Google'dan güvenli iletişim için yeni bir adım: Anahtar Şeffaflığı Sistemi

3
tongucyumruk

Tam da WhatsApp'ın kullanıcıların şifreleme anahtarlarını değiştirmesinin bir güvenlik açığı oluşturup oluşturmadığının tartışıldığı şu günlerde Google sanki önceden durumun kokusunu almış gibi kullanıcıların anahtarlarını ve anahtar geçmişlerini doğrulamayı sağlayacak Anahtar Şeffaflığı (Key Transparency) aracını duyurdu.

Anahtar Şeffaflığı sunucu/istemci modeli ile çalışan bir anahtar dağıtım sistemi. Özünde sunduğu bir kullanıcı kimliğinin tüm geçmişini kayıt altına almak. Örneğin bir hesabın anahtarları değiştiği veya hesap sıfırlandığı zaman bütün bu bilgiler bir kayıt defterine işlenerek gerektiğinde hesap sahibi tarafından doğrulanabiliyor. Bu sayede Google açık anahtar şifreleme sistemlerinin en büyük sıkıntılarından biri olan "anahtar dağıtımı" problemini kökten çözmeyi hedefliyor.

Tabi bu noktada hepimizin aklına gelen soru: Bütün bu anahtar verisi nerede saklanacak? İyi haber: Google'da değil. Kötü haber: Şimdilik sadece ayar dosyasına yazabileceğiniz bir sunucuda. Bu sayede bir üçüncü partinin servis olarak sunduğu bir sunucuda yahut kendi sunucunuzda bu veriyi saklayabileceksiniz. Peki sizi tanımayan birinin anahtarınızı bulması gerektiği zaman ne yapacak? Bu sorunun cevabı ne yazık ki protokolun ikinci sürümüne ötelenmiş durumda.

Bu haliyle Anahtar Şeffaflığı sistemi halihazirda anahtar dağıtımı için kullanılan HKP/SKS gibi protokollerin bulunabilirlik dezavantajını paylaşsa da gerek hesap denetimini mümkün kılması, gerekse arkasındaki Google desteği sayesinde hızla yaygınlaşabilecek olması bir avantaj sağlıyor. Önümüzdeki günlerde Anahtar Şeffaflığının güvenli iletişim sistemlerine etkilerini görebileceğimizi umalım.

İlgili Yazılar

Code Red Paniği

conan

Son zamanlarda özellikle Amerika`da, 1 Agustos`ta (yani yarın) Code Red`in azacağı ve herkesin bundan çok kötü etkileneceği gibi izlenimler yaratılıyor. Dolayısıyla bazı Amerika tabanlı haber kaynaklarımız (!) da bu panik dalgasından etkilenmişe benziyor. Gelelim code red isimli worm`un neler yaptığına. İnceleyelim ki panik gerçekten gerekli mi anlayalım.

Google'dan yeni bir sistem programlama dili: Go

gismo

Son iki yıldır Google'un ataklarını izliyoruz: GWT, Android, Chrome, derken C++'a alternatif bir sistem programlama dili ile Google yine sahne aldı:

http://google-opensource.blogspot.com/2009/11/hey-ho-lets-go.html

Internet Explorer çapraz-site yönlendirme güvenlik açığı

Challenger

Olympos.org' da yer alan bu habere göre Internet Explorer' da uzaktan kod çalıştırmaya imkan tanıyan bir açık ortaya çıktı. Açık Internet Explorer'ın HTTP yönlendirmelerini işleyişinde yer alıyor. Uzaktaki bir kullanıcı özel bir HTML yaratarak hedef sistemde yüklendiğinde (Local Comuter zone ayarlarında) istediği kodu çalıştırabiliyor.

İşin asıl önemli noktası açığa bir yama çıkmayışı.
Not: Yamaya yamaya daha nereye kadar?

Editörün Notu: Daha bu sabah sözde Citibank´tan bana bir e-posta geldi, şu adrese girin ve gerekli düzenlemeleri yapın aksi takdirde sisteme erişiminiz engellenecektir şeklinde. E-postayı incelediğimde fantastik bir URL kurgulamış olduklarını gördüm ve kimbilir kaç kişinin Outlook+IE ortamında buna tıklayarak zarar göreceğini düşünerek hayıflandım.

Web sayfasında adres yayınlamak...

sundance

İnsanların size ulaşabilmesi için web sayfanızda adresinizi yayınlamak istiyorsunuz, fakat sayfaları dolaşıp email adresi toplayan web spiderlarından da illallah dediniz. Adresinizi sundance at fazlamesai nokta net veya fazlamesai.net de sundance diye yazdınız, bu sefer de ortalama IT müdürünün bu adresi anlayıp anlamayacağından endişe etmeye başladınız :)

Bu java script sayesinde artık böyle bir derdiniz kalmayacak. Sayfaya girip email adresinizi yazın ve anında size hiçbir spiderın anlayamayacağı karmaşıklıkta geri verilsin. Hem de sayfa üstündeki görüntüsünde ve linkinde hiçbir sorun olmadan. Dahası Javascripti sadece karmaşıklaştırılmış adresinizi bir kez oluşturmak için kullanıyorsunuz, sayfanıza girecek kullanıcıların browserlarında olması da gerekli değil.

DHKP-C sitesi hack`lendi

anonim

Amerika'da 11 Eylül'de yapılan terörist saldırıların ardından ismi ABD resmi makamları tarafından PKK ile birlikte 'terör örgütü' listesine dahil edilen yasadışı Devrimci Halk Kurtuluş Partisi-Cephesi`nin (DHKP-C) başı Türkiye'de bilgisayar korsanları (hacker) ile dertte.

Bir grup hacker, yasadışı sol örgüt DHKP-C'nin resmi web sitesi www.kurtulus.com'un sayfalarına müdahale etti. Kendilerine @Team diyen grup sayfayı hack ettikten sonra girişe, 'Amerikada yaşanan vahşeti protesto ediyoruz' yazısını yerleştirdi. Sayfada ayrıca, 'Terörizme son' yazısı dikkat çekti.

Bu arada aynı terörist grubun www.dhkpc.com adresindeki sayfalarıda bir süre önce başka bir hacker grubu tarafından ele geçirilmişti. Kendilerine Digital Angels Team (Dijital Melekler Takımı) adını veren grup sayfanın ortasına kendilerine ait bir logoyu yerleştirdikten sonra yine gruplarına ait sayfa içinde link vermişlerdi.