Siber Güvenliğin Temelleri

Dr. Öğr. Üyesi Ahmet Sertol KÖKSAL

Hafta 9
Bölüm 9: Bütünlüğü Sağlamak
9.1 Dijital İmzalar
Dijital imzaların amacını açıklamak.
9.2 Sertifikalar
Dijital sertifikaların amacını açıklamak.
9.3 Veritabanı Bütünlüğü
Veritabanı bütünlüğü uygulamasına duyulan ihtiyacı açıklamak.
9.1 Dijital İmzalar
İmzalar ve Kanun
• Dijital imzalar, elektronik belgeler için elle atılan imzalarla aynı işlevi sağlar.
• Kullanıcı belgeyi imzaladıktan sonra birinin bir belgeyi düzenleyip
düzenlemediğini belirlemek için dijital imza kullanılır.
• Dijital imza, bir mesajın, dijital belgenin veya yazılımın gerçekliğini ve
bütünlüğünü kontrol etmek için kullanılan matematiksel bir yöntemdir.
• Birçok ülkede dijital imzalar, manuel olarak imzalanmış bir belgeyle aynı yasal
öneme sahiptir.
• Dijital imzalar inkar edememeyi sağlar.
Dijital İmza Teknolojisi Nasıl Çalışır?
Asimetrik kriptografi, dijital imzaların temelidir. RSA gibi bir genel
anahtar algoritması iki anahtar üretir: biri özel ve diğeri genel.
Anahtarlar matematiksel olarak ilişkilidir.
9.2 Sertifikalar
Dijital Sertifikaların Temelleri
• Dijital sertifika, elektronik pasaporta eşdeğerdir.
• Kullanıcıların, bilgisayarların ve kuruluşların İnternet üzerinden güvenli
bir şekilde bilgi alışverişinde bulunmalarını sağlar.
• Özellikle bir dijital sertifika, mesaj gönderen kullanıcıların iddia ettikleri
kişi olduklarını denetler ve doğrular.
• Dijital sertifikalar ayrıca şifreleme araçlarıyla gizlilik de sağlayabilir.
Dijital Sertifika Oluşturma
• Bir dijital sertifika standart bir yapıyı izlediği sürece, herhangi bir kuruluş bunu
yayıncıdan bağımsız olarak okuyabilir ve anlayabilir.
• X.509, dijital sertifikaları yönetmek için bir açık anahtar altyapı (PKI)
standardıdır.
• PKI, dijital sertifikaları oluşturmak, yönetmek, dağıtmak, kullanmak, depolamak
ve iptal etmek için gereken ilkeler, roller ve prosedürlerdir.
Dijital Sertifika Oluşturma (Devam…)
Dijital sertifikalar aşağıdaki standart bilgileri içerir:
• Sürüm numarası
• Seri numarası
• Sertifika algoritma tanımlayıcısı
• Sertifikayı veren kuruluş
• Geçerlilik süresi,
• Kişi adı
• Kişi genel anahtar bilgisi
• Sertifikayı Veren
• Kişi tanımlayıcı
• Uzantılar
• CA'nın dijital imzası
 9.3
Veritabanı Bütünlüğünü
Sağlamak
Veritabanı Bütünlüğü
• Veritabanları, verileri depolamak, geri almak ve analiz etmek için verimli bir yol
sağlar.
• Veri toplama arttıkça ve veriler daha hassas hale geldikçe, siber güvenlik
profesyonellerinin bu veritabanlarını korumasının önemi de artmaktadır.
• Veri bütünlüğü, bir veritabanında depolanan verilerin doğruluğunu, tutarlılığını ve
güvenilirliğini ifade eder.
Veritabanı Bütünlüğü (Devam…)
Veri bütünlüğünün dört kuralı vardır:
• Varlık Bütünlüğü: Tüm satırlar, Primary Key adı verilen benzersiz bir
tanımlayıcıya sahip olmalıdır
• Etki Alanı Bütünlüğü: Bir sütunda depolanan tüm veriler aynı formata ve
tanıma uymalıdır
• Referans Bütünlüğü: Tablo ilişkileri tutarlı olmalıdır. Bu nedenle, bir kullanıcı bir
kayıt ile ilişkili başka bir kaydı silemez.
• Kullanıcı Tanımlı Bütünlük: Diğer kategorilerden birine ait olmayan ve bir
kullanıcı tarafından tanımlanan kurallardır.
Veritabanı Doğrulama
Doğrulama kuralı, verilerin veritabanı tasarımcısı tarafından tanımlanan
parametreler dahilinde olup olmadığını kontrol eder. Doğrulama kuralı, verilerin
eksiksiz olduğunu, doğruluğunu ve tutarlılığını sağlamaya yardımcı olur. Bir
doğrulama kuralında kullanılan kriterler şunları içerir:
• Boyut - bir veri öğesindeki karakter sayısını kontrol eder.
• Biçim - verilerin belirli bir biçime uyup uymadığını kontrol eder.
• Tutarlılık - ilgili veri öğelerindeki kodların tutarlılığını kontrol eder.
• Aralık - verilerin minimum ve maksimum bir değer içinde olup olmadığını kontrol
eder.
• Kontrol basamağı - hata tespiti yapan bir kontrol basamağı oluşturmak için
ekstra bir hesaplama sağlar.
Veritabanı Bütünlüğü Gereksinimleri
• Uygun dosyalamanın sürdürülmesi, veri tabanındaki
verilerin güvenilirliğini ve kullanışlılığını korumak için
kritik öneme sahiptir.
• Her vri alanındaki tablolar, kayıtlar, alanlar ve veriler bir
veritabanı oluşturur.
• Veritabanı dosyalama sisteminin bütünlüğünü korumak
için kullanıcıların belirli kurallara uyması gerekir.
• Varlık bütünlüğü, her tablonun bir birincil anahtara sahip
olması gerektiğini ve birincil anahtar olarak seçilen sütun
veya sütunların benzersiz olması ve NULL olmaması
gerektiğini belirten bir bütünlük kuralıdır.
• Varlık bütünlüğü, bu kayıt için verilerin uygun şekilde
düzenlenmesini sağlar.
 Veritabanı Bütünlüğü Gereksinimleri (Devam.)

