ABD ŞİFRELEME ALGORİTMALARI İHRACAT KISITLAMARI

1. GİRİŞ

Teknolojinin her alanını kullandığımız iletişim dünyasında verilerin iletilmesinin yanı sıra verilerin güvenli bir şekilde iletilmesi için iletim esnasındaki gizlilik çok önem taşımaktadır. İletilmek istenen bilgilerin bir başkası tarafından kolayca erişilmemesi için şifreleme yöntemlerine başvurulmaktadır. Bu şifreleme yöntemine kriptoloji denilmektedir. Kriptoloji, cruptos (gizli) ve logos (bilim) kelimelerinin birleşiminden oluşmuştur ve kelime anlamı olarak gizleme bilimi manasına gelmektedir (Yerlikaya, 2006). Kriptolojide orijinal metne, düz metin (plaintext), şifrelenmiş metne ise şifreli metin (ciphertext) denilmektedir (Kodaz ve Botsali, 2010). Düz metnin içeriğini saklamak için şifreleme (encryption) işleminin yapılması gerekmektedir (Fındık, 2004). Bu sayede metnin içindeki bilgi başkalarının anlayamayacağı hale gelmektedir. Şifrelenmiş metni okuyacak olan kişilerin elinde şifreyi çözecek anahtar bulunmalıdır. Bu anahtar sayesinde şifrelenmiş olan metin düz metne çevrilmektedir. Bu işleme şifre çözme (decryption) işlemi denilmektedir (Fındık, 2004). Şekil 1’de şifreleme ve şifre çözme adımları gösterilmiştir.

2. ŞİFRELEME ALGORİTMALARI

Modern şifreleme algoritmaları, kısa ve oldukça karmaşıktır. Günümüzde bankacılık işlemleri başta olmak üzere neredeyse bütün kritik alanlarda kullanılırlar. Temelde ise Simetrik Şifreleme ve Asitmerik Şifreleme olarak ikiye ayrılır.

2.1 SİMETRİK ŞİFRELEME (GİZLİ ANAHTARLI ŞİFRELEME)

Gizli anahtarlı şifreleme yönteminde, ortada bir adet anahtar bulunur. Bu anahtar açık metni şifreler ve şifreli metni açık metine çevirir. Burada önemli olan anahtarın güvenliğidir. Eğer gizli anahtar başkalarının eline geçerse tüm şifrelenmiş metinleri kolaylıkla çözebilir. DES (DATA ENCRYPTİON STANDART) IBM tarafından geliştirilen DES, Dünyada en çok kullanılan simetrik şifreleme algoritmlarından birisidir. Blok şifreleme kullanan DES, işlem sırasında 64 bitlik veriyi 56 bitlik anahtar kullanarak şifreler. Anahtar uzunluğunun kısa olması nedeniyle 2000 li yılların başında kırılmıştır. Bunun üzerine Triple-DES, yani 3DES olarak geliştirilmiştir. 3DES, DES in üst üste 3 kere kullanılmasıdır. Yani normal DES’e göre 3 kat yavaştır ama günümüzde SSH gibi uygulamalarda kullanılır. AES’in çıkması üzerine DES popülerliğini kaybetmiştir. Zaten AES’e göre 6 kat daha yavaştır. AES (ADVANCED ENCRPTİON STANDART) DES kırıldıktan sonra yeni bir arayışa girilmiş ve 2001 yılında AES simetrik şifreleme algoritması oluşturulmuştur. DES’in zayıf yönleri kuvvetlendirilmiştir halidir ve blok şifreleme algoritmasını kullanır. AES’e göre 6 kat daha hızlıdır. Uzunluk olarak 128, 192 ve 256 bit anahtarları destekler. Günümüzde de en popüler algoritmalardan birisidir ve brute force saldırılarına karşı dayanıklı olduğu düşünülmektedir. BLOWFİSH Ücretsiz olmasıyla bir anda popüler olan Blowfish algoritması, piyasadaki en hızlı şifreleyicilerden birisidir ve karmaşık anahtar çizelgesi kullanarak kırılmasını zorlaştırır. Blowfish, 23 den 448 bite kadar anahtar uzunluklarına sahiptir. Çalışabilmesi için en az 4 kb RAM’a ihtiyaç duyar ki buda onu gömülü sistemlerde kullanılamaz hale getirir. TWOFİSH AES kadar hızlı olan Twofish algoritması, DES gibi Feistal yapısını kullanır ama DES’ten farklı olarak anahtar aracılığıyla S-box lara sahip olmasıdır. Metinleri 32 bitlik parçalara ayırarak işleme sokar ve blok algoritması olarak çalışır. Şifreleme ve deşifreleme algoritmalarının farklı olması uygulamaları %5 daha yavaşlatıp maaliyeti artırmıştır IRON Feistel yapısını kullanan IRON, 64 bitlik veri bloklarını 128 bit anahtarla şifreler ve 16 ile 32 döngü sayısında çalışır. Bu algoritmanın avantajı, bitler yerine 16-tabanındaki sayılarda kullanılması, dezavantajı ise yazılım için tasarlanmış olmasıdır.

