Teknoloji ve internetin hayatımızı şekillendirmesiyle birlikte bu denli gelişmesi de ortaya bir güvenlik açığı çıkarmıştır. Çünkü çok fazla hassas bilgi sanal ortamda dolaşmaya başlamıştır ve bu bilgilerin gizli tutulması çok önemlidir. İnternetten alışveriş yaparken veya bir internet sitesine kaydolurken birçok değerli bilgilerimizi onlarla paylaşırız. Peki, bu tür bilgiler nasıl saklanır, hiç merak ettiniz mi? İnternet sitelerin büyük bir çoğunluğu, kullanıcılarının gizliliğini sağlamak için çeşitli şifreleme yöntemleri kullanır. Özellikle şifrelerimiz, kredi kartı bilgilerimiz şifrelenerek veri depolarında tutulur. Bu verileri güvende tutma yani şifreleme ve analiz etme sanatına da kriptoloji denir. Bu blog yazımda kriptolojiden, kriptolojinin nasıl çalıştığından ve yazımın sonunda da öneminden bahsedeceğim. “Dijital Çağın Teknolojisi” şeklinde bir seri halinde yayınlayacağım bu serinin diğer yazıları, Blokzincir (yayınlandıktan sonra link eklenecektir) ve Kripto Paralar (yayınlandıktan sonra linkler eklenecek) olacaktır.
Kriptoloji, çeşitli mesajların veya verilerin belirli bir sisteme göre şifrelenmesi, bu verileri güvenli bir şekilde iletilmesi ve iletilmiş verilerin çözülmesidir. Diğer bir deyişle şifre bilimidir. Kriptoloji kelimesinin tarihi 1640’lı yıllara dayanır. Yunanca kryptos (gizli, saklı) ve logos (kelime) kelimelerinden türetilmiştir. Kriptolojinin temeli iki alt başlıktan oluşur. Kriptografi ve kriptoanaliz.
Peki, nedir kriptografi? Kriptografi, iletilen bilginin istenmeyen şahıslar tarafından anlaşılmayacak bir biçime dönüştürülmesinde kullanılan tekniklerin tümüdür. Yunanca gizli anlamına gelen “kryptos” ve yazı anlamına gelen “grafein”den türetilmiştir. Kriptografinin Türkçe karşılığına şifreyazım diyebiliriz. Kriptoanaliz, kriptografik sistemlerin oluşturduğu mekanizmaları inceler ve çözmeye çalışır. Bu inceleme sonucunda şifreleme sisteminin, zayıf ve kuvvetli yönlerini ortaya çıkarmak için kullanılır.
Şifreleme, bir bilginin özel bir yöntemle değiştirilerek farklı bir şekle dönüştürülmesidir. Şifrelenen bilgi ise şifre çözme işlemine tabi tutularak ilk haline dönüştürülebilir.
Kriptografi sistemleri şu anda iki temel çalışma alanına bölünmüştür. Bunlar simetrik ve asimetrik kriptografidir. Simetrik şifreleme genellikle simetrik kriptografi ile eş anlamlı olarak kullanılırken asimetrik kriptografi için iki başlıca kullanım alanı vardır. Asimetrik şifreleme ve dijital imzalar. Simetrik şifreleme ve asimetrik şifreleme arasındaki en belirgin fark, simetrik şifreleme algoritmasında tek anahtar kullanılırken, asimetrik şifreleme iki farklı anahtar fakat birbiriyle bağlantılı anahtarlar kullanılır. Basit bir fark gibi gözükse de iki şifreleme tekniğinin, işlevsel farklılıklarını ve kullanım şekillerini belirler.