• Bir diğer önemli bütünlük kontrolü, yabancı anahtarlarla ilgilenen referans

bütünlüğüdür. Bir tablodaki yabancı anahtar, ikinci tablodaki birincil anahtara
başvurur. Bir tablonun birincil anahtarı, tablodaki varlıkları (satırları) benzersiz
şekilde tanımlar. Veri bütünlüğü, yabancı anahtarların bütünlüğünü korur.
 Veritabanı Bütünlüğü Gereksinimleri (Devam.)

• Etki alanı bütünlüğü, bir sütundaki tüm veri öğelerinin tanımlanmış bir geçerli
değer aralığında olmasını sağlar. Bir tablodaki her sütunun, kredi kartı
numaraları veya sosyal güvenlik numaraları gibi alanlar için tüm sayılar kümesi
ile tanımlanan bir değer kümesi vardır. Bu sütunun bir örneğine (bir öznitelik)
atanan değeri sınırlandırmak, etki alanı bütünlüğünü sağlar. Etki alanı
bütünlüğünün uygulanması, bir sütun için doğru veri türünü, uzunluğunu ve/veya
biçimini seçmek kadar basit olabilir.
Özet
• Önceki bölümde bahsedilen karma algoritmaları, parola tuzlama
ve HMAC ile birlikte; bu bölümde tartışılan dijital imzalar ve
sertifikalar, bütünlüğün sağlanmasında siber güvenlik
uzmanlarının kullandığı denetimlerdir.
• Bu bölüm, veritabanı bütünlüğünü sağlamayı inceleyerek sona
ermektedir.
• İyi kontrol edilen ve iyi tanımlanmış bir veri bütünlüğü sistemine
sahip olmak, bir veritabanı sisteminin kararlılığını,
performansını ve sürdürülebilirliğini artırır.