srocenter Can
Forum Admin
Moderatör
Center Üyesi
Bilişim Sahibi
Çevirmen
Coder
Grafiker
Guild Master
Guild Üyesi
Reklamcı
Server Sahibi
Supporter
V.i.P
- Katılım
- 18 Haz 2023
- Mesajlar
- 20,123
- Tepkime puanı
- 12
- Puanları
- 38
Kriptografi ve Şifreleme kavramları içinde bulunduğumuz modern bilişim çağının en önemli unsurları arasında yer alır.
Örneğin akıllı telefonunuzda depoladığınız çeşitli dokümanları, fotoğrafları, videoları, sesleri ve notları ele alalım.
Bu dosyaların kimi diğerinden daha hassas ve kritik olabilir.
Elbette yarın marketten satın almak istediğiniz ürünleri derlediğiniz bir listenin başkaları tarafından okunması sizin için dünyanın sonu anlamına gelmez ancak bazı önemli parolaları sakladığınız bir not defterini mümkün olduğu kadar gizli tutmak istersiniz.
Peki ama bu tür hassas ve kritik verileri depolarken ya da aktarırken onların güvende olduğundan nasıl emin olabilirsiniz?
Evet, bu şifreleme ile mümkündür.
Şifreleme her birey ve kurum için önemlidir.
Kullanıcılar, yukarıdaki örneğimizde de ele aldığımız üzere kendilerine ait hassas verileri meraklı gözlerden uzak tutmak isterler.
Kurumlar ise ticari sırlarını korumak, rekabet avantajını sürdürmek ve etkinliklerine sorunsuz devam etmek isterler.
Bu, aynı zamanda marka değeri ve imajı açısından da önemlidir çünkü sürekli veri sızıntılarına konu olan bir kurum, müşteriler ve yatırımcılar açısından daha güvenilmez olacaktır.
Devletler, çok daha kritik verilere sahiptir ve bu verilerin başkaları tarafından ele geçirilmesi ulusal bir güvenlik sorunu haline gelebilir.
Kriptografi, tüm bu gereksinimlerin sonucu olarak hayatımızın her alanının ayrılmaz bir parçası haline gelmiştir.
Öyle ki şifreleme sistemleri bir an için hayatımızdan çıkmış olsaydı bankacılık kurumlarından devlet kurumlarına kadar pek çok sistem işlevini kaybeder, güvenli iletişim ve güvenli depolama mümkün olmazdı.
O halde daha teknik bir düzlemden ele almamız gerekirse kriptografi ve şifreleme nedir, ne işe yarar ve nasıl çalışır?
Bu, Geek.com.tr tarafından hazırlanan İleri Düzey Gizlilik ve Güvenlik Eğitimi Serisi’nin 1. bölümüdür.Â
İçindekiler
Veri Nedir?
Veri, çoğu zaman bir bilişim sistemindeki tüm soyut unsurları temsil eder.
Bu bakımdan bir bilişim sisteminde bulunan fotoğraflar, videolar, sesler, dokümanlar, harfler, rakamlar, özel simgeler ve diğer tüm soyut unsurlar veri olarak tanımlanabilir.
Ayrıca bilişim sistemlerinin belirli işlevleri yerine getirmesini sağlamak için tasarlanmış bir dizi yazılım talimatı olan programlar ve sistemler de bu kavrama dahildir.
Kriptografi Nedir?
Kriptografi, genellikle algoritma kullanımı yolu ile bilgi ve iletişimi güvence altına alma ve yetkisiz erişimi engelleme tekniklerinin tümünü tanımlar.
Amacı, özellikle de hassas nitelikteki verileri depolanma ve iletilme sırasında yetkisiz erişimlere karşı korumaktır.
Kapsamı, bu amaca yönelik olarak güvenli iletişim tekniklerini incelemek ve uygulamaktır.
Güvenli İletişim terimi bu bağlamda iki taraf arasındaki verilere yetkisiz bir tarafın erişemediği durumları temsil eder.
Ahmet ve Arda arasında geçen örnek bir senaryodan bahsedelim: Ahmet, artık Arda ile güvenli bir kanal üzerinden mesajlaşmak istesin.
Ahmet tarafından oluşturulan metin a Anahtarı isimli varsayımsal bir anahtar kullanılarak artık bir anlam ifade etmeyen ve başkaları tarafından anlaşılamayan bir formata dönüştürülür.
