Açık Ağlarda Bilgi Güvenliği Ve Dünyadaki Eğilimler ! | Makale
Açık ağlarda bilgi güvenliği için, geleneksel ticaretin ayrılmaz bir parçası olan "güven unsurunun" ağ iletiminde de sağlanması amacıyla sayısal şifreleme ve imza teknolojileri kullanılmaktadır. Bu teknolojilerle, gönderen ve alıcı kimliklerinin doğrulanması ve iletinin üçüncü taraflarca dinlenememesi ve değiştirilememesi sağlanmaktadır. Böylelikle, uzun yıllar boyunca askeri ve diplomatik haberleşme amacıyla geliştirilen "kriptoloji" yöntemleri, sivil haberleşmede de kullanılmaya başlanmıştır. Son yıllardaki gelişmelerin ışığında, dünyadaki eğilimler üç noktada toplanabilir:
* OECD ve AB belgelerinde, bilgi güvenliği koşullarının yerine gelmemesi, ticaretin önündeki en büyük engel olarak görülmektedir.
* Yasalar çerçevesinde kişisel gizlilik haklarının korunması ve tanınması uluslararası olarak kabul görmektedir. Ulusal güvenlik açısından kriptoloji ürünleri üretimi ve kullanımı üzerine getirilen kısıtlamaların, kişisel gizlilik hakları ve ticari yaşamın gelişimini engellemeyecek biçimde sınırlandırılması öngörülmektedir.
* Sözü edilen kriptoloji yöntemleri, açık ağlar üzerinde çalışacağından, uluslararası platformlarda kabul edilen, ve tümüyle açık standartlar, protokoller çerçevesinde uygulanabilmektedir. Dünya ticaretinin bir parçası olmak, bu standartlara ve protokollere uygun yazılımlar kullanmakla mümkündür.
Bilgi güvenliği"nin sağlanabilmesi için gelişmiş ülkelerce önerilen sayısal imza ve "şifreleme yöntemleri, "çift anahtarlı kriptografi" yöntemleridir. Bu kavramların dünya çapında uygulanabilmesi için, açık elektronik iletişim ağlarını kullanmakta olan bütün ülkelerin birbirleriyle uyumlu standartlar geliştirmesi zorunludur. Fakat böyle bir uyum henüz sağlanamamıştır. Çift anahtarlı kriptografinin doğum yeri diyebileceğimiz Amerika Birleşik Devletleri, kriptografik yöntemlerin gücünün sınırlanması gerektiğini, böyle büyük bir gücün dünya çapında örgütlü bir topluluğun kötü niyetli kullanımıyla çok önemli sorunlar yaratabileceğini ısrarla savunmaktadır. Bu amaçla ABD, ülke dışına satılan kriptografik ürünlere kısıtlamalar koymakta, ülke içinde de kriptografik algoritmaların ve iletişim protokollerinin, gerektiğinde yargı organları kararıyla ikili iletişimlerin gizliliğinin çözülmesine uygun şekilde tasarlanmasını sağlayacak yasal önlemler almaktadır. Öte yandan, ABD içinde birçok kriptografi uzmanı, ticari kuruluşlar, ayrıca Avrupa Birliği ülkeleri, Avustralya gibi konuyla yakından ilgilenmeye başlayan gelişmiş ülkeler, ikili gizliliği tehdit eden her türlü önlemin, insan haklarına aykırı olduğunu ve elektronik ticaretin serbest gelişimini engelleyeceğini ileri sürmektedirler.
