DİKKAT : TAMER ŞAHİN YAZISI
Bu yazının öncesini E-Mail Güvenliği ve Kriptografi Teknikleri başlığı ile okuyabilirsiniz
PGP
PGP, Phil Zimmermann tarafından yazılan, RSA algoritmasını kullanarak verileri şifreleyen bir yazılımdır (Zimmermann sonraki zamanlarda PGP’nin Internet üzerinden ABD dışına çıkartılmasına göz yumduğu için mahkemeye verildi.) Fakat şifreleme yüzünden başı derde giren sadece Zimmermann değil. İran ve Irak’ta şifrelenmiş verilerin kullanılması yasak. Diğer bir örnek Rusya’da ise hükümet tarafından onaylanmamış şifreleme yöntemlerinin kullanılması yasaklanmıştır.
Bunun yanı sıra NSA’nin sürdürdüğü politikalar yüzünden, ABD’de kullanılan PGP yazılımı ile dünya genelinde kullanılan PGP arasında bazı farklılıklar var. PGP’nin yasa dışı son versiyonu 2.3a idi. Sonra PGP’yi ABD’de yasallaştırmak adına yapılan çalışmalar sonucunda Zimmermann’ında katkılarıyla MIT, yasal 2.6.2 versiyonunu çıkarttı. RSA’nin patent sahibi olan RSADSI ile yapılmış anlaşmalar gereği, 2.6.2 ile şifrelenen veriler 2.3a ve daha önceki versiyonlar tarafından okunamıyor.
Bilhassa ABD yönetiminin ve NSA’nın neden olduğu bu trajikomik duruma daha fazla değinmeden önce, PGP’den ve PGP’de anahtar yönetiminden bahsetmekte fayda var.
PGP ilk kullanılacağı zaman, kendinize ait iki ayrı anahtar yaratmanız gerekir. Anahtarların üretiminde kullanılan iki asal sayı, sizin klavyenizden gireceğiniz rastgele karakterlere ve bu karakterleri girerken bıraktığınız zaman aralığına göre hesaplanıyor. Sonra üretilen kişisel anahtar yine sizin gireceğiniz, istenilen uzunluktaki bir şifre tarafından korunuyor. Size gönderilen açık anahtarlar da bir açık anahtar kütüğünde saklanıyor.
Yazdıgınız bir veriyi PGP ile ilk önce şifreleyip sonrasında bir başka program aracılığı ile (örnegin outlook express) göndermeniz gerekiyor. PGP’nin sahip olduğu önemli özelliklerden biri ise, size elinizdeki açık anahtarın güvenilirliğini sınıflandırma şansı tanımasıdır. Açık anahtarlar, belki de RSA sisteminin en hassas noktasını oluşturuyor. Bu anahtarların size şifrelenmiş mail göndermek isteyenlerin elinde olması şarttır. Peki bu anahtarları size şifrelenmiş mail göndermek isteyenler nasıl elde edecek? Daha önce verdiğimiz örneğe geri dönecek olursak; kötu adam Cengiz, Mehmet’in açık anahtarını biliyor varsayalım. O, yeni bir kullanıcı, yeni bir özel-açık anahtar yaratıp, bunların Mehmet’e ait olduğunu öne sürerek yaysın. Ahmet, bu sahte anahtarlar ile e-mail’lerini şifreleyip, Mehmet’e diye sahte kullanıcıya gönderir. Cengiz ise bu e-mail’i açıp Mehmet’in gerçek açık anahtarı ile şifreliyerek onun gerçek kullanıcısına aktarır. Bu sırada, mesajdaki herşeyi okuma ve değiştirme şansına da sahip olacaktır. Yine aynı şekilde sahte dijital imzalar da atabilecektir. Bu şekilde bir çok önemli gizli bilgi ve belge kaybedilebilir ya da değiştirilebilir.
Bu tür olayların olmasını engellemek için, açık anahtarı ilk elden sahibinden yada güvenilen kişilerden almak gereklidir. Bunun yanında açık anahtarların dolaşımını engellemek için bir kaç tane açık anahtar merkezi oluşturulmuştur. Buralara gönderilen açık anahtarlara isteyen herkes ulaşabilir. Birisi anahtar yarattığında, bu merkezlere açık anahtarını göndererek, isteyen kişilerin onun anahtarına kolayca ulaşmasını sağlayacaktır. Fakat bu merkezler bile ilk elden veya güvenilir kişilerin aracılığından daha az emin olacaktır.
PGP’nin dünya çapında kullanılan uluslararası versiyonu, tüm Unix, Linux’larda, Mac’te ve Windows’a kadar bir çok işletim sisteminde kullanılabilir. Fakat yeterince dikkatli kullanılması şarttir. Özellikle newsgrouplar gibi kişilerin kimliğini kanıtlamak gibi bir zorunluluğa sahip olmadıkları yerlerde atılan mesajların PGP ile imzalanması, bir lokantada cep telefonunu çıkartıp herkesin görebileceği bir şekilde masasının üzerine koyması gibi gosterişe yönelik bir harekettir.
Net’te Mahremiyetin Geleceği
Butun bunların yanı sıra yönetimler kolayca çözemeyeceği şekilde şifrelenmiş mesajlarla iletişimi doğru bulmuyor ve onaylamıyor. Bu konuda alınan tüm kararlarda hala bilgi trafiği ve aktarımı açısından Internet’in lideri ve geliştiricisi durumunda olmalarından dolayı tüm dunyayı etkiliyebiliyor. Öne sürdükleri iddialara göre, kötü kişilerin şifrelenmiş mesajlarla haberleşmesi gibi bir durumda bunu rahatlıkla açıp okuyamamaları ABD’nin ve insanlığın zararına terörist ve kanun dışı gruplar rahatça haberleşebilecekler.
Bu tarz sınırlandırmalar ile iletişim çağı’nın insanlar arasındaki açıklığının soğuk savaş dönemindeki gibi bir ortama dönüştürülmesine karşı tüm dünya kullanıcıları ortaklaşa ABD senatosu’na protesto mesajları göndererek, duyarlılığını kanıtladı. Dileğim bu tarz kontrol mekanizmalarıyla tehlikeli ve zararlı bulunan bilgilerin yayılmasını durdurmak için, Internet’in sansürlenmesi yolundaki çalışmaların durdurulması. Birilerinin bunun bir kaşıkla seli durdurmaya çalışmaktan farklı olmadığını bir an önce fark etmesi gerek.