İçeriğe atla

Açık anahtar altyapısı

Açık Anahtar Altyapısı

Açık anahtar altyapısı (AAA), dijital sertifikaların oluşturulması, yönetimesi, dağıtılması, kullanılması ve yeri geldiğinde iptal edilebilmesi için donanım, yazılım, kullanıcılar(kurumlar veya insanlar) kurallar ve gerekli prosedürlerden meydana gelen bir yapıdır.

Kriptografik anlamda AAA, Sertifika Otoriteleri(SO) vasıtasıyla açık anahtarlar ve kullanıcılar arasında bağlantı kurulmasını sağlayan kurallar bütünüdür. Her sertifika otoritesinin kendi etki alanı içerisindeki kullacıları tanımladığı bilgileri benzersiz olmalıdır. Belirtilen bu bilgileri sertifika otoriteleri adına ihraç eden ve hiyerarişinin en altında bulunan sertifika otoriteleri vardır. Sertifikaların kayıt ve ihraç etme süreçleri vasıtasıyla sertifika otoriteleri arasında bir bağlantı kurulur. Bu süreçler sanal ortamda yapılacağı gibi insanların şahsen başvurmaları esasıyla da gerçekleştirelebilir. Bu yapı içerisindeki kritik bilişenlerden biri olan kayıt otoritesi (KO) sertifika taleplerini alır ve talep sahiplerinin bilgilerini kontrol ederek onları yetkilendirir.

Tarihçe

Açık Anahtar Altyapısındaki ilk gelişmeler İngiliz istihbarat servisi GCHQ ’da çalışan kripto analistleri James Ellis ve Clifford Cocks tarafından şifreleme algoritmaları ve anahtar dağıtım problemleri hususunda 1970'lerin başlarında yapılan çalışmalar ile ortaya çıkmıştır. Fakat GCHQ’nun teşkilat yapısı nedeniyle yapılan bu çalışmalar 1990’ların ortalarına kadar gizli tutulmuş ve açıklanmamıştır.

1976 yılında Diffie-Helmann anahtar değişim algoritması ve akabinde Rivest, Shamir ve Adleman tarafından asimetrik anahtarlama algoritmasının bulunması güvenli iletişimi tümüyle değiştirdi. Teknoloji dünyasındaki değişimler ile beraber internetin ortaya çıkması kullanıcıların birbirleriyle güvenli iletişim kurabilmeleri ve etkileşim içerisinde oldukları tarafların kimler olduğunu bilmeleri bir ihtiyaç haline geldi. İnternetin yaygınlaşmasıyla beraber elektronik ticaretin artması, kritik bilgilerin internet ortamında taşınır hale gelmesi bu alandaki gelişmeleri tetikleyici olmaya yeterliydi. Taher Elgamal ve Netscape firmasındaki diğer araştırmacıların katkılarıyla internet üzerinde güvenli iletişime olanak sağlayan (anahtar değişimi, sunucunun ve/veya istemcinin yetkilendirimesi vs.) SSL protokolü 1994 yılında geliştirildi. Böylece AAA’nın temelleri atılmış oldu.

Bununla beraber devletlerin çıkartmış oldukları yasalar ve düzenlemeler nedeniyle uzunca bir süre öngörülen şekilde bir kullanım alanı bulamamıştır. Açık Anahtar Altyapısı, nihayet bir AAA şifreleme yöntemi olan ve networkler üzerindeki bilgi transferleri sırasında güvenlik ve gizlilik sağlanyan SSL in 1996 yılında 3.0 versiyonunun çıkarılmasıyla Internet tarayıcılarının desteklediği bir standart haline gelmesiyle etkin bir kullanım alanı bulmuştur.

Organizasyon yapısı

Açık Anahtar Şifreleme, kullanıcıların güvenli olmayan ağlarda dijital sertifikaların kullanılması suretiyle güvenli bir şekilde iletişim kurabilmesini ve karşı tarafın kimliğini doğrulamasını sağlayan bir şifreleme yöntemidir. AAA, belli bir organizasyon veya kişiye ait olan açık anahtarların doğrulanabilmesi için dijital sertifikaların oluşturulabildiği, depolanabildiği ve dağıtılabildiği bir sistemi ifade etmektedir. Ayrıca AAA sistemi gerektiğinde bu sertifikaların iptal edilmesine de olanak vermektedir.

