Tüm çalışma hayatım Bilgi Teknolojileri alanında çok değişik nitelikteki projelerle geçti. Bu projeler içerisinde “Veri Güvenliği” çözümleri önemli bir yer tutar. SSL (Secure Socket Layer) elektronik şifreleme alanında dünya markası bir şirketin SSL sertifikasını tüm dünyada yaygınlaştırma kararını aldığı o dönemlerde, şifresini kırana şirket ana merkezinin önünde duran kırmızı Ferrari otomobili hediye edeceği efsanesi biz bilgisayarcılar arasında oldukça yaygındı. Kırmızı Ferrari’yi alabilen oldu mu bilmiyorum, en azından ben duymadım ama, o günden bugüne teknolojiyle birlikte güvenlik sertifikalı şifreleme çözümleri alanında çok önemli gelişmeler yaşandı.

Şifreleme teknolojisini günlük hayatta neredeyse her alanda kullanıyoruz. Günlük yaşantımızda etkileşimde bulunduğumuz neredeyse her bilgi işlem cihazı elektronik şifreleme kullanır. Peki, şifreleme nasıl çalışır, şifreleme güvenli midir?

Önce elektronik şifrelemenin genel tanıtımına kısa bir giriş yapmakta fayda var.

Elektronik şifreleme nedir?

En temel düzeyde elektronik şifreleme, bilgileri veya anlam kazandırılmış bilgilerden oluşan verileri, yalnızca şifreyi çözme anahtarına sahip olan tarafların erişebileceği şekilde karıştırmak için matematiksel modeller yardımıyla saklamasına yarayan bir kriptografi biçimidir.

Şifreleme, düz metin olarak bilinen normal verileri, şifresini çözmek için özel bir anahtara sahip olmayanlar tarafından okunamayan, görünüşte rastgele karakterler gibi görünen şifreli bir metine dönüştürmek için “şifre” adı verilen oldukça karmaşık bir algoritma kullanır. Öyle ki, şifrelenmiş bu metni okuyan bir yazılım, anahtarı olmadan buradan anlamlı bir sonuç türetemez. Yalnızca anahtara sahip olanlar, rastgele dizilmiş anlamsız karakterler gibi görünen bu metnin şifresini çözerek, onun gerçek halini görüntüleyebilir.

En yaygın kullanılan şifreleme yöntemleri genel anahtarlı (asimetrik) şifreleme ve özel anahtarlı (simetrik) şifrelemedir.

Her iki şifreleme yöntemi de kullanıcıların verileri başkalarından gizlemek için önce şifrelenmesine ve ardından orijinal düz metne erişmek için sağladığı anahtar ile şifresini çözmesine olanak tanır. Ancak, şifreleme ve şifre çözme adımlarını nasıl ele aldıkları konusunda farklılık gösterirler.

Genel anahtarlar geniş çapta dağıtılır ve bir mesajı kilitlemek veya şifrelemek için kullanılır. Özel anahtarlar yalnızca sahibi tarafından bilinir ve mesajın kilidini açmak veya mesajın şifresini çözmek için kullanılır.

Uçtan uca şifrelemede sistem, katılan her kişi için genel ve özel şifreleme anahtarları oluşturur.

Asimetrik şifreleme

Genel anahtar olarak bilinen asimetrik şifreleme, alıcının asimetrik anahtarını ve onunla matematiksel olarak eşleşen bir simetrik anahtar kullanır.

Örneğin:

Diyelim ki Ali ve Ayşe farklı sitemlerde hesaplar oluşturdular. Uçtan uca şifreli sistem, her birine bir genel-özel anahtar çifti sağlar; bu sayede, ortak anahtarları sunucuda ve özel anahtarları kendi cihazlarında saklanır.

Ayşe, Ali’ye şifreli bir mesaj göndermek istediğinde, mesajını şifrelemek için Ali’nin genel anahtarını kullanır. Ardından, Ali mesajı aldığında, Ayşe’den gelen mesajın şifresini çözmek için kendi cihazındaki özel anahtarını kullanır.