Ahmet tarafından hazırlanan ilk metin Gönderici Mesajı ya da Düz Metin (Plaintext), şifreleme sonrasında ortaya çıkan metin ise Şifreli Metin (Ciphertext) olarak adlandırılır.
Bu işleme Şifreleme (Encryption) denir.
Ciphertext, şifrelenen metni tekrar Plaintext’e dönüştürmek için gerekli olan anahtarlara sahip olmayanlar için anlamsız bir karakter ve sembol dizisinden ibaret olacaktır.
Arda, Ahmet tarafından gönderilen şifreli metni aldıktan sonra onu anlamak için şifreli metni aynı a Anahtarı ile tekrar düz metne dönüştürür.
Bu işleme de Şifre çözme (Decryption) denir.Ahmet (Gönderici)Â Â Â Arda (Alıcı)C = E (m, a)Â Â â>Â Â m = D (C, a)
Bu şemada;
anlamlarına gelir.
Şifreleme, günümüzde sıklıkla bilişim sistemleri ile karakterize edilse de modern anlamda bir şifrelemenin bilinen en eski kullanımı milattan öncesine dayanır.
Valiler ile iletişim kurarken mektup içeriklerinin güvende kalmasını isteyen Julius Caesar (M.Ö 100 – M.Ö. 44), orijinal mesajındaki her bir karakterin Latin alfabesinde kendisinden üç sıra sonraki harfle değiştirildiği bir sistem oluşturmuştur.SELAM â UÄOçÖ
Bu, Sezar Şifrelemesi olarak da bilinir.
Birisi, bu metnin şifrelendiğini bilse bile her karakteri üç basamak geriye kaydıracak anahtara sahip olmadığı sürece düz metni tahmin edemez.
Ayrıca M.Ö 1900 yıllarında Mısır tarafından kullanılan daha ilkel şifreleme metotlarına ilişkin kanıtlar bulunmaktadır. (Hiyeroglif Kriptografisi olarak da bilinir.)
Elbette modern şifreleme metotları bundan kuantum hesaplama ile kaba kuvvet saldırılarına direnç gösterebilecek kadar daha karmaşık ve kaotiktir.
Bazıları verilerin güvenli bir şekilde depolanması ve iletilmesi için birden fazla şifre turu kullanır ve şifreli metin bile şifreler.
Ancak bu metotların her birindeki ortak unsur, “Düz Metin” olarak adlandırılan asıl metni “Şifreli Metin” olarak adlandırılan şifrelenmiş sürüme dönüştürmek için uyulması gereken bir dizi kuralın var olmasıdır.
Bu kurallar dizisi kısaca algoritma olarak bilinir.
Kriptografi, dört temel kritere sahiptir: Gizlilik, Bütünlük, Reddi Önleme, Kimlik Doğrulama
Bu kriterlerin tam olarak ne anlama geldiklerini serimizin ilerleyen basamaklarında ayrıca ele alacağımız için şimdilik bir kenara bırakalım.
Kriptografi Türleri Neler?
Kriptografi ile mesajınızı şifrelemek istediğinizde bunun birden fazla yolu bulunur. Yöntemler, diğerlerine göre çeşitli avantajlar ve dezavantajlar içerir.
Simetrik Anahtar Şifrelemesi, Asimetrik Anahtar Şifrelemesi ve Hash Fonksiyonu en bilinen üç kriptografi türüdür.
Bu sistemleri de ayrı bir başlıkta ayrıntılı bir şekilde ele alacağız ancak şimdilik temel düzeyde de olsa değinmemiz yararlı olacaktır:
Simetrik Anahtar Şifrelemesi
Simetrik Anahtar Şifrelemesiânde gönderici ve alıcı mesajı şifrelemek ve şifrelenen mesajın şifresini çözmek için aynı anahtarı kullanır.
Bu, daha hızlı ve daha basit olsa da göndericinin ve alıcının güvenli bir şekilde anahtar alışverişi yapması gerekir.
Yukarıdaki örneğimizi ele alalım. Ahmet ve Arda, şifrelenen mesajın şifresini çözmek için ortak bir anahtar kullanmıştı.
Bu anahtar dikkatli bir şekilde saklanmazsa anahtarı ele geçiren kötü amaçlı bir kullanıcı bu mesajın şifresini çözerek verilere göz atabilir.
Data Encryption System (DES) ve Advanced Encryption System (AES) en popüler Simetrik Anahtar Şifrelemesi algoritmaları arasında yer alır.
