KRİPTOGRAFİ

Güvenlik pratisyenleri , CIA üçlüsü olarak da bilinen gizlilik , bütünlük ve kimlik doğrulama dahil olmak üzere birkaç temel rolü
yerine getirmek için kriptografik çözümler kullanır. Uygulayıcı , amaç doğrultusunda tasarlanmış çeşitli kriptografik sistemleri
kullanmalıdır.
Gizlilik , bilgilerin gizli kalmasını sağlayan tüm yöntemleri içermektedir. Duran veriler veya depodaki veriler , kalıcı konumda
bulunan bilgilerdir. Veriler yerel sabit disk sürücüsünde , USB sürücüsünde , ağda , bulutta saklanabilir. Çeşitli düzenlemelere
göre birkaç yıl boyunca depoda tutulması gereken , teyp veya diğer yedekleme ortamlarında saklanan uzun vadeli arşiv verilerini
de içerebilir. Aktarılan veriler , bir ağdan diğerine , özel ağ içinde , uygulamalar arasında hareket eden verilerdir. Kripto
sistemlerin en çok ihtiyaç duyulan hedefi , bireyler ve gruplar arasındaki gizli iletişimin kolaylaştırılmasıdır. Aktarma sırasında
veriler gizli tutulmalıdır. Bu tür veriler genelde şifrelenir veya şifreleme algoritması ile kaplanır. Aktarılmakta olan veriler özel
şirket ağında , internet gibi genel ağda veya kablosuz ağda seyahat ediyor olabilir. Aktarılan veriler ve bekleyen veriler , farklı
türlerde gizlilik koruması gerektirir.
Veri bütünlüğü , bir mesajın aktarım sırasında değiştirilmemesini sağlar. Alınan mesajın gönderilen mesajla aynı olmasını
sağlamak için çeşitli mekanizmalar kullanılır. Mesaj bütünlüğü , bir mesajın iletilmesi üzerine oluşturulan mesaj özetlerinin
kullanılmasıyla sağlanır. İletinin alıcısı , iletiyi yeniden düzenleyerek iletinin geçiş sırasında değişmediğinden emin olmak için ileti
özetini karşılaştırır. Mesajların dijital olarak imzalanması , menşe kanıtı sağlamak için de kullanılır.
Bütünlük , hem genel hem de gizli anahtar şifreleme sistemleri tarafından zorlanabilir. Kimlik doğrulama , kriptosistemlerin
önemli bir işlevidir. Aynı anahtara sahip olan sadece onlar olacağından , diğer tarafın kimliğini doğrulamak için paylaşılan gizli
anahtar kullanılabilir. Diğer kimlik doğrulama yöntemi ise asimetrik şifreleme sisteminde özel anahtar kullanmaktır. Özel
anahtarın sahibi , ona sahip olan tek kişi olacak ve kendi açık anahtarıyla şifrelenmiş mesajların şifresini çözen tek kişi olabilir. Bu
teknik , bu kişinin iddia ettikleri kişi olduğunu doğrular. Gönderenin söyledikleri kişi olduğuna dair reddedilemez kanıt
sağlayacaktır. Bu özel tekniğe inkar etmeme denir.
Kriptografi Kavramları ve Gereksinimleri ; Kriptografinin kullanımı çok eskidir. Eski liderler ve hükümdarlar , mesajların içeriğini
gizli tutarken uzak ordulara mesaj gönderme yeteneğine ihtiyaç duymaktaydılar. Çeşitli büyüklükteki çubukların etrafına sarılmış
deri kayışlara bazı ilkel mesajlar yazılmıştır. Diğer şifreleme türleri , dairesel cihaz kullanarak mesajların şifrelenmesini
içermekteydi , üzerinde harflerden oluşan alfabe olan iç dairesel halka , başka alfabe ile harici halkaya karşı döndürülebilir.
Halkaların nasıl döndürüldüğüne bağlı olarak , farklı karakterler eşleşirdi. Sezar şifresi olarak tanımlanan bu , ilk ikame
şifrelerinden biriydi. ROT-3 terimi ise dahili dairesel mekanizmanın üç karakter döndürüldüğünü göstermiştir. İlgili harf daha
sonra dış dairesel cihazda okunmuştur. Bunun gibi şifre çözme mekanizmaları Amerikan İç Savaşı boyunca kullanılmaktaydı.
Sanayi Devrimi'nden başlayarak , mesajları , özellikle de savaş zamanında gönderilen mesajları şifreleyerek şifresini çözmek için
çeşitli makineler tasarlanmıştır. Kriptografinin makine çağı , Alman enigma makinesi ve Japon kırmızı ve mor makinesi gibi
otomatik şifreleme makinelerinin kullanımını başlatmıştır. Bu tür mekanizmalar , deşifre edilmesi çok zor olan kriptografik
mesajlar oluşturmuştur. Günümüzde bilgisayarlar giderek artan hızlarda mesajları hem şifreliyor hem de şifrelerini çözüyor.
Kuruluşlar , bilgisayarların sürekli artan hızıyla karşı karşıyadır. Çok uzun süreli veri depolama için kullanılan kriptografik
sistemlere dikkat edilmelidir. Moore yasasına göre , işlem gücü genelde her 18 ayda bir , ikiye katlanmaktadır. Günümüz
standartlarına göre şifrelenen mesajların eninde sonunda birkaç yıl içinde çok kolay şekilde kırılabileceği anlamına gelmektedir.
Kriptografide Kullanılan Terimler ve Kavramlar ; Mesajların bütünlüğünü ve gizliliğini sağlamak için kriptografik yöntemler
kullanılmaktadır. Gizlilik , ele geçirildiğinde mesajın okunmamasını sağlarken , bütünlük , iletim sırasında mesajın değişmeden
kalmasını sağlar.
Key Space ; Anahtar alanı , bit cinsinden anahtar uzunluğuna dayalı olarak oluşturulabilen anahtar sayısıdır. Anahtar 128 bit
uzunluğundaysa , oluşturulabilecek toplam anahtar sayısı 128 bit ile temsil edilecektir.
Algorithm ; Algoritma , düz metin veya şifreli metin girişine dayalı olarak ikili çıktı üreten matematiksel işlevdir. Şifreleme
algoritması , şifreleme anahtarındaki düz metin mesajının girişine dayalı olarak şifreli metin üretmektedir. Hash algoritma ,
herhangi bir boyuttaki düz metin mesajının girişi ile belirli uzunlukta mesaj özeti üretir.
One-Way Algorithm ; Tek yönlü algoritma , düz metin mesajının girişini alıp şifreli metin mesajı veren matematiksel
hesaplamadır. Tek yönlü algoritma kullanıldığında , şifreli metin mesajından orijinal düz metin mesajını belirlemek matematiksel
olarak mümkün değildir. Tek yönlü algoritmalar öncelikle bir mesajın bütünlüğünü doğrulamak veya hashing için kullanılır. Düz
metin mesajları , mesaj özeti oluşturmak için hashlenir. Mesaj özeti , hash algoritmaya bağlı olarak her zaman aynı uzunluktadır.
Encryption ; Şifreleme , şifreleme algoritması aracılığıyla düz metin mesajı işlenerek , şifreleme anahtarı ve muhtemelen
şifrelenmiş metinle sonuçlanan başlatma vektörü kullanılarak şifreli metnin oluşturulduğu süreçtir.
Decryption ; Şifre çözme , şifrelemenin tam tersi işlemdir. Şifreli metin , düz metinle sonuçlanan ters işlem kullanılarak şifreleme
algoritması aracılığıyla işlenir.
Two-Way Algorithm ; Bir mesajı hem şifreleyebilen hem de şifresini çözebilen matematiksel fonksiyon olarak iki yönlü
algoritmadır.
Hash algoritması tek yönlüdür çünkü sadece hash değerine dayalı olarak orijinal düz metni belirlemek neredeyse imkansızdır.
Asimetrik ve simetrik algoritmalar , hem şifreleme hem de şifre çözme işlevlerini yerine getirdikleri için iki yönlü algoritmalar
olarak adlandırılır.
Work Factor ; İş faktörü , belirli şifreli metni kırmak için gereken zaman ve çabadır. Parola ne kadar uzunsa , onu kaba kuvvet
kullanarak keşfetmek o kadar uzun sürecektir. Şifrelemeyi kırma çabası , şifrelenmiş bilginin değerinden daha fazla zaman ,
kaynak ve varlık gerektiriyorsa , iş faktörü , olası kripto analisti için caydırıcıdır.
Initialization Vector ; Başlatma vektörü , şifreleme işlemi sırasında karmaşıklık oluşturmak için kullanılan şifrelenmemiş rastgele
sayıdır. Anahtarın etkisini artırmak için şifreleme algoritmasını tohumlayarak çalışmaktadır. Şifreleme algoritmaları başlatma
vektörü kullanarak IV'teki bit sayısı genelde şifreleme algoritmasının blok boyutuna eşittir. IV'ün rastgele olması veya
tekrarlanmaması gerekebilir. Çoğu durumda şifrelenmesi gerekmez. Asimetrik algoritma tarafından kullanılan başlatma vektörü
genelde algoritmanın işlediği blok boyutuyla aynı boyuttadır.
Cryptosystem ; Şifreleme sistemi , şifrelenmemiş mesaj , anahtar , başlatma vektörü , şifreleme algoritması , şifre modu , anahtar
oluşturma , dağıtım ve anahtar yönetim sistemi ile şifre çözme metodolojisi dahil olmak üzere şifreleme sürecindeki her şeyi
içerir.
Cryptanalysis ; Kriptanaliz , şifreleme algoritmalarının nasıl yenileceği , anahtarların nasıl keşfedileceği , şifrelerin nasıl kırılacağı
da dahil olmak üzere , şifreli mesajların şifresini çözme yöntemlerini belirlemek için kullanılan tekniklerin incelenmesidir.
Cryptology ; Kriptoloji , gizleme , şifreleme , kılık değiştirme , yayma ve karıştırma gibi çeşitli teknikler kullanarak düz metin
mesajlarının şifrelenmesi ve şifresinin çözülmesi ile ilgilenen bilimdir.
Encoding ; Kodlama , kodlama yöntemini kullanarak bir mesajı bir biçimden diğerine değiştirme eylemidir. Şifrelemeden farklıdır
çünkü kodlama , karakterlerin değiştirilmesidir. Alfabe ASCII kodu kullanılarak birler ve sıfırlar dizisiyle temsil edilebilir. Alfabe ,
Mors kodu kullanılarak nokta ve tire biçiminde de iletilebilir. Tüm mesajlar , belirli renkli bayraklar veya bayrakların konumu veya
denizdeki gemiler arasında yanıp sönen ışıklar kullanılarak kodlanabilir.
Decoding ; Kod çözme , elektromanyetik Mors kodu alıcısı tarafından veya bayrak sinyallerini veya yanıp sönen sinyal ışıklarını
görsel olarak tanımlayarak üretilen çeşitli nokta ve çizgileri okuma sanatı ve bilimidir.
Key Clustering ; Anahtar kümeleme , iki farklı şifreleme anahtarının aynı düz metinden aynı şifreli metni oluşturmasıdır.
Algoritmada kusur olduğunu gösterir.
Collusion ; Gizli anlaşma , bir veya daha fazla kişi veya şirket dolandırıcılık oluşturmak için bir araya geldiğinde ortaya çıkmaktadır.
Collision ; Çarpışma , iki farklı düz metin belgesinin aynı çıktı hash değerini oluşturmasıdır. Hash algoritmasında kusur olduğunu
gösterir.
Ciphertext / Cryptogram ; Anahtar veya başka yöntem kullanılarak şifreleme algoritması tarafından üretilen metindir. Şifreli
metin okunamaz ve kullanımdan önce şifresi çözülmelidir.
Plaintext ; Düz metin veya açık metin , okunabilir biçimde mesajdır. Düz metin ayrıca ikili , Unicode ve ASCII gibi diğer kod
formatlarında da gösterilebilir.
Hash Function ; Hash değerinin veya mesaj özetinin sabit boyutlu çıktı olduğu tek yönlü matematiksel algoritmadır. Çıktı , veri
dosyasının orijinal boyutundan bağımsız olarak her zaman hash işlevi tarafından belirtilen boyuttur. Hash değerine bağlı olarak
orijinal mesajı belirlemek mümkün değildir. Orijinal veri dosyasındaki herhangi bir karakterin değiştirilmesi , hash değerini
tamamen değiştirecektir. Hash fonksiyonu üç aşamalı süreç olarak kullanılır ; gönderici , orijinal mesajın özet değerini oluşturarak
mesajı ve özet değerini alıcıya gönderir. Alındığında , alıcı başka hash değer oluşturur. Alıcı daha sonra orijinal alınan özet değeri
ile alındığı zaman oluşturulan türetilmiş özet değeri karşılaştırır. Hash değerleri eşleşirse , alıcı mesajın aktarım sırasında
değişmediğinden emin olabilir.
Key ; Anahtar veya kriptodeğişken , kriptografik algoritmanın gerektirdiği girdidir. Çeşitli şifreleme algoritmaları , farklı
uzunluklarda anahtarlar gerektirir. Anahtar ne kadar uzun olursa , şifreleme algoritması veya sonuçta ortaya çıkan şifreleme
metni o kadar güçlü olacaktır. Simetrik anahtar her zaman gizli tutulmalıdır. Asimetrik anahtar , ortak anahtar ve özel anahtar
içererek asimetrik özel anahtar her zaman gizli tutulmalıdır. Anahtarlar her zaman bit sayısıyla temsil edilmektedir. 56 bit , 256
bit , 512 bit. Her karakterde 8 bit vardır. Bu nedenle 128 bitlik anahtar sadece 16 alfabetik karakter uzunluğundadır.
Symmetric Key ; Simetrik anahtar , gizli tutulması gereken simetrik şifreleme algoritmasıyla kullanılan anahtardır. Her bir tarafın
aynı anahtara sahip olması gerekir. Bu da simetrik anahtarlarla anahtar dağıtımının zor olmasına neden olur.
Asymmetric Keys ; Asimetrik anahtar kriptografisinde iki farklı fakat matematiksel olarak ilişkili anahtarlar kullanılır. Her
kullanıcının hem genel anahtarı hem de özel anahtarı vardır. Özel anahtar , genel anahtarı matematiksel olarak oluşturmak için
kullanılabilir. Bu tek yönlü bir işlevdir. Sadece açık anahtara sahip olunmasına dayalı olarak özel anahtarı belirlemek
matematiksel olarak mümkün değildir. Çoğu durumda , her iki tuşa da bir anahtar çifti denir. Sahibinin özel anahtarı gizli tutması
önemlidir.
Symmetric Algorithm ; Simetrik algoritma simetrik anahtar kullanarak aşırı hızlarda çalışmaktadır. Simetrik algoritma kullanırken
, hem gönderici hem de alıcı aynı gizli anahtara ihtiyaç duymaktadır. Anahtar dağıtımında ve anahtar değişiminde dezavantaj
oluşturabilir. Simetrik algoritmaların , asimetrik algoritmalardan daha hızlı hız büyüklükleri olduğunu bilmeliyiz.
Asymmetric Algorithm ; Asimetrik algoritma iki anahtar kullanır ; bir genel anahtar ve bir özel anahtar. Her iki anahtar da bir
mesajı şifrelemek veya şifresini çözmek için kullanılabilir. Anahtarların ilişkisine dikkat etmek önemlidir. Kullanıcının genel
anahtarıyla şifrelenen mesajın şifresi sadece kullanıcının özel anahtarıyla çözülebilir ve bunun tersi de geçerlidir. Asimetrik
algoritmalar , tasarım gereği , simetrik algoritmalara kıyasla inanılmaz derecede yavaştır.
