Şifreleme, insan tarafından okunabilen verileri yani düz metinlerin, anlaşılmaz metinlere dönüştürülmesi işlemidir. Daha basite indirgemek gerekirse, verilerin belirli kural veya kalıplara uygun şekilde rastgele hale getirilerek anlaşılmaz bir bütün oluşturması durumudur. Verilerin kriptolanması veya kriptolu bilgi olarak da bilinir. Yeterince rastgele hale gelen verilerin çalınması durumunda veriyi tekrar okunaklı bir forma dönüştürecek kural veya kalıplar bilinmediği sürece yani şifrelemeyi yapan anahtara sahip olmadıkça veriler eski haline dönüştürlemez ve böylelikle okunamaz. Şifreleme, veri bütünlüğünü korur. Kriptografi, matematiksel yöntemler bütünüdür ve önemli bilgilerin güvenliği için gerekli gizliliği sağlar.
Günümüzde internetin varlığı ile birlikte kişisel veya kurumsal verilerin kritiklik oranı artmış ve her tür bilgiye verilen değer önem kazanmıştır. Bilgi gücün kaynağı haline gelmiştir. Elde edilen tüm kişisel bilgiler reklam ve pazarlama için satılabilir durumdadır. Bu noktada kişi veya kurumların gizli bilgilerinin üçüncü kişiler tarafından ele geçirilmemesi beklenir. Kişi veya kurumun güvenliğini sağlamak için birbirinden farklı türden teknolojiler gelişmiş ve gelişmeye devam etmektedir. Veri şifreleme de iletişimin anlaşılırlığının sadece alıcı ve verici arasında gizli kalması için oluşturulmuş önemli yöntemlerden biridir.
Şifreleme, sadece dijital verilerin değil, yazılı basılı ve hatta sözlü olacak şekilde tüm iletişim türlerinin belirli uygulamalar ile anlaşılmaz hale getirilmesi ile uygulanabilir. İlk şifreleme yönteminin 4000 yıl önce önce yaşamış olan Mısırlı bir kâtip tarafından keşfedildiği bilinmektedir. İlk kriptolog olarak tarihe geçmiştir. Veri şifreleme işlemleri, Nazi Almanyası’nın II. Dünya Savaşı sırasında yazılı askeri haberleşmeyi anlaşılmaz hale getirmek için kullandığı Enigma makinesi ile yaygınlaşmıştır. Mekanik yapıda çalışan rotasyonel şifre makinesinin en önemli özelliği, birkaç rotor’un bir araya getirilmesiyle birlikte şifrelemenin dinamik olarak değiştirilmesi yöntemiyle çalışır. 1970’lere kadar şifreleme işlemleri daima simetrik olarak uygulanmıştır. Bir kural seti veya uygulama ile veriler şifrelenir ve aynı kural seti veya uygulama tekrar şifrelenen veriyi çözer. Bu nedenle simetrik kriptografi, özel anahtarlı şifreleme olarak da bilinir. Çünkü tek bir özel anahtar, hem kriptolama hem de kripto çözme işlemleri için kullanır.
Verileri şifrelemek amacıyla fiziksel tek bir anahtarın birbirine yakın konumlarda kullanımı anlaşılabilir bir durumdur. Ancak farklı bir ülkede veya kıtadaki kaynak ile hedef arasında iletişim kurulması gerekiyorsa veya anahtarın kaybolma olasılığı göz önünde bulunuyorsa, veri güvenliğinin ihlal edilmemesi için birden fazla ve farklı türden anahtarların kullanılması gerekir. Anahtar, şifreleme işleminin uygulanmasını sağlayan yöntemdir. Rastgele, öngörülemeyen karakterlerden oluşan uzun bir dizi ile açık metinlerin şifrelenmesini sağlar.
İletişimde verinin kriptolanması ve bu kriptonun çözülmesi için aynı anahtar kullanılıyorsa SİMETRİK şifreleme olarak tanımlanır. Basit çalışma yapısı sayesinde ağ veya CPU kaynakları üzerinde çok fazla işleme sebep olmaz ve böylece daha hızlı çalışır. Eğer verinin kriptolanması için ayrı anahtar ve bu kriptonun çözülmesi için farklı anahtar veya anahtar setleri kullanılıyor ise ASİMETRİK şifreleme olarak tanımlanır. Simetrik şifrelemede kullanılan anahtar Private Key olarak tanımlanır. Asimetrik şifrelemede ise veriyi kriptolu hale getiren anahtar Public Key, kriptolanmış verinin kriptosunu çözmek için kullanılan anahtar Private Key olarak tanımlanır. Verinin güvenli taşınabilmesi için asimetrik şifreleme daima tercih edilmelidir. Bu noktada Public Key çalışma yapısı internetin yani dijital güvenliğin kurulmasının temelini oluşturur.
