digital Signature Algorithm (DSA) diye yaygın kullanılan bir yöntem daha vardır ancak bu yöntem şifrelemede değil; imzalamada kullanılmaktadır.

Şimdi bu iki şifreleme yöntemini başka bir şekilde daha detaylı açıklayalım. Kullanıcı bir mesajı göndermeden önce k1 isimli bir anahtarı olsun ve bununla şifreleme yapsın. Bu şifreli mesaj herkese açık olarak internetten gönderilsin. Mesajı okumak için alıcı k2 anahtarını kullansın ve şifreyi çözmüş, mesajı almış olsun. Eğer k1 ve k2 eşitse bu, sistem simetriktir anlamı taşır. Aksi takdirde, sistem asimetriktir.

Güvenliği garanti etmek isteniyorsa, alıcının anahtarı yani k2 her zaman gizli olmalı ve yalnızca k1’i kullanarak k2 elde edilemiyorsa k1 açık olmalı. Böyle durumlarda sistem açık anahtarlıdır. Yani, public key system’dir. Buna bir örnek vermek gerekirse, bir online alışveriş sitesine açık k1 anahtarıyla bir kredi kartı numarası göndermeniz mümkün. Diğer yani k2 anahtarı yalnızca alışveriş edilen yer tarafından bilindiği için bu numarayı yalnızca onlar öğrenir. Bu sistem simetrik şekilde çalışıyor olsaydı, sanalda alışveriş edilen yer her müşterisine ayrı ayrı ve gizli anahtarlar belirlemek durumunda kalırdı. Simetrik sistemler genelde tek kullanımlık yapıda olurlar. Açık anahtarlı sistemler ise, matematiksel bir yapıya dayandığından simetrik sistemlere göre daha yavaş çalışırlar  ve boyutları simetrik sistemlere kıyasla daha büyüktür. Gördüğünüz üzere aslında tüm yapı anahtara dayalı.

  1. Anahtarsız Şifreleme: Anahtar kullanmadan kriptografi yapan algoritmalardır. Diğer adıyla, veri bütünlüğü ve özet fonksiyonları olarak geçer. Adından da anlaşılacağı üzere bu yöntem veri bütünlüğünü garanti eder. Bu algoritma veriyi tek yönlü işer ve özelliğe göre bir özet elde eder. Bu özet anlamlı bir çıktı değil; anlamsız sayılar şeklindedir. Her işlemde aynı sonuç gelir. Bilgide en ufak bir değişiklik gerçekleştiğinde özet çıktı değişir. Böylece veri bütünlüğünde bir değişiklik olup olmadığı gözlenir.

SLL (Secure Socket Layer) Nedir?

SSL, ağ üzerindeki bilgi aktarımında güvenlik ve gizliliğin sağlanması amacıyla geliştirilmiş olan güvenlik protolüdür. Bu protokolün oluşturulma kriterlerinde gizlilik, güvenilirlik, doğruluk ve kabul edilebilirlik mevcut. SSL, gönderilen iletinin doğru adreste çözülmesini sağlar. Gönderilmeden önce ileti şifrelenir ve doğru alıcıya ulaştığında şifre çözülür. Böylece iki yönlü doğrulama yapılmış olur ve bilginin gizzliliği ve bütünlüğü korunur. Veri akışında şifreleme gücü anahtar uzunluğuyla ilişkilidir. Örneğin, 128 bit şifrelemede çözme işlemi çok büyük maliyet ve zaman gerektirir. 2 değişik anahtar vardır ve çözmesi oldukça zordur. Ayrıca, SSL veri sıkıştırmayı dahili şekilde destekler. Sıkıştırma veri akışında yaygın kalıbı bulur ve fazlalıkları atar. Bir ileti kriptolandığı zaman sıkıştırılamaz çünkü tüm kalıpları çıkarır. Bu nedenle SSL’in veri sıkıştırmayı desteklemesi önemli bir özellik sayılabilir. SSL genelde e-ticaret sitelerinde kullanıcıların verilerini korumak amacıyla kullanılır. Biliyorsunuz ki e-ticaret sitelerinde bir müşterinizin bilgi gizliliği ya da güvenliği konusunda yaşadığı bir sorun doğrudan size de yansır. Bu nedenle bu sertifikanın önemi büyük.

Bir SSL bağlantısı kurulduğu zaman tarayıcıdan sunucuya ve tam tersi şekilde tüm haberleşme kriptolanmış olurç Ayrıca aşağıdakilerde bu kriptolamaya dahil olur:

  • İstenen döküman URL’si
  • İstenen döküman içeriği
  • Doldurulan form içerikleri
  • Tarayıcıdan sunucuya cookieler
  • Sunucudan browsere cookieler
  • HTTP başlık içeriği

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir