Yazılarım

PGP-Pretty Good Privacy

PGP NEDİR ?

Açılımı Pretty Good Privacy (“Oldukça İyi Gizlilik”) olan Philip Zimmermann tarafından geliştirilen bir dosya ve e-mail şifreleme protokolüdür.Gönderilen bir mesajın, e-mailin veya bir dosyanın içeriğinin ilgili kişiler haricinde okunamamasını ve anlamladırılamamasını sağlar hatta kullanılan en yaygın e-mail şifreleme protokolüdür denilebilir.İsmindende görüldüğü gibi en güvenli iletişim protokollerinden bir tanesidir.Aynı zamanda içerisinde MD5, SHA-1 ve RSA gibi şifreleme algoritmalarıda bulunmaktadır.

Son kullanıcılar için çokta anlaşılır bir yapısı olmayan PGP Protokolü geliştirilen yazılımlar sayesinde grafiksel olarak kolaylıkla kullanılarak e-mail ve dosya güvenliğinin sağlanmasında birçok bilgisayar kullanıcısı tarafından tercih edilmektedir.

Philip Zimmermann tarafından aktivistlar ve gizlilik ihtiyacı olan insanların haberleşmesinin korunması ve saklanması amacıyla yazılan PGP , şifreli metnin şifresinin kırılamaması ve ABD sınırları dışarısına taşması sonrasında o dönem ki ABD Yönetici tarafından dışa satımı yasaklanmış ve sınır dışı satışlar suç olarak gösterilmiştir.
Bu suçlamalara karşı Philip Zimmermann tarafından yazılan “Why I Wrote PGP” adlı yazıya buradan ulaşabilirsiniz. (https://www.philzimmermann.com/EN/essays/WhyIWrotePGP.html)

 

PGP NASIL ÇALIŞIR ?

PGP güçlü bir şifreleme yapısı olan “Açık Anahtar Şifrelemesi” yöntemine sahiptir.Bu şifreleme yönteminde kullanılan iki adet anahtar mevcuttur. Bunlar;
      1- Public Key (Herkesin Görebildiği Anahtar – Açık Anahtar)
      2- Private Key (Kişiye ait olan gizli anahtar – Özel Anahtar)

Public Key ŞİFRELEME işlemin de kullanılırken Private Key ise ŞİFRE ÇÖZME işlemi için kullanılmaktadır.

PGP Şifreleme bir mail içeriğinin şifrelenerek alıcı tarafa ulaştırılmasında kullanılmak istenirse göndericinin alıcı tarafa ait Public Key’i bilmesi gerekir. Bu anahtar alıcıdan açık olarak istenir ve isteyen herkesin bu açık anahtarı görmesinde yada bilmesinde herhangi bir sakınca yoktur.

Bu talep üzerine alıcı kendisine ait olan Public Key bilgisini gönderici tarafa açık bir şekilde iletir.Bu noktada alıcıya ait public key bilgisini açık anahtar sunucularından da elde edebiliriz.

Gönderici kişi karşıdan aldığı Public Key’i kullanarak göndermek istediği mail’i bu anahtarı kullanarak şifreler ve anlamsız bir veri haline getirdikten sonra alıcı tarafa mail’i iletir.

Mail iletildikten sonra göndericinin bilgisayarında kalan verinin çalınmasına veya silinse dahi geri getirilip ifşa olunmasına karşın tedbir olarak PGB göndericinin bilgsiyarında kalan veriyi rastgele “0” değerleriyle doldurarak okunamaz ve geri getirelemez bir şekilde yok eder.

Gönderici bu aşamadan sonra şifrelemede kullandığı alıcıya ait public key’i kullanarak bile şifreli veriyi okuyamaz.

Şifreli verinin okunması yalnızca alıcıda bulunan ve alıcının Public Key’i ile ilişkilendirilmiş olan Private Key (Özel Anahtar) ile mümkün olmaktadır.

Yani son olarak alıcı tarafa şifreli veri ulaştığı zaman, alıcı kişi kendisine ait olan PRIVATE KEY’i kullanarak şifreli verinin şifresini çözer ve gelen veriyi anlamlı bir şekilde okuyabilir.

PGP İle Şifreli Bir Veri Gönderme İşlemleriyle Sırasıyla ;

  1. Gönderici tarafından alıcının public keyinin istenmesi/talep edilmesi.
  2. Alıcının public key’inin gönderici tarafa iletilmesi / Public Key’in elde edilmesi.
  3. Gönderilen Public Key ile verinin şifrelenmesi ve alıcı tarafa gönderilmesi.
  4. Alıcının kendisine ulaşan veriyi Private Key’ini kullanarak şifre çözme işleminden geçirerek veriye anlamlı bir şekilde erişmesi.

PGP şifreleme işlemi kendi içerisinde alt işlemlere ayrılmaktadır.Şifrelenecek olan açık metin ilk olarak sıkıştırma işlemine tabi tutulur.Böylece hem güvenlik düzeyi artar hemde disk alanı daha az kullanılmış olur.Daha sonra alıcıya ait olan public key kullanılarak PGP oturumunun kendisine ait olan oturum anahtarı (Session Key) şifrelenir. Şifreli anahtar alıcıya internet üzerinden açık bir şekilde (örn:Güvensiz http vs.) iletilir.

