Açık Anahtar Altyapısı (PKI) Temelleri

Açık Anahtar Altyapısı (Public Key Infrastructure – PKI), güvenilir iletişim ve güvenilir veri depolama amacıyla, asimetrik şifrelemeyi kullanarak anahtar üretimi ve yönetimini sağlayan, veritabanı, servis, uygulama ve standartlar topluluğudur. Bu yazıda Açık Anahtar Altyapısı temelleri incelenecektir.

PKI ile iki taraf arasındaki iletişim adımları temel olarak 2 adımda gerçekleşir.

• Asimetrik şifreleme kullanılarak, taraflar arasında oturum anahtarı üzerinde anlaşılır.
• Oturum anahtarı elde edildikten sonra taraflar arasında simetrik şifreleme ile güvenilir iletişim gerçekleştirilir.

Açık anahtar altyapısına temel olarak aşağıdaki iki sebepten dolayı ihtiyaç duyulur:

• Asimetrik kriptografi sistemlerini gerçeklemek için
• Açık ve özel anahtar yönetmek için

Açık anahtar altyapısı sistemleri; kimlik doğrulama, inkar edilemezlik, mesaj bütünlüğü ve gizlilik gibi hizmetleri simetrik kriptografinin kullanıldığı bir yöntemle sunar. Böylece anahtar dağıtımı ve sayısal imza özellikleri asimetrik kriptografinin, gizlilik hizmeti simetrik kriptografinin sağladığı güvenli bir altyapıya kavuşulur.

 

1) Açık Anahtar Altyapısı Bileşenleri

Açık anahtar altyapısı sayesinde, kullanıcılar arka planda gerçekleşen operasyonlardan habersiz olarak güvenilir bir şekilde işlemlerini gerçekleştirebilmektedir.

PKI temel olarak aşağıdaki bileşenden oluşur:

• Sertifika Otoritesi (Certificate Authority – CA): Açık Anahtar Altyapısı hiyerarşisinin en üstünde bulunan ve diğer bileşenlerin sayısal imzasına güvendikleri makamdır. Sertifika Otoriteleri, sertifika sahiplerinin kimliğini açık anahtarı ile ilişkilendirmekten sorumludur. Bu amaçla, sayısal sertifika üretir, sertifikaların güncel bilgilerini tutar, Sertifika İptal Listesi’ni hazırlar, güncel sertifika listesini ve iptal listesini talep eden istemcilere gönderir. Örnek sertifika otoriteleri(SO) şunlardır: VeriSign, Thawte, Geotrust…

Kurumun iç ağında (internal) da bir PKI kurulabilir. Güvenliği ve esnekliği en üst düzeye çıkarmak için, kök (root) ve ara (policy) CA’larının çevrimdışı; imzalayıcı (issuer) CA’in çevrimiçi olduğu üç katmanlı bir hiyerarşi kullanılabilir. Çevrimdışı CA’lar güvenliği artırır. Birden çok katman, özellikle politika CA’larının kullanımıyla, hiyerarşinin bir bölümünü diğerini etkilemeden iptal edebileceğiniz için esnekliği artırır. En alt katmandaki imzalayıcı CA’lerden birinin anahtarı ele geçirilmişse diğer katmanlar etkilenmeden süreç devam etmiş olur.

• Kayıt Makamı (Registration Authority): Sertifika isteyenlerin kimliklerini doğrular. Daha sonra talepleri Sertifika Otoritesi’ne gönderir.
• Merkezi Sertifika Deposu (Central Directory): Sertifikaların ve iptal listelerinin güvenilir olarak saklandığı ve dağıtıldığı depolardır.
• Arşiv Modülü: Eski tarihli sertifikaların saklandığı bölümdür.
• Anahtar Çiftleri (Key Pairs): Özel ve genel anahtarlardır.
• Sayısal Sertifikalar (Digital Certificates): Sertifika otoritesi tarafından onaylanmış güvenlik araçlarıdır. Sayısal sertifikalar ayrı bir alt başlık olarak incelenecektir.
• Sertifika İptal Listesi (Certificate Revocation List): Bir sebepten dolayı iptal edilmiş olan sertifikaların bulunduğu listedir.
• Sertifika Kullanıcıları: Sertifika talebinde bulunan taraftır. Sertifika deposundan iletişim kurmak istedikleri kullanıcı veya sistemin sertifikasını ve Sertifika Otoritesi’nin yayınladığı iptal listelerini alırlar.

