1. Dijital imza nedir?
2. Dijital imza için PGP programı
PGP kurulumu
PGP de dijital imza kullanımı için bilinmesi gereken başlıca noktalar
Genel anahtarların değiş tokuşu
Desteklenmeyen programlarda mail ve dosyaların imzalanması
3. PGP ile şifreleme
4. PGPNet ile network iletişiminin güvenlik altına alınması
5. Kaynaklar

Son yıllarda Internet’in yaygın olarak kullanımıyla birlikte pek çok rahatlığın yanında bazı sorunlar da baş gösterdi. Bu sorunlardan biri de Internet üzerinden yollanan bilgilerin güvenliğinin sağlanmasıdır. Kişisel bilgi gizliliğinin yanı sıra gelecekte çok şey beklenen elektronik ticaret açısından da Internet üzerinden geçilen bilgilerin yerine güvenli ve değişmeden ulaşması büyük önem kazanmakta.

Dijital imza bu gereksinimi karsılamak için geliştirilmiş bir teknolojidir. 3. Şahısların bilgiye ulaşmalarını engellemede etkili olmasa da iletilen bilginin beklenen kişiden geldiğinin ve değişmeden yerine ulaştığının onaylanmasında oldukça etkili ve yaygın olarak kullanılan bir yöntemdir.

Dijital imzanın temelinde asimetrik anahtar (asymmetric key) düşüncesi yatar. Çok büyük sayılar, modüler aritmetik ve üslü sayıların özelliklerinin kullanıldığı bu yöntemde birbirinin aynı olmayan iki anahtar (key) – birbiriyle ilintili fakat pratikte bulunması çok zor ve çok büyük sayılar – vardır1. Bunlardan biri genel (public) diğeri ise özel (private) anahtardır. Asimetrik anahtarların dijital imzadaki uygulamasında genel anahtar serbestçe başkalarına gönderilir ve dijital imzanın alıcı tarafından onaylanmasında kullanılır. Özel anahtar ise yalnızca gönderici tarafından bilinir ve dijital imzanın oluşturulmasında kullanılır. Özel anahtar yalnızca gönderende olduğundan, özel anahtar ile şifrelenmiş bir mesaj, o kişinin alıcıdaki genel anahtarı ile uyumluysa gönderenin kimliği onaylanmış olur. Bu, bir kişinin, başka birisinin kimliğini kullanarak işlem yapmasını engellediği gibi gönderenin yaptığı işlemi inkar etme olasılığını da büyük ölçüde ortadan kaldırır.

Fakat asimetrik anahtarlar kullanılarak yapılan şifrelemelerde mesaj boyutunda iki katına kadar büyüme görülebilir. Ayrıca bu şifreleme yöntemi algoritma yapısından dolayı yavaştır. Tüm mesajı şifrelemek uzun zaman alabilir. Internet üzerinden veri transferi düşünüldüğünde, düz mesaja oranla büyük bilgi miktarı daha da fazla zaman kaybına yol açacaktır. Alıcının deşifre etmek için harcayacağı zaman da çabası. Bu sebeple tüm mesajı private key ile şifrelemektense message digest yöntemi ile ortaya çıkarılan değer şifrelenir ve düz mesajın altına eklenerek alıcıya işlenmek üzere yollanır. Böylece zaman ve bilgi yükünden tasarruf edildiği gibi mesajın alıcıya değişmeden gittiğinin onaylanması da sağlanır. Çünkü message digest’te kullanılan hash function, mesaj uzunluğu ne olursa olsun 160 veya 128 bitlik bir çıktı verir ve bu çıktı tamamen o mesaja özgüdür - buna bir bakıma mesajın parmakizi denilebilir - . Mesajdaki en ufak bir değişiklik (örn: 1 bit) message digest sonunda tamamen farklı bir değer çıkmasına neden olur ki alıcı gelen mesajda aynı işlemi yaptığında eğer mesaj değişmişse gönderenin yolladığı değerle farklı bir değer elde edecektir.

PGP, dijital imza dışında şifreleme, network güvenlik uygulamaları, firewall gibi sunduğu pek çok özelliğin yönetilmesini sağlayan PGPTools, PGPNet, PGPKeys gibi alt programları birarada bulunduran bir program olmasına karşın burada yalnızca dijital imzalama özelliğinden yararlanma yolları üzerinde durulmaktadır. Dijital imza kullanımı için oldukça rahat kullanımlı (kullanıcı dostu) ve güvenli bir programdır.

