bilgiz.org

Güvenlik Sistemlerinde İnsan Faktörü

  • Anahtar Kelimeler
  • Kimlik Doğrulama (Authentication)
  • İnkar edilememe (Non-repudiation) Alıcının ve göndericinin, aldıkları ya da gönderdikleri veriyi inkar edememeleridir. Erişilebilirlik (Availability)
  • Erişim Denetimi (Access Control)
  • Değiştirme (Modification)
  • 5. GÜVENLİKTE İNSAN FAKTÖRÜ
  • 5.1 Şifrelerin Kırılması
  • 6.1 Şifreleme (Cryptography) ve Kripto analizi (Cryptanalysis)
  • 6.2 Sayısal İmza (Digital Signature)



  • Tarih27.12.2017
    Büyüklüğü50.94 Kb.

    Indir 50.94 Kb.

    Bilgi Sistemleri Güvenliğinde İnsan Faktörü

    Baki Murat Bozkurt1 ve Özgü Can2

    1 Ar.Gör., Ege Üniversitesi, Mühendislik Fakültesi,
    Bilgisayar Mühendisliği Bölümü, BİTAM Network Yönetim Grubu,
    35100 Bornova İZMİR

    bozkurt@bornova.ege.edu.tr

    2 Ar.Gör., Ege Üniversitesi, Mühendislik Fakültesi,
    Bilgisayar Mühendisliği Bölümü, BİTAM Network Yönetim Grubu,
    35100 Bornova İZMİR

    ozgucan@bornova.ege.edu.tr

    Özet

    İnsan faktörü, güvenlik sistemlerinin en zayıf noktasını oluşturmaktadır. Bu durumda sistemin kullanıcıları, güvenlik zincirinin en zayıf halkası olmaktadırlar. Kullanıcıların yaptıkları bir ihmal, sistemin bütün güvenlik önlemlerini boşa çıkarabilmektedir. Bu amaçla, kullanıcıların bilgi güvenliği, sistemlerin maruz kalabileceği tehdit ve saldırılar konusunda bilgilendirilmeleri, güvenlik unsurlarını tanımaları ve güvenli kullanım konusunda eğitilmeleri gerekmektedir. Kullanıcıların, sistemin güvenlik zincirindeki yerlerini anlamaları ve buna göre hareket etmeleri gerekmektedir. Aksi durumda, sistem yöneticileri, zamanlarının büyük bir kısmını kullanıcıların hatalarını düzeltmekle geçirmek durumunda kalmaktadırlar. Ancak yine de kullanıcıların yarattıkları açıklardan dolayı, sistem güvenliği tam olarak sağlanamamaktadır.

    Bu bildiride, öncelikle bilgi güvenliğinin tanımı yapılmakta, bilgi güvenliğinin unsurları anlatılmakta, ardından bilgi güvenliğine karşı yapılan tehdit ve saldırılara değinilmektedir. Güvenliğin amaçları incelenerek, saldırı öncesinde, saldırı sırasında ve saldırıdan sonra neler yapılabileceği anlatılmaktadır. Son olarak insan faktörünün güvenlik sisteminde yarattığı açıklar irdelenmekte, kullanıcıların eğitilmelerinin ne kadar önemli olduğu vurgulanmaktadır.

    Gizliliğe karşı yapılan saldırıları engellemek için alınabilecek en önemli önlemlerden biri şifreleme biliminin kullanılmasıdır. Bu amaçla, şifreleme bilimi kısaca tanıtılmakta, simetrik ve asimetrik şifreleme sistemleri özetlenmektedir. Özgünlüğü sağlayan sayısal imza da, asimetrik şifreleme yöntemi ışığında kısaca açıklanmaktadır.