AAA’nın bileşenleri:

-Sertifika Otoritesi (SO), dijital sertifikaların verilmesinden ve doğrulanmasından sorumludur.

-Kayıt Otoritesi (KO), Sertifika Otoriteleri adına kullanıcılardan gelen talepleri alır ve kullanıcıların sunmuş oldukları bilgilerin doğruluğunu kontrol eder.

-Sertifika Dizini, sertifikalara ait bilgilerin saklandığı güvenli bir saklama alanını ifade eder.

Sertifika otoriteleri (S0)

SO’ların öncelikli görevleri açık anahtarları kendi gizli anahtarları ile imzalayarak kullanıcılara sunmalarıdır. Sertifika Otoriteleri bazı durumlarda kullanıcılarılar ile direkt temasa geçmeyip bunu Kayıt Otoriteleri (KO) dediğimiz kendisine bağlı organlar ile de sertifika yayınlayabilmektedirler. AAA yapısı dikkatli tasarlanması gereken bir yapı olup esnek ve genişletilebilir olmalıdır. AAA yapısında bir Sertifika Otoritesi le taleplerin alınması ve sertifikaların yayınlanması süreçlerini yönetilebileceği gibi organizasyonun büyüklüğüne göre katmanlı bir yapıda da süreci yönetebilir. Orta ölçekli bir organizasyon da SO ve KO yeterli olacak iken büyük bir organizasyonda hiyerarşinin en tepesinde bir Kök SO olup KO ile kök SO arasında birden fazla SO bulunabilir.

Sertifika Dağıtımı Yapan Firmaların Pazar Durumu

W3Techs’in 2015 Şubat araştırması na göre en yüksek pazar payına sahip 5 firma :

Firma AdıPazar Payı
Comodo%35
Symantec%32.5
Go Daddy%14.1
GlobalSign%10
DigiCert%2.1

AAA'nın kullanım alanları

- E-posta şifreleme ve/veya göndericinin kimlik denetimi (örn. OpenPGP veya S/MIME )

- Dosya şifreleme ve/veya imzalama (XML İmzalama ve XML Şifreleme )

- Kimlik Denetimi (SSL, Kerberos )

- Elektronik İmzalar

Kaynakça

İlgili Araştırma Makaleleri

HTTPS bir bilgisayar ağı üzerinden güvenli iletişim için internet üzerinde yaygın olarak kullanılan bir HTTP uzantısıdır. HTTPS'te, iletişim protokolü Taşıma Katmanı Güvenliği (TLS) veya öncesinde, onun öncülü/selefi olan Güvenli Soket Katmanı (SSL) ile şifrelenir. Bu nedenle protokol sık sık TLS üzerinden HTTP veya SSL üzerinden HTTP olarak da adlandırılır.

<span class="mw-page-title-main">Sanal özel ağ</span> Uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisi

Sanal özel ağ ya da VPN, uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisidir. VPN sanal bir ağ uzantısı oluşturduğu için, VPN kullanarak ağa bağlanan bir cihaz, fiziksel olarak bağlıymış gibi o ağ üzerinden veri alışverişinde bulunabilir. Kısacası Virtual Private Network (VPN), internet ya da başka bir açık ağ üzerinden özel bir ağa bağlanmayı sağlayan bir bağlantı çeşididir. VPN üzerinden bir ağa bağlanan kişi, o ağın fonksiyonel, güvenlik ve yönetim özelliklerini kullanmaya da devam eder. VPN'in en önemli iki uygulaması OpenVPN ve IPsec'dir.