2.2 ASİMETRİK ŞİFRELEME (AÇIK ANAHTARLI ŞİFRELEME)

Simetrik Şifrelemedeki anahtarın zor olması, güvenlik probleminin ortaya çıkması ve anahtarın dağıtımıyla başa çıkılamaması nedeniyle açık anahtarlı şifreleme, yani simetrik olmayan şifreleme ortaya çıkmıştır.Açık anahtarlı şifrelemede, kişilerin hem gizli anahtarı hem de herkese verdiği ortak anahtarı vardır. Kişi karşısındaki kişiye bir mesaj göndermek istediğinde karşısındaki kişinin ortak anahtarı ile metini şifreler. Bu mesajı sadece karşıdaki kişinin gizli anahtarı açabilir. Böylece sadece 2 anahtar milyonlarca kişinin şifreli mesajlaşmasında bile yeterli olmaktadır. (İsterse ömür boyuda aynı anahtarlar kullanılabilir).En sık kullanılan Asimetrik Algoritmalar ise aşağıda açıklanan algoritmalardır. DH (DİFFİE-HELMAN) İlk asimetrik şifreleme algoritması olarak karşımıza çıkar. Asıl amacı simetrik şifrelemede kullanılacak olan gizli anahtarın taraflara gizli ve güvenli bir şekilde iletilmesini sağlamaktır. Bunun için bu gizli anahtarı karşı tarafa asimetrik şifreleme yaparak iletir. RSA (RİVEST-SHAMİR-ADLEMAN) Üç bilim adamının baş harflerinden oluşan RSA, dijital imzalama içinde kullanılmaktadır. Güvenilirliği, çok büyük asal sayıların işlem yapma zorluğuna dayanan bir algoritmadır. Günümüzde bankacılık sistemleri ve ticari sistemlerde öncelikli tercih edilen şifreleme tekniğidir. Bu büyük sayılar nedeniyle oldukça güvenilirdir ama işlemler yavaştır. Bu nedenle fazla bant genişliği harcaması yüzünden kablosuz ağ sistemlerinde kullanılması bazı sorunlara yol açabilir. EL GAMAL Diffie-Hellman anahtar alışverişine dayanan bir açık anahtarlı şifreleme yöntemidir. Anahtar üretimi ve şifreleme/açma olarak iki aşamadan oluşur. Matematiksel zorluk olarak dairesel gruplar üzerindeki ayrık logaritmalara dayanır. MERKLE-HELLMAN RSA asimetrik şifreleme sisteminden farkı şifreleme işleminin tek yönlü çalışmasıdır. Açık anahtar sadece şifreleme yaparken, gizli anahtar sadece şifre çözme işlemini gerçekleştirir. Bu nedenlede Dijital İmzalama için kullanılamaz. Düşünce olarak RSA dan daha basit ve zekice olmasına rağmen kırılmıştır.

