AÇIK ANAHTARLI KRİPTOGRAFİ (PUBLIC KEY CRYPTOGRAPHY)

Bu belgede, açık anahtarlı kriptografinin ne olduğundan ve açık anahtarlı kriptografi uygulamalarından bahsedilmektedir. Belgede verilen bilgileri tam olarak anlayabilmek için -şart olmamakla beraber-, geleneksel şifrelemenin mantığı ve geleneksel (simetrik) şifreleme algoritmaları ile ilgili bilgi sahibi olunması faydalı olacaktır.
Belgenin son hali, http://wolf.comu.edu.tr/~evreniz/belgeler/pkc/pkc.html adresinden temin edilebilir.
Bu belge, A. Murat EREN, Faruk ESKİCİOĞLU ve S. Serdar YÜKSEL'in 2002 yılındaki çalışmalarının bir kısmından A. Murat EREN tarafından derlenmiştir; belgeyi bu açıklama satırlarını silmemek kaydı ile istediğiniz gibi kullanabilirsiniz.
Belge içerisindeki bilgiler Cryptography and Network Security (William Stallings) isimli eser başta olmak üzere Applied Cryptography (Alfred J. Menezes, Paul C. van Oorschot, A. Vanstone) ve konu ile ilgili çeşitli makalelerden derlenmiştir.
Belge hakkındaki eleştirileriniz, tavsiyelerinizi ve kriptografi hakkındaki sorularınız için [email protected] mail adresini kullanabilirsiniz.

v.0.2 (05/2003) A. Murat EREN, [email protected], http://wolf.comu.edu.tr/~evreniz/

 

İÇİNDEKİLER

 

Açık Anahtarlı Kriptografi

Açık Anahtarlı Kripto Sistemlerin Prensipleri

Açık Anahtarlı Kripto Sistemlerin Karakteristikleri

Açık Anahtarlı Kripto Sistem Uygulamaları

Açık Anahtarlı Kriptografi İçin Greklilikler

Açık Anahtarlı Kripto Analiz

 

RSA Algoritması

Algoritmanın Tanımı

Hesaplama yöntemleri

Şifreleme ve Deşifreleme

Anahtar Üretimi

RSA'nın Güvenliği

Çarpan Problemi

Zaman Atakları

 

Anahtar Yönetimi

Açık Anahtarların Dağıtımı

Açık Anahtarların Duyurulması

Herkes Tarafından Erişilebilir Adres Rehberi

Açık Anahtar Yetkilisi

Açık Anahtar Sertifikası

Gizli Anahtarların Açık Anahtarlı Dağıtımı

Basit Gizli Anahtar Dağıtımı

Güvenli Gizli Anahtar Dağıtımı ve Kimlik Doğrulama

Melez (Hibrit) Bir Yöntem

Diffie-Hellman Anahtar Değişimi

 

Eliptik Eğri Kriptografisi

Eliptik Eğriler

Sonlu Alanlardaki Eliptik Eğriler

Eliptik Eğriler ile Kriptografi

Diffie-Hellman Anahtar Değişimi Örneği

Eliptik Eğri Şifrelemesi/Deşifrelemesi

Eliptik Eğri Kriptografisinin Güvenliği

 

 

AÇIK ANAHTARLI KRİPTOGRAFİ

 

Açık anahtarlı kriptografinin gelişmesi, bütün kriptografi tarihindeki en büyük devrimdir. Başlangıcından günümüze kadar, bütün kriptografik sistemler, süpstütüsyon ve permütasyon işlemlerinin temel alınmasıyla oluşturuldular. Sadece elle hesaplanabilen algoritmalarla çalışabilme döneminden sonra, şifreleme/deşifreleme yapan rotor makinelerinin ortaya çıkması sonucunda, geleneksel kriptografide büyük bir gelişme kaydedildi. Elektro mekanik rotor, çok fazla inceliklere sahip ve karmaşık kriptografik sistemlerin geliştirilebilmesini sağladı. Mevcut bilgisayarlarla daha karmaşık sistemler tasarlandı ve en tanınanlarından olan -IBM´in- Lucifer girişimi gelişerek DES´i oluşturdu ve DES`i dünyadaki kriptografi teknikleri arasında en yüksek seviyeye getirdi. Rotor makineleri ve DES (Data Encryption Standart), önemli avantajlar sunmalarına rağmen, halen, süpstütüsyon ve permütasyon işlemlerine bağımlıdırlar.

 

Açık anahtarlı kriptografi, daha önceki gelişmelerden radikal bir kopuştur. Açık anahtarlı kriptografik sistemlerin en önemli noktaları, süpstütüsyon ve permütasyondan çok matematiksel işlevler üzerine temellenmiş olmalarıdır. Daha da önemlisi, açık anahtarlı kriptografi, tek anahtar kullanan simetrik geleneksel şifreleme algoritmalarının tersine, iki ayrı anahtarın asimetrik kullanımını öngörür. Birazdan göreceğimiz gibi, anahtar dağıtımı ve kimlik denetimi gibi gizlilik ve güven gerektiren durumlarda, iki anahtar kullanımı etkili sonuçlar ortaya koymuştur.

 

İlerlemeden önce, açık anahtarlı şifreleme ile ilgili bazı yaygın, yanlış bilgilerden bahsetmeliyiz. Bu yanlış düşüncelerden birisi, açık anahtarlı şifrelemenin, kriptoanalize karşı geleneksel şifreleme yöntemlerinden daha güvenli olduğudur. Örneğin böyle bir iddia, Gardner´ın meşhur Scientific America adlı 1977 yılında yayınladığı makalesinde yapıldı . Aslında, şifrelemenin güvenliği, anahtarın uzunluğuna ve, kırılan şifreli metnin içerdiği hesapsal işlemlerin karmaşıklığına dayanır. İster geleneksel ister açık anahtarlı şifreleme olsun, kriptonaliz bakış açısına göre birini direğinden üstün tutmak yanlış olur.

 

Bir ikinci yanlış düşünce de, genel amaçlı kullanım için geliştirilmiş bir teknik olan açık anahtarlı şifrelemenin, geleneksel şifrelemeyi modası geçmiş kıldığıdır. Tam tersine, geleneksel şifrelemeden vazgeçileceği sanısı, açık anahtarlı şifreleme yöntemlerinin, matematiksel fonksiyonlarından dolayı, ihtimal dışı gözüküyor.

 

Son olarak, açık anahtarlı şifreleme kullanılırken, geleneksel şifrelemenin daha hantal anahtar dağıtım merkezleri ile karşılaştırıldığında, açık anahtarlı sistemlerin anahtar dağıtımının üzerinde kafa yorulması gerekmeyen, sıradan ve basit bir iş olduğuna dair yanlış bir anlayış vardır. Aslında, protokolün bazı biçimleri gereklidir fakat, geleneksel şifreleme yöntemlerinin ihtiyaç duyduğu merkez temsilciler ve prosedürler, açık anahtarlı şifrelemenin ihtiyaç duyduklarından daha basit daha karmaşık ya da daha etkili değildir.

 

Bu bölüm, açık anahtarlı şifrelemeye genel bir giriş mahiyetinde olacaktır. İlk önce, işin kavramsal çerçevesine bakmaya çalışacağız. Bu noktada açık anahtarlı kriptografi ile ilgili enteresan bir anektodu es geçmek olmaz: açık anahtarlı kriptografinin, pratik olarak uyarlanışı gösterilmeden, tekniğin mimarisi geliştirildi ve doğru kabul edilerek yayınlandı. Kimse pratiğini görmeden teorisi kabul gördü. Daha sonra, açık anahtarlı şifreleme yöntemi için, uygulanabilir olarak gösterilen en önemli şifreleme/deşifreleme algoritması olan, RSA algoritmasını inceleyeceğiz. Daha sonrada, açık anahtarlı sistemler için, anahtar dağıtımını ve anahtar dağıtım yönetimlerini inceleyeceğiz.

 

Açık anahtarlı kripto sistemlerinin çoğunluğu, sayılar teorisini temel almıştır. Bu bölümde verilen sonuçları algılamak için, sayılar teorisini anlamanıza yada biliyor olmanıza çok da gerek yoktur. Bununla birlikte, açık anahtarlı şifreleme algoritmaları hakkında kesin bir yargıya varmak için, sayılar teorisinin bazı kısımlarını bilmek gerekmektedir.

Açık Anahtarlı Kripto Sistemlerin Prensipleri

 

Açık anahtarlı şifrelemenin genel amacı, gerçekleştireceği devrim ile geleneksel şifrelemenin en büyük iki problemine çözüm sağlamaktı. Bu problemlerden ilki gizli anahtarların dağıtımıdır. Gizli anahtar derken, geleneksel kriptografi uygulamalarının (DES, IDEA, Blowfish, CAST128, RC5, ...) kullandığı anahtarları kastediyoruz.

 

Geleneksel şifrelemeden yararlanarak birbirlerine şifrelenmiş metinler gönderecek olan taraflar, şifreleme ve de şifreleme işlemleri için, ya bir şekilde kendilerine ulaştırılmış olan anahtarı kullanacaklar, ya da, bir anahtar dağıtım merkezinden faydalanacaklardır. Açık anahtarlı kriptografinin mucitlerinden birisi olan Whitfield Diffie (diğeri de Stanford Üniversitesinden Martin Hellman`dır), kriptografinin özü olan, iletişimde %100 güvenlik esasını hiçe sayan bir anahtar dağıtım merkezi kullanma gerekliliğini ortadan kaldırdı. Tarafların kullanacakları gizli anahtarları bir anahtar dağıtım yetkilisinden almaları, istediği taktirde üçüncü parti bir kişinin iletişimi anlaşılır kılabileceği tehlikesini barındırmakta idi.

 

Diffie, üzerinde düşündüğü ikinci problem olan "dijital imza" konusunun, önceki ile ilgisi olmayan başka bir konu olduğunu gördü. Eğer kriptografinin kullanımı, sadece askeri konularda değil, özel ve kâr amaçlı uygulamalarda da kullanılacak kadar yaygın olsaydı, bu durumlar için kullanılacak elektronik belge ve dokümanlarda da, kağıt dokümanlarda kullanılan kişisel imzalara gerek duyulurdu. Ve dijital imzalar sayesinde, bir mesajı kimin gönderdiği kesinlikle bilinmiş olur ve bu da herkesi memnun eden bir metot olurdu.

 

Diffie ve Hellman, 1976`da, her iki probleme de, daha önceki bütün kriptografik gelişimlerden ve buluşlardan farklı, radikal bir çözüm getiren hayret verici bir buluş gerçekleştirmeyi başardılar.

 

Az sonra, açık anahtarlı kriptografinin iskeletine göz atacağız. Daha sonra da, bu yöntemin kalbi olan şifreleme/de şifreleme algoritmalarının ihtiyaçlarını göreceğiz.

 

Açık Anahtarlı Kripto Sistemlerin Karakteristikleri

 

Açık anahtarlı şifreleme/deşifreleme algoritmaları, şifreleme için bir anahtara, de şifreleme içinse bu anahtarla ilişkisi olan ama bu anahtar olmayan ikinci bir anahtara ihtiyaç duyarlar. Bu durumda bir güvenlik sağlamış olur. Bu algoritmalar şu önemli karakteristiğe sahiptirler:

 

·                   Sadece kriptografik algoritma ve de şifreleme anahtarı verilmişken, bir takım hesaplamalar yolu ile şifreleme anahtarını bulmak mümkün değildir.

 

Bununla beraber RSA gibi bazı algoritmalar şu karakteristikleri de gösterirler:

 

·                   Her iki benzer anahtar da şifreleme ve de şifreleme için kullanılabilir. Bununla beraber, bir anahtar şifreleme için kullanılmışsa, de şifreleme için diğer anahtar kullanılmalıdır.

 

Şekil 1(a), açık anahtarlı şifreleme yöntemi gösterilmiştir. Başlıca adımlar şunlardır:

 

1.               Her ağdaki her son sistem, mesaj alındığında şifreleme ve de şifreleme için kullanacak olduğu anahtar parçasını yaratır.