Dijital imza kullanımı PGP (Pretty Good Privacy) programı ile oldukça kolaydır. Normal bir Windows uygulamasından çok farklı olmayan kurulum sihirbazıyla kısa sürede kurulur. İmzayı kullanabilmek için kurulum sırasında veya daha sonra PGP ile beraber gelen PGPKeys uygulamasında Keys menüsünden New Key seçeneğiyle PGP Key Generation Wizard’tan yararlanılarak birkaç adımda key pair’ler (anahtar eşleri) yaratılabilir. PGP’yi kurmak ve kurulum aşamasında bir anahtar çifti yaratmak için:

1. PGP setup dosyası çalıştırılır. (Burda anlatılan versiyon için: PGPfreeware7.0.3.exe) PGPfreeware 7.0.3 Installer kuruma başlamak için gerekli ön hazırlıkları yaptıktan sonra ekrana gelen pencerede önerildiği gibi PGP installer dışında çalışan bir program (özellikle icq) varsa kapatılarak Next düğmesine basılır.

2. Karşımıza çıkan pencerede program için lisans anlaşması okunup, maddelerini kabul etmek için Yes tuşuna basılır.

3. Bir sonraki pencerede program hakkında bilgi veren okubeni (readme) dosyasını gösteren pencereyi geçmek için Next’e basılır.

Resim 1 - Keyring

4. Daha önce PGP kullanmamışlar için yukarıdaki seçim yapılarak Next’e basılır.

Resim 2 - Klasör

5. PGP’yi varsayılan dizine kurmak için Next’e basılır. (Başka bir dizin belirtmek için Browse’a basılarak çıkan pencerede istenilen dizin seçilir ve bu pencereye döndükten sonra Next’e basılır.)

Resim 3 - Components

6. Daha sonra gelen pencerede PGP’yi diğer programlarla daha rahat kullanılmasını sağlayacak destek yazılımlarının yüklenmesi için, listeden bilgisayarda yüklü olan programlar’ın sol tarafındaki kutu işaretlenir. (Örneğin icq mesajlarını PGP ile şifrelemeyi düşünüyorsak PGP Plugin for ICQ`nun solundaki kutu işaretlenmelidir.) Bir sonraki aşamaya geçmek için Next’e basılır.

7.Kur başından beri yapılan tercihleri özetleyen pencerede son bir kontrol yapıldıktan sonra dosyaların kopyalanması için Next düğmesine basılır.

8.Bir sonraki ekranda tekrar Next’e basılır ve dosyaların kopyalanması başlar.

Resim 4 - Ağ arabirimi

9. Son olarak PGP’nin güvenlik altına alması istenen ağ cihazlar solundaki kutuya tıklanarak seçilir ve OK’e basılır.

1.PGP Key Generation Wizard giriş penceresini geçmek için İleri’ye basılır.

Resim 5 - Anahtar Yaratımı - İsim Eposta

2. PGP Key Generation Wizard sizden adınızı ve email adresinizi girmenizi ister.(Örnek olarak yukarıda bir isim e adres girilmiştir. Bu herkes için farklıdır.) Bu kısımda gerçek ad veya adresin verilmesi zorunlu olmasa da doğru bilgiler vermek ilerde başkalarının public key sahibini tanımasına yardımcı olacaktır. Devam etmek için İleri’ye basılır.

Resim 6 - Anahtar Yaratımı - Şifre

3. Sonradan hatırlamamız gerekecek ve sadece bizim bileceğimiz (kolayca tahmin edilemeyecek) uygun bir düz metin (passphrase) girilir. Burada girilen metinin en az 8 karakterli olması ve içinde sayısal değerlerin bulunmasına dikkat edilmelidir. Ayrıca Passphrase quality göstergesinden girilen düz metinin ne kadar kaliteli (ne kadar güvenli) olduğu takip edilebilir. Düz metin girilmesi ve alt pencerede kontrol için tekrar girilmesinden sonra işleme devam etmek için İleri`ye basılır.

4.Anahtar yaratma işleminin durumunu gösteren pencerede devam etmek için İleri düğmesi tıklanır.

5.Yeni açılan pencerede Finish’e (bitir düğmesine) basılır.

Resim 7 - Restart

6. PGP installer’ın son penceresinde, kurulan programın yaptığı yeni ayarlamalar ve değişikliklerin geçerli olması için yeniden başlatma kutucuğunun içi işaretlenip Finish’e basılır.

