4. Asimetrik (Genel Anahtar)Asimetrik (Genel Anahtar)
ŞifrelemeŞifreleme
ŞİFRELEME
A
Orijinal metinOrijinal metin
DEŞİFRELEME
B
Orijinal MetinOrijinal MetinŞİŞİFRELİ METİNFRELİ METİN
B’nin Genel (Public)
Anahtarı
B’nin Özel (Private)
Anahtarı
5. Oturum AnahtarıOturum Anahtarı
((OneOne--timetime keykey) ile Şifreleme) ile Şifreleme
ŞİFRELEME
A
Orijinal metinOrijinal metin
Oturum Anahtarı
ŞİŞİFRELİ METİNFRELİ METİN
ŞİFRELEME
A
B’nin Genel (Public)
Anahtarı
ŞİŞİFRELİ Oturum AnahtarıFRELİ Oturum Anahtarı
Şifreli Metin
jdhjfdhhj
6. Oturum Anahtarı ile ÇözmeOturum Anahtarı ile Çözme
Şifreli Metin
Jdhjfdhhj,xfdh Jdhjfdhhj,xfdh
B’ninÖzel
Anahtarı
Oturum
Anahtarı
Şifreli Metin
Orijinal Metin
8. Sayısal İmza KontrolüSayısal İmza Kontrolü
Hash
Fonksiyonıu
İmzalanmış
Mesaj
Özüt
İmzalayanın
Genel
Anahtarı
Şifrelenen
Özüt
Çözülen
Özüt
akmsnjcxnc
vddfjXkdfjk
djdkfjkdaLS
KA
Özütler
eşitse imza
doğrudur
9. Sertifikalar, Sertifika Otoriteleri (SO)Sertifikalar, Sertifika Otoriteleri (SO)
* Güvenilir üçüncü kişi konumundadırlar.
* Kişinin kimliği ile açık anahtarı arasındaki ilşkiyi
doğrularlar.
- Genel anahtar
- Sertifika bilgisi ( “kimlik”, isim, kullanıcı ID vb.)
- Bir veya daha fazla sayısal imza.
13. Genel AnahtarGenel Anahtar
&&
Güven BelgesiGüven Belgesi
Oğuz
Sertifika
Otoritesi
SO
Oğuz
Oğuz’un güven
Belgesi
+ Hash
fonksiyonuOğuz
Oğuzhan
SO kullanıcı güven belgesi, genel anahtar ve
diğer özellikleri imzalar
Oğuz
İmza
SO
SO
SertifikasyonSertifikasyon İşlemiİşlemi
Güvenli Dağıtım
14. PGP Sertifika FormatıPGP Sertifika Formatı
* PGP versiyon numarası
* Sertifika sahibinin genel anahtarı. (RSA,DSA,DH algoritm.)
* Sertifika sahibinin bilgileri.
(kimlik bilgileri;adı, user ID, fotovb.)
* Sertifika sahibinin sayısal imzası.
* Sertifikanın geçerlilik süresi.
* Anahtar için önerilen simetrik şifreleme algoritması.
CAST, IDEA veya Tripple DES.
15. X.509 Sertifika FormatıX.509 Sertifika Formatı
• X.509 versiyon numarası.
• Sertifika sahibinin genel anahtarı.
• Sertifika Seri Numarası.
• Sertifika sahibinin benzersiz kimliği. (veya DN).
Bir DN birçok alt koldan oluşur;
CN (Genel isim) =Oğuzhan Taş veya Bob Allen
gibi.
-OU (Organizasyonel Birim)Total Network Security
Division gibi.
-O (organizasyon) = Network Associates Inc.
-C (ülke) = US veya TR gibi.
• Sertifika Geçerlilik Periyodu.
• Sertifika sağlayıcısının benzersiz adı
• Sağlayıcının sayısal imzası.
• Algoritma tanımlamayıcı imzası.
16. Açık Anahtar Altyapısı (AAA)Açık Anahtar Altyapısı (AAA)
(Public Key Infrastructure(Public Key Infrastructure--PKI)PKI)
Açık Anahtar acaba sahibine ait mi?
Büyük gruplara genel anahtar nasıl dağıtılacak?
SO’lar arasında iletişim nasıl sağlanacak?
Güvenli transfer nasıl olacak.?
E-mail, dosya transferi, uzaktan erişim vb. için.
17. X509 Sertifika YapısıX509 Sertifika Yapısı
(Hiyerarşik Yapı)(Hiyerarşik Yapı)
Kök SO
Son Kullanıcı
Diğer SO’lar
Alt seviye SO’lar
Örnek: PEM (Privacy Enhanced Mail)
(Güvenli ve doğru e-mail transferi)
18. X.509X.509
Son kullanıcı- SO ayrımı vardır.
3-7 safhalı üç ağaç hiyerarşisi vardır.
Çapraz sertifikalar aracılığı ile seçimsel SO
ağları biçimlenebilir. (PEM’e uygulanamaz)
PKIX = Public Key Infrastructure for X.509, S-MIME
(Security Multipurpose Mail Extensions PKIX) altyapısındadır.
24. Sertifika Yolu (2)Sertifika Yolu (2)
- Doğrulayıcı ilk SO’nun genel
anahtarını bilmek zorundadır.
- Diğer genel anahtarlar birer
birer doğulanır.
- Yoldaki tüm SO’lar doğrulayıcıya
güvenmek zorundadır.
25. AAA(PKI) Uygulama AlanlarıAAA(PKI) Uygulama Alanları
Müşterilerin, işverenlerin, çalışanların e-posta alış-verişlerinde.
Uzak dağıtık veritabanları ve intranetlere erişimde.
Elektronik formlarda, örneğin sipariş faturalarında.
Elektronik ticaretin içerdiği elektronik veri alış-verişi
ve finansal işlemlerde.
Masaüstündeki dosya ve dizinlerin korunup,
güvenliğinin sağlanmasında.
Elektronik çeklerde.
Sayısal evraklar, kira kontratları, borç senetleri vs.
Elektronik zaman kartlarında.
Vergi formlarında,
İş tabanlı otomasyonlarda, (imza gereken evraklarda).
26. Sertifika Dizin ServisleriSertifika Dizin Servisleri --X.500X.500
X.500
- Dağıtık dizin servisi.
- Nesne Sınıfları,ülke,organizasyon,org.birim ve kişi.
- Ağın kendi kendine düzenlenebilir olmasını sağlar.
- Güvenlik, özdeşlik, gizlilik gerçekleşmesi.
-X.509, X500 dizin servisinin bir parçasıdır.
- X.509 Sertifika İptal Listesi (CRL) için bir sintaks tanımlar.
27. Dizin Servisleri LDAPDizin Servisleri LDAP
LDAP (Lightweight Directory Access Protocol)
- İlk başlarda PC (istemci)’lerin X.500 dizin servisine erişimi
için...
- Dizin bilgilerini yönetmek ve düzenlemek için bir istemci
sunucu protokolü belirtir.
- X.509 güvenliği.
- Düşük maliyetlidir.
28. İİçiçe Sertifikalarçiçe Sertifikalar
(Nested Certificates)(Nested Certificates)
z Alt sertifikalar üzerinden imza bütünlük ve
doğruluğunun garanti edilmesinde kullanılır.
z Klasik sertifikalar açık anahtarı, içiçe sertifikalar alt
sertifikayı doğrularlar.
z Alt sertifikalar klasik veya içiçe olabilir.
z İçiçe Sertifika Otoritesi (NCA veya İSO)’nin sayısal
imzasıyla nested sertifika dağıtılır.
z Doğrulanacak alt sertifikanın içeriği CA ve NCA
tarafından imzalanmış olmalıdır. (1)
z Doğrulanacak alt sertifikanın içeriği değişmemiş olmalı.
