İçeriğe atla

Fırsatçı şifreleme

Fırsatçı şifreleme, bir sistemden başka bir sisteme bağlanırken iletişim kanallarını şifrelemek için kullanılır. Bu yöntem iki sistem arasında ön düzenlemeyi gerektirir.

Fırsatçı Şifreleme pasif dinlemeye[1] karşı mücadele edebilmek için kullanılabilir. (Aktif telekulak, diğer taraftan, şifrelenmemiş bir kanal zorlayarak şifreleme anlaşmasını bozabilir.) Kimlik doğrulamada olduğu gibi fazla güvenlik sağlayamaz ve güvenli iletişim zorunlu değildir. Implementasyonu basit birçok internet trafiğinde hala şifreleme için kullanılmaktadır. Bu; İnternet trafiği güvenliği kitle benimsenmesinde önemli bir engeli ortadan kaldırır.

Fırsatçı Şifreleme Internette RFC 7435 olarak tanımlanmaktadır."Fırsatçı Şifreleme : Çoğu Zaman Az Koruma"

Router (Yönlendirici)

FreeS/WAN projesi Fırsatçı Şifrelemenin en önde gelen savunucularından biridir.Openswan' de OpenWrt projesine bağlı olarak çalışmaktadır.Openswan sistemler arasındaki anahtar değişimini kolaylaştırmak için DNS kayıtlarını kullanır.[2]

Dinamik VPN linklerini ayarlama (Fırsatçı Şifreleme ile benzer çalışan belirli domainler için) OpenVPN ve ağ protokollerinin kullanılması ile mümkün olabilir.[3]

Unix ve Unix Benzeri Sistemler

FreeS/WAN ve türevleri (Openswan ve strongSwan gibi); VPN'e, IPsec teknolojisi esaslı Fırsatçı Şifreleme kullanılarak çalışan teklifler sunar. Obfuscated TCP, Fırsatçı Şifreleme'yi uygulamanın diğer bir metodudur.

Windows İşletim Sistemleri

Windows platformlarında Fırsatçı Şifreleme uygulamasının kendiliğinden yüklü olduğu varsayılır. Bu yöntem güvenli trafik için IPsec kullanır ve kontrol etmek için basit bir işlemdir. Buna MMC üzerinden erişilir. "Yerel Bilgisayarlarda IP Güvenlik Protokolü" ve sonrasında "Güvenlik İşleme" politikasını atamak için gereken özellikleri düzenler.Bu işlem, Kerberos alanında isteğe bağlı olarak  IPsec'e dönüşebilecektir.

Kerberos olmayan bir ortamda, güvenli iletişim için (tüm sistemlerle ortak olarak) Certificate Authorithy (CA)'nin sunduğu sertifikaya ihtiyaç duyulur.

Her iki taraf bir NAT arkasında bulunduğunda sistemlerde sorun yaşanır. Bu problem NAT Traversal(NAT-T) 'dan kaynaklanır ve sistem kayıtlarına 2 DWORD ekleyerek gerçekleşir : HKLM\SYSTEM\CurrentControlSet\Services\IPsec\AssumeUDPEncapsulationContextOnSendRule[4]

MMC tarafından sağlanan şifreleme seçenekleri sayesinde, şifreleme için çeşitli domainlerden ve protokollerden izin almak veya talep işlemleri sağlanabilir.

E-Mail

Fırsatçı Şifreleme ayrıca şu seçenekleri de sunar: internet üzerinden mesaj geçişleri için belirli e-mail benzeri SMTP STARTTLS uzantıları kullanımını ya da e-mailleri okumak için Internet Mesaj Ileti Protokolü (IMAP) kullanımını sağlama. Bu uygulamada  sertifika yetkililerinden sertifika temin etmeye ihtiyaç yoktur, çünkü kendi imzalanmış sertifikalarının kullanımı uygundur.

Birçok sistem ilk olarak bir şifre anahtarı alarak geleneksel e-posta paketleri üçüncü taraf eklentileri ve bir varyant ile çalışır; eğer başarısız olursa, mesajı aöık şekilde gönderir. Diğerleri arasında özellikle PGP, Hushmail ve Ciphire, bu modda çalışmak için ayarlanmış olabilir.

