Gizli anahtarlarınızı gizleyemezsiniz!

0
tongucyumruk
İngiliz ulusal güvenlik ajansı Home Office, 2000 yılında çıkan RIPA adlı yasanın üçüncü bölümündeki bugüne kadar kullanmaya başlamadğı hakkını kullanmak yönünde hazırlıklara başladı. Sözkonusu yasanın üçüncü bölümü İngiliz polisine ihtiyaç duyması halinde kişilerin açık anahtar tabanlı şifreleme uygulamalarında kullanılan gizli anahtarını isteme hakkını tanıyor. Gizli anahtarını teslim etmeyi reddedenler içinse hapis cezası öngörülüyor.
Uygulamanın dikkat çeken yanı ise dosyaların şifrelenmemiş halinin değil, doğrudan doğruya şifrelemede kullanılan anahtarın kendisinin isteniyor olması. Bu haliyle uygulama bugüne kadar İngiltere'de kişisel özgürlüklere karşı yapılmış en büyük saldırılardan biri olarak nitelendiriliyor.

Diğer bir önemli nokta ise uygulamanın yol açabileceği haksız suçlamalar. Şu örneği ele alalım: Bir açık/gizli anahtar çiftim var. Birgün gizli anahtarımı kaybediyor ve yeni bir anahtar çifti kullanmaya başlıyorum. Bu arada hiç tanımadığım fakat polis tarafından takip edilen biri benim eski ve artık kullanmadığım açık anahtarımı kullanarak bir dosyayı şifreleyip bana gönderiyor. Göndermesiyle birlikte de İngiliz polis teşkilatı kapımda belirip gizli anahtarımı istiyor. Bu durumda haksız yere hapis cezasına mahkum oluyorum...

Biri "Kuzey Ateşi" mi dedi? Yok canım, daha neler... Her neyse... England Prevails (Yaşasın İngiltere)

Not: Açık Anahtar Şifreleme nedir diye soranları buraya alalım: 1 2 3

Görüşler

0
acemi_
Bu arada hiç tanımadığım fakat polis tarafından takip edilen biri benim eski ve artık kullanmadığım açık anahtarımı kullanarak bir dosyayı şifreleyip bana gönderiyor. Göndermesiyle birlikte de İngiliz polis teşkilatı kapımda belirip gizli anahtarımı istiyor. Bu durumda haksız yere hapis cezasına mahkum oluyorum...

Artık elde olmadığı için verilemeyen gizli anahtardan dolayı, kimsenin hapis yatacağını sanmıyorum. Böyle bir ceza verilebilmesi için anahtarın hala kişide olduğunun ama kasıtlı olarak verilmediğinin bir şekilde ispatlanması gerekir.

Bu olaya, özgürlükler adına karşı çıkmak gerekiyor olabilir ama bunu, varsayımlara dayanan ve doğrudan yasayla alakalı olmayan kötü kullanım senaryolarıyla yapmamak lazım bence

0
tongucyumruk
İdeal bir hukuk sisteminde bu dediğinz tamamen doğru olurdu. Zira normalde hukuk sistemlerinde birşeyin yokluğunun değil varlığının ispatlanması esastır. Yalnız herşey gibi hukukta o kadar mükemmel işlemiyor. Bu nedenle bence yazılan senaryo o kadar da abartılı değil.
0
ttk
O zaman gizli anahtarımızı kaybetmemeye dikkat etmemiz lazım. 10-15 yere kopyasını koymakta fayda var. Yoksa anahtarı kaybettiğimize inandırıncaya kadar dayaktan eskiriz :)
Söze gelince komik ama fiiliyatta ne yazık ki durum böyle.
Gizli iş çevirip gizli anahtarını kaybettiğine dair yalan söyleyenle gerçekten kaybedenin ayırt edilmesinin çok zor olması, söz konusu olan toplum güvenliği olunca kişisel gizlilik, ve masumiyet, isbat isteği savunmlarının etkisiz kalması durumları da var.
"Ulan olm uğraştırma madem kabahatsizsin versene şu anahtarı" söylemi ve toplumun "şuna bak kişisel gizlilikmiş, kimbilir ne halt etti de, o kadar sorgudan sonra bile vermedi anahtarı" demesi üst üste konulunca, ne desen boş.
0
sundance
Buna benzer bir uygulama yıllardır gerçekleşmekte. Herhangi bir adli soruşturmada eğer şifreli bir dosyanız/kasanız varsa ve mahkeme sizden açmanızı isterse "açmıyorum" hatta "şifremi unuttum" deme hakkına sahip değilsiniz. Bu mahkeme ile işbirliği yapmamak anlamına gelir ve cezalandırılır.

Bildiğim kadarıyla başta Amerika ve AT olmak üzere dünyanın birçok ülkesindeki uygulama bu şekilde.

Bu sebeple, -keyfe keder olmamak şartıyla- mahkeme kararıyla gizli anahtar alınabilir bence. Bunun mahkeme kararı ile evinizin didik didik edilip aranmasından bir farkı yok. Orada da birilerinin orda olmayan bir eşyayı/belgeyi yerleştirdiğini iddia edebilirsiniz. Dahası hiçkimse sizi mahkemeye verdiğiniz gizli anahtar ile şifrelenmiş yeni bir belge için de suçlayamaz. O yüzden aslında daha bile güvendesiniz evinizin aranmasından.
0
bm
Bildiğim kadarıyla başta Amerika ve AT olmak üzere dünyanın birçok ülkesindeki uygulama bu şekilde.