<span class="mw-page-title-main">Açık anahtarlı şifreleme</span> hem herkese açık hem de gizli anahtarları kullanarak yapılan şifreleme

Açık anahtarlı şifreleme, şifre ve deşifre işlemleri için farklı anahtarların kullanıldığı bir şifreleme sistemidir. Haberleşen taraflardan her birinde birer çift anahtar bulunur. Bu anahtar çiftlerini oluşturan anahtarlardan biri gizli anahtar diğeri açık anahtardır. Bu anahtarlardan bir tanesiyle şifreleme yapılırken diğeriyle de şifre çözme işlemi gerçekleştirilir. Bu iki anahtar çifti matematiksel olarak birbirleriyle bağlantılıdır.

Gizli anahtarlı şifreleme ya da simetrik şifreleme, kriptografik yöntemlerden, hem şifreleme hem de deşifreleme işlemi için aynı anahtarı kullanan kripto sistemlere verilen isimdir. Haberleşen tarafların aynı anahtarı kullanmaları gerektiği için burada asıl sorun anahtarın karşıya güvenli bir şekilde iletilmesidir. Simetrik şifreleme, anahtar karşıya güvenli bir şekilde iletildiği sürece açık anahtarlı şifrelemeden daha güvenlidir. Anahtar elinde olmayan birisi şifrelenmiş metni ele geçirse de şifrelenmiş metinden asıl metni bulması mümkün değildir. Simetrik şifrelemede haberleşen tarafların her biri için bir anahtar çifti üretilmelidir. Bu yüzden de çok fazla anahtar çifti üretilmesi gereklidir.

<span class="mw-page-title-main">Transport Layer Security</span> Internet Şifreleme Protokolü

Taşıma Katmanı Güvenliği (TLS) ve onun öncülü/selefi olan Güvenli Soket Katmanı (SSL), bilgisayar ağı üzerinden güvenli haberleşmeyi sağlamak için tasarlanmış kriptolama protokolleridir. X.509 sertifikalarını kullanırlar ve bundan dolayı karşı tarafla iletişime geçeceklerin kimlik doğrulaması asimetrik şifreleme ile yapılır ve bir simetrik anahtar üzerinde anlaşılır. Bu oturum anahtarı daha sonra taraflar arasındaki veri akışını şifrelemek için kullanılır. Bu, mesaj/veri gizliliğine ve mesaj kimlik doğrulama kodları için mesaj bütünlüğüne izin verir. Protokollerin birçok versiyonu ağ tarama, elektronik mail, İnternet üzerinden faks, anlık mesajlaşma ve İnternet üzerinden sesli iletişim gibi uygulamalarda yaygın olarak kullanılmaktadır. Bu durumda/içerikte/bağlamda en önemli özellik iletme gizliliğidir. Bundan dolayı kısa süreli oturum anahtarı, uzun süreli gizli simetrik anahtardan türetilememelidir.

<span class="mw-page-title-main">Kamu Sertifikasyon Merkezi</span>

Kamu Sertifikasyon Merkezi, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK) Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) bünyesinde 2005 yılında kurulmuştur. Türkiye'nin ikinci elektronik sertifika hizmet sağlayıcısı olan Kamu SM®, 5070 sayılı Elektronik İmza Kanununa uygun olarak kurulmuş ve işletilmektedir.

<span class="mw-page-title-main">Aradaki adam saldırısı</span>

Man-in-the-middle saldırısı, saldırganın birbiri ile doğrudan iletişim kuran iki taraf arasındaki iletişimi gizlice ilettiği veya değiştirdiği saldırı türüdür. İletişim ağı üzerinde veri paketleri serbestçe dolaşır. Özellikle broadcast olarak salınan paketler, aynı ağa bağlı tüm cihazlar tarafından görülebilir. İlkesel olarak hedefinde kendi IP'si olmayan bir paketi alan makinelerin, bu paketlerle ilgili herhangi bir işlem yapmamaları gerekir. Ancak istenirse bu paketlere müdahale edebilir ya da içeriğini öğrenebilirler. Aradaki adam saldırısı ağ üzerindeki paketleri yakalayarak manipüle etmek olarak özetlenebilir.

