Kriptografi ne kadar güvenli?

0
e2e
Bir süredir devam eden, ABD'nin, İran gizli servisinin iletişimini izlediği yönündeki tartışmaları duymuşsunuzdur. Olay ilk önce bu bilgiyi İran'ın nasıl elde ettiği etrafında dönüyordu. Senaryolardan en kuvvetli olanı ise bir dönemler ABD'nin Irak'ta en çok güvendiği ve gizli servis hizmetlerinden dolayı aylık $335,000 ödediği Ahmad Chalabi'nin bu bilgiyi, içkili bir ABD gizli servis ajanından aldığı ve İran'a verdiğiydi.

BBC'deki bu haber ise olayın teknik olarak nasıl yapılıyor olabileceği üzerinde duruyor.
Çeşitli güvenlik uzmanlarıyla yapılan röportajlardan alıntılarla günümüz kriptografi uygulamalarının kırılamayacağı, bu izleme olayının insan hatası(?) veya bir backdoor sayesinde yapılmış olabileceği anlatılıyor.

Alıntılardan biri beni biraz düşündürttü: Acaba?!

"The Code Book" kitabının yazarı Simon Singh: "... Bugün bir email göndersem, dünyanın tüm gizli servisleri, dünyanın tüm bilgisayarlarını kullansalar dahi çözemezler. Şifrelemeyi yapanlar şifre kırıcıları karşısında oldukça büyük bir avantaja sahipler."

Görüşler

0
Nightwalker
Aslında bu konuda daha deneyimli FM üyeleri bulunmakta. Onların değerlendirmeleriyle bu konuuda bizleri bilgilendirmelerini bekleriz.
0
huseyin
Mailllarda güvenlik asimmetrik şifreleme (public/private key, Diffie-Hellman) yöntemiyle yapılıyor.

sertifika, iki asal sayının çarpımından oluşan çok büyük bir sayı. Şifreleme ve çözme işlemleri matematiksel yöntemler kullanarak, bu sayılar üzerinden yapılıyor.

siz büyük sayıyı kullanarak dosyayı şifreliyorsunuz. Çarpanlarını sadece o bildiği için çözebilir.

N basamaklı bir sayı için, bütün olasılıkları deneyerek çözmeye kalkmak,
exp(c(log log n)^2/3 (log n)^1/3) zaman alıyor.

1024'lük bir sertifika ortalama 2 üzeri 80 'e filan denk gelir.

saniyede bir milyon hesaplamayla, kabaca 2 üzeri 41 yıl yapar.

1 milyon bilgisayarı birleştirseniz 2 üzeri 31 yıla düşer. yani 2 milyar yıl :)
0
simor
Peki bu geçenlerde konusu edilen riemann hipotezinin deneyselliği ve gerçekte uygulanabilirliği kanıtlanırsa (ki konu yine asal sayılardı galiba) bu şifrelemenin geleceği ne olacak gerçekten.
0
huseyin
Sistem tamamen büyük sayıları çarpanlarına ayırmanın zorluğuna dayanıyor.

Eğer kolay bir yöntem bulunursa, önce bankaları soyup, sonra açıklarsınız :)

Bütün şifreleme altyapısı altüst olur.
0
conan
Maillerdeki sifreleme olarak kastettigin GPG, PGP gibi bir cesit sifreleme ise dedigin biraz eksik.

Sifrelemenin kendisi public/private key pair kullanarak yapilmiyor. Sifrelemenin kendisi simetrik sifreleme. Bu sifrelemenin de bir sifresi/anahtari var. Iste bu sifrenin/anahtarin kendisi karsi tarafin public keyi ile sifrelenip cyphertext'e ekleniyor. Karsi tarafa gonderiliyor. Karsi taraf da bu olayin tersini yapiyor.

Not: Diffie Hellman anahtar degistokusu ise PGP'de ElGamal'a donusturulmus bir sekilde kullaniliyor. Aslinda Diffie Hellman simetrik sifrelemede kullanilan anahtarin iki taraf arasinda degistokus edilmesi icin kullanilir genelde. SSL'de bu uygulamanin bir benzerini gorebilirsiniz. (session keyi degistokus etmek icin bir step)
0
robertosmix
Sayın Simon Singh'ın yazdığı The Code Book isimli kitaba inanmasanız çok iyi olur. Kendisi kitabının arkasına şifreli bir metin koymuştu, ve bunu kırana 15,000$ vereceğini vaat etmişti. Ancak çok geçmeden bu şifreli metin 5 genç tarafından kırıldı. (Bkz: http://slashdot.org/article.pl?sid=00/10/11/2247204) Şimdi bu kitabın yazarının kullandığı bu meydan okuyucu lafların ne kadar anlamsız olduğunu fark etmek zor olmasa gerek. Ayrıca The Code Book isimli kitabın hangi yılda yazıldığına da bakarsak, bu kitabı ve yazarı çok da ciddiye almanın gereksiz olduğunu da farkederiz.

