Özet
Bu makalede güvenli
ve şifreli mail gönderim mekanizması olan PGP (Pretty Good Privacy), bu sistemi
oluşturan kriptolojik yapıtaşlarıyla birlikte analiz edilmiştir. Makalede, büyük
resimden detaya doğru bakmak amaçlandığı için, ilk önce bilgi güvenliği en
temel seviyede ele alınmıştır. Sonrasında e-posta kullanım oranları ve e-posta güvenliğinin
kurumlar için önemi anlatılmıştır. Kurumlar için kritik uygulamaların güvenliğini
sağlamak için kullanılan kriptolojik mekanizmalar ve e-posta güvenliğinin sağlanmasında
yaygın olarak kullanılan PGP ve onun kriptolojik yapıtaşları teknik olarak anlatılmıştır.
Karma bir sistem olarak PGP şifreleme ile, bu mekanizmayı oluşturan simetrik ve
asimetrik şifreleme yöntemleri ve dijital imzalama için kullanılan özet değeri
çıkarma algoritması teknik detaylarıyla anlatılmış, son olarak kişisel
bilgisayarımızda PGP ile e-posta alışverişi yapabileceğimiz örnek bir uygulama yapılmıştır.
1. Giriş
Günümüzdeki rekabet
ortamında, hız ve esneklik olarak kurumlara büyük avantajlar sağladığı için
bilgi teknolojileri çok aktif bir şekilde kullanılıyor. Kurumlar çok kritik
bilgiler içerse bile verilerini dijital ortamlarda saklamak ve bu verilere her
an kesintisiz bir şekilde ulaşabilmek zorundalar. Kritik verilerini internet
ortamında transfer etmek, iletişimlerini çoğu zaman e-posta ile yapmak, verimlilik
açısından sağladığı avantaj dolayısıyla tercih edilmeye devam edilecektir.
Güvenlik ve
verimlilik çoğu zaman birbirlerine ters orantılıdır, güvenliği arttırmak için
çoğu zaman performans ve kullanım kolaylığından ödün vermek gerekir. Ayrıca
güvenliği sağlamak için katlanmak gereken bir maliyet vardır. Bilgi
Teknolojilerinde güvenlik kavramını araç içinde emniyet kemeri takmak ile karşılaştırabilir,
emniyet kemerine kaza olmadığı sürece gerek duyulmaz, ancak hiç beklenmeyen bir
zamanda kaza meydana geldiğinde emniyet kemeri takılıysa çok büyük kayıpları
önleyecektir. Bu yüzden tıpkı emniyet kemerleri için sürücülerin
bilinçlendirildiği ve yaptırım uygulandığı gibi, bilgi güvenliği kavramının da
kurumlara iyi anlatılması ve yaptırımlarının olması gerekmektedir. Belirli
ölçekteki kurumlar için yaptırım gereklidir çünkü kurumun uğradığı siber
saldırı sadece o kurumu değil, birçok kurumu ve insanı etkileyebilecek ölçüde
olabilmektedir. Bu konuda oldukça fazla örnek vermek mümkündür, örneğin bir
bankanın uğrayacağı siber saldırı bankayı kullanan müşterilerin kritik
bilgilerinin çalınmasına sebep olabilir. Bir online alışveriş sitesine yapılan
saldırı sonucu veri tabanlarında kayıtlı kredi kartı bilgileri ele geçirilip
müşterilerini mağdur edebilecek ölçüde olabilir.
1.1. Bilgi güvenliğinin tanımı:
Bilgi güvenliği, bilgilerin izinsiz kullanımı, ifşa edilmesi,
yok edilmesi, değiştirilmesi, bilgilere hasar verilmesi gibi
durumlardan koruma, veya bilgilere yapılacak olan izinsiz erişimleri
engelleme işlemidir. Bilgi güvenliği, bilgisayar güvenliği ve bilgi sigortası terimleri,
sık olarak birbirinin yerine kullanılmaktadır. Bu alanlar birbirleriyle
alakalıdırlar ve mahremiyetin, bütünlüğün ve bilginin ulaşılabilirliğinin
korunması hususunda ortak hedefleri paylaşırlar
1.2. Bilgi güvenliğinin 3 temel unsuru:
Bilgi güvenliği 3 temel unsura göre ele
alınmıştır. Bu 3 temel unsura kısaca değinmek büyük resme bakmak için faydalı
olacaktır. Bu unsurlar; güvenlik servisleri, güvenlik saldırıları ve güvenlik
mekanizmaları olarak tanımlanmıştır. Örnek vermek gerekirse; Gizlilik bir güvenlik
servisidir, PGP ise şifreleme algoritması olarak bir güvenlik mekanizmasıdır.
