Şifrelemenin Açıklaması: Şifrelemenin Nasıl, Neden ve Ne Zaman

Parolanızı şifrelenmemiş olarak saklayan sitelerin listesi şaşırtıcı. Son belleğin Ashley Madison veri ihlali, düz metin biçiminde 300 GB’den fazla kullanıcı verisinin tehlikeye atıldığı hassas bilgilerin yanlış işlenmesinin en iyi örneğidir. Britannica gibi sitelerin yakın zamanda düz metin şifre depolamasıyla suçlandığı tek örnek de değil.


Şifreleme ile ilgili bu kılavuzda, hassas bilgilerin neden taşıma sırasında ve depolama alanında şifrelenmesi gerektiğini ele alacağız, böylece kendinizi kötü güvenlik uygulamalarına karşı koruyabilirsiniz. Size temel bir şifreleme tanımı sunacağız, farklı yöntemlerin üzerinden geçeceğiz ve bunun için bazı kullanımlar sağlayacağız..

Umudumuz, bu kılavuzun sonunda hassas veriler ve bunun için gerçek dünyadaki uygulamalar üzerinde şifreleme ihtiyacını anlayacağınızdır. Kriptografi yoğun ve karmaşık bir konu olsa da, bu kılavuzun amacı için mümkün olduğunca basit hale getirmeye çalıştık.

Şifreleme nedir?

Şifreleme anlaşılması kolay bir kavramdır. Temel olarak, bu, yalnızca istenen alıcının erişebilmesi için bir bilgi parçasını kodlamanın bir yoludur. Bilgiler AES gibi bir şifre kullanılarak şifrelenir ve taraflar arasında, alıcının şifresini çözmesine izin veren bir anahtar paylaşılır.

Şifre, düz metni ciphertext’e dönüştürerek bilgileri okunamaz hale getirir. Yalnızca hedeflenen alıcının bu verilerin şifresini çözebilmesini sağlamak için, iki makinenin veri kaynağı ve hedefinin amaçlandığı gibi anlaşmasına izin veren bir şifreleme anahtarı paylaşılır. Bir sonraki bölümde şifreleme anahtarları hakkında daha fazla konuşacağız.

Güvenli bir şekilde bilgi aktarımı için daha geniş bir terim olan kriptografi yeni değildir. Eski Yunanlılar genellikle mesajları karıştırmak için şifreleri kullandılar, genellikle sadece her kelimenin harflerini yeniden düzenlerler ya da basit bir kural uygularlar. Ceaser şifresi iyi bir örnektir. Aynı yöntemler dijital şifreleme için de geçerlidir, ancak şifreler daha karmaşıktır.

Dijital dünyada şifreleme, daha sonraki bir bölümde ele alacağımız gibi şifreler ve internet trafiği gibi kişisel bilgilerin güvenliğini sağlamak için kullanılır. Hemen hemen her yerde çevrimiçi bir hesabınız varsa, bilgileriniz muhtemelen şifrelenir. Süreçte aktif olarak yer almamış olsanız da, yine de avantaj elde edersiniz.

Şifreleme, verilerinizin ele geçirilmesine ve çalınmasına karşı koruma sağlar. Şifreli verilerin şifresi yalnızca, saldırganın erişmesi gereken şifreleme anahtarıyla çözülebilir. Farklı işlevlere sahip iki ana şifreleme türü vardır.

Şifreleme Türleri

Düz metni şifrelemenin birden fazla yolu vardır: sınır insanın hayal gücü gibi görünüyor. En yaygın türlerden birkaçına bakalım.

Özel Anahtar / Simetrik Şifreleme

Simetrik şifreleme, verileri şifrelemek ve şifresini çözmek için aynı anahtarı kullanır. Bu, veriler şifrelenmeden veya şifresi çözülmeden önce şifreleme anahtarının taraflar arasında paylaşıldığı anlamına gelir. Simetrik şifreleme, verilerinizi sakladığınız yerde bir kasaya sahip olmak gibidir. Siz ve bu verilere erişebilen herkes, kasayı açmak için kombinasyona ihtiyacınız olacak.

Simetrik-Şifreleme

Bu şifreleme esas olarak hareketsiz verileri korumak için kullanılır. Buna iyi bir örnek, veri saklanırken şifrelemenin gerçekleştiği ve yalnızca yetkili bir kullanıcı tarafından erişildiğinde şifresinin çözüldüğü bulut depolamadır..

Temel işlem şu şekilde çalışır: Bir kullanıcı şifrelenmiş verilere erişim ister. Depolama kabı, anahtar yöneticisine bir şifreleme anahtarı gönderir. Anahtar yöneticisi her bir tarafın meşruiyetini doğrular, ardından aralarında güvenli bir bağlantı açar.

Güvenli bağlantı açıldığına göre, şifreleme anahtarı taraflar arasında paylaşılıyor. Bunu yaptıktan sonra, şifrelenmiş bilgilerin şifresi çözülür ve talep eden tarafa düz metin olarak gönderilir.

Simetrik şifreleme söz konusu olduğunda pek çok adım vardır, bu da onu hareketsiz veriler için en uygun hale getirir. Asimetrik şifreleme, hareket halindeki veriler için daha iyidir, çünkü kullanıcıların aralarındaki bir anahtarı paylaşmadan veri paketlerini aktif olarak şifrelemesine izin verir.

Açık Anahtar / Asimetrik Şifreleme

Asimetrik şifreleme, taraflar arasında paylaşılan özel anahtar yerine ortak / özel anahtar çiftine dayanır. Genel bir anahtar kullanan verilerinizin şifrelenmesiyle başlar. Adından da anlaşılacağı gibi, ortak anahtar, ihtiyacı olan herkes için serbestçe kullanılabilir.

Asimetrik-Şifreleme

Bu tür şifreleme hareket halindeki veriler için kullanılır. Daha sonraki bir bölümde ele alacağımız gibi, bir örnek sanal özel ağ üzerinden internete bağlanmak olabilir. Verileri şifrelemek için simetrik bir oturum anahtarı kullanılır ve daha sonra simetrik anahtarı şifrelemek için ortak bir anahtar kullanılır. Şifrelenmiş veri alındıktan sonra, özel şifre anahtarın şifresini çözmek için kullanılır ve daha sonra şifre metnini dönüştürmek için kullanılır.

İlk olarak, gönderen ve alıcı birbirlerinin sertifikalarını doğrular. Gönderen, alıcının genel anahtarını ister ve daha sonra paylaşılır. Geçici bir simetrik anahtar – yalnızca bir oturum için kullanılır – düz metni şifreli metne şifreler.

Ardından, ortak anahtar simetrik anahtarı şifreler.

Şifrelenmiş veriler alıcıya gönderilir. Simetrik anahtarın şifresi, gönderenle paylaşılan ortak anahtarla eşleşen özel anahtar kullanılarak çözülür. Artık alıcı simetrik anahtarı görebildiğinden, şifre metnini tekrar düz metne dönüştürebilir.

Hala simetrik bir anahtar var, ancak şifreleme yapılmadan önce taraflar arasında paylaşılmasına gerek yok. Veriler paylaşılmamış simetrik bir anahtarla şifrelenir ve bu anahtar genel / özel anahtar çifti kullanılarak şifrelenir.

Şifrelenmiş Verilerin Saklanması

Herhangi bir şifreyle içsel bir kusur var; şifresinin çözülmesi amaçlanmıştır. Bir saldırganın şifre çözme anahtarına erişimi varsa, bilgileriniz hemen ortaya çıkar. Şifreleri şifreli bir biçimde bile bir sunucuda saklamak güvenli değildir. Şifrenizin ve şifreleme yönteminizin zayıf olduğunu varsayarsak, şifresi kolayca çözülebilir (bunu önlemek için güçlü bir şifre oluşturma kılavuzumuza göz atın).

Şifrelemenin amacı, amaçlanan tarafın şifresini çözmek. Bu nedenle, şifrelenmiş şifreleri bir sunucuda saklamak yaygın veya iyi bir uygulama değildir. Şifrelenmiş verilerin değerinin bilinmesine gerek yoktur, bu nedenle bu tür verilerin depolanmasına izin vermek için bir neden yoktur. Şifreleme, depolama için değil, taşıma içindir.

Vuruldu

Daha güvenli bir yöntem, sunucuda bir parola karması saklamaktır. Karma, bir değerin algoritma kullanılarak metinden hesaplanabildiği bir işlemdir. Karmalar daha iyidir çünkü tersine çevrilemezler. Paroladan bir karma oluşturabilirsiniz, ancak bir karma’dan parola oluşturamazsınız.

Şifre-Kıyımlama

Ne yazık ki, bu her sorunu çözmez. Bir saldırgan, parolanıza kaba kuvvet saldırmak için hash’ı kullanabilir. Bir saldırgan bir parola karması tablosu çalmayı başarırsa, bu parolaları deneme yanılma yoluyla anlamak için sözlük saldırısı kullanabilir..

Saldırgan, parolaların hangi algoritmaya sahip olduğunu anladıktan sonra, sözlükteki yaygın sözcükleri kullanarak olası parolaları üretecek bir yazılım parçası kullanabilir. Aday parolalar bilinen algoritma kullanılarak özetlenir ve daha sonra tablodaki parola özetleriyle karşılaştırılır.

Bir eşleşme varsa, saldırgan şifrenizi başarıyla kırdı.

Ortak bir şifre kullanıyorsanız daha da kolaydır. Diyelim ki bir veri ihlali var ve şifre karmanız çalındı. Korkunç bir nedenle kullandığınız şifre “password123” dür. Bu şifrenin MD5 karması 482C811DA5D5B4BC6D497FFA98491E38’dir. Bu algoritma için her zaman o metin dizesinin karması olacaktır. Bir karmayı tersine çeviremezsiniz, ancak şifreyi tahmin etmek için bu karmayı kullanabilirsiniz. Bununla birlikte, açıklanması gerekmeyen verileri depolamak için bunun daha güvenli olduğu düşünülmektedir. 482C811DA5D5B4BC6D497FFA98491E38 diğer tarafta “password123” tükürmek için algoritmadan geçemiyor.

Tuzla

Teorik bilgisayar korsanımız 482C811DA5D5B4BC6D497FFA98491E38’in “password123” için karma olduğunu anladı. Daha da kötüsü, veritabanındaki bu karma ile 50 eşleşme buldular, yani 50 hesap birinin fiyatı için tehlikeye atıldı.

Tuzlama devreye giriyor. Tuz, bir parola karma işleminden önce eklenen veridir. Bir tuzun ne olması gerektiği konusunda belirlenmiş bir kural yoktur; şifrenizi tuzlayan herkes bunu belirleyebilir. Diyelim ki bir hesap oluşturdunuz ve onu oluşturduğunuz web sitesi, hash etmeden önce şifrenizi tuzluyor.

Bu hesap için tuz, kaydolduğunuzda girdiğiniz hesap bilgilerine dayanarak rastgele bir sayı artı şifrenize ilk ve son baş harfinizi eklemektir. Şimdi “password123”, örneğin “password1239jr” olur.

Tuzlama, kaba kuvvet saldırıları sorununu ortadan kaldırmaz, ancak bir saldırının başarılı olma şansını önemli ölçüde azaltır. Aynı şifreleri olan kullanıcılar bile aynı karma sonucuna sahip olmayacak, yani saldırganın sadece karma algoritmayı değil, aynı zamanda tuzlama yöntemini de bulması gerekiyor..