Pratikte STARTTLS genellikle kendinden imzalı sertifikalar ile dağıtılır.[5] Bu durum bir sistem yöneticisi için bir seferlik yapılacak bir görev olduğunu ve genellikle e-mail trafiğinde fırsatçı şifreleme yapılıyor olduğunu gösterir.[6]

VoIP

Bazı VoIP çözümleri ses trafiklerinin sorunsuz şifreleme şekilde şifrelenmesini sağlar. Analog telefon adaptörlerinden Sipura ve Linksys bazı versiyonlarının hatları SRTP donanım implementasyonu ve Voxilla sertifika kurulumu içerir. Çağrı isteği geldiğinde SRTP kullanılımı uygundur. Başarılı olursa telefon ahizesinde sesler seri şekilde gelmeye başlar, başarısız olursa çağrı şifrelenmeden ilerler.

Skype ve Amicima sadece güvenli bağlantıyı kullanır ve Gizmo5 kendi istemcileri arasında güvenli bağlantıyı dener. Phil Zimmermann, Alan Johnston ve Jon Callas tarafından ZRTP[7] adında yeni bir şifreleme protokolü önerilmiştir.

Phil Zimmermann, Alan Johnston ve Jon Callas kaynakları ve derlenen ikilileri mevcut olan Zfone adındaki uygulamaya sahiptirler.

Web Sayfaları

WWW/HTTP bağlantılarını şifrelemek için, genellikle kullanılan HTTPs,iyi bir şifreleme ve önemli bir bütçe gerektirir, ilk kurulumu açısından ve web sitesi operatörü bakım maliyeti açısından kullanılabilir. Birçok tarayıcı, SSL sertifikasının güvenilen sertifika otoriteleri tarafından imzalandığına ve sertifikasının hala geçerli olduğuna emin olmak için web sunucuların kimliklerini doğrular. Web sitelerinde fırsatçı şifrelemeyi aktif hale getirmenin en kolay yolu kendiliğinden imzalı sertifikaları kullanmaktır.Bu durum, kullanıcılar bağlanmak istedikleri web sitesinin sertifikalasını tarayıcılarında bulundurmadığı sürece bu web sitelerinde tarayıcı tarafından uyarılar görüntülenmesine neden olacaktır. Şifrelenmemiş web sitelerde bu şekilde uyarılar bulunmadığı için, bu sitelerde kendiliğinden imzalı sertifikalarında çok verimli değildir.

2015 yılında; Mozilla, "Firefox 37" versiyonunda Fırsatçı Şifrelemeyi kullanmaya başladı.[8]

HTTPS Everywhere ve HTTPSfinder 25 Mart 2015 tarihinde Wayback Machine sitesinde arşivlendi. gibi tarayıcı uzantlıları (bağlantıyı mümkünse otomatik olarak HTTPS yapar) şu an mevcuttur.

Gelecek olan HTTP/2[9] için hatasız ve doğru çalışan fırsatçı şifreleme önerileri mevcuttur. Poul-Henning Kamp,vernik HTTP hızlandırıcı baş geliştirici ve üst düzey FreeBSD çekirdek geliştirici, HTTP / 2 ile belli bir siyasi gündemde uygulanan fırsatçı şifrelemenin standartlara uygun olmadığını söylerek IETF'i eleştirmiştir.[10][11]