"Sayısal imza" uygulamalarının oturtulacağı uluslararası yasal zemin, ilgili ülkeler arasında önemli bir fikir ayrılığı olmadan, uyumlu bir şekilde oluşturulabilecek gibi görünmektedir. Şifreleme konusunda ise ülkelerin öngördüğü yasal düzenlemeler farklılıklar göstermektedir. Şifreleme uygulamalarının yaygınlaşması ve güçlü şifreleme algoritmalarının her isteyenin eline geçmesi, özellikle ABD'deki bir grup kriptografi uzmanını ve ABD hükümetini rahatsız etmektedir. Bu uzmanlar, yasaların gerekli gördüğü durumlarda, şifreli mesajların yargı kararıyla çözülebilmesine yönelik bazı kriptografik yöntemler geliştirmişlerdir. Bu yöntemler, gizli anahtarın kopyalanıp saklanabilmesine (key escrow), veya gizli anahtarın, bazı bilgilerin biraraya getirilmesiyle yeniden oluşturulmasına (key recovery) olanak sağlamaktadırlar. Bu yöntemlerin uygulanabilmesi için, kendilerine verilen "gizli anahtarı yeniden elde etme" bilgilerini kullanarak şüpheli şahısların gizli anahtarlarını elde edebilen kuruluşlara ihtiyaç olacaktır. "Güvenilir Üçüncü Kuruluş" (Trusted Third Party) diye adlandırılan bu kuruluşların onay kurumlarından en belirgin farkı gizli anahtar bilgilerini ya ellerinde bulundurmaları, ya da bu bilgilere ulaşacak yöntemlere sahip olmalarıdır.
ABD bir çok ülkeye ve OECD gibi uluslararası organizasyonlara gizli anahtarın kopyalanıp saklanabilmesi (key escrow) yöntemlerinin uygulamaları yönünde baskı uygulamaktadır. OECD ülkeleri ABD'nin bu baskısını kabul etmeyerek kriptografinin serbest kullanılması yönünde görüş oluşturmuşlardır. Gizli anahtarların kopyalanıp saklanması yöntemlerine karşı kritik ve son bir gelişme, Wassenaar Düzenlemesi grubunun 1998 yılındaki toplantısında olmuştur. ABD burada gizli anahtarların yeniden üretilmesi teknolojilerini uluslararası pazarlara ihraç edebilmek amacıyla, ihracat kurallarında üstünlük sağlamayı amaçlamıştır. Ancak 33 ülkenin katıldığı bu toplantıda bir uzlaşmaya varılmamış ve bu plan reddedilmiştir. Almanya Ekonomi Bakanı bir basın açıklaması yaparak "Gizli anahtarların yeniden üretilmesini sağlayacak teknolojiler konusunda bazı ülkeler özel muamele talep etmişler ancak bu çabalarında başarılı olamamışlardır. Bu yüzden gizli anahtarların hükümetlerce saklanmasına gerek kalmadan, kriptografi teknolojilerini ihraç etmek mümkün olacaktır" demiştir.
Uluslararası politikalardaki bu gelişmeler, hem gizli anahtarların kopyalanıp saklanması teknolojilerini destekleyen ülkelerde hem de bu konuda henüz bir politika geliştirmeyen ülkelerde önemli etkiler yapmıştır. Fransa bu konuda en büyük politika değişikliği gösteren ülke olmuştur. 1999 Ocak ayında Başbakan Jospin, gizli anahtarın elde edilmesi yönündeki politikalarını sona erdirerek, kriptografinin serbest kullanımını desteklediklerini bildirmiştir. 1997 yılında gizli anahtarların elde edileceği bir sistem planladıklarını açıklayan Tayvan, 1999'da bu sistemi uygulamaktan vazgeçmiştir. Gizli anahtarın elde edildiği sistemler, şu anda sadece bir kaç ülkede resmi olarak uygun bulunmaktadır. İspanya 1998 telekomünikasyon programında bu tür teknolojileri öne çıkartmıştır, ancak henüz herhangi bir uygulama yapılmamıştır. İngiltere, 1999 yılı sonlarında, elektronik ticaretin gelişmesi yönünde bir yasa hazırlığı içerisindedir; bu yasayla belgelendirme kuruluşlarını ve elektronik imzayı tanımaktadır.
Birçok Avrupa ülkesi ve Avustralya, Japonya gibi ülkeler, tartışmaların en başından beri kısıtlamalar ve yasaklamalardan yana değildirler. Özellikle Avrupa Birliği ülkeleri, ikili gizliliği tehdit eden her türlü önlemin, insan haklarına aykırı olduğunu ve elektronik ticaretin serbest gelişimini engelleyeceğini ileri sürmektedirler. Japonya, kriptografiye öncelikle ekonomiyi canlandırması açısından bakmakta, ulusal güvenlik yönünden kriptografiyi bir tehdit olarak algılamamaktadır. Bu ülkeler, üçüncü kuruluşlara güven gereksinimi yaratan bir toplumsal düzenleme sonucunda, bu kuruluşların güvenilirliğini zorlayacak, sarsacak yöntemlerin gelişmesine yol açılabileceğini düşünmektedirler. Bu durum ise yasalara uyan vatandaşların haklarını zedeleyecek, sayısal imzaların taklit edilebilmesine, gizli mesajların istenmeyen kişiler tarafından okunmasına ve ekonominin zarar görmesine neden olabilecektir.