    Anahtar Kelimeler: Bilgi Güvenliği, Güvenlik Açıkları, Güvenlikte İnsan Faktörü, Şifreleme Yöntemleri

    1. GİRİŞ

    İnsan faktörü, güvenlik sistemlerinin en zayıf noktasını oluşturmaktadır. Bu durumda sistemin kullanıcıları, güvenlik zincirinin en zayıf halkası olmaktadırlar. Kullanıcıların yaptıkları bir ihmal, sistemin bütün güvenlik önlemlerini boşa çıkarabilmektedir. Bu amaçla, kullanıcıların bilgi güvenliği, sistemlerin maruz kalabileceği tehdit ve saldırılar konusunda bilgilendirilmeleri, güvenlik unsurlarını tanımaları ve güvenli kullanım konusunda eğitilmeleri gerekmektedir. Kullanıcıların, sistemin güvenlik zincirindeki yerlerini anlamaları ve buna göre hareket etmeleri gerekmektedir. Aksi durumda, sistem yöneticileri, zamanlarının büyük bir kısmını kullanıcıların hatalarını düzeltmekle geçirmek durumunda kalmaktadırlar. Ancak yine de kullanıcıların yarattıkları açıklardan dolayı, sistem güvenliği tam olarak sağlanamamaktadır.

    Bu bildiride, öncelikle bilgi güvenliğinin tanımı yapılmakta, bilgi güvenliğinin unsurları anlatılmakta, ardından bilgi güvenliğine karşı yapılan tehdit ve saldırılara değinilmektedir. Güvenliğin amaçları incelenerek, saldırı öncesinde, saldırı sırasında ve saldırıdan sonra neler yapılabileceği anlatılmaktadır. Son olarak insan faktörünün güvenlik sisteminde yarattığı açıklar irdelenmekte, kullanıcıların eğitilmelerinin ne kadar önemli olduğu vurgulanmaktadır.

    Gizliliğe karşı yapılan saldırıları engellemek için alınabilecek en önemli önlemlerden biri şifreleme biliminin kullanılmasıdır. Bu amaçla, şifreleme bilimi kısaca tanıtılmakta, simetrik ve asimetrik şifreleme sistemleri özetlenmektedir. Özgünlüğü sağlayan sayısal imza da, asimetrik şifreleme yöntemi ışığında kısaca açıklanmaktadır.



    2. BİLGİ GÜVENLİĞİ

    Bilgi; kişi, kurum ve kuruluşlar için değerli bir varlıktır. Her değerli varlık gibi bilginin de korunması gerekmektedir. Bilgi güvenliği; bilginin izinsiz kullanıcılar tarafından çalınmasını, kullanılmasını ya da değiştirilmesini engellemektir.

    Bilgi güvenliği aşağıdaki unsurları içermektedir:


    • Kimlik Doğrulama (Authentication)

    Alıcının, veriyi gönderen kişinin iddia ettiği kişi olduğunu doğrulamasıdır. Şifre sorma işlemi kimlik doğrulamaya örnektir.

    • Gizlilik (Data Confidentiality)

    Yetkisiz kişilerin gönderilen veriye erişiminin engellenmesidir.

    • Doğruluk-Bütünlük (Data Integrity)

    Gönderilen verinin yetkisiz kişiler tarafından değiştirilememesidir.

    • İnkar edilememe (Non-repudiation)

    Alıcının ve göndericinin, aldıkları ya da gönderdikleri veriyi inkar edememeleridir.

    • Erişilebilirlik (Availability)

    Yetkili kişilerin bilgisayar sistemine ve kritik bilgilere olan erişimi engellenmemelidir. Güvenlik sağlanırken bilgiye erişilebilirlik kısıtlanmamalıdır.

    • Erişim Denetimi (Access Control)

    Veriye olan erişimin kontrol edilebilir olmasıdır. Kullanıcı, kendisine verilen izinler doğrultusunda veriye erişebilmekte ve işlem yapabilmektedir.

    3. TEHDİTLER VE SALDIRILAR

    Tehdit (threat), potansiyel güvenlik ihlali olarak tanımlanmaktadır. Tehdidin var olabilmesi için, güvenlik ihlalinin gerçekleşmesi gerekmemektedir. Güvenlik ihlalinin meydana gelebilmesi ihtimali, tehditlere karşı önlem alınmasını ve saldırılara (attack) dönüşen tehditlere karşı hazırlıklı olmayı gerektirmektedir. Bu saldırıları gerçekleştiren kişiler saldırgan (attacker) olarak adlandırılmaktadır.



