bilgisayar

Şifreleme konusunda karar verilmesi gereken konulardan biri de, nelerin şifrelenecegidir; Sadece bilgi içeren kisimlar mi şifrelenecektir yoksa bunlarin yaninda kaynak ve hedef IP' lerini içeren başlik kisimlari da şifrelenecek midir? Eger sadece veri içeren kisimlar şifrelenirse - Cisco, Cylink ve NEC tarafınfan bu yaklaşım kullanılmaktadır - kaynak ve hedef IP adresleri değişmeden internet ortamına çıkarılacaktır. Bu paketlerden birini ele geçirecek kişi, adres bilgilerini elde edebilecektir. Bu bilgilerin başkaları tarafından ele geçirilmesi sorun yaratmayacakmış gibi gözükse de, bu bilgilerden yararlanılarak, firewall' un diğer tarafında yer alan routerlara veya başka cihazlara ilişkin bilgiler elde edilebilinir. Bu bilgiler de kullanılarak firewall' u kandırmak, sanki şirket içinden bir makineymiş gibi ağa ulaşmak mümkün olabilecektir.

Tüm paketlerin şifrelenmesi durumunda böyle bir olasılık olmayacaktır. Şu an için bu işi yapan bir ürün IP Encapsulating Security Payload (ESP)' dir. Kısaca buradaki yaklaşım; Bir güvenlik aygıtı vasıtasıyla IP adres paketlerine yeni kaynak ve hedef adreslerinin eklenmesidir. Yalnız bu adresler, sadece firewall' ları adreslerler. Dolayısıyla dışarıdan birisinin, firewall' un arkasında yer alan herhangi bir cihaza ilişkin bilgileri elde edebilmesi mümkün değildir. ESP yaklaşımını destekleyen şirketler; Border, Checkpoint, IBM, Raptor, V_One ve Western Datacom' dur.

Fakat bu yaklaşim için de bir problem mevcuttur. IP paketine sürekli yeni adreslerin eklenmesi, bu paketin oldukça fazla büyümesine, hatta müsaade edilen siniri aşmasina sebep olabilecektir. Böyle bir durumda da bu paketi bölmek gerekecektir.Bölmelenmiş paketlerin hedefe ulaştiginda kodlarinin çözülmesi biraz daha zor olacaktir. Ayrica bölünmüş paketler hedefe uygun sirada gelmeyebileceklerinden bunlar da sorunlara sebebiyet verebilecektir.

IP şifrelemesi yukarida bahsedilen sorunu önlerken ayni zamanda çalma (hijacking) olaylarinin da önüne geçecektir. Burada yapilan işlem şudur; Dişaridan aga müdahale etmek isteyen kişi, dügümler arasinda giden paketleri takip ederek, amacina uygun bir dügüme ilişkin bir paket yakalamaya çalişir. Böyle bir paket yakaladiginda da, haberleşen iki dügümün arasina girip, hedef dügüm ile konuşmaya başlar. Hedeflenen dügüm hala daha kendi agindan bir makine ile haberleştigini sanarak, veri aliş - verişini sürdürür. Bu sayede de bu dügüm tarafindan üretilen paketler alinirken, hedef dügüme de kendi kodlarini göndererek, bunlarin burada koşmasi, dolayisiyla buraya zarar verilmesine sebep olunabilir. IP şifrelemesi vasitasiyla, bu sorunlarin da önüne geçilmiş olunur.

Şifreleme mekanizmasi için karar verilmesi gereken bir nokta da, private-key mi yoksa public-key mi kullanilacagidir. (Aslinda public-key ile anlatilan bir public-key ve bir private-key içerir. Karişikligi önlemek ve yöntemleri bir birinden ayirmak için böyle bir isimlendirme yapilmiştir.)

Esas olarak bir anahtar, aktarilacak verinin kodlanmasi ve kodlanmiş verinin çözülmesi için kullanilan bir algoritmadir. Private-key şifreleme yaklaşiminda, her iki işlem için de ayni anahtar kullanilir. Public-key şifreleme yaklaşiminda ise public-key ve private-key birlikte kullanilirlar.

