Dün (20 Haziran Cuma) 2. Özgür Yazılım Konferansı‘nda Türkiye’de E-imza konulu bir sunum yaptım. Bir önceki sunucuya benim süremin de tamamını kullanarak sunum yaptığı ve sunumunu konuşması hiç bitmeyecekmiş gibi yaptığı için buradan teşekkür (!) ediyorum. Zaten sunumun günün son sunumu olması ve konferansın geneliyle birebir ilişkili bir konu olmaması sebebiyle beklediğim üzere salon tıklım tıklım dolu değildi. Ben de konuyla ilgili ve beni dikkatle dinleyen 15 kişiyi, ilgisiz ve uyuklayan 100 kişiye tercih ederim.

Uzun lafın kısası sunum dosyama buradan erişebilirsiniz. Ancak incelediğinizde sunum dosyasının çok da detaylı olmadığını fark edeceksiniz. Sunum dosyasında temel başlıklar var, ancak ben sunumu yaparken bu temel başlıkları kullanarak sezar şifresinden, 70lerdeki anahtar değişimine, biometrik verilerin değerliliğinden, Aralık ayında yapılan ISC Konferansı ‘na kadar pek çok detaya değindim, keşke gelseydiniz sunumuma

Bir sonraki sunumum nerde ve ne zaman olur bilmiyorum ama bana böyle bir sunum yapma olanağı sağladığı için şirketim Portakal‘a ve Bora Hoca‘ya teşekkürü bir borç biliyorum.

Herkese e-imza’lı günler :-))

Dizüstü bilgisayarınız kaybolursa bulan kişinin içindeki bilgilere erişmesini engellemek için kullanabileceğiniz bir program Bitlocker. Peki bunu nasıl yapıyor, hangi aşamada ne amaçla TPM (Trusted Platform Module) kullanıyor ?

Öncelikle kısaca TPM'den bahsedelim. TPM anakart üzerinde bulunan "Trusted Computing" uygulamaları için kullanılan küçük bir çip.Asimetrik şifreleme, rasgele sayı üretimi, özet değeri hesaplama (SHA-1) TPM'in yapabildikleri arasında. TPM içinde geçici (volatile) ve geçici olmayan (non-volatile) olmak üzere 2 çeşit hafıza bulunuyor. Geçici olmayan hafızada EK (Endorsement Key), SRK (Storage Root Key) ve EK ve SRK kullanımı için tanımlama bilgisi bulunuyor. Geçici hafızada ise kullanılacak anahtarın yükleneceği yer olan anahtar bölümleri (key slots), sistem durumunun ölçüm sonuç değerlerinin tutulduğu PCR (Platform Configuration Registers) bulunuyor.

TPM ve PCR'lara veri kaydetme özelliği kullanarak sistemin istediğimiz durumda olup olmadığını kontrol ederek belli bilgileri şifreleyerek saklayabiliriz ki buna SEAL deniyor. Örneğin herhangi bir anda çalışan bir kodun özet (hash; algoritma SHA-1) değerini istediğimiz bir PCR'a yazıyoruz. Daha sonra seçtiğimiz bir anahtar ve PCR değeri ile bir dosyayı şifreliyoruz (tabiri cayizse SEAL ediyoruz). Daha sonra bu dosyaya erişmek istediğimizde TPM ilgili PCR'daki değeri kontrol edecek ve dosyayı şifrelediğimiz zamankiyle aynı ise dosyayı deşifre edecektir. Buradaki amaç dosyayı bilgisayarın güvenli olduğunu bildiğimiz bir durumda şifrelemek ve ancak bu durumda iken deşifre edilip kullanılmasını sağlamak.

Bu noktada biraz da TPM'deki anahtar hiyerarşisinden bahsetmek istiyorum. TPM üretildiğinde içinde üreten firma tarafından konmuş 2048 bitlik bir RSA anahtarı (açık (public) ve özel (private) kısımları) bulunuyor ve EK (Endorsement Key) olarak adlandırılıyor. Biz TPM'i kullanmaya başladığımızda Take Ownership komutunu veriyoruz ve SRK (Storage Root Key) ve SRK'ya erişmek için bir şifre oluşturuyoruz. SRK'nın özel kısmı, EK'nın açık kısmı ile şifreleniyor ve hafızada saklanıyor. Daha sonra gerektiğinde şifrelenmiş SRK, TPM'e yükleniyor. Burada EK'nın özel kısmı ile deşifre ediliyor. EK ve SRK'yı veri şifrelemek yerine kullanacağımız anahtarları şifrelemek için kullanıyoruz. Her anahtarın gizli kısmı, bir üstündeki (parent) anahtarın açık kısmı ile şifreleniyor, böylece bir anahtar ağacı oluşturuluoyr ve bu ağaç hafızada saklanıyor.