Şifreleme için Kullanımlar

Şifreleme önemlidir ve yüzyıllardır olmuştur. Dijital çağda, bu daha doğru olamazdı. Tek bir hassas veri parçası sizi kimlik hırsızlığı ve sahtekarlık da dahil olmak üzere siber suçlara maruz bırakabilir. Çevrimiçi hesaplarınızı, hassas dosyalarınızı ve internet trafiğinizi koruyabilen şifreleme için birçok kullanım vardır..

Parolalarınızın Güvenliğini Sağlama

Parolalar, şifrelenmesini istediğiniz en önemli verilerdir ve genellikle sizinle ilgili sayısız veri parçasının kilidini açan anahtardır. Parola yöneticisi, çevrimiçi hesaplarınızın her birinde güçlü ve benzersiz bir parola kullanmanıza olanak tanır ve güvenliğinizi katlanarak artırır.

dashlane kimlik kontrol paneli

Yukarıdaki karma bölümünde tartıştığımız gibi, bir kaba kuvvet saldırısı ile bir şifre karması ortaya çıkarılabilir. Ancak, bu saldırılar güçlü şifreleri değil zayıf şifreleri avlar. Benzer bir saldırı, “password123” ü anlamaya çalışırken, aday şifre olarak “ZTG $ iS% 8a2zF” oluşturmakta zorlanır..

Yukarıdaki örnek LastPass tarayıcı uzantısı ile oluşturulmuştur. Yukarıdaki örneğimizde olduğu gibi 12 karakterlik bir şifre oluşturabilir, aynı zamanda 99 karaktere kadar herhangi bir kombinasyonu da oluşturabilir. Ayrıca, LastPass incelememizde okuyabileceğiniz piyasadaki en iyi ücretsiz şifre yöneticisidir..

Parola yöneticileri, parola verilerini yalnızca sizin erişiminiz olan şifreli bir kasada depolar. Bu kasa sadece sizin bildiğiniz bir ana şifre ile korunmaktadır. En iyi şifre yöneticilerinin ana şifrenizi korumak için güvenlik önlemleri de vardır.

Örneğin Dashlane sıfır bilgi modelini kullanır, yani ne ana şifreniz ne de karmaları saklanır. Ana şifreniz tuzlandıktan sonra yerel cihazınızda AES-256 ile şifrelenir ve 200.000 raund SHA2 karma işleminden gönderilir.

Karma tek yönlü bir cadde olduğundan, ana şifrenizi kırmak çok daha zorlaşır. En az sekiz karakterden oluşan alfasayısal bir ana parolanın, SHA2 karma işlemiyle kırılması yaklaşık 45.000 yıl sürer. Dashlane’nin sunduğu daha modern Argon2 karma algoritmasını kullanırsanız, sadece yedi milyon yıl sürecek.

Dashlane, sağlam bir özellik kümesi ve kullanımı kolay arabirim de dahil olmak üzere güvenlik dışında da sunacak çok şey var. Bu konuda Dashlane incelememizde daha fazla bilgi edinebilirsiniz.

İnternet Trafiğinizi Gizleme

Çoğu internet trafiği şifrelenir. SSL sertifikası olan bir siteye gelirseniz, söz konusu siteye şifreli bir bağlantı üzerinden bağlanıyorsunuz demektir. Yine de, ISS’nizden değil, dış dünyadan şifrelenmiştir. Ayrıca, bu şifreleme biçimi SSL ve TLS kılavuzumuzda okuyabileceğiniz gibi kolayca gerçekleştirilebilecek bilinen açıklara sahiptir.

Sanal özel ağın devreye girdiği yer burasıdır. IP adresinizi gizlemeye ve trafiğinizi anonimleştirmeye ek olarak, VPN de internet bağlantınızı şifreleyecektir. Bu, İSS’nizin veya güvenli tünelinizi kırabilecek herhangi birinin çevrimiçi ortamda ne yaptığınızı algılayamayacağı anlamına gelir.