(2)
29. İİçiçe Sertifikalarçiçe Sertifikalar
(Nested Certificates)(Nested Certificates)
Diğer Sertifika Alanları
Alt sertifika içeriğinin Hash’i
Alt sertifika İmzası
İMZA (NCA tarafındandan
onaylanmış)
İçiçe Sertifika
İMZA (CA veya NCA
tarafından imzalanmış)
Kopyalama
Sertifika İçeriği
Alt sertifika
HASH
Sertifika İçeriği
Sertifika Yayımlama
İçiçe sertifikanın NCA’sı
1111
2222
30. İİçiçe Sertifikaları Özellikleriçiçe Sertifikaları Özellikleri
Zaman bakımından verimli. Klasikler
çok zaman alıyor. İçiçe sertifikalarla
160.000 kullanıcı için 2.5 zaman,
klasikte 3.85 zaman alıyor.
NPKI (Nested PKI) etkili ve verimli
bir sertifika yolu tanımlıyor.
Yol bir klasik sertifika ile başlamalı.
31. SSL (Secure Socket Layer)SSL (Secure Socket Layer)
(Güvenli Yuvalar Katmanı)(Güvenli Yuvalar Katmanı)
• Hizmet biriminden istemciye kimlik kontrolü yapılır.
• İstemci ile hizmet biriminin kriptografik algoritma ve
şifre seçmesine izin verir.
• İstemciden hizmet birimine seçimsel olarak kimlik
kontrolü yapılır.
• Paylaşım sırlarının oluşturulmasında public key şifreleme
tekniği kullanılır.
• Şifrelenmiş bir SSL bağlantısı kurulur.
35. SSL tarafından tanınanSSL tarafından tanınan
AlgoritmalarAlgoritmalar
z RSA (İmzalama, Şifreleme -Genel Anahtar)
z DES (Şifreleme - simetrik anahtar - 56 Bit key-64 bit blok)
z DSA (İmzalama)
z IDEA (Simetrik anahtar, 128 bit key,64 bit blok)
z KEA, RSA (Anahtar değiş-tokuşu)
z MD5 (Mesaj Özütü-128 bit)
z SHA-1 (Mesaj Özütü-168 bit)
z RC2,RC4,RC5 (Simetrik-Değişken key, blok)
z SKIPJACK (Simetrik anahtar -80 bit key- 64 bit blok-
Clipper Çipi)
z Triple DES (168 bit key)
36. SETSET
(Secure Electronic Transaction)(Secure Electronic Transaction)
Visa, Mastercard, Microsoft, Netscape, GTE,
IBM, SAIC, Terisa Systems ve Verisign
Taraflar: Müşteri, Üye, Banka
Kredi kartı İnternet ortamında kullanılmaz.
Yerine Banka sertifikası kullanılır.
Kredi kartının SET uyumlu olması.
Sanal Cüzdan Programı. (S.c.p)
Kredi kartını S.C.p’ye tanıtılması.
37. Sanal Mağaza için gerekenler
- V POS (Point of Sale)
- Sayısal Sertifika
İlişki
Müşteri sanal cüzdanı ile mağazanın
V-pos yazılımı.
X.509 tabanlıdır (PEM gibi)
SETSET
(Secure Electronic Transaction)(Secure Electronic Transaction)
38. SET İşleyişiSET İşleyişi
Müşteri
Satıcı Bankası
Müşteri Bankası
On-line Satıcı
1111
2222
3333
Sipariş
Onay Sorgusu
Onay5555
6666
4444
7777
Ürün sevkedildi
Kredi
Ödeme Tutarı
Hesaba Geç
42. Yeni “SECURE” http tipi.
s-http modları: imza,gerçekleme,şifreleme,
s-http message:
– istek/durum katmanı
– başlık
– kapsüllenen içerik.
z Diğer s-http mesajı
z bir http mesajı
z veri (data)
SS--HTTP KatmanıHTTP Katmanı