    Dinleme (Interception)

    Gizliliğe karşı yapılan bir saldırıdır. Yetkisiz kullanıcının bilgiye ulaşmaya çalışmasıdır. Yetkisiz kullanıcı, bir kişi, bir program ya da bir bilgisayar olabilir. Bilgisayar ağında yer alan kablolara izinsiz erişerek, ağ üzerinden geçen bilgiyi yakalamaya çalışmak (wiretapping) ve bunların kopyasını almak örnek olarak gösterilebilir.



    Kesme(Interruption)

    Erişilebilirliğe karşı yapılan bir saldırıdır. Sistemin bir bölümü zarar görmüş veya sisteme erişim durmuş ya da sistem kullanılamaz durumdadır. Sabit disk gibi donanım parçalarının bir bölümünün zarar görmesi; iletişim hatlarında yaşanan bir sorun sebebiyle bağlantının kesilmesi; dosya yönetim sistemi çalışamaz durumda olması örnek olarak gösterilebilir.



    Değiştirme (Modification)

    Doğruluk-bütünlüğe karşı yapılan bir saldırıdır. Yetkisiz bir kullanıcının sistemdeki bilgilere erişmekle yetinmeyip, bu bilgiler üzerinde değişiklikler yapmasıdır. Bir dosyadaki değerlerin değiştirilmesi; programın farklı çalışmasını sağlayan değişikliklerin yapılması; ağ üzerinde iletilen mesajların içeriğinin değiştirilmesi örnek olarak verilebilir.



    Üretme (Fabrication)

    Özgünlüğe karşıya yapılan bir saldırıdır. Yetkisiz bir kullanıcının sisteme sahte bilgiler yerleştirmesidir. Bilgisayar ağına taklit mesajların yerleştirilmesi ya da bir dosyaya kayıt eklenmesi bu saldırı türüne örnektir.





    4. GÜVENLİĞİN AMACI

    Güvenlik politikalarının amacı, sistemin güvenlik mekanizmalarını oluşturmaktır. Bu mekanizmalar, oluşabilecek saldırılara karşı sistemi koruyacak önlemleri almalı; sisteme yapılan saldırıları tespit etmeli, yapılmış saldırıların verdiği zararları gidermelidir.



    Önlem alma (Prevention)

    Sisteme karşı yapılan saldırılar gerçekleşmeden saldırıların engellenmesi ya da saldırının başarısız olduğu durumdur. Örnek olarak, bir sisteme internet üzerinden saldırı yapılmadan önce sistemin internet bağlantısı sonlandırılırsa saldırı önlenmiş olmaktadır. Ancak alınan bu önlemler, sistemlerin kullanımlarında bazı kısıtlamalar getirmektedir.

    Kullanıcılar sistemi kullanırken, sistemde değişiklik yapamayacak şekilde önlemler alındığında, saldırganın sistemi değiştirmesinin önüne geçilmiş olunmaktadır. Şifre kullanımı buna örnek gösterilebilmektedir. Örneğin, bir kullanıcı sistemde paylaşıma açtığı dosyalarını şifre kullanarak, izinsiz kişiler tarafından dosyalarına ulaşılmasını engelleyebilmektedir. Sadece ilgili şifreyi bilen diğer sistem kullanıcıların bu dosyalara erişim izni bulunmaktadır.

    Önleyici mekanizmalar, sistemin bir kısmını koruyabilmektedir. Bu mekanizmalarca korunan sistem kaynaklarının güvenlik problemleri sebebiyle izlenmelerine gerek yoktur.