Şifreli metin ve şifreli oturum anahtarı alıcı tarafa ulaştığı zaman, alıcı kendisine ait olan Özel Anahtarı (Private Key) kullanarak Şifreli Oturum Anahtarının şifresini çözer ve elde ettiği özel oturum anahtarıyla kendisine gelen şifreli metni tekrar açık hale getirerek veriyi okuyabilir.

Bu alt şifreleme adımlarında genellikle birçok şifreleme sisteminde kullanılan RSA Şifreleme Algoritması kullanılmaktadır.

PGP’nin Önemi ve Güvenliği
  • PGP vasıtasıyla iletilen bir veri ulaşım sırasında dinleme yapılarak ele geçirilse ve alıcı kişinin public key’i bilinse dahi şifrelenmiş metin okunamaz ve şifresi çözülemez.
    Şifrenin çözülmesi yalnızca alıcının private key’i ile gerçekleştirilebilir.
  • İletim sırasında kullanılan ağın dinlenerek mesajın kopyalanması ve daha sonra değiştirilerek karşı tarafa gönderilmesine karşın PGP’nin dijital imza taşıma özelliği mevcuttur. Böylece bize gelen bir mesajın kimden geldiğini imzasını kontrol ederek doğruluğunu teyit edebiliriz.
  • PGP mesajlarına eklenen zaman damgası (Time Stamp) sayesinde mesajın ne zaman gönderildiği bilgisini görebiliriz ki bu da bize ek bir güvenlik ve doğruluk sağlamaktadır.
  • Şifreli mesaj iletilimi gerçekleştirildiğinde gönderici bilgisayarda halen durmakta olan açıkm etin PGP tarafından içeriği “0” doldurularak okunamaz, anlamlandırılamaz ve geri getirilemez bir şekilde yok edilir.
Açık Anahtar Sunucuları ve Güven Ağı

PGP (açık anahtar kriptografisi) kullanan birisine şifrelenmiş bir metin göndermek istenirse mesajı şifrelemek için hangi Public Key’i kullanacağımızı bilmemiz gerekir. Bu anahtarı elde edebilmemiz için telefon rehberi görevi gören “Açık Anahtar Sunucuları” vardır. Bu sunucular sayesinde e-posta adresi, isim yada anahtar parmak izi gibi bilgiler kullanılarak aradığımız anahtarı bulabiliriz.
Ancak Anahtar Sunucuları bir kişiye ait olduğu belirtilen anahtarların gerçek veya sahte olup olmadığını doğrulayamaz.İsteyen herkes birisinin ismine bağlı olan bir anahtarı bu sunucularda herkese açık olarak paylaşabilir.
Bulduğumuz bir anahtarın doğruluğunu teyit etmek isteniyorsa anahtarın imzası kontrol edilmelidir.

Aynı zamanda PGP başkasına ait bir anahtarının 3. bir kişi tarafından imzalanmasına izin vermektedir.Böylece doğruluğunu teyit ettiğimiz bir anahtarı kendi anahtarımızı kullanarak imzalayabilir ve böylece anahtarı paylaşabiliriz.Bir bakımdan anahtarın doğru kişiye ait olduğuna referans olmuş oluruz.
Bu sistem “GÜVEN AĞI” adı verilen yapının oluşmasını sağlar.Yani güvenilen ve bilinen birisi tarafından imzalanan (referans olunan) bir anahtarın güvenliği ve doğruluğu konusunda daha emin olunabilir.

Açık anahtarın alınması aşamasında güven ağlarının kullanımı dışında en güvenilir yöntem fiziki bir buluşmada doğrudan karşı tarafın Public Key’ini almak ve anahtar üzerinden bağlantı sağlamaktır.

Bu şekilde Public Key alınması ve doğrulanmasına “Bant Dışı Doğrulama” adı verilmektedir.

Sonuç
  • PGP e-mail ve dosya şifreleme de kullanılan en güvenli protokollerden birisidir ve çoğunlukla e-mail iletişiminin korunmasında kullanılır.
  • PGP ile gönderilen bir mesajın içeriği şifrelemede kullanılan public key ile ilişkilendirilmiş private key olmadan okunamaz.
  • Size ait public key açık anahtar sunucularına yüklenirse herkes tarafından öğrenilebilir ve sizin kimlerle iletişim kurduğunuz tespit edilebilir.
  • Şifreli metin okunamasa bile şifreli mesajın metaverileri sayesinde kiminle iletişim kurduğunuz tespit edilebilir.
  • Göndericinin bilgisayarında ki açık veri PGP yazılımları tarafından otomatize bir şekilde güvenli olarak yok edilebilmektedir.
  • Gizli Anahtar (Private Key) çok iyi korunmalı ve saklanmalıdır. Eğer size ait bir Gizli Anahtar başka birisinin eline geçerse internet üzerinde sizi taklit edebilir ve sizin adınıza gizli mesajlar gönderip sizin adınıza gelen gizli mesajların içeriğine ulaşabilir.
  • PGP ‘de simetrik ve asimetrik şifrelemenin bir arada kullanılmasıyla güvenlik ve hız aynı anda sağlanmaktadır.

İlgili Zaafiyet : EFAIL (www.efail.de)

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir