ebook img

bilgi teknolojilerinde güvenlik ve kriptografi PDF

98 Pages·2006·1.45 MB·Turkish
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview bilgi teknolojilerinde güvenlik ve kriptografi

T.C. EGE ÜNİVERSİTESİ MÜHENDİSLİK FAKÜLTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİ TEKNOLOJİLERİNDE GÜVENLİK VE KRİPTOGRAFİ LİSANS TEZİ HAZIRLAYAN Tahir Emre KALAYCI DANIŞMAN Prof. Dr. Levent TOKER Haziran, 2003 İZMİR T.C. EGE ÜNİVERSİTESİ MÜHENDİSLİK FAKÜLTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİ TEKNOLOJİLERİNDE GÜVENLİK VE KRİPTOGRAFİ LİSANS TEZİ HAZIRLAYAN Tahir Emre KALAYCI DANIŞMAN Prof. Dr. Levent TOKER Haziran, 2003 İZMİR TEŞEKKÜR Tez çalışması sırasında ilgi ve desteğini üzerimden eksik etmeyen tez danışmanım Prof. Dr. Levent TOKER’e teşekkürü bir borç bilirim.Sahip olduğu insani değerlerle bana örnek teşkil eden ve tezde dahil olmak üzere her türlü çalışmamda yakın ilgi gösteren bölümümün tez koordinatörü Yrd. Doç. Dr. Aybars UĞUR’a minnetimi belirtmek isterim. Ayrıca bu tezi hazırlarken gereksinim duyduğum bilgi birikimini bana kazandıran bölümdeki tüm öğretim görevlilerine, arkadaşlarıma ve aileme teşekkür ederim. ÖZET Bu tez çalışmasına, bilgisayar ve ağ sistemlerindeki güvenlik mekanizmalarının işleyişine duyduğum merak sebep olmuştur. Bilimsel çalışmaların kaynağını oluşturan merak beni de bu konuda geniş bir araştırma yapmaya zorlamış oldu. Geleneksel bilgi teknolojileri güvenliğini araştırmaya başlayıp az bilinen ama en çok kullanılan güvenlik mekanizmalarından olan kriptografi araştırmasıyla yoluma devam ettim. Sonuçta tam olarak çalışan bir sistem üzerinde araştırmalarımı test etmeye zamanım yetmese de yaptığım bu çalışmanın bu tip çalışmalara ön ayak olmasını, kaynak teşkil etmesini umduğum bu belgeyi ortayta çıkarabildim. Bu belge içerisinde bilgi teknolojilerinin, bilgilerin güvenliğinin sağlanması için yöntemler, kriptografinin tarihçesi, bilgisayar çağında kriptografinin hızlı gelişimi, önemli algoritmalara örneklerle açıklamaya çalıştım. Belgeyi yazarken amacım olan yeterince algoritma inceleyip bunları anlamaya çalışmam belirgin bir sonuç vermiş olup, iç sayfalarda da göreceğiniz gibi ağırlıklı olarak ikinci bölümden itibaren algoritmalar üzerinden kriptografi tarihçesini anlatmaya çalıştım. Algoritmaların incelenmesi başlı başına bir bölüm olabileceği gibi burada olduğu gibi tarihsel olarak incelenebilir. Bu çalışmanın bu konudaki araştırma eksikliğini bir nebze olsun kapatmasını umduğum gibi gelecek çalışmalara kaynak teşkil etmesini ümit ediyorum. İçindekiler I Şekil Dizini II Teşekkür III Özet IV Önsöz V Giriş VI 1. Bilgi Teknolojileri Güvenliği 1 1.1 Güvenlik Organizasyonu 1 1.1.1 Roller ve Sorumluluklar 1 1.1.2 Süreçler 3 1.1.3 Güvenlik Bilgi Merkezi 4 1.2 Bilginin Sınıflandırılması 5 1.2.1 Elde Edilebilirliğe Göre Sınıflandırma 5 1.2.2 Duyarlılığa Göre Sınıflandırma 6 1.3 Güvenlik Politikaları 7 1.3.1 Tüzel Politika 8 1.3.2 Bilgi Güvenliği Politikası 8 1.3.3 Personel Güvenlik Politikası 9 1.3.4 Bilgisayar ve Ağ Politikası 12 1.4 Fiziksel Güvenlik 13 1.4.1 Binalar 13 1.4.2 Verinin Taşınması 