Gözetimi, “battı balık yan gider” teslimiyetçiliği ile değil, gözetleyenlerin veriden bilgi elde etmek için harcamaları gereken emeği göz önünde bulundurarak değerlendirmek gerekiyor. GnuPG ile servis sağlayıcıların ya da e-posta sunucularını barındıran şirketlerin e-postalarımızın içeriğinden elde edebilecekleri bilgi için gerekli emek zamanını olağanüstü artırarak e-posta gözetimini ekonomik olarak elverişsiz hale getirebiliriz.
Telefon dinlemeleri, izinsiz kaydedilen konuşmalar ve görüntüler Türk siyasi hayatının bir parçası haline geldi. Ses ve görüntü kayıtlarının internete sızdırılmasından sonra kayıtlar sosyal ağlar üzerinden hızla yayılıyor. Hükümetler enformasyonun yayılımını kontrol etmekte zorlanıyorlar. Bu da hükümetleri, hem hukuksal hem de teknik önlemler almaya zorluyor. Bu bağlamda, internete yönelik yeni düzenlemelerin, sosyal ağlarda dolaşan ses ve görüntü kayıtlarının arttığı ve insanların yeni kasetler beklediği bir dönemde gündeme gelmesi manidardır. Mağdur olan kim olursa olsun (Deniz Baykal, MHP’li ya da AKP’li siyasetçiler) kişilerin mahremiyetlerinin ihlal edilmesi çirkindir, kabul edilemez. Ancak bu internet sansürünü haklı çıkarmaz. İnternete yönelik yeni düzenlemeler korkutucudur (bkz. http://bmo.org.tr/2014/01/08/daha-cok-denetim-daha-cok-sansur/, http://www.alternatifbilisim.org/w/images/Internet_sansuru_derinlesiyor_ocak2014.pdf).
Ancak sansürü tek başına değerlendirmemek gerekir. Sansür, gözetimle beraber var olur. Dolayısıyla yeni sansür girişimi enformasyona özgür erişim hakkını engellemekle kalmayacak, kullanıcılar izlendiklerini bildiklerinden oto sansürle kendilerini daha az ifade edecekler; sansürlenmemiş ama iktidarın hoşuna gitmeyeceğini tahmin ettikleri içeriğe erişirken bile tereddüt edecekler.
Daha önce sıkça tartışıldığından “benim saklayacak bir şeyim yok, içim rahat; gözetim umurumda değil.” yanılgısı tekrar tartışılmayacak. Ama mahremiyetle gizliliğin aynı şey olmadığını, iradeniz dışında biriken kişisel verilerin size karşı bir güç haline gelebileceğini hatırlatmak isterim.
Bu yazıda, internet üzerinden daha güvenli enformasyon alışverişine olanak sağlayan GnuPG (Gnu Privacy Guard – GNU Mahremiyet Koruması) yazılımı tanıtılacak. Fakat okuyucuyu iki konuda uyarmak isterim.
Birincisi, GnuPG kullanımı e-postalarınızın içeriklerinin analiz edilmesini engeller. Böylece mahremiyetinizi güçlendirir. Fakat gereksiz güvenlik takıntısı, genel e-posta servislerini (gmail, yahoo vb.) kullanarak şifreli mesajlar, dosyalar gönderip almak sizi şüpheliler kategorisine sokup, daha derin bir gözetime de maruz bırakabilir. Çizgi filmlerde kimliğini gizlemek için uzun pardösü ve şapka giyip güneş gözlüğü takan, böylece dikkatleri daha çok çeken acemi detektiflerin durumuna düşebilirsiniz. Belki e-postalarınızı okuyamazlar ama “bu adam ne işler çeviriyor?” diyerek tüm hareketlerinizi ayrıntılı bir şekilde izlemeye kalkabilirler.