    Tespit etme (Detection)

    Saldırıların önlenememesi durumunda, en etkin yol saldırının öncelikle tespit edilmesidir. Tespit etme işleminde saldırının gerçekleştiği kabul edilir, burada amaç tespit edilen saldırının rapor edilmesidir. Tipik saldırı tespit mekanizmaları, sürekli olarak sistemdeki değişiklikleri izleyerek, bir saldırının varlığını araştırmaktadırlar. Örneğin bir kullanıcının sisteme bağlanırken kullandığı şifresini üç kez üst üste hatalı girmesi bir saldırı olarak algılanmakta ve sistem log’u olarak rapor edilmektedir.

    Saldırı tespit mekanizmaları, sistemi sürekli olarak ya da periyodik olarak güvenlik problemlerine karşı izlemektedirler.

    İyileştirme (Recovery)

    İyileştirme mekanizmaları iki farklı şekilde ele alınmaktadır. Birinci durumda, iyileştirme mekanizması, gerçekleşen saldırıyı durdurmakta ve saldırının vermiş olduğu zararları düzeltmektedir. Örneğin, saldırgan sistemin kaynaklarını meşgul eden işlemler gerçekleştirdiğinde, öncelikle saldırganın sistemle olan bağlantısı kesilir ve tekrar sisteme girmesi engellenir, daha sonra saldırganın sistemi meşgul tutan işlemleri sonlandırılır.

    İkinci durumda, sistemin çalışması saldırı durumunda sürdürülmektedir. Bu tip iyileştirme mekanizmasının uygulanması, bilgisayar sistemlerinin karmaşıklığı sebebiyle oldukça zor olmaktadır. İlk durumla karşılaştırıldığında, ikinci durumda sistem fonksiyonlarının çalışmasında sorun yaşanmamaktadır. Ancak, bazı durumlarda, sistemin çok kritik olmayan kısımları devre dışı bırakılabilmektedir.

    5. GÜVENLİKTE İNSAN FAKTÖRÜ

    Güvenlik sistemlerinin kalbinde kullanıcılar yer almaktadır. Özellikle bilgisayar güvenliğinde, birçok teknolojik denetim, kullanıcı tarafından devre dışı bırakılabilmektedir. Örneğin, bir bilgisayar sistemine bağlanıldığında, kullanıcıdan kendisine ait, başkası tarafından bilinmeyen gizli şifreyi girmesi beklenmektedir. Böylece sistem, o kullanıcının adıyla bir başkasının sisteme girmesine izin vermemekte, kimlik doğrulaması gerçekleştirilmektedir. Eğer kullanıcı, şifresini başka birine söylerse, gerçekte erişim yetkisi olmayan başka bir kullanıcı sisteme bağlanabilecektir. Sistemin bu kullanıcıyı saldırgan olarak algılaması mümkün olmayacaktır.

    Bir kurumun sistemine saldırmak isteyen ve sisteme girme yetkisi olmayan kişiler sistem için ciddi bir tehdit oluşturmaktadırlar. Ancak, kurumun sistemine girme yetkisi olan, kurumun kendi çalışanları daha ciddi bir tehdit unsuru olmaktadırlar. Çünkü bu çalışanlar, sistemin çalışma prensiplerini bilen, sistemin belirli noktalarına erişim izni/hakkı olan, sistemin güvenlik kontrol noktalarını bilen kişilerdir. Bu kullanıcılar, bu kritik bilgileri kullanarak, sistemin birçok güvenlik kontrol noktasını atlatarak sisteme zarar verebilmektedirler.

    Yeterince eğitim almamış personel, sistem güvenliğini tehdit eden bir diğer unsurdur. Örneğin, yedekleme sisteminde, bilgilerin yedeğini teyp ünitelerine alırken, yedeğin doğrulamasını yapmayan sistem kullanıcısı, herhangi bir saldırganın sistemdeki kritik dosyaları silmesi sonucu, yedek ünitelerinden ilgili dosyaların geri alınmasını sağlayamayabileceği için sistem zarar görmüş olacaktır.