Bilgi toplumu ile elektronik ticaret uygulamalarının genişlemesi, ve bu uygulamalardan hem sosyal hem de ekonomik kazanımlar elde edilebilmesi için, bilgi iletiminde gizliliğin ucuz ve kullanıcılara kolay gelecek bir biçimde sağlanması gerekmektedir. Sayısal teknolojilerin hızlı gelişimi, gizliliği sağlayan kriptografik algoritmaların etkinliğini ve hızını arttırırken, üretim fiyatlarını da düşürmekte, ayrıca endüstri için yeni iş kolları yaratmaktadır.
İnternet gibi açık elektronik ağlarının elektronik ortamda iş konusunda gittikçe yaygınlaşması bilgi güvenliği konusunu gündeme getirmekte ve dünyada bir çok ciddi kurum bilgi güvenliğinde kullanılacak teknolojilerle ilgili geleceğe dönük araştırmalar yapıp öneriler sunmaktadır. Avrupa Birliği de bu kurumlardan birisidir ve burada Avrupa Komisyonu'nun konuyla ilgili yayınlanmış makalelerinden derlenmiş görüşleri özetlenecektir.
Bilgi güvenliğinde kullanılan teknolojilerin başında kriptografi bulunmaktadır. Sayısal imza ve şifreleme konularında kriptografi olmadan güvenliğin sağlanmasının mümkün olmadığı, bilgi güvenliğinin ancak kriptografik yöntemler kullanılarak sağlanabileceği Avrupa Komisyonu'nun çeşitli yayınlarında belirtilmiştir.
Avrupa Komisyonu üye ülkelerde sayısal imza ve şifreleme konusundaki yasal düzenlemeleri takip etmekte ve üyelerini sayısal imzanın hayata geçirilmesi konusunda teşvik etmektedir. Sayısal şifreleme yasa dışı örgütlerin gizli haberleşmesinde yasal olmayan yollarla kullanılıp risk teşkil etme tehlikesini taşıdığından bununla ilgili yasal düzenlemeler yavaş ilerlemektedir. Oysa ki sayısal imzada veri zaten açık olduğundan bu konuyla ilgili yasaların çıkması daha kolay olmuştur. Üye ülkelerden Almanya ve İtalya çıkardığı sayısal imza yasalarını yürürlüğe koymuştur. Komisyon ve üye ülkeler OECD, Birleşmiş Milletler, Dünya Ticaret Örgütü gibi diğer uluslar arası kurumlarla da sayısal imzada teknik standartlar ve yasal düzenlemeler konusunda diyalog halindedir.
Avrupa Parlementosu Eylül 1996'da bilgi güvenliği ve gizliliği, sayısal kimlik belirleme ve gizliliğin korunması konularında Komisyonu yasal hazırlıkların yapılmasına davet etmiştir. Kasım 1996'da Bakanlık Konseyi üye ülkelerden ve Komisyondan elektronik olarak transfer edilen verinin bütünlük ve doğruluğunun sağlanması için gereken ölçülerin hazırlanmasını istemiştir. Mart 1997'de OECD kriptografi politikaları konusunda dökümanlar hazırlamış, sayısal imza ve şifreleme konuları da dahil olmak üzere kriptografinin kullanımı konusunda ülkelerin kendi politikalarını belirlemelerinde yol gösterici olmuştur.