2.               Her sistem, şifreleme anahtarını herkesçe erişilebilecek bir dosya yada yazmaç içerisine kaydederek paylaştırır. Bu anahtarın, açık olan kısmıdır (public key). Özel anahtar saklı tutulur.

3.               Eğer, A, B`ye bir mesaj yollamak isterse, mesajı B`nin açık anahtarını kullanarak şifreler.

4.               B, mesajı aldığında, bu mesajı kendi özel anahtarını kullanarak de şifre eder. Diğer hiçbir alıcı mesajı de şifreleyemez, çünkü mesajı de şife edecek olan özel anahtarı sadece B bilir.

 

 

 

Şekil 1

 

 

Bu şekilden de anlaşıldığı üzere her katılımcı, diğerlerinin açık anahtarlarına erişim hakkına sahiptir. Ve katılımcılar özel anahtarlarlarını lokal olarak yaratırlar. Bu yüzden, özel anahtarların paylaşılmasına gerek yoktur. Herhangi bir sebepten ötürü özel anahtarlar sahipleri tarafından değiştirilmek istenebilirler, bu durumda değişmiş olan yeni açık anahtar ilgili yerlere yeniden gönderilerek eskisi ile yer değiştirilir.

 

Tablo 1, geleneksel ve açık anahtarlı şifrelemenin farklarını açıkça göstermektedir. Geleneksel şifrelemede kullanılan anahtarı, açık anahtarlı şifrelemede kullanılan anahtarlardan ayırmak için onu gizli anahtar olarak anacağız. Açık anahtarlı şifrelemede kullanılan iki anahtarı da, genel anahtar ve özel anahtar olarak anacağız. Özel anahtar, her zaman gizli tutulacak olan anahtardır, fakat, geleneksel şifrelemedeki gizli anahtarla karışmaması için ona gizli anahtar yerine özel anahtar diyoruz.

 

 

 

Geleneksel şifrelemede:

Açık anahtarlı şifrelemede:

 

Çalışması için:

 

1. Şifreleme ve de-şifreleme için aynı algoritma aynı anahtarla birlikte kullanılır.

1. Şifreleme ve de-şifreleme için bir algoritma ve anahtarlardan birisi kullanılır. Şifreleme için kullanılan anahtar, de-şifreleme için kullanılamaz.

 

2. Gönderen ve alan, algoritmayı ve anahtarı paylaşmalıdır.

2. Gönderen ve alan, ilişkili anahtarlardan birine sahip olmalıdırlar (aynı olanı değil).

 

Güvenlik için:

 

1. Anahtar gizli tutulmalıdır.

1. Anahtarlardan biri gizli tutulmalıdır.

2. Diğer bilgiler saklandığında, mesajı deşifre etmek imkansız olmalıdır.

2. Diğer bilgiler saklandığında, mesajı deşifre etmek imkansız olmalıdır.

 

3. Algoritma ve şifreli metin örnekleri bilmek, anahtarı çözmek için yetersiz olmalıdır.

3. Algoritma, şifreli metin örnekleri bilmek ve anahtarlardan birine sahip olmak, diğer anahtarı bulmak için yetersiz olmalıdır..

Tablo 1 Geleneksel ve açık anahtarlı şifreleme
 

 

 

Şekil 2

 

 

 

Şimdi, Şekil 2 yardımıyla, açık anahtarlı şifreleme yapısını oluşturan başlıca elementlere bakalım. A, mesaj gönderecek bir kaynak olsun. Ve göndermeyi düşündüğü , genel bir alfabe kullanarak oluşturduğu, M sonlu sayısında kelimeden oluşan bir mesaj olsun. Bu X mesajı, B alıcısı için tasarlanır. B, birbiri ile ilişkili olan bir anahtar çifti yaratır: bir genel anahtar; ve bir özel anahtar . , yalnız B tarafından bilinir. ise, A tarafından erişilebilecek olan B`nin açık anahtarı olacaktır.

X düz metnini ve anahtarını girdi olarak alan A, mesajı şifreleyerek, metnine dönüştürür.

 

 

Alıcı olan B, özel anahtarın sahibi olarak, şifreli metni düz yazıya aşağıdaki fonksiyon ile çözümleyebilir.

 

 

Bir rakip, iletişimi izleyerek şifreli metin Y`yi ele geçirirse, ve `ye sahipse, aynı zamanda, ya da, X için bir erişim hakkına sahip değilse, X ya da `yi elde etme girişiminde bulunacaktır. Rakibin, şifreleme ve deşifreleme algoritmalarını bildiği varsayılır. Eğer, rakip sadece bu mesaj ile ilgileniyorsa, şifreli metni üzerinde yapacağı hesaplamalarla, bir düz metni oluşturmaya çabalayacaktır. Bununla beraber, rakibin teşebbüsü genellikle gelecek mesajları da okuyabilmek üzere, tahmini üstünde hesaplamalar yaparak `yi elde etmek olur.

 

Şekil 3
 
 

 

 


Her iki benzer anahtardan, yani, şifreleme için kullanılacak olan anahtar ve diğeri de deşifreleme için kullanılmak anahtardan genel olarak bahsetmiş olduk. Umarız, oldukça farklı olan bu kriptografik yapıyı açıklayabilmek için yeterli olmuştur. Şekil 2`de, güvenliğin sağlanması gösterilirken, 2 ve 3`te, açık anahtarlı kriptografinin kimlik doğrulamayı nasıl sağladığı gösterilmiştir:

 

 

Bu durumda, A, B`ye göndermek üzere bir mesaj hazırlıyor ve göndermeden önce mesajı kendi özel anahtarıyla şifreliyor. B, bu mesajı, -sadece- A`nın genel anahtarını kullanarak deşifre edebilir. Çünkü, A mesajı kendi özel anahtarı ile şifrelemiştir dolayısıyla sadece, A bu mesajı hazırlayabilir. Bu yüzden özel anahtar ile şifrelenmiş tüm mesajlar dijital imza olarak düşünülebilir. Bununla birlikte, A`nın kendi özel anahtarı ile şifrelediği mesajın, A`nın özel anahtarına sahip olmayan bir kişi tarafından değiştirilmesi imkansızdır, dolayısıyla, bu şekilde, hem bütünlük hem de kaynak doğrulama ihtiyaçları karşılanmış olur.

 

Önceki yapıda, tüm mesaj şifrelenmiş ve gönderici ve mesajın içeriğinin güvenliği sağlanmıştı. Fakat bu, mesajın saklanması ve pratik kullanımı esnasında sorunlara neden olacaktır. Her doküman, pratik kullanım için düz metin halinde saklanmalıdır. Fakat orijinalliğinin ispat edilmesi gereken durumlarda kullanılmak üzere, mesajın şifrelenmiş hali de ayrıca saklanmalıdır. Bu işi başarmanın daha verimli bir yolu olarak, mesajın en önemli olan bitlerinin şifrelenmesi düşünülebilir. Örneğin öyle bir bit grubu olsun ki, bu kısım mesajın tanımlayıcısı olsun ve bu belirleyici bilinmeden/değiştirilmeden dokümanda bir değişiklik yapılması mümkün olmasın. Eğer bu belirleyici, göndericinin özel anahtarı ile şifrelenmişse, bu kısım, mesajın orijinalliğini, ardışıklığını ve içeriğini güvenlik altında tutan bir imza gibi düşünülebilir. Bu belgede dijital imzanın ayrıntılarına derinlemesine girilmeyecektir. Belki ilerleyen zamanlarda, talebe göre bu konuda bilgi içeren bir kısım da belgeye eklenebilir.

 

Şunu vurgulamak önemlidir ki, şifreleme olayı açıklandığı kadarki hali ile gizliliği sağlamaz. Yani, mesajın değiştirilmesi engellenilmiş olsa da, bu mesajın gizlice dinleyenlerce ele geçirilmesini engelleyemez. Ortadadır ki, mesajın bir parçasının imza olacak şekilde şifrelenmiştir ve mesajın geriye kalan kısmı şifrelenmemiş şekilde gönderilmiştir. Hatta mesajın tamamının şifrelenmiş olması halinde bile, Şekil 3`te gösterildiği gibi, gizlilik mümkün değildir. Çünkü, herhangi bir izleyici, mesajı göndericinin genel anahtarı yardımıyla deşifre edebilir.

 

Bununla birlikte, hem kimlik doğrulama, hem de, gizlilik iki açık anahtar kullanılması ile sağlanabilir (Şekil 4):

 

 

Şekil 4
 
 

 

 


Bu durumda, bir mesajı şifrelemeye başlamadan önce, onu özel anahtarımız ile şifreleriz. Bu adım kimlik doğrulamayı sağlar. Daha sonra, bu yeni şifreli mesajı, alıcının genel anahtarı ile yeniden şifreleriz. Bu da gizliliği sağlar. Bu metodun dezavantajı iki kez şifrelenmiş olan metinin iki kez deşifrelenerek açılması esnalarında kaybedilecek fazladan zaman olarak düşünülebilir. Fakat mesaja sağladığı gizlilik ve kimlik doğrulama vazgeçilemez bir özelliktir.

 

 

Açık Anahtarlı Kripto Sistem Uygulamaları

 

Açıklamaya başlamadan önce, açık anahtarlı kripto sistemlerin bir yönünü açıklamalıyız yoksa, karışıklığa yol açmış oluruz. Açık anahtarlı sistemler karakteristik olarak, birisi gizli tutulan, diğeri ise genel kullanım için açılmış olan iki anahtarla çalışan kriptografik algoritmalar kullanırlar. Uygulamaya bağımlı olarak, gönderici, ya kendisinin özel anahtarını, ya alıcının genel anahtarını ya da ikisini birden, kimi kriptografik fonksiyonları gerçeklemek için kullanır. Geniş bir bakış açısı ile, açık anahtarlı kripto sistemlerin kullanımını üç kategoride inceleyebiliriz:

 

·                   Şifreleme/De-Şifreleme: Gönderici, bir mesajı alıcının genel anahtarı ile şifreler.

·                   Dijital İmza: Gönderen, mesajı kendi özel anahtarı ile imzalar. Bu imzalama, mesajın tamamını yada önemli görülen belirleyici bir kısmını şifrelemek ile yapılır.

·                   Anahtar Değişimi: İki taraf ortaklaşa bir oturum anahtarını değiş tokuş ederler. Bir çok farklı yöntem mümkündür. Anahtar değişimi senaryoları ilerde ayrıntıları ile ele alınacaktır.

 

 

Kimi algoritmalar, bu özelliklerden sadece bir yada iki tanesini gerçekleştirebilirken, bazıları bunların tümünü gerçekleştirebilir. Tablo 2, kimi açık anahtarlı algoritmaların bu özelliklerden hangilerini desteklediğini göstermektedir.

 

 

 

Algoritma

 

 

Şifreleme/De-şifreleme

 

Dijital İmza

 

 

Anahtar Değişimi

 

RSA

 

 

Evet

 

 

Evet

 

 

Evet

 

 

Diffie-Hellman

 

Hayır

 

 

Hayır

 

 

Evet

 

DSS

 

Hayır

 

Evet

 

 

Hayır

 

Tablo 2 Açık anahtarlı kripto sistemler için uygulamalar
 

 

 

 

Açık Anahtarlı Kriptografi için Gereklilikler

 

Kripto sistem, Tablo 2`de, iki benzer anahtarı temel alan kriptografik algoritmaya bağlıkları yoluyla ifade edilmiştir. Diffie ve Hellman, bu algoritmaların varlığını göstermeksizin bu sistemi varsaymışlardır. Bununla beraber, bu algoritmaların yerine getirmeleri gereken durumları şöyle ifade etmişlerdir:

 

1.               Bir B için, anahtar parçalarını (genel anahtar ve özel anahtar) yaratmak, hesapsal olarak kolay olmalıdır.

2.               Gönderenin (A olsun), mesajı göndereceği kişinin (B olsun) genel anahtarını bildiği ve şifrelenecek olan mesajı (M olsun) bildiği durumda, uygun şifreli metni yaratmak hesapsal olarak kolay olmalıdır.

 

 

3.               Alıcı B`nin, özel anahtarını kullanarak, şifrelenmiş mesajı orijinal haline getirmesi hesapsal olarak kolay olmalıdır.

