- Parola yönetim sistemlerinin sunduğu kolaylık nedeniyle günümüzde birçok kişi işletim sistemine ya da tarayıcıya gömülü özellikleri kullanıyor
- Ancak gerçekten güvenli mi? sorusu akla gelebilir
- Şifrelemenin tanımı
- Kriptografinin amacı, protokolü düşmanca varlıklara karşı savunmaktır
- Bilginin (yani düz metnin) özel bilgiye sahip kişiler dışındakiler tarafından okunamayacak şekilde, algoritmalar kullanılarak iletilmesi süreci
- Tüm algoritmalar açıksa yine de güvenli mi?
- Kerckhoffs ilkesi diye bir şey vardır
- “Bir kripto sistemi gizli tutulmak zorunda olmamalı ve düşmanın eline geçse bile sorun yaratmamalıdır.”
- Algoritma açık olsa bile güvenli olmasının nedeni gizli anahtardır
- Önemli olan algoritmayı değil, protokolü güvenli hale getirmektir
- Hatta algoritmayı açık ederek daha fazla kişinin onu doğrulayıp iyileştirmesine olanak tanımak daha iyidir
- Klasik şifreleme neden risklidir?
- Bilgisayarlar ortaya çıkmadan önce yeterince karmaşık ve kullanışlıydı, ancak bilgisayarların ortaya çıkmasıyla kısa sürede çözülebilir hale geldi
- Brute force, frekans analizi gibi çeşitli saldırı teknikleri vardır
- Modern şifreleme güvenli mi?
- Klasik şifrelemede anahtar uzayı yetersizdir ve dilsel özellikler yansıdığı için risklidir
- Buna karşılık modern şifreleme, karışıklık ve yayılma kavramlarını kullanarak muazzam sayıda olasılık üretir -> tesadüfen tutturulan kapsamlı anahtar denemesi dışında çözülmesi mümkün değildir
- Karışıklık (Substitution),
ABCA gibi bir dizgenin 1231 gibi başka bir yapıyla değiştirilmesini ifade eder
- Yayılma (Permutation),
ABCA gibi bir dizgenin BCAA gibi sırasının değiştirilmesini ifade eder
- Üç şifreleme yöntemi
- Simetrik, asimetrik ve tek yönlü şifreleme vardır
- Simetrik şifreleme, tek bir gizli anahtarın (veya simetrik anahtarın) hem şifreleme hem de çözme için kullanıldığı algoritmadır
- En bilinen örneklerden biri AES'tir
- Asimetrik şifreleme, iki anahtar kullanarak şifreleme ve çözme yapan algoritmadır
- En bilinen örneklerden biri RSA'dir
- Simetrik şifreleme, katılımcı sayısı fazla olduğunda sorun yaratabilir
- Tek yönlü şifreleme, rastgele uzunluktaki veriyi sabit uzunlukta veriye dönüştürmektir
- En bilinen örneklerden biri SHA'dır
- Bütünlük doğrulamasında kullanılır
- Kişisel gizli kasa uygulaması
- Master password, gizli bilgi yönetim sisteminin sahibi olunduğunu doğrulayabilen gizli anahtardır
- Master password'ün hash değeri Pass-the-Hash saldırısına maruz kalabileceği için asla saklanmamalıdır
- Kullanıcının cihazına bağlı rastgele bir anahtar ek olarak kullanılarak bir master unlock key oluşturulursa parolalar daha güvenli saklanabilir
- Mac'te Keychain, Windows'ta ise Credential Manager kullanılabilir
- Gerçek uygulama için bağlantıya bakın
4 yorum
Android'de keychain benzeri bir şey yok mu..? Galaxy Samsung Wallet da riskli mi?
Merhaba. :) Secret Manager diye bir şey olduğunu biliyorum. Samsung Wallet hakkında çok bilgim yok ama muhtemelen oldukça güvenli şekilde yapılmamış mıdır?
"karıştırma" (substitution), "yayılma" (permutation) diye yazdığı için, bu da ne acaba diye orijinal metne baktım,
orada karıştırmanın yer değiştirme (substitution) kullanılarak, yayılmanın ise permütasyon (permutation) kullanılarak sağlandığı yazıyormuş...
Fazla özetlemişim, kusura bakmayın ^^;;