    Güvenlik mekanizmalarının sonuçlarını doğru değerlendiremeyen sistem yöneticileri, sisteme bir saldırının yapıldığını fark etmeyebilmektedirler. Bunun yanı sıra, güvenlik ayarlarında hata yapmaları durumunda, sistemin güvenliğini zayıflatmış olacaklardır. Ayrıca, kullanıcılar da, güvenlik mekanizmalarını doğru bir şekilde kullanmadıklarında, yine güvenliği zayıflatmış olacaklardır. Tahmin edilebilen basit kullanıcı şifreleri buna örnek olarak gösterilebilmektedir.

    Sistem operatörlerinin, şifresini unutan kullanıcıların şifrelerini değiştirme isteklerini telefon çağrıları ile yapmaları başka bir güvenlik açığına sebep olacaktır. Böyle bir yöntem izlendiğinde, saldırganın tek yapması gereken, sistem operatörünü arayarak, sistemdeki bir kullanıcının adını vermesidir. Bu durumda operatör, ilgili kullanıcının şifresini telefonda saldırgana vermiş olacak, böylece saldırgan da normal sistem kullanıcısı olarak sisteme bağlanabilecek ve saldırısını gerçekleştirebilecektir.



    5.1 Şifrelerin Kırılması

    CERT/CC (Computer Security Incident Response Team / Coordination Center) şifre kırma konusunda 1998 yılında yaptığı bir araştırmanın sonuçlarını yayınlamıştır. Bu rapora göre sistemlerin üzerinde fazla sayıda şifre dosyası bulunmaktadır. Saldırganların elinde 186.126 adet kullanıcı hesabı ve bunların şifrelenmiş şifreleri vardır. Şifre dosyalarının sistemlerden toplandığının fark edildiği anda, saldırganlar bu şifrelenmiş şifrelerin 47.642 tanesini şifre kırma aracı ile başarılı bir şekilde çözmüşlerdir.

    Şifre kırma işlemi, güvenlik uzmanları ve saldırganlar tarafından üzerinde sürekli çalışılan ve gelişim içerisinde olan bir bilimdir. Hızlı bilgisayarlar ve etkin programlar ile dakikada binlerce şifreyi test edilebilmektedir. Bir çok şifre kırma programı, genel olarak kullanılan kelimeler, isimler ve geçmişte sıkça kullanılmış şifreleri içeren listeleri deneyerek işleme başlamaktadır. Bir sonraki adım, saldırılan kullanıcı ile ilgili olarak bilinen kelimeleri içeren listeleri oluşturmaktır. Saldırgan, brute-force yöntemini kullanarak olabilecek bütün harf, rakam ve noktalama işaretleri ile oluşturulan kombinasyonları denemektedir.

    Bu bilgiler doğrultusunda tahmin edilmesi güç şifreler seçmenin önemli olduğu görülmektedir. Bu da kullanıcıları hatırlanması zor şifreler seçmeye zorlamaktadır ki bu durumda istenmeyen başka bir uygulama gerçekleşecek ve kullanıcılar şifrelerini bir kenara yazacaklardır.

    Şifre seçiminde dikkat edilecek noktalar şunlardır:


    • Sistemdeki kullanıcı ismi şifre olarak seçilmemelidir.

    • Kullanıcı ilk adını ya da soyadını kullanmamalıdır.

    • Eş, çocuk ya da evcil hayvanın adları kullanılmamalıdır.

    • Doğum tarihi, telefon numarası, araba plakası gibi kişisel bilgiler kullanılmamalıdır.

    • Sözlükte yer alan kelimeler seçilmemelidir, çünkü birçok şifre kırma programı sözlükleri kullanmaktadır.

    • Şifrelerin tamamı rakamlardan ya da aynı harften oluşmamalıdır.

    • Alfabedeki harfleri karıştırılarak bir şifre oluşturulmalıdır. Şifre harf, rakam ve noktalama işaretleri karıştırılarak oluşturulabilir. Ayrıca büyük ve küçük harfler karışık olarak kullanılmalıdır. $, ~, £ gibi özel karakterlerin kullanılması tavsiye edilmektedir.

