Gizli anahtarlarınızı gizleyemezsiniz!

0
tongucyumruk
İngiliz ulusal güvenlik ajansı Home Office, 2000 yılında çıkan RIPA adlı yasanın üçüncü bölümündeki bugüne kadar kullanmaya başlamadğı hakkını kullanmak yönünde hazırlıklara başladı. Sözkonusu yasanın üçüncü bölümü İngiliz polisine ihtiyaç duyması halinde kişilerin açık anahtar tabanlı şifreleme uygulamalarında kullanılan gizli anahtarını isteme hakkını tanıyor. Gizli anahtarını teslim etmeyi reddedenler içinse hapis cezası öngörülüyor.
Uygulamanın dikkat çeken yanı ise dosyaların şifrelenmemiş halinin değil, doğrudan doğruya şifrelemede kullanılan anahtarın kendisinin isteniyor olması. Bu haliyle uygulama bugüne kadar İngiltere'de kişisel özgürlüklere karşı yapılmış en büyük saldırılardan biri olarak nitelendiriliyor.

Diğer bir önemli nokta ise uygulamanın yol açabileceği haksız suçlamalar. Şu örneği ele alalım: Bir açık/gizli anahtar çiftim var. Birgün gizli anahtarımı kaybediyor ve yeni bir anahtar çifti kullanmaya başlıyorum. Bu arada hiç tanımadığım fakat polis tarafından takip edilen biri benim eski ve artık kullanmadığım açık anahtarımı kullanarak bir dosyayı şifreleyip bana gönderiyor. Göndermesiyle birlikte de İngiliz polis teşkilatı kapımda belirip gizli anahtarımı istiyor. Bu durumda haksız yere hapis cezasına mahkum oluyorum...

Biri "Kuzey Ateşi" mi dedi? Yok canım, daha neler... Her neyse... England Prevails (Yaşasın İngiltere)

Not: Açık Anahtar Şifreleme nedir diye soranları buraya alalım: 1 2 3

Görüşler

0
acemi_
Bu arada hiç tanımadığım fakat polis tarafından takip edilen biri benim eski ve artık kullanmadığım açık anahtarımı kullanarak bir dosyayı şifreleyip bana gönderiyor. Göndermesiyle birlikte de İngiliz polis teşkilatı kapımda belirip gizli anahtarımı istiyor. Bu durumda haksız yere hapis cezasına mahkum oluyorum...

Artık elde olmadığı için verilemeyen gizli anahtardan dolayı, kimsenin hapis yatacağını sanmıyorum. Böyle bir ceza verilebilmesi için anahtarın hala kişide olduğunun ama kasıtlı olarak verilmediğinin bir şekilde ispatlanması gerekir.

Bu olaya, özgürlükler adına karşı çıkmak gerekiyor olabilir ama bunu, varsayımlara dayanan ve doğrudan yasayla alakalı olmayan kötü kullanım senaryolarıyla yapmamak lazım bence

0
tongucyumruk
İdeal bir hukuk sisteminde bu dediğinz tamamen doğru olurdu. Zira normalde hukuk sistemlerinde birşeyin yokluğunun değil varlığının ispatlanması esastır. Yalnız herşey gibi hukukta o kadar mükemmel işlemiyor. Bu nedenle bence yazılan senaryo o kadar da abartılı değil.
0
ttk
O zaman gizli anahtarımızı kaybetmemeye dikkat etmemiz lazım. 10-15 yere kopyasını koymakta fayda var. Yoksa anahtarı kaybettiğimize inandırıncaya kadar dayaktan eskiriz :)
Söze gelince komik ama fiiliyatta ne yazık ki durum böyle.
Gizli iş çevirip gizli anahtarını kaybettiğine dair yalan söyleyenle gerçekten kaybedenin ayırt edilmesinin çok zor olması, söz konusu olan toplum güvenliği olunca kişisel gizlilik, ve masumiyet, isbat isteği savunmlarının etkisiz kalması durumları da var.
"Ulan olm uğraştırma madem kabahatsizsin versene şu anahtarı" söylemi ve toplumun "şuna bak kişisel gizlilikmiş, kimbilir ne halt etti de, o kadar sorgudan sonra bile vermedi anahtarı" demesi üst üste konulunca, ne desen boş.
0
sundance
Buna benzer bir uygulama yıllardır gerçekleşmekte. Herhangi bir adli soruşturmada eğer şifreli bir dosyanız/kasanız varsa ve mahkeme sizden açmanızı isterse "açmıyorum" hatta "şifremi unuttum" deme hakkına sahip değilsiniz. Bu mahkeme ile işbirliği yapmamak anlamına gelir ve cezalandırılır.

Bildiğim kadarıyla başta Amerika ve AT olmak üzere dünyanın birçok ülkesindeki uygulama bu şekilde.

Bu sebeple, -keyfe keder olmamak şartıyla- mahkeme kararıyla gizli anahtar alınabilir bence. Bunun mahkeme kararı ile evinizin didik didik edilip aranmasından bir farkı yok. Orada da birilerinin orda olmayan bir eşyayı/belgeyi yerleştirdiğini iddia edebilirsiniz. Dahası hiçkimse sizi mahkemeye verdiğiniz gizli anahtar ile şifrelenmiş yeni bir belge için de suçlayamaz. O yüzden aslında daha bile güvendesiniz evinizin aranmasından.
0
bm
Bildiğim kadarıyla başta Amerika ve AT olmak üzere dünyanın birçok ülkesindeki uygulama bu şekilde.