Kaldı ki bugün bilişim güvenliği ile yakından alakadar olmuş herhangi bir uzman, kırılamayacak herhangi bir algoritmanın henüz geliştirilmediğini ve muhtemelen de insanlık tarihinin sonuna kadar da geliştirilemeyeceğini söyler. Şimdiye kadar geliştirilmiş bütün algoritmalar zaman içerisinde kırılmıştır, ve şu anda kullanılan algoritmaların büyük bir kısmı da bir süre içerisinde kırılacaktır.

Bugün en genelde kullanılan algoritmalar tam sayıların asal çarpanlarına ayırılması zorluğuna dayanmaktalar (Bkz: RSA,DSA vs.) Ancak bu algoritmaların sonları da yavaş yavaş yaklaşmak üzere. (Bkz:Riemman Hipotezi ve ispatı)

Örneğin RSA algoritmasının "Number Field Sieve" (sayı alanı dağılımı) yöntemiyle, yaklaşık olarak O(e1.9(lnn)1/3(lnlnn)2/3) süre içerisinde kırabiliyoruz. En basitinden her bilgisayarda kullanılan SSH protokülünde var olan 1024 bitlik RSA kriptolaması, 2-3 işlemcili, iyi bir bilgisayar ile 2-3 hafta içerisinde kırılabiliyor. Çin'in elindeki süper bilgisayarlar, NSA'daki teknolojinin son harikaları RSA, DSA yada benzeri asal sayı algoritmaları karşısında aciz kalır mı sanıyorsunuz?

Askeri alanda açık anahtarlı kriptolama sistemlerinin kullanılması yavaş yavaş önemini yitimekte, kapalı anahtarlı kriptolama yöntemleri değer kazanmakta. Kullanılan kriptolama süreçlerinde ise minimum 4096 bitlik kriptolama zorunluluğu bulunmakta. Neden acaba? :)

NSA'nın en son uğraştığı ve ABD bütçesinde 2-3 milyar dolar ayrılan Kuantum Bilgisayarları en baba
asal sayı algoritmalarını bile Peter Shor'un geliştirdiği deşifreleme algoritmalarıyla 2-3 saniye içerinde kırabilecek duruma gelecek.

Bütün bu gelişmeleri bir kenara atsak bile, bugün tam sayıların asal çarpanlara ayırılması üzerine çok etkili bir yöntem bulunursa, bütün bu şifreleme sistemleri otomatik olarak kırılmış olur. Bilimin hızına da bakacak olursak 150 yıldır çözülemeyen problemleri çözen matematikcilerin, bahsettiğimiz yöntemleri bulmalarının da bir süreç meselesi olduğunu kabul etmemiz gerekir.

Almanlar Enigmanın asla kırılamaz olduğunu düşünüyorlardı, ancak savaşı enigmanın kırılması sonrası kaybettiler. Şu veya bu algoritmayı kırmak için "milyonlarca yada milyarlarca yıl gerekir" gibi cümleler sahiplerini her zaman utandırmış, zaman içerisinde komik durumlara düşürmüştür. BBC'nin haberini de bu çeşit bir hata olarak niteliyorum. Bazı algoritmaların kırılmasının zor olması, her zaman zor olacağı manasına gelmez, tam tersine gün geçtikce kolaylaşacağını gösterir. Kırılamayacağını ise hiç göstermez.


0
huseyin
o zaman birkaç tane bilgisayarı birleştirip para kazan ...


http://www.rsasecurity.com/rsalabs/node.asp?id=2093

adresinde RSA sayıları ve ödülleri var.

1024'e 100.000 dolar veriyorlar. O süper hackerların gözünden kaçmış herhalde :)
0
robertosmix

NFS (Number Field Sieve) yöntemi oldukça teknik ve bir o kadar da zor bir yöntem. Algoritmalarını geliştirmek için yeterli zaman ve iyi bir programlama bilgisi gerekli. Kaldı ki, bu algoritmaları geliştirdikten sonra, bilgisayarların işlemcilerini aynı çalışmaya yönlendirmek biraz daha teknik uğraş gerektiriyor. Clustering adı verilen genel bir yöntem var. Ancak bu yöntemle BSD yada Linux yada Unix tabanlı sunuculardan verim alabiliyorsunuz.