Nisan 1997'de Komisyon şifreleme teknolojisinin ve ürünlerinin serbest kullanımı ve sayısal imza girişimi ile ilgili politikaların belirlenmesi için hazırlıkların yapılmasını duyurmuş ve bu politikaların tasarısı aşağıdaki gibi belirlenmiştir:
Sayısal imza için Avrupa tasarısı saptamak,
Kriptografiyle ilgili ürün ve servislerin iç piyasada kullanımını sağlamak ve bunu yaparken kamusal güvenliğe saygının ve Avrupa'da güvenlik alanının homojen bir şekilde yaygınlaştırılmasının garanti edilmesi,
Avrupa endüstrisini kriptografik ürün ve servislerin kullanımı için teşvik etmek,
İnternet ve diğer elektronik ağlarda uluslararası platformu ilgilendiren sorularla ilgilenip, kriptografik servis ve ürünlerin önündeki ticari engellerin kaldırılması ve küresel ölçüde noktadan noktaya iletişimde güvenliğin mümkün olduğunca sağlanması,
Avrupa ülkelerinin tasarıları içinde gizliliğin korunması, tüketici ihtiyaçları ve insan hakları gibi konularda kriptografinin entegrasyonu için temellerin atılması,
Tüm ekonomik sektörlerdeki kullanıcıları küresel bilgi topluluğunun fırsatlarından faydalanmasını sağlamak ve teşvik etmek.
Avrupa Konseyi kasım 1997'de Komisyonu mümkün olduğunca kısa sürede Avrupa Parlemantosu ve Konseyinin sayısal imza ile ilgili talimatının hazırlanması için göreve çağırmıştır.
Sayısal İmza:
Sayısal imzanın elektronik iletişimde önemli bir rolü vardır. Elektronik ortamda iletilen verinin bütünlüğünün bozulmadığının ve imzayı atanın kimliğinin doğrulanması için kullanılır. Fikri mülkiyet hakları, veri depolanması, ağ güvenliği ve elektronik para gibi yeni uygulama alanlarında sürekli gelişmektedir.
Sayısal imzanın kabul gören bir çok çeşidi vardır. Bunlar el yazısı imzanın elektronik ortamda resmedilmiş şekli gibi en basit yöntemler olabileceği gibi daha gelişmiş ve güvenli kriptografik yöntemler tercih edilen sayısal imza teknolojileridir.
Sayısal imzanın kullanım alanları aşağıda özetlenmiştir:
Kamu kurumlarıyla resmi haberleşmelerde,
Açık ağlar üzerindeki sözleşmeli ilişkilerde (elektronik alışveriş, finansal işler), Kimlik veya yetki tanımlanması (bir bilgisayar sistemine girebilme yetkisi veya bir web sunucunun kendini tanımlaması gibi),
Bazı kişisel sebepler için.
Sayısal imza için ticari ürünlerin piyasada mevcut olmasına rağmen Avrupa'da kurumların bu servislerden faylanması henüz büyük ölçüde yaygınlaşmamıştır. Bunun en önemli sebebi bu konuda yasal düzenlemelerin tamamlanmamış olmasıdır. Sayısal imzanın yaygınlaşması birçok yasal alanda ayarlamalar ve değişiklikler yapılmasını gerektirir. Şu anki durumda en büyük problem ulusların farklı kural ve düzenlemelere tabi olması veya ilgili düzenlemelerin hiç olmamasıdır.
Sayısal imzanın yasal görünümü kanunları farklı her bir üye ülkenin hükümetince farklı algılanmaktadır. Sayısal imzayla imzalanmış sözleşmenin yasal değeri var mıdır, imza yasal gerekliliklere uygun mudur, mahkemede kanıt olarak sunulabilir mi gibi soruların cevabı ülkelerin kanunlarında bulunmalıdır.
Geleneksel imzada kişi imzasını kendi eliyle atar, oysa sayısal imzada kişinin özel anahtarını ele geçiren birisi onun yerine imza atabilir. Sayısal imzanın yasal olarak kabul görmesi ancak sahibinden başkasının gizli anahtarı kullanamamasının kesinleşmesiyle sağlanabilir. Üye ülkeler bununla ilgili yasa kurallarını düşünmelidirler.
Geleneksel imzayla sayısal imzanın farklı karakteristikleri vardır, örneğin:
Sayısal imzayla imzalanmış bir dökümanda orjinalle kopyayı ayırmak mümkün değildir,
Her kişinin sadece bir tane el imzası vardır. Fakat bir kişinin birden fazla anahtar çifti bulunabilir ve sayısal imza imzalanan her döküman için farklıdır
.