PGP kurulup Key pair yaratıldıktan sonra, desteklenen email ugulamaları veya icq için pluginler sayesinde ilgili programların toolbarlarında beliren ilgili ikonlar tıklanarak mesajlar imzalanabilir, genel anahtar değiş tokusu yapılabilir. PGP’nin desteklediği email uygulamaları şunlardır:

• Qualcomm Eudora
• Microsoft Exchange
• Microsoft Outlook
• Microsoft Outlook Express
• Lotus Notes

Resim 8 - ICQ (Anahtar yollama)

Örneğin PGP`de imzalanmış bir dosya icq üzerinden başka bir kullanıcıya yollanıyorsa o kullanıcının imzanızı kontrol edebilmesi için genel anahtar aşağıda gösterilen düğme ile yollanabilir

Resim 9 - Outlook

veya

Resim 10 - Anahtar gönderimi

Anahtar değiş tokuşu için pratik yöntemlerden bir diğeri de anahtarı bir anahtar sunucusuna (key server) yollamaktır. Bunun için server`a yollanması istenen anahtar PGPKeys penceresinde seçildikten sonra server >> send to >> domain server seçeneği kullanılır.

Resim 11 - Arama

Aynı zamanda herhangi birinin genel anahtarını domain serverden bulmak için, PGPKeys toolbarındaki büyüteç ikonuna tıklandıktan sonra açılan arama penceresinde istenilen kişinin adı yazılarak arama yapılır.

Gelen listede istenen kişinin adına sağ tıklandığında açılan menüde import to local keyring seçeneğiyle PGPKeys penceresine kopyalanabilir.

Genel anahtarlar PGPKeys penceresinde değiş tokuş`u istenen anahtar seçildikten sonra, Keys menüsünde Export seçeneği ile veya Edit menüsünden Copy seçeneği ile kopyalandıktan sonra herhangi bir metin dosyasına yapıştırıldıktan sonra dosya olarak ta gönderilebilir. Bir başka yol ise kopyalanan anahtarın icq mesaj kutusuna veya bir email `e yapıştırılıp alıcıya yollanmasıdır.

Bu şekillerde gelen anahtarlar Keys menüsünde import seçeneği ile PGPKeys penceresinde görünür hale getirilebilir.

Herhangi bir dosya veya metin PGPTools çubuğu sayesinde kolayca imzalanabilir. PGPTools, System traydeki PGPTray kilit ikonu tıklandıktan sonra açılan menüden seçilerek veya başlat menüsünde PGP altından seçilerek başlatılabilir.

Resim 12 - PGP Tools

Resim 13 - PGP Tools

Resim 14 - PGP Tools

İmzalanmak istenen metin veya dosyalar ilgili programlarda seçildikten sonra PGPTools`taki Sign ikonuna sürüklenerek imzalanır.

Internet`te alınacak güvenlik tedbirleri, iletilerin doğru kişiye ve değişmeden ulaştığından emin olunmasını sağlamanın yanında 3. kişilerin bilgiye ulaşmalarını da engellemelidir. PGP programında dijital imza ile aynı temel prensip üzerine kurulumuş ve bunun yanında birtakım ek prosedürlerin de yardımcı olduğu oldukça güvenli bir şifreleme sistemi mevcuttur. Bunu kullanabilmek için PGP programı kurulduktan, anahtar çiftleri yaratılıp genel anahtarlar değiş tokuş edildikten sonra dijital imzada izlenen yöntemlere benzer şekilde kolaylıkla şifreleme yapılabilir. Şifreleme mantığında dijital imzadan fark, şifrelemede gönderenin kendinin özel anahtarıyla değil alıcının genel anahtarıyla şifreleme yapmasıdır. Alıcının genel anahtarıyla şifrelenen bilgi yalnızca alıcının özel anahtarıyla açılabileceğinden ve bu anahtar yalnızca o kişide bulunduğundan 3. kişiler şifrelenmiş bilgiye ulaşsalar bile bunu çözemeyeceklerdir. Fakat dijital imza`da yaşanan bir sorun burada da karşımıza çıkmaktadır. O da anahtar çifti metoduyla yapılan şifrelemelerin sonucunda orjinal bilgi miktarından çok fazla çıktı elde edilmesidir. Bu sorunu aşmak için mesaj şifrelemesi Conventional Encryption denilen tek anahtar (symmetric keys) prensibine dayalı klasik şifrelemeyle yapılır. Bu şifreleme şeklinde mesajı şifrelemek ve deşifre etmek için aynı anahtar kullanılır. Fakat bu metodda da sorun bu anahtarın güvenli şekilde transferidir. Bu aşamada asimetrik anahtarlar prensibi devreye girer ve yalnızca mesajı şifrelemek için kullanılan simetrik anahtar şifrelenir. Bununla beraber PGP mesajı şifrelemeden önce sıkıştırır ki bu da transfer edilecek bilgi miktarından daha fazla tasarruf edilmesini sağlar ve mesajın deşifre edilmesi olasılığını da azaltır.

1.PGP bilgiyi sıkıştırır.

2.Bilgiyi simetrik anahtar metoduyla şifreler.