 

 

4.               Herhangi bir rakip için, genel anahtarı bilerek, özel anahtarı bulması hesapsal olarak imkansız olmalıdır.

5.               Herhangi bir rakip için, genel anahtarı, şifreli metini (C`yi) bilerek orijinal mesajı (M`yi) elde etmesi hesapsal olarak imkansız olmalıdır.

 

 

Bunlara ek olarak, yararlı olmasına rağmen gerekli olmayan altıncı bir madde ekleyebiliriz:

 

6. Şifreleme ve de-şifreleme fonksiyonları her iki sıra ile de uygulanabilir olmalıdır.

 

 

Bunlar gerçekleştirilmesi çok zor gerekliliklerdir bu yüzden, açık anahtarlı kriptografi fikrinin ileri sürüldüğünden bu yana geçen yıllar süresince sadece tek bir algoritma geniş bir kitle tarafından kabul edilmiştir.

 

Bu kadar zor gerekliliklerin istenmesinin sebeplerini açıklamadan önce en önemli noktayı, tek yönlü fonksiyonu (one-way function) açıklayalım. Söz konusu olan tek yönlü fonksiyon şöyledir: fonksiyonun bire-bir olduğu bir aralıkta, tersini hesaplamak imkansız iken, fonksiyonun kendisinin hesaplanması kolaydır.

 

çok kolay,

imkansız...

 

Genellikle, "kolay" dan kasıt, fonksiyonun girdi uzunluğuna bağlı olarak polinomal bir zaman süresi içerisinde çözülebilir olmasıdır. Şöyle ki, eğer girdi uzunluğu bit kadarsa, fonksiyonun hesaplanması için gereken süre bir sabit sayı iken, gibi bir fonksiyonla orantılı olmalıdır. Çoğu algoritmanın, P sınıfı algoritma olduğu söylenir. "imkansız" ise, oldukça bulanık bir durumu ifade etmek için kullanılır. Bir problemin çözümünün olanaksız olduğundan, giriş büyüklüğüne bağlı olarak çözüm için harcanan çabanın, polinomal zamandan daha hızlı arttığı durumda bahsedebiliriz. Örneğin, girdi bit ile gösterilirken, fonksiyonun çözülme zamanı gibi bir fonksiyona bağlı olarak artıyorsa, bu fonksiyonun çözümünün imkansız olduğunu düşünebiliriz. Ne yazık ki, eğer bir algoritma parçası bu kompleksliği barındırıyorsa, bu karışıklığı belirlemek zordur. Ayrıca , hesapsal kompleksliğin geleneksel fikirleri bir algoritmanın kompleksliğini en kötü duruma yada ortalama bir duruma odaklar. Bu oranlar kriptografi için değersizdir. Çünkü kriptografide bir fonksiyonu tüm girilenler için tersine çevirmek nerdeyse olanaksızdır, bu genelleme, en kötü durum yada ortalama durum için geçerli değildir.

 

Şimdi, bir taraftan hesaplanması kolay, diğer bir taraftan ise belirli ek bilgiler bilinmedikçe hesaplanması olanaksız olan tuzak kapılı tek yönlü fonksiyonun (trap-door one-way function) açıklanmasına bakalım. Polinominal zamanda fonksiyonun tersi ek bilgiyle hesaplanabilir. Adım-adım özetleyebiliriz: Tuzak kapılı tek yönlü fonksiyon, tersine çevrilebilir fonksiyonların () bir ailesidir. Şöyle ki;

 

 

ve biliniyorsa, kolay

* ve biliniyorsa, kolay

biliniyor fakat * bilinmiyorsa çözülemez

 

 

Böylece, uygulamalı genel anahtarın yapısının gelişimi uygun bir tuzak kapılı tek yönlü fonksiyon bulunuşuna bağlıdır.

 

 

Açık Anahtarlı Kripto Analiz

 

Brute-force saldırısına karşı (Brute-force saldırısı, anahtar uzayının tüm elemanlarının sırası ile algoritma içerisinde teker teker denenmesi yolu ile doğru anahtarı elde etmeye çalışmaktır), bir genel anahtarlı şifreleme yapısı geleneksel şifreleme yapıları ile aynı derecede savunmasızdır. Çözüm aynıdır: Geniş anahtar uzayı kullanmak. Bununla birlikte, hesaba katılan bir trade-off vardır. Açık anahtarlı kripto sistemler, bazı kısa, tersine dönüştürülebilir matematiksel fonksiyonların kullanımına bağlıdır. Bu fonksiyonların hesabının karışıklığı, anahtardaki bitlerin sayısıyla doğrusal olarak ölçülemeyebilir; ancak karışıklık daha hızlı artar. Anahtarın büyüklüğü, brute-force saldırısını makul olanaklılık derecesinin dışına çıkarmak için yeterince büyük olmalıdır. Aynı zamanda da pratik şifreleme ve de-şifreleme için yeterince küçük olmalıdır. Pratikte, önerilmiş olan anahtar büyüklükleri brute-force saldırısını olanaksız kılar (Elbette bu hesaplama teknolojilerindeki hızlı gelişime bağlı olarak göreceli bir durumdur). Ancak, sonuçta şifreleme ve de şifreleme hızları genel amaç kullanımı için çok yavaş olur. Gizli anahtarlı simetrik şifrelemenin açık anahtarlı şifrelemeye nazaran çok daha hızlı olmasından ötürü, açık anahtarlı şifreleme yaygın olarak anahtar yönetimi ve imza kullanımlarında sınırlandırılır.

 

Saldırının diğer bir şekli; özel anahtarı hesaplamanın bir yolunu bulmak için, verilen genel anahtarı kullanmaktır. Şu ana dek, bir genel anahtarlı algoritma parçacığı için bu tip bir saldırının başarılı olmasının mümkün olmadığı matematiksel olarak ispatlanmamıştır. Böylece, verilen herhangi bir algoritma (geniş çapta kullanılan RSA algoritmalarını içeren) şüphelidir. Kriptonalizin tarihi, bütünüyle farklı bir yönden bakıldığında çözümü bulunabilecek, bir yönden de çözümsüz gibi gözüken bir problemin varlığını gösterir.

 

Son olarak, genel anahtarlı sistemler için tuhaf bir saldırı şekli daha vardır. Özünde bu saldırı bir olası-mesaj saldırısıdır. Varsayalım ki; 56 bitlik DES anahtarıyla gönderilmek üzere oluşturulmuş bir mesaj olsun. Bir saldırgan, genel anahtarı kullanarak olası tüm anahtarları şifreleyebilir ve herhangi bir mesajı gönderilmiş şifreli metinle karşılaştırarak deşifre edebilirdi. Böylece genel anahtarlı yapının anahtar büyüklüğünün önemi kalmaz, saldırı 56 bitlik bir anahtara yapılan brute-force saldırısına dönüştürülürdü. Bu saldırı; bu gibi basit mesajlara rasgele bazı bitler eklenerek, önlenebilir.

 

 

RSA ALGORİTMASI

 

Diffie ve Hellman tarafından hazırlanmış öncü bir makale 1976 yılında, kriptografi için yeni bir yöntem tanıttı, ve sonuçta, genel anahtarlı sistemlerin gerekliliklerini yerine getiren bir kriptografik algoritmada görüş birliğine varan kriptolojistlere karşı meydan okudu. Bu meydan okumaya karşı yanıtlardan ilki; 1977'de MIT'de Ron Rivest, Adi Shamir, ve Len Adleman (RSA) tarafından ortaya atıldı, ve ilk olarak 1978'de (A Method for Obtaining Digital Signatures and Public-Key Cryptosystems, February 1978) basıldı. Rivest-Shamir-Adleman (RSA) yapısı; üstünlüğü kabul gördüğünden itibaren, geniş çapta tek olarak kabul edildi ve genel anahtarlı şifreleme yönteminin genel amacını yerine getirdi.

 

RSA yapısı, birtakım `ler için ve arasındaki tamsayılardan oluşan şifreli ve düz metinin içinde yer alan bir blok şifrelemedir. Bu bölümde RSA`yı bazı detaylarla birlikte, algoritmanın açıklamasıyla başlayarak inceleyeceğiz. Daha sonra RSA`nın hesapsal ve kripto analitik anlamlarını incelemeye çalışacağız.

 

Algoritmanın Tanımı

 

Rivest, Shamir, ve Adleman tarafından bulunan yapı, destekleyici görüşlerle birlikte ifadenin kullanımını meydana getirir. Düz metin, blokların içinde şifrelenir. Her blok, birtakım sayısından daha az bir ikili değere sahiptir. Bloğun büyüklüğü, `e eşit yada ondan daha az olmalıdır; pratikte, blok büyüklüğü bittir, aralığında. Şifreleme ve de şifreleme bazı düz metin bloğu ve şifreli metin bloğu için şu şekildedir:

 

 

 

Hem gönderen hem de alıcı `in değerini bilmelidir. Gönderen `nin değerini bilir, ve sadece alıcı `nin değerini bilir. Böylece; bir genel anahtar, ve bir özel anahtar olur ve bu bir genel anahtarlı şifreleme algoritmasıdır. Genel anahtarlı şifreleme için tatmin edici olması için, bu algoritma için aşağıdaki gereklilikler yerine getirilmelidir:

 

1. olduğu koşulda, iken, değerlerini bulmak mümkün olmalıdır.

 

2. koşulunu sağlayan tüm değerleri için, ve hesaplanması nisbeten kolay olmalıdır.

 

3. Yalnız ve verildiğinde, `nin hesaplanması imkansız olmalıdır.

 

 

Şimdi, ilk sorun üzerinde odaklanalım ve diğerlerine sonra geçelim. Aşağıdaki form için bir ilişki bulmamız gerekiyor:

 

 

Euler`in teoremine göre, verilen iki asal sayı p ve q, ve iki tamsayı n ve m olmak üzere, ve olduğu durumda, keyfi seçilmiş bir tamsayısı seçilmiş sayılar ile şöyle bir ilişki oluşturur:

 

 

Buradaki fonksiyonunun döndürdüğü değer, `den küçük olan ve ile aralarında asal olan tam sayıların sayısıdır. ve asal sayı olmak üzere olur (Bunun ispatı konumuzun dışındadır, bu yüzden burada yapılmayacaktır). Böylece aşağıdaki eşitlik sağlanıyorsa istenilen ilişkiye ulaşabiliriz:

 

 

Bu durumda aşağıdaki denkliklerden söz edilebilir:

 

 

* ve , `in çarpmaya göre tersidir. Dikkat edecek olursak, modüler aritmetiğin kurallarına göre, bu denkliğin doğru olması yalnız `nin (ve sonucunda `nin) ile aralarında asal olması durumunda mümkündür. Bu durumda, gcd( , ) = 1 demektir.

 

Şimdi, RSA yapısını açıklamaya hazırız. Yapının bileşenleri sırasıyla şöyledir (parantez içlerinde, sayıların nasıl elde edildiklerini ve genel mi yoksa gizlimi olduklarını belirtilmektedir):

 

; iki asal sayı (gizli, seçilmiş)

;(genel, hesaplanmış)

*; gcd( , ) = 1; olacak şekilde (genel, seçilmiş)

; (gizli, hesaplanmış)

 

 

* çifti özel anahtarı, çifti ise genel anahtarı oluşturur. Varsayalım ki, bir kullanıcısı, kullanıcısına, kullanıcısının genel anahtarını kullanarak bir mesajını göndermek istiyor. Bu durumda , formülü yardımı ile şifreli mesajını elde edecek ve bunu `ya gönderecektir. kullanıcısı bu mesajı aldığında, formülü ile mesajı de şifre edecektir.

 

Bu kıymetli algoritmanın doğrulunu özetlemek için biraz sıkıntıya girmeye değer :) Biz, ve `yi aşağıdaki denkliği sağlayacak şekilde seçmiştik:

 

Bunun sonucunda,

 

 

Bu yüzden , `in bir formudur. Bu denkliğin Euler teoreminin bir sonucu olduğu, iki asal sayı olan ve , birer tamsayı olan () ve () alınarak kolaylıkla ispatlanabilir.

