Kriptografi ne kadar güvenli?

0
e2e
Bir süredir devam eden, ABD'nin, İran gizli servisinin iletişimini izlediği yönündeki tartışmaları duymuşsunuzdur. Olay ilk önce bu bilgiyi İran'ın nasıl elde ettiği etrafında dönüyordu. Senaryolardan en kuvvetli olanı ise bir dönemler ABD'nin Irak'ta en çok güvendiği ve gizli servis hizmetlerinden dolayı aylık $335,000 ödediği Ahmad Chalabi'nin bu bilgiyi, içkili bir ABD gizli servis ajanından aldığı ve İran'a verdiğiydi.

BBC'deki bu haber ise olayın teknik olarak nasıl yapılıyor olabileceği üzerinde duruyor.
Çeşitli güvenlik uzmanlarıyla yapılan röportajlardan alıntılarla günümüz kriptografi uygulamalarının kırılamayacağı, bu izleme olayının insan hatası(?) veya bir backdoor sayesinde yapılmış olabileceği anlatılıyor.

Alıntılardan biri beni biraz düşündürttü: Acaba?!

"The Code Book" kitabının yazarı Simon Singh: "... Bugün bir email göndersem, dünyanın tüm gizli servisleri, dünyanın tüm bilgisayarlarını kullansalar dahi çözemezler. Şifrelemeyi yapanlar şifre kırıcıları karşısında oldukça büyük bir avantaja sahipler."

Görüşler

0
Nightwalker
Aslında bu konuda daha deneyimli FM üyeleri bulunmakta. Onların değerlendirmeleriyle bu konuuda bizleri bilgilendirmelerini bekleriz.
0
huseyin
Mailllarda güvenlik asimmetrik şifreleme (public/private key, Diffie-Hellman) yöntemiyle yapılıyor.

sertifika, iki asal sayının çarpımından oluşan çok büyük bir sayı. Şifreleme ve çözme işlemleri matematiksel yöntemler kullanarak, bu sayılar üzerinden yapılıyor.

siz büyük sayıyı kullanarak dosyayı şifreliyorsunuz. Çarpanlarını sadece o bildiği için çözebilir.

N basamaklı bir sayı için, bütün olasılıkları deneyerek çözmeye kalkmak,
exp(c(log log n)^2/3 (log n)^1/3) zaman alıyor.

1024'lük bir sertifika ortalama 2 üzeri 80 'e filan denk gelir.

saniyede bir milyon hesaplamayla, kabaca 2 üzeri 41 yıl yapar.

1 milyon bilgisayarı birleştirseniz 2 üzeri 31 yıla düşer. yani 2 milyar yıl :)
0
simor
Peki bu geçenlerde konusu edilen riemann hipotezinin deneyselliği ve gerçekte uygulanabilirliği kanıtlanırsa (ki konu yine asal sayılardı galiba) bu şifrelemenin geleceği ne olacak gerçekten.
0
huseyin
Sistem tamamen büyük sayıları çarpanlarına ayırmanın zorluğuna dayanıyor.

Eğer kolay bir yöntem bulunursa, önce bankaları soyup, sonra açıklarsınız :)

Bütün şifreleme altyapısı altüst olur.
0
conan
Maillerdeki sifreleme olarak kastettigin GPG, PGP gibi bir cesit sifreleme ise dedigin biraz eksik.

Sifrelemenin kendisi public/private key pair kullanarak yapilmiyor. Sifrelemenin kendisi simetrik sifreleme. Bu sifrelemenin de bir sifresi/anahtari var. Iste bu sifrenin/anahtarin kendisi karsi tarafin public keyi ile sifrelenip cyphertext'e ekleniyor. Karsi tarafa gonderiliyor. Karsi taraf da bu olayin tersini yapiyor.