3.İTHALAT / İHRACAT KISITLAMALARI

Dünyanın birçok ülkesinde yasal düzenlemeler, uygulayıcılara bazen gerekli izleme vb.durumlar için telefon dinleme yapma gibi yasal hak vermektedir. Kolluk kuvvetlerine bir konuşmayı izleme konusunda yasal hak tanınmış olsa da bu girişimlerinin şifreleme sistemleri tarafından bozulma/engellenme durumu ortaya çıkmaktadır.Kriptografinin başarıları nedeniyle, birçok ülke kriptosistemlerin ve ilgili kriptografik donanımların ithalatını ve / veya ihracatını sınırlandırmıştır. Bazı durumlarda, Çin, Rusya, Irak, İran gibi ülkeler vatandaşlarının istihbarat teşkilatlarının çözümleyemeyeceği kripto sistemlere erişmemelerini tercih etmekte ve bu nedenden kaynaklı kriptografik teknolojilere ithalat kısıtlamaları getirmeye çalışmaktadırlar. Türkiye’de de Kamu Kurum ve Kuruluşları ile Gerçek ve Tüzel Kişilerin Elektronik Haberleşme Hizmeti İçinde Kodlu veya Kriptolu Haberleşme Yapma Usul ve Esasları Hakkındaki Yönetmelik ile bir takım hukuki kurallar tanımlanmıştır. Bazı ülkeler, ithalat kontrollerine ek olarak, düşman ülkelerin gelişmiş şifreleme özelliklerine sahip olmasını önlemek amacıyla da kriptografik teknolojinin belirli ülkelere ihracatını yasaklamaktadır. Etkili bir şekilde, kriptografi daha geleneksel bir silahmış gibi ele alınarak uluslar bu sistemlerin/yapıların yayılmasını sınırlamak isteyebilmektedir. Soğuk savaş sırasında, CoCom (Coordinating Committee for Multilateral Export Controls) tarafından, birçok komünist ülkeye şifreleme içeren belirli teknolojileri ihraç etmemek için çok uluslu bir anlaşma yapılmıştır. Soğuk savaştan sonra, Wassenaar Düzenlemesi ihracat kontrolleri için standart haline gelmiştir. Bu çok uluslu anlaşma, eski CoCom’dan çok daha az kısıtlayıcı olması ile birlikte yine de Wassenaar Düzenlemesi’ne dahil olmayan ülkelere kriptografik algoritmaların ve teknolojilerin ihracatında önemli kısıtlamalar getirmiştir. Wassenaar Düzenlemesi, geleneksel silahların ve çift kullanımlı (sivil veya askeri amaçlı) mal ve teknolojilerin transferinde şeffaflığı ve daha fazla sorumluluğu teşvik ederek, birikimlerin istikrarsızlaşmasını önleyerek bölgesel ve uluslararası güvenlik ve istikrara katkıda bulunmak amacıyla kurulmuştur. Wassenaar Düzenlemesinin katılımcı devletleri şu şekildedir: Arjantin, Avustralya, Avusturya, Belçika, Bulgaristan, Kanada, Hırvatistan, Çek Cumhuriyeti, Danimarka, Estonya, Finlandiya, Fransa, Almanya, Yunanistan, Macaristan, İrlanda, İtalya, Japonya, Letonya, Litvanya, Lüksemburg, Malta, Meksika, Hollanda, Yeni Zelanda, Norveç, Polonya, Portekiz, Kore Cumhuriyeti, Romanya, Rusya Federasyonu, Slovakya, Slovenya, Güney Afrika, İspanya, İsveç, İsviçre, Türkiye, Ukrayna, İngiltere ve ABD.

3.1 ABD ŞİFRELEME ALGORİTMALARI İHRACAT KISITLAMARI

Amerika Birleşik Devletleri’nden kriptografik teknoloji ve cihazların ihracatı, 1992 yılına kadar ABD yasaları tarafından ciddi şekilde kısıtlandı . Yasa, 2000 yılına kadar kademeli olarak hafifletildi, ancak bugün hala bazı kısıtlamalar var. II.Dünya Savaşı’ndan bu yana , ABD ve NATO müttefikleri de dahil olmak üzere birçok hükümet, ulusal güvenlik nedenleriyle kriptografi ihracatını düzenledi ve 1992'nin sonlarında kriptografi, Yardımcı Askeri Teçhizat olarak ABD Mühimmat Listesindeydi .Bu kapsamdan önce, ülke dışındaki askeri uygulamalarla yeni bilgi, teknoloji ve ürünlerin uygunsuz bir şekilde aktarılması hakkındaki endişeler, 1970’lerin sonunda seçilen teknoloji ve ürünlerin ihracatını kontrol eden iki kanunun kabul edilmesine yol açmıştır. Bunlar; International Traffic In Arms Regulations (ITAR): Temel olarak savunmaya yönelik yapılar/hizmetler ve ithalat/ihracat işlemlerini kontrol edilmesi şeklinde belirtilen maddeler ile ABD Mühimmat Listesini (22 CFR Bölüm 120–121) oluşturulmuş ve ABD Dışişleri Bakanlığı Savunma Ticareti Kontrolleri Ofisi aracılığıyla düzenlenmiştir. Bu kısımda yayımlanan listelerde bulunan ve tanımsal ifadesi “herhangi bir öğe veya teknik veri (herhangi bir fiziksel formda, modelde, makette veya teknik verileri gösteren diğer öğelerde kaydedilmiş veya saklanmış)” olan, ITAR kapsamında kontrol edilmesi beyan edilen 21 madde mevcuttur. Bu kategoriden 19 tanesi bilgi güvenliği uzmanları tarafından özellikle de havacılık ve savunma endüstrilerinde, bilgisayarla ilgili teknolojilerin ve bilgi hizmet teknolojilerinin potansiyel yan uygulamaları olarak uluslararası düzenlemelerde göz önüne alınması gereken maddelerdir. Export Administration Regulations (EAR): İhracat Yönetim Mevzuatı (EAR) 1979 tarihli İdare Yasası, askeri uygulamalara sahip sivil mal ve teknolojilerin (ekipman, malzeme, yazılım ve teknoloji, veri ve know-how dahil) ihracatını düzenlemeye izin vermiştir. Bu tür kontroller geçici olabilme durumu mevcut olup ve zaman aşımına uğrayabilmektedir. Yukarıda belirtilen maddeler ABD Ticaret Kontrol Listesi’ni (15 CFR Bölüm 774 2) oluşturur ve ABD Ticaret Bakanlığı, Sanayi ve Güvenlik Bürosu aracılığıyla düzenlenir. Bildirilen 9 kategori içerisinden bilgi güvenliği uzmanlarını ilgilendiren kategoriler aşağıdaki şekilde belirtilebilir. · Kategori 4 — Bilgisayarlar · Kategori 5 Bölüm 1 — Telekomünikasyon · Kategori 5 Bölüm 2 — Bilgi Güvenliği Önceki ABD ihracat kısıtlamaları büyük ölçüde gevşetilmiş olsa da halen kriptografik teknolojilerin dağıtımının yasadışı kabul edildiği ülkeler mevcuttur. ABD’nin şifreleme teknolojisi ihracatını yasakladığı ülkeler zamanla değişmekte olup, tipik olarak ülkenin çıkarları için önemli bir tehdit oluşturduğu düşünülen ülkeleri içermektedir. ABD ülke çıkarlarına politik olarak düşmanca kabul edilen belirli ülkelere yapılan ihracatın sınırlandırılmasında tek olmayıp benzer yöntemi takip eden ülkeler de bulunmaktadır.