    • Şifreyi bir yere not etmek durumunda kalmamak için hatırlaması kolay şifre seçilmelidir. Kullanıcı kendisine göre bir şifre biçimi geliştirebilir. Böylece farklı sistemler için şifre belirlerken ve şifresini hatırlarken zorlanmayacaktır.

    • Aynı şifre birden fazla sistemde kullanılmamalıdır. Aksi takdirde hesaplardan biri ele geçirildiğinde diğer sistemlerdeki hesaplar da ele geçirilebilir.

    • Hızlı bir şekilde yazılabilen şifreler seçilmelidir. Böylece saldırganın kullanıcıyı klavyeden şifre girerken takip etmesi güçleşecektir.

    Güvenilir şifre yaratmak ve daha sonra bunu hatırlamak için hatırlamayı kolaylaştıracak söz öbekleri kullanılmalıdır. Örneğin bir cümledeki, şarkı sözü veya tekerleme gibi, kelimelerin ilk harflerini alarak ve bunları büyük ve küçük harfler ya da aralarına rakam ve noktalama işaretleri yerleştirerek şifre oluşturulabilir ya da bazı harfler için dönüştürmeler, O harfi için sıfır rakamı kullanmak gibi, yapılabilir.

    5.2 Şifre Politikaları

    Güvenli şifre seçmek, güvenliği arttırmak için tek başına yeterli değildir. Şifrelerinin güvenliğinin sağlanması için kullanıcıların uyacağı şifre politikaları geliştirilmelidir.

    Öncelikle, kullanıcılar şifrelerini akıllarında tutabilmelidir. Şifreler, takvime ya da not kâğıtlarına yazılmamalı, bilgisayarda saklanmamalıdır. Aksi takdirde kullanıcının güvenliği şifrenin yazılı olduğu kâğıda ya da bilgisayarda saklanan dosyaya bağlıdır.

    İkinci olarak, kullanıcı şifresini başka kişilere vermemelidir. Kullanıcılar şifrelerini hatırlamanın bir yolu olarak parolalarını bir başka kişiye de söylemektedirler.

    Son olarak, kullanıcılar periyodik olarak şifrelerini değiştirmelidirler.

    Bu politikalar doğru bir şekilde uygulandığında saldırganın sisteme girme ihtimali düşecektir. Kullanıcılara hesapları ile birlikte bu politikalar verilmelidir. Sistem yöneticisi de dönemsel olarak bu politikaların uygulanıp uygulanmadığını kontrol etmelidir. Bunu gerçekleştirmenin en iyi yolu da ücretsiz temin edilebilen şifre kırma programlarının sistemde uygulanmasıdır. Bu programlardan elde edilen sonuçlara göre ilgili kullanıcılar uyarılmalıdır.



    6. ŞİFRELEME BİLİMİ

    Kriptoloji sayılar teorisi üstüne kurulu matematik ve şifre bilimidir. Şifreleme bilimi (cryptology) iki bölümde incelenebilir.

    Kriptografi yunanca gizli anlamına gelen “kript” ve yazı anlamına gelen “graf” kelimelerinden türetilmiştir. Kriptografi bilgi güvenliği ile; kriptoanaliz ise güvenli bilginin kırılması ile ilgilenmektedir. Başka bir değişle kriptoanaliz, kriptografinin karşıtıdır. Kriptoanalistler genelde şifre çözme konusu üzerinde çalışırlar. Kriptolog ise şifrebilimcidir.

    6.1 Şifreleme (Cryptography) ve Kripto analizi (Cryptanalysis)

    Bir mesajın içeriğini gizlemek amacıyla, mesajın kendisi üzerinde yapılan değişikliklere şifreleme denir. Bu tanımlamada bahsedilen değişikler ile kastedilen, matematiksel bir algoritma ve şifreleme anahtarı kullanılarak bilginin alıcı dışındaki kişiler tarafından okunamaması ya da değiştirilememesi için kodlanmasıdır.