1.2.1.
Güvenlik Servisleri: İhtiyaca göre elde etmek istenen güvenlik hizmetleridir. CIA
(Confidentiality, Integrity, Availability) üçlüsü olarak tanımlanır.
-
Gizlilik (Confidentiality): Bilginin
yetkisiz kişilerin eline geçmemesi gerekir.
-
Bütünlük (Integrity): Bilginin
yetkisiz kişiler tarafından değişikliğe uğramaması gerekir.
-
Erişilebilirleik (Availability): Bilginin
yetkili kişilerce kesintisiz olarak erişilebilir durumda olması gerekir.
1.2.2.
Güvenlik saldırıları: Sardırganların
güvenlik servislerini manipüle edebilme durumudur. Güvenlik saldırıları, “İçerden”
ve “Dışardan” olarak ikiye ayrılır. İçerden olan saldırılar; “Dürüst fakat meraklı”,
“Örtülü” ve “Kötücül” olarak üç çeşittir. Dışardan gelen saldırılar ise “Aktif”
ve “Pasif” ataklar olarak iki çeşittir. [3]
1.2.3.
Güvenlik mekanizmaları: Servisleri sağlamak ve saldırılara karşı dayanıklı olmak için
kullanılan yöntemlerdir.
1.3. E-posta kullanım istatistikleri:
Aşağıdaki tabloda günlük e-posta gönderim
oranları ve gelecekte nasıl olacağına dair tahminlere yer verilmiştir. Bu
tablodan anlaşılacağı gibi e-posta kullanımı ile haberleşme günümüzde olduğu
gibi gelecekte de önemini koruyacaktır.
Tablo-1: Dünya genelinde günlük e-posta
trafiği, 2015-2019 [4]
1.4.
E-posta
ile yapılan ataklar:
Dünya genelindeki
hacker saldırıları istatistiksel olarak incelendiğinde e-posta güvenliğinin
kurumlar için çok önemli olduğu görülebilir. E-postalar, çoğu zaman oltacılık
yöntemiyle en güçlü savunma sistemine sahip kurumları bile zafiyete
uğratabilir, çünkü kurumların bilgi güvenliğindeki en zayıf halkası olarak kullanıcılar
hedeflenir. Tablo-2 de zararlı yazılımların bulaşma oranları kontrol
edildiğinde, e-postaların şaşırtıcı derecede yüksek orana sahip olduğu
görülüyor. Kuruma gönderilen maillerle kurum içine bir malware yardımı ile
sızmak hedeflenmektedir. Sonrasında kurum içinde bir bilgisayarı ele geçirip o
kurumda bir çalışan gibi zarar vermek mümkün olmaktadır. Bazı durumlarda yetkili
bir kişi adına sahte e-posta gönderilmiş olabilir, bu durum e-postayı güvenilir
göstereceği için çok daha tehlikeli olabilir. Bu problemin yaşanmaması için
e-posta filtreleme (anti-spam) programlarının iyi yapılandırılmış olması çok
önemlidir.
Tablo-2: 2015 yılına ait sistemlere malware
bulaşma oranları [5]
1.5. E-posta ile yapılan kritik işlemler:
Bazı durumlarda
e-postalar kurum için gizliliği çok kritik olan bilgiler içeriyor olabilirler.
