11 Mayıs 2007 Metin Toyran - Ağ Güvenliği1 Güvenli Bilişim (Trusted Computing) Metin Toyran Elektronik ve Haberleşme Mühendisliği Telekomünikasyon Müh.
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği2 İçerik 1. Giriş 2. Güvenlik Amacıyla Donanımın Yeniden Tasarlanması 2.1 Onay Anahtarı (Endorsement Key) 2.2 Güvenli Giriş-Çıkış (Secure I/O) 2.3 Hafıza Perdeleme (Memory Curtaining) 2.4 Mühürlenmiş Bellek (Sealed Storage) 2.5 Uzaktan Kanıtlama (Remote Attestation) 3. Bazı Güvenilir Bilişim Uygulamaları 4. Güvenilir Bilişim Hakkındaki Tartışmalar
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği3 1. Giriş Yazılım tabanlı saldırıları önlemek, 1999 yılında Compaq, HP, IBM, Intel ve Microsoft TCPA grubunu oluşturdular. Önceleri şifreleme ve anti-virüs yazılımlarıyla sağlanan güvenlik daha kalıcı bir yöntemle sağlanmalıydı. Donanım seviyesinde güvenlik fikri(TPM),
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği4 2. Güvenlik Amacıyla Donanımın Yeniden Tasarlanması – 1 Güvenliği sağlamanın bir çok yolu vardır: İşletim sisteminin yeniden tasarlanması Programlama metodolojisinin değiştirilmesi Ya da doğrudan donanım mimarisinin değiştirilmesi Donanım değiştirilmesi daha uygun ve kullanışlıdır(Güvenilir Bilişim), İki büyük proje vardır: Microsoft NGSCB(Palladium) TCPA TPM
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği5 2. Güvenlik Amacıyla Donanımın Yeniden Tasarlanması – 2 Microsoft TCG’nin üyesidir ve NGSCB işletim sisteminde TCG’nin donanım mimarisini kullanmaktadır. Chip Üreticileri Intel LT(LaGrande Technology) ve AMD SEM(Secure Execution Mode), Bilgisayar Üreticileri IBM, Compaq, Dell, Apple, HP, Açık Kaynak Kod Dünyası -> OPENTC
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği6 2. Güvenlik Amacıyla Donanımın Yeniden Tasarlanması – 3 Yeni donanım mimarisinde eklenen özellikler beş başlıkta toplanabilir: Onay Anahtarı (Endorsement Key) Güvenli Giriş/Çıkış (Secure Input and Output) Hafıza Perdeleme (Memory curtaining / Protected execution) Mühürlenmiş Bellek (Sealed storage) Uzaktan Kanıtlama (Remote attestation)
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği7 2.1 Onay Anahtarı (Endorsement Key) Onay anahtarı 2048 bit RSA gizli ve açık anahtar çiftidir. Gizli anahtar sadece chip içinde bulunur. Açık anahtar chip’e gönderilen önemli verilen şifrelenmesi ve kanıtlama işlemlerinde kullanılır.
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği8 2.2 Güvenli Giriş/Çıkış ( Secure Input and Output) Kullanıcı ile uygulama arasında korumalı bir hattın kurulması, Keylogger’lar ve screen-scrapper’lar,
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği9 2.2 Hafıza Perdeleme (Memory Curtaining) Donanım kontrollü hazıfa izolasyonunu, Perdelenmiş bellek alanlarına erişilemez(işletim sistemi bile), Yazılımla da yapılabilir. Ama donanımla yapmak daha uygundur.
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği Mühürlenmiş Bellek (Sealed Storage) Önemli verilerin yazılım ve donanım bilgisi kullanılarak üretilen anahtar aracılığıyla şifrelenmesidir. Veri sadece o donanımda ve sadece o program tarafından çalıştırılabilir. Lisanssız müzik dinlenemeyecektir. Müzik sadece herhangi bir kullanıcının donanımında ve belirlenmiş lisanslı bir programda çalışır.
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği Uzaktan Kanıtlama (Remote Attestation) – 1 En önemli ve devrim niteliğindeki bir çalışmadır. İşletim sistemimizde kurulu olan uygulamalar üzerinde izinsiz yapılan değişiklikler belirlenir. Uygulamayla ilgili bir sertifika üretilir. Üçüncü şahıslar bu sertifikayla ürünün lisanslı ürün olduğuna karar verir. Sadece gerçek lisanslı programları sistemde düzgün olarak çalıştırılabilir.
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği Uzaktan Kanıtlama (Remote Attestation) – 2 Kimliklerin kanıtlanması için donanım ve yazılım bilgileri gönderilir. İşlem başlamadan önce her sunucu ve istemci bu bilgileri kontrol eder. Lisanssız programa veya değişikliğe uğramış programa (kırılmış, yamanmış) sahip kullanıcılar müziği dinleyemeyeceklerdir.
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği13 3. Bazı Güvenilir Bilişimin Uygulamaları Sabit diskin saldırganın eline geçmesi, Bilgisayar açılırken TPM’den alınan anahtarlar ölçüsünde BIOS’ta, MBR’de, disk sektörlerinde vs. bir dizi doğrulama işlemleri gerçekleşir. Disklerdeki verilere farklı bir bilgisayardan yada farklı bir işletim sisteminden erişilemez. Telif hakları İnternet Uygulamaları (İnteraktif Bankacılık Uygulamaları vs.)
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği14 4. Güvenilir Bilişim Hakkındaki Tartışmalar - 1 Güvenilir bir çalışma ortamı sağlanırken kullanıcının kontrolü ve özgürlüğü kısıtlanır. Bu teknikler güvenliği sağlarken kontrolü kullanıcının isteği dışında üçüncü parti bazı gruplara verir. Bilişim dünyasında güven kavramı farklıdır(bir tip uzlaşma veya bir diğer açıdan bir zayıflıktır ) Kriptografi ile uğraşan Bruce Schneier şöyle diyor: “A 'trusted' computer does not mean a computer that is trustworthy.”.
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği15 4. Güvenilir Bilişim Hakkındaki Tartışmalar - 2 Güvenilir Bilişim’in kullanılıp kullanılmaması konusunda çok ciddi tartışmalar yapılmaktadır. En büyük eleştiri açık kaynak kod dünyasından gelmiştir(Hain Bilişim – Treacherous Computing).
11 Mayıs 2007 Metin Toyran - Ağ Güvenliği16 TEŞEKKÜRLER Sorular ? Ayrıntılı Rapor ve Sunum :