Kriptografi nedir?

Kriptografinin temelleri, askeri yetkililerle siyasi yetkililer arasındaki hassas bilgi alışverişine dayanır. Mesajlar, amaçlanan alıcı dışındaki herkese rastgele metinler olarak görünecek şekilde şifrelenebiliyordu.

Günümüzde, şifrelemeye ilişkin orijinal teknikler tamamen çözüldü. Öyle ki, artık bu şifreler yalnızca bazı gazetelerin bulmaca bölümlerinde bulunabiliyor. Neyse ki, bu alanda güvenlik açısından önemli gelişmeler kaydedildi. Günümüzde kullanılan algoritmalar, güvenli olmaları için titiz analizlere ve matematiğe güveniyor.

Güvenlik teknolojileri geliştikçe, kriptografi alanı da daha kapsamlı güvenlik hedefleri içerecek şekilde genişledi. Bunlara ileti kimlik doğrulama, veri bütünlüğü, güvenli hesaplama ve daha fazlası dahildir.

Kriptografi modern toplumun temelinde yer alır. Güvenli Hiper Metin Aktarım İletişim Protokolü (HTTPS) aracılığıyla gerçekleştirilen sayısız internet uygulamasının, güvenli metin ve ses iletişiminin ve hatta dijital para birimlerinin temelini oluşturur.

Simetrik anahtar kriptografik algoritmaları, hem düz metnin şifrelenmesinde hem de şifreli metnin şifresinin çözülmesinde aynı kriptografik anahtarları kullanır. Simetrik şifreleme, tüm amaçlanan alıcıların paylaşılan bir anahtara erişimi olmasını gerektirir.

Aşağıdaki görseller, tüm tarafların aynı anahtarı paylaştığı varsayılarak, şifreleme ve şifre çözmenin simetrik anahtarlar ve algoritmalarla nasıl çalıştığını göstermektedir.

Birinci görselde, bir düz metin iletisini şifreli metne dönüştürmek için bir simetrik anahtar ve algoritma kullanılmaktadır. İkinci görsel, şifreli metni düz metne çevirmek için kullanılan aynı gizli anahtarı ve simetrik algoritmayı göstermektedir.                

En popüler blok şifrelerinden biri Gelişmiş Şifreleme Standardı'dır (AES). Bu blok şifreleme 128-, 192- veya 256-bit anahtarları destekler. AES sıklıkla Galois/Sayaç Modu (GCM) ile birleştirilir ve kimlik doğrulamalı bir şifreleme algoritması oluşturacak şekilde AES-GCM olarak bilinir.

AES, dünya çapında gerçekleştirilen şifreleme için sektör standardıdır. Güvenliği iyi anlaşılmıştır ve verimli yazılım/donanım uygulamaları yaygın olarak kullanılmaktadır.

RSA-OAEP gibi genel anahtar algoritmaları simetrik benzerlerinden daha düşük verimliliğe sahip olduğundan, doğrudan veri şifrelemek için yaygın olarak kullanılmaz. Ancak, anahtar alışverişi için bir araç temin ederek kriptografik ekosistemde önemli bir rol oynarlar.

Simetrik şifrelemeyi kullanabilmek için tarafların bir anahtar paylaşması gerekir. Bu anahtar mevcut bir şifreli kanal üzerinden gönderilebilse de halihazırda güvenli bir kanalımız olduğu takdirde yeni bir anahtara ihtiyacımız olmazdı. Bunun yerine, anahtar alışverişi problemini genel anahtar kriptografisini kullanarak çözüyoruz.

Simetrik anahtar alışverişine ilişkin iki yaygın yöntem aşağıda verilmiştir.

• Asimetrik şifreleme. Bir taraf simetrik bir anahtar üretir, ardından başka bir tarafın genel anahtarına ait RSA-OAEP gibi bir algoritma kullanarak anahtarı şifreler. Alıcı, simetrik anahtarı kurtarmak amacıyla, şifreli metnin şifresini kendi özel anahtarını kullanarak çözebilir.
• Diffie-Hellman Anahtar Alışverişi - (DH). Diffie-Hellman, güvenli bir kanalın yokluğunda tarafların bir simetrik anahtar üzerinde mutabık kalmasına yardımcı olmak üzere özel olarak tasarlanmış farklı bir genel anahtar kriptografik algoritması türüdür. Diffie-Hellman, RSA fonksiyonundan farklı bir matematiksel probleme dayalıdır ve RSA kadar esnek değildir. Ancak, daha verimli yapıları bulunduğundan bu fonksiyonlar bazı kullanım örneklerinde tercih edilir.