Örneğin, bazı kurumlar e-postalarla bankalara talimat verir, çalışanlara
ödenecek maaş listesini aylık olarak bankaya e-posta ile gönderilir, bankalar
bu listeye göre ödemeleri yapar. Bu örnekte e-postayla iletişim ağlarında
herkese açık bir kanalda çok kritik olan bu veri şifresiz olarak taşınırsa,
saldırgan kolayca veriyi manipüle edebilir, ele geçirebilir veya
engelleyebilir. Bilgi güvenliğinin 3 temel servisi olan gizlilik, bütünlük ve
erişilebilirlik servislerinde probleme neden olabilir. Bu durum kurum açısından
çok hayati değerde kayıplara neden olabilir. Kurum mutlaka bu türden kritik
bilgiler içeren e-postaları şifreli ve imzalı olarak gönderip almalıdır.
E-postanın içeriğini şifrelemek gizlilik sağlayacaktır ancak ortadaki adam
(MİTM) ataklarına karşı göndericinin ve alıcının doğrulandığı sistemler
kullanmak gerekmektedir. Aksi taktirde saldırgan kendisini maili göndereceğimiz
kişi olarak gösterebilir veya iki haberleşme arasındaki trafiği aktif bir
atakla kesip, tekrar oynatma atağıyla gizli bilgilere ulaşabilir. Bu konuda
yapılan ataklar, kriptolojik protokolleri tanıdıktan sonra anlatılacaktır.
2. Kriptolojik
protokoller ve çözümler
Yazının bu kısma kadar olan bölümünde bilgi güvenliğinin temellerinden, kurumların iletişim için yoğun bir şekilde e-posta
kullandığından ve bunun içerdiği risklerden bahsettik.
Riskler var diye hayatı kolaylaştıran uygulamaları kullanmaktan vazgeçmek yerine,
verimliliği düşürmeden güvenliği arttıracak çözümler bulmak
zorundayız. Bunun için kriptolojik çözümler geliştirilmiş, bu kriptolojik çözümlerden bazıları standartlaştırılarak protokol
haline getirilmişlerdir. SSL, TLS,
PGP gibi protokoller bunlara örnek olarak
verilebilir. Kriptoloji, bilginin gizli bir şekilde iletilmesi ihtiyacından dolayı çok eski tarihlere
dayanmaktadır. Kriptolojide
genel mantık şifrelemenin kolay, şifreyi çözmenin belirli bir bilgi olmadan çok zor olmasıdır. Eski tarihlerde çok basit simetrik
şifreleme teknikleri kullanılmıştır ancak günümüzde oldukça karmaşık asimetrik ve
simetrik çözümler vardır. Simetrik yapılarda iletişim kuracak iki
noktanın o iletişime özel bir anahtarı bulunur ve veriler bu anahtarla şifrelenir, iletişim kurulacak her
nokta için farklı bir anahtar olması zorunluluğu vardır. Bu durum simetrik
şifrelemede anahtar dağıtım problemini
ortaya çıkarır. Asimetrik şifrelemede ise
her noktanın kendine ait açık (public) ve özel (privite)
anahtarı vardır. Açık anahtar herkese
açık, özel anahtar ise
gizli olmalıdır. Ancak burada da açık anahtarın sahibinin doğrulanması problemi vardır, bunun için dijital noterlik kavramı geliştirilmiştir. Bu amaçla sertifika otoriteleri (certificate authority) kurulmuştur. Bu otoriteler açık anahtarları kendi gizli anahtarlarıyla imzalayarak
3. taraflara sunmaktadır [6]. Bu şekilde ortadaki adam ataklarına karşı gizli haberleşme yapacağımız noktayı doğrulamış olur. Asimetrik şifrelemede
anahtar yönetimi büyük avantaj sağlar ancak simetrik şifrelemeye göre çok daha yavaş çalışır, bu yüzden asimetrik ve
simetrik sistemlerin bir arada kullanıldığı karma sistemler geliştirilmiştir. PGP bu karma sistemlerden birisidir.
Kriptoloji oldukça geniş kapsamlı ve teknik detaylara
sahip bir konu olduğundan fazla detaya
girmeden, PGP şifreleme algoritmasını genel olarak
kavrayacağız. Bunun için öncelikle bu yapıyı oluşturan asimetrik ve simetrik yöntemler olan RSA
ve IDEA şifreleme
algoritmalarını ve özet alma mekanizması olarak MD5 algoritmasını tanıyacağız.