Ayrıca bakınız

Kaynakça

  1. ^ Gilmore, John (2003-05-13). "FreeS/WAN Project: History and Politics" 26 Mayıs 2000 tarihinde Wayback Machine sitesinde arşivlendi.. Retrieved 2007-11-24.
  2. ^ "IPSec 20 Şubat 2010 tarihinde Wayback Machine sitesinde arşivlendi. Howto". OpenWrt Community wiki. Retrieved 2007-10-24.
  3. ^ "Creating a Dynamic VPN". Archived from the original on 2007-09-28. Retrieved 2007-10-24.
  4. ^ "L2TP/IPsec NAT-T update for Windows XP and Windows 2000 6 Mart 2016 tarihinde Wayback Machine sitesinde arşivlendi.". Microsoft. Retrieved 2007-10-24.
  5. ^ [1]
  6. ^ "The Current State of SMTP STARTTLS Deployment" 24 Mart 2015 tarihinde Wayback Machine sitesinde arşivlendi.. Facebook. May 13, 2014.
  7. ^ ZRTP: Extensions to RTP for Diffie-Hellman Key Agreement for SRTP 21 Ekim 2008 tarihinde Wayback Machine sitesinde arşivlendi.
  8. ^ "Firefox 37 arrives with Opportunistic Encryption support 17 Nisan 2015 tarihinde Wayback Machine sitesinde arşivlendi.". Hacker News. 2015-04-04. Retrieved 2015-04-07.
  9. ^ "Minimal Unauthenticated Encryption (MUE) for HTTP/2". 13 Ocak 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Nisan 2015. 
  10. ^ Kamp, Poul-Henning (2015-01-06). "HTTP/2.0 — The IETF is Phoning It In (Bad protocol, bad politics 13 Ocak 2015 tarihinde Wayback Machine sitesinde arşivlendi.)". ACM Queue. Retrieved 2015-01-12.
  11. ^ Kamp, Poul-Henning (2015-01-07). "Re: Last Call: <draft-ietf-httpbis-http2-16.txt> (Hypertext Transfer Protocol version 2) to Proposed Standard 13 Ocak 2015 tarihinde Wayback Machine sitesinde arşivlendi.". ietf-http-wg@w3.org (Mailing list). Retrieved 2015-01-12.

İlgili Araştırma Makaleleri

SMTP, bir e-posta göndermek için sunucu ile istemci arasındaki iletişim şeklini belirleyen protokoldür. Farklı işletim sistemleri için geliştirilmiş e-posta protokolleri bulunmaktadır. Bu e-posta protokollerinin SMTP'ye geçit yolu (gateway) vardır. SMTP, Aktarım Temsilcisi ve Kullanıcı Temsilcisi yazılımları arasındaki iletişimi sağlar. TCP'nin üst katmanında çalışır.

Telnet, Internet ağı üzerindeki çok kullanıcılı bir makineye uzaktaki başka bir makineden bağlanmak için geliştirilen bir TCP/IP protokolü ve bu işi yapan programlara verilen genel isimdir. Telnet iki bileşenden oluşur: (1) iki tarafın nasıl iletişim kuracağını belirleyen protokolün kendisi ve (2) hizmeti sağlayan yazılım uygulaması.Kullanıcı verileri, İletim Kontrol Protokolü (TCP) üzerinden 8 bitlik bayt yönlendirmeli bir veri bağlantısında Telnet kontrol bilgisi ile bant içi serpiştirilir. Telnet, 1969'da RFC 15 ile başlayarak geliştirildi, RFC 855'te genişletildi ve ilk İnternet standartlarından biri olan İnternet Mühendisliği Görev Gücü (IETF) İnternet Standardı STD 8 olarak standartlaştırıldı. encryption sağlayan bazı Telnet eklentileri geliştirilmiştir. Bağlanılan makineye girebilmek (login) için orada bir kullanıcı isminizin (İng:username) ve bağlantının gerçekleşebilmesi için bir telnet erişim programınızın olması gereklidir. Fakat bazı kütüphane ve herkese açık telnet bazlı web servisleri, bağlantı sırasında kullanıcı ismi (numarası) istemeyebilirler; ya da, kullanıcı isim ve parola olarak ne yazmanız gerektiği bağlandığınızda otomatik olarak karşınıza çıkar. Telnet, BBS sistemlere İnternet üzerinden erişimde günümüzde yaygın olarak kullanılmaktadır. Telnet erişim programları, günümüzdeki işletim sistemlerinin çoğunda işletim sistemi ile birlikte gelmektedir. Çok kullanıcılı işletim sistemleri genellikle kullanıcılara metin tabanlı bir arayüz sunar ve bu sistemlerde tüm işlemler klavye vasıtası ile komut isteminden gerçekleştirilir.