3.2 SOĞUK SAVAŞ DÖNEMİ

Soğuk Savaş’ın ilk günlerinde, ABD ve müttefikleri , çok çeşitli Batı teknolojisinin başkalarının, özellikle de Doğu bloğunun eline geçmesini önlemek için tasarlanmış ayrıntılı bir dizi ihracat kontrol düzenlemesi geliştirdiler . ‘Kritik’ olarak sınıflandırılan tüm teknoloji ihracatı bir lisans gerektiriyordu. CoCom , Batı ihracat kontrollerini koordine etmek için düzenlendi. İki tür teknoloji korundu: yalnızca savaş silahlarıyla ilişkili teknoloji (“mühimmat”) ve ticari uygulamaları da olan ikili kullanım teknolojisi. ABD’de ikili kullanım teknolojisi ihracatı Ticaret Bakanlığı tarafından kontrol edilirken, mühimmat Dışişleri Bakanlığı tarafından kontrol ediliyordu . İkinci Dünya Savaşından hemen sonraki dönemde kriptografi pazarı neredeyse tamamen askeri olduğundan, şifreleme teknolojisi (teknikler, ekipman ve bilgisayarlar önemli hale geldikten sonra kripto yazılımı) “Kategori XI — Çeşitli Makaleler” ve daha sonra “Kategori XIII” olarak dahil edildi. — 17 Kasım 1954'te Birleşik Devletler Mühimmat Listesi’ne eklenen Yardımcı Askeri Teçhizat “maddesi . Soğuk savaş bölünmesinin Batı tarafında kriptografi ihracatının çok uluslu kontrolü, CoCom mekanizmaları aracılığıyla yapıldı. Ancak 1960'larda finans kuruluşları, hızla büyüyen kablolu para transferi alanında güçlü ticari şifrelemeye ihtiyaç duymaya başladı. ABD Hükümeti’nin 1975'te Veri Şifreleme Standardını uygulamaya koyması, yüksek kaliteli şifrelemenin ticari kullanımlarının yaygın hale geleceği ve ihracat kontrolünde ciddi sorunların ortaya çıkmaya başladığı anlamına geliyordu. Genellikle bunlar, IBM gibi bilgisayar üreticileri ve büyük kurumsal müşterileri tarafından getirilen, duruma göre ihracat lisansı talep işlemleri yoluyla ele alındı

3.3. BİLGİSAYAR DÖNEMİ

Şifreleme dışa aktarım kontrolleri, kişisel bilgisayarın piyasaya sürülmesiyle kamuoyunu ilgilendiren bir konu haline geldi . Phil Zimmermann ‘ın PGP şifreleme ve üzerindeki dağılımı Internet şifreleme ihracat üzerindeki denetimlere bireysel düzeyde ‘meydan 1991 yılında ilk büyük oldu.’ 1990'larda elektronik ticaretin büyümesi, kısıtlamaların azaltılması için ek baskı yarattı. VideoCipher II ayrıca uydu TV sesini karıştırmak için DES kullandı. 1989'da, şifrelemesiz kriptografi kullanımı (erişim kontrolü ve mesaj kimlik doğrulaması gibi) bir Emtia Yetkisi ile ihracat kontrolünden kaldırıldı. [1] 1992'de, kriptografinin (ve uydu TV kod çözücülerinin) şifrelemesiz kullanımı için USML’ye resmi olarak bir istisna eklendi ve NSA ile Yazılım Yayıncıları Derneği arasındaki bir anlaşma , 40 bitlik RC2 ve RC4 şifrelemesini bir Emtia kullanılarak kolayca dışa aktarılabilir hale getirdi Özel “7 günlük” ve “15 günlük” inceleme süreçlerine sahip yargı alanı (kontrolü Dışişleri Bakanlığından Ticaret Departmanına devretti). Bu aşamada Batılı hükümetler, şifreleme söz konusu olduğunda pratikte bölünmüş bir kişiliğe sahipti; Politika, yalnızca ‘düşmanlarının’ sır elde etmesini engellemekle ilgilenen askeri kriptanalistler tarafından yapıldı, ancak bu politika daha sonra işi endüstriyi desteklemek olan yetkililer tarafından ticarete iletildi. Kısa süre sonra, Netscape ‘in SSL teknolojisi yaygın kullanarak kredi kartı işlemleri korumak için bir yöntem olarak kabul edilmiştir açık anahtar şifreleme . Netscape, web tarayıcısının iki sürümünü geliştirdi . “ABD sürümü” , tam boyutlu simetrik anahtarlar (gizli anahtarlar) (SSL 3.0 ve TLS 1.0’da 128-bit RC4 veya 3DES) ile birlikte tam boyutlu (tipik olarak 1024 bit veya daha büyük) RSA genel anahtarlarını destekledi. “International Edition” ın etkin anahtar uzunlukları sırasıyla 512 bit ve 40 bite düşürüldü ( RSA_EXPORT ile 40 bitlik RC2 veya SSL 3.0 ve TLS 1.0'da RC4). ‘ABD yerel’ sürümünü edinmenin, ABD’de bile çoğu bilgisayar kullanıcısının, zayıf 40 bit şifrelemesinin şu anda tek bir cihaz kullanılarak birkaç gün içinde kırılabilen ‘Uluslararası’ sürümle sonuçlanmasına yetecek kadar güçlük olduğu ortaya çıktı. bilgisayar. Lotus Notes’ta da aynı nedenlerle benzer bir durum meydana geldi .