Simetrik (Gizli anahtarlı) şifreleme, iki ya da daha fazla kullanıcının ortak kullandığı tek bir gizli anahtara dayanır. Bu gizli anahtar, veriyi hem şifreler hem de şifreyi çözme işleminde kullanılır. Algoritması kolay olduğu için hızlı çözümlenir. Ancak şifreyi ve gizli anahtarı ulaştırmak gerektiğinde yaşanacak zorluklar bu yöntemin sıkıntılarıdır. Söz gelimi Ece Can’a simetrik şifrelemeyle korunan bir mesaj gönderirse Can’ın mesajın şifresini çözebilmesi için Ece’nin şifreleme yaparken kullandığı anahtarın aynısını Can’la paylaşması gerekir. Bu durumda kötü niyetli bir kişinin anahtara erişmesi durumunda şifrelenmiş bilgiye de ulaşabileceği anlamına gelir. DES (Data Encryption Standard), IDEA (International Data Encryption Algorithm), RC2 (Rivest’s Cipher veya Ron’s Code2), Blowfish gibi şifreleme algoritmaları simetrik şifrelemeye örnek verilebilir.
Açık anahtarlı şifreleme de denilen asimetrik şifrelemede açık anahtar (public key) ve özel anahtar (private key) olmak üzere iki ayrı anahtar kullanılmaktadır. Bu iki anahtar birbiriyle matematiksel bir ilişki ile bağlıdır ve birbirinden farklıdır. Yani “şifrelemek ve/veya şifreyi açmak için iki anahtardan hangisi varsa onu kullanabilirsin” şeklinde değildir. Bu iki anahtar birbirinin yerine geçebilen anahtarlar olmayıp birbirlerinin tamamlayıcısıdır. Bu iki anahtardan açık anahtar (public key) şifrelemek için özel anahtar (private key) ise şifreyi çözmek için kullanılır. Anahtar çiftlerini üreten algoritmaların matematiksel özelliklerinden dolayı açık-özel anahtar çiftleri her kişi için farklıdır, diğer bir deyişle her kullanıcının açık-özel anahtar çifti, yalnızca o kullanıcıya özeldir. Bu şifreleme yöntemine açık anahtarlı şifreleme denmesinin sebebi ise şifre anahtarının yani açık anahtarın (public key) halka (kamuya/genel kullanıma) açık olmasıdır. Bir yabancı bir iletiyi şifrelemek için açık anahtarı kullanabilir ancak sadece ilgili şifre özel anahtara sahip bir kişi tarafından çözülebilir. Ayrıca özel anahtarı, açık anahtardan elde etmek neredeyse imkansızdır. Çünkü kripto paralarda da sıklıkla kullanılan SHA256 protokolü için bu oran 2256’dır. Bu ihtimal ise 11 ülkeden yılbaşı piyango bilet alıp da hepsine birden büyük ikramiyenin çıkması kadar bir ihtimaldir. Söz gelimi Ece Can’a asimetrik şifreleme ile korunan bir mesaj göndermek istiyor. Bunun için ilk önce Can, bir anahtar çifti üretme protokolü ile bir anahtar çifti üretip özel anahtarı kendisine saklar ve açık anahtarı Ece’ye gönderir. Ece ise Can’dan gelen açık anahtarı ile mesajını şifreler ve Can’a gönderir. Can’da Ece’den gelen şifrelenmiş mesajı, kendisine sakladığı özel anahtarı ile deşifre eder ve mesajı ulaşır. Farz edelim şifrelenmiş mesaj yolda kötü niyetli birisinin eline geçmiş olsun. Kötü niyetli kişinin elinde Can’a ait özel anahtar olmadığından, kilidi açamayacak ve mesajın mahremiyeti muhafaza edilmiş olacaktır. Bu asimetrik şifreleme de amaç verinin gizliliğiydi. Hatırlarsanız yazının yukarıdaki kısmında asimetrik kriptografi için iki tane başlıca kullanım alanı var demiştik. Asimetrik şifreleme ve dijital imzalardı.