<span class="mw-page-title-main">Verisign</span> Amerikan internet şirketi

VeriSign, Inc. Reston, Virginia, Amerika Birleşik Devletleri merkezli bir Amerikan şirketidir ve İnternet’in on üç kök ad sunucusundan ikisi dâhil olmak üzere .com, .net ve .name genel üst seviye alan adları ; .cc ve .tv ülke kodlu üst seviye alan adları ve .jobs ile .edu üst seviye alan adları için arka uç sistemlerinin yetkili kayıtçısı olarak çok sayıda ağ altyapısı işletmektedir. Verisign aynı zamanda yönetimli DNS, Dağıtılmış Hizmet Reddi (DdoS) azaltımı ve siber tehdit raporlama dâhil olmak üzere çok sayıda güvenlik hizmeti sunar. Verisign 2010 yılında SSL, PKI, Verisign Trust Seal ve Verisign Kimlik Koruma (VIP) hizmetlerini içeren kimlik doğrulama birimini 1,28 milyar $’a Symantec’e sattı.

Pretty Good Privacy (PGP), 1991 yılında Phil Zimmermann tarafından geliştirilen, OpenPGP standardını kullanarak veri şifrelemek, şifreli veriyi çözmek veya veriyi imzalamak için kullanılan, gönderilen ya da alınan verinin gizliliğini ve kimlik doğrulamasını sağlayan bir bilgisayar programıdır. Genellikle text dokümanlarını, e-postaları, dosyaları, klasörleri ve disk bölümlerini şifrelemek ve imzalamak için kullanılır.

Fırsatçı şifreleme, bir sistemden başka bir sisteme bağlanırken iletişim kanallarını şifrelemek için kullanılır. Bu yöntem iki sistem arasında ön düzenlemeyi gerektirir.

Sertifika otoritesi, dijital imzalama işlemi yapan ve belgeleyen kurumdur. Sertifika otoritelerinin görevi, açık anahtarları kendi gizli anahtarlarıyla imzalayarak 3. taraflara sunmaktır. Dijital sertifika imzalama işlemi açık anahtar altyapısı kullanılarak yapılır. Açık anahtarlı şifreleme, kullanıcıların güvenli olmayan ağlarda dijital sertifikaların kullanılması suretiyle güvenli bir şekilde iletişim kurabilmesini ve karşı tarafın kimliğini doğrulamasını sağlayan bir şifreleme yöntemidir.

Anahtar yönetimi, bir kripto sisteminde şifreleme anahtarlarının yönetimidir. Bu yönetim, anahtarların yer değişimi, kullanımı, depolanması, değiş tokuşu ve üretimi ile ilgilenir. Ayrıca Kriptografik protokol tasarımı, anahtar sunucuları, kullanıcı prosedürleri ve diğer ilişkili protokolleri içerir.

<span class="mw-page-title-main">Donanımsal güvenlik modülü</span>

Donanımsal Güvenlik Modülleri, güçlü kimlik doğrulama için gerekli sayısal anahtarları koruyup yöneten ve kripto işleme sağlayan fiziksel bir aygıttır. Geleneksel olarak bu modüller takılabilir kart veya bir bilgisayar ya da ağ sunucusuna takılabilen harici bir aygıt şeklindedir.

S/MIME e-postalarınızı şifrelemenizi sağlayan bir teknolojidir. S/MIME, e-postalarınızı istenmeyen erişimden korumak için asimetrik şifrelemeye dayanmaktadır. Ayrıca, mesajın meşru göndericisi olarak sizi doğrulamak için e-postalarınızı dijital olarak imzalamanıza olanak tanır ve bu da onu birçok kimlik avı saldırısına karşı etkili bir silah haline getirir. S/MIME, IETF standartlarındadır ve bir dizi belgede tanımlanmıştır. En önemlileri ise RFC 3369, 3370, 3850 ve 3851'dir. Başlangıçta RSA Data Security Inc. tarafından geliştirilmiştir. S/MIME işlevselliği modern e-posta yazılımının çoğuna yerleştirilmiş ve ve bu işlevsellik çalışan yazılımların arasında karşılıklı olarak çalışmaktadır.