İkincisi, yazıda anlatılacak yazılımların yanlış kullanımı ya da herhangi bir dikkatsizlik geri dönüşü olmayan sonuçlar doğurabilir. Bir dosyayı şifreledikten kullandığınız parolayı unutursanız o dosyaya bir daha erişemezsiniz. Bu nedenle, testlerinizde kullandığınız dosyaların aslını silmeyiniz. Ayrıca GnuPG son derece güçlü bir şifreleme aracıdır. Fakat NSA (National Security Agency – Ulusal Güvenlik Dairesi) gibi istihbarat çalışması yapan kurumlar GnuPG şifrelerini kırmaktansa farklı kullanıcının dikkatsizliğinden ya da işletim sistemi (ya da yazılım) açıklardan faydalanarak bilgisayarınıza sızıp GnuPG korumanızı etkisiz hala getirmeyi tercih edebilirler.
GnuPG nedir?
GnuPG, verilerimizin mahremiyetini ve bütünlüğünü sağlamak için kullanabileceğimiz özgür yazılım lisansına sahip olan bir kripto yazılımıdır (http://www.gnupg.org/faq/gnupg-faq.html). Bu tanımı biraz daha açalım. Tanımda,
– mahremiyetle, verilerinizin ancak bizim yetkilendirdiğimiz kişiler tarafından okunabileceği,
– bütünlükle, veriyi ilettiğiniz tarafın verinin iletim sırasında değiştirilip değiştirilmediğini anlayabileceği,
belirtiliyor.
Özgür yazılım lisanslı olması yazılımın, hiçbir kısıtlama olmaksızın kullanılabilirliğine, incelenebilirliğine, paylaşılabilirliğine ve değiştirilebilirliğine işaret ediyor. Genellikle, GNU/Linux kullanıcılarının herhangi bir kurulum yapmasına gerek yok. İşletim sisteminin kurulumu sırasında GnuPG yazılımı da kuruluyor. Windows kullanıcıları http://www.gpg4win.org/ adresinden, Mac Os X kullanıcıları ise http://www.gpgtools.org/ adresinden GnuPG yazılımını bilgisayarlarına indirip kullanabilirler, özgürce paylaşabilirler.
Kripto ise verinin belirli algoritmalar, protokoller ve kurallar doğrultusunda şifrelenmesini ifade ediyor. Duymuşsunuzdur, hırsızların açamayacağı kilidin olmadığı söylenir. Ama kimse kapısını açık bırakmaz, elinden geldiğince iyi bir kilit kullanmaya çalışır. Hırsız, her kilidi açabilse de hepsini aynı sürede açamaz. Kriptoloji için de aynı durum söz konusudur. Teorik olarak kriptolanmış bir içeriğe ulaşmak mümkündür. Örneğin, şifrelerinizde kullanabileceğiniz 26 küçük harf, 26 büyük harf, 10 rakam ve bunlar dışında 33 karakter var. Tek bir karakterden oluşan bir şifreleme yaparsanız en kötü ihtimalde 95 denemede şifreniz çözülür. İki karakterli bir şifre için bu sayı 95X95=9025 olur. Karakter sayısı 10 olduğunda ise 95x95x95x95x95x95x95x95x95x95=5,987369392×10¹⁹ olur.
Bu kadar denemeyi yapmak için gereken zamanı, bu zamanı kısaltmak için kullanılabilecek bilgisayar sayısını düşünelim. Acaba şifrenin çözülmesinden sonra elde edecek bilgi harcanacak paraya değecek mi? Facebook’u eleştirirken de temel kaygım budur. Telefonlar dinlenebilir, e-postalar okunabilir, gezilen siteler kaydedilebilir. Kuşkusuz her biri mahremiyet için büyük tehdittir. Fakat Facebook’un elindeki yapılandırılmış verinin analizi diğerlerine göre çok daha kolaydır. Tüm toplumun telefon konuşmalarının analizi için gerekli bilgisayar gücü çok daha fazladır. Bu nedenle gözetimi, “battı balık yan gider” teslimiyetçiliği ile değil, gözetleyenlerin veriden bilgi elde etmek için harcamaları gereken emeği göz önünde bulundurarak değerlendirmek gerekiyor. GnuPG ile servis sağlayıcıların ya da e-posta sunucularını barındıran şirketlerin e-postalarımızın içeriğinden elde edebilecekleri bilgi için gerekli emek zamanını olağanüstü artırarak e-posta gözetimini ekonomik olarak elverişsiz hale getirebiliriz.