 

 

Dolayısıyla görüyoruz ki, ;

 

 

Şekil 5
 
 

 

 

 


Şekil 5`te, RSA algoritması özetlenmiştir. Ve Şekil 6` da da bir örnek vierlmiştir ve bu örnekteki anahtarlar şu şekilde yaratılmıştır (siz de kağıt üstünde kendi seçtiğiniz sayılar ile deneyiniz):

 

1.     İki adet asal sayı seçelim, ve

2.     değerini hesaplayalım,

3.     değerini hesaplayalım,

4.     Şimdi de, `den küçük olacak ve ile aralarında asal olacak şekilde bir sayısı seçelim, burada olsun…

5.     Son olarak, öyle bir belirleyelim ki, ve olsun. Doğru değer, olacaktır. Çünkü, `dir.

 

Şekil 6
 
 

 

 


Bu işlemler sonucunda elde ettiğimiz değerlere göre genel anahtar , özel anahtar da oldular. Bu örnek bize, bu anahtarların düzmetni için kullanımını gösteriyor. Şifreleme için, un beşinci kuvveti alınıyor ve sayısı elde ediliyor. Daha sonra bu sayının `a bölümünden kalan bulunuyor ve ortaya şifreli metin olan çıkıyor. Deşifreleme işleminde de, işlemi sayesinde de şifrelenmiş metin olarak 19 elde ediliyor.

 

Hesaplama Yöntemleri

 

Şimdi, RSA`nın kullanımı için gerekli hesabın karışıklığıyla ilgili önemli noktaya geri dönüyoruz. Aslında düşünülmesi gereken iki önemli nokta vardır: anahtar üretimi, şifreleme/deşifreleme. Önce şifreleme/deşifreleme işlemlerine bakmaya çalışacak ve daha sonra anahtar üretimi konusuna döneceğiz.

 

 

Şifreleme ve Deşifreleme

 

RSA`da hem şifreleme hem de deşifreleme, tamsayıların tamsayı kuvvetlerini almayı ve mod alma işlemlerini gerektirir. Eğer ilk önce tamsayıların üslerini alıp, daha sonra ile indirgersek, ara değerler devasa büyüklükte sayılar olurlar. Neyse ki bu sorunu bir nebze azaltmak için modüler aritmetiğin şu özelliğinden yararlanabiliriz:

 

 

Bu sayede, ara değerleri modül `e göre indirgeyebiliriz. Bu da hesaplamayı pratik hale getirir.

 

Diğer bir husus, üssün verimidir. Çünkü, RSA ile, potansiyel olarak büyük üsler ile işlem yaparız. Verimin nekadar artabiliceğini görmek için, `yı hesaplamak istediğimizi varsayalım. Dürüst bir yöntem 15 çarpım gerektirir:

 

 

Bununla birlikte, aynı sonuca, her bir kısmi sonucun karesini alarak olacak şekilde dört adımda da ulaşabiliriz.

 

Daha genel olarak varsayalım ki biz değerini hesaplamak istiyoruz ve biliyoruz ki ve birer pozitif tam sayı. Eğer biz `i gibi ikilik sayı gibi ifade edecek olursak:

 

olur.

 

Böylece,

 

 

 

 

 

olur.


Bu sonuç sayesinde, işlemini hesaplamak üzere aşağıdaki algoritmayı geliştirebiliriz. Ve algoritmanın altındaki tablo da algoritmanın çalışmasını örneklemektedir. değerinin aslında gerekli olmadığını düşünebilirsiniz; gerçekten de algoritma içerisinde direk bir fonksiyonu yoktur. Fakat son değeri üssün değerine eşit olacağından dolayı açıklayıcı bir niteliktedir.

 

c0; d1

for ik downto 0

     do c2 x c

          d(d x d)mod n

          if bi=1

               then cc+1

                    d(d x a)mod n

return d

 

 

9

8

7

6

5

4

3

2

1

0

1

0

0

0

1

1

0

0

0

0

1

2

4

8

17

35

70

140

280

560

7

49

157

526

160

241

298

166

67

1

 

 

 

Anahtar Üretimi

 

Açık anahtarlı kriptosistemin uygulamasından önce, her iki katılımcı anahtar parçalarını üretmelidir. Bu üretim işlemi aşağıdaki vazifeleri ihtiva eder:

 

·                   İki asal sayı hesaplanması, ve

·                   ya da `nin seçilip diğerinin hesaplanması.

 

Öncelikle, ve nun seçimini düşünelim. Çünkü, herhangi bir potansiyel saldırgan `nun değerini biliyor olacaktır, ayrıntılı methodlarla ve nun bulunmasını engellemek için, ve sayıları yeterince büyük bir seriden seçilmiş olmalıdırlar ( ve büyük sayılar olmalıdır). Diğer bir yandan, büyük asal sayıları bulmak için kullanılan yöntem yeterince verimli olmalıdır.

 

Günümüzde, verimli ve büyük asal sayılar üreten kullanışlı bir teknik yoktur. Genel olarak kullanılan yöntem şöyle çalışmaktadır: istenen büyüklük aralığında rastgele bir tek sayı seçilir ve bunun asal olup olmadığını kontrol edilir. Eğer asal değilse, bu işlem asal bir sayı buluncaya kadar sürdürülür.

 

Asallığı kontrol eden bir çok test geliştirilmiştir. Testlerin nerdeyse tümü yaklaşıklıktan bahseder yani, test, verilen (yeterince büyük) bir tam sayının muhtemelen asal olup olmadığını belirleyecektir. Bu kesinlik eksikliğine karşın, testler, sayının asal olma olasılığının 1,00`a çok yakın olduğu durumlarda çalışabilirler. Örnek olarak, en verimli ve popüler test algoritmalarından birisi Miller-Rabin algoritmasıdır. Bu algoritmada ve diğer bir çok algoritmada, sayısının asallığını kontrol etmek için, ile bir takım işlemlere sokulmak üzere den küçük bir rastgele sayısı seçilir. Eğer testi geçemezse bunun anlamı sayısının asal olmadığıdır. Eğer testi geçerse bu durumda sayı asal olabilir, olmayadabilir. Eğer sayısı bu gibi çok fazla sayıda (milyonlarca..) testten başarılı olursa, için muhtemelen asal denilir.

 

Özet olarak, asal sayı kontrol prosedürü aşağıdaki adımları izler:

 

1.     Rastgele bir tek tam sayı "" seçilir.

2.     koşulunu sağlayan bir rastgele bir sayısı seçilir.

3.     için asallığı yaklaşık olarak test eden Miller-Rabin gibi bir test gerçekleştirilir, eğer testi geçemezse birinci adıma geri dönülür.

4.     Eğer bir çok sayıda testi başarı ile geçmişse kabul edilir yada ikinci adıma geri dönlülür.

 

 

Bu, oldukça sıkıcı bir işlemdir fakat biliyoruz ki, bu işlem sadece yeni bir genel ve özel anahtar () gerektiğinde uygulanır.

 

Asal bir sayı bulunana dek geri çevrilen sayıların sayısı önemli bir ayrıntıdır. Sayılar teoreminin bir sonucuna, asal sayılar teorisine göre bir asal sayısına yakın olan ilk asal sayı, bu sayıya ortalama adet tam sayı kadar uzaklıktadır. Bu durumda, bir asal sayı bulunduğunda, bir sonraki asal sayı yaklaşık olarak tamsayı ötede olacaktır. Ve bu aralıkta bulunan çift sayıların asal olmadığı kesin olduğundan, bir asal sayıya ulaşması için en fazla /2 deneme yapması gerekecektir. Bunun anlamı şudur: örneğin 2200 sayısını merkez alarak asal sayı aramaya başlayan bir kişinin bir asal sayıya ulaşmak için sayı ekseninde bir yöne doğru yaklaşık ln(2200)/2=70 sayı denemesi gerekmektedir.

 

* ve değerlerine sahip olunmasından sonra bir değeri seçilmesi ve değerinin hesaplanması ya da alternatif olarak değeri seçilerek değerinin hesaplanmasının ardından anahtar üretme işlemi tamamlanmış olacaktır. sayısını seçerken, bu sayının gcd()=1 eşitliğini sağlaması gerektiğini biliyoruz. Daha sonra da, eşitliği sonucunda değerini elde etmeliyiz. Neyseki, aynı anda iki tam sayının en büyük ortak bölenini bulan, ve bu bölen 1 ise, bu sayılardan birisinin tersini, diğerinin modülüne göre hesplayan tek bir algoritma var... Bu algoritma uzatılmış Euclid algoritması olarak anılmaktadır. Prosedür, yarattığı bir seri halindeki rastgele sayıların her birisini, ile arasında asal olan bir sayı buluncaya dek teker teker dener. Tekrar şu soruyu sorabiliriz: ile aralarında asal olacak şekilde kullanışlı bir sayı bulmak için kaç rastgele sayıyı test etmeliyiz? Şunu kolayca gösterebiliriz ki, rastgele seçilmiş iki sayının aralarında asal olma olasılığı 0.6`dır. Bu da demek oluyor ki, aradığımız tam sayıya ulaşmak için bir kaç test yapmamız yeterli olacak.

 

 

RSA`nın Güvenliği

 

Rsa algoritmasına saldırmak için kullanılabilecek üç metod aşağıdaki gibidir:

 

·                   Brute-force: Bütün özel anahtarların denenmesi ile gerçekleştirilir.

·                   Matematik Ataklar: Birkaç yöntem vardır, hepsinini amacı çarpımı oluşturan iki asal sayıyı bulmaktır.

·                   Zaman Atakları: Deşifreleme algoritmasının çalışması esnasında geçen zamana bağlıdır.

 

 

Brute-force yöntemine karşı RSA`nın savunması diğer diğer kripto sistemlerin çözümünden farklı değildir, çözüm geniş anahtar uzayı kullanmaktır. ve `nin bit sayıları ne kadar büyük olursa o kadar iyidir. Bununla beraber, hem anahtar üretimi hem de şifreleme/de şifreleme işlemleri için algoritmanın içerdiği hesaplamalar kompleksleşecek, büyük anahtarlarla çalışan sistemin de çalışma zamanından kaybı olacaktır.

 

Biz bu alt kısımda Brute-force`dan ziyade matematiksel ve zaman ataklar ile ilgileneceğiz.

 

 

Çarpan Problemi

 

RSA`ya gerçekleştirilebilecek matematik atak yöntemlerini üç alanda inceleyebiliriz:

 

·                   `in çarpanlarından iki tanesi, kendisini oluşturan asal sayıların bulunması. Bu sayıların bulunmasıyla hesaplanabilir ve dolayısıyla hesaplanabilir.

·                   `in ve bulunmadan, doğrudan hesaplanması. Yine buradan hesaplanabilir.

·                   `nin, hesaplanmadan hesaplanması.

 

RSA`ya yönelik en çok tartışılan kriptoanaliz yöntemi, sayısını kendisini oluşturan iki asal çarpanına ayırmaktır. Verilmiş bir için hesaplanması, `in çarpanlarına ayrılması demektir. Günümüzde, verilen ve için değerini hesaplayan algoritmalar üs alma problemi gibi zaman ile de ilgili bir problem yaratmaktadırlar. Bu nedenle çarpanlara ayırma performansını, RSA`nın güvenliği için bir tehdit olarak düşünebiliriz.