Elbette bunların güvenilmez oldukları düşünülmemelidir. Öyle ki Amerika Birleşik Devletleri bazı hassas ve kritik verileri korumak için AES-256 algoritmasını federal bir standart olarak kullanmaktadır.
Asimetrik Anahtar Şifrelemesi
Asimetrik Anahtar Şifrelemesiânde mesajı şifrelemek ve şifrelenen mesajın şifresini çözmek için iki farklı anahtar kullanılır: Genel Anahtar ve Özel Anahtar.
Genel Anahtar mesajın şifrelenmesi, Özel Anahtar ise şifrelenen mesajın şifresinin çözülmesi ile görevlidir.
Anahtarların birbirinden farklı oldukları unutulmamalıdır. Genel Anahtar herkes tarafından bilinse bile Özel Anahtar yalnızca alıcı tarafından bilineceği için şifre yalnızca alıcı tarafından çözülebilir.
Ayrıca anahtarların matematiksel ilişkisi nedeniyle Özel Anahtarâı Genel Anahtarâdan türetmek mümkün değildir.
RSA, Digital Signature Algorithm (DSA) ve Elliptic Curve Digital Signature Algorithm (ECDSA) en popüler Asimetrik Anahtar Şifrelemesi algoritmaları arasında yer alır.
Hash Fonksiyonu
Hash Fonksiyonu, verileri kurtarılamama pahasına koruyan, geri döndürülemez ve tek yönlü işlevlerdir.
Hash Fonksiyonuânda anahtar yoktur. Veri, ne kadar uzun olursa olsun sabit uzunluktaki bir çıktı haline getirilir.
Örneğin birinde âMerhabaâ diğerinde âMerhaba, ben Berk Demirciâ yazan iki farklı metnin uzunlukları farklı olsa da çıktı uzunlukları aynı olacaktır.
Algoritmanın belirli bir girdi için her zaman aynı çıktı ile yanıt vereceği unutulmamalıdır.
Yani MD5 için “Merhaba” girdisi her zaman “137668746ece63255bf94ef175fa11e4” çıktısını verecektir.
Bir Hashâi kırmanın tek yolu tam olarak aynı Hashâi elde edene kadar mümkün olan her girdiyi denemekten geçer.
Bu da düz metin içeriğinin kurtarılmasını neredeyse imkansız hâle getirir.
çoğu işletim sistemi ve internet sitesi parolaları şifrelemek için Hash Fonksiyonuânu kullanır. Peki Hash Fonksiyonu tam olarak ne amaçla kullanılır?
Bir internet sitesine kayıt olduğunuzda parolanız düz metin olarak saklanmaz çünkü bu oldukça risklidir.
Bunun yerine parolanız hash haline getirilir ve parolanız yerine hash dizisi saklanır.
Örneğin “berk1234” için MD5 “1fd6c942f6a3e1729f1b7773fdfd2853” çıktısını verecektir. Sistem, “berk1234” yerine “1fd6c942f6a3e1729f1b7773fdfd2853” değerini saklar.
Bu internet sitesine girmek için parolanızı kullandığınızda girdiğiniz parola hash işlemine tabi tutulur ve hash dizisi, sistemde saklanan hash dizisi ile karşılaştırılır.
Her iki hash dizisi eşleşirse sisteme giriş yapabilirsiniz.
Bu, internet sitesinin şifreleri açık bir biçimde saklamak zorunda kalmadan kimlik doğrulaması yapmasını mümkün kılar.
Saldırganlar, sistemdeki verileri ele geçirseler de elde ettikleri tek şey kendi başına bir anlam ifade etmeyen hash dizileri olacaktır.
Ancak “Merhaba” girdisinin halihazırda “137668746ece63255bf94ef175fa11e4” çıktısını ürettiğini biliyorsanız, bu çıktının hangi girdi ile eşleştiğini bilebilirsiniz.
Bazı sistemler, güvenlik prosedürlerini bir adım ileri taşımak için şifrelere hash haline getirilmeden önce rastgele benzersiz veriler ekler.
Bu, iki veya daha fazla sayıda kullanıcı aynı şifreyi kullansa da tüm hash dizilerinin benzersiz olacağı anlamına gelir.
MD5, SHA-1 (Secure Hash Algorithm), SHA-2 ve SHA-3 en popüler Hash Fonksiyonu algoritmaları arasında yer alır.