Şimdi tabii ki, bu iş için yaklaşık 5 ile 6 bin dolarlık sunucuları almak, bunları tek bir uğraş için birleştirmek, kalan zamanınızı bunlara vermek, 100.000 bin dolara eşdeğer mi o tartışılır??

Süper hackerlar bu tip işlerle uğraşmazlar cracker'ların işidir şifreleri kırmak. Hackerlar hakkında daha fazla bilgi için Hacker FAQ'lerini incelemenizi tavsiye ederim.
0
FZ
The Code Book şifreleme tarihine dair epey detaylı ve doyurucu bilgi veren kitaplardan biridir. conan sağolsun bu kitabı okuma şansına sahip oldum 1 yılı aşkın bir süre önce. Şifreleme tarihine dair kaynak kabul edilebilecek bir kitap olduğunu düşünüyorum.

Teorik olarak kırılamayacak kabul edilen tek yöntemin ``one time pad´´ olduğunu biliyorum. Bunun dışında hiçbir yöntem, algoritma için kesinlikle kırılamaz dendiğini duymadım. Ama tabii pratik olarak kırılamaz demek başka bir şey. Yani benim elimde bir bilgi, belge varsa ve siz bu belgeyi ele geçirdikten sonra, birkaç yüz bilgisayarı min. birkaç hafta çalıştırmadan çözemiyorsanız, bunu pratik olarak kırılamaz kabul edebiliriz. Genellikle bu hassas bilgiler üzerinden birkaç hafta geçtikten sonra işe yaramaz olabilirler çünkü. Bazıları için bu süre birkaç güne dahi düşebilir. Yani anında çözülmediği sürece kırılamaz kabul edilebilir. Dikkat: Teorik olarak kırılamaz denmiyor.

Bir de tabii şu var, biz NSA falan değiliz. NSA gizli çalışan bir istihbarat kurumudur. Spekülasyon haricinde, somut olarak fikir yürütmek ancak somut bilgilere dayanarak yapılabilir, en azından biz fani ölümlüler için bu böyle. Dolayısı ile mevcut yayınlara, açıklanan yöntemlere bakarak konuşmak durumdayız. Şu anda ciddi anlamda Shor algoritmasını büyük sayılara uygulayabilecek stabiliteye ve yetkinliğe sahip somut bir bilgi işlem sistemi kamu bilgisi dahilinde değil. Gizli çalışmaları bilmediğimiz için ancak spekülasyon ve geçmiş bilgilerden yola çıkarak sallantılı ekstrapolasyonlar yapabiliriz.

İspatlandığı iddia edilen Riemann Hipotezi´ne gelince, şimdiye dek bu hipotezin kriptografi açısından önemli ilişkisine dair herhangi bir şey okumadım, varsa böyle bir ilişki lütfen biri beni bilgilendirsin. Buna ek olarak okuduklarımdan gördüğüm kadarı ile zaten pek çok makalenin başında Riemann Hipotezini doğru kabul edersek şudur, budur diye başlıyor, dolayısı ile bunun ispatlanması matematiksel açıdan önemli olmakla birlikte kriptografiye dair önemli bir sonuç getirmesi - tek başına - şu anda mevcut görünmüyor.

Ancak sonuç itibari ile elbette teorik olarak hiçbir algoritma sonsuza dek güvenilir falan değil. İnsan beyni sınır tanımıyor. Yine de eğer bireysel iletişim ya da işte şirketlerarası iletişimi falan düşünüyorsanız mevcut algoritmalara güvenebilirsiniz, NSA´nın sizin ticari sırlarınızla, ya da kişisel e-postalarınızla ilgileneceğini sanmam ABD´ye karşı ciddi bir tehdit oluşturma ihtimaliniz varsa o zaman farklı tabii, öyle bir durumda dünyanın en paranoyak insanı olmanızda fayda vardır. Yaptığınız her şeyin en kısa sürede öğrenileceğini hesaba katmanız gerekir ancak tabii bu ekstrem bir durum ve yukarıdaki kategoride iletişim kuran bireyleri, şirketleri falan ilgilendirmiyor, onların güvenliği ile alakalı değil.