AB'yi bilmiyorum ama ABD'de boyle olmasi sart olmayabilir. Kendi kendini suclayici ifade vermek zorunda kalmamak anayasal hak orada. (Bakin bu ucuncu sahislari etkilemiyor, yani beni suclayacak bir evrak sifreli sekilde sizdeyse sizi soylediginiz metodla zorlayabilirler -- avukatim veya esim filan degilseniz.) Burada ilginc ictihat ve/veya argumanlar olabilir, bilmiyorum ama iligililer icin diger arama ve referanslara baslangic noktasi olabilecek bir dokuman buldum Google'da "fifth amendment private key" diye arayarak. No Computer Exception to the Constitution: The Fifth Amendment Protects Against Compelled Production of an Encrypted Document or Private Key diye [pdf]. Ben avukat degilim, link verdigim seyi okumadim, bana guvemeyin vs. vs.

0
sefalet
Bildiğim kadarı ile eğer ortada bir dava var ise, davanın konusu ile ilgili bir delili bilinçli olarak saklamak yasadışı.Bunun sayısal ortamda saklanan bir belge olması ile gidip toprağa gömülen bir delil olması arasında fark yok.Aksi takdirde delil saklamaktan dolayı davanın konusu dışında bir suç işlenir.Aynı durum müvekkili aleyhinde bir delili yok etmeye çalışan veya bildiği halde mahkemeye vermeyen avukat için de geçerli.

Haberde bahsi edilen uygulamanın detaylarını bilmiyorum ama nasıl arama izni alırken belli bazı delil ve destekli şüphelerin olması gerekiyor ise, bu tür bir sayısal ortamda şifrelenmiş bir belge vs. nin de şifresinin verilmesi için savcının ya da polisin elinde diğer başka delil ve tanıkların olması gerekir.Bunlar olduktan sonra soruşturmanın neticelenmesi adına istenen şifrenin alınması için hak doğar kanımca.
0
rafet
Bu yorumlardan cikardigim en iyi yolun gizli anahtar sahibi olmamak oldugu. En azindan basiniz bu yuzden belaya girmez. Gizli isleriniz varsa interneti kullanmayin, baska yollar deneyin.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Avustralya, Koreli korsanların tehdidinde!

Soulblighter

Kuzey Kore askeri birliği, 500 kadar bilgisayar korsanı kiraladı. Korsanların görevi Güney Kore, japonya ve Amerika ağlarına sızarak bilgi çalmak.
Güvenlik uzmanları, Avusturalya'nın Amerika ve Avrupa'ya göre daha fazla risk altında olduğunu, bilgisayar korsanları için basit hedef olduğunu söylüyor.
Adını açıklamak istemeyen bir Amerikalı güvenlik uzmanı, Avustralya'nın şirket ağlarına giriş için "arka kapı" olarak kullanılabileceğini ve Kuzey Korenin amacına ulaşmasına neden olabileceği yönünde uyarıyor.
Avustralya'lı firmalar ise Amerika'lı ve Avrupa'lı firmalar ile aynı düşünce yapısına sahip olmasına rağmen güvenlik konusunda daha rahat davranıyorlar. Bu da onları açık tehdit haline getiriyor. Haberin devamı...

JPEG lerde Virüs

redogre

Evet maalesef sonunda bu da yapıldı. McAfee sitesinde ki haberde yeni bulunan Perrun adlı virüsün jpeg uzantılı resim dosyalarını kullanarak bulaştığını yazıyor. Virüsün bulaşması için makinaya extractor'ının da bulaşmış olması gerekiyor. Ama bu olduktan sonra virüs tüm jpeglere bulaşıp yayılıyor.Perrun zararı olmayan bir virüs ama yakında takipçilerinin nasıl olabileceğini herkes tahmin edebilir herhalde.

Sevgili futursuz yazarınız Redogre de, 3 hafta önce ilk defa kurduğu Outlook Express programından açtığı bir jpeg ile Klez sahibi olmuştu. Artık resim dosyalarıda güvensiz olduğuna göre benim gibi rahat insanların da virüs korumasız günleri sona erdi galiba....

Netsec Güvenlik Bülteni: Sayı 30 – 18.07.2010

anonim

Netsec ağ ve bilgi güvenliği listesi üyeleri tarafından hazırlanan güvenlik bülteninin 30. sayısı çıktı.

İstanbul´da Siber Savaş (Hacking) Yarışması!

FZ

SİBER SAVAŞ OYUNLARI 2002 Başlıyor!

Sizleri, bilgisayarları korumak ya da güvenlik önlemlerini aşmak konusundaki becerilerinizi bir eğlenceye dönüştürecek "Siber Savaş Oyunları 2002"ye katılmaya davet ediyoruz.

Bilgisayar güvenliği alanındaki deneyiminizi göstermeye hazır mısınız?

19-21 Aralık 2002 tarihlerinde Istanbul Harbiye Kültür Merkezi (Askeri Müze)'de gerçekleştirilecek "VIII. Türkiye'de Internet Konferansı" (inet-tr'02) kapsamında düzenlenecek Siber Savaş Oyunları yarışmasında iki seçeneğiniz var:

Yeni nmap çıktı!

conan

Vazgeçilmez port scanner nmap`in yeni versiyonu çıktı. (Gerçi çıkalı yaklaşık 10 gün oluyor ama yeni farkettim :)

Son versiyon 2.54BETA31. Yapilan bazı yenilikler ise şöyle:
- ICMP Timestamp ve Netmask ping tipleri eklenmiş. (Normal pinglere cevap vermeyen hostlar bunlara cevap verebiliyor ;)
- data_length seçeneği her ICMP ping tipi için çalışır duruma getirilmiş.
- Bir kaç bug giderilmiş
- Yeni bir çok TCP fingerprint eklenmiş.
- Kod temizlenmiş (compile edilirken verilen warningler ozellikle)

En son versiyonun indirmek için bu adrese gidebilirsiniz.