AB'yi bilmiyorum ama ABD'de boyle olmasi sart olmayabilir. Kendi kendini suclayici ifade vermek zorunda kalmamak anayasal hak orada. (Bakin bu ucuncu sahislari etkilemiyor, yani beni suclayacak bir evrak sifreli sekilde sizdeyse sizi soylediginiz metodla zorlayabilirler -- avukatim veya esim filan degilseniz.) Burada ilginc ictihat ve/veya argumanlar olabilir, bilmiyorum ama iligililer icin diger arama ve referanslara baslangic noktasi olabilecek bir dokuman buldum Google'da "fifth amendment private key" diye arayarak. No Computer Exception to the Constitution: The Fifth Amendment Protects Against Compelled Production of an Encrypted Document or Private Key diye [pdf]. Ben avukat degilim, link verdigim seyi okumadim, bana guvemeyin vs. vs.

0
sefalet
Bildiğim kadarı ile eğer ortada bir dava var ise, davanın konusu ile ilgili bir delili bilinçli olarak saklamak yasadışı.Bunun sayısal ortamda saklanan bir belge olması ile gidip toprağa gömülen bir delil olması arasında fark yok.Aksi takdirde delil saklamaktan dolayı davanın konusu dışında bir suç işlenir.Aynı durum müvekkili aleyhinde bir delili yok etmeye çalışan veya bildiği halde mahkemeye vermeyen avukat için de geçerli.

Haberde bahsi edilen uygulamanın detaylarını bilmiyorum ama nasıl arama izni alırken belli bazı delil ve destekli şüphelerin olması gerekiyor ise, bu tür bir sayısal ortamda şifrelenmiş bir belge vs. nin de şifresinin verilmesi için savcının ya da polisin elinde diğer başka delil ve tanıkların olması gerekir.Bunlar olduktan sonra soruşturmanın neticelenmesi adına istenen şifrenin alınması için hak doğar kanımca.
0
rafet
Bu yorumlardan cikardigim en iyi yolun gizli anahtar sahibi olmamak oldugu. En azindan basiniz bu yuzden belaya girmez. Gizli isleriniz varsa interneti kullanmayin, baska yollar deneyin.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Default installation

HoLY

Open source sistemlerin güvenlik bakımından kişiye daha bi güven verdiği tartışmasız. Gerçi geçen sene içinde *nix ve türevlerinde bulunan güvenlik açıkları sayısının Windowsa oranla baya bi fazla olmasına rağmen biz genede *nix diyoruz.:)Konuya gireyim,Default installation yapılmış bir sistem internet üstünde ne kadar süre sizce hacklenmeden kalabilir.Süreleri görünce gerçekten şaşırdım, adamlar boş durmuyor. Test amaçlı 4 tane redhat 6.2 sistemi default olarak yükleyip üstündeki aktiviteleri gözlemlemişler.Makinelerden birisinin hacklenme süresi 26 dakika, sistemlere yükledikleri bash key stroke loggerlar sayesinde de ne gibi faliyetlerde bulunulduğunu incelemişler.Konuyla ilgili ayrıntılı bilgi bu linkte. http://www.lucidic.net

NAT arkasındaki makinaları saymak

raistlinthewiz

Gerçekten ilginç bir konu:
http://slashdot.org/article.pl?sid=03/02/05/2129218&mode=thread&tid=95
Kablo modem, DSL ya da normal modem üzerinden birden fazla bilgisayarını Internet´e açanların okumaları menfaatleri icabıdır.

TÜBİTAK Milli Bir Yazılımla Şifrelemeli Cep Telefonu Geliştirdi

anonim

TÜBİTAK Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE), tamamen özgün ve milli bir yazılımla şifreleme özellikli cep telefonu geliştirdi.

Küçücük parmak izi tarayıcı!

conan

Authentec firması dünyanın en küçük parmak izi tarayıcısını piyasaya sunmuş. 14mm x 14 mm x 1,4 mm kare şeklinde olan bu chip/tarayıcının 128 x 128 pixelkarelik bir tanıma matrix'ine de sahip olduğu EntréPad AES3500 Sensor/chip'inin teknik verilerinden anlaşılıyor. USB üzerinden çalışan bu tarayıcı şu an için Microsoft® Windows 98®, ME®, NT® 4.0, 2000®, XP® ve Symbian® uyumluymuş. Firmanın asıl hedefi bu tarayıcının kullanımını PDA gibi ortamlarda yaygınlaştırmak.

Firefox 2.0.0.5 için kritik uzaktan kod çalıştırma açığı

Yns_

Firefox'un yeni çıkan sürümünde ciddi bir açık bulundu, billy'nin bloğundan örnekleri görmek mümkün.

Açık, dinamik sitelerdeki link verme kodlarını da etkiliyebiliyor, regex'i iyi yazılmamış herhangi bir URL bbcode'u ile veya "A" etiketine izin veren herhangi bir sistemde rahatlıkla sömürülebiliyor.