 

ANSI x9.17 standardı, anahtar değişimi ve anahlarların korunması ile ilgilenir.

 

2) Sayısal Sertifikalar

Açık anahtar altyapısı; gizlilik, bütünlük, ve kimlik doğrulama fonksiyonlarını kullanıcıların sayısal sertifikaların kullanması ile sağlar. Kullanıcılar kendisini ispat etmeleri (genel anahtarlarını paylaşmak) için sertifikaları kullanırlar. Sertifika, kendisini ispat etmek isteyen tarafın, açık anahtarını bir Sertifika Otoritesi’ne imzalatmasıyla oluşur. Böylece Açık Anahtar Altyapısı’ndaki her bileşen bu kullanıcının kimliğinden emin olur. Kullanılan sertifikalar için X.509 standardı kabul görüştür.

Sertifikalar, sahibine ait bilgileri ve gerekli algoritma anahtarlarını üzerinde bulundurur. Sertifikalar kişiye özel olduklarından güvenilir bir şekilde muhafaza edilmelidir. Bu amaçla, güçlü güvenlik mekanizmalarına sahip olan akıllı kartlar kullanılmaktadır. “Sertifika = Sayısal İmza + KurumunAçıkAnahtari” diyebiliriz.

Not: Sayısal imzalar için ABD’de DSS (Digital Signature Standard) esas alınır. SHA 512 ve RSA güvenilir olarak kabul edilir.

 

2.1) Uygulama Alanları

Sayısal sertifikaların kullanıldığı uygulamalardan bazıları şu şekildedir:

• S/Mime (Secure / Multipurpose Internet Mail Extensions) ve elektronik posta iletişimi
• Kablosuz bağlantılarda güvenlik
• VPN
• IPSec ile güvenilir veri iletişimi
• Web tarayıcıdaki sertifika ile kimlik doğrulama
• EFS ile veri şifrelemesi
• Disk şifreleme
• Akıllı kart ile kimlik doğrulama ve oturum açma
• SSL ve TLS ile güvenilir veri iletişimi
• LDAP
• Dijital imza ile belge imzalama
• Anlık mesajlaşma

PKI sayısal sertifikaların oluşturulması, yönetimi, dağıtılması, kullanılması, depolanması, gerektiğinde iptal edilmesi için oluşturulmuştur.

2.2) Çift Taraflı Kimlik Doğrulama

Bilgisayar genel anahtarını bir Sertifika Otoritesi’ne imzalattıktan sonra bu genel anahtar kullanılabilir olur. İmzalama işleminden sonra bu genel anahtara sayısal sertifika adı verilir. Bir bilgisayar başka bir bilgisayarla güvenli bir bağlantı kurmak istediğinde kendi sertifikasını hedefteki bilgisayara gönderir. Hedefteki bilgisayar gelen sertifikayı kontrol ederek güvenilir bir Sertifika Otoritesi tarafından imzalanmış ise kendi sertifikası ile cevap verir. Kaynak bilgisayar da hedef bilgisayarla güvenli haberleşmek istemesine karşın hedef bilgisayarın sertifikasının, güvenilir bir Sertifika Otoritesi tarafından imzalanıp imzalanmadığını kontrol eder. Böylece, çift taraflı kimlik doğrulama işlemi gerçekleştirilir. Kimlik doğrulama başarılı olarak yapıldıktan sonra kaynak bilgisayar hedef bilgisayara gönderdiği paketleri hedef bilgisayarın açık anahtarı ile şifreler. Bu paketi de sadece hedef bilgisayarın gizli anahtarı çözebilir. Böylece aralarındaki iletişimin güvenliğini sağlayacak olan oturum anahtarı paylaşılmış olur. Bu oturum anahtarı kullanılarak, oturum süresince şifreli bir trafik oluşur.

