İçeriğe atla

S/MIME

S/MIME (Secure/Multipurpose Internet Mail Extensions, Güvenli/Çok Amaçlı İnternet Posta Uzantıları) e-postalarınızı şifrelemenizi sağlayan bir teknolojidir. S/MIME, e-postalarınızı istenmeyen erişimden korumak için asimetrik şifrelemeye dayanmaktadır. Ayrıca, mesajın meşru göndericisi olarak sizi doğrulamak için e-postalarınızı dijital olarak imzalamanıza olanak tanır ve bu da onu birçok kimlik avı saldırısına karşı etkili bir silah haline getirir.[1] S/MIME, IETF standartlarındadır ve bir dizi belgede tanımlanmıştır. En önemlileri ise RFC 3369, 3370, 3850 ve 3851'dir.[2][3][4][5] Başlangıçta RSA Data Security Inc. tarafından geliştirilmiştir.[6] S/MIME işlevselliği modern e-posta yazılımının çoğuna yerleştirilmiş ve ve bu işlevsellik çalışan yazılımların arasında karşılıklı olarak çalışmaktadır.

S/MIME'ın İşlevleri

S/MIME, elektronik mesajlaşma uygulamaları için aşağıdaki kriptografik güvenlik hizmetlerini sağlar:

  • Kimlik doğrulama
  • Mesaj bütünlüğü
  • İnkâr edememezlik (Non-repudiation. Burada dijital imzalar kullanılır)
  • Mahremiyet
  • Veri güvenliği (Bu hizmet şifreleme ile sağlanır)

S/MIME zarflanacak(şifrelenecek) veri için MIME türünü application/pkcs7-mime olarak belirler.[7]

S/MIME Sertifikaları

S/MIME'ın yukarıdaki uygulamalardan herhangi birinde kullanılmadan önce, kişinin kendi sertifika otoritesinden (CA) veya bir genel CA'den kendine has bir anahtar/sertifika edinmesi ve yüklemesi gerekir. Kabul edilen en iyi yöntem, imza ve şifreleme için ayrı gizli anahtarlar (ve ilgili sertifikalar) kullanmaktır çünkü bu yol, imza anahtarının inkâr edememezlik özelliğine zarar vermeden şifreleme anahtarının güvenli bir şekilde tutulmasını sağlar. Şifreleme, alıcı tarafın sertifika deposundaki sertifikasına sahip olmayı gerektirir (genellikle geçerli bir imzalama sertifikasına sahip taraflardan bir ileti alındığında bu işlem otomatiktir). Dijital olarak imzalamak için kendi sertifikası olmadan (sadece hedef taraf sertifikasını kullanarak) şifrelenmiş bir mesaj göndermek teknik olarak mümkün olsa da, pratikte şifreleme için önce kendi sertifikalarını yüklemesi gereklidir. Tipik bir temel ("sınıf 1") kişisel sertifikası sahibin "kimliğini" ve gerçekten o göndericiden geldiğini doğrular. Kişinin adını veya işletme adını doğrulamaz. Gönderici, kendi kimliğini doğrulamak (yani aldığı sertifikanın kendi adını veya kurumunun adını taşıdığını göstermek) için e-posta alıcılarını etkinleştirmek istiyorsa,göndericinin daha kapsamlı bir kimlik doğrulama işlemi yürüten bir CA'dan bir sertifika ("sınıf 2") alması gerekir ve bu, gerek duyulması halinde sertifika sahibi ile ilgili sorular sormayı(kaynak ile ilgili sorular) gerektirir.

CA'nın politikasına bağlı olarak, sertifika ve tüm içeriği referans ve doğrulama için herkese açık olarak yayınlanabilir. Bu politika, adın ve e-posta adresinin herkes tarafından görülebilmesi ve aranabilmesi için erişilebilir ve kullanılabilir olmasını sağlar. Diğer CA'lar, yalnızca kişisel bilgileri içermeyen seri numaraları ve iptal durumlarını (bkz. certificate revocation) yayınlar. İkincisi, en azından, açık anahtar altyapısının bütünlüğünü korumak için zorunludur.

