From: Yusuf Kursat TUNCEL (kursat@ttnet.net.tr)
Date: Tue 19 Dec 2000 - 23:30:59 EET
Serdar KOYLU wrote:
> Evet, cok haklisiniz.. Benim soylemeye calistigim Layer7 altindaki paketlerin gizlilik yonunden daha zayif oldugu. Ethernet kablosundan gecen sinyalleri iyi (ve ozel) bir RF alici ile 3-4 metreden (duvarin disindan) alip isleyebileceginizi soylesem durumu anlarsiniz.
Peki CRT (cathod-ray tube) monitorden yansiyan goruntunun 100m. kadar uzakliktan capture edilebilecegini soylesem ? (Yani ileri teknoloji sirketlerinde LCD monitore bu kadar yatirim yapmasinda bir sebep olsa gerek, zuppelikten degil sadece)
>
> Bir noktada evet. Benim uygulama seviyesinden kastim, iyi bilinen network protokollerinden otede algoritma olarak daha karisik ve sadece uygulamaya ozel bir sifreleme metodu getirmek. Ornek olarak bazi kurumlar, ozel bilgilerini 300-500 sayfalik dokumanlarin arasina serpistiriyor. Iste bunun gibi.. Mesela program, fiyatlari ozel bir katsayi ile kullanirsa, bu fiyatlari cozmek son derece zorlasir. Bunun gibi bilginin olusturulmasinin da cok onemli oldugunu unutmamak gerekir. Mesela cumlelerin "edilecegini, gidilecegi, gelinecigi" gibi sonlandirmak bazi crypto algoritmalarinda daha iyi netice verir. Askerler bile bu tur metotlari uygular.
>
Soylediginiz bu teknik (yani gizli algoritma kullanmak) daha once defalarca denenmis ve sakincasi onaylanmis bir tekniktir. RSA'nin FAQ'sunda bu husus gayet mantikli bir sekilde belirtiliyordu. Cesitli kaynaklardan okudugum kadariyla da buna bir ornek te verilmisti: SIM kartlarin sifreleme algoritmalari. SIM kartlar kopyalanmasi imkansiz olarak lanse edilmistir, cunku icindeki bir takim sifreleme algoritmalari public'e kapalidir, kimsenin ulasilamayacagi varsayilmistir. Ancak, US'teki bir universitede yapilan calisma ile deneme-yanilma yontemiyle bu algoritmayi cozduklerini ve SIM kartin tamamen kopyalanabilecegini ispatlamislar. Tabii bunun icin SIM
kartiniz fiziksel olarak baska birinin elinde gecmesi gerekiyor. Bunu icin de on odemeleri kartlarin SIM'leri gayet uygun imis. Satici, kartlari satmadan once birer kopyalarini yapar, siz network'te degilken (bir sekilde) network'e login olup sizin numaranizdan ve sizin odediginiz parayla konusur.
Benzer kapali algoritma teknigini askeriye de kullaniyor. Kripto cihazi denilen bir cihazi WAN'lara baglanmak icin sart kosuyorlar. Ancak, bu cihaz sakincali bir kisinin eline gecse, algoritmasini cozmek, deneyimli bir kisinin fazla vaktini almaz diye dusunuyorum.
Public key'e dayanan algoritmalarin guvenilirligi (en azindan belirli bir key uzunluguna kadar) pratik olarak kendini isbat etmis durumda. Ancak, Amerika'daki bazi baski gruplarinin superkey'e izin veren bir takim algoritmalar gelisitirlmesi ve bunlarin standartize edilmesine yonelik calismalari da yok degil. Yani, belirli bir superkey'i olan kisi, butun iletisimi gozetleyebilecek sekilde bir sifreleme algoritmasi kullanilmasini istiyorlardi.
>
> Kestirmeden, onemli bilgilerin saklanmasi sadece matematik formullere birakilacak is degildir. Dummy bilgiler, celdirici ozellikler vs. kullanilmalidir ki, bilgiler daha guvende olsun. Bu suna benzer, 10 tane cephanelik yaparsiniz, ama sadece biri dolu olur. Nobetciler gidip hepsini kontrol eder, fakat onlar bile hangilerinin icinin bos oldugunu bilmez. Eger microsoft, Farkli bir server koyup, basitce asilabilecek bir kac engel koysaydi, servere gereksiz kodlari saklasaydi, buyuk ihtimalle hackerlar bu kodlari bulunca tamam ms'yi fethettik diye sevinirken biyik altindan guleceklerdi. Bunun gibi Layer 7'ninde ustunde onlemler kullanmalisiniz. Ornek:
>
Burada sizin fazladan getirdiginiz algoritmanin cost-effective olup olmadigini tesbit etmek lazim. Az asagida guzel bir ornek vermissiniz, $10M korumak icin $20M harcamak. Ozellikle real-time processing'den bahsediyorsak, uygulanacak algoritmanin cok efektif olmasi lazim gelir.
>
> Tum fiyatlari once 10 a carpin. Sonra 7'ye bolun. Ardindan 50 ekleyin. Bundan program habersiz olsun. Dogru kullanici bi formulu bilir, dogru fiyati bulur. Birisi hasbelkader keyi tespit etse bile, bu formulu tespit edemez. Sonucta eger guvenilir elemanlariniz varsa maximum guvenligi elde edersiniz. Tabi bu islemi kredi karti ile alisveris icin yapmaniz cok zor. Bu durumda internet karti gibi onlemlere basvurmaniz lazim.
>
> > Eger bu derece bu sistemlere guveniniz yoksa trusted network olan
> > A+ verified design networkler olusturun
>
> Peki bunu nasil yapabiliriz ? Ilgili dokumanlara nasil ulasabiliriz ?
>
> > Kolay Gelsin
> > -ozan
>
> Guvenlik tedbirleri herzaman yetersizdir. Bu noktada prensip sudur:
>
> Guvenlik yatirimlari korunan seyin maliyetine baglidir. Eger 10 milyon dolar koruyorsaniz, 20 milyon dolarlik guvenlik yatiriminin anlami yoktur.
>
> Bu konularda benden fersah fersah ilerde olduklarini dusundugum liste sakinlerini (Andreas bey, Sevgili Murat Koc gibi.. ) de okumak ve fikirlerini ogrenmek isterim. Nede olsa benim asil i$tigalim guvenlikten ziyade Layer 0 - 5 arasi ve biraz da programlama..
>
> Saygi ve sevgiler..
>
> Find the best deals on the web at AltaVista Shopping!
> http://www.shopping.altavista.com
>
Saygilar
kursat
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/