2.1.
RSA şifreleme algoritması:
1977 yılında Ron Rivest, Adi Shamir ve
Len Adlemen tarafından yayınlanan “New Directions in Cryptoraphy” isimli
makaleyle ilk kez tüm dünyaya tanıtılmış olan bu algoritma, ismini bu üç
kişinin baş harflerinden alır. Bu yöntem günümüzde asimetrik şifreleme yöntemi
olarak kullanır ve büyük boyutlu asal sayıların çarpanlara ayrılmasının
zorluğuna dayanır. Öyle ki, iki büyük asal sayıyı çarpmak kolaydır, ancak çarpanlara
ayırmak yani çarptıktan sonra bu sayıyı oluşturan iki asal sayıyı bulmak
oldukça zordur. Her şey bu problemi çözmenin zor olması üzerine kurulmuştur. Bu
yöntem o kadar yaygın olarak kullanılır ki, eğer bir gün çarpanlara ayırma
konusunda çok güçlü bir yöntem gelişirse, RSA üzerine kurulmuş tüm güvenlik
aşılmış ve her şey güvensiz hale gelmiş olacaktır. Günümüzdeki bilgisayar
sistemleri çok büyük iki asal sayıdan oluşan bir sayıyı çarpanlara ayırmak
konusunda yetersiz kalır ancak geliştirilme aşamasında olan quantum
bilgisayarların bu konuda çok daha güçlü olacağı belirtilmektedir. Bu kadar yaygın olarak kullanılan bu yönteme biraz daha yakından bakmak için küçük sayılarla bir örnek yapalım [7] , sonrasında sayıların 128 bitlik olarak seçildiğinde güvenliğin ne derece güçlü olacağına birlikte karar verelim.
p ve q gibi iki asal sayı seçelim:
p=257, q=337
N sayısını hesaplayalım:
N=p.q è257.337=86609
Totient fonksiyonu hesaplanır: (örnekte bu değeri Pn olarak gösterelim)
Pn = (p-1)(q-1) è 256.336=86016
“e” Açık anahtar olarak
kullanılacak sayı seçilir. Bu sayı 1 ile Pn değeri arasında ve Pn ile aralarında asal olmalıdır.
e=17 olarak seçelim
“d” gizli anahtarını hesaplayalım: Gizli anahtar
Modulo Pn tabanında e sayısının tersidir, bu sayıyı hesaplamak için;
d.e = 1 (mod Pn) è d= e^-1 mod 86016 è “Genişletilmiş Oklid Algoritması” ile hesapladığımızda “d” değeri yani “e=17” sayısının mod 86016 tabanındaki tersi d= 65777 çıkıyor.
Bu durumda açık anahtarımız (e,N) =
(17,86609), gizli anahtarımız (d,N) = (65777,86609) oluyor.
Örnek olarak 18537
mesajını açık anahtar ile şifrelemek için;
c= m^-1(mod N) è c= m^-1(mod 86609) è c= 12448
Şifrelediğimiz mesajı gizli anahtarla
açmak için;
m= d^-1(mod N) è m= d^-1(mod 86609) è m= 18537
Görüldüğü gibi sadece 2
basamaklı asal iki sayılar ile bulduğumuz N sayısını oluşturan p ve q sayısını ve bunları kullanarak d
gizli anahtarını bulmak zorlu bir işlemdir, bu p ve q
sayılarının 128 bitlik iki sayı olduğunu düşünürsek N sayısını çarpanlara ayırma işlemi için “imkansız derecede zor” demek yanlış olmaz. İşte bankacılık işlemleri,
e-ticaret vs. gibi uygulamalarda gizli anahtarımızı saklı tutarak bize güvenlik sağlayan protokol, çok büyük iki asal sayıyı çarpanlara ayırarak p ve q sayılarının hesaplanamıyor olmasından başka bir şey değildir.
2.2.