Digital Certificate ;Ortak anahtarın sahipliği doğrulanmalıdır. Açık anahtar altyapısında , güvenilir yetkili tarafından bir sertifika
verilir. Bu sertifika , kullanıcının genel anahtarını ve diğer kimlik bilgilerini içermektedir. Dijital imza , tanınan güvenilir sertifika
yetkilisi tarafından verilerek sertifikanın içerdiği anahtarın o kullanıcıya ait olduğunun tanımlandığı web güveni oluşturur.
Sertifika , kriptografi dünyasının noterliği gibidir. Üçüncü taraf , genel anahtarın size ait olduğunu ve aslında siz olduğunuzu
doğrular. Herkes bu üçüncü kişiye güvendiği sürece sistem çalışır.
Certificate Authority ; Sertifika yetkilisi , ortak anahtarın sahibi hakkında bilgi alan ve bu bilgileri muhafaza eden güvenilir varlıktır.
Sertifika yetkilisi dijital sertifikaları yayınlar , yönetir ve iptal eder. En üstteki sertifika yetkilisine kök sertifika yetkilisi denir. Ara
yetkili gibi diğer sertifika yetkilileri kök sertifika yetkilisini temsil eder.
Registration Authority ; Kayıt yetkilisi , açık anahtar sahiplerinin veri toplama ve doğrulama hizmetlerini sertifika yetkilisi adına
gerçekleştirir.
Rounds ; Algoritma içinde şifreleme işleminin gerçekleştirilme sayısıdır. AES simetrik algoritması , anahtar uzunluğuna bağlı
olarak 10 , 12 ve 14 tur içerir.
Exclusive ( XOR ) ; Özel veya XOR , tahmin edilebilir bir veya sıfır elde etmek için iki farklı kaynaktan birler ve sıfırları belirli bir
düzende birleştiren dijital matematiksel işlevdir. İki ikili değerin birbirine eklendiği basit ikili fonksiyondur. XOR işlevi , çoğu
kriptografik algoritmada kullanılan omurga matematiksel işlevidir. Çizimlerde artı işaretli daire olarak tasvir edilmiştir.
Nonrepudiation ; Reddetmeme , bir mesajı gönderenin onu gönderdiğini inkar edemeyeceğini iddia etmenin bir yöntemidir.
Mesajı gönderenin özel anahtarıyla şifreleyerek inkar edilemezlik oluşturulabilir. Hash değeri elde etmek için mesajın hash
edilmesiyle de oluşturulabilir. Daha sonra gönderen , ileti hash değerini şifrelemek için gönderenin özel anahtarını kullanarak
iletiyi imzalar. İnkar etmeme , " kanıt veya menşe " sağlama veya " menşei doğrulama " olarak da ifade edilebilir. Başlangıç
noktası , mesajın veya hash değerinin sadece başlangıç noktasında var olan bir şeyle şifrelenmesiyle kanıtlanır. Asimetrik
şifrelemede gönderenin özel anahtarı veya simetrik şifrelemede yaygın olarak tutulan gizli anahtar örnek verilebilir.
Reddetmeme , mesajın alıcısına dayatılabilir. Bu kavram , alıcının alıcı sistemle kimliğinin doğrulanmasını ve sistem günlüğünün
başlatılmasını gerektirir. Bu nedenle , alıcı denetlenirse mesajı aldığını inkar edemez.
Transposition ; Yer değiştirme , düz metni yatay olarak ıyerleştirme ve ardından sanal olarak okuma yöntemidir. Harfleri ve
karakterleri transpoze eder.
Session Keys ; Oturum anahtarları , tek iletişim oturumu için kullanılan şifreleme anahtarlarıdır. İletişim oturumu sona erdiğinde
, anahtar atılır.
One-Time Pad ; Tek seferlik şerit , modern kriptografinin çoğunun temel konseptidir. Güvenli Yuva Katmanı ( SSL ) , IPsec , dinamik
tek seferlik parola belirteçlerinin tümü , tek seferlik şerit kavramına dayanır. Konsept , gerçek veya sanal kağıt şeritin , her sayfada
rastgele ve tekrar etmeyen kodlar veya anahtarlar içermesidir. Şeritin her sayfası tek işlem için bir kez kullanılabilir ve daha sonra
atılır. Asla geçerli değildir veya yeniden kullanılamazlar. Şifreleme anahtarının tek seferlik kullanımı , mümkün olan en güvenli
şifreleme şeklidir.
Pseudorandom Number ; Modern bilgisayarlar gerçek rastgele sayılar oluşturamazlar. Bir yerden sonra sayılar tekrar etmeye
başlar. Kriptografik sistemlerin kullanıcıları , rastgele sayı üretecini temel alacak bilgi kaynağı konusunda çok dikkatli olmalıdır.
Bazı sözde rasgele sayı üreteçleri , tuş vuruşlarına dayalıdır ve diğerleri , bir ağ veya kozmik radyasyon gürültüsü üzerindeki
rastgele trafiğe dayalıdır. En kötü rasgele sayı üreteçleri , sistem saatinin saati ve tarihi gibi öngörülebilir her şeye dayanmaktadır.
Key Stretching ; Anahtar uzatma , zayıf anahtarı veya parolayı daha güvenli hale getirmek için kullanılır. Anahtar uzatmada
kullanılan teknik , anahtarı kaba kuvvetle kırmak veya kırmak için gereken iş yükünü artırmak amacıyla orijinal anahtar veya
parola üzerinde çok sayıda hash hesaplama yapmaktır. Anahtar uzatmanın yaygın yöntemi , orijinal anahtar uzunluğundan bit
sayısını artırmaktır. İş hayatında kullanılan genelde parola 8 ila 12 karakter uzunluğundadır. Normalde simetrik algoritmalar ,
makul güvenlik için en az 128 bitlik anahtar uzunluğu gerektirir. Anahtarı veya parolayı uzatmak amacıyla , bir dizi değişken
uzunluktaki hash işleviyle işlenir. Bu işlevler , her yineleme sırasında parolanın uzunluğuna bir veya iki bit ekleyebilir. Parolalar
düzinelerce veya yüzlerce hash işleviyle işlenebilir. Toplam uzunluğu 128 , 192 , 256 bit uzunluğunda olabilir. Bu uzunlukta
anahtarı kırmak için kaba kuvvet kullanma girişimi , muazzam iş faktörü gerektirecektir. Bilgisayar korsanının başarılı olmadan
çok önce vazgeçmesine neden olabilir.
In-Band / Out-of-Band Key Exchange ; Anahtarlar , kullanıcılar arasında dağıtılmalı veya değiştirilmelidir. Bant içi anahtar
değişimi, şifreli verilerin iletimi de dahil olmak üzere normalde düzenli iletişim için kullanılacak olan iletişim kanallarını kullanır.
Bunun genelde ortadaki adam saldırıları veya gizli dinleme nedeniyle daha az güvenli olduğu belirlenir. Bant dışı anahtar değişimi
, posta , elden teslim , izlenme olasılığı daha düşük olan özel güvenlik değişim tekniği gibi anahtarları değiştirmek için ikinci kanal
kullanır.
Substitution ; Değiştirme , bir harfin diğeriyle değiştirilmesi işlemidir. Sezar şifreleme diskini kullanırken , iç disk üç yerde
döndürülür. ROT-3 ve karşılık gelen harf şifreli metinde yedek olarak kullanılabilir.
Confusion ; Karışıklık , şifreleme işlemi sırasında anahtarı değiştirerek şifrelenmiş mesajın karmaşıklığını arttırır. Böylece
kriptanalizde gereken iş faktörünü arttırır.
Diffusion ; Difüzyon , şifrelenmiş mesajın karmaşıklığını artırır. Şifreleme işlemi sırasında çok az giriş veya değişiklik , şifrelenmiş
mesajda büyük değişiklikler yapar. Difüzyon , orijinal mesajın her karakter değişikliği için tüm hash çıktısını değiştirmek için hash
algoritması sırasında kullanılır.
Salt ; Tuz , açık metin anahtarına veya parolaya hash işlemi uygulanmadan önce ek veri bitleri ekleme işlemidir. Tuzlama ,
parolanın uzunluğunu uzatarak parola bir kez hash edildiğinde , hash’lere saldırma süreçlerini çok daha karmaşık ve hesaplama
açısından yoğun hale getirir. Rainbow tabloları , hash parolalara yönelik saldırılarda yaygın olarak kullanılır. Parolanın
şifrelenmesinden önceki tuzlu parola , genelde gökkuşağı tablosu saldırısını olanaksız ve başarısız hale getirecektir. Büyük tuz
değeri , ön hesaplama saldırılarını önleyerek her kullanıcının parolasının benzersiz şekilde hash edilmesini sağlar.
Transport Encryption ; Bilgiler iki uç nokta arasında gönderildiğinde gizli tutulmalıdır. Aktarılan şifreleme , aktarılan verilerin
şifrelenmesi anlamına gelir. IPsec , çok popüler aktarım şifreleme protokolleri kümesidir.
Key Pairs ; Anahtar çifti terimi , bir dizi şifreleme anahtarını ifade eder. Anahtar çifti , genel anahtar altyapısında ( PKI ) ve
asimetrik şifreleme sisteminde genel ve özel anahtarı ifade eder.
Block Cipher ( Block Algorithm ) ; Sabit karakter bloğu üzerinde çalışan algoritmadır. Çoğu blok algoritması 128 , 192 , 256 , 512
gibi standart blok boyutlarını kullanır ancak diğer blok boyutları da mümkündür. Son blokta kalan karakter sayısı şifreleme
algoritmasının blok uzunluğundan azsa , kalan kullanılmayan karakter boşlukları boş karakterlerle doldurulabilir.
Stream Cipher ( Stream Algorithm ) ; Sürekli bit-bit temelinde şifreleme gerçekleştiren algoritmadır. Ses , müzik veya videonun
şifrelenmesi gerektiğinde akış şifreleri kullanılır. Akış tabanlı şifreler çok hızlıdır. Akış şifreleri , ses veya video verileri gibi bilgilerin
bir yerden başka yere aktığı her zaman kullanılır. Akış şifresi , blok şifrelemede olduğu gibi bir seferde bir bloğun aksine
şifrelemesini bit-bit temelinde gerçekleştirir. Özel veya ( XOR ) adı verilen matematiksel süreç aracılığıyla , birler ve sıfırlardan
oluşan orijinal bilgiler , şifreleme anahtar akışıyla birleştirilir. Şifreleme anahtar akışı , hem şifreleme hem de şifre çözme
işlemlerini kontrol eden anahtarın kullanımıyla oluşturulur.
Akış tabanlı şifreler , şifrenin geçerli olması için karşılanması gereken bir dizi kritere sahiptir ; Anahtar akışı tahmin edilemez
olmalıdır. Gözlemci , anahtar akışının birkaç biti verilirse bir sonraki biti belirleyememelidir. Gözlemciye anahtar dizisi verilirse ,
orijinal şifreleme anahtarını belirleyememesi gerekir. Anahtar akışı karmaşık olmalı ve şifreleme anahtarı bitlerinin çoğu veya
tamamı üzerinde oluşturulmalıdır. Anahtar dizgisi çok sayıda birler ve sıfırlar içermeli ve tekrarsız uzun süre devam etmelidir.
Herhangi bir şifreleme algoritması için en zayıf alan tekrardır. Anahtar dizileri , çok uzun süreler boyunca tekrar edilmeden
gidecek şekilde oluşturulmalıdır. Çoğu anahtar akışı bir noktada tekrar edecektir. Zamanın bu noktası oldukça tahmin edilemez
olmalıdır.
Rainbow Tables ; Gökkuşağı tabloları , hash değerler için geriye doğru arama yöntemi sağlamayı amaçlayan önceden hesaplanmış
hash değerlerdir. Parolalar bilgisayar sisteminde hash değerde depolanır.
Kaba kuvvet saldırıları ve sözlük saldırıları genelde parola kırma düzenlerinde kullanılır. Bu kaba kuvvet tekniğinin kullanımı ,
önemli bilgisayar kaynakları ve muhtemelen uzun süre gerektirir. Gökkuşağı tablosu , parolaların düz metin sürümünü içeren
hash’lerin listesidir. Bilgisayar korsanı , kaydedilen parola hash’lerini gökkuşağı tablosu hash’leriyle karşılaştırma işlemi yoluyla
orijinal düz metin parolasını ortaya çıkarmaya çalışırlar.
Kriptografik Sistemler ve Teknoloji ; Anahtar oluşturma ile başlayarak , anahtarların anahtar emanet deposunda saklanması ve
anahtar imhası olan anahtar silme veya temizleme gibi anahtar yönetiminin çeşitli yönlerini bilmeliyiz.
Block Ciphers ; Blok şifreler , verilerin blokları veya parçaları üzerinde çalışarak şifreleme algoritmasını bir kerede tüm veri
bloğuna uygular. Düz metin belgesi blok tabanlı algoritmaya beslenirken , önceden ayarlanmış boyutta bloklara bölünür. Orijinal
verinin boyutuna bağlı olarak 2 blok ile 4.000 veya daha fazla blok olabilir. Veriler bir bloktan küçükse veya son blok için yeterli
veri yoksa , o zaman sonuna kadar doldurmak için bloğa boş karakterler yerleştirilir. Farklı algoritmalar , genelde 128 , 192 , 256
, 320 , 512 vb. gibi 64 bitin katlarında olmak üzere farklı blok boyutlarına sahiptir.
Block Cipher Modları ; Kriptografik sistem yöneticisinin karşı karşıya olduğu birçok zorluk bulunmaktadır. Bunların arasında
mesajların herhangi bir uzunlukta olabileceği durumlar vardır. İkinci zorluk ise uygun anahtar uzunluğuna sahip algoritma
seçmektir. Blok şifreleme algoritmalarıyla ilgili problem , aynı düz metni aynı anahtarla şifrelemenin her zaman aynı çıktı şifreli
metnini üretmesidir. Şifrelenecek her blok arasında anahtarı değiştirmek pratik olmayacaktır. Bu nedenle de aynı anahtarı
kullanan şifre çıktısının karmaşıklığını artırmak için sistemler tasarlanmıştır. Bu tekniklerin çoğu , başlatma vektörü ( IV ) adı
verilen ek girdi kullanır. Başlatma vektörü , şifre hesaplaması sırasında kullanılabilecek bir dizi rastgele veya tekrarlanmayan bit
sağlar. Yıllar boyunca , anahtar ve başlatma vektörünün , bir durumda sadece bir sayacın çeşitli yöntemlerini veya
kombinasyonlarını kullanarak metin bloklarını şifrelemek için çeşitli şifreleme modları geliştirilmiştir. Bu yöntemler başlangıçta
karmaşık görünebilir. Yalnızca anahtar akışını daha karmaşık hale getirmenin ve şifreli metin bloklarının tümünün eşit şekilde
güvenli şekilde şifrelenmesini sağlamanın bir yoludur. Güvenlik uygulayıcısının bilmesi gereken beş temel blok şifreleme modu
vardır. Bu modların her biri , bir anahtar ve bir başlatma vektörü kullanmak için farklı bir yöntem sunmaktadır. Tüm modlarda
kullanılan birinci ikili matematiksel işlev olduğunu fark edeceksiniz. Bu , XOR veya özel VEYA ikili işlevidir. Beş modun her birinde
, XOR işlevi bir yönden gelen birler ve sıfırlar ile diğerinden gelen birler ve sıfırları birleştirerek iki kaynağın kombinasyonuna
dayalı benzersiz birler ve sıfırlar kümesi vermektedir. Bazı durumlarda , birler ve sıfırlardan oluşan akışlar , sonraki bloğu
şifrelemek için kullanılacak şifreleme modunun başka bir bölümüne girdi olacaktır. Diyagramların her birinde bir blok şifreleme
algoritması vardır. Başlangıçta bu şifreleme algoritması DES idi. 2001 yılında , Ulusal Standartlar ve Teknoloji Enstitüsü ( NIST ) ,
AES'yi onaylanmış çalışma modları listesine ekledi. Beş temel blok şifreleme modu şöyledir ;
Electronic Codebook Mode ; Elektronik kod çizelgesi ( ECB modu ) , en temel blok şifreleme modudur. 64 bitlik bloklar , tek bir
simetrik anahtar kullanılarak algoritmaya girilir. Mesaj 64 bitten uzunsa , ikinci , üçüncü veya dördüncü 64 bit blok aynı anahtar
kullanılarak aynı şekilde şifrelenecektir. Tüm 64 bit bloklar aynı metinse ve aynı simetrik anahtarı kullanıyorsak , şifreli metnin
her çıktı bloğu aynı olacaktır. Elektronik kod çizelgesi modu yalnızca çok kısa , 64 bitten küçük mesajlarda kullanılır. Her düz metin
bloğunun simetrik anahtar kullanan algoritma tarafından işlenmektedir. Anahtar aynıysa ve blok aynıysa , süreç şu sonucu
üretecektir ; özdeş şifreli metin. Gerektiği kadar blok olabilir ve her blok ayrı ayrı şifrelenir.