Tarihçe
“Ben yasadışı bir iş yapmıyorum. Bu nedenle, izlenmekten çekinmeme de gerek yok.” iyimserliği günümüzde gözetimin kapsamının artması ve yaygınlaşmasıyla beraber geçerliliğini de yitirmiştir. Artık toplum bir bütün olarak gözetimin nesnesidir. Hayatımızın hızla sayısallaştığı, sayısallaşan verilerin bilgisayarlarda saklandığı ve internet üzerinden paylaşıldığı bir dönemde kripto bilimi yalnız casuslar için değil, bizim gibi sıradan insanlar için de gereklidir. Günümüzde, hükümetler ve şirketler kadar, sıradan bilgisayar kullanıcılarının da gelişmiş kripto araçlarını kullanabilmeleri gerekiyor.
Son NSA skandalı düşünüldüğünde bu gereksinim daha iyi anlaşılır. Aslında GnuPG’nin öncülü olan PGP (Pretty Good Privacy – Oldukça İyi Mahremiyet) 1991’de benzer bir olayla gündeme gelmiştir. 1991 yılında ABD hükümeti, güvenlik teknolojisi üreticilerini, ürünlerinde kendilerinin kullanıcıları takibinde bir sorun yaşamamaları için bir arka kapı bırakmasını zorunlu kılan bir yasayı senato gündemine getirmiştir. Hükümetin bu girişimi geri püskürtülmüş olmasına rağmen PGP’nin doğumuna vesile olmuştur.
PGP’yi geliştiren Phil Zimmermann’ın kendisi de nükleer karşıtı bir aktivisttir ve PGP’yi geliştirmesindeki temel motivasyonu da aktivistlerin iletişim teknolojilerini özgürce kullanımına yardımcı olmaktır. Zimmermann, kriptoloji açısından sıradışı bir iş yapmaz. Kullandığı şifreleme algoritmaları daha önce de bilinmektedir. Asıl başarısı sadece askeri amaçla ya da şirket sırları için kullanılan kriptolojiyi herkesin kullanılabileceği bir hale getirmesidir.
1991’de PGP’nin ilk sürümü (ücretsiz ve kaynak kodlarıyla beraber) internette hızla yayılır.
İnternet sınır tanımaz. PGP’nin ABD sınırları dışına çıkması, Zimmermann’ı ABD hükümetinin hedefi haline getirir. 1993 yılının Şubat ayında, “savaş malzemelerini lisanssız ihraç etmekle” suçlanır. ABD ihraç kurallarına göre, ihraç edilen yazılımlarda en fazla 40 bitlik anahtarlar kullanılabilmektedir. 40’tan fazlası savaş gereçleri kapsamında değerlendirilmektedir. PGP’nin kullandığı anahtarlar bu sınırı aşmaktadır. Ama yasa sadece silahlar, bombalar, uçaklar ve yazılım içindir. Kitapların ihracını engelleyen herhangi bir yasa yoktur: Zimmermann PGP’nin tüm kaynak kodlarını basılı bir kitap haline getirir.