IDEA şifreleme algoritması:
İnternationel Data
Encryption Algorithm (IDEA) 1991 yılında Xuejia Lai ve James Massey tarafından İsviçrenin Zürih şehrinde tasarlanmış bir blok şifreleme algoritmasıdır. Bu algoritma DES yerine üretilen PES
(Proposed Encrypted Standart) algoritmasının geliştirilmiş versiyonudur. DES algoritmasına göre yaklaşık 2 kat daha hızlıdır ve bilinen en güçlü şifreleme
algoritmalarından biridir. Ascom
Tech firmasının tescilli ürünüdür ve ticari kullanımlar için bu firmaya ücret ödemek gerekmektedir. 128 bitlik ana anahtar kullanılır. Şifrelenecek olan metin 64 bitlik bloklara bölünür, daha sonra 16 bitlik 4 eş parçaya bölünür. Her parça için şekil 2 deki gibi matematiksel işlemler yapılarak şifrelenir. İşlemler mod
(mod 65536) da yapılır.
Şekil-2: IDEA algoritmasında blokların şifrelenmesi [8]
16 bitlik 4 eş parçaya bölünmüş olan blokları şifrelemek için 128 bitlik anahtar 16 bitlik 8 parçaya bölünür, daha sonra 128
bitlik anahtar bu şekilde 16 bitlik
52 anahtar oluşana kadar kaydırılır. Bu oluşan 16 bitlik
anahtarlar, daha önce bölünmüş 16 bitlik metin ile 8 tur boyunca şekildeki gibi çarpma, toplama ve
XOR (2 tabanda toplama) işlemlerinden geçirilir ve 8. Tur sonunda şifrelenmiş metin olarak çıkar. Şifre çözme işleminde bu kez işlemlerin tersi
yapılır.
2.3.
MD5
Hash alma algoritması:
MD5 (Message Digest 5), Ron Rivest tarafından 1991 yılında geliştirilmiş bir özetleme
algoritmasıdır. Girdi boyutu ne kadar olursa olsun 128 bitlik sabit bir çıktı verir. Bu 128
bitlik çıktı küçük olduğundan çakışma olma (aynı özeti veren başka mesajlar)
riski oldukça yüksektir. Ancak kırılabilir olduğu matematiksel
olarak ispat edilmediğinden günümüzde veri güvenliğinin kontrolü için kullanılmaya devam
etmektedir. MD5 algoritmasında şekil 3 teki gibi matematiksel işlemler yapılır, burada yapılan işlemleri kısaca anlatmak
gerekirse;
Şekil-3: MD-5 Hash algoritmasının çalışması [9]
-
Mesaj
128 bitlik bloklara ayrılır, daha sonra 128 bitlik blok 32 bitlik 4 eşit
parçaya bölünür.
-
İlk
32 bit ile diğer 3 bitin F fonksiyonunda geçirilmiş hali XOR edilir.
-
F
fonksiyonundan geçmiş değerle XOR edilmiş blok daha sonra Mi sabit değeriyle
XOR edilir.
-
Mi
değeriyle XOR edilmiş blok daha sonra Ki sabit değeriyle XOR edilir.
-
Ki
sabit değeriyle XOR edilmiş 32 bitlik değişkenlerin s bitleri sola dairesel
olarak kaydırılır.
-
S
bitleri sola kaydırılmış 32 bit ikinci 32 bitle XOR edilir.
-
Tüm
bu işlemlerin yapıldığı ilk 32 bit ikinci 32 bite yazılır.
-
İkinci
bit üçüncü bite yazılır.
-
Üçüncü
bit dördüncü bite yazılır.
-
Dördüncü
bit ilk bite yazılır.
-
Bu
işlem 64 tur tekrar edilir ve her 16 turda bir F fonskiyonu değişir.