Dijital imzalamak, veriyi dijital imzalamak demektir yani o verinin hem içeriğinin değişmemiş olduğunu hem de ilgili kişiden gelmiş olduğunu gösterir. Asimetrik şifrelemede amaç belgenin mahremiyetiydi, dijital imzalarda ise amaç verinin özgün olması ve doğru kişiden geliyor olması önemlidir. Dijital imza ağlarda da açık ve özel anahtar olmak üzere iki ayrı anahtarı vardır. Ancak bu iki anahtar asimetrik şifrelemede olduğu gibi matematiksel bir ilişki ile bağlıdır ve birbirinden farklıdır. Asimetrik şifrelemede şifreyi çözmek için özel anahtar, şifrelemek için açık anahtar kullanılıyordu. Ancak dijital imzalarda durum tam tersi, özel anahtar şifrelemek için açık anahtar ise şifreyi çözümlemek için kullanılır.
e2c462e3e1f260a9130d09c099a7220e83762adac65536eb38b3e09b81418343Girdimizin ilk harfini büyük harf yapıp “Kitap” şeklinde yeni bir çıktı üretirsek sonuç budur:
087bfb8f50770e889af07e9cbb94ea809f8dd23810e75a641485077b37c0c0a9Sadece bir harfi büyütmemiz çıktıda (hash değerinde) çok büyük bir değişikliğe sebep oldu. Hash fonksiyonları, kriptografi ile birleştirildiklerinde çok kullanışlı hale gelerek, birçok farklı yoldan güvenlik ve doğruluk sunar. Hash fonksiyonları hakkında olsa beyninizin kıvrımlarında bir fikir oluşmuştur. Şimdi asıl konumuza dijital imzalara geri dönelim. Dijital imzaların nasıl çalıştığını daha iyi anlamak için tekrardan Ece ve Can ikilisi üzerinden örnekleyelim. Ece, Can’a dijital imzalı mesaj göndermek istiyor. Bunun için Ece imzalı belgeyi göndermeden önce ilk olarak bir anahtar çifti üretir. Açık anahtarı Can’a gönderir. Sonra Ece, göndereceği belgenin hash (özet, parmak izi) değerini hesaplar. Bu hash değerini özel anahtarı ile kilitler ve kilitlenmiş özeti yani hash değerini belgeye ekler. Belgeyi Can’a gönderir. Can ise Ece’nin önceden gönderdiği açık anahtar ile belgedeki kilitlenmiş hash değerini açar. Sonra gelen belgenin hash değerini hesaplar. Hesapladığı hash değeri ile açık anahtar ile açtığı hash değerini karşılaştırır. Eşit mi? Ezcümle, asimetrik şifrelemede amaç, verinin gizliliği; dijital imzalarda ise amaç, kaynağın doğrulanmasıdır.
Peki, neden bu kadar önemli bu kriptografi? WikiLeaks’in genel yayın yönetmeni ve şifrepunk felsefesinin önde gelen savunucularından biri olan Julian Assange’ kulak verelim: 21.yüzyılı “küresel gözetleme çağı” olarak tanımlayan Assange “cep telefonu aslen bir izleme cihazıdır, ara sıra görüşme yapmamıza da izin verir” diyerek durumun vahametini gözler önüne seriyor. Her dakikamız, her adım atışımız, her alışverişimiz, sosyal medya uygulamalarında paylaştığımız her fotoğrafımız, bu uygulamalarda iz bıraktığımız her kayıt izleniyor ve kayıt altına alınıyor. Yeri geldiğinde kullanılmak üzere sonsuza kadar saklanabiliyor. Nur topu gibi bir “dijital gölge”. Bundan yaklaşık sekiz yıl önce dünya kamuoyu dinlenme skandalları ile çalkalanmıştı. Amerikan Ulusal Güvenlik Teşkilatı’nın (NSA) “küresel” ve “kitlesel” dinleme ve izleme programlarını, eski istihbarat görevlisi Edward Snowden tarafından ifşa edilmişti. (Bu konu hakkında bir yazım mevcuttur. KAHRAMAN MI HAİN Mİ?) Yine aynı tartışmada Jeremie Zimmermann (kendisi de benzer şekilde temel özgürlükleri savunan bir sosyal topluluğun kanaat önderlerinden) büyük şirketlerin veri casusluğu konusuna vurgu yapıyor ve şöyle söylüyor: “… özel sektör eliyle kitlesel olarak veri toplanması söz konusu. Bunun için Google’a bakmak yeterli. Eğer sıradan bir Google kullanıcısıysanız, Google sizin kimlerle irtibatta olduğunuzu, kimleri tanıdığınızı, hangi konuyu araştırdığınızı, cinsel yöneliminizi, dinsel inancınızı, felsefi yaklaşımınız biliyor.” Dijital alemdeki insan hakları ihlalleri konusunda yaptırımların uygulanması için uğraş veren sivil kuruluş Avrupa Dijital Hakları’nın (EDRi) kurucuları arasında bulunan Andy Müller-Maguhn son noktayı koyuyor. “Google senin hakkında senin bilmediğinden fazlasını biliyor.”