Burayı tıklayarak ulaşabileceğiniz döküman bu yapıyı anlamanıza yardımcı olacaktır.

Pekala tüm bunların bilgisayarımızın hafızasını şifrelememiz ile ne ilgisi var ?

Bilgisayarımızın hafızasını şifrelerken kullandığımız anahtarların güvenliğini ve bilgisayarımızın güvenilir durumda olup olmadığının kontrolünü yaparken TPM'den faydalanacağız. Burada örnek olarak Bitlocker programının kullandığı yapıyı temel alacağım.

Bitlocker öncelikle simetrik bir anahtar ve AES + Elephant Diffuser algoritmasını kullanarak tüm hafızayı şifreliyor ve bu anahtarı FVEK (Full Volume Encryption Key) olarak adlandırıyor. Daha sonra bu anahtarı VMK (Volume Master Key)olarak adlandırdığı başka bir anahtar ile şifreliyor.Son olarak VMK'yı boot esnasında ROM'daki bilgilerin özet değerinin kayıtlı olduğu PCR değerini kullanarak SEAL ediyor. VMK'nın şifrelenmiş halini boot bölümünde saklıyor. Dolayısıyla bilgisayar açılırken boot bölümünü okuyor, gerekli ölçümleri yapıp PCR'a kaydediyor. Eğer kaydedilen PCR değeri ve VMK'nın şifrelendiği andaki PCR değeri aynı ise VMK'yı deşifre (UNSEAL) ediyor. VMK kullanılarak FVEK deşifre edliyor ve FVEK ile de tüm hafıza deşifre ediliyor.

Ancak Microsoft kullanıcıları bu yöntemi donanım ataklarına karşı dayanıksız olduğunu düşünüyor ve usb ya da pin gibi diğer güvenlik önlemlerinin alınmasının gerekli olduğunu savunuyor. Elbette her yöntemin iyi olduğu kadar kötü yönleri de var. TPM kullanmak yazılım ataklarına karşı savunma sağlarken, sistemi daha güvenli hale getirmek için kullanacağımız usb'nin ise kaybolma riski sistemi hatta belki de şirketi tehlikeye atabilir.

Ayrıca google amca da bize bu konuda bir çok faydalı pdf ve sunum dosyası sonucu getiriyor :-)

Gün geçtikçe gelişen teknoloji hayatımızı kolaylaştırmakla birlikte bizi tehlikelere daha açık hale getiriyor. İnternet bankacılığının yaygınlaşması; faturalarımızı yerimizden kalkmadan yatırabilmemizi sağlarken, oluşabilecek güvenlik açıkları ise bizleri paraları başka hesaplara havale edilecek hedefler haline getirebiliyor. Bu tarz tehlikelerden korunmak için biz kullanıcıların uyanık olması (e-posta adresinize gelen sahte bir mesajdaki internet sitesine girip tüm kişisel bilgilerinizi girmenizi engellemek için bankanın da elinden sizi uyarmaktan başka bir şey gelmeyecektir) gerekiyor. Elbette bankaların da bu tarz tehlikelere karşı aldığı bazı önlemler var. Peki bunlar neler ve ne kadar işe yarıyorlar ?

Herhangi bir güvenlik sistemine giriş yapmayı deneyen bir kullanıcıyı doğrulayabilmek için temelde aşağıdaki metotlar kullanılır:

• Ne biliyorum ? (şifreler, parolalar, kişisel bilgiler vs.)
• Neye sahibim ? (tek kullanım şifre üreteci, cep telefonu vs.)
• Kimim ? (parmak izi, yüz okuma gibi biyometrik ölçümler)

Ayrıca bunlara ek olarak kullanıcının nereden ve ne zaman girdiği de kontrol edilebilinir.

Peki bankalar bu yöntemlerden hangilerini, nasıl kullanıyor ?

Bankaların güvenliği temelde kullanıcıların ne bildiğine dayanıyor. Bir kullanıcı kişisel bilgilerini (müşteri numarası, adı, soyadı vs.) ve parolalarını kullanarak internet bankacılığına giriş yapabilir. Ancak zamanla çoğalan sahte e-postalar (phishing), zararlı yazılımlar (key logger, screen logger vs.) bir kullanıcıyı sadece bildiği bir şeye göre doğrulamanın çok da güvenli olmadığını ortaya çıkardı. Her ne kadar bankalar sürekli uyarıcı e-postalar yollasalar da, veya internet sayfalarında uyarılar yayınlasalar da bir anlık dikkatsizlik (veya banka hesabımızın kapanacağını öğrendiğimizde oluşan panik) kişisel bilgilerimizin kolaylıkla yanlış ellere geçmesine sebep olabilir.