Günümüzün modern şifreleme algoritmaları doğru bir şekilde uygulandıklarında oldukça güvenlidir.
Ancak anahtarların nasıl saklanacağı, (kaba kuvvet, ortadaki adam, yan kanal saldırısı, kuantum hesaplama vb.) saldırılara karşı nasıl korunacağı, güvenlik protokollerinin nasıl uygulanacağı, anahtar uzunluğunun nasıl belirleneceği ve insan hatalarının nasıl önleneceği benzeri noktalar da güvenlik sürecinin bir parçasıdır.
Gizlilik ve Güvenlik serimizin sonraki içeriklerinde bu tür kaygılara karşı ne tür önlemler alındığına da daha ayrıntılı bir şekilde göz atacağız.
Sonuç
Kriptografi, verileri yetkisiz erişime karşı koruyarak kullanıcılara, kurumlara ya da devletlere ait hassas verilerin gizli kalmasını sağlar.
Ayrıca kullanılan sistemler sayesinde göndericinin söylediği kişi olduğunu doğrulamak ve mesajın aktarım sırasında değiştirilmesini önlemek de mümkün hale gelir.
Elbette şifrelemenin de çeşitli dezavantajları bulunur. Bu; veri iletimini daha yavaş hale getirmesi, güç tüketimine neden olması ya da ileri düzey teknik kabiliyet ve kaynak gerektirmesi olarak sıralanabilir ancak yararlar o kadar fazladır ki, bu maddeler çoğu durumda göz ardı edilebilir.
İleri Düzey Gizlilik ve Güvenlik Eğitimi Serisi’nin sonraki basamaklarında bu sürecin farklı alanlarını çeşitli yönlerden ele alacağız.
Bu konu hakkındaki görüşlerinizi hemen aşağıda bulunan yorumlar sekmesinden bizlerle ve diğer okurlarımızla paylaşmayı unutmayın!
Örneğin akıllı telefonunuzda depoladığınız çeşitli dokümanları, fotoğrafları, videoları, sesleri ve notları ele alalım.
Bu dosyaların kimi diğerinden daha hassas ve kritik olabilir.
Elbette yarın marketten satın almak istediğiniz ürünleri derlediğiniz bir listenin başkaları tarafından okunması sizin için dünyanın sonu anlamına gelmez ancak bazı önemli parolaları sakladığınız bir not defterini mümkün olduğu kadar gizli tutmak istersiniz.
Peki ama bu tür hassas ve kritik verileri depolarken ya da aktarırken onların güvende olduğundan nasıl emin olabilirsiniz?
Evet, bu şifreleme ile mümkündür.
Şifreleme her birey ve kurum için önemlidir.
Kullanıcılar, yukarıdaki örneğimizde de ele aldığımız üzere kendilerine ait hassas verileri meraklı gözlerden uzak tutmak isterler.
Kurumlar ise ticari sırlarını korumak, rekabet avantajını sürdürmek ve etkinliklerine sorunsuz devam etmek isterler.
Bu, aynı zamanda marka değeri ve imajı açısından da önemlidir çünkü sürekli veri sızıntılarına konu olan bir kurum, müşteriler ve yatırımcılar açısından daha güvenilmez olacaktır.
Devletler, çok daha kritik verilere sahiptir ve bu verilerin başkaları tarafından ele geçirilmesi ulusal bir güvenlik sorunu haline gelebilir.
Kriptografi, tüm bu gereksinimlerin sonucu olarak hayatımızın her alanının ayrılmaz bir parçası haline gelmiştir.
Öyle ki şifreleme sistemleri bir an için hayatımızdan çıkmış olsaydı bankacılık kurumlarından devlet kurumlarına kadar pek çok sistem işlevini kaybeder, güvenli iletişim ve güvenli depolama mümkün olmazdı.
O halde daha teknik bir düzlemden ele almamız gerekirse kriptografi ve şifreleme nedir, ne işe yarar ve nasıl çalışır?
Bu, Geek.com.tr tarafından hazırlanan İleri Düzey Gizlilik ve Güvenlik Eğitimi Serisi’nin 1. bölümüdür.Â
Veri Nedir?
Veri, çoğu zaman bir bilişim sistemindeki tüm soyut unsurları temsil eder.