Ali yanıt vermek istediğinde, Ayşe’nin genel anahtarını kullanarak mesajını Ayşe’ye şifreleyerek işlemi tekrar eder…

Simetrik şifreleme

Özel Anahtarlı (Private key) veya simetrik şifreleme, anahtarların amacı bakımından asimetrik şifrelemeden farklıdır. İletişim kurmak için yine iki anahtar gereklidir, ancak bu anahtarların ikisi de artık temelde aynıdır.

Örneğin, Ali ve Ayşe yukarıda belirtilen mesajlaşma için anahtarlara sahip olsunlar, ancak bu senaryoda her ikisinin de anahtarları aynı şeyi yapacaklar. Her ikisi de artık mesaj ekleyebilir veya mesajları güncelleyebilir ve/ya silebilirler.

Dijital olarak konuşan Ali, artık bir mesajı şifreleyebildiği gibi yine aynı anahtar ile şifresini de çözebilir. Ayşe de Ali’nin anahtarıyla aynı şeyi yapabilir.

Bu, simetrik şifrelemenin basitleştirilmiş bir anlatımıdır. Çoğu zaman, çevrimiçi siteler ve hizmetler, farklı özellikleri güvence altına almak için hem simetrik hem de asimetrik şifrelemeyi kullanır ve bu süreçte kendi güvenlik katmanlarını oluşturmayı da ihmal etmezler.

Şifrelemenin evrimi ve önemi

Tüm modern şifreleme teknolojilerinin temeli kriptografiye dayanır.

Özetle kriptografi; bir kod oluşturma ve çözmeye çalışma eylemidir. Elektronik şifrelemenin tarihi nispeten yeni olsa da, kriptografi Antik Yunan’a kadar uzanan bir bilim dalıdır.

Antik Yunanlılar, yazılı hassas verileri hem düşmanlarından hem de kendi halkından saklamak için kriptografiyi kullanan ilk toplumdu.

İlkel kriptografi yöntemleri geliştirmede Romalılar da o dönemlerde, “Sezar’ın şifresi” olarak bilinen ve bir harfi alfabedeki başka bir harf yerine değiştirmeyi içeren bir ikame şifre yöntemi ile aynı şeyi yaptılar. Örneğin bu yöntemi Türkçemize uyarladığımızda, anahtar üç sağa kaydırma içeriyorsa, A harfi Ç olur, B harfi D olur vb. Sezar Şifresi, çoğumuzun ilkokul yıllarımızda tanıştığımız ilk kriptografi biçimlerinden biridir.

Bir web sitesinin adresinin “https://” ile başladığını fark ettiyseniz buradaki “s” “secure-güvenli” anlamına gelir ve bu web sitesinin aktarım şifrelemesi kullandığını gösterir. Sanal özel ağlar (VPN’ler), bir cihazdan gelen ve giden verileri meraklı gözlerden gizli tutmak için şifreleme kullanır. 

Veri şifreleme önemlidir, çünkü insanların gizliliğini korumaya yardımcı olur ve verileri saldırganlardan ve diğer siber güvenlik tehditlerinden korur. Şifreleme, sağlık, eğitim, finans ve bankacılık ve perakende gibi kuruluşlar için günümüzde zorunludur.

Şifreleme dört önemli işlevi yerine getirir:

• Gizlilik : Verilerin içeriğini gizli tutar.
• Bütünlük : Mesajın veya verilerin kaynağını doğrular.
• Kimlik doğrulama : Gönderildiğinden beri mesajın veya verilerin içeriğinin değiştirilmediğini doğrular.
• Reddetmeme : Veriyi veya mesajı gönderenin kaynak olduğunu inkar etmesini engeller.

Modern şifreleme teknolojisinden bazı örnekler

Modern şifreleme teknolojisi, şifrelenmiş verileri daha iyi gizlemek için daha gelişmiş algoritmalar ve daha büyük anahtar boyutları kullanır. Anahtar boyutu ne kadar büyük olursa, bir siber saldırının şifreli metnin şifresini başarıyla çözmek için çalıştırması gereken kombinasyonlar o kadar fazla olur.

Anahtar boyutu gelişmeye devam ettikçe, siber saldırı ile şifrelemeyi kırmak için gereken süre o kadar hızla artar.

