Web of Trust-Güvenilirlik Ağı ve Anahtar İmzalama Partileri

Dec 5th, 2007

E-postalarınızı imzalamaya başladınız, hatta şifreli olarak e-posta da gönderebiliyorsunuz diyelim. Bu noktada şöyle bir sorun belirmekte: İmzalı e-postanızı alan taraf, o imzanın gerçekten size ait olduğunu nereden doğrulayabilir? Bu sorun, açık anahtarlama altyapısı ile isteyen herkesin kendisine (veya bir başkasının adına) bir imza oluşturup bunu kullanabilmesinden kaynaklanmaktadır. Bu durumda, kişilerin kullandığı imzaları doğrulayan, “evet bu imza gerçekten bu kişinindir” diyen bir otoritenin bulunması gerekmektedir. Satın alınarak kullanılan e-imza ve sertifikalarda bu doğrulama işlemi, yasalarla belirlenmiş otoritelerce yapılmaktadır. Bizim örneğimizdeki açık anahtarlama altyapısında ise böyle bir merci bulunmadığı için, yine topluluğa dönülmektedir.

 

Öncelikle oluşturulan keylerin iki parçasını olduğunu hatırlatmakta fayda var: Private ve public. Private key, kişinin kimseyle paylaşmadan saklayacağı, bu anahtarı kullanacağı bilgisayarlara taşıması gereken (örneğin bir usb çubuk içerisinde) parçasıdır. Public tarafı ise herkes tarafından görülebilmektedir. İşte bu herkes tarafından görülebilen Public key, bir başka kullanıcı tarafından doğrulanabilir. Bu doğrulama, imzanın parmak izi denilen key fingerprint kısmı ile kişiyi eşleştirmek ve bunu tüm dünya ile paylaşmaktan ibarettir. Şöyle ki, iki kullanıcının bir ortamda karşılaştığını, tanıştığını düşünelim. Bu ortamda kişiler kartvizitlerini birbirlerine verirken, imzalarının key fingerprintlerini de birbirlerine verirlerse, ve taraflar tanıştıkları kişinin söylediği kişi olduğundan kimlik, pasaport gibi yöntemlerle emin olabilirlerse, aldıkları fingerprint ile o kişiden gelen e-postaların imzalarının gerçekten tanıştıkları kişi olup olmadığını doğrulayabilirler. Bu doğrulama işlemi, fingerprintin keyden türetilmesi ve dolayısıyla bir fingerprintin sadece ait olduğu imzayı onaylayabilmesi sayesinde gerçekleşebilmektedir.

Bu aşamada örnekteki her iki kişi birbirlerinin imzalarını doğrulayabilmektedirler. İşte bu doğrulama, İnternet üzerinde yer alan sunuculara da bildirilebilmektedir. Yani “şu fingerprinte sahip imza gerçekten kimliğini bildiren kişidir” diyerek kişiler başkalarına ait imzaları doğrulayabilmektedir. Tüm bu doğrulamalar, İnternet üzerinde belirli sunucular üzerinde toplanmakta ve sorgulamaya açık halde tutulmaktadır. Sorgulamaya açık tutulması da, daha önce hiç tanışmamış bir kişiden imzalı bir veri alan bir kullanıcının, kendisine gelen imzayı bu sunuculara sorarak doğrulanıp doğrulanmadığı, kaç kişi ve kimler tarafından doğrulandığı bilgisine ulaşmasını sağlamaktadır. Bir imzayı doğrulayan kişilerin de yine aynı arayüzden sorgulanarak, başkalarınca doğrulanıp doğrulanmadığı da öğrenilebilmektedir. Bu döngü büyük bir ağ oluşturmakta, ve ilk sorgulamayı yapan kullanıcının daha önceden doğruladığı kullanıcılara kadar gidebilmektedir. Sonuçta varılan nokta, eğer kişinin imzası çok kişi tarafından doğrulanmışsa, ve onu doğrulayanlarda başkalarınca doğrulanmışsa bu zincir soruyu soran kişiye kadar gidebilmektedir. İşte bu ağa Web of Trust - Güvenilirlik Ağı adı verilmektedir.

Bir örnek vermek gerekirse, bu yazının yazarının imzasının doğrulanmasına bakmak için, Gökhan Eryol’un imza numarası olan 0×5CEB4796 yi sorgulamanız gerekmektedir. Bu sorgulamayı şu adresten yapabilirsiniz:

http://pgpkeys.mit.edu:11371/pks/lookup?op=vindex&search=0×5CEB4796

Gelen sayfada yeralan Gökhan Eryol’u doğrulayan kişilerin public key lerine de buradan ulaşabilir, ayrıca e-posta adreslerini tıklayarak onları doğrulayan kişileri de görebilirsiniz.