 

Çok büyük asal sayılardan oluşturulmuş çok büyük bir `i çarpanlarına ayırmak çok zor bir işlem olacaktır; fakat bu zorluk `in kullanımından daha büyük bir zorluk değildir. 1977 yılında, RSA`nın üç yaratıcısı, Scientific American okuyucularına meydan okuyarak, derginin Martin Gardner tarafından hazırlanan "Matematik Oyunları" kısmına, deşifre edilmesi için RSA ile şifrelenmiş bir metin koydular. Bu metni deşifre ederek getirecek olan kişiye de $100 ödül vereceklerini, fakat bu işlemin 40 milyar yıldan uzun süreceğini söylediler. 1994 Nisanında, internet üzerinden çalışan bir grup, sadece 8 aylık bir çalışma ile ödülü almaya hak kazandılar. Bu meydan okumada kullanılan genel anahtar 129 rakam yani yaklaşık 428 bitti. RSA Laboratuvarları, 100, 110, 120 ve bu sekilde artan anahtar boyutları ile şifrelenmiş metinler için meydan okumaları sürdürdü. En son sonuçlanan idda da 130 rakamdan oluşan anahtar ile şifrelenmiş metnin çözülmesi oldu. 3 numaralı tabloda, tarihlerine göre alınmış sonuçları listelemekte. Sarfedilen efor kolonu MIPS birimi ile ifade ediliyor ve 1 MIPS-yılı demek, saniyede 1 milyon işlem yapan bir işlemcinin bir yıl süre ile çalışması anlamına geliyor. Bu durumda, yaklaşık 3x1013 adet işlem gerçekleştirilmiş oluyor. 200 Mhz.`lik bir Pentium işlemcili bir makine yaklaşık 50-MIPS` lık bir makinedir.

 

 

Anahtarın Rakam Sayısı

Yaklaşık Bit Sayısı

Verinin Elde Edilmesi

MIPS-yılı

Algoritma

100

332

Nisan 1991

7

Quadratik eleme

110

365

Nisan 1992

75

Quadratik eleme

120

398

Haziran 1993

830

Quadratik eleme

129

428

Nisan 1994

5000

Quadratik eleme

130

431

Nisan 1996

500

Genelleştirilmiş sayı alanı elemesi

Tablo 3

 

 

Son zamanlara kadar, çarpanlara ayırma atakları quadratik eleme adı verilen bir yöntem kullanılarak yapılıyordu. RSA-130 için yapılan atakta, daha yeni bir algoritma kullanıldı: "Genelleştirilmiş sayı alanı elemesi (GNFS: Generalized Number Field Sieve)". Bu sayede, RSA-129` dan daha büyük bir sayının çarpanlarına ayrılması 10%`luk bir çaba ile gerçekleştirilebildi.

 

Bilgisayar teknolojisinin hızla gelişmesi ve çarpanlara ayırma algoritmalarının zamanla rafine edilerek daha kaliteli hale gelmeleri neticesinde, büyük anahtar boyutları kullanmanın verdiği gözdağı yavaş yavaş kriptoanalistler için önemsizleşiyor. Tablodan da, bir algoritma değişikliğinin ne kadar muazzam bir hız yükselişi sağladığını görebilirsiniz. Üstelik, GNFS`nin üzernde yapılacak bir rafinasyon işlemi sonucunda çok daha etkin bir algoritma ortaya çıkarılması çok mümkündür. Aslında, "Özel Sayı Alanı Elemesi (SNFS: Special Number Field Sieve)" adında bir algoritma, özelleştirilmiş şekli ile sayıların çarpanlarını GNFS`ye göre çok daha hızlı bulmaktadır. 9 numaralı şekilde, bu iki algoritmanın performans karşılaştırmasını görebilirsiniz. Şunun beklenmesi gereklidir ki, ani bir atakla SNFS kadar yada ondan daha hızlı çalışabilecek bir genel çarpanlara ayırma algoritması geliştirilebilir. Bu yüzden RSA`da kullanacağımız anahtar boyutunu seçerken çok dikkatli olmalıyız. Yakın bir gelecekte, 1024 yerine 2048 bitlik anahtarlar kullanılması çok da imkansız görünmüyor...

 

Şekil 9
 
 

 

 


Ek olarak, algoritma geliştiricileri ve araştırmacılar, asal çarpanlarına kolayca ayrılabilen sayılarının üretilmemesi için, ve sayıları seçilirken bazı kısıtlamaların göz önünde bulundurulması gerektiğini belirtiyor ve şunları tavsiye ediyorlar:

 

1.                 ve sayılarının uzunlukları birbirinden sadece birkaç rakam farklı olmalı. Bu yüzden, hem hem de sayısı 1075 ile 10100 aralığından seçilmeli.

2.                 Hem (-1) hem de (-1) büyük bir asal çarpan içermeli.

3.                 gcd(p-1,q-1) küçük olmalı.

 

 

Ayrıca, [WIEN90 (Refernası kaybetmişim en kısazamanda ekleyeceğim)]`da da ispatlandığı üzere, eğer ve ise, kolaylıkla hesaplanabilirdir.

 

 

Zaman Atakları

 

Eğer halen, bir kriptografik algoritmanın güvenliği konusunda emin olmanın ne kadar zor olduğu konusunda ders almamış birisi varsa, zaman atakları onun için çok çekici ve çarpıcı bir örnek olacaktır. Bir kriptografi uzmanı olan Paul Kocher, bir bilgisayarın şifreli bir metni çözerken harcadığı zaman dilimlerinden yararlanarak, o metnin oluşturulması esnasında kullanılan özel anahtarı hesaplayabileceğini kanıtladı (1996, Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems). Zaman atakları sadece RSA için değil, diğer açık anahtarlı kriptografik sistemler içinde uygulanabilir bir saldırı metodudur. Bu atak şu iki konu sebebiyle çok dikkat çekici: bu atak tamamiyle beklenmedik bir yönden geliyor ve, ikinciside bu sadece chipertext-only atağı (Yani sadece şifreli metnin üstünde, metin hakkında herhangi bir ek bilgi olmaksızın gerçekleştirilen atak; bu atak yöntemi normal koşullarda başarıya ulaşması en az umulan ataklardan birisidir).

 

Zaman atağı, bir hırsızın, soymak istediği bir kasanın parola kombinasyonunu tahmin etmek için, o kasayı açan bir kişinin çevirdiği her bir numaranın ne kadar süre aldığını dikkatle izlemesine oldukça benzemektedir. Bu atak yöntemini, modüler üs alma algoritmasını kullanarak açıklayabiliriz fakat, atak yöntemi belirlenmiş zamanlarda çalışmayan herhangi bir uygulamaya da adapte edilebilir. Bu algoritmada, her adımda, modüler üs alma işlemi bit-bit ve bir modüler çarpım işlemi gerçekleştiriliyor. Ayrıca, ekstra bir modüler çarpım işlemide değeri 1 olan her bit için yapılıyor.

 

Kocher`in de makalesinde belirttiği gibi, bu atağı anlamak son derece kolay. Farzedin ki, hedef sistem çoğu koşulda çok hızlı, sadece bazı girdiler için normalden biraz daha yavaş çalışan bir modüler çarpım algoritması kullanıyor olsun. Atak, en soldaki bitten, `dan başlayarak bit bit ilerlemeye başlasın. Farzedelim ki, ilk bit biliniyor. Verilmiş bir şifreli metin için atağı gerçekleştiren kişi, ilk adımı for döngüsü ile bitirebilir. İşlemin sonradan gelen adımları bilinmeyen üs bitine bağlıdır. Eğer bit set edilmişse, d(d x a) mod n işlemi çalışacaktır. ve `nin bazı değerleri için modüler çarpım son derece yavaş olacaktır ve atağı gerçekleştiren kişi bu bitlerin değerinin ne olduğunu anlayacaktır. Bu yüzden, eğer deşifreleme algoritmasının çalışma zamanı dikkatle gözlenirse, bu algoritma parçası her 1 bit için çalışma zamanını yavaşlatacaktır ve o an üzerinde çalıştığı bitin değerinin 1 olduğu tahmin edilebilecektir. Aynı şekilde algoritmanın anlık çalışma zamanı hızlıysa o anda üstünde çalışılan bitin değerinin 0 olduğu anlaşılacaktır.

 

Pratikte, modüler üs alma tanımlamaları tüm algoritmanın çalışma zamanı üzerinde bu kadar büyük değişiklikler yaratmamaktadır, yinede algoritmalar içerisinde, bu atağı pratik hale getirecek yeterince materyal bulunmaktadır. Detaylar için Paul Kocher`in yukarda ismi verilmiş olan makalesini inceleyebilirsiniz.

 

Bununla beraber zaman atakları önemli bir tehlikedir. Atağı önlemek için çok basit önlemler kullanılabilir:

 

·                   Sabit üs alma zamanı: Tüm üs alma fonksiyonlarının çalışma zamanı eşit hale getirilebilir. Fonksiyonun çalışması erken bitse dahi, geriye bir değer döndürmesi bir miktar bekletilerek hepsinin çalışma zamanı belli bir değerde sabitlenebilir. Bu çok basit bir önlem olur fakat, performansı kötü yönde çok fazla etkileyecektir...

·                   Rastgele gecikme: Daha iyi bir performans, üs alma algoritmasına rastgele bekleme süresi eklenerek zaman atağını yanıltılmasıyla elde edilebilir. Kocher, bu rastgele değerlerin dikkatsizce seçilmesi durumunda, zaman atağı gerçekleştiren kişinin biraz daha fazla gayret göstererek yine başarıya ulaşmasının mümkün olacağına dikkat çekiyor.

·                   Körleştirmek: Üs alma işleminin gerçekleştirilmesinden önce, şifreli metin parçasını rastgele bir sayı ile çoğaltarak zaman atağını gerçekleştiren kişinin sağlıklı bir veri elde etmesi engellenebilir. RSA Data Security kuruluşunun geliştirdiği bir koruma yöntemi mevcuttur. RSA Data Security, bu atak yönteminin toplam performansa 2% ila 10%`luk bir kayıp getirdiğininde altını çizmekte...

 

 

ANAHTAR YÖNETİMİ

 

Açık anahtarlı kriptografinin en önemli rollerinden birisi, anahtar dağıtımı problemine getirdiği yeniliktir. Açık anahtarlı şifreleme kullanmak için iki çok önemli neden vardır:

 

·                   Açık anahtarların dağıtımı.

·                   Gizli anahtarların dağıtımı için açık anahtarlı şifreleme kullanımı.

 

Sırayla bu iki konuyuda inceleyeceğiz.

 

 

Açık Anahtarların Dağıtımı

 

Açık anahtarları dağıtmak için kullanılan birkaç teknik vardır. Nerdeyse tüm önerilmiş yöntemleri açağıdaki gibi gruplayabiliriz:

 

·                   Genel duyuru,

·                   Herkez tarafından erişilebilir adres rehberi,

·                   Açık anahtar yetkilisi,

·                   Açık anahtar sertifikası.

 

 

Açık Anahtarların Duyurulması

 

Açık anahtarlı şifrelemenin en önemli özelliği, açık anahtarın açık olmasıdır. Bu yüzden, eğer birisi RSA gibi bir açık anahtarlı şifreleme algoritmasının kullanımını tamamiyle kabul etmişse, bu kişi açık anahtarını bir başkasına gönderebilir ya da, bütün iletişim ağına duyurabilir. Örneğin, RSA algoritmasını kullanan PGP`nin (Pretty Good Privacy) popülaritesinin artması sonucu bir çok PGP kullanıcısı, herkese açık forumlara, USENET haber gruplarına ya da mail listelerine attıkları mesajların sonuna açık anahtarlarını eklemeyi benimsediler.

 

Bu yöntemin çok kolay ve kullanışlı olmasına karşın, büyük bir yetersizliği vardır: Herhangi birisi siz olduğunu idda ederek açık anahtarını kişilere duyurabilir. Yani bir kullanıcı kendisini olmadığı halde kullanıcısı gibi tanıtabilir ve kendi açık anahtarını kullanıcısının açık anahtarıymış gibi kişilere ilan edebilir. Gerçek kullanıcısı sahtekarlığın farkına varana kadar ya da bir başka kullanıcı onu uyarana dek, sahte kullanıcısı gerçek kullanıcısına gönderilmek üzere şifrelenmiş bütün mesajları okuyabilir.

 

 

Herkes Tarafından Erişilebilir Adres Rehberi

 

Herkezce erişilebilir dinamik bir açık anahtar adres rehberinin iyi bir şekilde korunması ve organize edilmesiyle çok yüksek derecede güvenlik sağlanabilir. Adres rehberlerindeki anahtarların dağıtımı ve korunması güvenilir kimi kişi veya kuruluşların sorumluluğunda olmalıdır. Böyle bir hizmet tasarlanırken –en azından- aşağıdaki koşullar sağlanmış olunmalıdır:

 

 

 

1.               Adres rehberinn her elemanı için bulunacak {ad, açık anahtar} bölümleri iyi korunmalıdır.

 

2.               Her kullanıcı rehber yetkilileri ile bir açık anahtar kaydetmeli ve bu işlemi yüz yüze ya da kimlik kontrolü ile güvenli hale getirilmiş bir iletişim metodu ile yapmalıdırlar.

