ISC 2007 İzlenimlerim – 2

Bu yazımda ISC2007 Konferansından aklımda kalan diğer bilgileri sizlerle paylaşacağım. Bahsedeceklerim arasında pdf ile yapılabilecekler, pdf ile imzalama, güncel tehditler, yeni bir biyometrik güvenlik ürünü: avuçiçi okuyucu , usb ile yayılan bir virüsün incelenmesi, ve Aselsan’ın 2 adet şifreleme ürünü var.

Cuma günü oldukça güzel bir sunum yaptı bize Almanya’dan gelen Adobe firması temsilcisi Peter Koerner (burada çeşitli belgeler buldum hazırladığı). Çarpıcı örneklerle başladı sunumuna. İnternette gezinen BMW 3 serisine ait pdf formatında bir elektronik broşür gösterdi. Bu broşür, araba piyasaya çıkmadan bir sene önce internette ve yazılı basında (özellikle araba dergilerinde) dolaşmaya başlamış. Bir diğer örnek ise elektronik bir fatura örneğiydi. Elbette konumuzla ne ilgisi var diyebilirsiniz. Her iki örnek de bütünlük ve kimlik doğrulamanın uygulanmasının gerekliliğini bize gösteren çarpıcı örnekler. Eğer BMW firması elektronik broşürünü piyasaya sürmeden imzalamamışsa o broşürün kendinden geldiğini, veya içeriğin değiştirilmemiş olduğunu ispatlayamaz. Aynı şey fatura için de geçerli tabii ki. İşte bu sorunlar e-imza ile çözülebilir. Tabii ki Adobe firmasından geldiği için pdf formatının inceliklerinden bahsetti. Örneğin “Business Logic” diye bir kavramdan bahsetti. Belgeye kimin, ne zaman ulaşabileceğini belirleyebilmekmiş ki profesyonel iş hayatında oldukça önemli bir yere sahip olduğunu tahmin etmek zor değil. Kısaca e-imzanın bize sağladığı faydaları 3 ana başlık altında toplayabiliriz: Authorization (kimlik doğrulama), Integrity (bütünlük), Non-Repudiation (inkar edememe). Çeşitli imzalama senaryolarından bahsetti pdf ile yapılabilecek. Tek taraflı imzalama (örn: faturalar, hesap durumu bildirimi, antiphishing önlemi), güvenli arşivleme (örn: zaman damgalaması), 2 taraflı imzalama (örn: e-formlar, uygulamalar), çoklu imzalama (örn: onaylamalar, dökümantasyonlar) bunlardan bazıları. Bunlar PDF/A (uzun dönem arşivleme), PDF/X (baskı), PDF/E, PDF 1.7 specification gibi ISO onaylı PDF standartlarına dayanıyormuş ve dolayısıyla dünya çapında kabul ediliyormuş.

Birkaç somut örnek de verdi hem de görselleriyle ama ben burada sadece yazımla anlatmaya çalışacağım. Çoklu imzalama örneği olarak bir form gösterdi, 1. kişi formu dolduruyor ve imzalıyor, daha sonra 2. kişi formu güncelliyor ve tekrar imzalıyor. Formun her iki hali de görülebiliyor. Herhangi bir word dosyasını pdf’ye ekleyebiliyor ve paket halinde imzalayabiliyorsunuz. Ayrıca bir forma dinamik hash (özet) bilgisi de eklenebiliyormuş. Böylece bir kişi formu dolduruyor, sonra hash değerini hesaplıyor ve onu da ekleyip imzalıyor. Böylece alanların içeriğinin de bize doğru olarak ulaşıp ulaşmadığını kontrol edebiliyoruz. Ayrılmadan önce, her zaman aklımızda tutmamız gereken bir kaç öneride bulundu:

• Boş formlarımızı imzalayın.
• Mümkün olduğunca dökümanlarımıza TSP ve OCSP gömün.
• Güvenli arayüz programınızı kullanın.
• Belgelerinizi önce imzalayın sonra şifreleyin.
• Oturum numarası, ya da form alanı hash bilgisi gibi bilgi düzeyinde güvenlik ekleyin.

Konferansın sonlarına doğru ETB firmasından gelen sunucu bize yeni bir biyometrik güvenlik çözümü olan avuçiçi okumadan bahsetti. Parmak izi ile tanımlama yöntemi oldukça yaygın biçimde hatta dizüstü bilgisayarlarda bile kullanılıyor. Hatta parmak izi okuyuculu fare bile yapılmış. Ancak parmak izi okumak için elinizi bir yere değdirmeniz gerekiyor ve bu da zamanla kirlenen yüzey anlamına geliyor ve bu da insanların hoşuna gitmiyormuş. Firma temsilcisi alternatif olarak avuçiçi damar yapısını kullanarak kimlik doğrulama yöntemini önerdi. Aynı kişinin iki elinin damar yapısının farklı olması, tanımanın temsassız olması, elin kirli yağlı olmasının veya yaşlanmanın tanımayı etkilememesi sistemin avantajları. Daha fazla bilgi için buraya bakabilirsiniz.

Son olarak sizlere iki sunumdan daha bahsedeceğim. Deloitte firmasından gelen bir temsilci usb ile yayılan bir virüsün kendisini nasıl kopyaladığını, bilgisayarda neler yaptığını uygulamalı olarak gösterdi. Konferansın temsaıyla doğrudan ilgili olmasa da günümüzde bilgi güvenliğini sağlamanın ne kadar zor olduğunu, biz farkında olmadan bilgisayarda neler döndüğünü göstermek açısından iyi bir sunumdu. Konferanstaki son sunumda ise Aselsan iki adet kripto cihazının tanıtımını yaptı. İlki cep telefonunu kullanarak şifreli konuşmalara olanak tanıyan bir nevi telsizdi. Diğeri ise taşınabilir bellek tarzında bilgisayara usb girişinden bağlanan ve dosyalarımızı şifreleyerek yollamamızı sağlayan bir modüldü. Elbette böyle gelişmeler olduğunu görmek de güzel.

İki gün sabahtan akşama kadar dolu dolu geçen konferanstan aklımda kalanlar ve not alabildiklerim bunlar. Düzenlenen konferansların niteliğinin ve niceliğinin giderek artmasını dilerim ki bana da yazacak bişeyler çıksın :-p

Unutmadan EuroCrypt 2008 İstanbul‘da düzenleniyor. Bilgi güvenliği ve kriptografi ile ilgilenenlerin bu fırsatı kaçırmamasını tavsiye ediyorum.