Burada ki bir önemli nokta da, kişileri doğrulamak için muhakkak yüzyüze görüp kimliğini kontrol ederek doğrulayan, veya kurumsal web sayfasında yayımlanan fingerprintleri şifaen de doğrulayarak onaylayan kişilerin haricinde, herhangi bir kontrol yapmadan veya kötü niyetle bir imzayı doğrulayan kişilerinde olabileceği konusudur. İşte Web of Trust’ın Web kısmı yani Ağ burada önem kazanmaktadır. “Kendinizden, veya doğruluğuna emin olduğunuz bir kişiden bu kişiye kadar ulaşılabiliyor mu” sorusu yine benzer sorgularla kontrol edilebilmektedir. Örneğin, Gökhan Eryol adına ait 0×5CEB4796 numaralı imzaya, (örnek için rastgele bulduğum) FC243F3C numaralı imzadan ulaşılıp ulaşılamadığına bakmak için http://pgp.cs.uu.nl/ adresine her iki imzanın numarasını girin. Bu yazıyı yazdığım zaman gördüğüm sonuç, iki imza arasında 5 ayrı yoldan doğrulama yapılabildiği idi. Başka arayüzlerden güvenilirliğe yönelik başka testler ve analizlerde yapabilir, imzasını doğrulamak istediğiniz kişiyi araştırabilirsiniz.

Tüm bu işlemlerin daha önce imzasını almadığınız bir kişiyi doğrulamak için olduğunu, doğrulama işini yaptıysanız (yani bilgisayarınıza tanıtma işlerini yaptıysanız) güvenli bir şekilde karşı tarafla yazışabileceğinizi tekrar hatırlatıp, bu işlerin Mozilla Thunderbird kullanarak nasıl yapılabileceğine geçmek istiyorum:

  1. Bir kişiyle veya kurumla imza doğrulamak için, herşeyden önce size imzasını veren kişinin söylediği kişi olduğundan emin olun (kimlik, pasaport, kurumsal bildirim vs).

  2. ThunderBird ün, bir önceki yazıda anlatılan OpenPGP eklentisini kullanarak, Key Management menüsünden karşı tarafın imzasını yükleyin.

  3. Aynı menüde ilgili imzanın üzerinde sağ tuşa tıkladığınızda “Sign Key” seçeneğine tıklayın. Bu imzayı doğruladınız.

  4. Doğruladığınız imzayı sunuculara göndermek için, aynı menüde yine sağ tuşla tıklayın ve “Upload Public Keys to Keyserver” seçeneğine girin. Başta pgp.mit.edu olmak üzere menüde yeralan tüm sunuculara doğruladığınız imzayı gönderin.

  5. Doğruladığınız imzanın sunuculara yüklendiğini sorgulayarak kontrol edin. Bunun için, http://pgpkeys.mit.edu:11371/ adresinde, kontrol edeceğiniz imzanın Key ID’sini girip, Verbose Index seçiniz.

Bu imza değiş tokuşunun artması için, çeşitli toplantı etkinlik gibi aktivitelerin içerisinde katılımcılarla yapılan “Anahtar İmzalama Partileri”, işte bu Web of Trust’ın artması, ülkemizde sektörümüzde yaygınlaşması için uygulanmaktadır. Bu partilerde yanınızda hazır bulundurduğunuz imzanızın fingerprintini tanıştığınız kişilere verip, kimliğinizi de göstererek onların sizi doğrulamasını sağlayabilirsiniz. Aynı şekilde sizde orada tanıştığınız ve kimliklerinden doğruladığınız kişileri, bilgisayarınızın başına döndüğünüzde imzalayarak ters yoldan da size ulaşılmasını sağlayabilirsiniz.

Önümüzdeki ilk büyük etkinlik Akademik Bilişim. Orada bir öğlen arasında anahtar imzalama partisi yapmaya ne dersiniz? Eğer olmaz ise, ben her daim yanımda fingerprintim ile bulunuyorum, gerek CSIRT toplantıları, gerekse diğer etkinliklerde anahtar değiş tokuşu yapabiliriz.

Gökhan Eryol
0×5CEB4796

NOT: Fingerprint Nasıl Alınır:

ThunderBird ‘de OpenPGP > Key Management > İlgili İmzanın üstünde Sağ Tuş Menüsü-Key Properties.

Tags:
  1. abdullah
    Mar 29th, 2008 at 22:21
    Reply | Quote | #1

    iyi günler.
    ben pardusta kgpg ile anahtar çifti oluşturdum.
    ama benim gmail hesabımı kmail ile kullanamıyorum.gerekli ayarları yaptım ama port(995 alma,465 gönderme) sunucular(pop.gmail.com,smtp.gmail.com) vs…
    ama mesaj gönder dediğimde mesajım gitmiyor.
    gelen mesajları da alamıyorum.
    bu işi nasıl yaparım.
    yardımcı olursanız seviniirm.
    şimdiden teşekkürler..

  2. abdullah
    Mar 29th, 2008 at 22:23
    Reply | Quote | #2

    bir de ücretsiz olarak windowsta thunderbird ile gmail hesabımı kullanabiliyorum.
    windowsta ücretsiz olarak nasıl anahtar çifti oluşturup thunderbird ile kullanabilirim.