Kriptografi Üzerine <br> Gelişmeler

Günümüzde, yaygın olarak SSL trafiğinde kullanılan RSA Algoritması internete erişimi olan herkesin yıllardır hassas verilerini korumakta. Peki nedir bu RSA algoritması ve neden son yıllarda sürekli gündemde?

RSA, simetrik ve asimetrik kripto algoritmaların asimetrik dalına ait, adını yaratıcısı Ron Rivest, Adi Shamir ve Leonard Adleman’nın soyadlarının ilk harflerinden alan MIT’de 1977’de bulunmuş bir algoritmadır. Geliştirilmesi, güvenli iletişim kurmak isteyen kişi ve uygulamaların haberleşme öncesi; aralarında bir anahtarın güvenli bir şekilde paylaştırılma ihtiyacından doğmuştur.

Çalışma mantığını en basite indirgeyecek olursak, birbirini mantıksal olarak tamamlayan iki parçadan oluşan anahtarın parçalarından biri (public) encyption ve verify yaparken; diğer anahtar parçası (private) decryption ve signing yapmaktadır. Public anahtar ile encrypt ettiğiniz veriyi sadece private anahtar decrypt edebiliyor iken; private anahtar ile sign ettiğiniz veriyi sadece public anahtar ile verify edebilmektesiniz.

Süreç ise; güvenli iletişime başlayabilmek için istemci, sunucudan ona ait public anahtarını kendisiyle paylaşmasını ister. Public anahtar adından da anlaşılacağı üzere herkes ile paylaşılabilir yapıdadır. Sunucunun public anahtarını alan istemci kendine ait simetrik anahtarı, sunucunun public anahtarıyla encypt edip şifrelenmiş halde sunucuya gönderir. İletişim hattı üzerinden bu şifrelenmiş veriye herhangi yetkisiz biri erişse bile sunucunun private anahtarına sahip olmadığından bu veriyi decrypt edemeyecektir. Sunucu, istemci ile paylaştığı public anahtarın eşleniği olan private anahtarı ile bu veriyi decrypt eder ve istemcinin simetrik anahtarını elde eder. İletişimin geri kalanı istemcinin simetrik anahtarı ile encryption-decryption yapılarak devam edecektir. İletişimin simetrik anahtar ile devam etmesinin sebebi, RSA gibi asimetrik anahtarlar her ne kadar güvenli bir iletişim kurulmasına olanak sağlasa da simetrik anahtarın encrypt-decrypt hızını yetişememektedir. 

Grafik 1 (Applying Encryption Algorithm for Data Security in Cloud Storage)

Grafik 2

Performans Test Sunucusu Konfigürasyonu

• CPU : i5 8400 (has the AES-NI)

• Memory : 16G DDR4

• Disk : Inter SSD 1T

• OS : CentOS Linux release 7.6.1810 (Core)

• OpenSSL :  OpenSSL 1.0.2k

Simetrik algoritmaların hız avantajına karşılık, taraflar arasında paylaşılma sorununu gidermiş olması RSA algoritmasını günümüz güvenlik dünyasında en çok kullanılan algoritmalar arasına sokmuştur.

Key Uzunlukları Arasındaki Farklılıklar

Neden RSA anahtarların key size larında binlerce bit kullanılırken, AES gibi simetrik anahtarlarda birkaç yüz bit fazlasıyla güvenlik sağlamakta?

Öncelikle neden RSA ve AES algoritmaları kullanılan bit size ları arasında fark olduğu ile başlayalım. Bit in alabileceği iki lojik değer olduğu hepimizin malumu 1 ya da 0, dolayısıyla eğer algoritma içerisinde bir açık yoksa bir anahtar ile şifrelenmiş veriyi kırabilmek için 2n adet deneme yapılması gerekmektedir. Ancak asimetrik anahtarlardan olan RSA altyapısı simetrik anahtarlardan farklı olarak rastgele seçilmiş iki prime sayının çoğullanmasına dayandığı için 128-bit lik RSA anahtar, AES-128 de olduğu gibi 2128 anahtar uzayı sağlamaz. AES-128 ile aynı seviyede güvenlik sağlayabilmesi için RSA anahtarın uzunluğunun 15360-bit olması gerekmektedir.

Kripto Algoritmaların Geleceği

US National Institute of Standards and Technology (NIST) ye göre 112-bit ve üstü uzunluğa sahip simetrik anahtarlar 2030’un sonuna kadar güvenli sayılacaklar. Ancak simetrik anahtarlarda kullanılan 112-bit güvenlik katmanının, asimetrik anahtarlardaki karşılığı 2048-bit tir. Bu yüzden 2013 yılında Google HTTPS bağlantılarında 1024-bit anahtar uzunluğunu 2048-bit e çıkardı. 2031 yılından itibaren kullanılacak anahtarların güvenli sayılabilmesi için; simetrik anahtarların minumum 128-bit, RSA anahtarların minimum 3072-bit key uzunluğuna sahip olması gerekecek. Key uzunluğu arttıkça donanımların kriptografik operasyonlar için ayırması gereken kaynak doğal olarak artacak.

Alışılagelen sunucular üzerinde bu süreçlerin devam ettirilmesi güçleşeceğinden, günümüzde bankacılık sektöründe yaygın kullanılan, kriptografik süreçler için özelleştirilmiş Hardware Security Module (HSM) lerin kullanımının artması ve Elliptic Curve gibi Quantum Computing ataklarına karşı geliştirilen algoritmaların yaygınlaşması beklenmektedir.

Kaynakça

1. “Advanced Encryption Standard”, FIPS 197, 2001, National Institute of Standards and Technology (NIST),
2. “Standards for Efficient Cryptography Group (SECG)”, Elliptic Curve Cryptography, SEC 1, version 2, 2009.
3. “A Survey of the Elliptic Curve Integrated Encryption Scheme”, Journal of Computer Science and Engineering, Volume 2, Issue 2, August 2010
4. “Applying Encryption Algorithm for Data Security in Cloud Storage”, Zaid KARTIT, Ali AZOUGAGHE, H.KAMAL IDRISSI, M.EL MARRAKI, M.Hedabou, M.BELKASMI, A.KARTIT

Onur Demir

Kurumsal Sosyal Medya Hesaplarının Yönetimi

Dijitalleşen dünyada, kişiler zamanlarının büyük bir çoğunluğunu internette,  sosyal paylaşım platformlarında geçiriyor. Bu durumdan yararlanmak isteyen firmalar internetteki görünürlüklerini arttırarak, itibar ve marka gücünü yükseltme şansı yakalıyor. Dolayısıyla, sosyal medya hesapları sayesinde markalarını öne çıkarabilen kurumlar, aynı zamanda müşterileriyle etkileşim halinde bulunup,  anlık nitel ve nicel veri analizi yapabilirler. Bu nedenle, günümüzde birçok şirket sosyal medya hesaplarını pazarlama aracı olarak kullanmaktadır. Pekii firmalara hızlı ve etkili iletişim imkanı sunan bu platformlar ne gibi riskler barındırıyor?

Kurumsal medya hesabınız, yeterli yetkinlik düzeniye sahip olmayan bir ekip tarafından yönetiliyorsa tehlikedesiniz demektir. Markanızı temsil ettiğiniz bu hesabın dili oldukça önemlidir. Hedef kitlesine yönelik, ne çok resmi ne de kurumsallıktan uzak; aynı zamanda  vizyon ve misyonunuzu yansıtabildiğiniz bir dil olmalıdır. Bir başka deyişle, yalnızca reklam amacı gütmeyen; insanlar için değer verici içerikler üretip, paylaşabildiğiniz sürece kitleleri etkileyebilirsiniz. Bu nedenle sosyal medya hesabınızın doğru kişi/kişilerce yönetildiğinden emin olmalısınız. Bu kişiler aynı zamanda sosyal medya hesaplarının güvenliğinden de sorumludur. Sosyal platform giriş ekranında kullanıcıadı/parolanın kaydedilmesi, parolanın 3. kişilerle paylaşılması veya bir yerlerde yazılı olması güvenlik açığıdır. Sosyal medya hesaplarını yöneten kişiler bu durumun farkına varıp, bu güvenlik açığından yararlanmak isteyen kötü niyetli kullanıcılara engel olmak adına çeşitli güvenlik önlemleri almalıdır. Aksi takdirde, güvenlik açığından ötürü kötü niyetli kullanıcıların hedefi haline gelen, büyük firmaların yaşadığı olaylara benzer durumlarla karşılaşabilirsiniz.

Geçtiğimiz yıllarda Twitter hesabı hacklenen BurgerKing’in ana sayfasında en büyük rakibi McDonald’s firmasının logo’sunu paylaşılmıştır. Bu durumda BurgerKing kendi reklamını yapmak isterken, ezeli rakibinin reklamını yapmıştır. 