Anahtar alışverişi için genel anahtar kriptografisi ve toplu veri şifreleme için simetrik şifreleme kombinasyonu, hibrit şifreleme olarak bilinmektedir.

Hibrit şifreleme, güvenilir olmayan bir kanal üzerinden simetrik şifrelemenin verimliliğiyle gizli bilgi alışverişi için genel anahtar kriptografisinin benzersiz özelliklerini kullanır. Bu, veri gizliliği için pratik bir uçtan uca çözüm sağlar.

Hibrit şifreleme, Aktarım Katmanı Güvenliği (TLS) gibi web için veri aktarım protokollerinde geniş ölçüde kullanılır. HTTPS (TLS ile güvenli HTTP) kullanan bir web sitesine bağlandığınızda, tarayıcınız bağlantınızı güvenli hale getiren kriptografik algoritmalarda anlaşacaktır. Bunlara anahtar alışverişi, simetrik şifreleme ve dijital imzalar için algoritmalar dahildir.

İleti doğrulama kodu (MAC), bir dijital imzanın simetrik versiyonudur. Bir MAC ile, iki veya daha fazla taraf bir anahtarı paylaşabilir. Bir taraf, dijital imzanın simetrik bir versiyonu olan bir MAC etiketi oluşturur ve bunu belgeye ekler. Başka bir taraf, etiketi oluşturmak için kullanılan anahtarın aynısını kullanarak iletinin bütünlüğünü doğrulayabilir.

Birden çok tarafın MAC etiketlerini oluşturmak için kullanılan anahtarı paylaştığını unutmayın. Böylece MAC'ler, etiketi hangi tarafın oluşturduğu net olmadığından kimlik doğrulama ve reddi önleme için kullanılamaz.

MAC'ler, özetleme fonksiyonu temelli ileti kimlik doğrulama kodu (HMAC) gibi tek başına algoritmalar olabilir. Ancak, ileti bütünlüğü neredeyse her zaman değerli bir güvence olduğundan, sıklıkla AES-GCM gibi simetrik şifreleme algoritmalarına entegre edilir.

Eliptik eğri kriptografisi (ECC), eliptik eğrilerin matematiksel teorisine dayalı bir genel anahtar kriptografi tekniğidir.

ECC'nin en büyük avantajı, daha geleneksel tekniklerin sağladığıyla benzer düzeyde bir korumayı daha küçük anahtarlar ve daha hızlı operasyonlarla sağlayabilmesidir. Verimliliği ECC'yi, mobil telefonlar gibi nispeten düşük hesaplama gücüne sahip cihazlarda kullanım için uygun kılar.

ECC, bir Diffie-Hellman (ECDH) eliptik eğri varyantı aracılığıyla verimli anahtar alışverişi için ya da Eliptik Eğri Dijital İmza Algoritması (ECDSA) aracılığıyla dijital imzalar için kullanılabilir. Hızı ve esnekliği nedeniyle ECC, internet genelinde pek çok uygulama dahilinde yaygın olarak kullanılıyor.

Geçtiğimiz birkaç on yıl süresince kuantum hesaplamaya ciddi yatırım yapıldı. Kuantum bilgisayarlar kuantum fiziğini kullanırlar ve klasik bilgisayarlar için hesaplama açısından olanaksız olan, çarpanlara ayırma gibi matematik problemlerini çözebilirler.

Geniş ölçekli bir kuantum bilgisayar, Rivest-Shamir-Adleman (RSA) fonksiyonlarına dayalı şifre sistemleri dahil olmak üzere günümüzde kullandığımız genel anahtarlı şifre sistemlerini çözecektir. Bu algoritmaların çözülmesi, günümüzde kullandığımız birçok uygulama ve protokolün gizliliği ve kimlik doğrulamasının kaybı anlamına gelir.