Örneğin, 56 bitlik bir anahtar ile 64 bitlik bir anahtarın değeri rakamsal olarak yakın görünse de, 64 bitlik anahtarın kırılması 56 bitlik anahtara göre 256 kat daha zordur.

Günümüz modern şifrelemelerin çoğu en az 128 bitlik bir anahtar kullanır, 256 bitlik veya daha büyük anahtarlar kullanılan alanlar da vardır. Bunu rakamlarla anlatmak gerekirse, 128 bitlik bir anahtarı kırmak, 339.000.000.000.000.000.000.000.000.000.000.000 (339 Desilyon) ‘dan fazla olası anahtar kombinasyonunu denemeyi gerektirir.

Şifreleme dilinde sıklıkla kullanılan yanlış adlandırmaların önüne geçmek için bazı açıklamalar yapmak faydalı olacaktır:

• Şifreleme tipi: Şifreleme tipi, şifrelemenin nasıl tamamlandığı ile ilgilidir. Örneğin, asimetrik kriptografi, internetteki en yaygın şifreleme türlerinden biridir.
  
• Şifreleme algoritması: Şifrelemenin gücü dediğimizde, aslen belirli bir şifreleme algoritmasından bahsederiz. Algoritmalar, Triple DES, RSA veya AES gibi isimler alırlar. Şifreleme algoritması adlarına genellikle AES-128 gibi sayısal bir değer eşlik eder. Sayı, şifreleme anahtarı boyutunu ifade eder ve ayrıca algoritmanın gücünü tanımlar. Bunların dışında birkaç şifreleme terimi daha vardır, ancak yazımızın konusu en sık kullanılanlar olduğundan bu detaya girmiyoruz.

Güçleri ve güvenlikleri nedeniyle tercih edilen yaygın şifreleme algoritmalarını aşağıda göreceksiniz.

1. Veri Şifreleme Standardı (DES)

Veri Şifreleme Standardı, orijinal ABD Hükümeti şifreleme standardıdır. Başlangıçta kırılmaz olduğu düşünülüyordu. Ancak bilgi işleme gücündeki artış ve donanım maliyetindeki düşüş, 56 bit şifrelemeyi özellikle hassas veriler için artık geçersiz kıldı.

2. RSA

RSA, ilk açık anahtarlı kriptografik algoritmalardan biridir. Yukarıda açıklanan tek yönlü asimetrik şifreleme işlevini kullanır.

RSA, günümüzde en çok kullanılan şifreleme algoritmasıdır. SSH, OpenPGP, S/MIME ve SSL/TLS dahil olmak üzere birçok protokolün birincil özelliğidir. İnternet tarayıcıları güvensiz ağlar üzerinden güvenli iletişim kurmak için RSA’yı kullanır.

RSA, anahtar uzunluğu nedeniyle günümüzde halen popüler olmaya devam ediyor. Bir RSA anahtarı genellikle 1024 veya 2048 bit uzunluğundadır. Ancak güvenlik uzmanları, 1024-bit RSA’nın kırılmasının çok uzun sürmeyeceğine inanıyor ve bu da çok sayıda devlet ve iş kuruluşunu daha güçlü olan 2048-bit anahtara geçmeye sevk ediyor. İlginçtir, RSA geliştiricileri 1024-bit RSA’nın 2006 ve 2010 yılları arasında kırılacağını düşünmüşlerdi, ancak bu tahminlerin üzerine on yıldan fazla bir süre daha kırılmadan kalabildi.

3. Gelişmiş Şifreleme Standardı (AES)

Gelişmiş Şifreleme Standardı (AES) ABD Hükümetinin güvendiği şifreleme standardıdır.

128, 192 veya 256 bit gibi üç farklı boyutta anahtar üretebilen simetrik bir anahtar algoritmasıdır. Ayrıca, her anahtar boyutu için farklı şifreleme döngüleri vardır. Bir döngü, aldığı metni şifreli metne dönüştürme işlemidir. 128 bit şifrelemede on döngü vardır, yani ilk aldığı ham veriyi birinci döngüde şifreler, ardından ikinci döngüde öncesinde şifrelediği veriyi başka bir kriptografi algoritmasıyla bir daha şifreler ve bu işlemi on kez tekrarlar. 192-bit şifreleme 12, 256-bit şifreleme ise 14 döngüye sahiptir.

