Gizli anahtarlarınızı gizleyemezsiniz!

0
281817 181476855250691 6784756 n
tongucyumruk
19 Mayıs 2006 , 1 dakika okuma süresi
İngiliz ulusal güvenlik ajansı Home Office, 2000 yılında çıkan RIPA adlı yasanın üçüncü bölümündeki bugüne kadar kullanmaya başlamadğı hakkını kullanmak yönünde hazırlıklara başladı. Sözkonusu yasanın üçüncü bölümü İngiliz polisine ihtiyaç duyması halinde kişilerin açık anahtar tabanlı şifreleme uygulamalarında kullanılan gizli anahtarını isteme hakkını tanıyor. Gizli anahtarını teslim etmeyi reddedenler içinse hapis cezası öngörülüyor.
Uygulamanın dikkat çeken yanı ise dosyaların şifrelenmemiş halinin değil, doğrudan doğruya şifrelemede kullanılan anahtarın kendisinin isteniyor olması. Bu haliyle uygulama bugüne kadar İngiltere'de kişisel özgürlüklere karşı yapılmış en büyük saldırılardan biri olarak nitelendiriliyor.

Diğer bir önemli nokta ise uygulamanın yol açabileceği haksız suçlamalar. Şu örneği ele alalım: Bir açık/gizli anahtar çiftim var. Birgün gizli anahtarımı kaybediyor ve yeni bir anahtar çifti kullanmaya başlıyorum. Bu arada hiç tanımadığım fakat polis tarafından takip edilen biri benim eski ve artık kullanmadığım açık anahtarımı kullanarak bir dosyayı şifreleyip bana gönderiyor. Göndermesiyle birlikte de İngiliz polis teşkilatı kapımda belirip gizli anahtarımı istiyor. Bu durumda haksız yere hapis cezasına mahkum oluyorum...

Biri "Kuzey Ateşi" mi dedi? Yok canım, daha neler... Her neyse... England Prevails (Yaşasın İngiltere)

Not: Açık Anahtar Şifreleme nedir diye soranları buraya alalım: 1 2 3
Güvenlik
7
Linkedin Facebook Twitter Google plus

Görüşler

acemi_
0
acemi_
Bu arada hiç tanımadığım fakat polis tarafından takip edilen biri benim eski ve artık kullanmadığım açık anahtarımı kullanarak bir dosyayı şifreleyip bana gönderiyor. Göndermesiyle birlikte de İngiliz polis teşkilatı kapımda belirip gizli anahtarımı istiyor. Bu durumda haksız yere hapis cezasına mahkum oluyorum...

Artık elde olmadığı için verilemeyen gizli anahtardan dolayı, kimsenin hapis yatacağını sanmıyorum. Böyle bir ceza verilebilmesi için anahtarın hala kişide olduğunun ama kasıtlı olarak verilmediğinin bir şekilde ispatlanması gerekir.

Bu olaya, özgürlükler adına karşı çıkmak gerekiyor olabilir ama bunu, varsayımlara dayanan ve doğrudan yasayla alakalı olmayan kötü kullanım senaryolarıyla yapmamak lazım bence

281817 181476855250691 6784756 n
0
tongucyumruk
İdeal bir hukuk sisteminde bu dediğinz tamamen doğru olurdu. Zira normalde hukuk sistemlerinde birşeyin yokluğunun değil varlığının ispatlanması esastır. Yalnız herşey gibi hukukta o kadar mükemmel işlemiyor. Bu nedenle bence yazılan senaryo o kadar da abartılı değil.
ttk
0
ttk
O zaman gizli anahtarımızı kaybetmemeye dikkat etmemiz lazım. 10-15 yere kopyasını koymakta fayda var. Yoksa anahtarı kaybettiğimize inandırıncaya kadar dayaktan eskiriz :)
Söze gelince komik ama fiiliyatta ne yazık ki durum böyle.
Gizli iş çevirip gizli anahtarını kaybettiğine dair yalan söyleyenle gerçekten kaybedenin ayırt edilmesinin çok zor olması, söz konusu olan toplum güvenliği olunca kişisel gizlilik, ve masumiyet, isbat isteği savunmlarının etkisiz kalması durumları da var.
"Ulan olm uğraştırma madem kabahatsizsin versene şu anahtarı" söylemi ve toplumun "şuna bak kişisel gizlilikmiş, kimbilir ne halt etti de, o kadar sorgudan sonra bile vermedi anahtarı" demesi üst üste konulunca, ne desen boş.
sundance
0
sundance
Buna benzer bir uygulama yıllardır gerçekleşmekte. Herhangi bir adli soruşturmada eğer şifreli bir dosyanız/kasanız varsa ve mahkeme sizden açmanızı isterse "açmıyorum" hatta "şifremi unuttum" deme hakkına sahip değilsiniz. Bu mahkeme ile işbirliği yapmamak anlamına gelir ve cezalandırılır.