Asimetrik şifrelemede kullanılan anahtarlar birbirinden ayrı ama matematiksel olarak birbiriyle ilişkilidir. Bunun nedeni, genel anahtarı özel olana bağlayan asimetrik bir algoritma kullanılarak oluşturulmuş olmalarıdır. Asimetrik şifreleme saldırıları ve veri sızıntılarını veya veri hırsızlığıni engellemez ancak şifrelenmemiş yani açık ve düz metin şeklinde iletilecek olan verilerin okumasını ve erişilmesini engeller.
Simetrik ve Asimetrik şifreleme arasında beş temel fark bulunur. Bunlar;
- Simetrik şifrelemede tek anahtar kullanılırken, asimetrik üzerinde iki farklı anahtar kullanılır.
- Simetrik şifreleme olukça basit bir tekniktir ve bu sebeple şifreleme işlemi daha hızlı bir şekilde gerçekleşir. Ancak asimetrik şifreleme daha karmaşık bir yapıya sahiptir ve şifreleme işlemleri bu sebeple daha uzun sürmektedir.
- Simetrik şifrelemede anahtarların uzunluğu, güvenlik gereksinimine göre tipik olarak 128 veya 256 bittir. Ancak asimetrik şifrelemede önerilen RSA anahtar boyutu 2048 bit veya daha yüksektir.
- Simetrik şifreleme genellikle iletişimin yoğun olduğu ve büyük veri paketlerinin iletilmesi gerektiğinde kullanılır. Asimetrik şifreleme ise veri aktarımından önce güvenli iletişim kanalını oluştururken kimlik doğrulayarak, güvenli iletişim hattını kurmak için kullanılır.
- Simetrik şifrelemede anahtar tek olduğu için ortak anahtar kullanıcı ve sunucu için karşılıklı olarak paylaşılır. Bu durum mevcut güvenlik risklerini arttırır. Ancak asimetrik şifrelemede hiçbir anahtar paylaşılmaz ve uygulanan işlemler bütünü, simetrik şifrelemeye kıyasla daha gizli ve güvenlidir.
Public Key, karmaşık asimetrik şifreleme algoritmaları kullanılarak oluşturulur. Karmaşıklığı ve uzunluğu sahip olduğu algoritmaya bağlı değişkenlik gösterir, anahtar boyutu 128 bit ile 4096 bit arasında değişir. Bu sebeple veriler bir Public Key kullanılarak şifrelendiğinde, şifreli metindeki verilerin orijinal içeriği yorumlanamaz ve tahmin edilemez ya da kilidi açmak için aynı anahtar kullanılamaz. Public Key ile kilitlenmiş olan bu kilit ancak Private Key tarafından açılabilir. Her Public Key’e karşılık gelen bir Private Key bulunur.
Public Key ve Private Key birbirinden farklı şekillerde hesaplanır. Böylece şifrelenen verilerin şifre çözücüsü olarak, decrypter olarak çalışır. Şifrelemeyi ve şifre çözmeyi sağlayan anahtarlar özeldir. Bu sebeple anahtarların güvenli bir paylaşım alanında tutulması ve bu alanın bilinmesi, unutulmaması gerekir. Eğer Private Key kaybolursa kriptolu veriler eski haline dönüştürülemez ve okunamaz.Sertifikanın yeniden düzenlenmesi gerekir. Güçlü bir rastgelelik ile üretildiğinden, karşılık gelen Public Key tarafından bir Private Key üretmek imkansızdır. Yani, Private Key asla Public Key üzerinden türetilemez. Bu duruma avantaj sağlayan bir etmen ise modern bir süper bilgisayarın bile Brute Force saldırısıyla bir Private Key kırması ve şifreli veriye ulaşması neredeyse binlerce yıl alır. Her bir Public Key ve Private Key ikilisi eşsiz ikili olarak üretilir.
Aynı şekilde, SSL/TLS sertifikası, bir tarayıcı ile web sitesinin sunucusu arasındaki veri aktarımını ortak anahtar şifrelemesi kullanarak korur. Web sitesi sahibi, web sitesine bir SSL sertifikası yükler ve bu sertifika için benzersiz oluşturulan Public Key ve Private Key ikilisine güvenir. SSL/TLS sertifikaları kullanan milyonlarca site mevcut ancak hiçbiri aynı anahtar çiftine sahip değildir. Web erişimlerinde kullanılan SSL/TLS anahtarları asmiterik kanal üzerinden, simetrik şifreleme yöntemi ile üretilir ve kullanılır. Bu sebeple Private Key olmadan hiçbir davetsiz misafir ilgili özel oturum alanlarına erişemez.
