SSL Nedir?

Yazar: Alpin Karagözoğlu

VeriSign Logosuİnternet herkese açık bir ortamdır. Bu ortamda dolaşan bilgilerin kimi sıradan kimisi ise kritik, ticari, özel bilgiler olabilir.  Siteler üzerinden işlem yapıldığında, örnek vermek gerekirse;

Mail okumak, video izlemek, arama yapmak, gazete okumak v.s

kısaca yaptığımız her işlem belirli bir düzen, protokol yani yol yordam ile sizin bilgisayarınızdan çıkar ya da gelir, ilgili bilginin bulunduğu bilgisayara iletilir ya da alınır. Ancak bu bilgiler kimi zaman art niyetli kişilerce görülebilinir. Bunun sebebi bir bilgi, data ya da veri nederseniz diyin. Sizin bilgisayarınızdan çıktığı gibi yahut düşük bir koruma ilgili bilgisayara iletilir.

(Tabiki veri, iletişim protokol ve güvenliklerini anlatmak bu yazıyı haddinden fazla karışık hale getirir. Çıktığı gibi dememde ki sebep yazıyı karışık hale getirmemektir. )

Ancak sizin, benim ve diğer kullanıcıların bilgilerini bir koyun sürüsü olarak düşünürsek, çevrede dolaşan bir kurt ciddi tehlike olacaktır.

SSL mantığı burada devreye giriyor. Çoban, koyunların şeklini, enini, boyunu, kokusunu değiştirebilirse ve onu anlamsız bir hale sokarsa, kurttan korkmaya gerek kalmayacaktır. Ama bu şekil değişikliği sadece çobana işlemeyecek tarzda olacaktır. Bu yüzden çoban koyununu, koyunlarda çobanını tanıyacak ve güven içerisinde otlayacaklardır. Bu işin örneklemesi olsada şimdi daha teknik bir açıklama yapalım.

SSL’ i ( ilk ortaya Netscape firması çıkarmış ve sonra bu güvenlik protokolü,  uluslar arası bir organizasyon olan Internet Engineering Task Force  (IEFT) tarafından kabul edilmiştir. Bunun ardından Netscape firmasından devralınarak uluslar arası güvenlik standartı olarak kabul edilmiştir.

SSL sertifikası ile işlem yaparken Hashin metodolojisi kullanılır buda güvenliği belkemiğini oluşturur.
“Hashing metodolojisi ile , sunucu , veriden tek bir hash değeri yollar. Istemciye veri ile beraber bu hash değerini de yollar. Istemci bu data paketini aldığında, aynı hash fonksiyonunu kullanarak , gelen bu paketten yeni bir hash değeri üretir. Burada altının çizilmesi gereken nokta, veri istemcisinin ürettiği anahtar değerinin , sunucunun kullanmış olduğu aynı hash fonksiyonu ile üretilmiş olmasıdır. Istemci ile sunucu, aralarında bağlantı sağlarken, aynı hash fonksiyonu kullanmak için anlaşırlar. Istemcinin üretmiş olduğu bu yeni hash değeri, sunucunun yolladığı hash değeri ile aynı olmak zorundadır. Eğer aynı değilse veri değişmiştir. Aynı değilse verinin değişmediğinden sunucu emin olmuş olur.” (Kaynak: Onur Lalaoğlu)

Bunun sonucunda internet tarayıcısı ile işlemi gerçekleştiren bilgisayar, doğru sunucu ile iletişim kurduğundan emin olur, aynı şey sunucu tarafı içinde geçerlidir. Burada kullanılan sistem dijital olarak sertifikalandırılmıştır. Bu sertifikayı verme yetkisi olan uluslar arası kuruluşlarca firmaya dijital olarak imzalanır. Bu sertifikada firmanın gerçek bilgileri, sertifikayı veren kurumun bilgileri yer alır. Tabiki bu sertifkayı veren kuruluş, söz konusu sertifika isteyen kuruluş, işletme, site hakkında güvenirliğinden emin olmalıdır. Sertifika veren otoritelere örnek, Verisign verilebilinir.