Bildiğim kadarıyla başta Amerika ve AT olmak üzere dünyanın birçok ülkesindeki uygulama bu şekilde.

Bu sebeple, -keyfe keder olmamak şartıyla- mahkeme kararıyla gizli anahtar alınabilir bence. Bunun mahkeme kararı ile evinizin didik didik edilip aranmasından bir farkı yok. Orada da birilerinin orda olmayan bir eşyayı/belgeyi yerleştirdiğini iddia edebilirsiniz. Dahası hiçkimse sizi mahkemeye verdiğiniz gizli anahtar ile şifrelenmiş yeni bir belge için de suçlayamaz. O yüzden aslında daha bile güvendesiniz evinizin aranmasından.
bm
0
bm
Bildiğim kadarıyla başta Amerika ve AT olmak üzere dünyanın birçok ülkesindeki uygulama bu şekilde.

AB'yi bilmiyorum ama ABD'de boyle olmasi sart olmayabilir. Kendi kendini suclayici ifade vermek zorunda kalmamak anayasal hak orada. (Bakin bu ucuncu sahislari etkilemiyor, yani beni suclayacak bir evrak sifreli sekilde sizdeyse sizi soylediginiz metodla zorlayabilirler -- avukatim veya esim filan degilseniz.) Burada ilginc ictihat ve/veya argumanlar olabilir, bilmiyorum ama iligililer icin diger arama ve referanslara baslangic noktasi olabilecek bir dokuman buldum Google'da "fifth amendment private key" diye arayarak. No Computer Exception to the Constitution: The Fifth Amendment Protects Against Compelled Production of an Encrypted Document or Private Key diye [pdf]. Ben avukat degilim, link verdigim seyi okumadim, bana guvemeyin vs. vs.

sefalet
0
sefalet
Bildiğim kadarı ile eğer ortada bir dava var ise, davanın konusu ile ilgili bir delili bilinçli olarak saklamak yasadışı.Bunun sayısal ortamda saklanan bir belge olması ile gidip toprağa gömülen bir delil olması arasında fark yok.Aksi takdirde delil saklamaktan dolayı davanın konusu dışında bir suç işlenir.Aynı durum müvekkili aleyhinde bir delili yok etmeye çalışan veya bildiği halde mahkemeye vermeyen avukat için de geçerli.

Haberde bahsi edilen uygulamanın detaylarını bilmiyorum ama nasıl arama izni alırken belli bazı delil ve destekli şüphelerin olması gerekiyor ise, bu tür bir sayısal ortamda şifrelenmiş bir belge vs. nin de şifresinin verilmesi için savcının ya da polisin elinde diğer başka delil ve tanıkların olması gerekir.Bunlar olduktan sonra soruşturmanın neticelenmesi adına istenen şifrenin alınması için hak doğar kanımca.
rafet
0
rafet
Bu yorumlardan cikardigim en iyi yolun gizli anahtar sahibi olmamak oldugu. En azindan basiniz bu yuzden belaya girmez. Gizli isleriniz varsa interneti kullanmayin, baska yollar deneyin.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Linux´la Erişebilmek, Linux´a Erişebilmek
denizlilikaan
28 Ekim 2003, 1 dakika okuma süresi

Evet abilerim aranızda bana fazla laf düşmez ama yeni keşfettiğim bir kolaylıktan aslında iki kolaylıktan bahsetmek istiyorum

Bir: Geçen hafta sonu değerli bir öğretmenimizin bilgisayarı feci şekilde göçmüştü. Tahmin edersiniz ki MS Win_Me Kullanıyordu.