 

 

3.               Herhangi bir üye adres rehberindeki genel anahtarını, bu anahtarla çok fazla verinin şifrelenmiş olmasından dolayı ya da bu anahtarla ilişkili olan özel anahtarın herhangi bir sebepten ötürü güvenilirliğini yitirmesinden ötürü istediği bir zaman yenisi ile değiştirebilmelidir.

 

4.               Bu sistemin yönetimi, periyodik olarak adres rehberini güncellemeli, bir telefon rehberinde olduğu gibi isimleri ve genel anahtarlarının kopyasını saklamalı ve güncellemeleri, geniş bir kitleye ulaşabilen yayın organı (gazete gibi) yoluyla diğer kullanıcılara haber vermelidir.

 

 

5.               Üyeler aynı zamanda adres rehberine elektronik yolla da ulaşabilmelidirler, bunun için de adres rehberinin yönetimi, gizlilik ve kimlik denetimi gerektiren güvenli bir iletişim metodu kullanılması zorunluluğunu yerine getirilmiş olmalıdır.

 

 

Bu yapının bireysel genel duyuru metodundan daha güvenli olduğu oldukça açıktır fakat, halen kimi savunmasız noktalar bulunmaktadır. Eğer bir saldırgan, adres rehberi yöneticisinin özel anahtarını bir şekilde ele geçirir ya da onu hesapsal metodlarla bulmayı başarırsa, kolay bir şekilde güvenlik engellerini aşarak kişilerin açık anahtarlarını istediği açık anahtarlar ile değiştirip, onlara gelecek olan mesajları okuyabilir, ve istediği kişiyi taklit ederek diğer üyelere onun adına mesaj atabilir.

 

 

Açık Anahtar Yetkilisi

 

Genel anahtar yönetimi için daha güçlü bir güvenlik, herkez tarafından erişilebilir adres defteri üzerinde daha sıkı bir kontrol uygulanması ile elde edilebilir. G. L. Popek ve C. S. Kline'ın 1979 yılında yayımladıkları "Encryption and Secure Computer Networks" isimli makaleleri baz alınarak oluşturulmuş tipik senaryo Şekil 12`de gösterilmiştir. Bu yapıda da, önceki yapıda olduğu gibi, bütün üyelerin açık anahtarlarının saklandığı ve dağıtımının yapıldığı dinamik bir merkezi rehberin varlığı söz konusu. Buna ek olarak, her üye yöneticiye ait olduğunu bildikleri bir açık anahtara sahipler. Şekil 12`de de numaralanmış olan aşağıdaki adımlar ile anahtar dağıtımı gerçekleşir:

Şekil 12

 

 

1.               kullanıcısı, kullanıcısının şu anki açık anahtarını öğrenmek istediğini ifade eden ve zaman ile imzalanmış (timestamped) bir mesajı genel anahtar yöneticisine gönderir.

 

2.               Yönetici, kendi özel anahtarı olan ile şifrelenmiş bir mesajı kullanıcısına cevap olarak gönderir. Bu sayede, kullanıcısı bu mesajı yöneticinin açık genel anahtarı ile deşifre eder ve bu mesajın yöneticiden geldiğine emin olur. Mesaj aşağıdakileri ihtiva eder:

 

·               kullanıcısının kullanıcısı için mesaj yollayabilmesi için kullanıcısının genel anahtarı,

·               Orijinal istek; kullanıcısının, yöneticiye gönderdiğini düşündüğü istek ile, yöneticinin aldığını bildirdiği isteğin aynı olup olmadığını karşılaştırması için,

·               Orijinal zaman imzası; bu sayede kullanıcısınınnın gelen mesajın eski olmadığı ve dolayısıyla, gönderilmiş genel anahtarın kullanıcısı yerine bir başkasının genel anahtarı olmadığından emin olması için.

 

3.               kullanıcısı `nin genel anahtarını kullanarak, içierisinde `nın tanımlayıcısı () ve bu iletişimin tanımlayıcısı olan bir kelime () içeren mesajı şifreler ve kullanıcısına gönderir.

 

4.               4. ve 5. adımlarda, kullanıcısı kullanıcısının genel anahtarını öğrenmek üzere yöneticiye 1. adımda `nın yaptığı gibi bir mesaj gönderir ve 1. ve 2. adımlardaki iletişimin aynısı, yönetici ile arasında gerçekleşir.

 

Bu noktaya gelindiğinde, genel anahtarlar ve `ye güvenli şekilde iletilmiştir. Ve artık bu kullanıcılar kendi aralarında güvenli iletişime başlayabilirler. Yine de, ekstra iki adım daha eklenebilir:

 

 

5.               kullanıcısı `nın genel anahtarını kullanarak, `nın tanımlayıcı kelimesini () ve kendi yarattığı yeni bir tanımlayıcı kelimeyi () şifreler ve gönderir. Çünkü (3) mesajını sadece deşifre edebilir, ve `nin `i (6) mesajı ile döndürmesi, `nın konuştuğu kişinin umduğu olduğundan emin olmasını sağlayacaktır.

 

6.               kullanıcısı da `nin genel anahtarı ile, içerisinde `nin bulunduğu mesajı şifreleyip `ye gönderir ve böylece, konuştuğu kişinin umduğu olduğundan emin olur.

 

Görüldüğü gibi, toplam 7 mesaj gerekmektedir. Bununla beraber, ilk dört adım her mesajlaşma istendiğinde gerçekleştirilmeyebilir, çünkü lullanıcılar birbirlerinin genel anahtarlarını daha sonraki kullanımlar için saklayabilirler. Bir kullanıcı periyodik olarak, sürekli konuştuğu kişilerin genel anahtarlarının halen geçerli olduğundan emin olmak için genel anahtar isteğinde bulunmalıdır.

 

 

Açık Anahtar Sertifikası

 

Şekil 12`de verilen yöntem çok çekici olmasına karşın hala bazı açık noktaları vardır. Genel anahtar yöneticisi, sistemin önemli bir dar boğazını teşkil etmektedir. Bir kullanıcı temasa geçmek istediği her kullanıcı için genel anahtarlarını istemek üzere yöneticiye başvurmalıdır. Yine öncekinde olduğu gibi, isim rehberi ve anahtarları, çalınmaya ya da müdahalelere karşı yönetici tarafından korunmaya çalışılmaktadır.

 

Alternatif bir yöntem, ilk kez L. M. Kohnfelder tarafından, 1978 yılında yayımlanan "A Method for Certification" isimli makalede sunulmuştur. Bu yönteme göre kullanıcılar sertifika kullanarak, bir genel anahtar yöneticisine başvurmadan güvenli bir yolla anahtarlarını değiştirebilmekte ve güvenli iletişime başlayabileceklerdir. Bir sertifika yöneticisi/yetkilisi tarafından oluşturulmuş sertifika, bir genel anahtarı ve ek bilgiyi içerir. Ve bu sertifika üzerindeki genel anahtara uygun özel anahtar ile beraber kullanıcıya verilir. Bir kullanıcı diğer bir kullanıcıya açık anahtarını, sertifikasını göndererek gösterir. Diğer kullanıcı da, bu sertifikanın bir otorite tarafından yaratılmış olduğunu doğrulayabilir. Bu yöntemin gerekliliklerini şu şekilde sıralayabiliriz:

 

1.                Herhangi bir kullanıcı bir sertifikanın kullanıcısının adını ve açık anahtarını öğrenmek üzere okuyabilir.

2.                Herhangi bir kullanıcı bu sertifikanın, sertifika yöneticileri tarafından oluşturuluş orijinal bir sertifika olduğunu kanıtlayabilir.

3.                Sertifikaları sadece sertifika yöneticisi/otoritesi değiştirebilir ve yaratabilir.

 

Bu gereklilikler, Kohnfelder'in makalesinde geçen gereklilikler. Bu gerekliliklere 1983 yılında D. E. Denning tarafından 1983 yılındaki "Cryptography and Data Security" isimli makalesi ile şu gereklilik de eklenmiştir:

4.                Herhangi bir kullanıcı bir sertifikanın geçerliliğini kanıtlayabilir.

 

Bir sertifika şeması Şekil 13`te gösterilmiştir. Her kullanıcı bir genel anahtara ve bir sertifikaya sahip olmak üzere sertifika yöneticisine başvurmalıdır. Başvurular yüz yüze, ya da kimlik denetimi ve gizlilik sağlanması ile güvenli hale getirilmiş bir iletişim yöntemi ile gerçekleştirilmelidir.

 

Şekil 13
 
 

 

 


Sertifika yöneticisi/otoritesi, bir kullanıcısı için sertifikayı şu şekilde oluşturur:

 

 

burada , sertifika otoritesi tarafından kullanılmış olan özel anahtardır. Daha sonra kullanıcısının sertifikasını gönderdiği bir kullanıcı, sertifikayı şu şekilde okur ve doğrular:

 

 

kullanıcı, sertifikayı deşifre etmek için, otoritenin açık anahtarını kullanır. Çünkü sertifika sadece otoritenin açık anahtarı kullanıldığı taktirde okunabilir hale gelebilir; bu da sertifikanın geldiği yerin gerçekten sertifika otoritesi tarafından oluşturulduğunu kanıtlar. ve , elemanları, kullanıcıya, kullanıcısının tanımlayıcı bilgilerini ve genel anahtarını sunar. Son olarak zaman pulu da, sertifikanın son geçerli olabileceği tarihi gösterir.

 

Bu koşullar altında, bir özel anahtarın tehlikeye düşmesi ile bir kredi kartının kaybedilmesi birbirine benzetilebilir. Kredi kartı kaybedildiğinde, sağlayıcısından işlemlerinin durdurulması istenir, fakat bunda geç kalındığı taktirde sorunlar yaşanabilir.

 

 

Gizli Anahtarların Açık Anahtarlı Dağıtımı

 

Açık anahtarlar dağıtıldığında ya da erişilebilir hale geldiğinde, iki kişi arasındaki iletişim güvenlik altına alınmış olacaktır. Buna rağmen, bazı kullanıcılar, kimi sebeplerden ötürü, gizli veri transferi için geleneksel şifreleme yöntemlerini kullanmak istiyor olabilirler. Bu durumda, geleneksel şifrelemenin gizli anahtarlarının dağıtımı için açık anahtarlı şifreleme yöntemleri çok iyi bir araç olacaklardır.

 

 

Basit Gizli Anahtar Dağıtımı

 

Bunun için Şekil 14`te de gösterilmiş son derece basit bir örnek, 1979 yılında R. C. Merkle tarafından ifade edildi. Eğer , ile bir iletişim içerisine girmek istiyorsa, aşağıdaki prosedür kullanılabilir:

 

1.                bir açık/özel anahtar çifti olan `yı yaratır ve kullanıcısına ve `nın tanımlayıcısı olan `yı içeren bir mesaj gönderir.

2.                bir gizli anahtar üretir , ve bunu, kullanıcısına şeklinde şifreledikten sonra gönderir.

3.                , `yi hesaplar ve gizli anahtarı elde eder. Yanlız mesajı deşifre edebilecek ve gizli anahtarı sadece ve tarafından bilinecektir.

4.                , ve `yı, `de `yı görevleri bittiğinden dolayı yok eder.

 

Şekil 14
 
 

 

 


Artık ve geleneksel şifreleme ve oturum anahtarı ile güvenli şekilde iletişim kurabilirler. İletişimin sona ermesi ile beraber iki kullanıcıda oturum anahtarını yok ederler. Bu yöntem, basitliğine karşın çok hoş bir protokoldür. İletişimin başlamasından önce hiçbir anahtarın olmadığı gibi, iletişimin sonunda da geriye hiçbir anahtar kalmaz. Bu sayede, anahtarların güvenliğini tehlikeye düşürecek riskler minimuma indirgenmiş olur. Aynı zamanda iletişim, pasif ataklara karşı da güvenlik altında gerçekleşmiş olur.