Fakat bu farklılıklar sayısal imza için eşdeğer yasaların çıkartılmasını engellemez. Beçika, Fransa, Yunanistan'da olduğu gibi bazı yasal sistemlerde elektronik dökümanların (yani yazılı olmayan delillerin) delil olarak gösterilememesi sayısal imzanın kullanımını engelleyici faktördür. Fakat sayısal imzalı formların yazılı formların tüm gereklerini yerine getiriyor olması, yazılı formlar için var olan kanunları değiştirmeden sayısal imzanın bu kanunlara uydurulmasını kolaylaştırır.
Onay Kurumları (Certification Authorities):
Onay Kurumlarının ana görevi kriptografik işlemlerde kullanılacak olan açık anahtar bilgisi ve bu anahtarın sahibi olan kişinin kişisel bilgilerini taşıyan elektronik kimlik belgelerini üretmek, dağıtmak ve yönetimini yürütmektir. Onay Kurumu servisleri tamamıyla yeni bir servis sektörü olmasına karşın, daha çok Avrupa dışındaki ticari kurumlar tarafından ele alınmakta ve hızla bu alana önemli sayıda yeni kurumlar katılmaktadır.
Onay Kurumlarının genel gereklilikleri Komite tarfından aşağıdaki gibi özetlenmiştir:
Onay Kurumları güvenilir kurumlar olmalı ve bilgi korunmasıyla ilgili yasalara uymalıdır,
Anahtar sahiplerinin kimliklerinden emin olmalıdır,
Sorumluluğunu kullanması gereken durumlarla başa çıkabilmesi için minimum bölgede görevli olmalıdır, (bunun yanında kişilerin ikamet ettiği alanda bulunan Onay Kurumuna bağımlı olma zorunluluğu yoktur)
Çalışanlarının güvenilir ve uzman kişilerden oluşması,
Onay Kurumları elektronik kimliklerini kendi kendilerine vermemelidirler
(no self-certification)
Komite Onay Kurumlarının temel gerekliliklerini belirlemekle sınırlıdır, teknik detaylar standartlaştırma birimlerine bırakılacaktır.
Sayısal imzanın ulusal hukuki sistemler içinde tamamıyla kabul edilir bir yeri olmasının sağlanmasında Onay Kurumlarının kritik bir rolü vardır. Şöyleki kişilere elektronik kimlik dağıtan bu kurumların herkes tarafından güvenilir kurumlar olması, dağıtılan elektronik kimliklerle yapılacak kriptografik işlemlerin gerektiğinde yasal açıdan takibini ve yasal düzenlemelerin yapılmasını mümkün kılacaktır. Avrupa Komitesi sayısal imzanın kısa sürede yürürlüğe konulmasını, bunun sağlanabilmesi için ise öncelikle Onay Kurumlarının yasal gerekliliklerinin bir an önce yapılmasını öngörmektedir.
Kriptografik işlemler için kullanılacak olan anahtar çiftleri kullanıcı tarafından üretilebileceği gibi Onay Kurumları tarafından da üretilebilir. Burada önemli olan gizlilik ve güvenlik ilkelerinin sağlanabilmesi için anahtar çiftlerinin her kullanıcı (kişi, sunucu vaya kişisel bilgisayarlar) için tek olması, anahtar uzunluğunun ve anahtar üretme prosedürlerinin tüm ülkelerce kabul görmüş olmasıdır. Ayrıca gizliliğin sağlanabilmesi için gizli anahtarın kopyasının Onay Kurumunda bulunmaması öngörülmektedir. Bunun yanında gizli anahtarın yasal düzenlemeler içinde istenildiğinde ulaşılabilmesi fikrini savunan düşünceler için Güvenilir Üçüncü Kurum adı verilen ve Onay Kurumlarından farklı bir misyonu olması düşünülen kurumların anahtar çiftlerini saklama veya yeniden üretme yetkileri vardır.