Makina, Güvenli Kip dahil herhangi bir şekilde açılmayı reddediyordu. Aslında makinayı açıp HDD'yi söküp "Vector Linux yüklü PC"me bağlayıp hocamızın bilgilerini günlük ve yıllık planlarını kurtarabilirdim. (Öğretmenler için Planlar çok önemlidir. Bir de hazırlamak için günlerinizi, gecelerinizi harcadıysanız)

GMAIL güvenlik açığı
mos
31 Ekim 2004, 1 dakika okuma süresi

Anet haber sunucusu, son_dakika ve internet.guvenlik gruplarına bu akşam yollanan habere göre İsrail web sitesi Nana, Google'ın beta aşamasındaki eletronik posta hesabı Gmail'in çok önemli bir güvenlik sorununa sahip olduğunu açıkladı. Buna göre yalnızca kullanıcı ismi ile, herhangi bir şifre gerektirmeden bir Gmail hesabını tam yetkiyle ele geçirmek mümkün.

Bilgisayar Korsanlarına Beş Yıla Kadar Hapis Cezası
FZ
10 Ağustos 2006, 2 dakika okuma süresi

Adalet Bakanlığı'nın bilişim suçlarına ilişkin hazırladığı kanun tasarısında, bilgisayar korsanlarına 2 yıldan 5 yıla kadar hapis ve adli para cezası verilmesi öngörülüyor. Bakanlık, "Bilişim Ağı Hizmetlerinin Düzenlenmesi ve Bilişim Suçları Hakkında Kanun Tasarısı"nı görüşlerini almak üzere diğer Bakanlıklar ve bakanlıklara bağlı kuruluşlar ile yüksek mahkemeler, üniversiteler, barolar, adli tıp, noterlik, bankalar, adli komisyon başkanlıklarının aralarında bulunduğu 100'den fazla kurum ve kuruluşa gönderdi. Bakanlık, söz konusu kurum ve kuruluşların görüşleri doğrultusunda değişik yaparak tasarıya son şeklini verecek.

Tasarıya göre, bilgisayar korsanlarına 2 yıldan 5 yıla kadar hapis ve adli para cezası da öngörülüyor. Buna göre, bir bilişim ağı aracılığıyla; bilişim sisteminde bulunan verileri veya programları hukuka aykırı olarak bozan, silen, değiştiren, yok eden, erişilmez kılan veya sisteme veri veya program yerleştiren, ekleyen, veri veya programlara zarar veren kişi, 2 yıldan 5 yıla kadar hapis ve adlî para cezası alacak.

Sahte Microsoft İmzası
anonim
10 Ocak 2004, 1 dakika okuma süresi

Microsoft bir işletim sistemi üzerinde yine Microsoft bir web tarayıcısı kullanırken akla gelen ilk şey bu dijital imzalardan en güvenilir olanının yine Microsoft firmasına ait olacağını düşünmektir, çok normal bir şekilde de olması gereken budur.

Fakat ne yazık ki durumun böyle olmadığı Microsoft tarafından yapılan ilginç bir açıklamayla anlaşılmıştır. Yapılan açıklamada denildiğine göre 29 Ocak ve 30 Ocak 2001 tarihinde VeriSign dijital imza firmasından bir kullanıcı Microsoft’un bir elemanı olduğuna inandırarak Class3 bir kod imzasını Microsoft adına elde etmeyi başarmış. Bu da pek tabii ki normalde Microsoft’a ait olmayan bir takım kodların sanki Microsoft tarafından dağıtılıyormuş gibi Internet Explorer’da uyarının gelmesi demek. Bu sayede eğer istenirse ActiveX kontrolleriyle ya da MS Office makroları ile bilgisayarınıza girilmesi ya da zarar verilmesi mümkün olmakta. Bu duruma bir aktif içerikli bir web sayfasını ziyaret ederken düşebileceğiniz gibi, üzerinde eklenti bulunan bir mail ile de başınız derde girebilir. Üstelik yapanın imzasında Microsoft yazdığı halde.

ICQ´da Güvenlik Açığı
orqan
9 Mayıs 2003, 1 dakika okuma süresi

Core Security Technologies firmasının ICQ'da 6 tane güvenlik açığı bulduklarını açıkladı. En son versiyon olan Pro 2003a'da da bulunan bu açıkların ICQLite'da bulunmadığını belirten firma yetkilisi Ejovi Nuwere testleri Windows üzerinde yaptıklarını fakat ICQ Pro kullanan diğer platformların da bundan etkilenmiş olabileceğini söyledi.

Haberin tamamını buradan okuyabilirsiniz.