Peki, kriptografi gözetlemeye çare olabilir miydi? Şifrepunk felsefesini benimseyen insanlar bu şiarla yola çıktılar. Merkezi bir otoritenin yönetiminde olmayan, dağıtık yapılı bir internet ve bunun üzerine işleyen sistemler geliştirilmeliydi. Bağımsız, açık yazılımlı arama programlarına yapılmalıydı. Güçlü şifrelemeler oluşturmaya, kripto telefon gibi teknolojiler geliştirmeye, dijital imzalar yaratmaya odaklanmalıydı. Lakin birilerinin bunun için bir kod yazması gerekliydi ve o birileri “Şifrepunk”lardı. Şifrepunk hareketi, FBI’a, NSA’ya, kurulu nizama yani Büyük Birader’e bir başkaldırıydı. (“Büyük birader” kavramı, İngiliz yazar George Orwell’in 1984 romanında geçen ifadelerin en önemlilerindendir. Önemli bir başka ifade ise “Büyük Birader seni izliyor.”) Şifrepunk hareketi Büyük Birader’i küresel ve kitlesel gözetim yapan, arkasında istihbarat desteği de olan uluslararası şirketler ve yüzü görünmeyen yapılar olarak tanımlıyor. Şifrepunklar, internette zaman geçirdiğimiz her anın izlendiğini, verilerin gizli depolarda saklandığını, bunların yapay zekaya dayalı ilişkili bulma algoritmalarıyla incelendiğini ve “gözetleyenler” ile “gözetlenenler” arasında gözetlenenlerin aleyhine büyük bir güç dengesizliği oluşturduğunu iddia ederek çıktı bu yola. Şifrepunk felsefesinin özünde “daha az merkezi otorite için daha çok kriptografi” vardır.
Bu yazım burada bitti. Okuduğunuz için çok teşekkür ederim. İleri okumalar ve detaylı bilgi edinmek için kaynaklar bölümünde paylaştığım dokümanları inceleyebilirsiniz.
Bir başka yazıda görüşmek üzere...
Kendinize iyi bakın...
İyi ki varsınız...
Bu yazıya emojiyle tepki ver!
1
0
0
0
0
0
0
0
Kaynaklar
- Blokzincir - Kripto Paralar - Bitcoin - Satoshi Dünyayı Değiştiriyor, Vedat Güven - Erkin Şahinöz, Kronik Kitap
- Halife KODAZ, Fatih M. BOTSALI, Simetrik ve Asimetrik Şifreleme Algoritmalarının Karşılaştırılması, Selçuk-Teknik Dergisi Cilt 9, Sayı:1-2010, ISSN 1302-6178
- Simetrik ve Asimetrik Şifreleme Kıyaslaması (Binance Academy)
- Dijital İmza Nedir? (Binance Academy)
- Hashing Nedir? (Binance Academy)
- Açık Anahtar Kriptografisi Nedir? (Binance Academy)
- Simetrik Anahtar Kriptografisi Nedir? (Binance Academy)
Yorumlar
Yorum Yapabilirsiniz :)
Popüler Yazılar