MD5 algoritması
ile özet alma, sunucuda şifrenin saklanması, mesajın bütünlüğünün korunması,
mesajın imzalanması gibi farklı amaçlarla kullanılabilir. Bir sunucuya veya
sisteme oturum açmak için şifremizin doğrulanması gerekir. Bu doğrulama sistemde saklanan şifremizin girdiğimiz şifreyle karşılaştırılması şeklinde olacaktır. Bunun için şifremizin sistemde saklanması gerekir. Şifreler açık olarak değil de özeti alınmış bir şekilde saklanır. Sisteme veya
veri tabanına sızmış bir saldırgan için şifremizin özetini ele geçirmek zor olmayacaktır. Eğer özet alma
fonksiyonu güçlü değilse şifrenin kırılması bu yöntemle zor olmayacaktır. PGP şifreleme algoritmasında MD5 gönderilen
mesajın özetinin imzalanması amacıyla kullanılmaktaydı ancak MD5 in 128 bitlik
çıktısı önceden hazırlanmış tablolar (rainbow table atak) kullanılarak yapılan
ataklarla kırılabildiğinden PGP’ nin yeni versiyonlarında SHA256 özet alma
algoritması kullanılmaktadır. Burada mesaj özetinin 128 bit olması ciddi bir
çakışma riski oluşturuyor ancak bu algoritmaya yapılan atakların verdiği
sonuçlar halen faydalanabilecek bir algoritma olduğunu gösteriyor.
3.
Pretty Good Privacy (PGP) Şifreleme Algoritması
1991 yılında Phil
Zimmermann tarafından bulunmuştur. Amerikan senatosundan çıkan bir yasa
tasarısı teklifine göre, her şifreleme yazılımı kendi içinde bir backdoor
olmalı böylece hükümet istediğinde insanların güvenli haberleşmelerini
okuyabilmeliydi. Phil Zimmermann bu durumun kendisini bu algoritmayı icat
etmesinde motive ettiğini söylemiştir.
Asimetrik ve
simetrik şifrelemenin güçlü özelliklerinden faydalanır. Asimetrik şifreleme
sayesinde anahtar değişimi kolaydır, simetrik şifreleme ile güvenli ve
hızlıdır. PGP ile şifreleyerek e-posta gönderimi bize gizlilik ve bütünlük
güvenlik servislerini sağlar.
3.1.
PGP
ile şifreleme algoritmasının çalışma yapısı:
-
İlk olarak mesaj sıkıştırılır, böylece hem mesajın boyutu büyük oranda küçültülerek şifreleme öncesi performans artışı sağlanır, aynı zamanda sıkıştırılmamış bir metine göre daha güçlü bir güvenlik sağlanır.
-
Kullanıcıya ait Mouse ve klavye hareketleriyle oluşturulmuş 128 bitlik
rastgele bir anahtar oluşturulur. Bu
anahtarla IDEA şifreleme
algoritması kullanılarak daha önce sıkıştırılmış metin şifrelenir.
-
Daha önce oluşturulan 128 bitlik rastgele anahtar RSA şifreleme algoritması kullanılarak karşı tarafın açık anahtarı ile şifrelenerek gönderilir. Burada açık anahtar PGP’ nin dünya genelindeki
sertifika sunucularından temin
edilir. Böylece açık anahtar rastgele bir kaynaktan alınmadığı için özellikle ortadaki
adam ataklarına karşı e-posta göndereceğimiz kişiyi doğrulamış oluruz.
-
Karşı tarafa gönderilen şifreli metin ve
128 bitlik anahtar, yukarda yapılan işlemin tersi gerçekleştirilerek açılır.
Şekil-5: PGP şifreleme ve şifre çözme diyagramı [10]
3.2.
PGP
ile dijital imzalama:
Orijinal mesaj şekil 6 da gösterildiği şekilde, MD5 algoritmasıyla özet değeri alınıp kendi özel anahtarımızla şifreleyip karşı tarafa göndeririz, karşı taraf bu mesajın şifresini açtığında aynı şekilde MD5 ile özetini alarak
bizim gönderdiğimiz özet ile karşılaştırır. Böylece karşı taraf bizi doğrulamış olur.
Şekil-6: Gönderilen mailin dijital olarak
imzalanması [11]
4.
