From: LCF (ozan@core.cryptos.net)
Date: Wed 20 Dec 2000 - 09:54:27 EET
On Tue, 19 Dec 2000, Serdar KOYLU wrote:
> Date: Tue, 19 Dec 2000 19:44:05 +0200 (EET)
> From: Serdar KOYLU <skoylu@altavista.com>
> Reply-To: linux@listweb.bilkent.edu.tr
> To: Multiple recipients of list LINUX <linux@listweb.bilkent.edu.tr>
> Subject: [LINUX:23161] Re: SSL ve SSH in sonu geldi mi?
>
> Selamlar..
>
> On Tue, 19 December 2000, LCF wrote:
>
> >
> > Application kisminda hakli olabilirsiniz ama isi network communication
> > kismina gelirsek is 7 layer `in altinda bitiyor.
>
> Evet, cok haklisiniz.. Benim soylemeye calistigim Layer7 altindaki paketlerin gizlilik yonunden daha zayif oldugu. Ethernet kablosundan gecen sinyalleri iyi (ve ozel) bir RF alici ile 3-4 metreden (duvarin disindan) alip isleyebileceginizi soylesem durumu anlarsiniz.
Kesinlikle haklisiniz bunun icin IPv6 ya guveniyoruz:)
>
> > SSL SSH gibi uygulamalar ise matematiksel algoritmalara dayanilarak
> > yapilmistir ssl ve ssh in open source olmasi sizin ilgili C
> > codelarina bakiim himmm buda boyle olmus diye bakmaniz sadece size bu konu ve isleyis
> > konusunda fikir verebilir ama matematiksel olarak strong veya destrong
> > olmasini saglamaz. Sizin dediginiz olaya gelirsek aslinda Temelde kerberos
> > /etc/passwd dosyasi icin kullanilan des md5 gibi algoritmalar ile ssl ssh
> > in kullandigi algoritmalar acisindan algoritma yapisi ve strong olmasi
> > haricinde pek bir fark yoktur bu baglamda mevcut sistemlerin hepsine
> > insecure dememiz gerekir.
>
> Bir noktada evet. Benim uygulama seviyesinden kastim, iyi bilinen network protokollerinden otede algoritma olarak daha karisik ve sadece uygulamaya ozel bir sifreleme metodu getirmek. Ornek olarak bazi kurumlar, ozel bilgilerini 300-500 sayfalik dokumanlarin arasina serpistiriyor. Iste bunun gibi.. Mesela program, fiyatlari ozel bir katsayi ile kullanirsa, bu fiyatlari cozmek son derece zorlasir. Bunun gibi bilginin olusturulmasinin da cok onemli oldugunu unutmamak gerekir. Mesela cumlelerin "edilecegini, gidilecegi, gelinecigi" gibi sonlandirmak bazi crypto algoritmalarinda daha iyi netice verir. Askerler bile bu tur metotlari uygular.
hakilisiniz.
>
> Kestirmeden, onemli bilgilerin saklanmasi sadece matematik formullere birakilacak is degildir. Dummy bilgiler, celdirici ozellikler vs. kullanilmalidir ki, bilgiler daha guvende olsun. Bu suna benzer, 10 tane cephanelik yaparsiniz, ama sadece biri dolu olur. Nobetciler gidip hepsini kontrol eder, fakat onlar bile hangilerinin icinin bos oldugunu bilmez. Eger microsoft, Farkli bir server koyup, basitce asilabilecek bir kac engel koysaydi, servere gereksiz kodlari saklasaydi, buyuk ihtimalle hackerlar bu kodlari bulunca tamam ms'yi fethettik diye sevinirken biyik altindan guleceklerdi. Bunun gibi Layer 7'ninde ustunde onlemler kullanmalisiniz. Ornek:
Zaten Security dediginiz olau sadece IP security den ibaret degildir
Physical security, user relationship security ile IP security birlesirse
onem kazanir logical olarak bicimlenen networkler cok daha guvenli insan
faktoru cok onemli tek basina IP hic bir sey yapamaz bence.. Mevcut
tehditlerin bir kismi bundan kaynaklaniyor bence.
>
> Tum fiyatlari once 10 a carpin. Sonra 7'ye bolun. Ardindan 50 ekleyin. Bundan program habersiz olsun. Dogru kullanici bi formulu bilir, dogru fiyati bulur. Birisi hasbelkader keyi tespit etse bile, bu formulu tespit edemez. Sonucta eger guvenilir elemanlariniz varsa maximum guvenligi elde edersiniz. Tabi bu islemi kredi karti ile alisveris icin yapmaniz cok zor. Bu durumda internet karti gibi onlemlere basvurmaniz lazim.
Cryptographic algoritmalar onemli olan key bulmak degil ayni strong lukta
math acisindan denk bir key uretmekdir tipki pgp deki dh/dss algoritmsi
gibi.
> > Eger bu derece bu sistemlere guveniniz yoksa trusted network olan
> > A+ verified design networkler olusturun
>
> Peki bunu nasil yapabiliriz ? Ilgili dokumanlara nasil ulasabiliriz ?
>
> > Kolay Gelsin
> > -ozan
>
> Guvenlik tedbirleri herzaman yetersizdir. Bu noktada prensip sudur:
>
> Guvenlik yatirimlari korunan seyin maliyetine baglidir. Eger 10 milyon dolar koruyorsaniz, 20 milyon dolarlik guvenlik yatiriminin anlami yoktur.
herseyi para ile yapmak zorunda degilsiniz free olarak yaptiklariniz artik
commercial olarak yaptiklariza cok fazla yaklasmakda. Design ve belirlenen
policy`ler isin finansal kismindan cok daha onemli bence.
>
> Bu konularda benden fersah fersah ilerde olduklarini dusundugum liste sakinlerini (Andreas bey, Sevgili Murat Koc gibi.. ) de okumak ve fikirlerini ogrenmek isterim. Nede olsa benim asil i$tigalim guvenlikten ziyade Layer 0 - 5 arasi ve biraz da programlama..
>
> Saygi ve sevgiler..
>
>
> Find the best deals on the web at AltaVista Shopping!
> http://www.shopping.altavista.com
>
>
> Listeden cikmak icin:
> unsub linux
> mesajini listeci@bilkent.edu.tr adresine gonderiniz.
> Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
> Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
> Liste arsivinin adresi: http://listweb.bilkent.edu.tr/
>
>
------------ Output from pgp ------------
(c) 1999 Network Associates Inc.
Uses the RSAREF(tm) Toolkit, which is copyright RSA Data Security, Inc.
Export of this software may be restricted by the U.S. government.
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/