e- tic@ret güvenliği e-commerce security Oğuzhan TAŞ

Güvenlik (Security) Gizlilik (Confidentiality) Bütünlük (Integrity) Yetki Kimlik Kanıtlama (Authentication) İnkar edememe (Non- Repudation)

Kriptoloji (cryptology) Kriptografi (cryptography) Mesajları matematiksel yöntemler kullanarak gizleme ve koruma sanatına kriptografi denir. Şifreyi kırma veya görünüşünü değiştirme sanatına ve bilimine kriptoanaliz denir. Şifrelenmiş bir mesajın anahtarsız olarak düz metnini elde etmektir. Kriptoloji ise kriptografi ve kriptoanalizin birleşerek oluşturduğu bir daldır. Kriptoloji (cryptology) Kriptoanaliz (cryptanalysis) Kriptografi (cryptography)

Klasik Kriptografi Basit Yerine Koyarak Şifreleme Orijinal metnin bir karakteri -şifreli metnin bir karaktere denktir. SEZAR şifreleme, ROT13 vb. Homofonik Yerine Koyarak Şifreleme Orijinal metnin bir karakteri, şifreli metindeki bir veya daha fazla karaktere denktir. Polyalfabetik Yerine Koyarak Şifreleme Çoklu basit yerine koyarak şifrelemeden oluşmuştur. Polygram Yerine Koyarak Şifreleme Orijinal metindeki karakter Grubu şifreli metindeki karakter grubuna karşı gelecek şekilde oluşturulmuştur. Yerini Değiştirerek (Transpozisyon) Şifreleme Karakterler yatay yazılıp, dikey okunur veya tersi yapılır.

Eski Şifreleme Makinaları Thomas Jefferson Silindiri 36 silindir 36! ENIGMA

Rotor Şifreleme Her bir rotorda alfabenin bir harfine karşılık farklı bir harf karşı gelir. Her bir rotor 26 pozisyona sahiptir. 1. Rotor ‘A’ ya karşı ‘E’, 2. Rotorda ‘E’ ye karşı ‘J’, 3. Rotorda ‘J’ ye karşı ‘P’ vb. Rotor sayısı arttıkça güvenli artar. Üç rotor için 26x26x26=17,576 durum vardır. Almanlar tarafından ENIGMA makinesi II.Dünya Savaşında kullanılmıştır.

Simetrik Anahtar Şifreleme Secret Key Encryption) Orijinal metin (Plaintext) Orijinal Metin (Plaintext) ŞİFRELİ METİN (Ciphertext) ŞİFRELEME (Encryption) A DEŞİFRELEME (Decryption) B Orijinal Metin ŞİFRELİ METİN DEŞİFRELEME (Decryption) A ŞİFRELEME (Encryption) B Orijinal Metin

Simetrik Anahtar Şifreleme Tek anahtar şifreleme (One-key) Simetrik anahtar (symmetric key) Saklı anahtar (Secret key) Şifreleme ve şifre çözme çok hızlıdır. Anahtar dağıtım sorunu vardır. İnternette görüşen iki kişinin aynı anahtarı kullanması nasıl sağlanacak?

Asimetrik (Genel Anahtar) Şifreleme B’nin Genel Anahtarı (Public Key) B’nin Özel Anahtarı (Private Key) Orijinal metin (Plaintext) Orijinal Metin (Plaintext) ŞİFRELİ METİN (Ciphertext) ŞİFRELEME (Encryption) A DEŞİFRELEME (Decryption) B

Oturum Anahtarı (One-time key) ile Şifreleme B’nin Genel (Public) Anahtarı ŞİFRELİ Oturum Anahtarı Oturum Anahtarı (Session Key) ŞİFRELEME A jdhjfdhhj ŞİFRELEME A Orijinal metin ŞİFRELİ METİN Şifreli Metin

Oturum Anahtarı ile Çözme B’ninÖzel Anahtarı Oturum Anahtarı Jdhjfdhhj,xfdh Jdhjfdhhj,xfdh Şifreli Metin Orijinal Metin Şifreli Metin

Sayısal İmzalama akmsnjcxncvddfjXkdfjkdjdkfjkdaLSKA İmzalayanın Özel Anahtarı Sayısal İmza Hash Fonksiyonu akmsnjcxncvddfjXkdfjkdjdkfjkdaLSKA Mesaj Özütü Mesaj

Sayısal İmza Kontrolü İmzalanmış Mesaj Özüt Hash Fonksiyonıu Özütler eşitse imza doğrudur akmsnjcxncvddfjXkdfjkdjdkfjkdaLSKA Şifrelenen Özüt İmzalayanın Genel Anahtarı Çözülen Özüt

Özel anahtar (Private Key) Hash Fonksiyonları Girilen metin uzunluğu ne olursa olsun sabit uzunlukta bir çıktı üretirler. Hash fonksiyonları tek yönlüdür. Yani sabit uzunluktaki çıktıdan, girilen metni elde etmek mümkün değildir. MD5 (128 bit) SHA-1(160 bit) RIPEMD(160 bit) hash Özel anahtar (Private Key) İmza (sign)

Sertifikalar, Sertifika Otoriteleri (SO) - Genel anahtar - Sertifika bilgisi ( “kimlik”, isim, kullanıcı ID vb.) - Bir veya daha fazla sayısal imza. Güvenilir üçüncü kişi konumundadırlar. Kişinin kimliği ile açık anahtarı arasındaki ilşkiyi doğrularlar.

Sertifikalanan varlık Sertifikalar Sertifikalanan varlık Sertifika Otoritesi Oğuzhan Taş Oğuzhan Taşi Oğuzhan Taşi Doğrulayıcı

Sertifikasyon İşlemi Sayısal sertifika için SO (CA)’ya müracaat. SO’nun kişinin kimliğini ve dağıtılan sayısal sertifikayı doğrulaması. SO’nun sertifikayı on-line kataloglarda yayınlaması. Gönderici özel anahtarla imzalar ve 2. Kuruma göndermesi. Alıcı kurum genel anahtarla doğrulaması. SO deposundan sayısal sertifika sorgulamayı istemesi. Depodan gönderen sertifikası hakkında rapor gelmesi.

Sertifikasyon İşlemi 3 2 5 6 4 1 Gönderen (SO’ya kayıtlı) Alıcı Kurum DEPO 3 SO (Sertifika Otoritesi) 2 1 5 6 Gönderen (SO’ya kayıtlı) Alıcı Kurum 4

Sertifikasyon İşlemi Sertifika Otoritesi Güvenli Dağıtım Oğuz Oğuzhan Genel Anahtar & Güven Belgesi SO Oğuz Oğuz’un güven Belgesi + SO İmza SO Hash fonksiyonu Oğuz Güvenli Dağıtım SO kullanıcı güven belgesi, genel anahtar ve diğer özellikleri imzalar

PGP Sertifika Formatı PGP versiyon numarası Sertifika sahibinin genel anahtarı. (RSA,DSA,DH algoritm.) Sertifika sahibinin bilgileri. (kimlik bilgileri;adı, user ID, fotovb.) Sertifika sahibinin sayısal imzası. Sertifikanın geçerlilik süresi. Anahtar için önerilen simetrik şifreleme algoritması. CAST, IDEA veya Tripple DES.

X.509 Sertifika Formatı X.509 versiyon numarası. Sertifika sahibinin genel anahtarı. Sertifika Seri Numarası. Sertifika sahibinin benzersiz kimliği. (veya DN). Bir DN birçok alt koldan oluşur; CN (Genel isim) =Oğuzhan Taş veya Bob Allen gibi. OU (Organizasyonel Birim)Total Network Security Division gibi. O (organizasyon) = Network Associates Inc. C (ülke) = US veya TR gibi. Sertifika Geçerlilik Periyodu. Sertifika sağlayıcısının benzersiz adı Sağlayıcının sayısal imzası. Algoritma tanımlamayıcı imzası.

Açık Anahtar Altyapısı (AAA) (Public Key Infrastructure-PKI) Açık Anahtar acaba sahibine ait mi? Büyük gruplara genel anahtar nasıl dağıtılacak? SO’lar arasında iletişim nasıl sağlanacak? Güvenli transfer nasıl olacak.? E-mail, dosya transferi, uzaktan erişim vb. için.

X509 Sertifika Yapısı (Hiyerarşik Yapı) Kök SO Diğer SO’lar Alt seviye SO’lar Son Kullanıcı Örnek: PEM (Privacy Enhanced Mail) (Güvenli ve doğru e-mail transferi)

X.509 Son kullanıcı- SO ayrımı vardır. 3-7 safhalı üç ağaç hiyerarşisi vardır. Çapraz sertifikalar aracılığı ile seçimsel SO ağları biçimlenebilir. (PEM’e uygulanamaz) PKIX = Public Key Infrastructure for X.509, S-MIME (Security Multipurpose Mail Extensions PKIX) altyapısındadır.

Kaotik Yapı Örnek : PGP (Pretty Good Privacy)

Çapraz Sertifikalar SO’lar Son Kullanıcılar

Çapraz Sertifikalar SO’lar Son Kullanıcılar Çapraz Sertifikalar NOT: Son kullanıcı için en kısa yolun bulunmasını sağlar.

Hibrid AAA Örnek : ICE-TEL

Sertifika Yolu (1)

Sertifika Yolu (2) - Doğrulayıcı ilk SO’nun genel anahtarını bilmek zorundadır. - Diğer genel anahtarlar birer birer doğulanır. - Yoldaki tüm SO’lar doğrulayıcıya güvenmek zorundadır.

AAA(PKI) Uygulama Alanları Müşterilerin, işverenlerin, çalışanların e-posta alış-verişlerinde. Uzak dağıtık veritabanları ve intranetlere erişimde. Elektronik formlarda, örneğin sipariş faturalarında. Elektronik ticaretin içerdiği elektronik veri alış-verişi ve finansal işlemlerde. Masaüstündeki dosya ve dizinlerin korunup, güvenliğinin sağlanmasında. Elektronik çeklerde. Sayısal evraklar, kira kontratları, borç senetleri vs. Elektronik zaman kartlarında. Vergi formlarında, İş tabanlı otomasyonlarda, (imza gereken evraklarda).

Sertifika Dizin Servisleri -X.500 - Dağıtık dizin servisi. - Nesne Sınıfları,ülke,organizasyon,org.birim ve kişi. - Ağın kendi kendine düzenlenebilir olmasını sağlar. - Güvenlik, özdeşlik, gizlilik gerçekleşmesi. -X.509, X500 dizin servisinin bir parçasıdır. - X.509 Sertifika İptal Listesi (CRL) için bir sintaks tanımlar.

Dizin Servisleri LDAP LDAP (Lightweight Directory Access Protocol) - İlk başlarda PC (istemci)’lerin X.500 dizin servisine erişimi için... - Dizin bilgilerini yönetmek ve düzenlemek için bir istemci sunucu protokolü belirtir. - X.509 güvenliği. - Düşük maliyetlidir.

İçiçe Sertifikalar (Nested Certificates)-Phd Thesis of Albert Levi Alt sertifikalar üzerinden imza bütünlük ve doğruluğunun garanti edilmesinde kullanılır. Klasik sertifikalar açık anahtarı, içiçe sertifikalar alt sertifikayı doğrularlar. Alt sertifikalar klasik veya içiçe olabilir. İçiçe Sertifika Otoritesi (NCA veya İSO)’nin sayısal imzasıyla nested sertifika dağıtılır. Doğrulanacak alt sertifikanın içeriği CA ve NCA tarafından imzalanmış olmalıdır. (1) Doğrulanacak alt sertifikanın içeriği değişmemiş olmalı. (2)

İçiçe Sertifikalar (Nested Certificates) Sertifika İçeriği İçiçe Sertifika Alt sertifika Diğer Sertifika Alanları Sertifika İçeriği HASH Alt sertifika içeriğinin Hash’i 2 İMZA (CA veya NCA tarafından imzalanmış) Alt sertifika İmzası Kopyalama İMZA (NCA tarafındandan onaylanmış) 1 Sertifika Yayımlama İçiçe sertifikanın NCA’sı

İçiçe Sertifikaları Özellikleri Zaman bakımından verimli. Klasikler çok zaman alıyor. İçiçe sertifikalarla 160.000 kullanıcı için 2.5 zaman, klasikte 3.85 zaman alıyor. NPKI (Nested PKI) etkili ve verimli bir sertifika yolu tanımlıyor. Yol bir klasik sertifika ile başlamalı.