HTTPS bir bilgisayar ağı üzerinden güvenli iletişim için internet üzerinde yaygın olarak kullanılan bir HTTP uzantısıdır. HTTPS'te, iletişim protokolü Taşıma Katmanı Güvenliği (TLS) veya öncesinde, onun öncülü/selefi olan Güvenli Soket Katmanı (SSL) ile şifrelenir. Bu nedenle protokol sık sık TLS üzerinden HTTP veya SSL üzerinden HTTP olarak da adlandırılır.

<span class="mw-page-title-main">Sanal özel ağ</span> Uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisi

Sanal özel ağ ya da VPN, uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisidir. VPN sanal bir ağ uzantısı oluşturduğu için, VPN kullanarak ağa bağlanan bir cihaz, fiziksel olarak bağlıymış gibi o ağ üzerinden veri alışverişinde bulunabilir. Kısacası Virtual Private Network (VPN), internet ya da başka bir açık ağ üzerinden özel bir ağa bağlanmayı sağlayan bir bağlantı çeşididir. VPN üzerinden bir ağa bağlanan kişi, o ağın fonksiyonel, güvenlik ve yönetim özelliklerini kullanmaya da devam eder. VPN'in en önemli iki uygulaması OpenVPN ve IPsec'dir.

<span class="mw-page-title-main">SIP</span>

Oturum başlatma Protokolü (SIP), ses, video ve mesajlaşma uygulamalarını içeren gerçek zamanlı oturumları başlatmak, sürdürmek ve sonlandırmak için kullanılan bir sinyal protokolüdür. VoIP gibi IP üzerinden üzerinden ses, görüntü ve anlık mesaj iletişimi yanı sıra LTE (VoLTE) üzerinden cep telefonu araması için multimedya iletişim oturumlarını sinyalize etmek ve kontrol etmek için kullanılır. Günümüz IP Telefonlarının çoğunluğu SIP Protokolü ile çalışmaktadır. Cisco gibi bazı üreticiler SIP kullanmakla beraber bazı telefon modellerinde SCCP tercih etmektedir.

<span class="mw-page-title-main">Transport Layer Security</span> Internet Şifreleme Protokolü

Taşıma Katmanı Güvenliği (TLS) ve onun öncülü/selefi olan Güvenli Soket Katmanı (SSL), bilgisayar ağı üzerinden güvenli haberleşmeyi sağlamak için tasarlanmış kriptolama protokolleridir. X.509 sertifikalarını kullanırlar ve bundan dolayı karşı tarafla iletişime geçeceklerin kimlik doğrulaması asimetrik şifreleme ile yapılır ve bir simetrik anahtar üzerinde anlaşılır. Bu oturum anahtarı daha sonra taraflar arasındaki veri akışını şifrelemek için kullanılır. Bu, mesaj/veri gizliliğine ve mesaj kimlik doğrulama kodları için mesaj bütünlüğüne izin verir. Protokollerin birçok versiyonu ağ tarama, elektronik mail, İnternet üzerinden faks, anlık mesajlaşma ve İnternet üzerinden sesli iletişim gibi uygulamalarda yaygın olarak kullanılmaktadır. Bu durumda/içerikte/bağlamda en önemli özellik iletme gizliliğidir. Bundan dolayı kısa süreli oturum anahtarı, uzun süreli gizli simetrik anahtardan türetilememelidir.

İnternet Protokolü Güvenliği (IPsec), Internet Protokolü (IP) kullanılarak sağlanan iletişimlerde her paket için doğrulama ve şifreleme kullanarak koruma sağlayan bir protokol paketidir. IPsec, içinde bulundurduğu protokoller sayesinde, oturum başlarken karşılıklı doğrulama ve oturum sırasında anahtar değişimlerini gerçekleştirme yetkisine sahiptir. İki bilgisayar arasında (host-to-host), iki güvenlik kapısı arasında(network-to-network), bir güvenlik kapısı ve bir bilgisayar arasında(network-to-host) sağlanan bağlantıdaki veri akışını korumak için kullanılır. IPsec kriptografik güvenlik servislerini kullanarak IP protokolü ile gerçekleştirilen bağlantıları korumak için kullanılır. Ağ seviyesinde doğrulama veri kaynağı doğrulama,veri bütünlüğü, şifreleme ve replay saldırılarına karşı koruma görevlerini üstlenir.