Private-key yaklaşimi kullanilarak geliştirilmiş ürünlerde, ag üzerinde çalişmakta olan herkese bir anahtar verilir. Buradaki önemli nokta, bu anahtarlarin, istenmeyen ellere geçmesine mani olmaktir. Burada da, private-key' lerin kullanıcılara nasıl dağıtılacağı konusu gündeme gelmektedir. Çünkü bu dağıtım işlemi esnasında da anahtarlar istenmeyen ellere geçebilir. Bu iş için e-mail'den yararlanılabileceği gibi ( gerekli güvenlik önlemleri alınmak kaydıyla), telefonla da bu anahtarlar sahiplerine aktarılabilir. Tabi tüm bu işlemler sırasında güvenliğe azami derecede dikkat etmek gerekmektedir.

Şifreleri kişilere atamanın bir başka yolu da, bir sunucu vasıtasıyla dağıtma işlemini yapmaktır. Bu durumda, şifreleri ele geçirmek isteyenlere direkt bir hedef sunulmakta, burada sağlanacak yeterli bir güvenlik mekanizması ile, bu tehlike de önlenebilmektedir.

Private-key yaklaşımı ile ilgili olarak yaşanabilecek bir başka sorun da, ortak kullanılacak bir bilginin karşılıklı olarak paylaşıma açılması esnasında yaşanabilecektir. Bunun için öncelikle private-key' lerin değiş-tokuş edilmesi gerekmektedir. Bunun için e-mail sisteminin kullanıldığını düşünürsek, bu zaman alabilecek,bu gecikmeler de sorunlara sebep olabilecektir.

Public-key yaklaşımında ise, ağ üzerinde yer alan her kullanıcıya iki anahtar atanır : private-key ve public-key. Private-key' ler, yukarıda anlatıldığı gibi kullanıcılara dağıtılır. Burada gizlilik yine esastır. Bütün kullanıcılara ait public-key' ler ise, herkesin erişimine ve kullanimina açiktir.

Bu şekilde her kullaniciya iki ayri anahtar atamanin temel sebebi, private-key ile yaşanan, verilerin karşilikli olarak aktarilmasi esnasinda zorunlu olan, private-key' lerin değiş-tokuşu işleminden kurtulmak, dolayısıyla bunun getirdiği zorlukları bertaraf etmektir. Yöntemin nasıl çalıştığını anlatarak, mekanizmayı daha iyi anlayabiliriz;

Farklı yerlerde bulunan iki kullanıcıdan birinin diğerine bilgi aktarmak istediğini düşünelim. Bu durumda şifrelemede ihtiyaç duyacağı anahtarlar, göndereceği kişinin public-key'i ve kendisinin private-key' idir. Bu iki anahtarı kullanarak şifreleme işlemini yapar ve verileri karşı tarafa gönderir. Şifrelenmiş verileri almış olan kişi ise, şifreyi çözmek için, göndericinin public-key' ini ve kendisinin private-key' ini kullanır. Dolayısıyla bir kişinin public-key' ini bilmek, ancak private-key' ini de bilmekle anlamlıdır, aksi taktirde hiç bir işe yaramaz. Ayrıca bu yöntem private-key' lerin karşilikli aktarilmasini da gerektirmez.

Görüldügü gibi public-key yaklaşimi bize büyük bir avantaj getirmiştir. Ancak bunun da dezavantajlari vardir. Bunlarin başinda da, birbirlerine şifrelenmiş veri gönderecek bilgisayarlarin her defa yürütmeleri gereken el sikişma protokolleri, ilgili anahtarlari kullanarak bilgileri çözme işlemlerinin CPU zamanindan çok fazla almasidir. Bu işlemler, hesap yogunlugu olan işlemler oldugundan sistemi oldukça yavaşlatacak, ag performansinin %20 azalmasina sebep olabilecektir.

Şu an için private-key yaklaşimi ile ilgili olarak üzerinde çalişilan konularin başinda, anahtar degiştirme işlemini otomatik yaparak, zaman kaybini en aza indirmektir.