 SSL’de kullanılan HASH eşsizdir yani benzeri yoktur. Kabaca anlatmak gerekirse. SSL üzerindden yapılan bir işlemde, işlem içerisindeki bilgiler sadece söz konusu sertifikaya sahip olan sunucu tarafından çözülür.

Yani bu işlemde esas olan karşılıklı el sıkışmadır (HANDSHAKE)
El sıkışma şu şekilde gerçekleşir; (örnek olarak bir sanal banka şubesi kullanalım)

1-İstemci (Kullanıcı), banka sunucusu ile iletişim kurduğunda yani giriş yaoparken, iki taraf el sıkışma işlemine girişir.

2-İstemci (Kullanıcı) Sunucu(banka) işlem süresince kullanılıcak şifreleme fonksiyonunu belirler ve anlaşır

3- Kullanıcı bilgisayarı, sunucunun yani bankanın kimliğini kontrol eder.

4-Kullanıcı sistemi, Kimliği doğrulanan sunucudan, aldığı dijital imza ile bir anahtar türetir.

5-Üretilen anahtar banka sunucusuna yollanır.

6- Banka sunucusu bu anahtarı kontrol eder.

7- İstenirse banka suncusu tarayıcıdan bir kimlik sorgulaması isteyebilir,  burada çift taraflı bir güven anlaşması oluşur.

ELŞIKŞMA SÜRECİ

SSL HANDSHAKE

 Tüm bu işlemler sorunsuz gerçekleştiğinde işlem için gerekli bağlantı sağlanmış olur.

İstemcinin bir anahtar aldığını belirtmiştik(Simetrik anahtar). İşte bu anahtar gönderilen verilerin şifrelemesinde kullanılır. Şifrelenen bu bilgiler ancak banka sunucusunda ki özel anahtar ile çözülebilir. Yani söz konusu bilgi, işlem emri, ya da komut, ancak doğru yani bankanın sunucusuna ulaştığı zaman okunabilinir hale gelir.

Tüm bu işlemlerde birden fazla şifreleme tekniği kullanılır;
1- Hash tekniği, verinin bütünlüğünü ve değişmediğini belirlemek için kullanılır (Karşılaştırma)
2-Anahtar Değişimi; El sıkışma başarılı bir şekilde gerçekleştikten sonra, verilerin şifrelenmesinde söz konusu anahtarın nasıl birbirlerine ulaşacağını belirler. (el sıkışma protokolü ve verinin şifrelenerek istemci ve sunucu arasında yollanması işlemleri, OSI referans modelinin Application ve Presentation seviyelerinde gerçekleşir.)
3-Simetrik Veri Şifreleme; Verilerin değişimi sırasında kullanılacak olan şifreleme tekniğidir. RC2 gibidir.

SSL SÜRECİ; Resmi büyütmek için üzerine tıklayınız.SSL Süreci

 SSL; 46bit, 56bit ve 128bit olarak bulunur bunlardan en güvenlisi 128-bit SSL dir.
128 bitlik bir sistemde, 2128 farklı yapıda anahtar vardır. Bu tarz bir verinin kırılabilmesi için yani yasadışı olarak çözümlenebilmesi için 7 gün 24 saat, hiç durmaksızın, 50 yılı aşkın bir süre boyunca iyi bir bilgisayarın çözümleme işlemine aynı veri üzerinde 😛 devam etmesi lazımdır. (Hesaplamayı yanlış yapmış olabilirim,sistem yöneticisi bir arkadaşım 60 üzeri olarak hesaplamıştı. Ben minimalist yaklaştım 🙂

OSI Modeli: Open Systems Interconnection ISO (International Organization for Standardization) tarafından geliştirmiştir. Amaç iki bilgisayar arasındaki iletişimin nasıl olacağını tanımlamaktır.

Osi Presentation Layer: OSI Sunum Katmanı

Hash örneği; ###<media:hash algo=”md5″>dfdec888b72151965a34b4b59031290a</media:hash>###
Bu hash Yahoo’nun RSS modülünde kullanılmıştır. (Ayrıntı için tıklaynız!)

RC2 Algoritması: Ayrıntılar için tıklayınız

Not: SSL tüm modern tarayıcılar, Linux, Unix, Microsoft, Sun gibi işletim sistemlerince desteklenmektedir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir