Google'dan güvenli iletişim için yeni bir adım: Anahtar Şeffaflığı Sistemi

3
tongucyumruk

Tam da WhatsApp'ın kullanıcıların şifreleme anahtarlarını değiştirmesinin bir güvenlik açığı oluşturup oluşturmadığının tartışıldığı şu günlerde Google sanki önceden durumun kokusunu almış gibi kullanıcıların anahtarlarını ve anahtar geçmişlerini doğrulamayı sağlayacak Anahtar Şeffaflığı (Key Transparency) aracını duyurdu.

Anahtar Şeffaflığı sunucu/istemci modeli ile çalışan bir anahtar dağıtım sistemi. Özünde sunduğu bir kullanıcı kimliğinin tüm geçmişini kayıt altına almak. Örneğin bir hesabın anahtarları değiştiği veya hesap sıfırlandığı zaman bütün bu bilgiler bir kayıt defterine işlenerek gerektiğinde hesap sahibi tarafından doğrulanabiliyor. Bu sayede Google açık anahtar şifreleme sistemlerinin en büyük sıkıntılarından biri olan "anahtar dağıtımı" problemini kökten çözmeyi hedefliyor.

Tabi bu noktada hepimizin aklına gelen soru: Bütün bu anahtar verisi nerede saklanacak? İyi haber: Google'da değil. Kötü haber: Şimdilik sadece ayar dosyasına yazabileceğiniz bir sunucuda. Bu sayede bir üçüncü partinin servis olarak sunduğu bir sunucuda yahut kendi sunucunuzda bu veriyi saklayabileceksiniz. Peki sizi tanımayan birinin anahtarınızı bulması gerektiği zaman ne yapacak? Bu sorunun cevabı ne yazık ki protokolun ikinci sürümüne ötelenmiş durumda.

Bu haliyle Anahtar Şeffaflığı sistemi halihazirda anahtar dağıtımı için kullanılan HKP/SKS gibi protokollerin bulunabilirlik dezavantajını paylaşsa da gerek hesap denetimini mümkün kılması, gerekse arkasındaki Google desteği sayesinde hızla yaygınlaşabilecek olması bir avantaj sağlıyor. Önümüzdeki günlerde Anahtar Şeffaflığının güvenli iletişim sistemlerine etkilerini görebileceğimizi umalım.

İlgili Yazılar

Paranoyaklar için Linux: Tinfoil Hat

sundance

Bilgisayarınızda herhangibir şifre girerken rahatsız mı oluyorsunuz ? Bir başkasının bilgisayarına oturduğunuz zaman ilk onbeş dakika herhangibir keylogger var mı diye aramakla mı geçiyor ? PGP kullanmadığınız her e-mailin bir gün size soruşturma diye döneceğinden mi korkuyorsunuz ?

İşte sizin gibi normal vatandaşlar için bir Linux dağıtım Tinfoil Hat
Herhangibir keylogger kullanılmaması, PGP integrasyonu, şifrelerin ekrandan seçerek girilmesinden tutun da anti-tempest ekran renkleri ile herhangibir dijital kamera ile ekranın fotoğrafının bile çekilememesini sağlayan bir dağıtım... FZ, söz senin ;)

Bir Türk Güvenlik Sitesi - Olympos

FZ

Geçen hafta haberdar olduğum bir site ile ilgili fazlamesai.net üyelerini bilgilendirmek istedim.

Olympos Network Security, hayatlarını ağ ve bilgisayar güvenliğini araştırma, geliştirmeye adamış kişiler tarafindan kurulmuş. Tek amacı Türkiye’de Bilgisayar/Ağ güvenliği konusunda insanları bilgilendirmek olan bu sitede yayınlanan her şey profesyonel bir ekip tarafından hazırlanmakta.

Google Ventures, Google'dan risk sermayesi

akoguzh

Google ne yapsa olay oluyor. Bu sefer yeni bir hizmet veya yazılım değil direk olarak 'next big thing' i gerçekleştirme potansiyeli olanları desteklemek (yada küçükken yutmak) amaçlı risk sermayesi fonunu duyurdular.

http://googleblog.blogspot.com/2009/03/googles-newest-venture.html
http://www.google.com/ventures/

Paranoyaklar için THL

FZ

Güvenlik konusunda hassas bir insan olabilirsiniz. Kullandığınız bilgisayarın klavyesinde bastığınız tuşların bir yazılım ya da donanım tarafından bir yerlere kaydedildiğini düşünüyor olabilirsiniz (key logging). PGP anahtarlarınızın çalınacağından korkuyor olabilirsiniz. Ya da birilerinin TEMPEST yöntemi ile sistemi gözetlediğinden şüpheleniyor olabilirsiniz.

Yani kısaca paranoyak olabilirsiniz ve o zaman Tinfoil Hat Linux ilginizi çekebilir.

Not: Biraz fazla popüler olan bu yazılımın web sitesi eğer sizi hayal kırıklığına uğrattı ise bana küfretmeden önce sistemin yazarının iddia ettiği gibi birkaç hafta bekleyin, olmazsa şikayetlerinizi gene yukarıda bahsi geçen kişiye iletin ;-)

fazlamesai'ye soralım: Ev yapımı alarm sistemleri

butch

Çoğumuzun (özellikle İstanbul'da yaşayanların) gerek aylık servis, gerek tek ödemeyle edindiği alarm sistemlerini kullandığını tahmin ediyorum. Tam da doların başını alıp gittiği bu dönemde dövize endeksli sistemler için yaptığımız harcamanın bir AR-GE yatırımı olarak kullanılabileceği düşüncesiyle fazlamesai'ye sormaya karar verdim. Elimizde RaspberryPi, binbir çesit algılayıcı,...