Uluslararası işlerde yabancı bir Onay Kurumunun dağıttığı elektronik kimlik belgelerinin farklı ülkeler tarafından da tanınması ve güvenilmesi kaçınılmazdır. Böyle bir yapının oluşturulabilmesi için öncelikle ulusal yapılar oluşturulurken Avrupa düzeyindeki bir koordinasyon mekanizmasıyla ulusal yapı tamamlanmalıdır. Bu düzenlemeler ile tüm ülkelerin karşılıklı anlaşabilmeleri, güvenliğin sağlanması kolaylaşacak, ekonomik açıdan da daha yararlı olacaktır.
Avrupa Birliği tüm ülkeleri kapsayan ortak çözümler bulma konusunda çalışmalarını sürdürmekle beraber, henüz Onay Kurumlarının gereklerini belirleyen düzenli bir yasa tasarısı mevcut değildir. Fakat bu, piyasada aktif olarak servis veren Onay Kurumlarını engellememekte Amerika ve Avrupa'da hayata geçirilmiş birçok Onay Kurumu bulunmaktadır. Üye ülkelerde Onay Kurumları ile kullanıcılar arasında uygun sorumluluk kurallarına göre hazırlanmış sözleşme kuralları vardır. Bu kuralların oluşturulmasında konuyla ilgili çıkacak veya çıkmış olan kanunların esas alınması gereklidir. Onay Kurumları ile Güvenilir Üçüncü Kurumlar arasında bir sözleşme yapılması fikri henüz öngörülmemiştir. Bu konuda üye ülkelerden araştırma ve karar sonuçları beklenmektedir.
Öneriler:
Sayısal imza bilgi bütünlüğü ve kimlik doğrulamada yeterli bir çözüm olmasına karşı piyasadan farklı çözümler de gelebilir. Sayısal imzaya güvenin yaygınlaştırılmasının yanısıra farklı çözümlere de açık olunmalıdır.
Yasal düzenlemeler tarafları sınırlandıracak şekilde olmamalıdır. Bu yüzden düzenlemeler yapılırken sayısal imzanın farklı kullanımları gözönüne alınmalıdır.
Bazı üye ülkeler Onay Kurumları için fazla zorlayıcı olmayan politikaları desteklemekle birlikte diğerleri zorunlu lisans alınması ve böylelikle Onay Kurumlarının güvenilirliğinin arttırılmasını savunmaktadırlar. Lisansı olmayan fakat özel veya kamusal kurumlarla yakından ilişkilendirilmiş kuruluşlar da güvenilir Onay Kurumları olarak servis sunabilir.
Lisans konusunda birbirinden ayrı tutulması gereken iki kavram vardır, birincisi Onay Kurumlarının kurulması ve işleyişini, diğeri ise verdikleri servisi ilgilendirir.
Onay Kurumlarının verdikleri servislerde sayısal imza ile ilgili piyasada mevcut kriptografik ürünleri serbest kullanabilmelidirler. Onay Kurumlarının aktivitelerini zorunlu lisansla kontrol altına almak kurallara uyulmasını sağlayan tek yöntem değildir. Bu yüzden Avrupa Birliği hem lisanslı hem de lisansı olmayan Onay Kurumlarının aynı anda servis vermesini sağlayacak tasarılar düzenlemelidir.
Bazı üye ülkelerde sayısal imza için detaylı düzenlemeler hazırlık aşamasındadır. Almanya'da sayısal imza ile ilgili bir yasa çıkartılmıştır. İtalya elektronik dökümanların ve anlaşmaların kullanımı üzerine yasa çıkarmıştır. Danimarka ve Belçika sayısal imza düzenlemelerini hazırlama aşamasındadır. Diğer birçok ülkede teknik altyapı mevcut olmasına karşın yasal düzenlemeler konusunda henüz hazırlık aşamasındadırlar. Komitenin amacı ülkeleri sayısal imzanın güvenilirliğine ve hızlı bir şekilde hayata geçirilmesine teşvik etmek doğrultusundadır. Elektronik iletişim Avrupa ile sınırlı olmadığından tüm dünyayı kapsayan düzenlemeler daha sonraki Komisyon çalışmalarında ele alınacaktır.
Konu: Açık Ağlarda Bilgi Güvenliği Ve Dünyadaki Eğilimler ! 