    Şifrelenmiş bir metini, çözerek açık halini elde etme işlemi veya şifreleme ile hazırlanan kriptoların kırılması kripto analiz olarak tanımlanabilir.

    Şifreleme teknikleri üç farklı boyutta değerlendirilebilir:



    1. Düz metini şifreli metine dönüştürürken kullanılan işlem tipi açısından yerine koyma metodu (substitution) ve yer değiştirme metodu (transposition) olarak incelenebilir.

      1. Yerine koyma metodunda, düz metinde yer alan her bir karakter bir başka karakter ile değiştirilir.

      2. Yer değiştirme metodunda ise karakterlerin yerleri belirli bir sistematikle değiştirilir. Her iki metot birlikte de kullanılabilir.

    2. Şifrelemede kullanılan anahtar sayısı bakımından incelendiğinde, şifreleme çeşitleri simetrik ve asimetrik olarak ikiye ayrılmaktadır.

      1. Simetrik Anahtarlama: Tek-anahtarlı, gizli-anahtarlı veya klasik şifreleme olarak adlandırılan bu yöntemde, sadece gönderici ve alıcı tarafların bildiği, tek bir gizli anahtar kullanılır. Düz metini şifrelemek için bir gizli anahtar seçilir. Bu anahtarla metin şifrelendikten sonra, alıcıya gönderilir. Alıcı, aynı gizli anahtar ile şifreli metini çözerek düz metini elde eder. Bu şifreleme yöntemindeki en önemli unsur, anahtarın gizliliğinin sağlanmasıdır. Bu yüzden anahtar alıcıya güvenli bir şekilde bildirilmelidir. Anahtarın üçüncü kişilerin eline geçmesi durumunda, şifreli metinler rahatlıkla çözülebilir.

    Şekil 6.1



      1. Asimetrik Anahtarlama: Çift-anahtarlı veya genel anahtarlamalı (public-key) olarak adlandırılan bu yöntemde, gönderici ve alıcı tarafların genel (public) ve özel (private) olmak üzere ikişer anahtarı vardır. Bir kullanıcının genel anahtarı ile şifrelenen düz metin, ancak aynı kullanıcının özel anahtarı ile açılabilir. Bu şifreleme yöntemini tercih eden kullanıcı, kendi genel anahtarını herkese duyurmalıdır. Ancak bu şekilde kullanıcıya güvenli mesaj iletmek isteyenler, düz metini kullanıcının duyurmuş olduğu genel anahtarla şifrelerler, böylece kullanıcı sadece kendisinde bulunan özel anahtarı ile şifrelenmiş metini açabilmektedir. Özel anahtarın karşı tarafa iletilmesine gerek olmadığı için, simetrik anahtarlama yöntemindeki anahtarın gizliliği problemi bu yöntemde yaşanmamaktadır. Güvenlik, anahtar uzayının büyüklüğü ile ölçülür. Simetrik anahtarlamaya göre daha yavaş ve maliyetlidir.

    Şekil 6.2



    1. Şifreleme yöntemlerinde düz metin iki şekilde ele alınır.

      1. Block cipher: Bu şifreleme yönteminde, veri olarak gelen düz metin bloklara ayrılır, ve her bir blok ayrı ayrı şifrelenir.

      2. Stream cipher: Bu yöntemde düz metinin her bir karakteri geldiği sırada şifrelenir.

    6.2 Sayısal İmza (Digital Signature)

    Asimetrik anahtarlamalı şifrede, bir kullanıcı göndermek istediği düz metini kendi özel anahtarı ile şifrelediğinde, bu metini gönderenin genel anahtarına sahip olan herkes çözebilir. Bu yöntemin amacı gönderilen metinin güvenliğini sağlamak değil, göndericinin kimliğini kesin olarak belirlemektir. Çünkü göndericinin kullandığı özel anahtar sadece kendisinde bulunmaktadır. Bu anahtarın eşleneği olan genel anahtar herkese açıktır. Bu genel anahtar ile metini çözebilen alıcı, böylece gönderenin kimliğini ispat etmiş olur. Aynı şekilde, göndericinin yaptığı işlemi inkâr etmesi ve bir başkasının göndericinin kimliğini kullanması da engellenmiş olur.