Cipher Block Chaining Mode ; Şifreleme blok zincirleme ( CBC ) modu , blok şifreleme modlarının en yaygın kullanılanlarından bir
tanesidir. Düz metin mesajı , başlatma vektörü blok blok ile birleştirilir veya XOR'lanır. Her blok daha sonra şifreli metin bloğuna
şifrelenir. Başlatma vektörünü yeniden kullanmak yerine sistem , başlatma vektörü yerine önceki şifreli metin bloğunu kullanır.
Tüm mesaj şifrelenene kadar devam eder.
Cipher Feedback Mode ; Şifreli geri bildirim ( CFB ) modu , üç akış şifreleme modundan ilkidir. Hem DES hem de AES blok şifreler
olsa da , akış şifreleme metodolojisinde hem şifre geri bildirim modu hem de çıkış geri bildirimi ( OFB ) modu kullanılır. Şifreli geri
besleme modunda , kullanılabilecek bir dizi farklı blok boyutu vardır. Genelde 8 bitlik blok boyutu seçilir çünkü bu ortak bir
karakterin boyutudur. Şifreli geri besleme modunun arkasındaki amaç , her seferinde bir karakteri parça parça şifrelemektir. Her
seferinde 1 bit dışarı kayan kaydırma yazmacına başlatma vektörü gönderilerek gerçekleştirilir. Kaydırılan her bit , şifreleme
algoritması tarafından şifrelenerek düz metin kaydırma yazmacından bir bit kaydırılarak XOR'lanır.
Output Feedback Mode ( Çıkış geri beslemesi ( OFB ) modu ) ; Akış şifreleme modlarının ikincisidir. İkinci blok şifreleme
şifrelemesine giriş olarak şifrelenmiş başlatma vektörünü kullanması dışında , şifreli geri besleme moduna çok benzer işlemdir.
Bu yöntem , şifreleme işleminden önce anahtar akışının önceden hazırlanmasını ve saklanmasını sağlar.
Counter Mode Sayaç ( CTR ) modu ; Blok şifresini akış şifresine dönüştüren akış şifreleme modlarının üçüncüsüdür. Çalışmada
geri besleme moduna benzer. Bir anahtar dizisi , blok şifreleme algoritması aracılığıyla oluşturularak şifrelenir. Bu durumda ,
başlatma vektörü kullanmak yerine , başlatılan 64 bitlik rastgele veri sayacı kullanılır. Sayaç , şifrelenen her blok için bir basamak
artar. Çıkış geri besleme modunda olduğu gibi sayaç şifrelenir ve ardından bit-bit temelinde düz metne XOR'lanır. Bu mod , geri
besleme tekniğini içermez ve anahtar akışının verilerden ayrılmasına neden olur. Birkaç bloğu paralel olarak şifrelemeyi mümkün
kılar. Tek benzerlik , her bloğun birer birer artan bir sayaca sahip olmasıdır.
Simetrik Kriptografi ; Bazen özel anahtar veya gizli anahtar şifrelemesi olarak da adlandırılan simetrik şifreleme , verileri hem
şifrelemek hem de şifresini çözmek için tek paylaşılan şifreleme anahtarı kullanır.
Simetrik kriptografi , iki yönlü kriptografi olarak adlandırılır. Bilgileri şifrelemek ve şifresini çözmek için tek şifreleme anahtarı
kullanılır. Simetrik şifreleme , hem bekleyen verileri hem de aktarım halindeki verileri şifrelemek için kullanılabilir. Sabit diskte
bekleyen verileri şifrelerken , kullanıcı tek gizli şifreleme anahtarına sahip olur. Simetrik şifreleme , simetrik anahtarın tehlikeye
atılmaması ve gizli tutulması koşuluyla çok güçlü şifreleme koruması sağlar. Anahtar değişimi ve dağıtımının simetrik
kriptografide yaygın bir sorun olduğu kanıtlanmıştır. Her gönderici ve alıcı aynı simetrik anahtara sahip olmalıdır. Birçok gönderici
ve alıcının aynı anahtarı kullanarak iletişim kurması durumunda , herhangi bir üye gruptan ayrılırsa sorun ortaya çıkacaktır. Yeni
anahtarlar değiştirilmelidir. Simetrik anahtarlar hem bant içi hem de bant dışı değiştirilebilir. Bant içi değişim , simetrik anahtarı
ve şifreli verileri değiş tokuş etmek için aynı iletişim ortamını kullanır. Bu tür bir değişim , ortadaki adam veya gizlice dinleme
saldırılarına tabidir. Bant dışı simetrik anahtar değişimi , posta , e-posta veya basılı mesajlar gibi diğer simetrik anahtar değişimi
yöntemlerini , simetrik anahtarın değişiminin diğer yöntemlerini kullandığından tercih edilir. Açık anahtar altyapısı ( PKI ) , iletişim
bağlantısının kurulmasında önce asimetrik şifreleme kullanılarak simetrik anahtarların değiş tokuş edilmesi yöntemidir. İlk
iletişim bağlantısı kurulduğunda , simetrik anahtar değiştirilir ve bu sırada hem alıcı hem de gönderici hız kazanmak için simetrik
kriptografiye geçer. Simetrik kriptografi ve simetrik anahtarın kullanımı , asimetrik algoritmalarda kullanılan hesaplama açısından
yoğun matematiksel algoritmaların kullanılması nedeniyle asimetrik kriptografiden daha hızlı hız büyüklükleridir.
Simetrik anahtar algoritmalarının çeşitli türleri mevcuttur. Bazıları diğerlerinden daha az popülerdir ve bazıları standartların en
üst sıralarına yükselmiştir. ABD hükümetinin çok gizli bilgilerini şifrelemek için kullanılmaktadır. Çeşitli simetrik anahtar
algoritmalar şöyledir ;
Veri Şifreleme Standardı ( DES ) ; 1970'lerin ortalarında ulusal Standartlar Bürosu ( şuanki NIST ) tarafından kabul edilen şifreleme
için önde gelen simetrik anahtar algoritmasıydı. DES , günümüz standartlarına göre çok küçük olan 56 bitlik anahtar boyutuna
sahipti. Şifreleme algoritması 1999'da kırıldı. Yine 1999'da Üçlü DES , DES'e potansiyel alternatif olarak sunuldu. 2002 yılında DES
, Gelişmiş Şifreleme Standardı ( AES ) ile değiştirildi. Daha önce bahsedilen blok şifreleme modları , merkezi simetrik algoritma
olarak DES ile tasarlanmıştır.
Üçlü Veri Şifreleme Algoritması ( Üçlü DES veya 3DES ) ; Her veri bloğuna üç kez DES uygulayan simetrik algoritmadır. 3DES , her
işlem için bir tane olmak üzere üç anahtar kullanır. Üç anahtar , üç farklı anahtarlama seçeneği oluşturacak şekilde birleştirilir ;
üç anahtarın tümü benzersizdir. Anahtar 1 ve anahtar 2 benzersizdir , tuş 1 ve tuş 3 aynıdır. Her üç tuş da aynıdır.
3DES , iki anahtar veya üç anahtar kullanan çeşitli çalışma modlarına sahiptir. Her mod aynı anda tek bir blokta çalışır. En popüler
dört çalışma modu şöyledir;
İki anahtar kullanma ; Anahtar 1'i kullanarak şifreleme , anahtar 2'yi kullanarak şifreleme , ardından anahtar 1'i kullanarak
yeniden şifreleme. Anahtar 1'i kullanarak şifreleme , anahtar 2'yi kullanarak şifrelemeyi kaldırma , ardından anahtar 1'i kullanarak
yeniden şifreleme ( Bazı durumlarda anahtar 3 olarak anılır fakat anahtar 1 ile aynıdır.)
Üç tuşu kullanma ; Anahtar 3'ü kullanarak şifreleme , anahtar 2'yi kullanarak şifreleme , ardından anahtar 1'i kullanarak yeniden
şifreleme Bu , EEE3 modu olarak adlandırılır. Anahtar 3'ü kullanarak şifreleme , anahtar 2'yi kullanarak şifrelemeyi kaldırma ,
ardından anahtar 1'i kullanarak yeniden şifreleme. Bu , EDE3 modu olarak adlandırılır.
Advanced Encryption Standard ; Rijndael şifresi , AES seçim sürecinde hem DES'in hem de 3DES'in halefi olarak seçilmiştir. 2001
yılında NIST tarafından standart olarak dahil edilmiştir. AES ; 128 , 192 ve 256 bitlik üç farklı dalga boyunda 128 bitlik blok boyutu
kullanır. ABD hükümeti , her üç anahtar boyutunun da gizli bilgileri gizli düzeye kadar şifrelemek için yeterli olduğunu , 192 ve
256 bitlik anahtar boyutlarının çok gizli sınıflandırılmış bilgiler için yeterli şifreleme gücü sunduğunu belirtti.
International Data Encryption Algorithm ; Uluslararası Veri Şifreleme Algoritması ( IDEA ) , DES'in olası yedeği olarak sunuldu. 64
bit bloklarda 120 bit anahtar kullanarak çalışır. Şifreleme sırasında olmaktadır. IDEA sekiz tur hesaplama yapar. Şu anda
patentsizdir ve kamu kullanımı için ücretsizdir.
CAST ; Yapımcıları Carlisle Adams ve Stafford Tavares'in baş harflerini kullanan CAST-256 , AES yarışmasında başarısız olmuştur.
Şu anda kamu malı olan CAST , telifsiz olarak kullanılabilir. Orijinal olarak daha küçük blok boyutları kullanan CAST-128'e dayanan
CAST-256 , 128 bit bloklar ve 128 , 192 , 160 , 224 , 256 bit anahtar uzunluğu kullanır.
Blowfish ; Güçlü simetrik algoritmadır ve yazılımda uygulandığında hızı nedeniyle hızlı blok şifreleme olarak adlandırılır. 1993
yılında Bruce Schneider tarafından geliştirilen Blowfish , günümüzde hala kullanılmaktadır. Etkili kriptoanaliz olmadan iyi
şifreleme oranları sağlar. Şu anda bir dizi şifreleme ürününde paketlenmiştir. Blowfish , 64 bit düz metin blok boyutunda çalışır
ve 32 bit ila 448 bitlik anahtar kullanır. Anahtarlar önceden hesaplanıp depolandığından , algoritma anahtarları değiştirmede
yavaştır. Blowfish'i bazı şifreleme uygulamaları için uygun hale getirir.
Twofish ; AES yarışmasında da yarışmacı olan simetrik algoritmadır. Bruce Schneider tarafından yönetilen kriptograf ekibi ,
Blowfish'in geliştirilmiş uzantısı olarak Twofish'i geliştirmiştir. Algoritma ; 128 , 192 , 256 bitlik benzer anahtar yapısında 128
bitlik blokları kullanır. Aynı zamanda kamuya açıktır ancak Blowfish'ten daha az popülerdir.
RC4 ; Birçok uygulamada kullanılan çok popüler yazılım akış şifresidir. Algoritmanın bilinen zayıflıkları vardır ve Aktarım Katmanı
Güvenliği ( TLS ) gibi protokollerde yaygın olarak kullanılmasına rağmen , Microsoft ve diğerleri gibi büyük kuruluşlar , mümkün
olduğunda RC4'ün devre dışı bırakılmasını tavsiye etmektedir. İlk olarak 1987 yılında Ron Rivest tarafından tasarlanan algoritma
, SSL / TLS , Kabloluya Eşdeğer Gizlilik ( WEP ) , Wi-Fi Korumalı Erişim ( WPA ) dahil olmak üzere çeşitli şifreleme protokollerinin
bel kemiğiydi.
RC5 ; Basit simetrik anahtar blok şifresidir. Algoritma ; 32 , 64 , 128 bitlik değişken blok boyutuna ve 0 ila 2040 bit arasında
değişen anahtar uzunluğuna sahip olması bakımından biraz benzersizdir.
Algoritmalar ; Advanced Encryption Standard ( Blok boyutu 128 ) , ( Anahtar Boyutu 128 , 192 , 256 ). Data Encryption Standard
(DES) ( Blok boyutu 64 ) , ( Anahtar boyutu 56 ). Triple Data Encryption Standard ( 3DES ) ( Blok boyutu 64 ) ( Anahtar boyutu
168 ). International Data Encryption Algorithm ( IDEA ) ( Blok boyutu 64 ) , ( Anahtar Boyutu 128 ). Blowfish ( Blok boyutu 64 ) ,
( Anahtar boyutu 32–448 ). Twofish ( Blok boyutu 128 ) , ( Anahtar boyutu 128 , 192 , 256 ). RC5 ( Blok boyutu 32 , 64 , 128 ) , (
Anahtar boyutu 0–2040 ). CAST ( Blok boyutu 64 ) , ( Anahtar boyutu 40–128 ).
Asimetrik Kriptografi ; Açık anahtarlı kriptografi olarak da adlandırılır. Asimetrik şifreleme , asimetrik şifreleme algoritmasını
kullanır. Simetrik ve asimetrik arasında , asimetrik çok daha çok yönlüdür. Her kullanıcı için ortak anahtar ve özel anahtardan
oluşan anahtar çifti kullanır. Kullanıcı , gerektiğinde her iki anahtarı da kolayca oluşturabilir. Genel ve özel anahtarların
matematiksel ilişkisi vardır. Önce özel anahtar üretilerek akabinde açık anahtar üretilir. Tek yönlü işlev olarak adlandırılır , çünkü
özel anahtar , matematiksel hesaplama yoluyla açık anahtarı oluştursa da , yalnızca ortak anahtara sahipse , herhangi birinin özel
anahtarı belirlemesi matematiksel olarak mümkün değildir. Asimetrik şifreleme sisteminde açık anahtar ve özel anahtar
arasındaki ilişkileri anlamak güvenlik uygulayıcısı için önemlidir. Bir kişinin sahip olduğu anahtar , anahtar çiftindeki diğer anahtar
tarafından şifrelenen mesajın şifresini çözebilir. Anahtar ilişki sadece her bireyin sahip olduğu anahtar çifti arasındadır. Düz metin
mesajını şifrelemek için herhangi bir anahtar kullanılabilir ve mesajın şifresini çözmek için yalnızca genel veya özel karşı anahtar
kullanılabilir. Asimetrik kriptografi , simetrik kriptografiden çok daha ölçeklenebilir. Asimetrik kriptografide , açık anahtar özgürce
ve açık şekilde dağıtılabilir. Mesaj şifrelenmiş olsa da , ortadaki adam saldırısı kolayca şifresini çözebilir. Bu tekniğin kullanımı ,
menşe kanıtı sağlamaktır.