Uygulamada S/MIME'nin dağıtımının önündeki engeller

  • S/MIME bazen web posta istemcileri aracılığıyla kullanım için uygun olarak kabul edilmez. Her ne kadar destek, bir tarayıcıda hacklenmeye uğrayabilse de, bazı güvenlik uygulamaları, gizli(private) anahtarın kullanıcı tarafından erişilebilir olmasını, ancak web posta sunucusundan erişilememesini ve webmail'in temel avantajını karmaşıklaştırmasını gerektirir: Her yerde erişilebilirlik sağlamak. Bu sorun tamamen S/MIME'a özgü değildir: webmail'i imzalamanın diğer güvenli yöntemleri de imzayı üretecek kodu çalıştırmak için bir tarayıcı gerektirebilir; istisnalar PGP Desktop ve GnuPG sürümleridir, bunlar webmail'den veri alır, bir pano yardımıyla imzalar ve imzalı verileri tekrar webmail sayfasına yerleştirir. Güvenlik açısından bakıldığında bu daha güvenli bir çözümdür.
  • S/MIME uçtan uca güvenlik için uyarlanmıştır. Mantıksal olarak, kötü amaçlı yazılım için e-posta denetleyen bir üçüncü partiye sahip olmak ve aynı zamanda uçtan uca güvenli iletişimlere sahip olmak mümkün değildir. Şifreleme sadece mesajları değil aynı zamanda zararlı yazılımları da şifreleyecektir. Böylece, postalar herhangi bir yerde kötü amaçlı yazılımlar için değil, bir şirketin ağ geçidi gibi uç noktalarda taranmazsa, şifreleme kötü yazılımları bulan ve engelleyen dedektörü bozar ve kötü amaçlı yazılımları başarılı bir şekilde teslim eder. Bunun tek çözümü, şifre çözme işleminden sonra son kullanıcı tarafında kötü amaçlı yazılım taraması yapmaktır. Diğer çözümler, kötü amaçlı yazılımları tespit etmek amacıyla üçüncü taraflarca paylaşılacak anahtarlar gerektirdiğinden, uçtan uca güven sağlamamaktadır. Bu tür risklerin örnekleri şunlardır:
    • Ağ geçidi sunucusundaki gizli(private) anahtarları saklayan çözümlerden dolayı, ağ geçidinde kötü amaçlı yazılım taramasından önce şifre çözme işlemi gerçekleşebilir. Bu şifrelenmemiş mesajlar daha sonra son kullanıcılara teslim edilir.
    • Kötü amaçlı yazılım tarayıcılarına gizli anahtarlar depolayan çözümler vardır. Böylece mesaj içeriği denetlenebilir. Şifreli mesaj daha sonra hedefine aktarılır.
  • Uygulama için bir sertifika gerekliliği nedeniyle, tüm kullanıcılar S/MIME'dan yararlanamaz, çünkü bazıları bir mesajı şifrelemek isteyebilir, örneğin, bir açık/gizli anahtar çifti ile, sertifikaların katılımı veya idari yükü olmadan.

S/MIME e-posta istemcisinin şifrelenmiş olarak depoladığı herhangi bir mesaj, ilgili anahtar çiftinin gizli anahtarı kullanılamıyorsa veya başka bir şekilde kullanılamazsa (örn. Sertifika silinmiş veya kaybolmuşsa veya gizli anahtarın parolası unutulmuşsa) şifresi çözülemez. Ancak, süresi dolan, iptal edilmiş veya güvenilmeyen bir sertifika, kriptografik amaçlar için kullanılabilir durumda kalacaktır. Şifreli mesajların açık metninin(şifrelenmemiş metin, clear text) indekslenmesi, tüm e-posta istemcileriyle mümkün olmayabilir. Bu olası ikilemlerin hiçbiri S/MIME'a özgü değildir, genel olarak şifrelenecek metinlerine has bir özelliktir. Bu çözümler sadece imzalanmış ve şifrelenmemiş S/MIME mesajlarına uygulanmaz. S/MIME imzaları genellikle "müstakil(birbirinden bağımsız) imzalar" dır. Yani imza bilgileri imzalı metinden ayrıdır. Bunun için MIME türü multipart/signed'dır.[8] İkinci kısım bir alt MIME türüne sahiptir. Bu alt tür ise application/(x-)pkcs7-signature'dır.[9] Mail listesi, bir mesajın metinsel kısmını değiştirmek ve böylece imzayı geçersiz kılmak için kötü bir yoldur; Ancak, bu sorun S/MIME'a özgü değildir ve dijital imza sadece imzalı içeriğin değiştirildiğini gösterir.

