Açık Anahtar Altyapısı (PKI) Temelleri

Açık Anahtar Altyapısı (Public Key Infrastructure – PKI), güvenilir iletişim ve güvenilir veri depolama amacıyla, asimetrik şifrelemeyi kullanarak anahtar üretimi ve yönetimini sağlayan, veritabanı, servis, uygulama ve standartlar topluluğudur. Bu yazıda Açık Anahtar Altyapısı temelleri incelenecektir.

PKI ile iki taraf arasındaki iletişim adımları temel olarak 2 adımda gerçekleşir.

  • Asimetrik şifreleme kullanılarak, taraflar arasında oturum anahtarı üzerinde anlaşılır.
  • Oturum anahtarı elde edildikten sonra taraflar arasında simetrik şifreleme ile güvenilir iletişim gerçekleştirilir.

Açık anahtar altyapısına temel olarak aşağıdaki iki sebepten dolayı ihtiyaç duyulur:

  • Asimetrik kriptografi sistemlerini gerçeklemek için
  • Açık ve özel anahtar yönetmek için

Açık anahtar altyapısı sistemleri; kimlik doğrulama, inkar edilemezlik, mesaj bütünlüğü ve gizlilik gibi hizmetleri simetrik kriptografinin kullanıldığı bir yöntemle sunar. Böylece anahtar dağıtımı ve sayısal imza özellikleri asimetrik kriptografinin, gizlilik hizmeti simetrik kriptografinin sağladığı güvenli bir altyapıya kavuşulur.

 

1) Açık Anahtar Altyapısı Bileşenleri

Açık anahtar altyapısı sayesinde, kullanıcılar arka planda gerçekleşen operasyonlardan habersiz olarak güvenilir bir şekilde işlemlerini gerçekleştirebilmektedir.

PKI temel olarak aşağıdaki bileşenden oluşur:

  • Sertifika Otoritesi (Certificate Authority – CA): Açık Anahtar Altyapısı hiyerarşisinin en üstünde bulunan ve diğer bileşenlerin sayısal imzasına güvendikleri makamdır. Sertifika Otoriteleri, sertifika sahiplerinin kimliğini açık anahtarı ile ilişkilendirmekten sorumludur. Bu amaçla, sayısal sertifika üretir, sertifikaların güncel bilgilerini tutar, Sertifika İptal Listesi’ni hazırlar, güncel sertifika listesini ve iptal listesini talep eden istemcilere gönderir. Örnek sertifika otoriteleri(SO) şunlardır: VeriSign, Thawte, Geotrust…
  • Kayıt Makamı (Registration Authority): Sertifika isteyenlerin kimliklerini doğrular. Daha sonra talepleri Sertifika Otoritesi’ne gönderir.
  • Merkezi Sertifika Deposu (Central Directory): Sertifikaların ve iptal listelerinin güvenilir olarak saklandığı ve dağıtıldığı depolardır.
  • Arşiv Modülü: Eski tarihli sertifikaların saklandığı bölümdür.
  • Anahtar Çiftleri (Key Pairs): Özel ve genel anahtarlardır.
  • Sayısal Sertifikalar (Digital Certificates): Sertifika otoritesi tarafından onaylanmış güvenlik araçlarıdır. Sayısal sertifikalar ayrı bir alt başlık olarak incelenecektir.
  • Sertifika İptal Listesi (Certificate Revocation List): Bir sebepten dolayı iptal edilmiş olan sertifikaların bulunduğu listedir.
  • Sertifika Kullanıcıları: Sertifika talebinde bulunan taraftır. Sertifika deposundan iletişim kurmak istedikleri kullanıcı veya sistemin sertifikasını ve Sertifika Otoritesi’nin yayınladığı iptal listelerini alırlar.

 

2) Sayısal Sertifikalar

Açık anahtar altyapısı; gizlilik, bütünlük, ve kimlik doğrulama fonksiyonlarını kullanıcıların sayısal sertifikaların kullanması ile sağlar. Kullanıcılar kendisini ispat etmeleri için sertifikaları kullanırlar. Sertifika, kendisini ispat etmek isteyen tarafın, açık anahtarını bir Sertifika Otoritesi’ne imzalatmasıyla oluşur. Böylece Açık Anahtar Altyapısı’ndaki her bileşen bu kullanıcının kimliğinden emin olur.

Sertifikalar, sahibine ait bilgileri ve gerekli algoritma anahtarlarını üzerinde bulundurur. Sertifikalar kişiye özel olduklarından güvenilir bir şekilde muhafaza edilmelidir. Bu amaçla, güçlü güvenlik mekanizmalarına sahip olan akıllı kartlar kullanılmaktadır. “Sertifika = Sayısal İmza + KurumunAçıkAnahtari” diyebiliriz.