Sahte e-postaların ve kötü amaçlı yazılımların yaygınlaşması bankaların da internet şubeleri için ek güvenlik önlemleri almalarını zorunlu hale getirdi. Güvenliği kullanıcının bildiği bilginin yanında, sadece kullanıcının sahip olduğu bir şey (çok da düşünmeye gerek yok kimin cep telefonu yok ki bu devirde) ile artırmayı hedeflediler. Bankanızdan alabileceğiniz tek kullanımlık bir şifre cihazı ile her internet şubesine girmeyi denediğinizde ürettiğiniz tek kullanımlık şifreyi kullanarak sizin gerçekten siz olduğunuzu ispatlayabilirsiniz. Gelişmiş cep telefonlarına kurabileceğiniz java uygulaması ile cep telefonunuzu da tek kullanımlık şifre cihazı olarak kullanmanız mümkün. Tek kullanımlık şifre üreteci kullanmıyorsanız da bankanız sizi bu yöntemi bir şekilde kullanmaya zorunlu hale getirebiliyor. Örneğin havale yapacağınız zaman sistemde kayıtlı olan cep telefonu numaranıza gönderilen tek kullanımlık şifre bu uygulamaya bir örnek.

Sistemin güvenliğini sağlamak için cep telefonuna olan güvenin bir üst seviyesi ise son zamanlarda iyice yaygınlaşan mobil imza uygulaması. Kanunlarda ıslak imza ile eş değer olan bu uygulama ile yaptığınız her işlemi, kanun karşısında inkar edemeyeceğiniz şekilde, onaylamış oluyorsunuz. Aslında bu yöntem bana bankanın, herhangi bir olumsuzluk durumunda, yükü yasa karşısında kendi omuzlarından atma çabası gibi geliyor.

Tüm bunların yanı sıra güvenlik için kendi tanımlamalarınızı yapabilirsiniz. Girdiğiniz internet sitesinin doğru olduğunu anlamak için bir karşılama mesajı ya da bir resim seçebilirsiniz, para aktarımı için limitlerinizi belirleyebilirsiniz, internet sitesine bağlanacağınız saat veya ip aralıklarını belirleyebilirsiniz. Ayrıca bankaların kötü amaçlı yazılımlardan korunmak için sunduğu olanakları (keylogger tarzı programlara karşı koruma sağlayan küçük programlar,sanal klavye vs.) tarzı programlar kullanılabilinir. Tabii ki sürekli güncellediğiniz bir antivirüs, anti-spyware ve firewall programınız olmasının gerekliliğinden, özellikle Windows kullanıcısı iseniz ki daha büyük tehlikedesiniz, bahsetmiyorum bile.

Bankaların yaptığı tüm bu güvenlik uygulamalarına karşın, işin içinde her zamanki gibi en zayıf nokta insan unsuru, yani kullanıcının insan olması. Şifresini unutmamak için bir yere yazmak, kolay şifre seçmek, aceleyle yanlış bir siteye kişisel bilgilerini girmek, internet kafeden ya da yabancı bir bilgisayardan internet şubesine giriş yapmak yapılmaması gereken en temel hatalar.

NOT: Bankanızın güvenlik uygulamaları hakkında bilgiyi bankanızın internet sitesinde bulabilirsiniz. Yazımı yazarken T. İş Bankası ve Garanti Bankası‘nın güvenlik sayfalarında yer alan bilgilerden de faydalandım.

Diffie Hellman anahtar anlaşma protokolü iki kişinin bir gizli anahtarı güvensiz bir kanal üzerinde nasıl paylaşabileceklerini göstermektedir. Anahtar değişimi yapacak iki taraf kriptografi camiasının ünlü isimleri Alice ve Bob olsun. Protokol kabaca aşağıdaki gibi ilerler:

Açık bilgiler: p ( büyük bir asal sayı, java uygulamasında 1023 basamaklı bir sayı kullanılmıştır. ) , g

Adımlar:

1. Alice gizli tutacağı bir sayı seçer ( a ) ve g^a mod p değerini hesaplar ve bu değeri Bob’a yollar.
2. Bob gizli tutacağı bir sayı seçer ( b ) ve g^b mod p değerini hesaplar ve bu değeri Alice’e yollar.
3. Alice, Bob’dan gelen bilgiyi ( g^b mod p ) kullanarak , g^(a*b) mod p değerini hesaplar.
4. Bob, Alice’den gelen bilgiyi ( g^a mod p ) kullanarak , g^(a*b) mod p değerini hesaplar.
5. Gizli anahtar g^(a*b) mod p olarak belirlenmiştir.
   