Dijital imzalar , mesajları imzalamak için yaygın olarak kullanılmaktadır. Dijital imza , hem menşe kanıtı ve dolayısıyla inkar
edilemezlik , hem de mesaj bütünlüğü sağlar. Mesaj bütünlüğü , mesajın kaynak ile alıcı arasında değişmediğini kanıtlama
işlevidir. Mesaj özeti veya hash değeri elde etmek için orijinal düz metin mesajının hash algoritmadan geçirilmesiyle
gerçekleştirilir. Bu mesaj özeti veya hash değeri daha sonra gönderenin özel anahtarı kullanılarak şifrelenir. Gönderici , özel
anahtarı kullanarak mesajı şifreleyerek , aslında gönderici olduğuna dair kanıt sağlar. Dijital imzanın gizlilik sağlamadığını
belirtmek önemlidir. Sadece menşe kanıtı , inkar edilemezlik ve mesaj bütünlüğü sağlar.
Asimetrik kriptografi , çok yoğun hesaplamalar ve gereken yüksek işlemci yükü nedeniyle simetrik kriptografiden çok daha
yavaştır. Asimetrik şifreleme genelde büyük miktarda veriyi şifrelemek için uygun değildir. Simetrik kriptografik anahtarın hemen
değiş tokuş edilebilmesi için genelde gönderici ve alıcı arasında şifreli oturum başlatmak için kullanılır. Bu gerçekleştiğinde , hem
gönderici hem de alıcı simetrik şifreleme sistemine geçerek iletişim sürecini hız büyüklükleri kadar artırır.
En yaygın olarak kullanılan asimetrik kriptografi çözümleri şöyledir ; Rivest , Shamir ve Adleman ( RSA ) , Diffie-Hellman , ElGamal
, Eliptik eğri kriptografisi ( ECC ).
En ünlü açık anahtar şifreleme sistemi olan RSA , yapımcıları Ronald Rivest , Adi Shamir ve Leonard Adleman'ın adını almıştır.
1977'de RSA ortak anahtarını önerdiler. Hala yaygın olarak kullanılan ve Microsoft , Nokia , Cisco gibi şirketler tarafından üretilen
çok sayıda iyi bilinen güvenlik altyapısının belkemiğini oluşturan algoritmadır. RSA algoritması , büyük asal çarpanlara ayırmanın
hesaplama zorluğuna dayanmaktadır. RSA şifreleme sisteminin her kullanıcısı , çok karmaşık tek yönlü algoritma kullanarak ortak
ve özel anahtar çifti oluşturur.
Anahtar Tabanlı Olmayan Asimetrik Kriptografik Sistemler ; Anahtar dağıtımı , kriptosistemlerde sorun olmaya devam etmiştir.
Mesajın alıcısı ve göndericisinin birbirleriyle iletişim kurması gerekebilir fakat anahtar materyalini değiştirmek için hiçbir fiziksel
araca ve gizli anahtarların değişimini kolaylaştıracak hiçbir açık anahtar altyapısına sahip değildirler.
Bu gibi durumlarda , Diffie-Hellman anahtar değişimi algoritması gibi anahtar değişim algoritmaları , anahtar değişiminin ilk
aşamalarında faydalı olacaktır. Diffie-Hellman algoritması , bir dizi matematiksel hesaplama kullanarak iki taraf arasında
paylaşılan gizli anahtar oluşturur. Özünde , her bir tarafın hem gizli tamsayı numarası hem de genel tamsayı numarası vardır. Her
bir taraf sırasıyla genel tamsayı numarasını diğer tarafa gönderir. Bir dizi hesaplama adımı yoluyla , her bir taraf aynı tamsayıya
ulaşarak paylaşılan gizli anahtar olarak kullanılabilir. 1985 yılında , Dr. T. Elgamal , Diffie-Hellman anahtar değişimi algoritmasının
arkasındaki matematiksel ilkelerin , mesajları şifrelemek ve şifresini çözmek için kullanılan tüm açık anahtar şifreleme sistemini
destekleyecek şekilde nasıl genişletilebileceğini açıklayan makale yayınlamıştır. ElGamal imza algoritması , Diffie-Hellman'ın
çarpımsal tamsayılar modül grubunu kullanan matematiksel işlemi gibi değil , ayrık logaritmaların hesaplanmasının zorluğuna
dayanan dijital imza şemasıdır. ElGamal imza algoritması bugün hala kullanılmaktadır. Yayınlandığında , ElGamal algoritmasının
RSA algoritmasına göre en büyük avantajlarından biri , RSA'nın patentli olması ve Dr. Elgamal'ın algoritmasını özgürce ve halka
açık olarak yayınlamasıydı. ElGamal şifreleme sistemine genelde hibrit şifreleme sistemi denir.
Kullanımda , mesajın kendisi simetrik algoritma kullanılarak şifrelenerek simetrik algoritma için kullanılan simetrik anahtarı
şifrelemek için ElGamal kullanılır. Büyük mesajların alıcıya iletilmesine ve mesaj şifreleme için simetrik algoritma ve anahtar ,
simetrik anahtar değişimi için asimetrik şifreleme kullanılarak şifresinin çözülmesine izin verir. ElGamal'in dezavantajı ise
algoritmanın şifrelediği herhangi bir mesajın uzunluğunu iki katına çıkarması , böylece dar bant genişliği üzerinden çok büyük
mesaj gönderildiğinde veya çok büyük bir mesajın şifresini düşük güçlü cihazla çözerken büyük bir zorluk sağlamasıdır.
Eliptik Eğri ve Kuantum Kriptografisi ; 1985 yılında , Washington Üniversitesi'nden Neil Koblitz ve International Business
Machines'den ( IBM ) Victor Miller adlı iki matematikçi , güvenli kriptografik sistemler geliştirmek için bağımsız olarak eliptik eğri
kriptografisi ( ECC ) teorisinin uygulanmasını önerdiler. RSA , Diffie-Hellman ve diğer asimetrik algoritmalar , iki veya daha fazla
asal sayıdan oluşan büyük tam sayıları çarpanlarına ayırmanın zorluğu nedeniyle başarılıdır. Bununla ilgili sorun , hesaplamayı
gerçekleştirmek için gereken ek yük ve işlem süresidir. ECC'nin arkasındaki matematiksel kavramlar oldukça karmaşıktır.
Kriptografik sistemlerin parçalarının inşasının tek yönlü işlev olarak çalışması önemlidir. İleri yönde kolayca değer
hesaplayabilecekleri anlamına gelir fakat başlangıç noktası belirlemek neredeyse imkansız olmalıdır. Asimetrik kriptografide özel
anahtar ve genel anahtar matematiksel olarak bağlantılıdır. Özel anahtar , genel anahtarı oluşturmak için kullanılabilir fakat açık
anahtara sahip olunduğunda , özel anahtarın üretilmesi veya belirlenmesi mümkün değildir. Eliptik eğri protokolünün güvenliği
, bilinen taban noktasına ve eliptik eğri üzerinde olduğu belirlenen bir noktaya dayanır. Tüm süreç , bir nokta çarpımını hesaplama
yeteneğine ve çoklu hesaplama ile her iki nokta kümesini bilme yetersizliğine bağlıdır. Özetle , eliptik eğri elemanının ayrık
logaritmasını bulmanın mümkün olmayan miktarda iş faktörü alacağı varsayılır. Temelde , eliptik eğri kriptografisi , daha kısa
anahtarlardan daha güçlü şifreleme elde etmek için ayrık logaritma matematiği uygulama yöntemidir. ECC RSA 160 bit anahtarı
, RSA 1.024 bit anahtarıyla aynı korumayı sağlar. Kuantum kriptografi , kriptografi dünyasına büyük vaatler sunan gelişmiş bir
kavramdır. Konsept , ışığın hem dalga hem de parçacık olduğu kuantum seviyesindeki ikili doğasından yararlanır. Kuantum
kriptografisi , ışığın polarizasyon rotasyon şemasından yararlanır. Kuantum şifreleme ile başarılı deneyler , kuantum anahtar
dağıtımını içermekteydi. Bu teknoloji ile , iki taraf arasında paylaşılan anahtar oluşturulabilir ve geleneksel simetrik algoritmalar
tarafından kullanılan paylaşılan anahtar oluşturmak için kullanılabilir. Kuantum kriptografisinin benzersiz doğası , iletişimi
dinlemeye yönelik herhangi bir girişimin kuantum mesaj akışının doğasını bozması ve her iki taraf tarafından da fark edilmesidir.
Kuantum kriptografi teknolojileri şu anda geliştirme aşamasında veya sınırlı kullanımdadır. Geleceğe yönelik tahmin , bir kez
olgunlaştığında , kuantum kriptografisinin bir kerede mevcut tüm kriptografik sistemlerin yerini alacağı ve aynı zamanda mevcut
kriptografiyi kırabileceği yönündedir.
Hibrit Kriptografi ; Hibrit kriptografi hem asimetrik hem de simetrik kriptografik iletişimleri kullanır. Bu kriptografi türü , hem
asimetrik hem de simetrik kriptografinin en iyi özelliklerinden yararlanır. Arzu edilen simetrik şifreleme kullanmaktır çünkü büyük
miktarda veriyi şifreleyebilirsiniz ve bu harika hız sunar. Dezavantajı , anahtar değişiminin zorluğundadır. Asimetrik şifreleme ,
kolay anahtar değişimine izin verir fakat çok yavaştır ve büyük miktarda veriyi iyi şifrelemezler. Hibrit kriptografiyi kullanmak için
asimetrik şifreleme kullanarak iletişim oturumu kurmanız gereklidir. Oturum kurulduktan sonra çok büyük veri dosyası simetrik
anahtarla şifrelenerek alıcıya gönderilir. Büyük veri dosyasını şifrelemek için kullanılan simetrik anahtar daha sonra alıcının açık
anahtarıyla şifrelenerek alıcıya gönderilir. Alıcı , özel anahtarını kullanarak simetrik anahtarın şifresini çözerek simetrik anahtarı
kullanıp büyük veri dosyasının şifresini çözer. Bu yöntem , asimetrik kriptografi kullanılarak güvenli iletişim başlatılırken ve
simetrik kriptografi kullanılarak çok daha hızlı şifreleme yöntemine geçilirken yaygın olarak kullanılır.
Steganografi ; Steganografi basitçe bir mesajı diğerinin içinde saklamaktır. Görünürde saklanma olarak bilinen steganografi , bir
fotoğrafın , bir ses kaydının , bir video kaydının içindeki metin mesajını gizlemek için kullanılabilir. En popüler olarak JPG veya
GIF gibi bir fotoğrafın içine metin mesajını gizlemek için kullanılır. Steganografi algoritması , fotoğraf içindeki çeşitli piksellerin
en az anlamlı bitini değiştirerek metin mesajını kodlar. Bu tekniği kullanarak , metin mesajı resim dosyasına gömülecek fakat
çıplak gözle algılanamayacaklardır. Mesajın varlığının kanıtı , orijinal fotoğrafın hash edilmesi ve fotoğrafın ile mesajın hash'i ile
karşılaştırılmasıyla belirlenebilir. Bu durumda hash değerleri eşit olmayacaktır. Steganografi , bir dizi ücretsiz algoritma
kullanarak elde edilmesi oldukça basit ve hızlıdır. Bazı durumlarda , mesaj bir fotoğrafa gömülmeden önce şifrelenebilir.
Dijital Filigran ( Digital Watermark ) ; Dijital filigran , ya görüntü verisine ya da ses / video verisine gizlice dahil edilen tanımlama
verisidir. Dijital filigranlar , nesne dosyasının gerçekliğini veya bütünlüğünü doğrulamak , sahiplerinin kimliğini belirtmek için
kullanılabilir. Nesne dosyasının telif hakkını veya sahipliğini belirlemek için kullanılırlar. Dijital filigranlar , temel alınan ortam
önemli ölçüde değiştirilmiş olsa bile bütünlüğünü çok iyi koruyabilir.
Medya ve içerik sahipliğinin kanıtlanmasının önemli olduğu Dijital Haklar Yönetimi ( DRM ) gibi teknolojilerde önemlidir.
Steganografide olduğu gibi , filigranı hem gömmek hem de okumak için uygulama gereklidir. Dosyayla birlikte listelenebilen ve
yazarı , oluşturulma tarihi ve diğer bilgileri içeren meta verilerin aksine , filigran çıplak gözle görülemezler. Çoğu filigran , veri
sıkıştırma veya bir fotoğrafın kırpılması gibi orijinalin manipülasyonu ile değiştirilemezler. Dijital filigran , bilgilerin tamamen pasif
şekilde pazarlanmasıdır ve erişimi veyahut medya çoğaltmasını engellemezler. Dijital filigranlar , müzik endüstrisinde ve sinema
endüstrisinde yasadışı olarak kopyalanan medyanın kaynağını tespit etmek için yaygın olarak kullanılmıştır.
Hashing ; Şifreleme algoritması kullanmayan şifreleme türüdür. Bunun yerine , özet işlevi , genelde özet , özet değeri , mesaj
özeti , parmak izi olarak adlandırılabilecek benzersiz tanımlayıcı üretir. Hash işlevi veya hash algoritması , tek yönlü bir işlevdir.
Hash , hash işlemi kullanılarak bir belgeden türetilebilir fakat hash değerinin kendisi , orijinal belgeyi türetmek için ters işlevde
kullanılamazlar.
Hash değerleri veya mesaj özetleri , orijinal belgenin boyutundan bağımsız olarak her zaman sabit uzunlukta çıktı üretir. Hash
fonksiyonları da çığ etkisi tekniğini kullanır. Orijinal belgede bir karakterin değiştirilmesi , tüm hash değerini değiştirecektir.
Belgenin tamamını hash etmek , benzersiz hash değeri yaratacaktır. C harfini belgenin herhangi bir yerine yazmak , hash değerini
tamamen değiştirecektir. Belgeye başka c yazmak , hash değerini tekrar tamamen değiştirecektir. Saldırganın hash değerini
inceleyerek hangi karakterin yazıldığını belirleyememesini sağlar. Aynı karakterlerden ikisi arka arkaya yazıldığında , hash değeri
iki karakteri tanımlamayacak şekilde değişecektir.
Bir belgenin değişip değişmediğini tespit etmek için hash kullanılır. Bir belgenin bütünlüğünü doğrulamak için belge gönderen
tarafından özetlenir ve özet değeri mesaja dahil edilir. Alındığında , alıcı mesajı bir kez daha özetler ve özet değerleri karşılaştırılır.
Hash değerleri aynıysa , ileti aktarım sırasında değişmez. Hashing algoritmaları , değişken uzunlukta girdi dosyası kullanarak sabit
uzunlukta karakter dizisi verir. Message Digest 5 ( MD5 ) 128 bitlik hash çıktı üretir. Güvenli Hash Algoritması ( SHA-2 ) hash işlevi
, TLS ve SSL , PGP , SSH , S/MIME , IPsec dahil olmak üzere yaygın olarak kullanılan bazı güvenlik uygulamaları ve protokollerinde
uygulanmaktadır. Hash algoritması çarpışmasız olmalıdır. İki farklı metin mesajının aynı hash değeriyle sonuçlanamayacağı
anlamına gelir. Bunun olması durumunda , hash algoritması hatalıdır.