 

Fakat, bu yöntem, aktif ataklara karşı savunmasız kalmaktadır. Eğer bir rakip , iletişim kanalının akışına müdahale etme şansına sahipse, bu kişi, tespit edilmesi için herhangi bir iz bırakmadan aşağıdaki şekilde iletişimin güvenliğine gölge düşürebilir:

 

1.                 bir açık/özel anahtar çifti olan `yı yaratır ve kullanıcısına ve `nın tanımlayıcısı olan `yı içeren bir mesaj gönderir.

2.                 , iletişimi durdurup, kendi özel/açık anahtar cifti olan `yi oluşturur ve ikilisini kullanıcısına gönderir.

3.                 bir gizli anahtar üretir , ve bunu, kullanıcısına şeklinde şifreledikten sonra gönderir.

4.                 , iletişimi durdurur ve hesaplaması ile gizli anahtarı öğrenir.

5.                 kullanıcısı, mesajını kullanıcısına gönderir.

 

Şekil 15
 
 

 

 

 


Sonuçta şu gerçekleşmiş olur, hem kullanıcısı, hem de kullanıcısı gizli anahtarı bilirler fakat bu anahtardan `nin de haberdar olduğunu bilmezler. Dolayısıyla, ve , gizli anahtarını kullanarak mesajlaşmaya başlarlar. `nin artık kanala aktif şekilde müdahale etmesine gerek yoktur; basit şekilde mesaj trafiğini dinleyip, elindeki gizli anahtar yardımıyla mesajları deşifreleyecek, ve kullanıcısının bu problemden haberi olmayacaktır. Böylece, bu basit iletişim sadece, tek tehlikenin ağın pasif olarak dinlenilmesi olduğu ortamlarda kullanılabilir.

 

 

Güvenli Gizli Anahtar Dağıtımı ve Kimlik Doğrulama

 

Şekil 15, N. M. Reedham ve M. D. Shroede'in 1978 yılında yayınladıkları "Using Encryption for Authentication in Large Networks of Computers" isimli çalışmalarında işaret edilen, hem aktif hem de pasif ataklara karşı güvenlik sağlayan yaklaşımı ifade etmektedir. Başlamadan önce, ve `nin önceki kısımda açıkladığımız herhangi bir yöntem kullanarak açık anahtarlarını birbirlerine ulaştırdıklarını varsayıyoruz. Bunun sonrasında şu adımlar gerçekleşir:

1.                  kullanıcısı, `nin açık anahtarını kullanarak, içerisinde `nın bir tanımlayıcısı olan ve bu iletişimi özel olarak ifade etmek üzere bir nonce içeren mesajı şifreler ve `ye gönderir.

2.                  kullanıcısı, `nın açık anahtarını kullanarak, içerisinde `nın gönderdiği nonce ve `nin gibi hazırladığı yeni bir nonce`u içeren mesajı şifreler ve `ya gönderir. Bu şekilde , kullanıcısının kimliğinden emin olur çünkü birinci mesajı deşifreleyebilecek tek kişi `dir.

3.                  , `nin de emin olması için `yi `nin açık anahtarı ile şifreleyip kendisine gönderir.

4.                  bir gizli anahtar belirler ve şeklinde oluşturduğu mesajı `ye gönderir. Mesajın, `nin açık anahtarı ile şifrelenmesi, bu mesajı sadece `nin okuyabileceğini, `nın özel anahtarı ile şifrelenmiş olması da bu mesajın sadece tarafından gönderilebileceğini garantiler.

 

Dikkat etiyseniz, bu yöntemin ilk üç adımı, Şekil 12`de gösterilen yöntemin son üç adımıyla aynıdır. Sonuç olarak, bu yöntem gizli anahtarların dağıtımı esnasında hem güvenliği hemde kimlik doğrulamayı sağlar.

 

 

Melez (Hibrit) Bir Yöntem

 

Gizli anahtarların açık anahtarlı şifreleme yapılarından yararlanılarak dağıtılmasının bir diğer yolu da, halen IBM mainframe`leri üzerinde kullanılan hibrit yapısıdır. Bu yöntem, tüm kullanıcı oturumlarında kullanılacak gizli oturum anahtarlarını bir asıl anahtar ile şifreleyerek dağıtacak olan bir anahtar dağıtım merkezi (KDC: Key Distribution Center) kullanır ve bu merkez gizli asıl anahtarları tüm kullanıcılara paylaştırır. Asıl anahtarların dağıtımı için de açık anahtarlı bir yöntem kullanılır. Aşağıdaki açıklama, bu üç seviyeli yöntemin kullanımını açıklamaktadır.

 

·                   Performans: Sık sıkanahtar anahtar değiştiren mesajlaşmadan ziyade özellikle işlem yapma amaçlı bir çok uygulama vardur. Oturum anahtarlarının açık anahtarlı şifreleme yöntemi ile dağıtılması, açık anahtarlı şifreleme ve deşifreleme esnasında hesaplamaların oldukça karmaşık olmasından dolayı sistemin büyük ölçüde performans kaybetmesine neden olmaktadır. Bir üç seviye hiyerarşisi ile, açık anahtarlı şifreleme sadece, aradasırada güncellenmesi gereken asıl anahtar (master key)`ın kullanıcılara dağıtılması esnasında gerçekleşir.

·                   Geriye doğru uyumluluk: Hibrit yöntemi kolay bir şekilde mevcut olan KDC (anahtar dağıtım merkezi) üzerine inşa edilebilir.

 

Bir açık anahtar katmanının eklenmesi, güvenlik ve asıl anahtarların dağıtımı esnasında yüksek verim sağlar. Bu yöntem, bir KDC`nin bir çok kullanıcıya anahtar dağıttığı durum için büyük bir avantaj getirecektir.

 

 

DIFFIE-HELLMAN ANAHTAR DEĞİŞİMİ

 

İnsanlığa ilk duyurulan açık anahtar algoritması, Diffie ve Hellman`ın açık anahtarlı kriptografi olarak tanımladıkları 1976 yılında yayımlanmış "New Directions in Cryptography" isimli makalelerinde yer aldı ve bu algoritma kriptografik sisteme örnek olarak Diffie-Hellman Key Exchange idi. Bir çok ticari uygulama bu anahtar değişimini kullandı.

 

Algoritmanın amacı, iki kullanıcının bir anahtarı güvenli şekilde birbirlerine iletmeleri ve daha sonrasında da bu anahtar yardımı ile şifreli mesajları birbirlerine gönderebilmelerini sağlamaktı. Algoritma anahtar değişimi ile sınırlıdır.

 

Diffie-Hellman algoritması efektifliğifliğini, ayrık logaritmik ifadelerin hesaplanmasının zorluğundan almaktadır. Kısaca, ayrık logaritmayı şu şekilde tanımlayabiliriz: Önce, bir asal sayı olan `nin öyle bir pirimitiv kökünü seçeriz ki, bu sayının kuvvetleri 1`den `e kadar olan tüm tam sayıları yaratabilir.Eğer , asal sayı olan `nin pirimitiv kökü ise, bu durumda sayılar

 

 

sayıları birbirinden farklı, ve `den `e kadar olan tam sayıları bir permütasyonla oluştururlar.

 

Herhangi bir tamsayı ve asal sayı olan `nin bir pirimitiv kökü olan için, aşağıdaki eşitliği sağlayacak bir tane ve sadece bir tane olan üssü bulunabilir:

 

koşulunu sağlayan.

 

* üssü, merkezindeki `nin, ayrık logaritması ya da indexi olarak adlandırılır ve inda.b(b) notasyonu ile ifade edilir.

 

 

 

 

Şekil 16

 

 

Bu altyapıyıda anladıktan sonra, Şekil 16`da ifade edilmiş olan Diffie-Hellman anahtar değişimini açıklayabiliriz. Bu yöntemde, herkezce bilinen iki sayı vardır: bir asal sayı olan ve bu sayının pirimitiv kökü olan . Diyelim ki bir anahtarı değiştirmek isteyen ve adında iki kullanıcı var. kullanıcısı olacak şekilde rastgele bir tamsayısı seçer ve, değerini hesaplar. Benzer şekilde kullanıcısı diğer kullanıcan bağımsız şekilde olacak şekilde bir tamsayısı seçer ve o da, değerini hesaplar. Her iki kullanıcıda değerini özel olarak saklar ve değerini diğer taraf ile paylaşır. kullanıcısı anahtarı , kullanıcısı da, şeklinde hesaplarlar. Bu iki hesaplamanın sonucunun birbiri ile aşağıdaki modüler aritmetik kuralları ile ispatlanabilir:

 

Bu sayede, iki tarafta bir gizli anahtarı değişmiş olur. Ayrıca, ve `nin gizli olmasından dolayı, herhangi bir saldırgan çalışmak için sadece şu değerleri bilir: . Örneğin bir saldırganın kullanıcısına ait olan gizli anahtarı bulmak için aşağıdaki hesaplamayı yapması gerekir:

 

inda,q()

 

Bu hesaplamanın başarısı sonrasında saldırgan gizli anahtarı kullanıcısının hesapladığı gibi hesaplayabilecektir.

 

Burada, [SEBE89 (Referansı kaybetmişim, en kısa zamanda ekleyeceğim)] çalışmasından alınmış bir örnek var. Anahtar değişimi için asal sayı olan ve pirimitiv kökü olarakta alınmış. ve kullanıcısı da gizli anahtarlarını ve olarak seçmişler. İkisi de açık anahtarlarını şu şekilde hesaplarlar:

 

 

Açık anahtarlarını değiştikten sonra, gizli anahtarlarını da şu şekilde hesaplarlar:

 

 

{50,44} bilgisine sahip olan bir saldırgan, 75 değerini kolayca hesaplayamayacaktır. Ve bu hesapsal zorluk seçilen sayıların büyüklüğü ile orantılı olarak artacaktır.

 

Şekil 17, Diffie-Hellman hesaplamasını basit şekilde ifade etmektedir. Diffie-Hellman algoritmasının LAN (yerel network) kullanıcıları arasında kullanımı için bir diğer örnekte şu şekilde verilebilir: Diyelim ki bu ağ altında çalışan her kullanıcı dayanıklı ve uzun birer ve buna bağlı genel bir hesaplamış olsunlar. Kişilerin açık anahtarları ve herkezce bilinen ve değerleri herkezin erişebileceği merkezi bir rehberde tutulduğu taktirde, herhangi bir anda bir kullanıcısı mesajlaşmak istediği bir kullanıcısının açık değerine ulaşabilecek ve onun için şifrelediği mesajı kendisine gönderebilecektir. Eğer merkezi rehber güvenilir ise, bu iletişim gizliliği ve kimlik denetimini sağlamış olacaktır. Tüm bunlara rağmen bu teknik, aktif tekrarlama gibi ataklara karşı korumasız kalmaktadır.

 

Şekil 17
 
 

 

 


 

ELİPTİK EĞRİ KRİPTOGRAFİSİ

 

Açık anahtarlı kriptografi kullanan standartların ve ürünlerin hemen hemen hepsi, şifreleme ve dijital imza için RSA kullanmaktadır. Daha önceki bölümlerde de gördüğümüz gibi RSA`nın güvenli kullanımı için, çalışılan bit uzunlukları zaman içerisinde büyümüş ve dolayısıyla RSA kullanan uygulamalar üzerine büyük bir hesapsal ağırlık getirmiştir. Özellikle büyük sayıların transferini güvenlik içinde gerçekleştirmesi gereken ticari siteler bundan çok fazla etkilenmişlerdir. Son zamanlarda, RSA`ya karşı rakip olarak geliştirilmiş bir sistem ortaya atıldı: Eliptik Eğri Kriptografisi (ECC). ECC, şimdiden açık anahtarlı kriptografi için öngörülmüş IEEE P1363 standartlarını yerine getiriyor.