14 1.4.3 Yedeklemeler 14 1.4.4 Diskler 14 1.4.5 Dizüstü Bilgisayarlar 15 1.4.6 Yazıcılar 15 1.4.7 Bilgisayarlar 15 1.4.8 “Temiz Masaüstü” 16 1.5 Güvenlik Mekanizmaları 16 1.5.1 Kriptografi ve Dijital İmzalar 16 1.5.2 Kimlik Doğrulama 18 1.5.3 Erişim Kontrol Listeleri 18 2 Kriptografi Tarihçesi 19 2.1 Kağıt,Kalem Sistemleri 20 2.1.1 Basit Yerine Koyma Yöntemi Kriptoanalizi 21 2.1.2 Yer Değiştirme Yöntemleri 23 2.1.3 Yerine Koyma Yöntemini Geliştirmek 28 2.1.4 Kod Kitapları 42 2.2 Elektriksel ve Mekanik Şifreleme Makineleri 43 2.2.1 Erken Şifreleme Makineleri 43 2.2.2 Rotor Makineleri ve PURPLE Kuzenleri 47 2.2.3 Enigma:Eşsiz Rotor Makinesi 52 2.3 Bilgisayar Çağı 54 2.3.1 LUCIFER:İlk Blok Cipher 54 2.3.2 “Data Encryption Standard” 57 2.3.3 IDEA (“International Data Encryption Algorithm”) 61 2.3.4 Blowfish 64 2.3.5 ICE 66 2.3.6 Johnson Algoritması 67 2.4 128 Bit Çağı:AES (“Advanced Encryption Standard”) 69 2.4.1 Twofish 69 2.4.2 SERPENT 73 2.4.3 RC6 75 2.4.4 MARS 76 2.4.5 Rijndael (AES) 81 2.5 Açık (Bilinen) Anahtar Şifreleme (“Public Key Cryptography”) 85 2.5.1 Modüler Aritmetik 86 2.5.2 RSA (Rivest-Shamir-Adleman) 87 2.5.3 Diffie-Hellman 88 Kaynakça 90 Şekiller Şekil 2.1 Sf. 21 Spartalıların Scytale Yönteminin Kurşun Kalem Üzerinde Uygulanması Şekil 2.2 Sf. 45 Klasik Wheatstone Diski Şekil 2.3 Sf. 51 PURPLE Kablolamasını Gösteren Bir Resim Şekil 2.4 Sf. 51 Enigma’nın Genel Yapısını Şekil 2.5 Sf. 55 LUCIFER’in Bir Turundaki İşlemleri Gösteren Resim Şekil 2.6 Sf. 55 LUCIFER’in S-Box Yapısı Şekil 2.7 Sf. 59 DES’in f Fonksiyon Detayı Şekil 2.8 Sf. 59 DES’in Genel Blok Cipher Yapısı Şekil 2.9 Sf. 62 IDEA Detayı Şekil 2.10 Sf. 63 IDEA Genel Şekil Şekil 2.11 Sf. 66 ICE Şekli Şekil 2.12 Sf. 67 Johnson Algoritmasının Bir Tur Şekli Şekil 2.13 Sf. 74 SERPENT’ten Bir Kesit Şekil 2.14 Sf. 77 MARS’ın Kriptografik Çekirdek İşlemleri Şekil 2.15 Sf. 78 MARS’ın Genel Yapısı Şekil 2.16 Sf. 82 Rijndael’in Bir Turunu Gösteren Şekil 1. BİLGİ TEKNOLOJİSİ GÜVENLİĞİ 1.1 Güvenlik Organizasyonu Bir bilginin güvenliğini sağlamak aşağıdaki işlemleri gerektirmektedir: 1. Güvenlik politika ve stratejilerinin belirlenmesi 2. Politikaların gerçekleştirilmesi:Roller, sorumluluklar ve organizasyon: a. Bilgi Teknolojisi(BT) güvenliği organizasyonu için görev ve stratejilerin açık tanımlarını gerektirir. (Güvenlik roller ve işlem tanımları) b. Kullanıcılar, yöneticiler ve müdürler rol ve sorumluluklarını bilmeli ve haberdar olmalıdır. c. Kullanıcı ve destek personelinin kendi sorumlulukları hakkında bir eğitime ihtiyacı olabilir. 3. Güvenlik mekanizmaları ve kontrolleri güvenliğin yürüyebilmesi için verimli bir şekilde kullanılmalıdır. 4. Belli sistemler için tanımlı açık teknik noktalar ve kontroller elde olmalıdır. 5. Güvence(assurance) (düzenli denetimler, risklerin düzenli olarak gözden geçirilmesi) 1.1.1 Roller ve Sorumluluklar Şirketin büyüklüğüne bağlı olmak üzere roller ve sorumluluklar aşağıdaki şekilde eşlenebilir. Önemli olan nokta sorumluluklarının açık olması ve bu sorumluluğa sahip kişilerin bu sorumluluklarını kolayca yerine getirmeleri gerekmesidir. (örneğin önemli olan bazı kararları almada gerekli olan güç ve tecrübe/bilgiye sahip olmalı ve bunları kullanabilmeli) İdareciler(Executives):Yöneticiler, Üst yöneticiler ve denk olanlar güvenlik stratejilerinden sorumludurlar ve tehlikelere karşı kaynakların aktarılmasını sağlamalıdır. Bu kişiler ayrıca stratejiyi yaymak ve güvenlikten haberdara bir kültür oluşturmakla sorumludurlar. BT Güvenlik Müdürü:Bu kişi güvenlik girişimlerinden sorumludur. Ayrıca BT güvenlik rehberlerini işlemin sahibiyle birlikte hazırlar. Bu kişi güvenliği takip etmeli ve 1 gerekli durumlardan yönetimi bilgilendirmelidir. Risk analizini de yapmalıdır. Bu kişinin güncel güvenlik konularını/sorunlarını/çözümlerini bilmesi önemlidir. Ayrıca çözüm ortağı şirketler ve güvenlik organizasyonları ile eşgüdümü sağlaması da önemlidir. İş Süreci/Veri/İşlem sahibi:Doğrudan doğruya özel bir süreç veya iş parçalarından sorumlu olup üst yönetime raporlar sunar. Kendisinin sorumlu olduğu verinin güvenliği ile ilgili rehberler/süreçler hazırlar ve güvenlik başarısızlıklarının etkilerini analiz eder. Denetimde bir etkisi yoktur. Sistem Sağlayıcı(Supplier):Sistemi kurar ve bakımını yapar. İki tarafında sorumluluklarını ve rollerini belirleyen servis antlaşması olmalıdır. Bu kişi dışarıdaki şirketlerden biri veya şirket içinden biri olabilir. Bu kişi güvenlik mekanizmalarının doğru kullanımından sorumludur. Sistem Tasarımcısı:Sistemi tasarlayan kişi olarak sistemin güvenle kullanılabilmesi için anahtar bir rolü vardır. Yeni geliştirilen projelerde güvenlik gereksinimlerini erken aşamalarda gözden geçirmelidir. Proje Liderleri:Güvenlik rehberlerinin projelerde uygulandığından emin olmalıdır. Hizmet Müdürleri:Personellerinin tam olarak güvenlik politikalarından haberdar olmalarından ve politikalarla çelişen amaçlar içermemelerinden sorumludur. Bu kişi politikaların yapılmasını zorlar ve olağan ilerlemeden sorumludur. Kullanıcılar:Kullanıcılar veya “bilgi işleyiciler/operatörleri” kendi hareketlerinden sorumludurlar. Güvenlik politikalarının farkında olmalıdırlar. Ayrıca yaptıkları hareketlerinin sonuçlarını anlamalı buna göre hareket etmelidirler. İstedikleri gibi kullanabilecekleri güvenlik mekanizmaları vardır. Ve bunlarla güvenlik düzeyini aşmamak üzere diledikleri gibi uğraşabilirler. Kullanıcılar sınıflandırılmamış gizli bilgi aldıkları zaman bu bilgiyi sınıflandırmadan ve dağıtmadan sorumludurlar. Denetleyici:İçeriden yada dışarıdan olabilecek bağımsız bir kişidir. BT güvenliğinin durumunu kontrol ve takip eder, hesaplar kayıtlarının geçerliliğini kontrol eder. Bu kişinin bağımsız olması, güvenlik yönetiminden olmaması önemlidir. Genellikle dışarıdan getirilen danışmanlar politikalar, süreçler, organizasyon ve mekanizmalar hakkında daha objektif bir bakış açısıyla değerlendirme yapabilirler. 2

Description:
(ASCII, Baudot, Mors Alfabesi, vb.) VIC Cipher:VIC da 77651 olsun. İlk basamak belirteç gruptan tarihin ilk 5 rakamının rakam rakam Giriş byte'ı en önemli(“most significant”) ve en önemsiz(“least significant”) parçaları A ve B ye
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.