KRİPTOLOJİ
Kriptoji, basit bir deyimle
tanımlanacak olursa şifre bilimi demektir. Yunanca “kriptos” ve “graphi”
kelimelerinden türetilmiştir. Daha genel bir tanımla kriptoloji, belirli
bilgilerin saklanması, gizlenmesi ve gizliliğinin korunması temeline dayanan
bilim dalıdır.
Günümüz dünyasında bilgi kavramı
çok farklı bir anlam kazanmış durumdadır. Siyasi, ekonomi, askeri ve sağlık
alanlarında dünya dengelerini değiştirecek bilgilerin varlığını düşünürsek bu
bilgilerin korunması da büyük önem taşımaktadır. Bu önem paralelinde, ilk
başlarda sabit şekilde yapılan şifreleme işlemleri gün geçtikçe daha sistematik
algoritmalara ve matematik işlemlerine dönüşmüştür.
İlk kriptoloji örneği
olarak M.Ö 1900 yılında Mısır’da kullanılan hiyeroglif işaretleri verilmektedir.
Geçirdiği birçok değişim ve gelişimden sonra II. Dünya Savaşı’nda dengeleri
bozan en önemli etkenlerden olan “Enigma” ve benzeri elektronikler
kriptolojinin doruk temsilcilerindendir.
Kriptoloji, sadece kelime
anlamlarının ve temel bilinen metin şifrelemenin yanında, çözülmesi zor
matematiksel problemleri ve mekanizmaları geliştiren ve şifre yazma anlamına
gelen “kriptografi”yi ve bu problemleri ve mekanizmaları çözmeyi hedefleyen
şifre çözme anlamına gelen “kriptoanaliz”i de içerir.
TÜRKİYE’DE
KRİPTOLOJİ UYGULAMARI
II. Dünya Savaşı’ndan sonra
haberleşme sisteminin önemi daha da artmış ve bu haberleşmede en önemli unsurun
güvenlik olduğu anlaşılmıştır. Bu güvenliği sağlama adına kriptoloji bilimi de
tüm dünyada gelişme kaydetmiştir.
Türkiye’de askeri kurumlar,
yakın zamana kadar dış kaynaklardan temin edilen kripto cihazlarını temin
etmekteydi. Ancak dışarıdan temin edilen bu cihazların güvenliği yeteri kadar
sağlamadığı görüşü, zamanla prensip haline gelerek TSK ve TÜBiTAK’ın ortak
çalışmalarına zemin hazırlamıştır. Ancak Türkiye’de kripto cihazı üretmek için
gerekli bilgi, beceri ve altyapı mevcut değildi. Dışarıdan alınan cihazlara çok
para ödemekle kalınmayıp bunları elde edebilmek için uzun süre beklemek de
gerekmekteydi çünkü bu cihazların yapılması ve satılması da resmi makamların
onayını gerektiren bir durumdu.
Bütün bu maddi sorunların
yanında, güvenliği sağlamak adına yapılacak çalışmaların ulusal olması fikri
ile Türkiye’de kripto çalışmaları başlamıştır.
İlk kripto çalışmaları,
1974 yılında Marmara Araştırma Enstitüsü bünyesindeki Elektronik Araştırma
Ünitesi’nde başlatılmıştır[1]. EAÜ, UEKAE’nin başlangıç noktasıdır.
TSK’nin da katkılarıyla 23
Kasım 1976’da Türkiye’de ilk defa ulusal on-line kripto cihazının prototipinin
üretilmesine başlanmıştır[1]. Bu prototip, 1978 Şubat’ında bitmiş ve ismi de
MİLON-I yani “Milli On-Line Kripto Cihazı” olarak belirtilmiştir. MİLON-I
serisi TSK’nin ihtiyaçları doğrultusunda MİLON-VII serisine kadar gelmiştir.