Bu bakımdan bir bilişim sisteminde bulunan fotoğraflar, videolar, sesler, dokümanlar, harfler, rakamlar, özel simgeler ve diğer tüm soyut unsurlar veri olarak tanımlanabilir.
Ayrıca bilişim sistemlerinin belirli işlevleri yerine getirmesini sağlamak için tasarlanmış bir dizi yazılım talimatı olan programlar ve sistemler de bu kavrama dahildir.
Kriptografi Nedir?
Kriptografi, genellikle algoritma kullanımı yolu ile bilgi ve iletişimi güvence altına alma ve yetkisiz erişimi engelleme tekniklerinin tümünü tanımlar.
Amacı, özellikle de hassas nitelikteki verileri depolanma ve iletilme sırasında yetkisiz erişimlere karşı korumaktır.
Kapsamı, bu amaca yönelik olarak güvenli iletişim tekniklerini incelemek ve uygulamaktır.
Güvenli İletişim terimi bu bağlamda iki taraf arasındaki verilere yetkisiz bir tarafın erişemediği durumları temsil eder.
Ahmet ve Arda arasında geçen örnek bir senaryodan bahsedelim: Ahmet, artık Arda ile güvenli bir kanal üzerinden mesajlaşmak istesin.
Ahmet tarafından oluşturulan metin a Anahtarı isimli varsayımsal bir anahtar kullanılarak artık bir anlam ifade etmeyen ve başkaları tarafından anlaşılamayan bir formata dönüştürülür.
Ahmet tarafından hazırlanan ilk metin Gönderici Mesajı ya da Düz Metin (Plaintext), şifreleme sonrasında ortaya çıkan metin ise Şifreli Metin (Ciphertext) olarak adlandırılır.
Bu işleme Şifreleme (Encryption) denir.
Ciphertext, şifrelenen metni tekrar Plaintext’e dönüştürmek için gerekli olan anahtarlara sahip olmayanlar için anlamsız bir karakter ve sembol dizisinden ibaret olacaktır.
Arda, Ahmet tarafından gönderilen şifreli metni aldıktan sonra onu anlamak için şifreli metni aynı a Anahtarı ile tekrar düz metne dönüştürür.
Bu işleme de Şifre çözme (Decryption) denir.Ahmet (Gönderici)Â Â Â Arda (Alıcı)C = E (m, a)Â Â â>Â Â m = D (C, a)
Bu şemada;
- C: Ciphertext
- E: Encryption
- D: Decryption
- m: Message
- a: a Anahtarı
anlamlarına gelir.
Şifreleme, günümüzde sıklıkla bilişim sistemleri ile karakterize edilse de modern anlamda bir şifrelemenin bilinen en eski kullanımı milattan öncesine dayanır.
Valiler ile iletişim kurarken mektup içeriklerinin güvende kalmasını isteyen Julius Caesar (M.Ö 100 – M.Ö. 44), orijinal mesajındaki her bir karakterin Latin alfabesinde kendisinden üç sıra sonraki harfle değiştirildiği bir sistem oluşturmuştur.SELAM â UÄOçÖ
- S â Ş, T, U
- E â F, G, Ä
- L â M, N, O
- A â B, C, ç
- M â N, O, Ö
Bu, Sezar Şifrelemesi olarak da bilinir.
Birisi, bu metnin şifrelendiğini bilse bile her karakteri üç basamak geriye kaydıracak anahtara sahip olmadığı sürece düz metni tahmin edemez.
Ayrıca M.Ö 1900 yıllarında Mısır tarafından kullanılan daha ilkel şifreleme metotlarına ilişkin kanıtlar bulunmaktadır. (Hiyeroglif Kriptografisi olarak da bilinir.)
Elbette modern şifreleme metotları bundan kuantum hesaplama ile kaba kuvvet saldırılarına direnç gösterebilecek kadar daha karmaşık ve kaotiktir.
Bazıları verilerin güvenli bir şekilde depolanması ve iletilmesi için birden fazla şifre turu kullanır ve şifreli metin bile şifreler.
Ancak bu metotların her birindeki ortak unsur, “Düz Metin” olarak adlandırılan asıl metni “Şifreli Metin” olarak adlandırılan şifrelenmiş sürüme dönüştürmek için uyulması gereken bir dizi kuralın var olmasıdır.
Bu kurallar dizisi kısaca algoritma olarak bilinir.
Kriptografi, dört temel kritere sahiptir: Gizlilik, Bütünlük, Reddi Önleme, Kimlik Doğrulama
- Gizlilik: Verilere yalnızca gönderici ve alıcı erişebilmelidir.