Protokolün güvenliği ayrık logaritma ( umarım Türkçe’sini doğru yazmışımdır, ingilizcesi discrete logarithm ) problemine dayalı. Bu problem kabaca g^a mod p değerini bilerek a değerini bulmanın zorluğundan kaynaklanıyor. Diffie Hellman güvenliğini g^a mod p ve g^b mod p değerleri bilinerek g^(a*b) mod p değerinin elde edilmesinin de ayrık logaritma problemi ile aynı derecede olmasına dayandırıyor.

Diffie Hellman protokolü anahtar anlaşmasına güzel bir çözüm getirmiş olsa da, bu protokolü kullandığımızda kiminle iletişim kurduğumuza dair herhangi bir bilgi elde edemiyoruz. Bu sorun paylaşılan gizli bilgi ya da açık anahtar kriptografisi ve bir sertifika otoritesi kullanılarak çözülebilir. Açık anahtar kriptografisi kullanılırsa her iki taraf da gönderdiği g^(a*b) mod p değerini imzalayarak yollar. Ancak yine de protokolü başlatan tarafın kendini önce tanımlamasının zorunlu hale getirilmesi güvenliği artıracaktır.

Gelelim protokolün java uygulamalarına; bu sayfada protokolün Java 6 kütüphaneleri kullanılarak yazılmış bir örneğine erişebilirsiniz. Bu kodu -gen argümanı ile çalıştırırsanız p ve g değerlerini rastgele baştan üretiyor, kullanmazsanız tanımlanmış değerler kullanıyor p ve g için. -gen argümanı ile çalıştırmak çok uzun sürer diye bir uyarı çıkıyor ama standart bir masaüstü bir bilgisayarda 1 dakikayı geçmiyor. İşin güzel yanı ise protokolü doğal haliyle biraz daha ilerletmişler ve sonuna üretilen gizli anahtarın kullanıldığı bir DES uygulaması eklemişler. Ayrıca bu sayfada diğer protokoller ve çeşitli algoritmalar için Java 6 ile yazılmış kodlar da bulabilirsiniz.

Çeşitli Kaynaklar:

Java’da kullanabileceğiniz sınıflar ile ilgili bilgiye burada bulabilirsiniz.

Diffie Hellman üzerine Java uygulamaları geliştirmek için bu sayfaya göz atabilirsiniz. Diffie Hellman üzerine RSA firmasının bu konudaki sayfasını inceleyebilirsiniz. Diffie Hellman hakkında başka bir yazıyı bu sayfada bulabilirsiniz. Burada da konuyla ilgili bir makale var.

Not: Bu sitede yer alan bilgiler genel bilgilendirme amaçlıdır. Bazı ülkelerde kriptografi kullanımı kısıtlandırılmış ya da yasaklanmış olabilir, bu kurallara uymak okuyucuların sorumluluğundadır.

EuroCrypt 2008 14-17 Nisan 2008 tarihlerinde İstanbul'da düzenlenecek.

Bilgi güvenliği ve kriptoloji ile ilgilenenlerin kaçırmaması gereken bir fırsat.

Bu yazımda ISC2007 Konferansından aklımda kalan diğer bilgileri sizlerle paylaşacağım. Bahsedeceklerim arasında pdf ile yapılabilecekler, pdf ile imzalama, güncel tehditler, yeni bir biyometrik güvenlik ürünü: avuçiçi okuyucu , usb ile yayılan bir virüsün incelenmesi, ve Aselsan'ın 2 adet şifreleme ürünü var.