AES, şu anda mevcut olan en güçlü şifreleme biçimlerinden biridir . Bir üründe “Askeri Düzeyde Şifreleme” ifadesini görürseniz, bu kesinlikle AES’dir. AES’ye yönelik teorik saldırılar olsa da, şifrenin kırılması çağımızda henüz mümkün olmayan düzeyde bilgi işlem gücü ve veri depolama altyapısı gerektirir. AES şifrelemesinin kuantum çağında nasıl davranacağı henüz görülmediyse de birçok uzman AES-256’nın kuantuma dayanıklı bir şifreleme algoritması olduğuna inanıyor. Göreceğiz! Belki de göremeyeceğiz, çünkü ömrümüz yetmeyecek.

Şifreleme kullanımı güvenli mi?

Bu soruya cevabım net bir şekilde EVET olur. Bir şartla; hangi şifrelemeyi kullandığınıza bağlı.

Modern kriptografik teknolojilerin çoğunu kırmak için harcanan zaman, enerji kullanımı ve hesaplamadaki fayda/maliyet analizinin sonucu, şifrelemeyi anahtar olmadan kırma girişimini pahalı ve nispeten beyhude bir egzersiz haline getirir.

Bunlar işin teknolojik darboğazları. Teknolojinin açmazların dışında kalan güvenlik açıkları veya tehditleri de gözardı edemeyiz:

Arka kapılar (backdoors)

Şifreleme ne kadar güvenli olursa olsun, sisteme dışarıdan sızmak için birisi koda bir arka kapı eklerse veya amacı kötü olmasa da kodlamada yeterli güvenlik kontrolleri sağlanamazsa bu, güvenliği olumsuz etkileyebilir. Şifrelemede arka kapılar, hükümetlerin her zaman dünya çapında sürekli konuştuğu bir konudur, özellikle her terör saldırısından sonra sıcak bir konu haline geliverir.

Özel anahtar yönetimi

Modern anahtar şifrelemesi son derece güvenlidir. Bunun yanısıra, çoğu güvenlik sorununda insan hatası hala en büyük faktördür. Özel anahtarı işlerken yapılan bir yazılımsal hata, onu dış taraflara ifşa ederek şifrelemeyi işe yaramaz hale getirebilir.

Artan hesaplama gücü 

Yukarıda da değindiğimiz gibi, mevcut bilgi işlem gücüyle çoğu modern şifreleme anahtarının kırılması şimdilik mümkün değildir. Bununla birlikte, işlem gücü arttıkça, şifreleme teknolojisinin güvenilir kalabilmesi için bu gelişmelere ayak uydurması gerekir.

Yazılım fidyecileri

Kötü niyetli kişiler bir yöntemle sisteminize erişerek verilerinizi rehin alabilir. Bu kişiler bir nedenle verilerinize erişirlerse, verilerinizi tekrar şifreleyebilir ve sizin bu verilere ulaşımı engelleyebilirler. Verilerinizin serbest bırakılması karşılığında sizden fidye isteyebilirler.

Anahtar yönetimi

Verilerinizi şifreleyen ve şifresini çözen kriptografik anahtarlar güvenli değilse, şifreleme zayıflar. Kötü niyetli kişiler saldırılarında genellikle şifreleme anahtarlarını ele geçirmeye odaklanırlar. Bunun yanısıra, sunucuları tehlikeye atan doğal afet gibi durumlarda şifreleme anahtarlarının kaybedilmesi, kuruluşların önemli verilerine erişmesine engel olabilir. Kuruluşlar bu nedenle, anahtarlarını yönetmek ve güvence altına almak için güvenli bir anahtar yönetim sistemi kullanırlar.

Elektronik şifreleme kullanmalı mıyız?

Bu bizim tek başımıza vereceğimiz bir karar veya seçim olamaz. Çevrimiçi bankacılığı kullandığımızda, WhatsApp kullanırken, e-postalarınızı okuyup gönderirken ve hatta şu an takip ettiğiniz satırları güven içinde okurken bile şifreleme kullanırsınız.

Yukarıdaki soruyu şöyle değiştirmek daha doğru olur, “Şifreleme olmasaydı ne olurdu?”