Elektronik ortamda gerçekleşen veri iletiminin güvenliği iki temel aşamada sağlanmaktadır:

1. Veri gizliliği – Şifreleme (Verinin sadece doğru alıcı tarafından deşifre edilebilmesi)
2. Verinin tanılanması (gerçekten gönderdiğini iddia eden kişiden geliyor olduğunun doğrulanması) ve bütünlüğünün korunması (iletim sırasında herhangi bir değişiklik yapılmadığının doğrulanması)

PKI (Public Key Infrastructure) teknolojisi ile her iki ihtiyaç da eksiksiz olarak karşılanabilmektedir.

PKI uygulamalarında her kullanıcının biri özel diğeri genel olmak üzere iki anahtarı bulunur. Kullanıcının genel anahtarı herkese açık olup, özel anahtarı yalnız ve yalnız kullanıcının kendisi (kullanıcı uygulaması) tarafından bilinir. Özel ve genel anahtar arasında çözülmesi pratikte imkansız bir matematiksel ilişki vardır ki kullanıcının genel anahtarı ile şifrelenen bir
mesaj yalnız ve yalnız aynı kullanıcının özel anahtarı ile deşifre edilebilir. Bunun tersi de doğrudur, yani kullanıcının özel anahtarı ile şifrelenen bir mesaj ancak aynı kullanıcının genel anahtarı ile deşifre edilebilir. Dolayısıyla bir kullanıcıya şifreli bir mesaj göndermek istendiğinde mesaj bu kullanıcının genel anahtarı ile şifrelenebilir ve böylece mesaj gerçek alıcısı dışında kimse tarafından deşifre edilemez.

Peki kullanıcının genel anahtarının gerçekten o kullanıcıya ait olduğundan nasıl emin olabiliriz? İşte sertifika otoriteleri (CA - Certificate Authority) bu aşamada sahneye çıkmaktadır. Bir PKI sisteminde, tüm kullanıcıların tanıdığı (güvendiği) ve genel anahtarı tüm kullanıcılar (uygulamalar) tarafından bilinen bir sertifika otoritesi bulunur. Kullanıcıların genel anahtarları, sertifika otoritesinin güvencesi altındadır ve tüm genel anahtarlar sertifika otoritesi tarafından imzalanmıştır.

Dijital imza çok temel olarak her iki parti (gönderen – alıcı) tarafından bilinen bir verinin, gönderen tarafın özel anahtarı ile şifrelenmesi ile elde edilir. Alıcı taraf, gönderenin genel anahtarı ile deşifre ettiği verinin doğrulamasını yaparak imzanın gönderen tarafa ait olduğundan emin olur. Sertifika otoritesinin genel anahtarları imzalaması da bu şekilde olur.

Bu altyapının pratikte nasıl çalıştığını bir örnek ile izleyelim. Ali, Ayşe’ye bir şifreli mesaj göndermek istiyor olsun. Oturum, Ayşe’nin genel anahtarını sertifika otoritesinden doğrulayan Ali’nin, Ayşe’ye bu anahtarı kullanarak oturum açma istemini ve oturum anahtarının bir kısmını oluşturacak mesaj parçasını göndermesi ile başlar. Ayşe bu mesaj parçasını kendi özel anahtarı ile deşifre ederek, yine oturum anahtarının bir kısmını oluşturacak mesaj parçasını da içeren cevabını, Ali’nin genel anahtarı ile şifreleyerek Ali’ye gönderir. Böylece her iki taraf o oturumda kullanılacak oturum anahtarı üzerinde anlaşmış olur. Ali göndermek istediği mesajı bu oturum anahtarı ile şifreleyerek Ayşe’ye gönderir.

Peki Ayşe bu mesajın gerçekten Ali’den geldiğinden nasıl emin olacaktır? Ali, mesajın sonuna mesajın tümünden özel bir algoritma ile elde edilen bir özütü (digest) kendi özel anahtarı ile şifreleyerek ekler. Ayşe bu imzayı Ali’nin genel anahtarını kullanarak deşifre eder ve aldığı mesajdan aynı algoritmayı kullanarak elde ettiği özüt ile karşılaştırır. Eğer bir farklılık var ise mesajın Ali’den gelmediği veya iletim sırasında değiştirilmiş olduğu ortaya çıkmış olur.

__________________________