Algoritma ve hash uzunlukları ; Secure Hash Algorithm ( SHA-1 ) ( 160 ) , SHA-224 ( 224 ) , SHA-256 ( 256 ) , SHA-384 ( 384 ) ,
SHA-512 ( 512 ) , SHA-512/224 ( 224 ) , SHA-512/256 ( 256 ) , SHA3-224 ( 224 ) , SHA3-256 ( 256 ) , SHA3-384 ( 384 ) ,SHA3-
512 ( 512 ) , Message Digest 5 ( MD5 ) ( 128 ) , RIPEMD ( 160 ).
Mesaj Kimlik Doğrulama Kodu ( Message Authentication Code ) ; MAC , hash koda veya mesaj özetine benzer mesaj doğrulama
ve bütünlük doğrulama mekanizmasıdır. Kullanımdayken , genelde 64 bit uzunluğundaki küçük veri bloğu , paylaşılan gizli
anahtarla şifrelenir. Bu veri bloğu bir mesaja eklenerek alıcıya gönderilir. Alıcı 64-bit veri bloğunun şifresini çözerek verinin
aktarım sırasında değişmediğini belirleyecektir. Kimlik doğrulama , gönderenin gizli simetrik anahtara sahip olan diğer tek kişi
olduğu bilgisi ile alıcıya sağlanır. MAC bütünlük bloğu , CBC modu kullanılarak DES şifreleme algoritması tarafından oluşturulan
şifreli metnin son şifreleme bloğu şeklini alabilir. CBC blok modunda son şifreleme bloğuna ulaşmak için şifrelemelerde çok sayıda
hesaplama yapılmıştır. Alıcı , CBC modunda algoritmanın son bloğunu belirleyerek iki bloğu karşılaştırır. Eşleşirlerse , alıcı hiçbir
şeyin değişmediğinden emin olabilir. Sistem çalışır çünkü mesajda herhangi bir şey değişirse CBC modu bir hatayı son bloğa
yayar. Bu yöntemin dezavantajı ise hem mesaj bütünlüğünü hem de gönderen kimlik doğrulamasını sağlamanın çok yavaş bir
süreç olmasıdır.
HMAC ; Anahtarlı hash mesaj doğrulama kodu veya HMAC , mesajın gerçekliğini kanıtlamak için hash işleminden önce mesaja
eklenen paylaşılan gizli anahtarın kullanımını içerir. Mesaj doğrulama kodları , taraflar arasında iletilen bilgilerin kimliğini
doğrulamak için gizli anahtarı paylaşan iki taraf arasında kullanılır. Hash işlevi , normal mesaj bütünlüğünü gerçekleştirir.
Kullanımda , gönderen , anahtarı orijinal mesaja ekleyerek orijinal mesajı paylaşılan gizli anahtarla birleştirir. Bu kombinasyon
mesajı ve gizli anahtar daha sonra HMAC değeri oluşturmak için hash hale getirilir. Gizli anahtar eklenmemiş orijinal mesaj artı
HMAC değeri daha sonra alıcıya gönderilir. Alıcı , kendi gizli anahtarını orijinal mesaja ekleyerek kendi HMAC'ını oluşturarak
mesajı hash edecektir. Göndericiden alınan HMAC ile alıcı tarafından belirlenen HMAC aynı ise , bu durumda mesaj geçişte
değişmemiş , bütünlük kanıtlanmıştır ve gönderici , paylaşılan gizli anahtara sahip olduğu gerçeğiyle doğrulanmış olur.
Key Length ; Herhangi şifreleme sisteminde güvenlik yöneticisi tarafından seçilebilecek en önemli güvenlik parametrelerinden
biri anahtar uzunluğudur. Anahtarın uzunluğu , şifreleme sistemini yenmek için gereken işlem süresi miktarı üzerinde doğrudan
etkiye sahiptir. Gereken işlem gücü ve her bir veri bloğunu işlemek için gereken süre üzerinde doğrudan etkisi olabilir. ABD
hükümeti ve endüstri standartlarına göre , verileriniz ne kadar kritikse , onu korumak için kullanmanız gereken anahtar da o
kadar güçlü olur. Ulusal Güvenlik Ajansı ( NSA ) , AES algoritmasının 128 bit , 192 bit , 256 bit anahtar uzunluklarının , gizli olarak
sınıflandırılan bilgilere kadar herhangi devlet bilgisini korumak için yeterli olduğunu belirtmiştir. Çok gizli olarak sınıflandırılan
bilgilerin , 192 bit veya 256 bit anahtar uzunlukları kullanılarak AES tarafından şifrelenmesi gerektiğini belirtmiştir. Kuralın bariz
istisnası eliptik eğri kriptografisidir. Algoritma içinde kullanılan hesaplamalar nedeniyle , daha kısa anahtar uzunluğu , çok daha
büyük anahtar uzunluğuna ve diğer algoritmalara eşdeğer olabilir. 256 bitlik eliptik eğri şifreleme sistemi anahtarının , 3.072
bitlik RSA şifreleme sistemi genel anahtarına eşdeğer olduğu bildirilmektedir. Kriptosistem anahtarının uzunluğu ile ilgili olarak
verilerin saklanması gereken sürenin uzunluğunu dikkate almak önemlidir. Moore yasası , işlem gücünün yaklaşık her 18 ayda
bir ikiye katlandığını belirtir. Bu bir gerçekse ve şu anda mevcut bir bilgisayarın bir şifreleme sistemi anahtarını kırmak için bir
yıllık işlem süresi gerekiyorsa , çağdaş teknoloji ile 3 yıl sonra girişimde bulunulursa sadece 3 ay sürecektir. Kayıtların düzenleyici
ortamda 3 , 7 , 10 yıl saklanması gerekiyorsa , uygun anahtar uzunluğu seçilmelidir.
Non-repudiation ; Reddetmeme , mesajı gönderenin mesajı gönderdiğini inkar etmesini engeller. Asimetrik kriptografide ,
gönderici mesajı şifrelemek için kendi özel anahtarını kullandığında reddedilemezlik çağrılır. Mesajın herhangi bir alıcısı daha
sonra mesajın şifresini çözmek için gönderenin ortak anahtarını kullanabilir. Gönderici , özel anahtara erişimi ve bilgisi olan tek
kişi olduğundan , mesajı şifrelediğini ve bu nedenle gönderdiğini inkar edemezler. Bu kuralın tek istisnası , gönderenin özel
anahtarının ele geçirilmiş olması olabilir. Bu durumda hem özel anahtarın hem de genel anahtarın atılması gerekir.
Reddedilmeme aynı zamanda uygun kimlik doğrulamaya da bağlıdır. Göndericinin sisteme doğru şekilde kimliği doğrulanmalıdır
ve bu nedenle özel anahtara uygun erişime sahip olmalıdır. Kimliği doğrulanmamış davetsiz misafir , bireyin özel anahtarına
erişirse , inkar etmeme geçersiz olacaktır.
Kimlik doğrulama , mesajın alıcısının yanı sıra gönderenin de doğruluğunu doğrular. Alıcının kendi sisteminde güçlü şekilde
kimliğinin doğrulanması , tüm etkinliklerinin ve eylemlerinin aktif olarak günlüğe kaydedilmesi koşuluyla , alıcı tarafından
reddedilmediği de kanıtlanabilir. Bu nedenle , mesajın alınması uygun alıcıya kadar izlenebilir.
Asimetrik kriptografide inkar edilemezlik, göndericinin mesajı özel anahtarla şifreleme eylemiyle gerçekleşir. Özel anahtara
erişebilecek tek kişi gönderen olacaktır. Simetrik bir anahtar kullanılarak asimetrik kriptografide inkar edilemezlik
yasalaştırılabilir. Bu durumda simetrik anahtar sadece alıcı ve göndericide bulunur. Simetrik anahtar , paylaşılan bir sırdır.
Taraflardan birinin diğerinden simetrik anahtarla şifrelenmiş mesaj alması durumunda , gönderen kişinin gizli simetrik anahtara
sahip olması gerektiği gerçeğiyle doğrulama sağlanır. Bu nedenle , olduklarını iddia ettikleri kişilerdir. Buna yönelik bir tehdit ,
özel anahtarın veya gizli simetrik anahtarın üçüncü taraf dinleyici tarafından ele geçirilmesi olabilir. Bu tür inkar edilemezlik ,
Kerberos'un çoklu oturum açma metodolojisinde kullanılır. Bilet veren sunucu , paylaşılan gizli simetrik anahtar tutar. Kerberos
bölgesindeki her kaynak , aynı paylaşılan gizli simetrik anahtara veya bilet veren sunucu tarafından da paylaşılan benzersiz
anahtar paylaşılan anahtara sahiptir. Bilet veren sunucudan anahtarı içeren bir biletin sunulması üzerine , kaynak , kaynak gizli
anahtarını bilete dahil olan sunucu güvenliğini sağlayan biletle karşılaştırarak biletin geçerli ve gerçek olduğu sonucuna varabilir.
Bu durumda , inkar etmeme , doğrulama olarak da kullanılabilir.
Bir çalışma grubundaki kişiler gibi , ikiden fazla kişinin ortak gizli simetrik anahtara erişimi varsa , reddedilemezliğin
sağlanamayacağına dikkat edilmelidir. Böyle bir düzenlemede , mesajı şifrelemek için simetrik anahtarı gerçekten kimin
kullandığını belirlemek imkansızdır.
Key Escrow ; Anahtar emaneti , bir veya daha fazla anahtara erişim gerektiğinde , şifrelenmiş verilerin şifresini çözmek için gerekli
anahtarların güvenli ortamda tutulması işlemidir. Kullanıcıların ve sistemlerin çeşitli anahtarlara erişimi olmasına rağmen ,
koşullar kuruluş içindeki diğer bireylerin bu anahtarlara erişmesi gerektiğini zorunlu kılabilir. Simetrik sistemde , paylaşılan gizli
anahtara sahip olan tüm varlıklar , o anahtarın mahremiyetini ve gizliliğini korumalıdır. Güvenliği ihlal edilirse , kaybolursa veya
çalınırsa , çözümün tamamı yani bu anahtarı kullanan tüm varlıklar tehlikeye girer. Asimetrik sistemde , her kullanıcı kendi özel
anahtarını kullanarak şifrelenmiş mesajların şifresini çözmek için kendi özel anahtarını kullanabilir. Kkullanıcı kendi özel
anahtarına erişimini kaybederse ve mesaj genel anahtarıyla şifrelenirse , mesaj kaybolur. Emanet sistemi , özel anahtarların veya
gizli anahtarların kopyalarının merkezi yönetim cihazı veya sistemi tarafından tutulduğu depolama sürecidir. Sistem , sigorta
aracı olarak veya gerekirse kurtarma için şifreleme anahtarlarını güvenli şekilde saklamalıdır. Anahtarlar , anahtar emanet aracısı
tarafından kurtarılabilir ve hasarlı veyahut kayıp anahtarla şifrelenmiş herhangi bir veriyi kurtarmak için kullanılabilir. Anahtar
kurtarma , sadece bir anahtar kurtarma aracısı veya belirli rehberlik , yetki altında hareket eden bir grup aracı tarafından
gerçekleştirilebilir. Bazı durumlarda , kurtarma aracıları mahkeme emri yetkisi altında mahkeme adına hareket edebilir. Anahtar
kurtarma aracısı veya aracılar grubu güvenilir kişiler olmalıdır. Birçok kurumsal , devlet ve bankacılık durumu , iki kişilik bir
politikada veya çift kontrolde olduğu gibi , birden fazla güvenilir anahtar kurtarma aracısının dahil olmasını gerektirir. Böyle bir
durumda , M of N kontrolü olarak bilinen mekanizma uygulanabilir. M of N , birden çok anahtar kurtarma aracısının ( M ) olduğu
teknik olup emanet veri tabanından anahtarları çıkarmak için bu aracıların ( N ) belirlenmiş minimum sayısının mevcut olması ve
birlikte çalışması gerekir. M of N kontrolünün kullanılması , anahtar kurtarma aracıları arasında hesap verebilirliği sağlayarak
herhangi bir bireyin kriptografik çözüm üzerinde tam kontrole sahip olmasını veya bu çözüme erişmesini engeller.
Anahtarlar , donanım çözümlerinde veya yazılım çözümlerinde saklanabilir. Her ikisi de benzersiz faydalar ve eksiklikler
sunmaktadır. Donanım anahtarı depolama çözümleri çok esnek değildir. Fakat anahtar depolama aygıtı olarak donanım , yazılım
çözümünden daha güvenlidir. Donanım çözümleri genelde daha pahalıdır ve fiziksel hırsızlığa tabidir. Donanım anahtarı
depolama çözümlerinin bazı yaygın örnekleri ; akıllı kartlar ve flash bellek sürücüleridir. Yazılım anahtarı depolama çözümleri
genelde özelleştirilebilir , esnek depolama teknikleri sunar. Elektronik olarak saklanan her şey elektronik saldırılara karşı
savunmasızdır. Elektronik depolama teknikleri host bilgisayar işletim sistemine dayanır ve yetersiz kontroller yoksa anahtarlar
çalınabilir , silinebilir veya yok edilebilir.
Merkezi anahtar yönetimi , oluşturulan her anahtarın genelde emanette saklandığı sistemdir. Bu nedenle , son kullanıcı
tarafından şifrelenen hiçbir şey tamamen özel değildir. Çoğu durumda , gizlilik veya bütünlük üzerinde herhangi bir kontrol
sağlamadığı için genel veya açık kullanıcı topluluğu için kabul edilemezler.
Federal Back Doors ; 1990'ların sonlarında , federal hükümet , Ulusal Güvenlik Ajansı ( NSA ) aracılığıyla , iş dünyası genelinde
uygulamak istediği merkezi kilit yönetim planı geliştirmiştir. Tüm ticari cihazlara monte edilmek üzere , kesme çipi adı verilen
tartışmalı kurcalamaya dayanıklı donanım çipi önerilmiştir. Skipjack algoritması şifreleme sağlamaktaydı. Atlama algoritması için
anahtar emanet , Kanun Uygulama Erişim Alanı ( LEAF ) tarafından sağlandı. Bu kavram , bazılarının tüm mekanizmanın NSA için
kolay arka kapıya izin verdiği , herkesin sırlarına erişim sağladığı yönündeki öneriyle o zamanlar çok tartışma yaratmıştı. Asla
uygulanmadı. Ancak bugüne kadar , diğerlerinin yanı sıra ABD Başsavcısı ve FBI Direktörü gibi hükümet yetkilileri , hükümetin
özel şifreli dosyalara tam erişimini sağlayan yasaların çıkarılması gerektiğini Kongrede savunmuştur.
Merkezi olmayan anahtar yönetimi , kullanıcıların kendi anahtarlarını oluşturmalarına ve anahtarları merkezi anahtar yönetim
yetkilisine göndermelerine fakat kişisel anahtarlarını istedikleri gibi merkezi olmayan anahtar yönetim sisteminde tutmalarına
olanak tanır. Merkezi anahtar yönetimi yetkilisi tarafından saklanan özel anahtarların sayısını sınırlayarak kurtarma aracısı
tarafından erişilemeyen gizli anahtarla bir şeyin şifrelenmesi riskini de artırır.
Key Management ; Kriptografik anahtarları korumak , kullanmak , dağıtmak , depolamak ve kontrol etmek için kullanılan çeşitli
mekanizmalar , teknikler ve süreçleri bilmeliyiz. Bu çeşitli mekanizmalar ve tekniklerin tümü , yönetim çözümleri kategorisine
girmektedir.
