Cryptography ‘nin Temelleri –3 ( Symmetric ve asymmetric encryption’ın bir araya getirilmesi )
Symmetric ve asymmetric encryption bir araya getirilmesi
Çogu uygulamada, simetrik ve asimetrik sifreleme metodlarinin herbirinin güçlü yanlarindan yararlanmak için bir araya getirilir
Symmetric and Asymmetric Encryption bir araya getirildiginde :
¦ Simetrik sifreleme plaintext ‘i ciphertext ‘e dönüstürmek için kullanilir. Bu durumda simetrik sifreleme hizindan yararlanilir.
¦Asymmetric encryption , encryption için kullanilan symmetric key‘i takas etmek için kullanilir.
Bu durumda asimetrik sifrelemenin , Sadece amaçlanilan alicinin symmetric key ‘i decrypt edebilmesini saglayan güvenliginden yararlanir
Asagidaki resimde symmetric ve asymmetric encryption bir araya getirildiginde process in nasil isledigini gösterir
symmetric ve asymmetric encryption bir araya getirilmesi :
1. Gönderici , alicinin public key ‘ini alir . Bir AD DS ortaminda , gönderici public key i AD DS gibi güvenilir bir kaynaktan alir.
2. Gönderici bir symmetric key üretir ve orjinal datayi encrypt etmek için bu anahtari kullanir.
3. Symmetric key alicinin public key’i ile , iletim esnasinda symmetric key ‘in elde edilmesini engellemek için sifrelenmistir.
4. Encrypted symmetric key ve encrypted data amaçlanan aliciya saglanir
5. Alici sifrelenmis simetrik anahtar sifresini decrypt etmek çözmek için kendi private key ini özel anahtarini kullanir
6. Encrypted data symmetric key ile decrypt edilir sonuç olarakta alici orjinal dataya ulasir.
Data’nin Digital olarak imzalanmasi
Cryptography ‘nin 3 bölümlü amaci vardir : datayi güvenli tutmak , eger data modifiye edilmisse bunu tanimlamak ve data nin kaynagini kanitlamak
Encryption datayi gizli tutuyor olmasina ve datayi modifikasyondan koruyor olmasina ragmen , sadece digital signing datayi modifikasyondan korumasina ilaveten datanin kaynagini kanitlar.
Digital signing datayi asagidaki sekillerde korur :
¦ digital signing process datanin herhangi bir sekilde modifiye edilip edilmedigini belirlemek için bir hash algorithmasi kullanir.
¦ Bir sonuç mesaj digest’ine uygulanan bir digital signature kimin mesaj digest’ini imzaladigini tanimlar. Bu imzalama userlarin message digest ini imzalamalarini , redddetmelerini engeller keza Mesaj digest ini imzalamak için sadece private keylerini kullanarak access alabilirler
Hash Process
Bir hash algoritmasi bir plaintext dökümani giris olarak alir ve 2 giris için matematiksel bir sonuç üretir. Bu matematiksel sonuç “hash value”, “message digest”, “digest”, ya da “thumbprint” olarak refere edilir. Eger plaintext dökümanda bir karakter degisirse , sonuç message digest ‘inde digitlerinden yarisindan fazlasinda degisim olur.
Örnek olarak , eger sonuç message digest’i 128 bit uzunlugunda ise , original plaintext document de bir karakterlik bir degisimde 64 bitten daha fazla bir degisim olur.
Not Bir hash algoritmasi ile birlikte iki data girisi için ayni digest’i olusturmak teknik anlamda mümkündür .Mümkün olmasina ragmen , matematiksel olarak iki data girisinin ayni digest’i olusturmasi ve anlasilabilir olmasi mümkün görünmez
Hash Algoritmalari
Asagidaki hash algorithmalari bir hash degeri üretmek için genellikle PKI-enabled applications tarafindan kullanilirlar
¦Message Digest 5 (MD5)
Bu algoritma herhangi bir uzunlukta bir mesaji alir ve 128 bitlik bir mesaj digest’i olusturur.
¦Secure Hash Algorithm 1 (SHA1)
Bu algoritma 264 bitlik uzunluktan daha az datayi alir ve 160 bitlik bir mesaj digest’i olusturur.
SHA1 algorithmasi MD5 dan biraz daha yavas olmasina ragmen , SHA1 algoritmasi kullandiginizda ayni hash degerini veren iki veri girisi bulmak daha zor olarak kabul edilir
Not Sadece SHA1 ya da daha yeni hash algoritmalari kullanilmasi önerilmektedir. Bu konuyu daha sonra Cryptography Next Generation (CNG), bölümünde inceleyecegiz.
Asymmetric Signing ve Hash Algoritmalarinin bir araya getirilmesi
Digital signing kullanarak uygulanan bir çok uygulama asymmetric signing ve hash algorithmalarinin bir kombinasyonunu kullanir. Halbuki hash algoritmasi orjinal mesajin herhangi bir yolla modifiye edildigini belirleyen ; bir digital signature un ilavesi resulting digest ‘i modifikasyondan korumasina ve digest in data yaraticisi tarafindan olusturuldugunu kanitlamasini içeren bir mekanizmayi saglar ,
Asagidaki resimde digital signing processinde asymmetric signing ve hash algorithmalarinin etkilesimini gösterir :
Asymmetric signing ve hash algorithmalari ile birlikte Digital signing
1. Data olusturucusu bir plaintext data olusturur
2. Data olusturucusunun software’i bir message digest yaratmak için plaintext message‘i bir hash algoritmasina karsi çalistirir.
3. Digest Data olusturucusunun private key ‘i kullanilarak encrypt edilir.
4. Plaintext message ve encrypted digest artik aliciya gönderilebilir ya da ulasilabilir bir hale getirilebilir.
Not digital signing kullaniyorken , plaintext dataya herhangi bir encryption uygulanmaz . Plaintext modify edilebilir fakat modifikasyon mesaj ile gönderilen encypted digest ‘i geçersiz kilar.
5. Alici recipient encrypted digest’i göndericinin public key’i ile birlikte decrypt eder . Public key’e depolandigi bir yerden ( AD DS gibi ) erisilebilir ya da sign edilmis data public key’i içerebilr.
6. Alici kendi digest messajini yaratmak için gönderici tarafindan gönderilen ayni hash algoritmasini çalistirir . Digest yaraticidan alinan plaintext mesaja karsi yaratilir
7. Iki digest birbiriyle karsilastirilir . Eger digest farkli ise bu durumda mesaj ya da digest iletim esnasinda modifiye edilmisdir.
Kaynak : Windows Server 2008 PKI and Certificate Security