Ücretsiz S/MIME sertifika sağlayıcıları

Sadece kişisel kullanım için (ticari değil)

Kaynakça

  1. ^ "Arşivlenmiş kopya". 6 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  2. ^ rfc:3369
  3. ^ rfc:3370
  4. ^ rfc:3850
  5. ^ rfc:3851
  6. ^ "Arşivlenmiş kopya". 6 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 
  7. ^ rfc:2633
  8. ^ rfc:4134
  9. ^ "Arşivlenmiş kopya". 7 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Nisan 2018. 

İlgili Araştırma Makaleleri

POP3, OSI referans modelinin uygulama katmanında çalışan bir E-posta iletişim protokolüdür. Bu protokol yerel E-posta alıcıları tarafından uzak sunucudan E-postaları indirmek için kullanılır ve bu işlem TCP 110 numaralı port üzerinden gerçekleştirilir. POP ve IMAP günümüzde en çok kullanılan iki e-posta protokolüdür. Tüm güncel e-posta alıcıları ve sunucuları iki protokolü de destekler. POP birkaç versiyon olarak geliştirilmiştir ve şu anda standart olarak kullanılanı 3. versiyonudur. Bu yüzden POP3 adı kullanılır.

SMTP, bir e-posta göndermek için sunucu ile istemci arasındaki iletişim şeklini belirleyen protokoldür. Farklı işletim sistemleri için geliştirilmiş e-posta protokolleri bulunmaktadır. Bu e-posta protokollerinin SMTP'ye geçit yolu (gateway) vardır. SMTP, Aktarım Temsilcisi ve Kullanıcı Temsilcisi yazılımları arasındaki iletişimi sağlar. TCP'nin üst katmanında çalışır.

HTTPS bir bilgisayar ağı üzerinden güvenli iletişim için internet üzerinde yaygın olarak kullanılan bir HTTP uzantısıdır. HTTPS'te, iletişim protokolü Taşıma Katmanı Güvenliği (TLS) veya öncesinde, onun öncülü/selefi olan Güvenli Soket Katmanı (SSL) ile şifrelenir. Bu nedenle protokol sık sık TLS üzerinden HTTP veya SSL üzerinden HTTP olarak da adlandırılır.

<span class="mw-page-title-main">Elektronik imza</span>

Elektronik imza ya da sayısal imza, başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veridir. E-imza olarak da bilinir. Elektronik ortamlarda imza yerine kullanılabilen yasal kimlik doğrulama sistemidir. Elektronik imza, elektronik belge'ye girilen bir isim kadar basit olabilir. Dijital imzalar, elektronik imzaları kriptografik olarak korunan bir şekilde uygulamak için e-ticarette ve düzenleyici dosyalarda giderek daha fazla kullanılmaktadır. Özellikle e-ticaretin hızlı yükselişi nedeniyle daha fazla önem kazanmştır. Elektronik imza sayesinde imzalanmış verinin, kimin tarafından imzalandığı ve güvenilirliği kontrol edilmiş olur. Elektronik imza; iletilen bilginin bütünlüğünün bozulmadığını, bilginin tarafların kimlikleri doğrulanmak suretiyle iletildiğini garanti eder. Ulusal Standartlar ve Teknoloji Enstitüsü veya ETSI gibi standardizasyon ajansları, bunların uygulanması için standartlar sağlar.

<span class="mw-page-title-main">Açık anahtarlı şifreleme</span> hem herkese açık hem de gizli anahtarları kullanarak yapılan şifreleme

Açık anahtarlı şifreleme, şifre ve deşifre işlemleri için farklı anahtarların kullanıldığı bir şifreleme sistemidir. Haberleşen taraflardan her birinde birer çift anahtar bulunur. Bu anahtar çiftlerini oluşturan anahtarlardan biri gizli anahtar diğeri açık anahtardır. Bu anahtarlardan bir tanesiyle şifreleme yapılırken diğeriyle de şifre çözme işlemi gerçekleştirilir. Bu iki anahtar çifti matematiksel olarak birbirleriyle bağlantılıdır.