Anahtar yönetim çözümü şu temel kuralları izlemelidir ; Anahtar , gerekli koruma seviyesini sağlayacak kadar uzun olmalıdır.
Algoritmanın anahtar uzunluğu veya bit uzunluğu ne kadar kısa olursa , anahtarın ömrü o kadar kısa olur.
Anahtarlar güvenli şekilde saklanmalı ve şifreli olarak iletilmelidir. Anahtarlar gerçekten rastgele olmalı ve anahtar alanının tam
spektrumunu kullanmalıdır. Tuş dizileri asla tekrarlanmamalı veya tekrar eden IV kullanmamalıdır. Anahtarın ömrü , koruduğu
verilerin hassasiyetine karşılık gelmelidir. Anahtar sık kullanılıyorsa , kullanım ömrü daha kısa olmalıdır. Acil durumlarda
anahtarlar yedeklenmeli veya emanet edilmelidir. Anahtarlar , kullanım ömürlerinin sonunda güvenli süreçler kullanılarak imha
edilmelidir.
Merkezi anahtar yönetiminde , kriptografik anahtarların tam kontrolü kuruluşa verilerek anahtar kontrolü son kullanıcılardan
alınır. Merkezi anahtar yönetimi politikası kapsamında , kriptografik anahtarların tamamının veya çoğunun kopyaları genelde
emanette saklanır. Kullanıcının anahtarını kaybetmesi durumunda yöneticilerin anahtarları kurtarmasına olanak tanır fakat
yönetimin istediği zaman şifrelenmiş verilere erişmesine de olanak tanır. Merkezi anahtar yönetim çözümü , altyapıya , işleme
yeteneklerine , idari gözetime , politika ve prosedürel iletişime önemli yatırım gerektirir.
Cipher Suites ; Şifre takımı , iki taraf arasında güvenlik ve ağ iletişimi parametrelerini tanımlamak için kullanılacak kimlik
doğrulama yöntemi , şifreleme algoritması , mesaj doğrulama kodu , anahtar değişim algoritmasını içeren standartlaştırılmış
algoritmalar koleksiyonudur. Çoğu zaman şifre paketi terimi , SSL / TLS bağlantılarıyla ilgili olarak kullanılır ve her pakete belirli
adla atıfta bulunulur. Resmi TLS Cipher Suite Registry , IANA ( Uluslararası Atanmış Numaralar Otoritesi ) tarafından bu web
sitesinde tutulmaktadır.
Şifre takımı dört öğeden oluşur ve bu öğe tarafından adlandırılır. CipherSuite " TLS_DHE_DSS_WITH_DES_CBC_SHA " şu
öğelerden oluşmaktadır ; anahtar değişim mekanizması ( TLS_DHE ) , kimlik doğrulama mekanizması ( DSS ) , şifre ( DES_CBC ) ,
, Hash veya mesaj doğrulama kodu ( MAC ) mekanizması ( SHA ).
Pratikte , TLS oturumu talep eden müşteri , el sıkışma sürecinin bir parçası olarak , istemci tarafında desteklenen şifre takımlarının
tercih sıralı listesini gönderecektir. Sunucu , ortak sahip oldukları en yüksek tercihli şifre paketine dayalı olarak istemciyle yanıt
verecek ve pazarlık yapacaktır.
Ephemeral Key ; Geçici anahtar , belirli bir kullanım veya kısa veya geçici zaman çerçevesinde kullanım için ihtiyaç anında
oluşturulan tek seferlik anahtardır. İletişim oturumu için sadece bir kez kullanılan ve ardından atılan anahtar olabilir. Geçici
anahtarlar , hiçbir zaman değişmeyen statik veya sabit anahtarların aksine tanımları gereğidir. Geçici anahtarlar , tek bir işlemin
veya oturumun uç noktaları tarafından benzersiz ve özel olarak kullanılır.
Perfect Forward Secrecy ; Mükemmel iletme gizliliği , gelecekte onu oluşturmak için kullanılan uzun vadeli anahtarlardan birinin
güvenliği ihlal edilirse , oturum anahtarının güvenliğinin ihlal edilmeyeceğini belirten özelliktir. Özünde , mükemmel iletme
gizliliği , uzun vadeli gizli anahtarın açığa çıkması durumunda hiçbir oturum anahtarının açığa çıkmamasını sağlamanın bir
yoludur. Her oturum için kısa süreli , tek kullanımlık geçici anahtarlar kullanılarak mükemmel iletme gizliliği uygulanır. Bu
anahtarlar bir kerelik kullanım için oluşturularak her oturumun veya sürenin sonunda atılır. Oturum anahtarları , iletilen veri
hacmine bağlı olarak atılabilir ve yeniden yayınlanabilir. Mükemmel iletme gizliliği , orijinal oturum anahtarının güvenliği ihlal
edilirse , konuşmanın sadece bu anahtar tarafından şifrelenen kısmının açığa çıkarılmasını gerektirir. Orijinal asimetrik
anahtarların elde edilmesi veya ifşa edilmesi durumunda , gizli dinleyici veya ortadaki adam tuzağı tarafından yakalanan önceki
oturumların kilidini açmak için kullanılamamasını da sağlar.
Cryptanalytic Attacks ; Herhangi bir kriptografik sistem saldırıya açıktır. Bazı durumlarda , zayıflıklar ve popüler kriptografik
algoritmalar oluşturarak kriptografi topluluğuna fayda sağlayabilir. Kriptografik algoritmalar , genelde bu tür saldırıların
doğruluğunu test etmek için halka açık hale getirilir. Gerçek dünyada , kriptografik sistemlere yönelik saldırılar her gün
gerçekleşir. Şu liste , kriptografik sistemlere yönelik çeşitli yaygın saldırıları açıklamaktadır ;
Brute-Force Attack ; Kaba kuvvet saldırısında , şifreli metnin şifresini çözen biri bulunana kadar tüm olası anahtarlar denenir.
Anahtar ne kadar uzun olursa , kaba kuvvet saldırısı yapmak o kadar zor olur. Anahtar uzunluğuna ve kullanılan kaynaklara bağlı
olarak , kaba kuvvet saldırısının gerçekleştirilmesi dakikalar , saatler , yüzyıllar alabilir.
Rainbow Table Attack ; Gökkuşağı tablosu , ilişkili düz metin önceden hash değeriyle birlikte bir dizi önceden hesaplanmış hash
değerdir. Düz metin için orijinal düz metni ve hash değeri sağlar. Büyükanne parolası , hash değeriyle birlikte gökkuşağı
tablosunda yer alacaktır. Gökkuşağı tablolarının kullanımı , hash değerinin yapısını bozma veya tersine mühendislik yöntemi
olarak kullanılır.
Parolalar sistemlerde hash değerler olarak depolandığından , saldırgan hash parola listesine erişim elde ederse , orijinal parolayı
elde etmek için bunları gökkuşağı tablosunda işleyebilir. Rainbow tabloları farklı hash uzunluklarında elde edilebilir.
Known Plaintext Attack ; Bilinen düz metin saldırısında , saldırganın hem düz metne hem de şifreli metne erişimi vardır.
Saldırganın amacı ; şifreli metni şifrelemek için kullanılan orijinal anahtarı belirlemektir. Bazı durumlarda , şifreli metni
oluşturmak için kullanılan algoritmayı analiz ediyor olabilirler.
Chosen Ciphertext Attack ; Seçilen şifreli metin saldırısında , saldırganın şifreleme mekanizmasına , genel anahtara veyahut özel
anahtara erişimi vardır ve anahtarı veyahut algoritmayı belirleme girişiminde şifreli metni işleyebilir.
Chosen Plaintext Attack ; Seçilen düz metin saldırısında , saldırganın algoritmaya , anahtara , bir mesajı şifrelemek için kullanılan
makineye erişimi vardır. Saldırgan , şifreleme sonucunu belirlemek için şifreleme sistemi aracılığıyla düz metni işler.
Differential Cryptanalysis ; Diferansiyel kriptanaliz , kriptografik sistem aracılığıyla işlenirken bilgideki değişikliklerin
incelenmesidir. Bu yöntem , bir sistem içinde ilerledikçe değişen istatistiksel bilgi kalıplarını kullanır. DES dahil olmak üzere birçok
kriptosistem , diferansiyel kriptanaliz yoluyla kırılmıştır.
Ciphertext-Only Attack ; Sadece şifreli metin saldırısı en zor saldırıdır. Saldırganın şifreli metin dışında çok az bilgisi var veya hiç
bilgisi yoktur. Saldırgan , şifreli metni yerleştirmeye yardımcı olmak için karakter sıklığını , istatistiksel verileri , eğilimleri ve diğer
bilgileri kullanmaya çalışır.
Frequency Analysis ; Frekans analizi , bir dilde çeşitli karakterlerin ne sıklıkla ortaya çıktığının incelenmesidir.
Birthday Attack ; Doğum günü saldırısı , bir odadaki kişi sayısına bağlı olarak iki kişinin aynı doğum gününe sahip olma olasılığının
doğum günü paradoksu olarak adlandırılan istatistiksel bir gerçeğe dayanır. Bu tür istatistiksel saldırı , aynı hash değerine eşit iki
düz metin mesajına dayalı çarpışmaları belirlemenin , belirlemeye çalıştığından daha kolay ve hızlı olduğu için öncelikle hash
değerine karşı kullanılır. Doğum günü saldırı tekniği , iki olayın aynı anda gerçekleşeceği ve kaba kuvvet kullanmak gibi her olasılığı
kullanmak yerine bu yöntemi kullanarak sonuca ulaşmanın daha hızlı olacağı istatistiksel olasılığa dayanır.
Dictionary Attack ; Sözlük saldırısı , parolalara karşı kaba kuvvet saldırısında yaygın olarak kullanılır. Sözlük saldırısı , hiçbir
kelimenin bilinmediği kaba kuvvet saldırısı olarak kullanılabilir veya bazı şüpheli düz metin kelimelere filtrelenebilir. Bu düz metin
sözcükleri daha sonra parola alanı gibi belirli bir giriş alanına zorlanır. Diğer sözlük saldırıları , çeşitli sözlük değerlerini toplayarak
bunları hash parola dosyasındaki değerlerle karşılaştırır.
Veri Sınıflandırması ve Düzenleyici Gereklilikler ; Çeşitli askeri , düzenleyici ve devlet kurumları , belirli bilgi türlerinin bilgiye
erişimi kısıtlayacak şekilde sınıflandırılmasını şart koşar. Hükümette ve orduda , bilme ihtiyacına dayalı standart bilgi
sınıflandırma sistemi olabilir. Düzenleyici kurumda bilgiler , kişisel kimlik bilgilerine ( PII ) erişimin kısıtlanması gibi gizlilik
endişelerine dayalı olarak sınıflandırılabilir. Verilere , bilginin hassasiyetine ve ona kimin erişmesi gerektiğine bağlı olarak
sınıflandırma atanabilir veya etiket verilebilir. Bu bilgilerin ifşa edilmesi durumunda kuruluşa ne kadar zarar verileceği
değerlendirilebilir. Bilgi sahibi , bilgiyi belirli bir düzeyde sınıflandıran kişidir. Pek çok kuruluşta , emanetçi , erişimin sadece bir
sınıflandırma düzeyinde belirli bilgilere erişme ayrıcalığına sahip kişilere verilmesini sağlamaktan sorumlu kişidir. Sorumlu ,
bilginin mevcudiyeti ile ilgilenir.
ABD Askeri ve Devlet Güvenlik Sınıflandırmaları ; Amerika Birleşik Devletleri ordusu ve hükümeti , öncelikle bilgi güvenliği ve
gizliliği ile ilgilenmektedir. ABD hükümeti ve ordusunda , bilgiler üç düzeyden birindeyse " sınıflandırılır " ; az gizli , gizli veya çok
gizli. Bu şema ayrıca sınıflandırılmamış içerir. Güvenli bilgiye erişim , bilginin sınıflandırma ile etiketlenmesi , bilgiye erişmek
isteyen kişinin güvenlik açık etiketi ile etiketlenmesi ile sağlanır. Bu gibi durumlarda , referans monitör kullanan güvenilir bilgi
işlem tabanı , erişim isteyen özneler tarafından sınıflandırılmış devlet bilgilerine tüm erişime aracılık eder.
İş ve Endüstriyel Güvenlik Sınıflandırmaları ; Ticari ve endüstriyel kuruluşlar , bilgi gizliliğinden çok bilgi bütünlüğü ile ilgilenirler.
Çeşitli devlet düzenleyici kurumları ve sözleşmeye dayalı ilişkiler , işletmelerin belirli kişisel olarak tanımlanabilir bilgilerin
gizliliğini korumasını gerektirir. Hastaneler HIPAA bilgileriyle ilgilenmeli , kredi kartı işlemleriyle uğraşan şirketler ise endüstri
standardı Ödeme Kartı Endüstrisi ( PCI ) bilgilerinin gizliliğiyle ilgilenmelidir. Birçok kuruluş , hükümet veya ordudan daha az bilgi
güvenliği düzeyine sahiptir. Bu seviyeler ticari sırları , hassas ve kamuya açık bilgi kategorilerini içerebilir.
Safe Harbor Regulations “ Güvenli Liman Düzenlemeleri “ ; Tüm kuruluşlar , faaliyet gösterdikleri coğrafi veya yargı sınırları
içindeki çeşitli düzenleyici ortamlardan etkilenir. Zaman zaman , kuruluşu etkileyen yeni yasalar , yönetmelikler yürürlüğe girer.
Güvenli liman hükmü , tipik olarak , iyi niyetle uygulandığı takdirde , kuruluşu yasal işlemlerden veya yeni düzenleme , yasa
tarafından dayatılan cezalardan geçici veya süresiz olarak koruyabilecek bir dizi koşuldur.
Gizlilik , Uyumluluk ve Gereksinimler ; Uluslararası topluluk World Wide Web aracılığıyla büyüdükçe , birçok gizlilik yasası ve
düzenlemesi , işletmeler ve kuruluşlar için sürekli büyüyen zorluklar listesi oluşturmaktadır. Sosyal Güvenlik numaraları , hesap
numaraları , bankacılık bilgileri , sağlık kayıtları şeklindeki kişisel tanımlayıcı bilgiler ( PII ) çok değerlidir. Kredi kartı hırsızlığı ve
yeniden satışı yıllardır yaygındır. Ancak çalınan tıbbi kayıtlar yoluyla kişisel olarak tanımlanabilir bilgiler daha da değerlidir.
Kuruluşun bu tür bilgiler üzerinde uygun kontroller ve güvenlik önlemleri alması önemlidir.
Kişisel veriler veya kişisel kimlik bilgileri , gerçek bir kişiye ait olan veya gerçek bir kişiye ait olabilecek her türlü bilgi olarak
tanımlanmaktadır.
Avrupa Veri Koruma Direktifi , bilgilerin yasal işlemde veya kişinin hayatını korumak için gerekli olduğu durumlarda , kişinin
rızasıyla verildiğinde veya kamu yararı kapsamında verildiğinde kişisel verilerin korunması gerektiğini zorunlu kılar. Avrupa
sistem yönetmeliği kapsamında , veri denetleyicisi verilerin korunmasından sorumludur ve kişisel verilerin gizliliğini korumak için
tüm uygun kontrolleri uygulamalıdır. Avrupa Veri Koruma Direktifi bireylerin veri denetleyicisinin kimliğini , verilerin alıcısını ve
verilerin nasıl saklandığını bilme hakkına sahip olduğunu da içerir. EDPD , verilerin doğru olmaması veya kamuya açıklanması
durumunda bireyin sahip olduğu hakları içerir. Yönerge , cinsel yönelim , sağlık , dini veya felsefi yönelimle ilgili veriler gibi çok
hassas ve özel verilerin bir bireyin en hassas verileri arasında yer almasını zorunlu kılar.