Not: Diffie Hellman anahtar degistokusu ise PGP'de ElGamal'a donusturulmus bir sekilde kullaniliyor. Aslinda Diffie Hellman simetrik sifrelemede kullanilan anahtarin iki taraf arasinda degistokus edilmesi icin kullanilir genelde. SSL'de bu uygulamanin bir benzerini gorebilirsiniz. (session keyi degistokus etmek icin bir step)
0
robertosmix
Sayın Simon Singh'ın yazdığı The Code Book isimli kitaba inanmasanız çok iyi olur. Kendisi kitabının arkasına şifreli bir metin koymuştu, ve bunu kırana 15,000$ vereceğini vaat etmişti. Ancak çok geçmeden bu şifreli metin 5 genç tarafından kırıldı. (Bkz: http://slashdot.org/article.pl?sid=00/10/11/2247204) Şimdi bu kitabın yazarının kullandığı bu meydan okuyucu lafların ne kadar anlamsız olduğunu fark etmek zor olmasa gerek. Ayrıca The Code Book isimli kitabın hangi yılda yazıldığına da bakarsak, bu kitabı ve yazarı çok da ciddiye almanın gereksiz olduğunu da farkederiz.

Kaldı ki bugün bilişim güvenliği ile yakından alakadar olmuş herhangi bir uzman, kırılamayacak herhangi bir algoritmanın henüz geliştirilmediğini ve muhtemelen de insanlık tarihinin sonuna kadar da geliştirilemeyeceğini söyler. Şimdiye kadar geliştirilmiş bütün algoritmalar zaman içerisinde kırılmıştır, ve şu anda kullanılan algoritmaların büyük bir kısmı da bir süre içerisinde kırılacaktır.

Bugün en genelde kullanılan algoritmalar tam sayıların asal çarpanlarına ayırılması zorluğuna dayanmaktalar (Bkz: RSA,DSA vs.) Ancak bu algoritmaların sonları da yavaş yavaş yaklaşmak üzere. (Bkz:Riemman Hipotezi ve ispatı)

Örneğin RSA algoritmasının "Number Field Sieve" (sayı alanı dağılımı) yöntemiyle, yaklaşık olarak O(e1.9(lnn)1/3(lnlnn)2/3) süre içerisinde kırabiliyoruz. En basitinden her bilgisayarda kullanılan SSH protokülünde var olan 1024 bitlik RSA kriptolaması, 2-3 işlemcili, iyi bir bilgisayar ile 2-3 hafta içerisinde kırılabiliyor. Çin'in elindeki süper bilgisayarlar, NSA'daki teknolojinin son harikaları RSA, DSA yada benzeri asal sayı algoritmaları karşısında aciz kalır mı sanıyorsunuz?

Askeri alanda açık anahtarlı kriptolama sistemlerinin kullanılması yavaş yavaş önemini yitimekte, kapalı anahtarlı kriptolama yöntemleri değer kazanmakta. Kullanılan kriptolama süreçlerinde ise minimum 4096 bitlik kriptolama zorunluluğu bulunmakta. Neden acaba? :)

NSA'nın en son uğraştığı ve ABD bütçesinde 2-3 milyar dolar ayrılan Kuantum Bilgisayarları en baba
asal sayı algoritmalarını bile Peter Shor'un geliştirdiği deşifreleme algoritmalarıyla 2-3 saniye içerinde kırabilecek duruma gelecek.

Bütün bu gelişmeleri bir kenara atsak bile, bugün tam sayıların asal çarpanlara ayırılması üzerine çok etkili bir yöntem bulunursa, bütün bu şifreleme sistemleri otomatik olarak kırılmış olur. Bilimin hızına da bakacak olursak 150 yıldır çözülemeyen problemleri çözen matematikcilerin, bahsettiğimiz yöntemleri bulmalarının da bir süreç meselesi olduğunu kabul etmemiz gerekir.

Almanlar Enigmanın asla kırılamaz olduğunu düşünüyorlardı, ancak savaşı enigmanın kırılması sonrası kaybettiler. Şu veya bu algoritmayı kırmak için "milyonlarca yada milyarlarca yıl gerekir" gibi cümleler sahiplerini her zaman utandırmış, zaman içerisinde komik durumlara düşürmüştür. BBC'nin haberini de bu çeşit bir hata olarak niteliyorum. Bazı algoritmaların kırılmasının zor olması, her zaman zor olacağı manasına gelmez, tam tersine gün geçtikce kolaylaşacağını gösterir. Kırılamayacağını ise hiç göstermez.