3.4 MEVCUT DURUM

2009 itibariyle, ABD’den yapılan askeri olmayan kriptografi ihracatı, Ticaret Bakanlığı’nın Sanayi ve Güvenlik Bürosu tarafından kontrol edilmektedir . Kitle pazar ürünleri için bile, özellikle “ haydut devletlere “ ve terör örgütlerine ihracatla ilgili olarak, bazı kısıtlamalar hala mevcuttur . Askeri şifreleme ekipmanı, TEMPEST onaylı elektronik cihazlar, özel kriptografik yazılım ve hatta kriptografik danışmanlık hizmetleri hala bir ihracat lisansı gerektirmektedir (s. 6–7). Ayrıca, “64 biti aşan şifrelemeye sahip kitlesel pazar şifreleme ürünleri, yazılımı ve bileşenlerinin” ihracatı için BIS ile şifreleme kaydı gereklidir (75 FR 36494 ). Buna ek olarak, diğer öğeler, çoğu ülkeye ihraç edilmeden önce BIS tarafından bir defalık gözden geçirme veya BIS’ye bildirimde bulunulmasını gerektirir. Örneğin, açık kaynak kodlu kriptografik yazılım İnternette herkese açık hale getirilmeden önce BIS bilgilendirilmelidir, ancak inceleme gerekmemektedir. İhracat düzenlemeleri 1996 öncesi standartlara göre gevşetildi, ancak yine de karmaşık. Diğer ülkelerde, özellikle Wassenaar Düzenlemesine katılanlar da benzer kısıtlamalara sahiptir.

KAYNAKÇA

• Web Güvenliğinde SSL/TLS Kriptografik Protokolü: Açıklıklar, Saldırılar ve Güvenlik Önlemleri
• -Ahmet Çakmak İstanbul Şehir Üniversitesi Fen Bilimleri Enstitüsü Kodaz H. Veri İletiminde Güvenlik İçin Şifreleme,
• Selçuk Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 2002.
• Yerlikaya T, Buluş E, Buluş N. Asimetrik Şifreleme Algoritmalarında Anahtar Değişim Sistemleri, Akademik Bilişim 2006 (Ab2006), 9–11 Şubat 2006, Denizli.
• https://www.sasad.org.tr/uploaded/Siber-Guvenlik-ve-Savunma-Standartlar-ve-UygulamalarSiber-Guvenlik-Cilt-3.pdf https://www.amazon.com/CISSP-Study-Guide-Eric-Conrad/dp/0128024372 http://sutod.selcuk.edu.tr/sutod/article/viewFile/120/601