<span class="mw-page-title-main">Kimlik doğrulama</span>

Kimlik doğrulama, bir varlığın(kurum, kişi ya da sistem) doğruladığı bir veri parçasının doğruluğunun teyit edilmesidir. Kimlik tanıma(identification), bir kişinin veya bir şeyin kimliğini kanıtlayan veya gösteren bir eylemi tanımlamanın; kimlik doğrulama, bu kimliğin gerçekten doğrulanma sürecidir. Bu süreç, kişinin kimliğini, kimlik belgelerini doğrulanması, bir dijital sertifikayla internet sitesinin gerçekliğinin doğrulanması, bir yapının yaşının Radyokarbon tarihleme yöntemiyle belirlenmesi ya da bir ürünün ambalajına ve etiketine bakarak doğrulamasını içerir. Diğer bir ifadeyle, kimlik doğrulama, genellikle en az bir çeşit kimlik tanımının doğrulanmasını içerir.

Kriptografide, X.509 açık anahtar sertifikalarının formatını tanımlayan bir standarttır. X.509 sertifikaları, internette gezinmek için güvenli protokol olan HTTPS'nin temeli olan TLS/SSL dahil olmak üzere birçok internet protokolünde kullanılmaktadır. Elektronik imzalar gibi çevrimdışı uygulamalarda da kullanılırlar. Bir X.509 sertifikası bir açık anahtar ve bir kimlik içerir ve bir sertifika yetkilisi tarafından imzalanır veya kendinden imzalı olarak imzalanır. Sertifika güvenilir bir sertifika yetkilisi tarafından imzalandığında veya başka yollarla doğrulandığında, bu sertifikayı tutan biri, başka bir tarafla güvenli iletişim kurmak için sertifikanın içerdiği açık anahtara güvenebilir veya ilgili özel anahtar ile dijital olarak imzalanmış belgeleri doğrulayabilir.

<span class="mw-page-title-main">Açık anahtar sertifikası</span>

Açık anahtar sertifikası ya da bilinen diğer adıyla dijital sertifika, açık anahtar sahipliğinin kanıtlanmasında kullanılan bir elektronik dokümandır. Sertifika, anahtar hakkında bilgiler, sahibinin kimliği hakkında bilgiler ve sertifikanın içeriğini doğrulayan bir varlığın dijital imzasını içerir. İmza geçerliyse ve yazılım, incelediği sertifikanın sağlayıcısına güveniyorsa, sertifikanın öznesi ile güvenli bir şekilde iletişim kurmak için bu anahtarı kullanabilir. E-posta şifreleme, kod imzalama ve elektronik imza sistemlerinde özne genelde bir kişi ya da kuruluştur. Ancak, Transport Layer Security (TLS)’de özne genelde bir bilgisayar ya da farklı aygıt olmasına rağmen TLS sertifikaları, cihazları tanımlamasındaki temel rollerine ek olarak kuruluşları ya da bireyleri tanımlayabilir. Bazen eski adı olan Secure Sockets Layer (SSL) olarak da anılan TLS, web’de güvenli gezinme için bir iletişim protokolü olan HTTPS’nin önemli bir parçasıdır.

Uçtan uca şifreleme (E2EE), sadece uç noktadaki kullanıcıların okuyabildiği bir iletişim sistemidir. Hedefi, İnternet sağlayıcıları, ağ yöneticileri gibi aradaki potansiyel gizli dinleyicilerin, konuşmanın şifresini çözmek için gereken şifreleme anahtarlarına erişmesini engellemektir.

Skype, Skype Technologies S.A. tarafından geliştirilen İnternet Üzerinden Ses Protokolü (VoIP) sistemidir. Sesli aramaların özel amaçlı bir ağdan ziyade İnternet üzerinden geçtiği eşler arası (peer-to-peer) bir ağdır. Skype kullanıcıları diğer kullanıcıları arayabilir ve onlara mesaj gönderebilir.

Tox, uçtan uca şifreleme sunan eşler arası anlık mesajlaşma ve görüntülü arama protokolüdür. Projenin belirtilen hedefi, herkes için güvenli ancak kolay erişilebilir iletişim sağlamaktır. Protokolün bir referans uygulaması, GNU GPL-3.0 veya sonrası koşulları altında ücretsiz ve açık kaynaklı yazılım olarak yayınlanmıştır.