0
huseyin
o zaman birkaç tane bilgisayarı birleştirip para kazan ...


http://www.rsasecurity.com/rsalabs/node.asp?id=2093

adresinde RSA sayıları ve ödülleri var.

1024'e 100.000 dolar veriyorlar. O süper hackerların gözünden kaçmış herhalde :)
0
robertosmix

NFS (Number Field Sieve) yöntemi oldukça teknik ve bir o kadar da zor bir yöntem. Algoritmalarını geliştirmek için yeterli zaman ve iyi bir programlama bilgisi gerekli. Kaldı ki, bu algoritmaları geliştirdikten sonra, bilgisayarların işlemcilerini aynı çalışmaya yönlendirmek biraz daha teknik uğraş gerektiriyor. Clustering adı verilen genel bir yöntem var. Ancak bu yöntemle BSD yada Linux yada Unix tabanlı sunuculardan verim alabiliyorsunuz.

Şimdi tabii ki, bu iş için yaklaşık 5 ile 6 bin dolarlık sunucuları almak, bunları tek bir uğraş için birleştirmek, kalan zamanınızı bunlara vermek, 100.000 bin dolara eşdeğer mi o tartışılır??

Süper hackerlar bu tip işlerle uğraşmazlar cracker'ların işidir şifreleri kırmak. Hackerlar hakkında daha fazla bilgi için Hacker FAQ'lerini incelemenizi tavsiye ederim.
0
FZ
The Code Book şifreleme tarihine dair epey detaylı ve doyurucu bilgi veren kitaplardan biridir. conan sağolsun bu kitabı okuma şansına sahip oldum 1 yılı aşkın bir süre önce. Şifreleme tarihine dair kaynak kabul edilebilecek bir kitap olduğunu düşünüyorum.

Teorik olarak kırılamayacak kabul edilen tek yöntemin ``one time pad´´ olduğunu biliyorum. Bunun dışında hiçbir yöntem, algoritma için kesinlikle kırılamaz dendiğini duymadım. Ama tabii pratik olarak kırılamaz demek başka bir şey. Yani benim elimde bir bilgi, belge varsa ve siz bu belgeyi ele geçirdikten sonra, birkaç yüz bilgisayarı min. birkaç hafta çalıştırmadan çözemiyorsanız, bunu pratik olarak kırılamaz kabul edebiliriz. Genellikle bu hassas bilgiler üzerinden birkaç hafta geçtikten sonra işe yaramaz olabilirler çünkü. Bazıları için bu süre birkaç güne dahi düşebilir. Yani anında çözülmediği sürece kırılamaz kabul edilebilir. Dikkat: Teorik olarak kırılamaz denmiyor.

Bir de tabii şu var, biz NSA falan değiliz. NSA gizli çalışan bir istihbarat kurumudur. Spekülasyon haricinde, somut olarak fikir yürütmek ancak somut bilgilere dayanarak yapılabilir, en azından biz fani ölümlüler için bu böyle. Dolayısı ile mevcut yayınlara, açıklanan yöntemlere bakarak konuşmak durumdayız. Şu anda ciddi anlamda Shor algoritmasını büyük sayılara uygulayabilecek stabiliteye ve yetkinliğe sahip somut bir bilgi işlem sistemi kamu bilgisi dahilinde değil. Gizli çalışmaları bilmediğimiz için ancak spekülasyon ve geçmiş bilgilerden yola çıkarak sallantılı ekstrapolasyonlar yapabiliriz.

İspatlandığı iddia edilen Riemann Hipotezi´ne gelince, şimdiye dek bu hipotezin kriptografi açısından önemli ilişkisine dair herhangi bir şey okumadım, varsa böyle bir ilişki lütfen biri beni bilgilendirsin. Buna ek olarak okuduklarımdan gördüğüm kadarı ile zaten pek çok makalenin başında Riemann Hipotezini doğru kabul edersek şudur, budur diye başlıyor, dolayısı ile bunun ispatlanması matematiksel açıdan önemli olmakla birlikte kriptografiye dair önemli bir sonuç getirmesi - tek başına - şu anda mevcut görünmüyor.