3.Simetrik anahtarı asimetrik anahtar metoduyla şifreler ve bunu mesaja ekler.

Sonuç olarak alıcı iletiyi aldığıda özel anahtarıyla deşifre ettığı simetrik anahtarı kullanarak mesajı deşifre eder. Bu aşamadan sonra eğer uygulanmışsa dijital imza sayesinde diğer güvenlik sınamaları yapılır.

Aslında karmaşık görünebilecek bu prosedürün uygulanması PGP programı ile oldukça kolaydır.

Şifreleme işlemi dijital imzanın anlatıldığı bölümde detaylıca anlatılan PGPTools veya desteklenen programların Toolbarlarındaki PGPPluginler deki ilgili şifreleme (Encrypt) düğmeleriyle dijital imzayla hemen hemen aynı şekilde uygulanabilir.

PGP ile dosya, mail ve mesajların güvenliği sağlanabileceği gibi bir bilgisayar ile diğer bilgisayar ve bilgisayarlar arasında güvenli oturumlar açılabilir. Bu sayede bilgisayarlar arasındaki iletişim büyük ölçüde güvenlik altına alınmış olur. PGPNet kullanılması halinde örneğin internet explorer veya mail programlarında şifrelemeye veya dijital imza kullanımına gerek kalmaz. Böyle bir durumda işlemler normalde yapıldığı gibi yapılabilir ve iletişim güvenlidir. Bunun için PGP ile gelen PGPnet programının VPNi (Virtual Private Network) ve VI (Virtual Identity) özellikleri kullanılır.

PGPNet penceresini açmak için PGPTray ikonuna sol tıklanır ve açılan menüde PGPNet seçeneğinden açılan menüdeki herhangi bir seçeneğe tıklanır. Veya Başlat menüsünden Programlar >> PGP >> PGPNet seçilerek açılır.

PGPNet`i akitve etmek veya deafktive etmek için pencerenin sağ üst köşesindeki ikon (kalkan ikonu) kullanılır. Bu işlem aynı zamanda PGPNet`in Files menüsündeki Enable/Disable seçenekleriyle de yapılabilir. PGPNet kapatıldığında VPN, Firewall ve IDS (Intrusion Detection System) özellikleri de devre dışı kalır.

PGPNet penceresinin Status Panelinde kurulmuş olan SA`ların durumu yer alır. ( SA yani Security Associations (Güvenlik Ortaklığı) iki bilgisayarın haberleşirken kullanacakları güvenlik kurallarının bir özetidir.) Yanında yeşil ışık yanan bağlantılar aktiftir.

VPN paneli PGPNet`in host listesine yeni kayıtlar eklemek, kayıt silmek ve manuel olarak SA`lar kurup, iptal etmek için kullanılır. Eğer bir kayıtın solunda + işareti belirmişse buna basılarak o kayıt ile ilgili diğer girdiler hakkında bilgi alınabilir. bir kaydı değiştirmek için çift tıklanır. Bir kayıt kullanılarak SA açmak veya daha önceden açılmış olan bir SA`yi bitirmek için Connect/Disconnect Düğmesi kullanılır. Yeni bir alt ağ, host veya gateway eklemek için add düğmesine basılır ve add host wizard`ında gösterilen adımlar takip edilir. Kayıt silmek için silinmek istenen kayıt seçilir ve remove tuşuna basılır.

Intruders paneli PGP net`in firewall`unun bloke ettiği hostlar`in listesini görmek ve bu listeye yeni kayıt eklemek veya listeden kayıt silmek için kullanılır. Bu işlemleri gerçekleştirmek için listede sağ tıklanır ve istenilen işlem için atanmış seçenek (Bloke listesine eklemek için add, listeden silmek için remove) seçilir. Sağ tıklandığında açılan menüdeki properties seçeneği seçildiğinde saldırıda bulunan kişi hakkında bilgilerin yeraldığı bir pencere açılacaktır. Buradaki DNS Lookup düğmesiyle saldırganın ipsini öğrenmeye çalışılabilir ve Trace Source ile o kişsiden gelen paketlerin yoluna göz atılabilir.

Log paneli ise o ana kadar gerçekleşen olayların kaydını gösterir.

Not: Burada anlatılan firewall ve IDS özellikleri gibi bazı özellikler shareware versiyonunda desteklenmemektedir.

1- Güvenlik, 2001 Bilişim sistemlerinde güvenlik, denetim ve kontrol konferans ve fuarı konferans notları, 19-20 Mart 2001, Çırağan Palace Hotel Kempinski İstanbul, Türkiye.

2- PGP,2001 PGP Help.

EGE Üniversitesi NYG Güvenlik Grubu
http://security.ege.edu.tr

__________________________