Cuma günü oldukça güzel bir sunum yaptı bize Almanya'dan gelen Adobe firması temsilcisi Peter Koerner (burada çeşitli belgeler buldum hazırladığı). Çarpıcı örneklerle başladı sunumuna. İnternette gezinen BMW 3 serisine ait pdf formatında bir elektronik broşür gösterdi. Bu broşür, araba piyasaya çıkmadan bir sene önce internette ve yazılı basında (özellikle araba dergilerinde) dolaşmaya başlamış. Bir diğer örnek ise elektronik bir fatura örneğiydi. Elbette konumuzla ne ilgisi var diyebilirsiniz. Her iki örnek de bütünlük ve kimlik doğrulamanın uygulanmasının gerekliliğini bize gösteren çarpıcı örnekler. Eğer BMW firması elektronik broşürünü piyasaya sürmeden imzalamamışsa o broşürün kendinden geldiğini, veya içeriğin değiştirilmemiş olduğunu ispatlayamaz. Aynı şey fatura için de geçerli tabii ki. İşte bu sorunlar e-imza ile çözülebilir. Tabii ki Adobe firmasından geldiği için pdf formatının inceliklerinden bahsetti. Örneğin "Business Logic" diye bir kavramdan bahsetti. Belgeye kimin, ne zaman ulaşabileceğini belirleyebilmekmiş ki profesyonel iş hayatında oldukça önemli bir yere sahip olduğunu tahmin etmek zor değil. Kısaca e-imzanın bize sağladığı faydaları 3 ana başlık altında toplayabiliriz: Authorization (kimlik doğrulama), Integrity (bütünlük), Non-Repudiation (inkar edememe). Çeşitli imzalama senaryolarından bahsetti pdf ile yapılabilecek. Tek taraflı imzalama (örn: faturalar, hesap durumu bildirimi, antiphishing önlemi), güvenli arşivleme (örn: zaman damgalaması), 2 taraflı imzalama (örn: e-formlar, uygulamalar), çoklu imzalama (örn: onaylamalar, dökümantasyonlar) bunlardan bazıları. Bunlar PDF/A (uzun dönem arşivleme), PDF/X (baskı), PDF/E, PDF 1.7 specification gibi ISO onaylı PDF standartlarına dayanıyormuş ve dolayısıyla dünya çapında kabul ediliyormuş.

Birkaç somut örnek de verdi hem de görselleriyle ama ben burada sadece yazımla anlatmaya çalışacağım. Çoklu imzalama örneği olarak bir form gösterdi, 1. kişi formu dolduruyor ve imzalıyor, daha sonra 2. kişi formu güncelliyor ve tekrar imzalıyor. Formun her iki hali de görülebiliyor. Herhangi bir word dosyasını pdf'ye ekleyebiliyor ve paket halinde imzalayabiliyorsunuz. Ayrıca bir forma dinamik hash (özet) bilgisi de eklenebiliyormuş. Böylece bir kişi formu dolduruyor, sonra hash değerini hesaplıyor ve onu da ekleyip imzalıyor. Böylece alanların içeriğinin de bize doğru olarak ulaşıp ulaşmadığını kontrol edebiliyoruz. Ayrılmadan önce, her zaman aklımızda tutmamız gereken bir kaç öneride bulundu:

• Boş formlarımızı imzalayın.
• Mümkün olduğunca dökümanlarımıza TSP ve OCSP gömün.
• Güvenli arayüz programınızı kullanın.
• Belgelerinizi önce imzalayın sonra şifreleyin.
• Oturum numarası, ya da form alanı hash bilgisi gibi bilgi düzeyinde güvenlik ekleyin.

Konferansın sonlarına doğru ETB firmasından gelen sunucu bize yeni bir biyometrik güvenlik çözümü olan avuçiçi okumadan bahsetti. Parmak izi ile tanımlama yöntemi oldukça yaygın biçimde hatta dizüstü bilgisayarlarda bile kullanılıyor. Hatta parmak izi okuyuculu fare bile yapılmış. Ancak parmak izi okumak için elinizi bir yere değdirmeniz gerekiyor ve bu da zamanla kirlenen yüzey anlamına geliyor ve bu da insanların hoşuna gitmiyormuş. Firma temsilcisi alternatif olarak avuçiçi damar yapısını kullanarak kimlik doğrulama yöntemini önerdi. Aynı kişinin iki elinin damar yapısının farklı olması, tanımanın temsassız olması, elin kirli yağlı olmasının veya yaşlanmanın tanımayı etkilememesi sistemin avantajları. Daha fazla bilgi için buraya bakabilirsiniz.