Ancak sonuç itibari ile elbette teorik olarak hiçbir algoritma sonsuza dek güvenilir falan değil. İnsan beyni sınır tanımıyor. Yine de eğer bireysel iletişim ya da işte şirketlerarası iletişimi falan düşünüyorsanız mevcut algoritmalara güvenebilirsiniz, NSA´nın sizin ticari sırlarınızla, ya da kişisel e-postalarınızla ilgileneceğini sanmam ABD´ye karşı ciddi bir tehdit oluşturma ihtimaliniz varsa o zaman farklı tabii, öyle bir durumda dünyanın en paranoyak insanı olmanızda fayda vardır. Yaptığınız her şeyin en kısa sürede öğrenileceğini hesaba katmanız gerekir ancak tabii bu ekstrem bir durum ve yukarıdaki kategoride iletişim kuran bireyleri, şirketleri falan ilgilendirmiyor, onların güvenliği ile alakalı değil.

Kısaca: Şifrelediğiniz bilginin çözülmesinin süresi sahip olduğu değerle ters orantılıdır.

Son olarak: Bruce Schneier´den bir alıntı: NSA´dan biri der ki: Genellikle şifreyi çözmek için brute-force kullanmayız, insanların ağzından ve bilgisayarlarından laf almak, onları dinlemek falan çok daha ucuza gelir ve kolaydır bizim için, brute-force, matematiksel yöntemle kırmaya çalışmak filan, bunlara genellikle gerek kalmadan olayı hallederiz.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Blaster Windows´a Karşı

anonim

Blaster adında yeni keşfedilen bir solucan, Internet üzerinde Windows 2000/XP/2003 yüklü bilgisayarları arıyor ve RPC açığını kullanarak uzaktan bulaşıyor. Microsoft, bu açık için daha önce bir yama yayımlamıştı.

Türkiye'de Elektronik İmza Sonunda Başlıyor

anonim

Türkiye'de ıslak imza ile aynı hukuki sonuçları doğuracak elektronik imza (e-imza) dağıtımı başlıyor.

Türkiye'de e-devlet uygulamalarının gelişmesini sağlayacak olan elektronik imzada (e-imza) geri sayım başladı. Sektörde faaliyet göstermek üzere Telekomünikasyon Kurumu’na başvuran 3 firmadan biri olan Türktrust, istenilen şartları karşılayarak kurumdan yetki belgesi aldı.

Kaynak: http://www.hurriyetim.com.tr

Symantec´ten İnternet Güvenliği Tehditleri Raporu

Nightwalker

Internet güvenliği çözümleri alanında dünya lideri olan Symantec, siber güvenlik eğilimleri hakkındaki en kapsamlı analizleri içeren Symantec Internet Güvenliği Tehdit Raporu’nu yayımladı. 30 terabyte’dan fazla veri incelemesinin sonucu olan bu raporda, ağ-bazlı saldırı eğilimlerine, zayıflık tespitlerine ve kötü niyetli kodlara yer verilmektedir.

MacOS X ve Güvenlik

anonim

Geçtiğimiz günlerde Ankara'da yapılan Serbest Yazılımcılar Konferansına katılan arkadaşım Sundance bana güvenlikle ilgili seminerde konuşmacı arkadaşın örnek verdiği işletim sistemlerinin arasında MacOS X ve MacOS X Server'ın bulunmadığını anlattı.

Aslında şaşıracak bir durum yoktu genel olarak ama Unix dünyasını yakından takip edenlerin bence bu iki işletim sistemini de her ne kadar kullanmaya imkan bulamasalar da yakından takip etmeleri gerektiğini düşünerek bir kaç önemli güvenlik özelliğinden bahsetmek istedim.

Güvenlik, Paranoya ve ICAT

FZ

Eğer bilgisayar kullanıyorsanız ve güvenlik kavramı size basit bir kelimeden daha fazlasını ifade ediyorsa o halde biraz sonra bahsedeceğim siteye bakmak zorundasınız!

ICAT Metabase isimli bu Internet sitesi en son 2 Ağustos 2001 tarihinde güncellenmiş olup bilgisayar yazılımları ve donanımları ile ilgili 2680 kadar "zayıf, saldırılabilir" noktanın çok detaylı ve spesifik kategorilendirilmiş bir veritabanını içeriyor.