ExpressVPN-Hız Testi

Bunun, internet üzerinden aktardığınız kişisel verileri gizlemek gibi güvenlik açısından da olumsuz etkileri vardır. ISS’niz, birkaç film indiriyor veya başka bir şekilde indiriyor olsun (yaptığınız iş için en iyi VPN’imizle yapmalısınız) ne yaptığınızı gözetleyemez..

En iyi VPN sağlayıcıları da birinci sınıf yöntemleri kullanır. Örneğin ExpressVPN, trafiğinizi OpenVPN protokolü ile AES-256 ile şifreler. VPN güvenliği kılavuzumuzdaki protokoller ve ExpressVPN incelememizde ExpressVPN hakkında daha fazla bilgi edinebilirsiniz..

Bu hizmetle ilgilenmiyorsanız, NordVPN (NordVPN incelememizi okuyun) harika bir alternatiftir. VPN incelemelerimizdeki en iyi seçeneklerden biri.

Verilerinizi Saklama

Verilerinizi bulut depolama için nasıl şifreleyeceğimize ilişkin kılavuzumuzda belirttiğimiz gibi, bulutta yönetilen şifreleme birkaç soruna neden olur. Özellikle, verilerinizi sunucularında şifreleyen hizmetler de şifreleme anahtarını yöneterek sizi olması gerekenden daha savunmasız hale getirir.

Sync.com Dosya Paylaş Bağlantısı

İşte sıfır bilgi bulut depolaması devreye giriyor. Bu modeli kullanan şifre yöneticilerinde olduğu gibi, şifreli veya şifresiz şifreniz sağlayıcının sunucularında saklanmaz. Çoğu durumda, şifreleme anahtarını da yönetirsiniz, yani bir devlet kurumu çalmaya başlarsa, tüm sağlayıcı onlara verebilirdi bir dizi şifre metni.

Sıfır bilgi, doğası gereği daha güvenli anlamına gelmez; bulut depolama güvenliği bundan daha karmaşıktır. Ancak, en iyi sıfır bilgili bulut hizmetleri güvenli bir bahistir, özellikle de çoğu güvenli bulut depolama kılavuzumuzda bir yer paylaştığından.

Her iki kılavuzun da kazananı ve bulut depolama sağlayıcıları karşılaştırmamız Sync.com’dur. Sıfır bilgi modeli ve birinci sınıf AES-256 şifrelemesi nedeniyle Sync.com incelememizde güvenlik konusunda yüzde 100 puan aldı.

PCloud incelememizde okuyabileceğiniz gibi pCloud gibi mükemmel güvenlik puanlarına sahip birkaç sağlayıcı daha vardır. Daha fazla alışveriş yapmak istiyorsanız, bulut depolama incelemelerimizdeki en iyi sağlayıcılar başlamak için iyi bir yerdir.

Son düşünceler

Şifreleme, interneti kullanmanın bir parçasıdır. Hassas bilgileriniz bankacılık, tıbbi kayıtlara erişim ve hatta çevrimiçi alışveriş için gereklidir. Umudumuz, bu kılavuzun size verilerinizin nasıl işlendiğini daha iyi anlamasıdır, böylece hangi kuruluşların bakımını yapmanıza izin verdiğiniz konusunda bilinçli bir karar verebilirsiniz..

Şifreleme, düzgün bir şekilde ele alındığı sürece siber güvenlik için en iyi şeylerden biridir. Parola yöneticileri, VPN’ler ve güvenli bulut depolama sağlayıcıları, aceleli parola depolamasından, sürünen ISS’lerden ve güvenli olmayan verilerden korunmanızı sağlar.

Şifrelemeye daha fazla güveniyor musunuz? Aşağıdaki yorumlarda bize bildirin ve her zamanki gibi okuduğunuz için teşekkürler.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map