End-User Privacy Training “ Son Kullanıcı Gizliliği Eğitimi “ ; Bir kuruluştaki tüm bireyler , belirli düzeyde güvenlik bilincine sahiptir.
Kurumsal bilgilerin korunmasını ve güvenliğini içerir. Kısıtlı bilgilerin serbest bırakılması , kuruluşa para cezası veya ceza
verilmesine neden olabilir. Güvenlik uygulayıcısı olarak , yapılması gereken uygun eylemlerin bildirilmesine dahil olabilirsiniz.
Çeşitli sözleşme yükümlülükleri ve hükümet düzenlemeleri , bir kuruluş genelinde sürekli olarak resmi güvenlik bilinci eğitiminin
yürütülmesini gerektirir. Tüm bireyler bu tür eğitimlere katılmalı ve bilgi koruma gerekliliklerini anlamaları açısından
değerlendirilmelidir.
Güvenlik farkındalığı eğitimi bir dizi konuyu kapsayabilir. Şu konular bilgi güvenliği ve gizlilik kısıtlamaları ile ilgilidir ; Bilgisayar
sistemlerinde tutulan sınıflandırılmış veya kişisel olarak tanımlanabilir bilgilerin korunması. Gizli veya kişisel olarak tanımlanabilir
bilgilere erişmek için gereken kimlik doğrulama. Yükleniciler , müşteriler dahil olmak üzere üçüncü tarafların sınıflandırılmış veya
kişisel olarak tanımlanabilir bilgilerle ilgili sorumlulukları. Basılı formdaki bilgilerin uygun şekilde ele alınması ve bununla
bağlantılı olarak sınıflandırılmış ve kişisel olarak tanımlanabilir bilgilerin imhası. Para cezaları , yaptırımlar ve cezalar dahil olmak
üzere , sınıflandırılmış veya kişisel olarak tanımlanabilir bilgilerin ifşa edilmesinin sonuçları.
Açık Anahtar Altyapısı ve Sertifika Yönetimi ; Ortak anahtar altyapısı , bir kişi veya kuruluş tarafından ortak anahtarın sahipliğini
doğrulamak için kullanılan yazılım , donanım , kuruluşlar ve güven mimarilerinden oluşur. Asimetrik kriptografide her varlığın
hem genel hem de özel anahtarı vardır. Özel anahtar , sır olduğu için kalıcı olarak bir tarafa bağlıdır ve sahibi , gizli anahtarı bilen
tek kişi veya kuruluştur. Açık anahtar ise herkes tarafından bilinir ve anahtarın sahibi olduğunu iddia eden saldırgan tarafından
kolaylıkla kandırılabilir. Açık anahtar altyapısı etkilidir çünkü ilgili tüm taraflar dijital sertifikayı verene güvenir. Ortak anahtarların
sahipliği , bir sertifika yetkilisine verilen güven aracılığıyla doğrulanır.
Digital Certificates ; Dijital sertifikalar , anahtar sahibinin gerçekliğini kanıtlamak ve sahibin kimliğiyle asimetrik şifreleme açık
anahtarını bağlamak için kullanılır. X.509 sürüm 3 biçimi , ortak anahtar altyapısı ( PKI ) için standart belirtir. Sertifika iptal
listelerinin yanı sıra güvenilir sertifika yetkilileri sisteminin yapısı , X.509 sürüm 3 biçiminde bulunur. Dijital sertifikadaki alanlar ,
sertifika sahibine ait açık metin açık anahtarının yanı sıra kimlik , düzenleme tarihi , sona erme tarihi ile ilgili bilgileri içerir. Dijital
sertifikalar , tüccar ve internet tarayıcısının yapımcısı arasındaki anlaşma yoluyla internet tarayıcılarına önceden yüklenebilir.
Büyük satıcıların ortak anahtarını tanımlayan sertifikalar , internet tarayıcılarına önceden yüklenmiştir. Bir tarayıcıya önceden
yüklenmemiş sertifikalar , gerektiğinde otomatik veya manuel olarak yüklenebilir. Her sertifika , doğrulama amacıyla internet
tarayıcısı ile sertifika yetkilisi arasında bir yol içerir.
The Certificate Authority ; Sertifika yetkilisi ( CA ) , sertifikanın güvenilir yayıncısıdır. Çoğu ticari e-ticaret işleminde , sertifika
yetkilisi Semantic , GoDaddy , GlobalSign ve diğerleri gibi güvenilir varlıktır. Büyük kuruluşlar , özellikle kuruluş için sertifika veren
dahili sertifika yetkililerine sahip olabilir. Sertifika yetkilisi , ortak anahtarı ve sahibinin kimliğini içeren dijital sertifika verir. Her
dijital sertifika , sertifika yetkilisinin dijital imzasını içererek bu dijital sertifikanın sertifika yetkilisi tarafından verildiğini kanıtlar.
Taraflar ve sertifika yetkilisi arasındaki güven ilişkisi aracılığıyla , tüm taraflara , sertifikada yer alan açık anahtarın , sertifikada
listelenen varlığın açık anahtarı olduğu konusunda güvence verilir. Sertifikalar , aracı sertifika yetkilileri tarafından sertifika
yetkilisi adına düzenlenebilir ve muhafaza edilebilir. Bu aracı sertifika yetkilileri sayesinde , sertifika bir üst düzey veya kök
sertifika yetkilisine giden yolu gösterecektir. Kayıt yetkilisi ( RA ) , sertifika sahibi bilgilerini alma veya koruma sorumluluğu verilen
kuruluştur. RA , sertifika yetkilisi adına , sahip tarafından sağlanan bilgileri alabilir ve doğrulayabilir , bunları açık anahtarla
eşleştirebilir. X.509 standardı kapsamında , KO , sertifika süresinin sona ermesi ve iptali ile CRL listelerinin bakımına da dahil
olabilir. Sertifika yetkilisi , hem anahtar sahibinin hem de açık anahtarın kimliğini alarak , sertifikayı yönetilecek sertifika
veritabanına ekleyerek sertifikaları yönetir. Sertifikalar , ortak anahtarın doğrulanmasını gerektiren herhangi bir kuruluşa istek
üzerine sağlanır. Sertifika yetkilisi , anahtarların süresinin dolmasını , ya normal sona erme tarihleri aracılığıyla ya da sertifikayı
geçersiz kılan uzlaşma etkinliği aracılığıyla yönetir.
Sertifika Süresinin Sona Ermesi veya İptal Edilmesi ; Tüm sertifikaların bir sona erme tarihi vardır fakat bazı sona erme tarihleri
gelecekte 50 yıl bile olabilir. Bazen de genel anahtarla ilişkili özel anahtar herkese açık hale getirildiği veya genel anahtarı geçersiz
kılan başka bir eylem gerçekleştiği için sertifikaların güvenliği ihlal edilir. Böyle bir durumda , sertifikanın tüm kullanıcıları ,
sertifikanın artık geçerli olmadığı konusunda bilgilendirilmelidir.
Sertifika yetkilisinin sertifika iptal listesi ( CRL ) yayınlayarak gerçekleştirilir. Sertifika kullanıcıları , sertifika iptal listesini manuel
veya otomatik olarak kontrol edebilir. Çevrimiçi Sertifika Durum Protokolü ( OCSP ) , sertifikanın durumunu belirlemek için
kullanılan internet protokolüdür. Herhangi bir zamanda bir işlemin tarafı , OCSP sunucusuna bir istek göndererek sertifikanın
durumunu doğrulayabilir. Sunucu , sertifikanın etkin ve geçerli olduğunu doğrulayarak , sertifikanın süresinin dolduğunu veya
iptal edildiğini belirterek isteğe yanıt verir.
Microsoft Internet Explorer sürüm 7 ve üzeri tarayıcılarda , OCSP doğrulama isteklerini destekler. Google Chrome gibi diğer
internet tarayıcıları , gizlilik sorunları nedeniyle otomatik OCSP kontrollerini devre dışı bırakır. Kullanıcılar , karşı tarafın açık
anahtarının doğrulanamaması nedeniyle işleme devam etmeleri konusunda uyarılır.
Key Management ; Günümüzün e-ticaret ve iş dünyasında kriptografik iletişim esastır. Kriptografik iletişimin merkezinde ,
anahtarların gizliliği ve açık anahtarların sahipliğinin doğrulanması yer alır. Anahtar depolama , anahtar dağıtımı ve anahtar
oluşturma , güvenlik uygulayıcısının bilmesi gereken tüm konulardır.
Key Generation ; Modern kriptografi , hem simetrik hem de asimetrik kriptografik sistemlerde anahtarlar için tamsayılar kullanır.
Anahtarlar , herhangi bir bilgisayarda rastgele sayı üreteci ( RNG ) veya sahte rasgele sayı üreteci ( PRNG ) kullanılarak rastgele
oluşturulabilir. Sahte rasgele sayı üreteci , tekrarlanmayan , dolayısıyla rastgele veri üreten bilgisayar algoritmalarıdır. Bu rastgele
sayı üreteci algoritmalarının her ikisi de , işlemlerine başlamak için tohum değerine ihtiyaç duyar. Bazı durumlarda algoritma ,
süreci başlatmak için sistem entropisi olarak bilinen bir özelliği kullanır. Tohum sağlamanın ikinci yöntemi ise rastgele sayı üretme
işlemi için uygun tohum sağlamak için sistem içinde birleştirilmiş parolanın kullanılmasıdır. Anahtarlar , uygulama tarafından
otomatik olarak veya bir değer girilerek manuel olarak oluşturulabilir.
Key Distribution ; Anahtar dağıtımı , şifreleme sisteminin geliştirilmesinde veya seçiminde önemli bir husustur. Simetrik
kriptografide her bir taraf aynı anahtara sahip olmalıdır. Anahtarın dağıtımı bir dizi yolla gerçekleştirilebilir. Bant içi ve bant dışı
terimleri , anahtar materyalin diğer tarafa aktarılmasını ifade etmektedir. Bant içi , mevcut iletişim bağlantısı üzerinden bir
anahtarın iletilmesi veya gönderilmesi anlamına gelir. Gizli dinleme ve ortadaki adam , anahtar değiş tokuşlarına yapılan tipik
saldırılardır. Bant dışı , anahtar materyalin başka yollarla iletilmesini tanımlamak için kullanılan terimdir. Birkaçını saymak
gerekirse ; notlar , el yazısı mesajları , güvenlik transfer poşetleri , sözlü alışverişi içerebilir. Simetrik anahtar değişimi için Diffie-
Hellman anahtar değişimi ; büyük asal sayıları çarpanlarına ayırma ile ilgiliydi ve nihai sonuç her bir tarafın aynı sonuç sayısını
elde etmesiydi. Ortaya çıkan bu sayı simetrik anahtar oldu. Asimetrik anahtar değişimi , genel / özel anahtar çiftinin kullanımını
içerir. Özel anahtar gizli anahtardır. Açık anahtar herhangi bir tarafça kullanılabilir fakat açık anahtarın mülkiyeti güvenilir sertifika
sistemi aracılığıyla doğrulanmalıdır. Anahtar dağıtım merkezi ( KDC ) , Kerberos çoklu oturum açma uygulaması için anahtar
yönetimi sağlar. Her Kerberos kullanıcısı , kullanıcı ile anahtar dağıtım merkezi arasında iletişim kurmak için kullanılan ana
anahtar oluşturur. Kerberos sisteminde , bilete simetrik anahtar gömülüdür. Kullanıcı , Kerberos bölgesindeki bir kaynağa her
erişmek istediğinde , kullanıcı , anahtar dağıtım merkezine erişmek için bilet verme biletine gömülü ana anahtarı kullanır. Bu da
daha sonra kullanıcıya oturum biletine gömülü oturum anahtarını sağlar.
Key Encrypting Keys ; Oturum anahtarları , gönderici ve alıcı arasındaki belirli bir iletişim oturumu sırasında kullanılan tek
kullanımlık anahtarlardır. Seans bitiminde anahtarlar atılarak bir daha asla kullanılmazlar. Bir oturumun kurulması sırasında hem
göndericinin hem de alıcının aynı gizli oturum anahtarını alması gerekir. Çözüm ; oturum anahtarları oluşturmak için ana anahtar
kullanmaktır. Bu tekniği kullanarak , hem gönderici hem de alıcı , her zaman korudukları ana paylaşımlı anahtara sahiptir. Bir
oturuma başladıklarında , oturum anahtarını ana anahtarla şifreleyerek oturum anahtarını gizli olarak değiştirirler. Türetilmiş
anahtar , uzun vadeli bir anahtara , hash algoritmaya veya başka türetme işlevine dayalı olarak oluşturulmuş oturum anahtarıdır.
Bazı durumlarda , türetme işlevi , kullanıcının parolasının tohumunu temel alır. Oturum anahtarlarının dağıtımı hala zordur ve
anahtarın internet gibi güvenilmeyen ağ üzerinden iletilmesini gerektirir. Pratikte , oturum anahtarı oluşturmak için anahtar
şifreleme anahtarı ( KEK ) olarak da adlandırılan ana anahtar kullanılır. Aslında bu , güvenilmeyen ağ üzerinden iletilirken oturum
anahtarının etrafına sarmalayıcı veya kapsülleme yerleştirir. Oturum / ana anahtar dağıtım yöntemi , PKI tabanlı asimetrik
anahtar değişimlerinin yanı sıra Diffie-Hellman gibi hesaplamalı simetrik anahtar değişimlerinden önce gelse de , bugün hala SSL
ile PGP gibi protokollerde ve çeşitli bankacılık , satış noktası cihazlarında kullanılmaktadır.
Key Retrieval ; Gizli anahtarlar gizli tutulmalıdır. Talihsiz durumlarda , şifreleme anahtarları kaybolabilir veya bozulabilir. Şirket
politikası , anahtarların yinelenen kopyalarını korumak için anahtar emanet sisteminin kullanılmasını zorunlu kılabilir. Bazı
durumlarda , kuruluş genelinde kullanım için alt anahtarlar oluşturan ana anahtarlar depolanır. Ana anahtarlar , örneğin gizli
anahtarın kaybolması gibi durumlarda anahtarlara erişilebilecek bir yere konulur. Bu plan , gizli anahtarlama bilgilerine erişimin
herhangi bir kişiye aşırı erişim izni verilmeyecek şekilde kontrol edilmesini sağlayacak önlemleri de içermelidir. Önemli bir
emanet konumunda saklanan hassas bilgilere erişmek için birden fazla kişinin kullanılması , gizli anlaşmaya karşı bir kontroldür.
Dual Control ; İkili kontrol , anahtar emanete erişmek için iki kişinin ayrı işlemler yapmasını gerektiren bir sistemdir. Bankada
kiralık kasaya erişim işlemi , banka anahtarının banka temsilcisi tarafından , kullanıcı anahtarının ise kasa sahibi tarafından
girilmesini gerektirmektedir.
Two Man Rule ( Two Person Rule ) ; İki adam / kişi kuralı , son derece hassas bilgilerin depolandığı yüksek güvenlikli alana erişirken
kullanılır. Amerika Birleşik Devletleri askeri ve devlet kurumları , yüksek güvenlikli bilgilere erişirken iki adam kuralından
yararlanır.