Son olarak sizlere iki sunumdan daha bahsedeceğim. Deloitte firmasından gelen bir temsilci usb ile yayılan bir virüsün kendisini nasıl kopyaladığını, bilgisayarda neler yaptığını uygulamalı olarak gösterdi. Konferansın temsaıyla doğrudan ilgili olmasa da günümüzde bilgi güvenliğini sağlamanın ne kadar zor olduğunu, biz farkında olmadan bilgisayarda neler döndüğünü göstermek açısından iyi bir sunumdu. Konferanstaki son sunumda ise Aselsan iki adet kripto cihazının tanıtımını yaptı. İlki cep telefonunu kullanarak şifreli konuşmalara olanak tanıyan bir nevi telsizdi. Diğeri ise taşınabilir bellek tarzında bilgisayara usb girişinden bağlanan ve dosyalarımızı şifreleyerek yollamamızı sağlayan bir modüldü. Elbette böyle gelişmeler olduğunu görmek de güzel.

İki gün sabahtan akşama kadar dolu dolu geçen konferanstan aklımda kalanlar ve not alabildiklerim bunlar. Düzenlenen konferansların niteliğinin ve niceliğinin giderek artmasını dilerim ki bana da yazacak bişeyler çıksın :-p

Unutmadan EuroCrypt 2008 İstanbul'da düzenleniyor. Bilgi güvenliği ve kriptografi ile ilgilenenlerin bu fırsatı kaçırmamasını tavsiye ediyorum.

ISC (Information Security & Cryptology - Bilgi Güvenliği ve Kriptoloji) konferansı 13-14 Aralık 2007 tarihlerinde Ankara Sheraton otelinde uluslararası katılımla gerçekleşti. Bu sene 2.si düzenlenen konferansın konusu mobil elektronik imza idi. Geçen seneki ISC konferansının konusu e-imza idi ve o tutmuş olacak ki bu seneki konuyu da e-imzadan pek de farklı bir alt yapıya sahip olmayan mobil elektronik imza olarak seçmişler.

Konferansta anlatılanlara geçmeden önceden konferansın yapısı hakkıda düşüncelerimi belirtmek istiyorum. Geçen sene 2 adet kriptoloji konferansımız vardı. Bir tanesi belirttiğim gibi ISC'nin 1.siydi. Diğeri ise geçen sene 2.si ODTÜ ve Tübitak UEKAE tarafından ODTÜ'de düzenlenmiş olan Ulusal Kriptoloji Sempozyumu idi. Bu sempozyumun ISC'den farkı ağırlıklı olarak akademik içerikli olmasıydı. Bu sene ODTÜ'de ISC konferansına katıldı ve Ulusal Kriptoloji Sempozyumunun 3.sü düzenlenmeyecekmiş. Peki bunun ne gibi getirileri ne gibi götürüleri var. Bence bu seneki ISC konferansında akademik kısma hakettiği önem verilmedi. Buna 20şer dakikalık akademik çalışmalar 3 salonda aynı anda sunulurken, katılımcı firmalara aynı anda başka oturum yapılmadan 1 saat gibi bir süre verilmesi güzel bir örnek oluşturuyor. Elbette pratikteki uygulamaların topluma sunulmasının yararı yadsınamaz ama umarım bunu yapabilmek için akademik bir sempozyuma duyulan gereksinim gözardı edilmez. Çünkü bu pratik bilgilerin oluşmasının altında oldukça yüksek düzeyde akademik çalışma yatıyor ve toplumumuzun yapısı akademik çalışmaya hak ettiği önemi vermeden pratik uygulamayı kullanmaya oldukça müsait.

Kısa bir özeleştiriden sonra konferansın içeriğine geçebiliriz. Konferansın açılışında verilen istatistik ağırlıklı bilgiler her ne kadar kriptoloji ile doğrudan ilgili olmasa da sizinle paylaşmak istiyorum. Örneğin 1995 yılında dünyada 14milyon internet kullanıcısı ve 100bin alan adı varken, 2007 yılında internet kullanıcısı sayısı 1milyara ve alan adı sayısı ise 140milyona ulaşmış. Türkiye'de ise, galiba 95 yılındaki sayılar çok yüz kızartıcıydı, 2002 yılında 5milyon internet kullanıcısı varken, 2007 yılında bu sayı 20milyon olmuş. Biraz daha konumuzla ilişkili olarak ise Türkiye'de şu an 15000 e-imza kullanıcısı olduğu bilgisi verildi. Dijital dünyanın firmalara sağladığı maliyet düşüşünü Visa Europe temsilcisi somut bir şekilde dile getirdi: Örneğin bir kimsenin şubeden yapacağı bir işlemin bankaya maliyeti 1,7$ iken, internetten yapacağı işlemin maliyeti 1cent imiş. Elbette bankalar yaptıkları güvenlik adımlarını saydılar, tek seferlik şifre üreteci (token), cep telefonu ile yapılan uygulamalar, kişiselleştirilebilir güvenlik ayarları, e-imza uygulamaları ve özellikle phishing uygulamalarına karşı müşterilerin bilgilendirilmesi bunlardan bazıları. İlerleyen sunumlarda Valimo (Finlandiya) firmasından katılan Tapio Vailahti, bankaların müşterileri internetteki işlemlerinde oluşacak zarara karşı sigortaladıklarını ama bunun bile insanların internetteki işlemlere karşı güven duymasını sağlayamadığını, insanların öncelikle böyle bir olayın yaşanmamasını istediğini belirtti.