KRİPTOLOJİDE
GÜVENLİK VE DİJİTAL İMZA
Asimetrik sistemlerin güvenliği henüz ispatlanmamış varsayımlara
dayanmaktadır. Hesaplanması kolay, tersinin hesaplanması ise imkânsız olan tek
yönlü fonksiyon temellidir. İmkânsız
derken matematiksel olarak bir zorluktan bahsedilmektedir. Ters alma işlemini,
polinomal zaman alacak tekniklerin gelişmemiş olması imkânsız dedirtmektedir.
Bu durum da, asimetrik algoritmaların deşifreleşmesini imkânsız kılmaktadır.
Asimetrik
şifreleme ile dijital imza kavramı gelişmiştir. İmza, veri gönderen kişinin kimliğini ve gönderilen bilgiye
onay verildiğini göstermek amacıyla kullanılan herhangi bir işaret veya kabul
edilen herhangi bir güvenlik etkenidir. Elektronik imza ise genel olarak;
elektronik ortamda oluşturulan, iletilen ve saklanabilen özel bir elektronik
belgeyi ifade etmektedir. Dijital imza, bir bilginin, üçüncü kişilerin
erişimine kapalı bir ortamda, bütünlüğü bozulmadan ve tarafların kimlikleri
doğrulanarak iletildiğini elektronik ya da benzeri araçlarla garanti eden harf,
karakter veya sembollerden oluşmuş bir settir. Dijital imza, el yazısı ile
atılan imzanın sahip olduğu özellikleri ve fonksiyonları, elektronik ortamda
yapılan hukuki işlemler için de sağlamak amacıyla geliştirilmiş olan bir
tekniktir[2]. Dijital imza gönderenin kimliğini doğrulamak amacıyla birlikte
metnin bozulmadığını göstermek amacı ile de oluşturulmaktadır. Yani metnin
tamamı dijital imzaya dönüşmüş olur. Dijital imza, el ile imzanın tüm
fonksiyonlarını yerine getirmektedir. İnternet ortamında alışveriş işlemlerinin
başlamasıyla dijital güvenlik daha da önem kazanmıştır. Bankaların alışveriş
uygulamaları dijital imza üzerine kurulu temellere dayanarak gerçekleşmektedir.
KİMLİK DOĞRULAMA
Dijital imza kavramında asıl amaç, kimlik doğrulama
işleminin gerçekleştirilmesidir. Yani gönderen kişinin, alan kişinin ve veri
bütünlüğünün doğrulanması işlemidir. Bu amaçla geliştirilmiş birçok algoritma
ve yöntem vardır. En çok bilineni Hash fonksiyonudur. Genellikle mesajdaki
değişiklikleri fark etmek ve dijital imza oluşturmak için kullanılır. Hash
fonkisyonunun kullanım alanları; elektronik postalar, elektronik fon
transferleri, yazılım dağıtımı, veri saklanması, veri bütünlüğü garantisi, veri kaynağı doğrulaması, Web güvenliği kapsamında
oturum doğrulama, dosya sistemi bütünlük kontrolü, mesaj doğrulama, IP
güvenliği, sayısal imza alanlarıdır. Hash fonksiyonları standartlarda kabul
edilmiş olarak SHA-1 ve SHA-2 (4 ayrı fonksiyon mevcuttur) ailesi olarak
bilinmektedir. Günümüzde SHA-1 güvenlik sorunları düşünülerek SHA-2 ye geçilme kararı
alınmıştır. Türkiye’deki uygulamalarda da SHA-1 algoritması kullanılmaktadır.
Ancak akamedik dünyanın kriptografi uzmanları SHA-2 algoritmasının da SHA-1
algoritması temellerine dayandırıldığı için güvenlik sorunlarının olabileceğini
söylemektedirler.
Bu açığı da kapatma adına SHA-3 algoritması üzerinde
çalışmalar başlamıştır. Bu algoritmanın adını önümüzdeki aylarda sık sık
duyacağımızı düşünüyorum.
Kaynaklar:
[1].www.iam.metu.edu.tr/sempozyum/2005/sunumlar/05118_OSalcan.pdf
[2].Weiner, M. J., “Cryptanalysis of Short RSA Secret
Exponents”, IEEE Transac-tions on
Information Theory, 36(2), Mayıs 1990, 553-558