Yürütülen soruşturmanın sonlanmasından sonra Zimmermann ve arkadaşları PGP’nin yeni sürümlerini geliştirecekleri bir şirket kurarlar. 1997 baharında PGP-5’in ilk kamusal sürümü yayımlanır. Aynı yıl gerçekleşen 39. IETF (Internet Engineering Task Force – İnternet Mühendisliği Görev Gücü) toplantısında Zimmermann ve Jon Callas IETF’ye, PGP-5’te kullandıkları protokolü OpenPGP başlığı altında standartlaştırmasını önerir. Zimmermann ve Callas’ın temel kaygısı PGP’nin şirketlerden bağımsız olarak varlığını devam ettirebilmesini ve yaygınlaşmasını sağlamaktır. Nitekim daha sonra Zimmermann’ın şirketi Viacrypt ile birleşilir; Zimmermann ticari haklarını satar; şirket birleşmeleri ve satışları sonrasında PGP farklı şirket çatıları altında ticari hayatına devam eder.
PGP’nin kaynak kodunun açık olması yanıltmamalıdır. PGP özgür bir yazılım değildir ( bkz. http://www.gnu.org/philosophy/free-sw.tr.html). Ticari kullanımı kısıtlıdır. Bir başka sorun ise PGP’deki RSA ve IDEA algoritmalarının patentli olmasıdır.
PGP’nin yerini alabilecek özgür bir yazılım uzunca bir süredir GNU projesinin de gündemindedir. Ancak açık anahtar algoritmalarındaki patentler özgür yazılımcıların elini kolunu bağlamaktadır. Nihayet 1997 yılının nisan ayında temel açık anahtar algoritmaları üzerindeki patentlerin süresi dolar. Bundan bir ay sonra gerçekleşen bir toplantıda Stallman, Avrupalı hackerları bir kripto yazılımı geliştirmeye davet eder. ABD yasaları nedeniyle kendilerinin böyle bir faaliyette bulunması yasaktır.
Alman hacker Werner Koch, yaptığı işten sıkılmıştır, eğlenceli bir proje aramaktadır. PGP-2’nin kaynak kodunu ve OpenPGP’nin RFC-1991 (http://www.ietf.org/rfc/rfc1991.txt) belgelerini incelerken kendini GnuPG’yi geliştirirken bulur. 7 Eylül 1999’da GnuPG’nin 1.0.0 sürümü hazırdır. Bir yıl sonra RSA’nın patent kısıtlamasının sona ermesiyle beraber GnuPG’nin RSA’yı destekleyen sürümü yayımlanır.
Almanya Ekonomi Bakanlığı, GnuPG’nin Windows işletim sisteminde de çalışabilmesi için projeye fon sağlar. ABD, Alman hükümetini kripto yazılımının herkesin erişimine açık olması durumunda yaşanabilecek olumsuzluklar konusunda uyarır ve kararını gözden geçirmeye davet eder. Ama Alman hükümeti kararlıdır. Daha sonra 2000’li yılların başında ABD de kripto yazılımının ihracını engelleyen düzenlemeleri gevşetmek zorunda kalır. Bunun sonrasında ABD’li hackerlar da projeye katkıda bulunmaya başlar.
GnuPG’nin yalın olarak ve bir e-posta istemcisi olan Thunderbird ile nasıl kullanılabileceğine geçmeden önce birçok okuyucunun aklına gelebilecek bir soruyu cevaplamak istiyorum: GnuPG’ye ne kadar güvenebilirim? Bunda da ABD’nin girişine olanak sağlayan arka kapılar olamaz mı?
Her şeyden önce kaynak kodunun erişilebilir, incelenebilir ve yeniden derlenebilir olması GnuPG kodunun çok sayıda programcı tarafından değerlendirilebilmesine olanak sağlıyor. Özel mülk yazılımların gizli arka kapılarının özgür yazılımlarda fark edilmeden durabilmesi çok zor. Söz konusu olan bir güvenlik yazılımı olunca kod daha titiz inceleneceğinden neredeyse olanaksız gibi. Belki şu olabilir: ABD RSA’yı kırmanın yolunu bulmuştur, ama kamuoyu ile paylaşmıyordur (http://www.mit.edu/~prz/EN/faq/index.html). Bilemeyiz. Ancak sanırım yazının başındaki hırsız- kilit ilişkisini anımsarsak şunu söyleyebiliriz: GnuPG en kötü ihtimalle gözetleyenlerin işini biraz daha zorlaştıracaktır.