Gelelim konferansın can alıcı konusu mobil elektronik imzaya. Öncelikle nedir mobil elektronik imza, yenir mi içilir mi :-p Aslında mantık elektronik imza üzerine kurulu. E-imza için öncelikle bir ESHS'ya (Elektronik Sertifika Hizmet Sağlayıcı, örn: TurkTrust, EGüven, VeriSign ) gidip kendiniz için bir anahtar çifti (açık ve özel) ve sertifika ürettirmeniz gerekiyor. NES (Nitelikli Elektronik Sertifika) aldıysanız ESHS sizin için sertifikanızı duyuruyor ve artık o e-imza ile imzaladığınız belgelerden kanun önünde sorumlu oluyorsunuz. Islak imzayı inkar etme şansınız olsa da, onun yerine geçen e-imzayı sayısal verilere dayandığı için inkar etme gibi bir şansınız da yok. Fakat bu kadar güzel bütünlük ve kimlik doğruluğu sağlayan uygulamanın dezavantajı nedir de yaygınlaşmıyor? Öncelikle e-imza atabilmeniz için (özel anahtarınız içinden çıkartılamayan bir akıllı kartta saklandığından) bir kart okuyucuya ihtiyacınız var. Ayrıca bir bilgisayara ve bilgisayarda kurulu olması gereken bir yazılıma ihtiyacınız var. Tabii ki akıllı kartınız imza atmak istediğiniz zaman yanınızda olmalı. İşte tam bu noktada mobil e-imza getirdiği pratik çözümlerle devreye giriyor. Telefonda kullandığınız sim kartın da bir akıllı kart olduğunu farkeden üreticiler, zaten herkes cep telefonu taşıyor; öyleyse neden akıllı kart olarak sim kartı, kart okuyucu olarak da telefonu kullanmıyoruz diyorlar ve demekle de kalmayıp bunu uygulamaya da geçiriyorlar.