- Bütünlük
- Veri Bütünlüğü: Alınan veri tam, değiştirilmemiş ve doğru olmalıdır.
- Sistem Bütünlüğü: Sistem, amaçlanan işlevini bozulmadan yerine getirmelidir.
- Reddi Önleme: Gönderici, gönderdiği mesajı sonradan inkar edemez.
- Kimlik Doğrulama: Kimlik Doğrulama; kullanıcı, sistem veya varlık tanımlama mekanizmasıdır. Veriye erişmeye çalışan kişinin doğrulanmasını sağlar.
Bu kriterlerin tam olarak ne anlama geldiklerini serimizin ilerleyen basamaklarında ayrıca ele alacağımız için şimdilik bir kenara bırakalım.
Kriptografi Türleri Neler?
Kriptografi ile mesajınızı şifrelemek istediğinizde bunun birden fazla yolu bulunur. Yöntemler, diğerlerine göre çeşitli avantajlar ve dezavantajlar içerir.
Simetrik Anahtar Şifrelemesi, Asimetrik Anahtar Şifrelemesi ve Hash Fonksiyonu en bilinen üç kriptografi türüdür.
Bu sistemleri de ayrı bir başlıkta ayrıntılı bir şekilde ele alacağız ancak şimdilik temel düzeyde de olsa değinmemiz yararlı olacaktır:
Simetrik Anahtar Şifrelemesi
Simetrik Anahtar Şifrelemesiânde gönderici ve alıcı mesajı şifrelemek ve şifrelenen mesajın şifresini çözmek için aynı anahtarı kullanır.
Bu, daha hızlı ve daha basit olsa da göndericinin ve alıcının güvenli bir şekilde anahtar alışverişi yapması gerekir.
Yukarıdaki örneğimizi ele alalım. Ahmet ve Arda, şifrelenen mesajın şifresini çözmek için ortak bir anahtar kullanmıştı.
Bu anahtar dikkatli bir şekilde saklanmazsa anahtarı ele geçiren kötü amaçlı bir kullanıcı bu mesajın şifresini çözerek verilere göz atabilir.
Data Encryption System (DES) ve Advanced Encryption System (AES) en popüler Simetrik Anahtar Şifrelemesi algoritmaları arasında yer alır.
Elbette bunların güvenilmez oldukları düşünülmemelidir. Öyle ki Amerika Birleşik Devletleri bazı hassas ve kritik verileri korumak için AES-256 algoritmasını federal bir standart olarak kullanmaktadır.
Asimetrik Anahtar Şifrelemesi
Asimetrik Anahtar Şifrelemesiânde mesajı şifrelemek ve şifrelenen mesajın şifresini çözmek için iki farklı anahtar kullanılır: Genel Anahtar ve Özel Anahtar.
Genel Anahtar mesajın şifrelenmesi, Özel Anahtar ise şifrelenen mesajın şifresinin çözülmesi ile görevlidir.
Anahtarların birbirinden farklı oldukları unutulmamalıdır. Genel Anahtar herkes tarafından bilinse bile Özel Anahtar yalnızca alıcı tarafından bilineceği için şifre yalnızca alıcı tarafından çözülebilir.
Ayrıca anahtarların matematiksel ilişkisi nedeniyle Özel Anahtarâı Genel Anahtarâdan türetmek mümkün değildir.
RSA, Digital Signature Algorithm (DSA) ve Elliptic Curve Digital Signature Algorithm (ECDSA) en popüler Asimetrik Anahtar Şifrelemesi algoritmaları arasında yer alır.
Hash Fonksiyonu
Hash Fonksiyonu, verileri kurtarılamama pahasına koruyan, geri döndürülemez ve tek yönlü işlevlerdir.
Hash Fonksiyonuânda anahtar yoktur. Veri, ne kadar uzun olursa olsun sabit uzunluktaki bir çıktı haline getirilir.
Örneğin birinde âMerhabaâ diğerinde âMerhaba, ben Berk Demirciâ yazan iki farklı metnin uzunlukları farklı olsa da çıktı uzunlukları aynı olacaktır.
- Merhaba: 137668746ece63255bf94ef175fa11e4 (MD5)
- Merhaba, ben Berk Demirci: 4d9265d90b46e0b3c875a730243e16e2 (MD5)
Algoritmanın belirli bir girdi için her zaman aynı çıktı ile yanıt vereceği unutulmamalıdır.