Kurumsal bilgi gizliliği politikası , kriptografik materyallere erişim girişiminde iki yetkili kişinin yer almasını gerektirebilir. Aynı
zamanda iki anahtar , iki kilit , iki fiziksel engel veya diğer erişim kontrolleri gibi ikili fiziksel erişimin kullanımını da içerebilir.
Split Knowledge ; Bölünmüş bilgi , bir sırrın bir kısmının iki veya daha fazla kişi arasında paylaşıldığı sistemdir. Her birey bilginin
sadece kendi kısmına sahiptir. Erişimin başarılı olması için her bir kişiden gelen tüm bilgilerin sağlanması gerekir.
Bu durumda , her birey , sahip olduğu bilgilere dayanarak başka bir kişinin bilgilerini belirleyemezler. Kağıda anahtar yazıp , kağıdı
ikiye bölerek anahtarı ikiye bölmeyi örnek verebiliriz. İki kağıdı iki farklı kişiye dağıttığınızda , tüm anahtarı almanın tek yolu , iki
kişinin bölünmüş bilgilerini paylaşmalarıdır.
M of N Control ; N kontrolünün M'si , iki adam kuralına ve bölünmüş bilgi kuralına benzer. Bu tür kontrol , erişim gerekliyse ve
erişime yetkili kişi veya kişiler mevcut değilse kullanılır. Bu plan kapsamında M , anahtar emanete veya güvenli malzemeye
erişmek için gereken kişi sayısını temsil eder. N , böyle bir durumda ikame edilebilecek toplam insan sayısını temsil eder.
Segregation of Duties ; Görevlerin ayrılığı olarak da adlandırılan görevler ayrılığı , bir görevin her bir bölümünü tamamlamak için
bir kişinin gerekli olduğu yerdir. Anahtar emanet örneğini kullanarak , bir kişi anahtar emanetinde bulunan anahtara erişebilirken
, ikinci bir kişinin alınan anahtarı kullanarak dosyaların şifresini çözmesi gerekir. Üçüncü bir kişi , diğer iki kişiden her birinin
eylemlerini doğru şekilde gerçekleştirdiğini doğrulayabilir. Satın alma departmanında , satın alma siparişini veren kişi ile alınan
malı kontrol eden kişi olmadığı için basitçe gösterilebilir.
Key Storage and Destruction ; Gizli anahtarlar ve gizli anahtarlama materyali korunmalı ve gizli tutulmalıdır. Uygun depolama ve
imhanın yanı sıra değişiklik yapmak , anahtar yönetimi için çok önemli hususlardır. Güvenlik uygulayıcısına atanan görevler
olabilir. Anahtarlar ve güvenli anahtarlama malzemeleri , kaba kuvvet veya diğer saldırı metodolojileri gibi uzun vadeli saldırılara
maruz kalabilir. Kurumsal anahtar gizlilik politikası , gizli anahtarların ve anahtarlama materyalinin hava aralıklı tesislerde ve
yoğun şekilde şifrelenmiş donanım güvenlik modülü modüllerinde ( HSM ) saklanmasını gerektirmelidir.
Hava boşluğu , herhangi bir gelen veya giden bağlantı olmaksızın dış dünyadan ( internet ) fiziksel olarak ayrılmış host bilgisayar
, ağ veya elektronik depolama mekanizmasını sürdürme tekniğini ifade eder.
Anahtarlar , kullanım süresi dolduğunda , tehlikedeyse veya sık kullanılıyorsa imha edilmelidir. Anahtar ne kadar sık kullanılırsa ,
sahip olması gereken kullanım ömrü o kadar kısa olur. Bir anahtarı yok etmeden önce , veriler yeni bir anahtarla yeniden
şifrelenmelidir.
Zeroisation ; Sıfırlama , bazı durumlarda temizleme olarak bilinmektedir. Elektronik cihazdan veya sabit sürücü, akıllı kart veya
USB sürücü gibi bellek modülünden bir anahtarı tamamen silmek için kullanılan tekniktir. Böylece manyetik bilgi bilinen herhangi
bir kişi tarafından alınamaz. Çoğu durumda , sıfırlama , formda hiçbir veri kalmamasını sağlamak için ya tamamı sıfırlarla ya da
alternatif birler ve sıfırlarla bellek konumunun üzerine yazma tekniğidir. Ortamda manyetik kalıntılar bulunabilir. Anahtarın
kullanımı veya oluşturulmasıyla ilgili tüm destekleyici belgeler , şifreleme malzemeleri ve diğer bilgiler için de sıfırlama
gerekebilir.
Güvenlik Protokolleri ; Güvenlik uygulayıcısı , veri aktarımında kullanılan güvenli protokollere aşina olmalıdır. Güvenli protokoller
, e-ticarette ağları ağlara bağlamak için kullanılır. Güvenlik protokollerinin çoğu , gerekli sonuca bağlı olarak çeşitli kurulum
seçeneklerine sahiptir.
IPsec ; İnternet Protokol Güvenliği ( IPSec ) , İnternet Protokolü ( IP ) için şifreleme güvenliği ve iletişim oturumunun her IP paketi
için kimlik doğrulama sağlar. Her paket için şifreleme ve kimlik doğrulama , ayrıntılı gizlilik ve kimlik doğrulama yöntemlerini
temsil eder. IPsec ; kimlik doğrulama , veri kaynağı kimlik doğrulaması , veri bütünlüğü , veri gizliliği ( şifreleme ) , yeniden
oynatma koruması sağlayabilir. IPsec , iki host bilgisayar arasında ( aktarım modu ) , iki güvenlik ağ geçidi veya yönlendirici
arasında ( tünel modu ) , ağ geçidi ile host bilgisayar arasında ( ağdan ana bilgisayara ) iletişim sağlayabilir. IPsec'in bir dizi farklı
bileşeni bulunmaktadır. Güvenlik uygulayıcısı olarak , bu bileşenleri ve bunların IPsec protokolü içindeki amaçlarını tanımak
önemlidir.
Internet Key Exchange ( IKE ) ; IPsec protokolü , şifreleme amacıyla simetrik oturum anahtarının olmasını gerektirir. Anahtar bant
dışında değiştirilebilir veya Diffie-Hellman anahtar değişimi kullanılarak oluşturulabilir. Oakley Anahtar belirleme protokolü ,
Diffie-Hellman anahtar değişimi tekniğine dayanan protokoldür ve IKE'de de kullanılmıştır.
Security Associations ( SaS ) ; Güvenlik İlişkisi , her bir tarafa simetrik oturum anahtarı sağlar. Her iki taraf da oturum sırasında
kullanılacak şifreleme algoritması üzerinde anlaşmaya varacaktır.
Authentication Header ( AH ) ; Kimlik doğrulama başlığı ( AH ) , erişim kontrolünü , paket oluşturma kimlik doğrulamasını ve
bağlantısız bütünlüğü destekler.
Şifreleme , kimlik doğrulama başlığı tarafından gerçekleştirilmezler. Kimlik doğrulama başlığı , kapsülleyici güvenlik yükü başlığı
ile kullanılabilir.
Encapsulating Security Payload ( ESP ) ; ESP , IPsec'teki şifreleme mekanizmasıdır. Paketi içine alan başlık ve taşıma sağlar. Başlık
içinde , paketin bütünlüğünü ve kimlik doğrulamasını içeren çeşitli alanlar bulunur. ESP , tekrar saldırılarına karşı koruma sağlar.
Security Parameter Index ( SPI ) ; Güvenlik parametresi indeksi , iki taraf arasındaki iletişime atanan benzersiz değerdir. Birden
fazla iletim oturumu yürütülürken önceden seçilmiş şifreleme kurallarını ve algoritmaları tanımlayan etikettir. IPsec iki farklı
modda kullanılabilir ; taşıma modu ve tünel modu. Bu modların her biri , IPsec protokol ailesinin çok yönlülüğünü gösterir.
Transport Mode ; IPsec'in taşıma modu , host bilgisayardan host bilgisayara , eşler arası ve uç noktadan uç noktaya iletişim için
kullanılır. Bu modda , orijinal IP başlığı dahili yönlendirme için açığa çıkarken paket içeriği korunur.
Tunnel Mode ; IPsec'in tünel modu , ağdan ağa , ağ geçidinden ağ geçidine , güvenlik duvarından güvenlik duvarına iletişim için
kullanılır. Normalde , bu tür bir iletişimin internet gibi güvenli olmayan ağlar üzerinden yürütülmesi beklenir. Tünel modunda ,
yük de dahil olmak üzere orijinal IP paketi , yeni başlık ile yeni pakete kapsüllenir. Her iki mod da , kapsülleyici güvenlik yükü
başlığı ve fragmanı ile kimlik doğrulama başlığını kullanabilir. IPsec , başlangıçta IPv6'da zorunlu güvenlik uygulaması olarak dahil
edilmiştir. Daha sonraki IPv6 revizyonunda , IPv6 uygulamasında isteğe bağlı olarak kabul edildi.
IPsec , taşıma modunda host bilgisayardan host bilgisayara veya tünel modunda ağdan ağa kurulan bağlantıya dayanan çok yönlü
internet güvenlik protokolüdür.
Secure Sockets Layer / Transport Layer Security ; Hem SSL hem de TLS , genel ve özel anahtar çiftlerini kullanarak iletişimi
başlatmak için asimetrik kriptografi ve dijital sertifikalar kullanır. Simetrik oturum anahtarını değiştirdikten sonra hemen simetrik
kriptografiye geçer. Her iki protokol de oldukça popüler olup elektronik posta , anlık mesajlaşma , IP üzerinden ses ( VoIP ) ,
internet faksı , web'de gezinme gibi uygulamalarda kullanılır.
Secure Sockets Layer ; SSL veya Güvenli Yuva Katmanı , oturum sırasında kimlik doğrulama ve şifreleme sağlayan internet
protokolüdür. SSL , TCP / IP protokol yığınının Aktarım katmanında çalışarak paylaşılan gizli anahtar kullanır. SSL , POODLE
saldırısına karşı savunmasız olduğu için artık güvensiz olarak kabul edilmektedir. Doldurma Oracle On Downgraded Legacy
Encryption ( POODLE ) , SSL 3.0'a karşı saldırı türüdür. Bu tür saldırı , SSL 3.0 protokolüne geri dönüş hükmü kullanır. Daha az
güvenli duruma geri dönüş , eski sistemler veya yazılım uygulamalarıyla birlikte çalışabilir.
Transport Layer Security ; TLS veya Aktarım Katmanı Güvenliği , SSL3.0'ın halefidir. Benzer işlemleri gerçekleştirmelerine rağmen
, SSL ve TLS uyumsuzdur.
İletişim oturumu oluşturma tekniği şöyledir ; İstemci , sunucuyla bağlantı kurarak iletişim ister. Desteklediği şifre takımlarının
listesini gönderir. Sunucu , paketlerden birini seçerek müşteriye seçimi bildirir. Sunucu daha sonra istemciye ortak anahtarını
içeren dijital sertifikasını gönderir. İstemci , sertifika iptal listesini kontrol ederek veya otomatik olarak yeni OCSP protokolünü
kullanarak sertifikanın geçerliliğini kontrol edebilir. İstemci daha sonra rastgele sayı üreterek bunu sunucunun açık anahtarını
kullanarak şifreler. Alındıktan sonra , sunucu özel anahtarını kullanarak mesajın şifresini çözer. Artık hem istemci hem de sunucu
tarafından sahip olunan rasgele sayı , oturum anahtarları oluşturmak için ana anahtar haline gelir. İstemci ve sunucu arasındaki
ilk iletişimin kurulum sürecini tamamlayarak tüm mesajlar artık oturum anahtarı kullanılarak şifrelenir ve şifresi çözülür. Oturum
anahtarı , iletişim oturumu sonlandırıldığında atılır. SSL / TLS iletişimi her zaman sunucu ile istemcideki internet tarayıcısı arasında
kurulur.
Heartbleed ; Aktarım Katmanı Güvenliği ( TLS ) protokolünde yaygın olarak uygulanan OpenSSL şifrelemesini etkileyen bir tür
güvenlik hatasıdır.Heartbleed güvenlik sorununu anlamak için taşıma katmanı güvenliği hakkında biraz bilgi sahibi olmanız
gerekir. Aktarım katmanı güvenlik protokolü ve veri katmanı aktarım katmanı güvenlik protokolü , bir süre hareketsizlikten sonra
yeniden anlaşmaya gerek kalmadan güvenli açık iletişim oturumunu sürdürmek için hızlı ve basit yöntem gerektirmekteydi.
Uygulamada teknik , iletişim cihazının bir ucunun iletişimin diğer ucuna 16 bitlik tam sayı biçiminde bir metin dizisi
göndermesidir. Alıcı cihazın , tam olarak 16 bitlik tamsayıyı kaynak durumuna döndürmesi gerekir. " Tekrar merhaba , hala orada
mısın diye kontrol ediyorum." el sıkışma tekniği , TLS / DTLS protokolleri için Kalp Atışı Uzantısı olarak adlandırıldı. Yeterince basit
görünerek hemen RFC 6520 olarak kabul edildi ve OpenSSL'nin çeşitli sürümlerine dahil edildi. Kodun iade isteği bölümünde
gömülü bir hata oluştu. Ortadaki adam saldırganı , hatadan yararlanmak için normal 16 bitlik tamsayı içeren hatalı
biçimlendirilmiş paket gönderir fakat tam olarak 16 bitlik bir tam sayının döndürülmesini istemek yerine , saldırgan 64 Kb'ye
kadar belirtebilir. Muhtemelen en son OpenSSL iletişimlerinden herhangi bir veriyi açığa çıkaracaktır. Bu son veriler kolayca
şifreleme anahtarlarını , oturum tanımlama bilgilerini , kimlik doğrulama bilgilerini , Sosyal Güvenlik numaraları , kredi kartları
veya kişisel olarak tanımlanabilir bilgiler ( PII ) gibi kişisel bilgileri içerebilir. Bu tür bir saldırı , hatalı veri doğrulaması nedeniyle
mümkün olup saldırgana gerekenden daha fazla verinin döndürülmesiyle sonuçlanan arabellek aşırı okuma veya eksik sınır
denetimi saldırısı olarak adlandırılır. Heartbleed güvenlik açığından yararlanan saldırganın hangi verilerin döndürüleceği üzerinde
hiçbir denetimi yoktur. Fakat bu güvenli iletişim bağlantısıdır. 64 Kb , muhtemelen saldırgan için değerli olan gizli bilgileri içerir.
Heartbleed hatası ; OpenSSL tarafından tanıtıldığından beri yüz binlerce sunucunun , web sitesinin , host bilgisayarın Heartbleed
hata sorunundan etkilendiği bildirilmiştir. Sektör genelindeki yetkililer , bunun internetin ticari ticaret için kullanılmasından bu
yana muhtemelen en çok zarar veren hata olduğu yorumunu yapmıştır. Diğer eleştirmenler , OpenSSL kuruluşunun endüstri
genelinde yaygın olarak kullanılan ve ücretsiz gönüllüler tarafından çalıştırılan , son derece yetersiz finanse edilen kritik yazılımlar
ürettiğine işaret etmektedir. Çoğu kişi bunun BT endüstrisinde açık sistemler ve açık yazılımları içeren çok daha büyük kapsamlı
bir soruna işaret ettiği görüşündedir.
Görünüşte iyi bir yazılımın dünya çapında tasarlanması , değiştirilmesi veya uygulanması gerçeğini içerir fakat olası finansman
eksikliği veya uygun kontrollerin , güvencelerin uygulanması nedeniyle kuruluşlar tarafından gerektiği gibi incelenmedi veya test
edilmedi.