SSL (Secure Socket Layer) (Güvenli Yuvalar Katmanı) Hizmet biriminden istemciye kimlik kontrolü yapılır. İstemci ile hizmet biriminin kriptografik algoritma ve şifre seçmesine izin verir. İstemciden hizmet birimine seçimsel olarak kimlik kontrolü yapılır. Paylaşım sırlarının oluşturulmasında public key şifreleme tekniği kullanılır. Şifrelenmiş bir SSL bağlantısı kurulur.

SSL İşleyişi 4 2 3 1 Müşteri On-line Satıcı Satıcı Bankası Müşteri Bankası Satıcı Bankası

SSL ve TLS (Transport Layer Security) HTTP FTP SMTP SSL/TLS TCP IP

SSL (Güvenli Yuvalar Katmanı) - Sertifika bazlıdır fakat AAA yoktur. - Sertifika gözatıcılara saklanmıştır. - Gözatıcı şirketine (Microsoft, Nestcape) güven sözkonusudur. SSL (Secure Socket Layer) ve S-HTTP (Secure HTTP )

SSL tarafından tanınan Algoritmalar RSA (İmzalama, Şifreleme -Genel Anahtar) DES (Şifreleme - simetrik anahtar - 56 Bit key-64 bit blok) DSA (İmzalama) IDEA (Simetrik anahtar, 128 bit key,64 bit blok) KEA, RSA (Anahtar değiş-tokuşu) MD5 (Mesaj Özütü-128 bit) SHA-1 (Mesaj Özütü-168 bit) RC2,RC4,RC5 (Simetrik-Değişken key, blok) SKIPJACK (Simetrik anahtar -80 bit key- 64 bit blok-Clipper Çipi) Triple DES (168 bit key)

SET (Secure Electronic Transaction) Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC, Terisa Systems ve Verisign Taraflar: Müşteri, Üye, Banka Kredi kartı İnternet ortamında kullanılmaz. Yerine Banka sertifikası kullanılır. Kredi kartının SET uyumlu olması. Sanal Cüzdan Programı. (S.c.p) Kredi kartını S.C.p’ye tanıtılması.

SET (Secure Electronic Transaction) Sanal Mağaza için gerekenler - V POS (Point of Sale) - Sayısal Sertifika İlişki Müşteri sanal cüzdanı ile mağazanın V-pos yazılımı. X.509 tabanlıdır (PEM gibi)

SET İşleyişi 7 4 6 3 5 2 Müşteri 1 On-line Satıcı Satıcı Bankası Hesaba Geç Sipariş 4 Ürün sevkedildi Müşteri Bankası 6 On-line Satıcı Kredi 3 5 Onay Satıcı Bankası 2 Ödeme Tutarı Onay Sorgusu

SET SET HTTP FTP SMTP TCP IP

S-HTTP (Secure HTTP) Herhangibir açıklama yok. Fonksiyonel Özellikleri İletişim Gizliliği, kimlik-yetki tanımlama,bütünlük, inkar edememe Özellikleri Esneklik, Çoklu anahtar yönetimi teknikleri, çoğul güven modelleri, birçok algoritmayı destekleme, çoğul modu destekleme, kapsülleme formatları.

S-HTTP (Secure HTTP) S-HTTP TCP IP

S-HTTP Katmanı Yeni “SECURE” http tipi. s-http modları: imza,gerçekleme,şifreleme, s-http message: istek/durum katmanı başlık kapsüllenen içerik. Diğer s-http mesajı bir http mesajı veri (data)

Sorular ??? İletişim: otas@boun.edu.tr, oguzhantas@gmail.com http://www.cmpe.boun.edu.tr/~otas/