Mobil imzanın Türkiye'deki öncülerinden Turkcell'in bu işi nasıl yaptığından yoğun bir şekilde bahsedildi konferansta. Finlandiya'lı firma Valimo ile birlikte çalışmışlar ve tecrübelerinden faydalanmışlar. Türkiye'de sertifikaların üretilip saklanması için EGüven ile birlikte çalışıyorlar. Turkcell kullanıyor iseniz bu sayfadan nasıl mobil imza alabileceğinizi öğrenebilirsiniz. Bir diğer operator AVEA ise TurkTrust ile çalışıyormuş ve 24 Aralık'ta mobil imza hizmeti vermeye başlayacakmış. Burda nasıl mobil imza alacağınızı anlatacak değilim, bunu operatorlerin sitelerinden öğrenebilirsiniz. Sadece bir belgeyi nasıl imzalayacağınızdan ve konferansta verilen ilginç bilgilerden bahsetmek istiyorum. Mesela internet bankacılığında bir havale yapacaksınız, banka telefonunuza bir mesaj gönderiyor, şu kişiye şu miktarda havale yapıyorsunuz diye, siz de onay veriyorsanız telefonunuzda imzalıyorsunuz ve belge geri bankaya gönderiliyor. İmzalama işlemi simkart üzerinde yapıldığı için telefondan bağımsız ve güvenli olduğu söyleniyor. İlginç bilgilere gelirsek; Turkcell'den mobil imza hizmeti aldığınızda sim kartınız değiştiriliyor ve size verilen sim kartta ilk aldığınızda herhangi bir bilgi bulunmuyor. Siz mobil imza hizmetinizi başlattığınızda anahtar çiftiniz sim kart üzerinde üretiliyormuş. Mobil imza şu anda Türkiye'de Adalet Bakanlığı UYAP projesinde, Sanayi Bakanlığı'nda, 11 bankada, gümrük başvurusunda, aile hekimliği sisteminde, 2 belediyede (Fatih, Şişli) ve 1 hastanede kullanılıyormuş. Dünyadaki kullanım alanları ise oldukça ilginç. Örneğin mobil imza Finlandiya'da vatandaşlık ve adres bilgilerini değiştirmekte, askerlik, e-fatura, marka, patent ve çalışma bakanlığı işlemlerinde; Estonya'da park ücretlerini ödemede; Norveç'te mobil ticarette, bankacılık işlemlerinde; Fransa'da otopark ücretlerini ödemede, at yarışında, oyun makinalarında (yaş onaylaması için) veya telefonla dondurma siparişi vermekte kullanılabiliyormuş. Ayrıca Finlandiya ile Norveç arasında iki taraflı mobil imza uyumluluğu anlaşması imzalanmış. Mobil imza ile e-imza atmak da mümkünmüş, bilgi için Turkcell ve Egüven'in hizmeti olan imzamatik.com adresine bakabilirsiniz. Valimo firmasından gelen Tapio Vailahti'nin söylediği bir kaç sözü belirtmeden geçemeyeceğim. Avrupa'da 73milyon kişi online bankacılık kullanıyormuş, bunun yanında 84milyon kişi düzenli internet kullanmasına rağmen internet bankacılığı kullanmıyormuş, elbette insanların güvenini kazanmak için m-imza gibi yeni yollara başvuruyorlar. Tapio Vailahti'nin sunumunda yazan bir cümleyi buraya aynen yazmak istiyorum: "Globally Turkey is the most advanced country both in technology and usage. Also EU countries can learn from Turkey's visionary and business driven scheme.". Gönül ister ki bu genel geçer bir cümle olsun ama m-imza için geçerli. Tabii ki bu söylediklerinde samimiyetinden emin değilim, belki de bizi gaza getiriyorlar :-) Öyle de olsa bu cümleleri sunumunda görmek beni mutlu etti. Umarım diğer alanlarda da daha ileriye gideriz. Son bir bilgi ise m-imza Türkiye'de evlilik ve tapu işlemleri gibi tören ve şahit gerektiren işlemlerde kullanılamıyor, m-imza ile evlenmeyi düşünenler için üzgünüm :-)

Aklımdaki ve not aldığım herşeyi tam olarak yazamasam da oldukça uzun bir yazı oldu. Elimden geldiğince en ilginç bilgileri sizinle paylaşmaya çalıştım ama konferans bitti mi bitmedi :-) Konferansta başka nelerden bahsedildi; pdf ile yapılabilecekler, pdf ile imzalama, güncel tehditler, yeni bir biyometrik güvenlik ürünü: avuçiçi okuyucu , usb ile yayılan bir virüsün incelenmesi, ve aselsan 2 adet şifreleme ürünü. Bunlar ise diğer yazımın içeriğini oluşturacak...

Not: Konferanstaki akademik çalışmalardan burada bahsedemeyeceğim. 20 dakikaya sığdırılan ve oldukça güzel sunumlar vardı konferansta. İlgilenenler için sanıyorum yakın bir zamanda www.iscturkey.org adresinde bildiriler yayınlanacakmış. Ayrıca ISC'yi düzenleyenlerin yayınladıkları sonuç bildirgesine buradan ulaşabilirsiniz.

Bilgi Güvenliği ve Kriptoloji Konferansı 13-14 Aralık 2007 tarihlerinde Sheraton Oteli'nde gerçekleşecek. Bu sene üçüncüsü düzenlenecek olan konferansta bilgi güvenliği ve kriptoloji alanındaki gelişmeler konuşulacak.

Bu sene özet fonksiyonlar (Hash Functions) başlığı altında benim de içinde bulunduğum bi grubun hazırladığı bir araştırmanın sunumu yapılacak. Etkinliğin afişini aşağıda görebilirsiniz.

Bu seneki konferansın ana teması mobil elektronik imza. Yani mobil cihazınızı kullanarak kimliğinizi doğrulamak. Şu an bankaların birçoğu buna yakın bir yöntemi interaktif bankacılık uygulamalarında kullanıyor. Örneğin havale yapmak istediğinizde sistemde kayıtlı cep telefonunuza tek kullanımlık bir şifre mesaj olarak gönderiliyor. Tam olarak uygulanmaya başlandığında servis sağlayıcıdan aldığınız sim kartınız artık sizi tanımlayacak ve sim kartınız üzerinden yaptığınız işlemleri imzalamış olacaksınız :-)

Elbette daha birçok konuda sunum yapılacak konferansta. Konuların başlıklarına http://www.iscturkey.org/tr/Page.asp?id=29 adresinden erişebilirsiniz.