 

ECC`nin RSA`ya karşı en büyük avantajı, daha küçük bitler kullanılarak yapılan işlemlerin RSA gibi yüksek güvenlik sağlayabilmesi, bunun sayesinde kullanıcıların şifreleme ve deşifreleme esnasında hesaplamalar için harcadıkları efor azalıyor. Diğer bir taraftan da, hernekadar ECC`nin teorisi kısa bir süre önce ortaya atıldıysa da, ECC kullanan ürünler kısa süre içerisinde kendisini göstermeye başladı ve bu ürünler üzerinde yapılan güvenlik testleri ECC`nin henüz RSA`nın sağladığı kadar yüksek bir güvenlik sağlayamadığını gösterdi.

 

ECC`nin matematiksel teorisinin açıklanması RSA ya da Diffie-Hellman teorilerinin açıklanmasından daha zordur ve, tam matematiksel açıklaması bu yazıda verilmeyecektir; bu kısım ECC ve eliptik kriptografi üstüne küçükte olsa bir altyapı oluşturmak üzere hazırlanmıştır.

Şekil 18
 
 

 

 

Eliptik Eğriler

 

Eliptik eğriler elips değildirler [:)]. Bu şekilde adlandırılmalarının sebebi, bir elipsin çemberinin hesaplanması için kullanınan kübik denkliklere benzer ifadeler ile gösterilmeleridir. Genel olarak, eliptik eğriler için kübik denklemler aşağıdaki formdadır:

 

 

bu denklemdeki ve sayıları reel sayılardır ve bazı basit koşulları sağlarlar. Ayrıca, eliptik eğrinin tanımlamasında, daha sonra daha ayrıntılı şekilde inceleyeceğimiz, sonsuzluk yada sıfır nokta adı verilen bir notasyonu vardır. En büyük dereceli üs 3 olduğundan dolayı bu tip denklemler kübik olarak adlandırılırlar. Şekil 18 iki eliptik eğri örneği göstermektedir. Gördüğünüz gibi formüller bazen garip görünüşlü eliğptik eğriler doğurmaktadırları...

 

Eğer bir eliptik eğrinin 3 noktası düz bir çizgi üzerinde bulunuyorsa, bunlar olarak özetlenir. Bu açıklamadan yola çıkarak, bir eliptik eğri için şu kuralları tanımlayabiliriz:

 

1.                Elptik eğri üzerindeki herhangi bir noktası için, olur.

2.                Bir dikey çizgi, aynı değeri için eliptik eğriyi ve gibi iki noktasında kesiyorsa, Bu çizgi aynı zamanda eliptik eğriyi sonsuzluk noktasında da kesiyordur. Bu yüzden, ve olur. Böylece bir noktanın negatifi, ekseni üzerinde aynı değeri alacak şekilde bir noktadır ve bu noktanın ekseni üzerindeki değeri ilk noktanın negatiflisidir. Bunu Şekil 18`de de görebilirsiniz.

3.                koodrinatı farklı olan ve noktası seçip bu iki noktadan geçen düz bir çizgi çizdiğimizde kesişimin üçüncü noktası olan `i buluruz. Ve cok kolay bir şekilde görülebilir ki, noktası sadece bir tanedir (eğer çizdiğimiz doğru, veya noktalarından birisinden teğet geçiyorsa bu durumda veya alırız). Bu durumda ve dolayısıyla olacaktır. 18 numaralı şekli inceleyiniz.

4.                Bir noktasını çift katlı yapmak için, bir teğet çizgisi çizip eğriyi kestiği diğer noktayı buluruz. Eğer bu noktaya diyecek olursak eşitliği sağlanır.

 

 

 

Sonlu Alanlardaki Eliptik Eğriler

 

ECC için, eliptik eğrilerin, "sonlu alanlardaki eliptik eğriler" olarak tanımlanan bir formu ile ilgileneceğiz. Bu şu şekilde gösterilir: bir asal sayı olsun ve ve , `den küçük, negatif olmayan iki tam sayı olsun:

 

 

Bu durumda, , `nin `den küçük negatif olmayan tam sayılar olduğu durum için, sonsuz noktası ile beraber şu eşitliği ifade eder:

 

(1)

 

Örneğin, ve eliptik eğrimiz de olsun. Bu durumda, olur. Bu durumda, 4 x 13 + 27 x 12 (mod 23) = 8 0, bizim eliptik grubumuzun mod 23`e göre durumunu gösterir.

 

Önceki paragrafta gösterilen eşitlik, 6 şeklindeki ikinci grafik ile aynıdır. Eliptik grup için sadece (mod p`den dolayı), (0, 0)-(p, p) aralığında olan pozitif tamsayılar ile denklem oluştururuz. Tablo 4`te, E23(1, 1) için dışındaki noktaları listenmiştir. Genel olarak liste aşağıdaki yolla oluşturulmuştur:

 

1.               koşulunu sağlayan her değeri için denklemi hesaplanmıştır.

2.               Önceki adımın her sonucu için, sonucun `ye göre çift katlı kökü olup olmadığına bakılır, eğer yoksa bu değeri için, `nin bir değeri yoktur. Aksi taktirde, çift katlı kök koşulunu sağlayan iki adet vardır (`nin 0 olduğu durum haricinde). Bu (x,y) değerleri `nin noktalarıdır.

 

 

 

Tablo 4 - E23(1, 1) Eliptik eğrisi için noktalar.

 

(0, 1)

(6, 4)

(12, 19)

(0, 22)

(6, 19)

(13, 7)

(1, 7)

(7, 11)

(13, 16)

(1, 16)

(7, 12)

(17, 3)

(3, 10)

(9, 7)

(17, 20)

(3, 13)

(9, 16)

(18, 3)

(4, 0)

(11, 3)

(18, 20)

(5, 4)

(11, 20)

(19, 5)

(5, 19)

(12, 4)

(19, 18)

 

 

için bahsedilmiş kurallar, Şekil 18`deki geometrik şekil ile uyuşmaktadır. Kurallar, her olacak şekilde alınan noktalar için aşağıdaki gibi gösterilebilir:

 

1.                 .

2.                 Eğer ise, olur. noktası, `nin negatifidir ve olarak gösterilir. Diyelim ki, Şekil 18b şeklinde gösterilen eliptik eğrisi üzerinde bir nokta. Örneğin, E23(1, 1)` de alalım. Bu durumda olacaktır. Fakat –7 mod 23 e göre 16 ettiğinden dolayı, bizim noktamız aslında, yine E23(1, 1)`de yer alan (13,16) noktasıdır.

3.                 Eğer ve ise ve ise, bu durumda, şu kuralla hesaplanır:

 

 

* için koşul,

 

 

 

 

Eliptik Eğriler İle Kriptografi

 

ECC`deki toplama işlemi ile RSA`daki modüler çarpım işlemi ve çoklu toplama işlemi ile de, RSA`daki modüler üs alma işlemi birbirlerine çok benzemektedir. Eliptik eğriler kullanan bir kriptografik sistem oluşturabilmek için, bir sayıyı iki asal çarpanına ayırmak ya da ayrık logaritma almak gibi zor bir problem bulmamız gerekmektedir.

 

Diyelim ki, ve iken, olsun. ve verildiğinde değerini hesaplamak nispeten kolay olduğu halde, ve verildiğinde değerini hesaplamak gerçekten çok zordur.

 

Bu kısımda, ECC`ye lezzetini veren iki yöntemi inceleyeceğiz.

 

 

Diffie-Hellman Anahtar Değişimi Örneği

 

Eliptik eğriler kullanılarak anahtar değişimi aşağıdaki şekilde yapılabilir. Önce olacak şekilde bir asal sayısı ve 1 denklemindeki eliptik eğri parametreleri olan ve seçilsin. Bu, eliptik noktalar grubu olan `yi oluşturdu. Sonrasında içerisinden, başlangıç noktası (generator point) olacak olan seçilsin. `nin serçilmesindeki en önemli kriter, eşitliğini sağlayan en küçük değerinin çok bir büyük bir asal sayı olması gerekliliğidir. Artık ve , kriptosistemin tüm katılımcılarca bilinecek parametreleri oldular.

 

Bir ve kullanıcısı arasındaki anahtar değişimi aşşağıdaki gibi gerçekleşir:

 

1.                , `den küçük bir tamsayısı seçer. Bu `nın özel anahtarıdır. Daha sonra , hesabıyla `nin bir noktası olan kendi açık anahtarını oluşturur.

2.                `de aynı metodla kendi açık anahtarı `yi oluşturur.

3.                gizli anahtarı ile, `de gizli anahtarı ile elde eder.

 

Üçüncü aşamadaki iki hesaplamanın sonucuda aynıdır. Çünkü,

 

eşitliği mevcuttur.

 

Bu yönteme bir atak gerçekleştirmek isteyen saldırgan, verilmiş ve değerlerinden yola çıkara değerini hesaplamak isteyecektir ve bu çok zordur.

Bu konuda bir örnek verelim: olarak alalım , eliptik eğri ve olsun. Hesapladığımız taktirde görürüz ki, olacaktır. `nın özel anahtarı ve bu durumda bu kullanıcının genel anahtarı . `nin özel anahtarı ve bu durumda bu kullanıcının genel anahtarı . Bu koşullar altında paylaşılmış gizli anahtar olur.

 

Görüldüğü gibi, anahtar iki parçadan oluşuyor. Eğer bu anahtar geleneksel şifreleme için bir oturum anahtarı olarak kullanılacaksa, sadece bir sayının yaratılması gerekir. Basit olarak sadece koordinatını ya da koordinatını anahtar olarak kullanabiliriz.

 

 

Eliptik Eğri Şifrelemesi/Deşifrelemesi

 

Literatürde, eliptik eğriler yardımıyla şifreleme/deşifreleme yapan bir çok yöntem bulunmaktadır. Biz burada elbette en basitini inceleyeceğiz. Bu sistem içerisindeki ilk görev, plaintext mesaj olan `yi, bir x-y koordinı ile belirlenmiş noktası şeklinde göndermek üzere encode etmektir. Bu noktası bir chipertext gibi şifrelenecek daha sonrasında da deşifre edilecektir. Bir mesajı x ya da sadece y koordinat noktası olarak basitçe encode edemeyiz çünkü, tüm olası noktalar içinde bulunmayabilir. Elbette bu encode işlemi içinde bir çok yöntem mevcut fakat burada bu yöntemlerden bahsetmeyeceğiz.

 

Anahtar değişimi sisteminde olduğu gibi şifreleme / deşifreleme sistemi de parametre olarak bir noktası ve bir eliptik grubuna ihtiyaç duyar. Her bir kullanıcı, bir özel anahtarı seçer ve ile bir açık anahtar üretir.

 

gibi bir mesajı şifrelemek ve bir kullanıcısına göndermek isteyen bir kullanıcısı, rastgele pozitif bir tam sayısı seçer ve chipertextinin noktalarını aşağıdaki şekilde elde eder:

 

 

* kullanıcısının şifreleme esnasında `nin açık anahtarı olan `den yararlandığına dikkat ediniz. aşağıdaki şekilde mesajı deşifre eder:

 

 

*, mesajını, ona ekleyerek maskeledi. değerini bilmeyen kimse `nın uyguladığı maskeyi kaldıramaz. Bunun yanında , özel anahtarını bilen bir kişinin maskeyi kaldırabilmesi için bir ipucu bırakmaktadır.

 

 

 

Eliptik Eğri Kriptografisinin Güvenliği

 

ECC`nin güvenliği, ve verildiğinde değerini elde etmenin zorluğuna bağlıdır. Bu durum, eliptik eğri logaritması problemi olarak adlandırılır. Eliptik eğri logaritması alan bilinen en hızlı teknik Pollard rho (rho=eşkenar dörtgen) yöntemidir. Tablo 5`te, eliptik eğri metodu ile RSA`daki tamsayının iki asal çarpanına generalized number field sieve yöntemi ile ayrılması esnasında gereken hesapsal efor karşılaştırılmıştır. Tablodan da anlaşılacağı üzere, RSA`nın sağladığı direnci ECC, çok daha düşük anahtar boyutları ile sağlamakadır. Bu yüzden ECC, düşük anahtar boyutu ile sağladığı yüksek güvenlik sayesinde RSA`ya karşı büyük bir hesapsal üstünlük sağlamaktadır.

 

Tablo 5