2.1) Uygulama Alanları

Sayısal sertifikaların kullanıldığı uygulamalardan bazıları şu şekildedir:

  • S/Mime (Secure / Multipurpose Internet Mail Extensions) ve elektronik posta iletişimi
  • Kablosuz bağlantılarda güvenlik
  • VPN
  • IPSec ile güvenilir veri iletişimi
  • Web tarayıcıdaki sertifika ile kimlik doğrulama
  • EFS ile veri şifrelemesi
  • Disk şifreleme
  • Akıllı kart ile kimlik doğrulama ve oturum açma
  • SSL ve TLS ile güvenilir veri iletişimi
  • LDAP
  • Dijital imza ile belge imzalama
  • Anlık mesajlaşma

PKI sayısal sertifikaların oluşturulması, yönetimi, dağıtılması, kullanılması, depolanması, gerektiğinde iptal edilmesi için oluşturulmuştur.

2.2) Çift Taraflı Kimlik Doğrulama

Bilgisayar genel anahtarını bir Sertifika Otoritesi’ne imzalattıktan sonra bu genel anahtar kullanılabilir olur. İmzalama işleminden sonra bu genel anahtara sayısal sertifika adı verilir. Bir bilgisayar başka bir bilgisayarla güvenli bir bağlantı kurmak istediğinde kendi sertifikasını hedefteki bilgisayara gönderir. Hedefteki bilgisayar gelen sertifikayı kontrol ederek güvenilir bir Sertifika Otoritesi tarafından imzalanmış ise kendi sertifikası ile cevap verir. Kaynak bilgisayar da hedef bilgisayarla güvenli haberleşmek istemesine karşın hedef bilgisayarın sertifikasının, güvenilir bir Sertifika Otoritesi tarafından imzalanıp imzalanmadığını kontrol eder. Böylece, çift taraflı kimlik doğrulama işlemi gerçekleştirilir. Kimlik doğrulama başarılı olarak yapıldıktan sonra kaynak bilgisayar hedef bilgisayara gönderdiği paketleri hedef bilgisayarın açık anahtarı ile şifreler. Bu paketi de sadece hedef bilgisayarın gizli anahtarı çözebilir. Böylece aralarındaki iletişimin güvenliğini sağlayacak olan oturum anahtarı paylaşılmış olur. Bu oturum anahtarı kullanılarak, oturum süresince şifreli bir trafik oluşur.

2.3) Sertifika İptali

Açık Anahtarlı Altyapı, yönetiminin en kritik adımlarından birisi sertifikaların iptalinin denetlenmesidir. Bir sertifikanın iptal edilmesi ile sertifikanın geçerliliği, normalde belirtilen bitiş tarihinden önce sona erer. Bir sertifikanın geçersiz duruma getirilmesinin bir takım sebepleri vardır. Bazı sebepler şu şekildedir:

  • Sertifikaya ait anahtarın kaybedilmesi veya çalınması
  • Sertifika politikalarının değişmesi
  • Sertifikasyon Makamı’nın anahtarının çalınması
  • Sertifikasyon Makamı’nın iptal edilmesi
  • Kullanıcının kendi isteği ile sertifikasını iptal ettirmesi (örneğin başka bir SM altında tanımlanmak istenmesi)
  • Kullanıcı bilgilerinin (ad, soyad, email adresi gibi) değişmesi
  • Kullanıcının yetkilerinin askıya alınması

Bir sertifikanın seri numarası CRL (Certificate Revocation List – Sertifika İptal Listesi) içinde yayınlandığında bu iptalin nedeni de CRL’de belirtilir. Bu nedenler şunlar olabilir:

  • Belirtilmemiş (Unspecified)
  • Anahtar çalınması (Key Compromise)
  • SM anahtarının çalınması (CA Key Compromise)
  • Görev Değişikliği (Affiliation Changed)
  • Görev devri (Superseded)
  • Sertifika Otoritesi’nin faaliyetini sona erdirmesi (Cessation of Operation)
  • Askıya alma (certificateHold)
  • CRL’den çıkarma (removeFromCRL)
  • Yetkinin elinden alınması (privilegeWithdrawn)
  • Üst Sertifika Otoritesi’nin anahtarının çalınması (aACompromise)

2.4) Sertifika Alınmasında Güvenlik

Bir makinenin elde ettiği sertifikayı geçerli sayması için temel olarak 3 kıstası vardır:

  • Sistem saati, sertifikanın geçerliliğinin başlangıç ve bitiş tarihleri arasında olmalıdır.
  • Sertifika iptal edilmemiş olmalıdır.
  • Sertifika, makinede yüklü olan güvenilir köklerden üretilmiş olmalıdır.

Organizasyonda kullanılacak olan bir sertifikanın alınması sırasında bir takım noktalara dikkat etmek gerekmektedir. Bu noktalardan bazıları şu şekildedir:

  • Sertifika, “Tarafsız ve Güvenilir Üçüncü Parti Sertifika Otoritesi”nden alınmalıdır. Bu sertifika otoritesi birçok sistem tarafından(web tarayıcıları, işletim sistemleri vs.) kabul edilmiş olmalıdır. Ayrıca bu otoritenin Sertifika İptal Listeleri’ni (CRL) güncel olarak tuttuğundan emin olunmalıdır.
  • Sertifikada minimum 2048 bit anahtar çifti olmalıdır.
  • Alınan sertifika sigorta kapsamında olmalıdır.
Kaynak:

http://193.140.70.50/dosyalar/kitaplar/aaa/index.html?aaatemelleri.html

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.