GnuPG: Simetrik Şifreleme, Asimetrik Şifreleme ve Hash
Modern kriptoloji üç tip fonksiyona dayanır (Loshin, 2013):
1) Simetrik Şifreleme: Şifreleme denilince ilk akla gelen şifre tipidir. Şifreleme ve şifre çözme süreçleri birbirinin tersidir. Aynı şifreyle bir dosyaya erişimi kısıtlayabilir veya erişimdeki kısıtlamayı kaldırabilirsiniz. Dolayısıyla bir dosyayı şifrelediysem bunun anahtarını da paylaşmam gerekir. Burada en büyük sorunlardan biri şifrenin dağıtımıdır. Ağlarda dolaşan paketlerin kolayca dinlenebildiği düşünülürse şifrenin iletimi günümüzdeki ağlarda riskli bir iştir. Zaten o kadar güvenli bir ağımız olsaydı şifrelemeye de gerek olmazdı.
2) Asimetrik ya da açık anahtarlı şifreleme: Şifrelemede açık ve özel anahtarlar kullanılır. Bu şifrelemenin asimetrik olarak adlandırılmasının nedeni açık anahtarla yapılan şifrelemenin yalnızca özel anahtarla açılabilmesidir. Örneğin arkadaşınıza bir mesaj göndermek istiyorsunuz ve bu mesajın arkadaşınız dışında kimse tarafından okunmaması gerekiyor. Mesajı, arkadaşınızın açık anahtarı ile şifreleyip gönderirseniz bu mesajlar sadece arkadaşınızın özel anahtarı ile açılabilecektir. Mesajı kendi özel anahtarınızla imzalarsanız, açık anahtarınıza sahip olan biri mesajın gerçekten sizden gelip gelmediğini doğrulayabilir.
3) Hash: Verinin parmak izidir. İndirilen ya da iletilen dosyaların güvenirliğini doğrulamak için kullanılır. Eğer indirdiğiniz dosyanın hash değeri ile dosyanın resmi sitesinde belirtilen hash değeri aynı değilse resmi sürümü indirmemişsiniz demektir.
Kriptoloji, her üç fonksiyonu bir arada kullanabilir.
Şimdi bu fonksiyonların GnuPG’de nasıl kullanıldığına bir bakalım. Örnekleri denemek için işletim sisteminize yukarıda belirtilen yazılımları kurarak veya kurmadan çalışabilen bir GNU/Linux dağıtımını (http://www.knopper.net/knoppix-mirrors/index-en.html) kullanabilirsiniz.
Kötü haber, GnuPG’nin işleyişinin daha iyi anlaşılabilmesi için örnekler komut satırından, grafiksel bir arayüz kullanılmadan anlatılacaktır. Bu denemeler için Windows’un komut penceresini kullanabilirsiniz.
İyi haber, GnuPG’nin çok sayıda grafiksel arayüz vardır (http://www.gnupg.org/related_software/frontends.html).
Daha iyi haber, yazının sonunda da gösterileceği gibi, GnuPG kullanarak e-posta kullanımı (Thunderbird ile) çok daha basittir.
İlk komutumuz GnuPG’nin sürüm numarasını öğrenmek olacak:
gpg – -version
komutun çıktısı aşağıdaki gibidir:
gpg (GnuPG) 1.4.12
Copyright (C) 2012 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Home: ~/.gnupg
Desteklenen algoritmalar:
GenAnah: RSA, RSA-E, RSA-S, ELG-E, DSA
Şifre: 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH, CAMELLIA128,
CAMELLIA192, CAMELLIA256
Hash: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Sıkıştırma: Sıkıştırılmamış, ZIP, ZLIB, BZIP2
Gpg komutunun yanına – işareti ile başlayan çeşitli seçenekler girebiliriz. Seçenek bir karakterden oluşuyorsa -, daha fazla karakterden oluşuyorsa – – kullanırız. Bu seçeneklerin bir listesini görmek için:
gpg – -help
GnuPG’yi komut satırından kullanmayı tercih etseniz bile bu seçeneklerin büyük bir kısmını kullanmaya gereksinim duymayacaksınız.