İnternet anahtar değişim protokolü ya da Internet Key Exchange internet üzerinde güvenli bir şekilde veri alışverişi için kullanılan anahtarların değişimini sağlayan protokoldür.

<span class="mw-page-title-main">Aradaki adam saldırısı</span>

Man-in-the-middle saldırısı, saldırganın birbiri ile doğrudan iletişim kuran iki taraf arasındaki iletişimi gizlice ilettiği veya değiştirdiği saldırı türüdür. İletişim ağı üzerinde veri paketleri serbestçe dolaşır. Özellikle broadcast olarak salınan paketler, aynı ağa bağlı tüm cihazlar tarafından görülebilir. İlkesel olarak hedefinde kendi IP'si olmayan bir paketi alan makinelerin, bu paketlerle ilgili herhangi bir işlem yapmamaları gerekir. Ancak istenirse bu paketlere müdahale edebilir ya da içeriğini öğrenebilirler. Aradaki adam saldırısı ağ üzerindeki paketleri yakalayarak manipüle etmek olarak özetlenebilir.

Tünel protokolü, bir ağ protokolü farklı bir yük-taşıma protokolü içerdiğinde bilgisayar ağ bağlantısı, bir tünel protokolü kullanır. Tünel protokolü kullanılarak, uyumsuz olan bir iletim protokolü üzerinde bir yük-taşıma taşınabilir ya da güvenilmeyen ağlarda güvenli bir yol oluşumu sağlanabilir.

Pretty Good Privacy (PGP), 1991 yılında Phil Zimmermann tarafından geliştirilen, OpenPGP standardını kullanarak veri şifrelemek, şifreli veriyi çözmek veya veriyi imzalamak için kullanılan, gönderilen ya da alınan verinin gizliliğini ve kimlik doğrulamasını sağlayan bir bilgisayar programıdır. Genellikle text dokümanlarını, e-postaları, dosyaları, klasörleri ve disk bölümlerini şifrelemek ve imzalamak için kullanılır.

ZRTP bir şifreleme anahtar paylaşma protokolüdür. Bu protokolde, Voice over Internet Protocol (VoIP) protokolüne dayanan iki uç nokta arasında şifreleme yapabilmek için anahtarlar üzerinde anlaşma yapılmaktadır. Voice over Internet Protocol (VoIP) telefon çağrısı Real Time Transport Protocol'e dayanır. Şifreleme için Diffie–Hellman anahtar değişimi ve Secure Real-time Transport Protokol (SRTP)' lerini kullanır. ZRTP, Bryce Wilcox-O'Hearn, Colin Plumb, Jon Callas ve Alan Johnston yardımıyla, Phil Zimmermann tarafından geliştirildi ve 5 Mart 2006 tarihinde Bryce Wilcox-O'Hearn'nin yardımıyla, Phil Zimmermann, Jon Callas and Alan Johnston tarafından Internet Engineering Task Force (IETF)' a sunuldu ve RFC 6189 olarak 11 Nisan 2011 tarihinde yayınladı.

HTTP/2 Dünya Çapında Ağ Birliği tarafından kullanılan HTTP ağ protokolünün ikinci ana sürümüdür. SPDY tabanlıdır. HTTP/2, İnternet Mühendisliği Çalışma Kolu'nun Hiper Metin İletim Protokolü çalışma grubu(httpbis, bis burada “tekrar” veya “iki defa” anlamına gelmektedir.) tarafından geliştirilmiştir. HTTP/2, 1997'de RFC 2068 bünyesinde standart haline getirilen HTTP 1.1'den beri gelen ilk yeni HTTP sürümüdür. Çalışma grubu HTTP/2'yi IESG'ye önerilen standart olarak incelenmesi için 2014 Aralık ayında sunmuştur ve IESG 17 Şubat 2015'te bunun önerilen standart olarak yayınlanmasını onaylamıştır. HTTP/2 belirtimi 2015 Mayıs ayında RFC 7540 olarak yayınlanmıştır.