Günümüzde küçük kuantum bilgisayarlar bulunsa da bunlar kriptografik algoritmaları çözmek için aşırı küçüktür. Kriptografik olarak alakalı bir kuantum bilgisayarın (CRQC) kullanıma sunulup sunulmayacağı veya ne zaman kullanıma sunulacağı henüz bilinmemektedir. Bir CRQC'nin geliştirilmesi için gerekli olan önemli bilimsel atılımlar gerçekleşmiştir.

Kuantum sonrası kriptografi (PQC), günümüzde kullandığımız bilgisayarlar üzerinde çalışan ve büyük ölçekli bir kuantum bilgisayara karşı savunmasız olmadığı bilinen kriptografik algoritmalara atıfta bulunur.

AWS Kuantum Sonrası Şifreleme'de küresel kriptografik topluluğu ile kuantum dirençli kriptografi projelerine ve çalışma gruplarına AWS araştırma ve mühendisliğinin katılımı hakkında daha fazla bilgi edinin.

AWS'nin kriptografi hizmetleri, bekleyen ve aktarılan verilerin bütünlüğünü temin edebilen çok çeşitli şifreleme ve depolama teknolojilerini kullanır. AWS, kriptografik operasyonlar için çeşitli araçlar sunar:

• AWS CloudHSM, temel anahtarlar ve veri anahtarları dahil olmak üzere çeşitli kriptografik anahtarları güvenli şekilde depolayabilen donanım güvenlik modülleri (HSM'ler) sunar.
• AWS Anahtar Yönetim Hizmeti (KMS), temel anahtarları ve diğer veri anahtarlarını oluşturmak için araçlar sağlar. AWS KMS ayrıca, hizmete özgü verilerini şifrelemek üzere birçok başka AWS hizmetiyle etkileşime girer.
• AWS Şifreleme SDK'si, tüm veri türleri üzerinde şifreleme ve şifre çözme operasyonları gerçekleştirmek üzere bir istemci tarafı şifreleme kitaplığı sunar.
• Amazon DynamoDB Şifreleme İstemcisi, veri tablolarını Amazon DynamoDB gibi bir veritabanı hizmetine göndermeden önce bunların şifrelenmesi için bir istemci tarafı şifreleme kitaplığı sağlar.
• AWS Gizli Bilgi Yöneticisi, AWS destekli veritabanlarıyla kullanılan şifreli gizli bilgilerin şifrelemesini ve döndürmesini sağlar.

Birçok AWS hizmeti, veri aktarımı veya depolaması sırasında bu kriptografi hizmetlerine güvenir. Bu gibi hizmetlerin bir listesi ve bunların kriptografi uygulamalarını nasıl kullandığına ilişkin bir genel bakış için Diğer AWS Hizmetleri kaynağına göz atın.

AWS ayrıca açık kaynak kriptografi kitaplıkları sağlar:

• AWS libcrypto (AWS-LC), AWS Kriptografi ekibinin AWS ve müşterileri için muhafaza ettiği genel amaçlı bir kriptografi kitaplığı sunmaktadır. Google BoringSSL projesi ve OpenSSL projesinin içerdiği kodu temel almaktadır. AWS-LC, TLS ve ortak uygulamalar için ihtiyaç duyulan algoritmaların taşınabilir C uygulamalarını içerir. Performans açısından kritik algoritmalar için, x86 ve ARM'ye yönelik olarak optimize edilmiş derleyici sürümleri dahil edilmiştir.
• s2n-tls, TLS/SSL protokollerinin basit, küçük, hızlı ve önceliği güvenlik olacak şekilde tasarlanmış bir uygulamasıdır.

Amazon Bilim Blogu ve AWS Güvenlik Blogu'na da göz atabilirsiniz. Burada, kriptografik araştırmaları geliştirmek, karşılaştırmak ve prototiplemek için attığımız adımları ayrıntılarıyla anlatıyoruz. Kriptografik hesaplama, kuantum sonrası kriptografi, doğrulanmış kriptografik kod ve daha fazlası hakkında bilgi veriyoruz.