Yani MD5 için “Merhaba” girdisi her zaman “137668746ece63255bf94ef175fa11e4” çıktısını verecektir.
Bir Hashâi kırmanın tek yolu tam olarak aynı Hashâi elde edene kadar mümkün olan her girdiyi denemekten geçer.
Bu da düz metin içeriğinin kurtarılmasını neredeyse imkansız hâle getirir.
çoğu işletim sistemi ve internet sitesi parolaları şifrelemek için Hash Fonksiyonuânu kullanır. Peki Hash Fonksiyonu tam olarak ne amaçla kullanılır?
Bir internet sitesine kayıt olduğunuzda parolanız düz metin olarak saklanmaz çünkü bu oldukça risklidir.
Bunun yerine parolanız hash haline getirilir ve parolanız yerine hash dizisi saklanır.
Örneğin “berk1234” için MD5 “1fd6c942f6a3e1729f1b7773fdfd2853” çıktısını verecektir. Sistem, “berk1234” yerine “1fd6c942f6a3e1729f1b7773fdfd2853” değerini saklar.
Bu internet sitesine girmek için parolanızı kullandığınızda girdiğiniz parola hash işlemine tabi tutulur ve hash dizisi, sistemde saklanan hash dizisi ile karşılaştırılır.
Her iki hash dizisi eşleşirse sisteme giriş yapabilirsiniz.
Bu, internet sitesinin şifreleri açık bir biçimde saklamak zorunda kalmadan kimlik doğrulaması yapmasını mümkün kılar.
Saldırganlar, sistemdeki verileri ele geçirseler de elde ettikleri tek şey kendi başına bir anlam ifade etmeyen hash dizileri olacaktır.
Ancak “Merhaba” girdisinin halihazırda “137668746ece63255bf94ef175fa11e4” çıktısını ürettiğini biliyorsanız, bu çıktının hangi girdi ile eşleştiğini bilebilirsiniz.
Bazı sistemler, güvenlik prosedürlerini bir adım ileri taşımak için şifrelere hash haline getirilmeden önce rastgele benzersiz veriler ekler.
Bu, iki veya daha fazla sayıda kullanıcı aynı şifreyi kullansa da tüm hash dizilerinin benzersiz olacağı anlamına gelir.
MD5, SHA-1 (Secure Hash Algorithm), SHA-2 ve SHA-3 en popüler Hash Fonksiyonu algoritmaları arasında yer alır.
Günümüzün modern şifreleme algoritmaları doğru bir şekilde uygulandıklarında oldukça güvenlidir.
Ancak anahtarların nasıl saklanacağı, (kaba kuvvet, ortadaki adam, yan kanal saldırısı, kuantum hesaplama vb.) saldırılara karşı nasıl korunacağı, güvenlik protokollerinin nasıl uygulanacağı, anahtar uzunluğunun nasıl belirleneceği ve insan hatalarının nasıl önleneceği benzeri noktalar da güvenlik sürecinin bir parçasıdır.
Gizlilik ve Güvenlik serimizin sonraki içeriklerinde bu tür kaygılara karşı ne tür önlemler alındığına da daha ayrıntılı bir şekilde göz atacağız.
Sonuç
Kriptografi, verileri yetkisiz erişime karşı koruyarak kullanıcılara, kurumlara ya da devletlere ait hassas verilerin gizli kalmasını sağlar.
Ayrıca kullanılan sistemler sayesinde göndericinin söylediği kişi olduğunu doğrulamak ve mesajın aktarım sırasında değiştirilmesini önlemek de mümkün hale gelir.
Elbette şifrelemenin de çeşitli dezavantajları bulunur. Bu; veri iletimini daha yavaş hale getirmesi, güç tüketimine neden olması ya da ileri düzey teknik kabiliyet ve kaynak gerektirmesi olarak sıralanabilir ancak yararlar o kadar fazladır ki, bu maddeler çoğu durumda göz ardı edilebilir.
İleri Düzey Gizlilik ve Güvenlik Eğitimi Serisi’nin sonraki basamaklarında bu sürecin farklı alanlarını çeşitli yönlerden ele alacağız.
Bu konu hakkındaki görüşlerinizi hemen aşağıda bulunan yorumlar sekmesinden bizlerle ve diğer okurlarımızla paylaşmayı unutmayın!