“Gün geçmiyor ki HBO’dan bir hack haberi gelmesin” şeklinde duyurulan sosyal medya hesaplarının hacklendiği bilgisi, HBO televizyon kanalının itibar kaybetmesine neden oldu . Üyeler, dizilerin son bölümleri de sızdırılsın, bizler de rahat edelim diyerek isyan ediyor. 

Dünyanın önde gelen sohbet uygulamalarından biri olan Skype da resmi blog sitesi ve twitter hesabını kötü niyetli kullanıcılara kaptırarak hackerların gazabından nasibini almış oldu. Hackerlar “Microsoft hesaplarınızı kullanmayın, kişisel bilgileriniz hükümetlere satılıyor” diyerek kullanıcıları tedirgin edici mesajlar yayınlamıştır.

Bu örneklerden de görebileceğimiz gibi, sosyal medya hesaplarınızın çalınması, kurumsal itibarınızı zedeleyebilir ve maddi kayıplara yol açabilir. Kurumsal kimliğinizi yansıttığınız bu platformlara erişimlerde kullandığınız hesabın güvenli bir şekilde yönetildildiğinden emin olmalısınız.

 Öncelikle kurumsal hesabınıza ait kullanıcıadı/parola bilgisinin yalnızca yetkili kullanıcılar tarafından bilindiğinden emin olmalısınız. Parolanın görülmüş veya farklı bir kullanıcı ile paylaşılmış olmasına karşılık sıklıkla değiştirilmesi bir çözüm olarak düşünülebilir. Ayrıca güçlü bir parola -rakamların, karakterlerin, harflerin kullanıldığı- kullanılması, parolanın tahmin edilebilirliğini düşürecektir. Uygulamaya ait gizlilik politikaları mutlaka aktif edilmeli ve mümkünse ikili kimlik doğrulama yöntemi uygulanmalıdır.

Sosyal medya platformlarının önemini göz önünde bulundurduğumuzda bu platformlara giriş yaparken kullandığımız kullanıcıları “ayrıcalıklı hesap” olarak düşünmek kaçınılmaz oluyor. Ayrıcalıklı hesap güvenliği yöntemleri, ayrıcalıklı hesapları korumak, veri sızıntılarının ve siber saldırıların önüne geçmekte en etkili yollardan biridir. Erişim kontrolünün yapılması, parola yönetiminin periyodik olarak gerçekleştirilmesi,  aktivitelerin raporlanması bu ayrıcalıklı hesap güvenliği yönetiminin en önemli maddelerini oluşturmaktadır. Bu yöntemlerin tek bir noktadan uygulanabilirliği, kullanım kolaylığı ve bir çok farklı sistem ile entegrasyonun yapılabilirliği güvenliği bir üst noktaya taşırken, yönetilebilir bir yapı oluşturmanızı sağlayacaktır. Bu tanıma uyan ürünlerden biri olan CyberArk ile hayal edilen bu yapıyı kurmak çok da zor değil. 

Gözlemlerimize göre, sosyal medya hesaplarının önemi, ne yazık ki bir çok firma tarafından gözden kaçırılmaktadır. Genellikle, hesapların parolası hesap ilk açıldığında oluşturulmuş ve bir daha değiştirilmemiş, parolanın kimler tarafından bilindiği tespit edilemez ve dolayısıyla sosyal platform üzerinden yapılacak paylaşımlar kontrol edilemez durumda oluyor. Instagram, facebook,  google, tumblr, pinterest ve LinkedIn gibi birçok sosyal medya platformunun yönetimini CyberArk ile yapmak mümkündür. Böylece kullanıcılar sosyal medya hesaplarının parolalarını bilmeden dahi sosyal medya platformlara erişebilir ve bu platformları yönetebilir. Siz de sosyal medya hesaplarınızın ayrıcalıklı hesap olduğunun farkına varıp, yapınızdaki “privileged access management” ürünleri ile entegrasyonlarını gerçekleştirip, güvenliğini bir üst seviyeye çıkarmalısınız. Kurumsal kimliğinizi yansıttığınız sosyal medya platformlarının hackerlar tarafından ele geçirilmesi firmanıza zarar verecektir. Sosyal medya platformlarının CyberArk ile yönetimiyle ilgili ayrıntılı bilgiye https://www.cyberark.com/blog/social-media-and-shared-privileged-account-preventing-costly-account-takeovers/ adresi üzerinden erişebilirsiniz.

Çağla Demir