Güvenli bir kanal oluşturmak için browser üzerinde kriptografik süreçler uygulanır. Bu durum bağlanılan cihaz üzerinden web sitesinin sunucusuna aktarılan verilerin korunmasına yardımcı olur. Bazı özel teknoloji veya uygulamalar sayesinde asimetrik şifrelemenin avantajlarından biri olan güvenli iletişim hattı ve simetrik şifrelemenin avantajı olan şifrelenmiş hızlı iletişimi bir arada kullanmak mümkün. Örneğin SSL/TLS sertifikaları, Chrome, Firefox gibi web tarayıcıları ile bağlantı kurulmaya çalışılan sunucu arasındaki iletişim kanalını şifrelemek için kullanılır. SSL/TLS sertifikası kullanılarak web sitesinin bulunduğu sunucunun dijital kimliği doğrulanır. Böylece kullanıcının doğru adrese HTTPS üzerinden güvenli iletişim kanalı yoluyla bağlanması sağlanır. Bu aşamada asimetrik şifreleme kullanılarak oluşturulan ve daha sonrasında aynı kanal üzerindeki iletişimi sürdürmeye yarayacak olan iletişim kanalı, simetrik şifrelemeye geçiş yapan bir oturuma dönüşerek kullanıcıya sunulur. Asimetrik şifreleme ile oluşturulan güvenli kanal içerisinden, simetrik şifreleme ile iletişim kurulur.
Bu aşamada uygulanan el sıkışmalarında bir dizi adım olsa bile tüm şifreleme işlemleri sadece birkaç milisaniye sürer. El sıkışması işlemi, istemci ve sunucu arasında üç yönlü olarak gerçekleşir. Bu el sıkışmasını takip eden bir SSL/TLS işlemi uygulanır ve ardından desteklenen şifreleme algoritmasına ait prosedür veya uygulama (örneğin RSA, MD5, SHA, AES, Diffie-Hellman vb.) belirtilir. Tüm bu süreç sunucu tarafından istemciye gönderilen bir “hello” paketi ile başlar. Oturumun kurulması, hem istemci hem de sunucu tarafından desteklenen en yüksek şifreleme algoritması baz alınarak kararlaştırılır. Sunucudan gelen “Hello” mesajı ile istemci almış olduğu Public Key verisini tutan sunucunun dijital sertifikasını alır ve sunucu sertifikasının geçerliliğini doğrular. Simetrik şifrelemeye göre Public Key hesaplamaları yapılır ve hem sunucu hem de istemci birbirine şifreli mesaj gönderir. Böylece iletişimin güvenli bir şifreli kanal üzerinden simetrik anahtarlar kullanılarak yapılması sağlanır.
Uygulanan şifreleme sayesinde iletişim kanalı üzerindeki verilerin üçüncü şahıslar tarafından keşfedilemeyeceği, kurcalanmayacağı veya ele geçirilse bile okunur ve anlamlı hale getirilemeyeceği bilinir. Ayrıca, veri bütünlüğünün korunmasına ve kimlik doğrulamasının etkinleştirilmesine yardımcı olmak için diğer kriptografik işlev türleri ve karma şifreler ile birlikte dijital imza algoritmalarını kullanır.
Kimlik doğrulama, web site erişimleri, e-ticaret veya dijital imza gibi güvenilir süreçlerin tamamında verileri kayıt altında tutarken şifrelemek için Public Key ve Private Key kullanılır. Peki dijital imza nedir? Dijital imza, iletişim kuracak cihazın veya işletim sisteminin bir e-postayı, yürütülebilir yazılımı veya başka bir veri parçasını gerçek olup olmadığını (yani izinsiz giren bir kişiden değil, yasal taraftan gelip gelmediğini) belirlemek için tanımlamasını sağlayan teknolojidir.
Özetlemek gerekirse, simetrik veya asimetrik şifreleme yöntemlerinin ikisi de kullanım alanı ve çalışma yapısına göre değişkenlik gösterir. Birbirleri ile kıyaslamak veya hangisi daha iyidir gibi bir konuyu tartışmak sonuca varmayacaktır. Her ikisi de değişen matematiksel yapılara dayanarak son derece farklı olsa da farklı senaryolar üzerinde farklı uygulamalar ile verimli bir şekilde kullanılabilir.
Signal, Telegram veya WhatsApp gibi mesajlaşma uygulamaları, şifreli iletişim kanalını başlatmak için asimetrik şifrelemenin uygulandığı uçtan uca şifreleme yöntemini kullanır ve konuşmanın geri kalanı simetrik şifrelemeye dönüştürülerek ilerler. Bu sebeple asimetrik şifrelenmiş iletişim kanalı her yenilendiğinde Whatsapp mesaj kutunuzda ” Bu kullanıcı ile aranızdaki şifreler değiştirildi. ” uyarısı görüntülenir. Ancak hangi yöntem kullanılırsa kullanılsın, bu şifrelerin asimetrik veya simetrik farketmeksizin Whatsapp tarafından üretilerek iki nokta arasına paylaşılması, anahtarların klonlanmadığı anlamına gelmez. Size bir çift anahtarı kilidi ile teslim eden bir çilingirin, sizden habersiz kendisine anahtarın bir kopyasını alarak yarın hırsızlık yapmayacağını bilemezsiniz. Bu sebeple güvenliğin ilk noktası, kullanıcıda başlar. Güvenle ve sağlıkla kalın.
Geçmişe dönük kripto makineleri incelemek için:
https://wondersandmarvels.com/category/cryptography-vanderbilt