2.3) Sertifika İptali

Açık Anahtarlı Altyapı, yönetiminin en kritik adımlarından birisi sertifikaların iptalinin denetlenmesidir. Bir sertifikanın iptal edilmesi ile sertifikanın geçerliliği, normalde belirtilen bitiş tarihinden önce sona erer. Bir sertifikanın geçersiz duruma getirilmesinin bir takım sebepleri vardır. Bazı sebepler şu şekildedir:

• Sertifikaya ait anahtarın kaybedilmesi veya çalınması
• Sertifika politikalarının değişmesi
• Sertifikasyon Makamı’nın anahtarının çalınması
• Sertifikasyon Makamı’nın iptal edilmesi
• Kullanıcının kendi isteği ile sertifikasını iptal ettirmesi (örneğin başka bir SM altında tanımlanmak istenmesi)
• Kullanıcı bilgilerinin (ad, soyad, email adresi gibi) değişmesi
• Kullanıcının yetkilerinin askıya alınması

Sertifika iptal talebi yetkisiz kullanım süresi (grace period), sertifika yetkilisi (CA) sunucusunun bir iptal işlemi gerçekleştirmek için harcadığı maksimum yanıt süresini ifade eder.

Bir sertifikanın seri numarası CRL (Certificate Revocation List – Sertifika İptal Listesi) içinde yayınlandığında bu iptalin nedeni de CRL’de belirtilir. Bu nedenler şunlar olabilir:

• Belirtilmemiş (Unspecified)
• Anahtar çalınması (Key Compromise)
• SM anahtarının çalınması (CA Key Compromise)
• Görev Değişikliği (Affiliation Changed)
• Görev devri (Superseded)
• Sertifika Otoritesi’nin faaliyetini sona erdirmesi (Cessation of Operation)
• Askıya alma (certificateHold)
• CRL’den çıkarma (removeFromCRL)
• Yetkinin elinden alınması (privilegeWithdrawn)
• Üst Sertifika Otoritesi’nin anahtarının çalınması (aACompromise)

 

Çevrimiçi Sertifika Durum Protokolü (Online Certificate Status Protocol – OCSP), her kullanıcının tarayıcısının kullanıcı sertifikasının durumunu otomatik olarak kontrol etmesini sağlar.

 

2.4) Sertifika Alınmasında Güvenlik

Bir makinenin elde ettiği sertifikayı geçerli sayması için temel olarak 3 kıstası vardır:

• Sistem saati, sertifikanın geçerliliğinin başlangıç ve bitiş tarihleri arasında olmalıdır.
• Sertifika iptal edilmemiş olmalıdır.
• Sertifika, makinede yüklü olan güvenilir köklerden üretilmiş olmalıdır.

Organizasyonda kullanılacak olan bir sertifikanın alınması sırasında bir takım noktalara dikkat etmek gerekmektedir. Bu noktalardan bazıları şu şekildedir:

• Sertifika, “Tarafsız ve Güvenilir Üçüncü Parti Sertifika Otoritesi”nden alınmalıdır. Bu sertifika otoritesi birçok sistem tarafından(web tarayıcıları, işletim sistemleri vs.) kabul edilmiş olmalıdır. Ayrıca bu otoritenin Sertifika İptal Listeleri’ni (CRL) güncel olarak tuttuğundan emin olunmalıdır.
• Sertifikada minimum 2048 bit anahtar çifti olmalıdır.
• Alınan sertifika sigorta kapsamında olmalıdır.

 

 

3) PGP (Pretty Good Privacy)

Pretty Good Privacy, 1991 yılında Phil Zimmermann tarafından geliştirilen, OpenPGP standardını kullanarak veri şifrelemek, şifreli veriyi çözmek veya veriyi imzalamak için kullanılan, gönderilen ya da alınan verinin gizliliğini ve kimlik doğrulamasını sağlayan bir bilgisayar programıdır.

PGP kullanıcılar arasında “web of trust” olarak da adlandırılan bir güven ağı oluşturur. Arada merkezi bir CA olmadan kullanıcılar bir birine genel / açık / public anahtarlarını ulaştırırlar. PGP ile şifreli veri (mail, dosya gibi) göndermek için, ilgili / karşı tarafın açık anahtarı kullanılarak veri şifrelenir ve araya giren bir kişi tarafından şifreli verinin okunamaması sağlanır. Açık anahtarlar göndericinin anahtar koleksiyonunda (rehber / anahtarlık gibi) saklanabilir. Bu listedeki her anahtarla bir güven ve geçerlilik düzeyi ilişkilendirilir. Örneğin, A, B’ye C’den daha fazla güvenirse; C’ye kıyasla B için daha yüksek bir güven seviyesi olacaktır.

 

Kaynak:

http://193.140.70.50/dosyalar/kitaplar/aaa/index.html?aaatemelleri.html