BİLGİ GÜVENLİĞİNİN SAĞLANMASI

Bilgi-Veri güvenliğinin sağlanmasının iki aşaması vardır. Birincisi kullanıcının sistem ve diğer kullanıcılar karşısında güvenli hissetmesi, diğer ise sistemin kullanıcılara nasıl güvenmesi gerektiği aşamalarıdır85. (SİNGER & FRİEDMAN, Mart 2015)

Dijital dünyada güven kriptografi86 temeline dayanmaktadır. Buna göre kriptografi bilginin gizli tutulma aracı olduğu kadar bilginin bütünlüğünü ve ya bilgiye yapılan herhangi bir müdahaleyi tespit etme yeteneğinde eşit derecede önem arz etmektedir.

84 _{Bkz.SİNGER,P.W.;FRİEDMAN, Allan, Siber Güvenlik Ve Siber Savaş, (Çeviren: Ali Atav),}

Buzdağı Yayınevi, 1. Baskı, Mart 2015, s.71-72)

85 _{Bkz.SİNGER,P.W.;FRİEDMAN, Allan, Siber Güvenlik Ve Siber Savaş, (Çeviren: Ali Atav),}

Buzdağı Yayınevi, 1. Baskı, Mart 2015, s.29

86 _{Kriptografi, gizlilik, kimlik denetimi, bütünlük gibi bilgi güvenliği kavramlarını sağlamak için}

çalışan matematiksel yöntemler bütünüdür.. Bkz. https://tr.wikipedia.org/wiki/Kriptografi (Erişim Tarihi: 23.07.2017)

52

Kullanıcının sistem ve diğer kullanıcılar karşısında güvenli hissetmesi hususunda kullanılan yöntemler hash fonksiyonu, kriptografik şifrelemeler ve asimetrik- açık uçlu şifreleme sistemidir.

Burada değinmek gereken bir önemli hususta dijital ve çevrimiçi alanda kullanılan kriptografide en önemli unsur olan “Hash” değeridir. MD5 te denilen Hash fonksiyonu, kriptografik bir özet fonksiyonu olmakla kullanımı çok yaygındır. Bu fonksiyon ile girilen verinin boyutundan bağımsız olmak üzere 128- bitlik bir özet değeri üretir.

Hash fonksiyonu, değişken uzunluklu veri kümelerini sabit uzunluklu veri kümelerine haritalayan algoritma veya alt programlara verilen isimdir. Hash fonksiyonu ile örnek olarak bir kişinin adı değişken uzunlukta ise tekil tam sayı olarak hashlenebilmektedir. Hash fonksiyonlarından geri dönen değerler hash değerleri olarak isimlendirilir87.

Hash değeri almak için md5sum gibi programlar kullanılır.

Kriptografinin yapıtaşı olan hash değerinde; tek taraflı bir fonksiyon olan hash fonksiyonuna input olarak data verilir ve output olarak bir algoritma elde edilir. Bu algoritma asal çarpanlardan oluşur. Elde edilen sonuç sabit uzunlukta olacaktır. Hash değerini geri döndürmek mümkün olmadığı gibi hash değerini değiştirmeden veriyi değiştirmek matematiksel olarak mümkün değildir. Ayrıca aynı hash değerine sahip iki farklı veri bulmakta matematiksel olarak mümkün değildir. Buna göre veride yapılacak en küçük bir değişiklik hash değerinin tamamen değişmesine yol açacaktır. Bu sebeple hash değeri verinin bütünlüğünü ve değiştirilmediğini ispat etmek için kullanılır.

Bir hash fonksiyonunun iki temel özelliği bulunmaktadır. Bunlar fonksiyonun tek yönlü olması bu sebeple de fonksiyona giren orijinal verinin çıktıdan ayırt edilmesinin çok zor olması diğer ise aynı hash değerini oluşturan iki veri girdisinin bulunmasının çok zor olmasıdır.

53

Bu sayede hash değeri verinin eşsiz olmasına olanak sağlamaktadır. Verilerin parmak izi olarak nitelendirilmektedir. Eğer veri veya bilginin hash değeri aynı yöntemle sizin ürettiğiniz hash değeri ile uyumlu değil ise veri veya bilginin değiştirildiği anlamına gelmektedir. Sonuç olarak bu hash değeri ile verinin veya bilginin bütünlüğünü doğrulanabilir88_.

Bu hash fonksiyonunu bir belge veya e-postaya “parmak izi” basmak için kullanmamıza olanak sağlar. Artık bu parmak izi bir belgenin bütünlüğünü doğrulayabilir.

Hash fonksiyonu aynı zamanda adli bilişimde delilin bütünlüğünün ve değiştirilmediğinin ispatı içinde kullanılmaktadır.

Kullanıcının sistem ve diğer kullanıcılar karşısında güvenli hissetmesi hususunda kullanılan yöntemlerden bir diğeri Asimetrik-açık uçlu şifreleme yöntemidir.

Kriptografik güvenlik kontrollerini uygulayarak güvenmek ve kimliği tanıtmak için bazı araçlara gerekmektedir. Kriptografik dijital imzalar “asimetrik şifreleme(Açık Anahtarlı şifreleme)” kullanarak bu güveni sağlamaktadırlar89.