Sun Microsystems Inc. tarafindan geliştirilmiş olan Skip (Simple Key Exchange Internet Protocol) yaklaşimi ile de, public-key yönteminin getirdigi her seferinde güvenli erişim için el sikişma protokollerinin koşturulmasi ve dolayisiyla işlemciye fazladan yük getirilmesi durumundan kurtulunmaktadir. Bunun yerine yapilan işlem şöyledir; Bir kere güvenli haberleşme oturumu başlayinca, Skip tarafindan bir oturum anahtari oluşturulur. Bu anahtar geçici bir anahtar olup, bu oturum süresince ilgili kaynaktan veri aktarimi için kullanilir.

Skip ilk bakişta gerçekten çok güzel bir yaklaşim olarak gözükmektedir. Ne yazik ki burada da güvenlik açisindan bazi sorunlar vardir, şöyle ki; Oturum anahtari kullanici tarafindan belirlenen bir periyod boyunca geçerlidir. Bu periyod bir saat oldugu gibi, bir kaç gün de olabilir. Anahtar, network ortaminda bir yerde tutuldugundan, buna ulaşacak kişiler, bu anahtarin geçerli oldugu süre zarfinda, istedikleri verilere ulaşabilirler.

Skip yaklaşimindan yola çikilarak, degişik yöntemler geliştirilmiştir. Skip' in güvenlik konusundaki açığını kapatmak ve daha güvenli bir iletişim sağlamak amacıyla Photuris Session Key Management Protocol (PSKMP) geliştirilmiştir. Burada yapılan, bir kere güvenli oturum başlatıldıktan sonra oturum anahtarını sabit tutmamak, bazı rastgele sayılar, haberleşen bilgisayarların IP bilgilerinden oluşan değerlerin bir karışımını kullanarak, her yeni veri transferinde bunların belirlediği bir oturum anahtarını kullanmaktır. Bunun sayesinde de güvenlik Skip' e göre daha iyi bir düzeye getirilmiş olur, hiz olarak da pek çok public-key ürününden daha iyi bir seviyeye ulaşilir.

Ağ yöneticisi şifrelemenin nerede yapılacağına karar verdikten sonra, düşünmesi gereken ikinci şey, şifrelemenin nasıl yapılacağı, hangi tekniğin kullanılacağıdır. Şu an için en iyi bilinen ve en çok kullanılan yöntem Veri Şifreleme Standardı (Data Encryption Standard - DAS)' dır. İlk olarak 1970' lerin başlarinda geliştirilmiş, Amerika Birleşik Devletleri tarafindan 1977' de son hali verilmiştir. Bu teknikte, 64 bitlik text bloklari 56 bitlik anahtarlar kullanilarak şifrelenir. Bu bize trilyonlarca farkli anahtar sunar. Dolayisiyla ilk bakişta çözülmesi imkansiz bir şifre gibi gözükse de aslinda günümüzün güçlü bir makinasi bunu çözebilir. Dolayisiyla yakin bir gelecekte 56 bitlik şifrelemenin yetersiz kalacagini söyleyebiliriz.

Bu yetersizlik karşisinda "üçlü DES" denilen bir teknik geliştirilmiştir. Burada yapilan, yukarida bahsedilen her bir blogun şifrelenmesinde üç ayri anahtarin kullanilmasidir. Bu teknik günümüzde yavaş yavaş kullanilmaya başlanmiştir. Degişik üreticiler, bu teknigi kullanan ürünlerini piyasaya sumuşlardir. Bunlara örnek olarak IBM' in Securenet Gateway 2.1 firewall' unu verebiliriz. NEC, NSC ve Western Datacom da bu tekniği kullanan ürünler piyasaya sürmüşlerdir.

Şifreleme yöntemi olarak DES' ten başka algoritmalar da piyasada bulunmakta ve kullanilmaktadir. Bunlar; Checkpoint tarafindan üretilen FWZ1, IRE tarafindan üretilen Atlas ve IBM tarafindan üretilen Command Masking Data Facility (CMDF) dir. Bunlarin tamami 40 bitlik algoritmalardir. Northern Telecom Ltd. tarafindan geliştirilen CAST, 40 ila 64 bit araliginda degişen uzunlukta anahtar kullanmaktadir.