Kısaca: Şifrelediğiniz bilginin çözülmesinin süresi sahip olduğu değerle ters orantılıdır.

Son olarak: Bruce Schneier´den bir alıntı: NSA´dan biri der ki: Genellikle şifreyi çözmek için brute-force kullanmayız, insanların ağzından ve bilgisayarlarından laf almak, onları dinlemek falan çok daha ucuza gelir ve kolaydır bizim için, brute-force, matematiksel yöntemle kırmaya çalışmak filan, bunlara genellikle gerek kalmadan olayı hallederiz.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

XSS ölüyor mu?

Yns_

PHP 5.2 ile beraber PHP'de setcookie() fonksiyonuna 7.parametre olarak httponly desteği gelmiş.

Httponly çerezlere Javascript ile ulaşılamadığı için xss ataklarının en tehlikelisi olan cookie çalma olayı ortadan kalkıyor.

Şu an tek sorun her tarayıcı tarafından desteklenmemesi, ama yakında bir çok tarayıcı yeni sürümünde bu standartlara uyacaktır tahminimce.IE 7 ile en güvenli şekilde bu özelliği destekliyor, fakat mozilla şaşırtıcı bir şekilde desteklemiyor.

GNU/Linux OpenBSD Kadar Güvenli Mi?

Nightwalker

Internette dolaşırken tesadüfen rastladığım makale oldukça ilginç. Makalede GNU/Linux'un neden hiçbir zaman OpenBSD kadar güvenli olamayacağı açıklanıyor. Başlıktaki iddaya önce şüpheyle yaklaşsam da savunulan tezler oldukça mantıklı gözüküyor. OpenBSD desktop uygulaması olarak belki Linux'un karşısına kolay kolay çıkamayacak. Ama sunucu hizmetlerinde... Neyse bakalım gelecek kimin olacak?

Virüslerin 20 Yıllık Tarihi

FZ

Bu hafta bilgisayar virüslerinin 20. yıldönümü. Basit rahatsızlık veren küçük yazılımlardan tutun ülkelerarası ağları yavaşlatan ve televizyonlara çıkan, en ilgisiz insanların dahi ilgi alanına girmeye başlayan pek çok virüs söz konusu.

Belgelendirilmiş ilk virüs ABD´de doktora eğitimi esnasında bu tip bir çalıştırma gerçekleştiren Fred Cohen tarafından yazılmış durumda.

Şu anda dünya üzerinde yaklaşık 60,000 farklı virüs var.

Cohen o dönemde kullanılan VAX bilgisayarları üzerindeki VD isimli bir grafik programına geliştirdiği virüsü yerleştirmiş ve sistemdeki diğer yazılımlara nasıl bulaşılabileceğini pratik olarak göstermişti. Cohen, gerçekleştirdiği çalışmayı bir güvenlik seminerinde sunduğunda takvimler 10 Kasım 1983 tarihini gösteriyordu.

Eşeği Kafese Sokmak

tongucyumruk

Tamam kabul ediyorum biraz saçma bir başlık oldu ama Türkçe yazınca böyle bir hal aldı. Aslında konuya uygun bir başlık. Konumuz Linux altındaki en popüler P2P dosya paylaşım programı mlDonkey'i chroot ortamında çalıştırarak sistemimizi güvenceye almak...

%100 güvenlik mümkün değil

daegil

Önemli güvenlik organizasyonlarından Information Systems Security Association'ın İngiltere şubesi, web sunucularının saldırıya uğradığını ve ana sayfanın değiştirildiğini belirtti. Yetkililere göre 2004 Aralık tarihinde ana sunucu başka bir makinaya taşındıktan ve güncellendikten sonra, bazı yamaların yüklenmesinin unutulması yüzünden böyle bir şey mümkün olabildi.

7 Ocak 2005 - 19:39 tarihinde gerçekleşen olaya dair bir web sitesinden alınan bilgiye göre eylemin sorumlusu "iskorpitx" takma isimli kötü niyetli bir bilgisayarcı. Aynı haber sitesinde yer alan ve vakayı gösteren görüntüde büyük Türk bayrakları vardı ve "HACKED By iSKORPiTX (Turkish Hacker)" yazıyordu, ardından tarayıcı kullanıcıyı yunus resimleri ile dolu bir siteye yönlendiriyordu.

Kaynak: http://news.zdnet.co.uk/0,39020330,39185308,00.htm