<span class="mw-page-title-main">SoftEther VPN</span> Baymuhammet

SoftEther VPN, Tsukuba Üniversitesi'nden Daiyuu Nobori'nin yüksek lisans tezi araştırması kapsamında geliştirilen ücretsiz bir açık kaynak kodlu, çapraz platform, çoklu protokol destekli VPN çözümüdür. SoftEther VPN, SSL VPN, L2TP/IPsec, OpenVPN ve Microsoft Güvenli Yuva Tünel Protokolü gibi VPN iletişim kurallarını tek bir VPN sunucusundan verilecek şekilde desteklemektedir. 4 Ocak 2014 tarihinde GPLv2 lisansını kullanarak yayınlanmıştır.

S/MIME e-postalarınızı şifrelemenizi sağlayan bir teknolojidir. S/MIME, e-postalarınızı istenmeyen erişimden korumak için asimetrik şifrelemeye dayanmaktadır. Ayrıca, mesajın meşru göndericisi olarak sizi doğrulamak için e-postalarınızı dijital olarak imzalamanıza olanak tanır ve bu da onu birçok kimlik avı saldırısına karşı etkili bir silah haline getirir. S/MIME, IETF standartlarındadır ve bir dizi belgede tanımlanmıştır. En önemlileri ise RFC 3369, 3370, 3850 ve 3851'dir. Başlangıçta RSA Data Security Inc. tarafından geliştirilmiştir. S/MIME işlevselliği modern e-posta yazılımının çoğuna yerleştirilmiş ve ve bu işlevsellik çalışan yazılımların arasında karşılıklı olarak çalışmaktadır.

Güvenli kabuk,, ağ hizmetlerinin güvenli olmayan bir ağ üzerinde güvenli şekilde çalıştırılması için kullanılan bir kriptografik ağ protokolüdür. En iyi bilinen örnek uygulaması bilgisayar sistemlerine uzaktan oturum açmak için olandır.

<span class="mw-page-title-main">İnternet güvenliği</span>

Internet güvenliği, yalnızca Internet, sıkça tarayıcı güvenliği ve World Wide Web ile ilgili değil, aynı zamanda Ağ Güvenliği, uygulama ve işletim sistemleri sistemleri ile bir bütün olarak ilgilidir. Amacı, internet üzerinden saldırılara karşı kullanılacak kurallar ve önlemler oluşturmaktır. İnternet, bilgi alışverişi için güvenli olmayan bir kanalı temsil eder; bu da kimlik avı, çevrimiçi virüsler, truva atları, solucanlar ve daha fazlası gibi yüksek bir saldırı veya dolandırıcılık riskine yol açar.

Kriptografide Galois / Sayaç Modu (GCM), performansı sayesinde yaygın olarak benimsenen simetrik anahtar şifreleme blok şifrelemeleri için bir çalışma modudur. Son teknoloji ürünü olan GCM, yüksek hızlı iletişim kanalları için ucuz donanım kaynakları ile üretim hızlandırabilir. Bu operasyon, hem veri doğruluğu (bütünlük) hem de gizlilik sağlamak için tasarlanmış kimliği doğrulanmış bir şifreleme algoritmasıdır. GCM, 128 bit blok boyutuna sahip blok şifreleri için tanımlanmıştır. Galois İleti Kimlik Doğrulama Kodu (GMAC), arttırımlı ileti doğrulama kodu olan GCM'in sadece kimlik doğrulama türüdür. Hem GCM hem de GMAC, başlatma vektörleri keyfi uzunlukta kabul edebilir.

<span class="mw-page-title-main">ClearOS</span>

ClearOS, ClearFoundation tarafından geliştirilmiş ağ geçidi, dosya, yazdırma, posta ve mesajlaşma hizmetlerine sahip bir Linux dağıtımıdır.

OpenVPN, yönlendirilmiş veya köprülenmiş konfigürasyonlarda ve uzaktan erişim tesislerinde güvenli noktadan noktaya veya siteden siteye bağlantılar oluşturmak için teknikler uygulayan bir sanal özel ağ (VPN) sistemidir. Hem istemci hem de sunucu uygulaması olarak mevcuttur.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.