Kriptolojik algoritmalara yapılan ataklar
Kriptoloji kendi
içinde Kriptografi ve Kriptoanaliz olarak ikiye ayrılmıştır. Kritografi,
şifreleme kısmıyla ilgilenirken kriptoanaliz, şifrelemenin güvenliğiyle
ilgilenir. Bu amaçla kriptolojik mekanizmalara yapılan atakları inceler ve
algoritmanın bu ataklara karşı olan güvenliğini test eder. Bu çok geniş
kapsamlı ve teknik bir konu olduğundan bu konuyu derinlemesine incelemeyeceğiz
ancak makalede kavramların yerine oturması için önemli atakları tanıyacağız.
4.1.
Kaba
Kuvvet atakları:
Kriptolojide bir protokolün güvenliği, algoritmanın kırılmasının maliyetine bağlıdır. Zaman,
fiziksel gereksinim bu maliyetlere örnek olarak
verilebilir. Maliyetin ölçülmesinde kaba kuvvet atakları önemli bir ölçüm birimidir. Kaba kuvvet saldırılarında şifre olası tüm ihtimaller denenerek yapılır. Önlem olarak, algoritmaları geliştirenler saniyede
girilebilen şifre sayısını azaltmayı amaçlamıştır. Örneğin WPA algoritmasında saniyede
girilebilen şifre sayısı oldukça azaltılmıştır. Ayrıca web sitelerinde kullanılan captcha
uygulamaları kaba kuvvet
ataklarını önlemede etkili
bir yöntemdir.
4.2.
Rainbow
Table Atakları:
Çok sayıda metnin özet değeri alınarak bir tabloda
tutulur, atak sırasında bu tabloyla kırılmak istenen özet değeri karşılaştırılarak yapılır. Kısa özet değeri veren MD5 için tehlikeli bir ataktır. Bu saldırıya önlem olarak sunucular öncelikle MD5
algoritmasından daha güçlü algoritmalara geçerek özet değerini 128 bitten daha yukarıya çekmiştir, ayrıca özet değerini aldıktan sonra özel bir tuz değeri ekleyerek özet değeri karmaşıklaştırılarak kısmi bir çözüm sağlanmıştır.
4.3.
Ortadaki
adam (Man in The Middle) atakları:
Ortadaki adam atakları kriptolojide güvenliğin ölçülmesi için önemli bir yer
tutar. Kriptoloji biliminin tarihteki ilk varoluş amacı mesajların güvenliğini düşmandan korumak
olduğu düşünülürse, Kriptoloji bu atak üzerine kurulmuştur demek çok yanlış olmaz. İki nokta haberleşirken trafiği dinleyen ve
atak yapmak isteyen 3. bir kişi her zaman vardır diye düşünmek ve buna göre davranmak zorundayız. Bu atak pasif
olabileceği gibi aktif bir
atak olup engelleme, değiştirme amaçlı olabilecektir. Şekil 7 üzerinden konuyu anlatmak gerekirse;
-
Kurban
bilgisayar bankacılık işlemi yaparken
bankaya ait açık anahtarla mesajını şifreleyip göndermesi gerekiyor
bu sayede gönderdiği mesaj sadece bankanın gizli anahtarıyla açılabileceğinden açık kanalda
herhangi biri tarafından okunmaması bekleniyor.
-
Ancak burada atak yapan kişi kurbana banka yerine kendi açık gönderiyor ve kurban bu anahtarla imzalama yaparak gönderiyor. Bu durumda kullanıcı gelen sertifika uyarısını dikkate almadığı varsayılıyor.
-
Saldırgan kurbandan
gelen mesajı alıp bankaya kendisi iletiyor ve bankadan gelen cevabı kullanıcıya kendisi iletiyor.
-
Bu şekilde trafiği tekrar ettirerek tüm trafiğin içeriğini görebiliyor ve
istediği tüm bilgileri elde edebiliyor.
Şekil-7: Ortadaki adam atağı [12]
Bu saldırıya önlem olarak daha önce bahsettiğimiz gibi çift taraflı doğrulama sağlayan sertifika
makamları vardır. Bu çözüm sayesinde yukardaki örnekte kullanıcıya sertifikanın geçerli olmadığı uyarısı yapılmış ancak kullanıcı hatası olduğu ve bu uyarıyı yok saydığı varsayılmıştır. Kullanıcı tarafında yapılan hatalara karşı güvenlik çözümleri ne kadar güçlü olursa olsun saldırıların engellenmesi mümkün değildir. Bu ataklara çok sayıda örnek verilebilir,
sosyal mühendislik saldırıları gibi farklı atak tipleriyle
birleştirilerek saldırılar çeşitlendirilebilir.