<span class="mw-page-title-main">Transport Layer Security</span> Internet Şifreleme Protokolü

Taşıma Katmanı Güvenliği (TLS) ve onun öncülü/selefi olan Güvenli Soket Katmanı (SSL), bilgisayar ağı üzerinden güvenli haberleşmeyi sağlamak için tasarlanmış kriptolama protokolleridir. X.509 sertifikalarını kullanırlar ve bundan dolayı karşı tarafla iletişime geçeceklerin kimlik doğrulaması asimetrik şifreleme ile yapılır ve bir simetrik anahtar üzerinde anlaşılır. Bu oturum anahtarı daha sonra taraflar arasındaki veri akışını şifrelemek için kullanılır. Bu, mesaj/veri gizliliğine ve mesaj kimlik doğrulama kodları için mesaj bütünlüğüne izin verir. Protokollerin birçok versiyonu ağ tarama, elektronik mail, İnternet üzerinden faks, anlık mesajlaşma ve İnternet üzerinden sesli iletişim gibi uygulamalarda yaygın olarak kullanılmaktadır. Bu durumda/içerikte/bağlamda en önemli özellik iletme gizliliğidir. Bundan dolayı kısa süreli oturum anahtarı, uzun süreli gizli simetrik anahtardan türetilememelidir.

<span class="mw-page-title-main">KMail</span>

KMail, KDE projesi kapsamında geliştirilen bir e-posta istemcisidir. KDE'nin kişisel bilgi yönetim aracı olan Kontact'ın bir bileşenidir. HTML ileti görüntüleme, ileti filtreleme, OpenPGP şifreleme gibi çeşitli özelliklere sahiptir, uluslararası karakter kümelerini destekler.

<span class="mw-page-title-main">Kerberos (iletişim kuralı)</span>

Kerberos / kərbərəs / güvenli olmayan bir ağ üzerinde haberleşen kaynakların, bilet mantığını kullanarak kendi kimliklerini ispatlamak suretiyle iletişim kurmalarını sağlayan bir bilgisayar ağı kimlik doğrulama protokolüdür. Protokolün tasarımcıları, ilk başta istemci-sunucu modelini hedef almış ve bu doğrultuda hem kullanıcının hem de sunucunun birbirlerinin kimliklerini doğrulamasını sağlayan karşılıklı kimlik doğrulama özelliğini sunmuşlardır. Kerberos protokol mesajları, izinsiz dinlemelere ve yansıtma ataklarına karşı dayanıklıdır.

İnternet anahtar değişim protokolü ya da Internet Key Exchange internet üzerinde güvenli bir şekilde veri alışverişi için kullanılan anahtarların değişimini sağlayan protokoldür.

<span class="mw-page-title-main">Aradaki adam saldırısı</span>

Man-in-the-middle saldırısı, saldırganın birbiri ile doğrudan iletişim kuran iki taraf arasındaki iletişimi gizlice ilettiği veya değiştirdiği saldırı türüdür. İletişim ağı üzerinde veri paketleri serbestçe dolaşır. Özellikle broadcast olarak salınan paketler, aynı ağa bağlı tüm cihazlar tarafından görülebilir. İlkesel olarak hedefinde kendi IP'si olmayan bir paketi alan makinelerin, bu paketlerle ilgili herhangi bir işlem yapmamaları gerekir. Ancak istenirse bu paketlere müdahale edebilir ya da içeriğini öğrenebilirler. Aradaki adam saldırısı ağ üzerindeki paketleri yakalayarak manipüle etmek olarak özetlenebilir.

Pretty Good Privacy (PGP), 1991 yılında Phil Zimmermann tarafından geliştirilen, OpenPGP standardını kullanarak veri şifrelemek, şifreli veriyi çözmek veya veriyi imzalamak için kullanılan, gönderilen ya da alınan verinin gizliliğini ve kimlik doğrulamasını sağlayan bir bilgisayar programıdır. Genellikle text dokümanlarını, e-postaları, dosyaları, klasörleri ve disk bölümlerini şifrelemek ve imzalamak için kullanılır.

<span class="mw-page-title-main">Açık anahtar altyapısı</span>

Açık anahtar altyapısı (AAA), dijital sertifikaların oluşturulması, yönetimesi, dağıtılması, kullanılması ve yeri geldiğinde iptal edilebilmesi için donanım, yazılım, kullanıcılar(kurumlar veya insanlar) kurallar ve gerekli prosedürlerden meydana gelen bir yapıdır.

Fırsatçı şifreleme, bir sistemden başka bir sisteme bağlanırken iletişim kanallarını şifrelemek için kullanılır. Bu yöntem iki sistem arasında ön düzenlemeyi gerektirir.