Bir mesajın dijital imzası dijital parmak izi ile anahtar kriptografisinin ortak hareket etmesi neticesinde oluşmaktadır. Dijital imzalar her türlü veri için bütünlük kontrolü yapılabilmesine imkan sağlamaktadır.

Ancak burada başka bir sorunsal meydana gelmektedir. Bir dijital imza sadece umumi anahtarın karşılığı olan özel anahtara erişim anlamına gelmektedir. Ancak umumi anahtarın geçerliliği anlamına gelmemektedir. Umumi araçların geçerliliğini nasıl sorgulanacaktır.

Umumi araçların geçerliliğinin sorgulanmasında bir kuruluş bir umumi anahtara imzalı dijital sertifikalar üreten yetkili kuruluşlar aracılığı ile bağlanır. Sertifika Kuruluşları (CA: Certificate Authorities) bilinen büyük kuruluşlar

88_{Bkz. SİNGER,P.W.;FRİEDMAN, Allan, Siber Güvenlik Ve Siber Savaş, (Çeviren : Ali Atav),}

Buzdağı Yayınevi, 1. Baskı, Mart 2015, s.29

54

olmakla sertifikalar bu kuruluşlar imzalanır. Bu kuruluşların umumi anahtarları yaygın olarak bilinmekte olup bu sebeple sahtesi üretilmesi çok zordur. Bu sayede bir sertifika kuruluşuna güvenildiği zaman o kuruluş tarafından imzalanan umumi anahtara da güvenilmektedir.

Umumi anahtarlar, imza ve sertifika kuruluşlarının içinde bulunduğu sistem günümüzde internete hatta sosyal ağlara bağlanan herkesçe farkında olmadan kullanılmaktadır. HTTPS bağlantılı web sitelerini ziyaret edildiğinde güvenli bağlantıyı doğrulamak için adres çubuğunda çıkan küçük kilit simgesi güvenli bir web sitesini ziyaret edildiği anlamına gelmektedir. Bu durumda Sertifika kuruluşuna güvenildiği anlamına gelmekle internette HTTPS bağlantılı web sitesine erişilmek istendiğinden tarayıcı kendi umumi anahtarı ile internet alanına bağlanmakta ve güvenli alanın umumi anahtarı ile Sertifika Kuruluşu(CA) tarafından imzalanmış bir sertifika sormaktadır. O sunucuyu doğrulamanın yanında tarayıcı sertifikanın ait olduğu iddia edilen organizasyonla da konuşarak şifreleme anahtarlarının karşılıklı değişimi sağlanmakta ve güvenli haberleşme mümkün hale gelmektedir.

Bu noktada Sertifika kuruluşları güvenli bağlantı için çok önemli bir rol oynamakta olup bir sertifika kuruluşunun imzalama anahtarının çalınabilmesi halinde güvenli trafiğe müdahale edilebilmesi mümkündür. 2011 yılında Hollandalı bir Sertifika Kuruluşunun imzalama anahtarları çalınmış olup çalan kişi bu anahtarları İranlı kullanıcıların Google’ın gmail hesaplarına erişimlerine müdahale etmek için kullanmıştır.

Yukarıda veri/bilgi güvenliğinin karşılıklı güvenin sağlanabilmesi için güvenin bir tarafı olan kullanıcının sistem ve diğer kullanıcılar karşısında güvenli hissetmesi için kullanılan yöntemleri açıklanmış olup veri güvenliğinin karşılıklı güvenin sağlanabilmesi için güvenin diğer tarafı olan sistemin kullanıcılara nasıl güveneceği hususuna da değinmek gerekmektedir.

Burada bilişim sistemleri kimlik tespiti ve kimlik doğrulamasından sonra kullanıcıyı yetkilendirmektedir. Sistem üzerinde kimin ne yapabileceğini kararlaştırmak için erişim kontrolü yöntemini kullanılmaktadır. Erişim kontrolü bir

55

işletim sisteminde verinin okunması, yazılması ve kodun yerine getirilmesi yeteneğini sağlamaktadır.

Erişim kontrolü konusunda oluşan zafiyetlerin en bilinen örnekleri 2010 yılında Bradley Manning ve Wikileaks olayı ile 2013 yılında Edward Snowden tarafından NSA’da sistem yöneticisi olarak çalışan düşük seviye bir yüklenicinin basına sızdırdığı birçok tartışmalı ve çok gizli programlara erişimi olduğu gibi son zamanların siber içerikli en büyük erişim kontrolü ihlallerindendir90.

Bu örneklerden de anlaşılacağı üzere zayıf erişim kontrolleri istedikleri her şeye temel erişim sağlanan düşük yetki seviyesindeki bireyler tarafından erişimin kayıt edilmesine ve kullanılmasına imkan sağlamaktadır.

Zayıf erişim kontrolü gizli verilere erişim yetkisi olmayan kişilerce verilere erişim verinin hatta ticari sırların bile güvenliğinin sağlanması mümkün olamamaktadır.

2. ÜLKELERİN VE ULUSLARARASI TOPLULUKLARIN