Bu yüzden kullanıcıların bilinçlendirilmesi bilgi
güvenliği için çok önemlidir.
5.
Uygulama
Öncelikle Mozilla
Thunderbird uygulaması üzerinde Enigmail eklentisini kuruyoruz, eklentiyi
kurarken Windows için GnuPG bileşeni kurulacaktır. Kurulum sırasında ortak ve
gizli anahtarımız aynı zamanda gizli anahtarı unutmamız ya da silinmesini talep
edeceğimiz durumlar için kullanabileceğimiz bir Revokation Certificate
(sertifika kurtarma) oluşturulur. Kurulum sonrası açık anahtarımız PGP
sunucularına gönderilir. Böylece bize mail göndermek isteyen kişi açık
anahtarımızı bu sunuculardan indirebilecek.
Yeni mail
göndermek için açtığımız pencerede artık bize kırmızı yazılı olarak mesajın
şifresiz gideceğine dair bir uyarı gelecektir, buraya yazılı alana tıkladığımızda
aşağıdaki gibi pencere açılıp bize şifreleme seçenekleri sunacaktır. Burada “Mesajı
şifrele”, “Mesajı imzala” seçeneklerini seçiyoruz. Böylece mesajı şifreleyerek
saldırganların okuyamamasını ve mesajı imzalayarak alıcı tarafa mailin bize ait
olduğunu, sahte olmadığını ispatlamış oluyoruz.
Maili gönder
dediğimizde karşımıza Enigmail Anahtar seçimi penceresi çıkıyor, bu bölümde
kayıp anahtarı indir butonuna basarak maili göndereceğimiz
kişiye ait açık anahtarı indiriyoruz.
Son aşamada bize
Passphrase ekranı çıkıyor, bu kısma enigmail kurarken belirlediğimiz şifremizi
giriyoruz ve e-postamızı şifreleyerek gönderiyoruz.
Gelen maili açmak
için aynı şekilde şifre girmek gerekecektir, şifreyi girdiğimizde mail açık
metin olarak ve gönderen doğrulanmış olarak açılacaktır.
Şifreyi girip
gelen maili incelediğimizde, gönderen mailin anahtarına ve kimliğine ait
bilgiler yer alıyor, Ayrıca Enigma eklentisinin bu versiyonunda anahtar
paylaşımı için RSA algoritmasını, mesaj doğrulaması yapmak üzere özet değeri
almak için SHA256 algoritmasını kullanıldığını görüyoruz.
Sonuç
Yazının giriş
bölümünde bahsedildiği gibi, siber güvenlik konusunda büyük resmi görüp, mail
güvenliği ve onun uygulanması için gerekli olan kriptolojik protokoller konusuna
odaklanmak ve PGP konusunu uygulanabilir bir şekilde açıklamak hedeflendi.
Siber suçların ve bu suçlara bağlı mağduriyetlerin giderek arttığı günümüzde,
bu saldırılara karşı önlemler almak gerekmektedir. Siber suçlar istatistiksel
olarak incelendiğinde e-posta güvenliğinin ne kadar önemli olduğu açık olarak
görülmektedir. Bu yüzden e-posta güvenliğini PGP ile koruma altına almak, ataklara
karşı kurumlara veya kişilere önemli bir koruma sağlayacaktır.
Referanslar
[2] Muhammed Ali
Bingöl, Tubitak uzman araştırma görevlisi, Kablosuz Ağlarda Güvenlik ve
Mahremiyet ders sunumu
[3] Muhammed Ali Bingöl,
Tubitak uzman araştırma görevlisi, Kablosuz Ağlarda Güvenlik ve Mahremiyet ders
sunumu
[4] THE RADICATI
GROUP, INC. A TECHNOLOGY MARKET RESEARCH FIRM PALO ALTO, Email Statistics
Report, 2015-2019