Sertifika otoritesi, dijital imzalama işlemi yapan ve belgeleyen kurumdur. Sertifika otoritelerinin görevi, açık anahtarları kendi gizli anahtarlarıyla imzalayarak 3. taraflara sunmaktır. Dijital sertifika imzalama işlemi açık anahtar altyapısı kullanılarak yapılır. Açık anahtarlı şifreleme, kullanıcıların güvenli olmayan ağlarda dijital sertifikaların kullanılması suretiyle güvenli bir şekilde iletişim kurabilmesini ve karşı tarafın kimliğini doğrulamasını sağlayan bir şifreleme yöntemidir.

Güvenli kabuk,, ağ hizmetlerinin güvenli olmayan bir ağ üzerinde güvenli şekilde çalıştırılması için kullanılan bir kriptografik ağ protokolüdür. En iyi bilinen örnek uygulaması bilgisayar sistemlerine uzaktan oturum açmak için olandır.

Alan adı Anahtarlarıyla Tanımlanmış E-Posta (DKIM) e-posta sahteciliğini algılamak için tasarlanmış bir [Email authentication e-posta kimlik doğrulama] yöntemidir. Alıcının, belirli bir alandan geldiği iddia edilen bir e-postanın gerçekten bu alanın sahibi tarafından yetkilendirildiğini kontrol etmesini sağlar. Bu yöntemle e-postalarda sahte gönderici adresleriyle yemleme ve yığın e-posta gibi saldırıları önlemek amaçlanmıştır.

<span class="mw-page-title-main">Açık anahtar sertifikası</span>

Açık anahtar sertifikası ya da bilinen diğer adıyla dijital sertifika, açık anahtar sahipliğinin kanıtlanmasında kullanılan bir elektronik dokümandır. Sertifika, anahtar hakkında bilgiler, sahibinin kimliği hakkında bilgiler ve sertifikanın içeriğini doğrulayan bir varlığın dijital imzasını içerir. İmza geçerliyse ve yazılım, incelediği sertifikanın sağlayıcısına güveniyorsa, sertifikanın öznesi ile güvenli bir şekilde iletişim kurmak için bu anahtarı kullanabilir. E-posta şifreleme, kod imzalama ve elektronik imza sistemlerinde özne genelde bir kişi ya da kuruluştur. Ancak, Transport Layer Security (TLS)’de özne genelde bir bilgisayar ya da farklı aygıt olmasına rağmen TLS sertifikaları, cihazları tanımlamasındaki temel rollerine ek olarak kuruluşları ya da bireyleri tanımlayabilir. Bazen eski adı olan Secure Sockets Layer (SSL) olarak da anılan TLS, web’de güvenli gezinme için bir iletişim protokolü olan HTTPS’nin önemli bir parçasıdır.

Uçtan uca şifreleme (E2EE), sadece uç noktadaki kullanıcıların okuyabildiği bir iletişim sistemidir. Hedefi, İnternet sağlayıcıları, ağ yöneticileri gibi aradaki potansiyel gizli dinleyicilerin, konuşmanın şifresini çözmek için gereken şifreleme anahtarlarına erişmesini engellemektir.

Skype, Skype Technologies S.A. tarafından geliştirilen İnternet Üzerinden Ses Protokolü (VoIP) sistemidir. Sesli aramaların özel amaçlı bir ağdan ziyade İnternet üzerinden geçtiği eşler arası (peer-to-peer) bir ağdır. Skype kullanıcıları diğer kullanıcıları arayabilir ve onlara mesaj gönderebilir.

<span class="mw-page-title-main">İnternet güvenliği</span>

Internet güvenliği, yalnızca Internet, sıkça tarayıcı güvenliği ve World Wide Web ile ilgili değil, aynı zamanda Ağ Güvenliği, uygulama ve işletim sistemleri sistemleri ile bir bütün olarak ilgilidir. Amacı, internet üzerinden saldırılara karşı kullanılacak kurallar ve önlemler oluşturmaktır. İnternet, bilgi alışverişi için güvenli olmayan bir kanalı temsil eder; bu da kimlik avı, çevrimiçi virüsler, truva atları, solucanlar ve daha fazlası gibi yüksek bir saldırı veya dolandırıcılık riskine yol açar.