    Şekil 6.3



    7. SONUÇ

    Bilgi ve iletişim teknolojilerinde özellikle son 10 yılda meydana gelen gelişmeler; kişisel bilgisayar kullanımının yaygınlaşması; internet altyapısının geliştirilmesiyle beraber her kişisel bilgisayarın kolaylıkla internete bağlanabilmesi; internet üzerindeki sanal mağazaların, alışveriş portallarının sayısının artması elektronik ticaretin ortaya çıkmasını ve gelişmesini sağlamıştır. Ancak internetin güvenli bir ortam olmaması, kullanıcıları kişisel bilgilerinin gizliliği konusunda kaygılandırmaktadır.

    Kullanıcıların sistemlerden bekledikleri en önemli unsurlardan biri, kişisel bilgilerinin gizliliğinin sağlanması, bu bilgilerin üçüncü şahısların eline geçmemesidir.

    Şifreleme yöntemlerinin güvenilirliklerinde anahtar uzunluğu önemli bir unsurdur. Anahtar uzunluğunun fazla olması güvenilirliği güçlendirirken, diğer taraftan işlem maliyetlerini arttırır ve işlem hızını da düşürür. Bunun yanı sıra anahtar uzunluğunun fazla olması, şifreli veri ele geçirildiğinde, şifrenin çözülmesi için harcanan zamanı ve maliyeti arttırmaktadır.

    Günümüz teknolojisindeki hızlı gelişmeler, bilgisayarların merkezi işlem birimlerinin daha yüksek hızlarda çalışması, mevcut şifreleme yöntemlerinin şifrelerinin kırılma sürelerini her geçen gün biraz daha düşürmektedir. Özellikle paralel işleme yöntemiyle yüzlerce bilgisayar, şifre çözme konusunda birlikte çalışabilmektedir.

    Günümüzde kimlik tanıma işlemlerinde kullanılan özel-genel anahtarlar, sayısal imza gibi unsurların yerini, gelecekte insanın biyolojik özelliklerini kullanan kimlik tanıma protokolleri alacaktır. İnsanoğlunun genetik yapısının kendine özgü olması özelliği, şifreleme yöntemlerinde temel olarak alınmaya başlanmıştır. Parmak izleri ve göz taraması, güvenlik derecesi yüksek uygulamalarda kullanılmaktadır, maliyetlerin düşmesiyle beraber, gelecekte bu uygulamaların yaygınlaşması ve ödeme sistemlerine entegre edilmesi beklenmektedir.

    Her türlü güvenlik önleminin alınmasına karşın, insanın içinde yer aldığı her sistemde mutlaka bir aksamanın meydana gelmesi, bir açığın oluşması mümkündür. Çünkü, insan bilgisayar sistemleri gibi çalışmamakta, karar alırken sadece mantık değil duygusal değerleri de göz önünde bulundurduğundan dolayı zaman zaman hataya düşebilmektedir. Bu hatalar ve insanların kuralları tam olarak uygulamaması sistemlerde ciddi güvenlik açıklarının oluşmasına sebep olmaktadır. Bu yüzden, kullanıcıların güvenlik konusunda bilgilendirilmeleri ve sistem kullanımı sırasında almaları gereken önlemler konusunda eğitilmelidirler.

    8. KAYNAKLAR

    [1] Stallings, W.; Cryptography and Network Security, Prentice Hall, 1999.

    [2] Improving The Security of Your Unix System, April 1990, David A.Curry.

    [3] Administering Security for Solaris 2.x Operating Environments, February 2000, Sun Microsystems.



    [4] CERT/CC, http://www.cert.org/incident_notes/IN-98.03.html











        Ana sayfa


    Güvenlik Sistemlerinde İnsan Faktörü

    Indir 50.94 Kb.