EN
EN

Kriptografik Uygulama Güvenliği


Kriptografik uygulama, güvenli iletişim ve veri koruma amaçları için kullanılan bir tür yazılımdır. Kriptografi, veriyi şifreleyerek yalnızca yetkili kullanıcıların okumasını sağlayan bir bilim dalıdır. Kriptografik uygulamalar örneğin bankacılık işlemleri, sağlık kayıtları, ticari sırlar ve diğer hassas verileri korumak için kullanılır.

Kriptografik uygulamalar, açık şifreli şifreleme, simetrik şifreleme, dijital imza ve kimlik doğrulama gibi teknolojiler kullanarak veri şifreler ve korur. Açık anahtarlı şifreleme, özel bir anahtar ile şifrelenmiş veriler yalnızca alıcının açık anahtarı kullanarak çözebilmesine olanak tanır. Simetrik şifreleme ise aynı anahtarın hem şifreleme hem de şifreleme bileşenlerini kullanan bir yöntem.

Dijital imza, bir belgenin veya mesajın sunulmasını sağlamak için kullanılır. Bu yöntemde, belgeyi imzalayan kişisel anahtarı kullanarak bir dijital imza oluşturur ve belge alıcısı, belgenin imzalayan kişi tarafından gönderildiği ve değiştirilmediğini doğrulamak için bu dijital imzayı kullanır. Kimlik doğrulama ise, kullanıcıların kimliklerini doğrulamak için kullanılan bir yöntemdir. Bu yöntemde, kullanıcıların kimlik bilgilerini ölçen ve kullananların bu bilgilerini doğrulamak için özel anahtarlarını kullanırlar.

Kriptografinin en sık kullandığı kullanım şekli iki sitem arasındaki iletişimin şifrelenmesidir. En yaygın olarak bir istemci programı ile bir sunucu arasında iletişim kurmak için kullanılır. Örneğin bir web tarayıcısı ve web sunucusu veya e-posta istemcisi ve e-posta sunucusu arasındaki iletişim şifrelenir. Buna ek olarak durağan veriler veya hareketli veriler güvenlik ve kanıtlanabilirlik açısından kriptografik yöntemlerle saklanmaktadır.

Kripto uygulama güvenliği, özellikle son yıllarda artan ilgi ve kullanım nedeniyle çok önemli bir konudur. Kripto uygulamalarının güvenliği, kullanıcıların dijital varlıklarının muhafazalarını sağlamak için kritik öneme sahiptir. İşte kripto uygulamalar için alınabilecek bazı önlemler:

Güçlü Parola Kullanımı: Kripto uygulamalarını kullanarak güçlü bir şifre kullanmak çok önemlidir. Şifreniz mümkün olduğunca karmaşık olmalı ve sayılar, harfler ve özel karakterler içermelidir. Ayrıca düzenli periyotlarla değiştirilmeli ve güvenli ortamlarda tutulmalıdır.

İki Faktörlü Kimlik Doğrulama: Kripto uygulamalarının çoğu, iki faktörlü kimlik doğrulama gibi ek güvenlik önlemleri sunar. Çok faktörlü kimlik doğrulama tek parola ile elde edilebilecek sistemlere yetkisiz erişimi engeller.

Güncelleme: Kripto uygulamalarınızın her zaman en son sürümüne güncellendiğinden emin olun.

Güvenilir Cihazlar Kullanın: Kripto uygulamalarınızı güvenilir muhafaza kullanın. Sunucu veya diğer sistemlerde kötü amaçlı yazılım veya virüsler varsa, kripto uygulamalarınızın güvenliği tehdit altında olur.

Özel Anahtarları Güvende Tutun: Kripto uygulamalarının çoğu, dijital varlıklarınızın özel anahtarlarını saklar. Bu özel anahtarlarınızı güvende tutmanız çok önemlidir. Özel anahtarlarınızı başka bir yerde saklayın veya yedekleyin, böylece olası bir durumda erişiminizi kaybetmezsiniz.

Bilgi ve İletişim Güvenliği Rehberinde yayınlanan kriptografik uygulama güvenliği tedbirleri aşağıda verildiği gibidir:

Güvensiz Ağlar Üzerinden Güvenli Haberleşme (1. Seviye)

Güvenli ağların, güvensiz bir ağ üzerinden haberleşmesinin gerekmesi durumunda VPN teknolojileri kullanılmalıdır.

Envanter Yönetimi (1. Seviye)

Kurumda aktif olarak kullanılan ve aktif olarak kullanılmayan tüm kriptografik ürünlerin güncel bir listesi tutulmalıdır. Liste içeriğinde kullanılan ürünlerin hangi işlemler için hangi amaçla kullanıldıkları tanımlanmalı, envantere yalnızca yetkilendirilmiş personelin erişimi mümkün kılınmalıdır.

Güvenlik Değerlendirme ve Onay Durumu Yönetimi (1. Seviye)

Kullanılan kriptografik ürünlerin işlediği verinin gizlilik derecesine uygun olarak kullanılmasını sağlamak amacıyla ilgili güvenlik değerlendirmesi ve gizlilik derecesi ile uyumlu olarak onay sürecinin işletilip işletilmediği kontrol edilmelidir.

Kripto Protokollerinin En Güncel ve Güvenilir Versiyonlarının Kullanımı (2. Seviye)

Kriptografik algoritmaların ve protokollerin en güncel ve güvenli olan versiyonlarının kullanımı sağlanmalıdır. Anahtar uzunlukları, bilgi güvenliği gereksinimleri doğrultusunda endüstri standartları ve en iyi uygulama örnekleri dikkate alınarak belirlenmelidir. Sistemde kullanılan taşıma katmanı protokollerine ait sürümler belirli aralıklarla değerlendirilmeli ve denetlenmelidir.

Envanter Yönetim Araçları ile Kriptografik Ürünlerin Yönetimi ve İzlenmesi (2. Seviye)

Kullanılan kriptografik ürünlerin kullanım durumları, versiyon kontrolü, güvenlik değerlendirmesi ve onay durumu gibi bilgilerin takibi ve raporlaması envanter yönetim sistemi ile yapılmalıdır. Envanter yönetim sistemine yalnızca yetkilendirilmiş personelin erişimi mümkün kılınmalıdır.

Kripto Cihazları TEMPEST Laboratuvar Onayı (3. Seviye)

Kritik bilgi/veri işleyen kurumlarda, bu bilgilerin işlenmesinde kullanılan kriptografik sistemler için kullanılan kripto cihazlarının TEMPEST testlerinin yapılmalıdır.

Kripto Cihazları Kripto Analiz Laboratuvar Onayı (3. Seviye)

Kritik bilgi/veri işleyen kurumlarda, bu bilgilerin işlenmesinde kullanılan kriptografik ürünlerin yetkili kripto analiz laboratuvarı tarafından kriptografik mimari ve algoritma analizi yapılmalıdır.

Kripto Cihazları COMSEC Laboratuvar Onayı (3. Seviye)

Kritik bilgi/veri işleyen kurumlarda, bu bilgilerin işlenmesinde kullanılan kriptografik ürünlere ait (milli veya standart algoritma içeren) kriptografik algoritmaların kullanacakları anahtarları üretecek, taşıyacak ve kullanacak sistem ve cihazlar, yetkili COMSEC laboratuvarında gerekli testlerden geçmeli ve güvenlik onayı almalıdır.