Şimdi ilk şifreleme işlememizi yapalım.
gpg -c deneme1.txt
Komutu girdikten sonra şifre girmeniz istenecektir. Şifrelediğiniz dosyayla aynı dizinde (klasörde), aynı adda ama gpg uzantılı bir dosya (deneme1.txt.gpg) yaratılacaktır. Şimdi deneme1.txt.gpg dosyasını arkadaşlarınızla paylaşabilirsiniz. Ama burada kullandığınız şifreleme simetrik bir şifreleme olduğundan şifrenizi de arkadaşlarınızla paylaşmanız gerekecek. Şifreye sahip bir arkadaşınız dosyayı aşağıdaki anahtarı kullanarak açabilecektir:
gpg –output yeniDosya.txt –decrypt deneme1.txt.gpg
Böylece GnuPG’nin simetrik şifreleme özelliğini kullanarak ilk belgemizi şifrelemiş ve şifrelenen bu belgeyi yeni bir adla açmış olduk. Benzer işlemi başka araçlarla da yapabilir (örneğin RAR ile) ve dosyalarınızı şifreleyerek izinsiz kullanıcıların erişimini kısıtlayabilirsiniz. Elbette ki bu da bir çözümdür. Fakat diyelim ki bu dosyayı 100 arkadaşınıza ileteceksiniz. Ya hep aynı şifreyi kullanacaksınız ve arkadaşlarınız sizden gelen dosyaların hep bu şifreyle açıldığını bilecekler ya da her defasında (şifreyi dosyayla gönderemeyeceğinize göre) başka kanallardan yeni şifreyi ileteceksiniz. Telefonlar dinlenebilir, e-postalar okunabilir… En iyisi yüz yüze iletişim. Ama arkadaşınız dünyanın diğer bir ucundaysa bu da olanaklı olmayabilir. Ayrıca başka problemler de var. Dosya, iletim sırasında değiştirilmiş olabilir. Alıcı gönderenin kimliğinden emin olmadan dosyayı açmak istemeyebilir.
İşte GnuPG burada sunduğu asimetrik ve açık anahtarlı şifrelemeyle öne çıkar: İletişimde mahremiyeti sağlar ve son derece pratiktir.
Şimdi anahtarlarımızı yaratalım:
gpg –gen-key
Anahtar türünü seçmeniz istenecektir:
Lütfen istediğiniz anahtarı seçiniz:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (yalnız imzalamak için)
(4) RSA (sadece imzalamak için)
Seçiminiz?
RSA ve DSA arasında teknik farklılıklar vardır ama genel kanı en iyi seçeneğin RSA olduğu yönündedir. Şimdi hem gönderdiğimiz dosyaları imzalamak hem de bize özel dosya gönderilmesine olanak sağlamak için birinci seçeneği işaretliyoruz. GnuPG bizden daha sonra anahtar uzunluğunu isteyecektir. 1024, 2048 ve 4096 arasında bir değer seçebiliriz. Değerin küçük olması işlem hızını artırırken güvenlik seviyesini düşürür. Yüksek bir değer ise hem şifreleyen hem de şifreyi çözen bilgisayarları zorlayacaktır. Ortasını, varsayılan değeri (2048) seçebiliriz. Bit değeri kadar kullanılan algoritma da önemlidir. Kripto analiz uzmanları bir şifreyi kırmak istediklerinde teker teker şifreleri denemek yerine algoritmaya odaklanırlar. Örneğin 40 bitlik bir şifrenin algoritması çözülüp 30 bit’in değeri bilinebiliyorsa denenecek şifre sayısı azalacağından daha hızlı bir çözüme ulaşılabilir. Bu bağlamda, RSA’nın algoritması oldukça güçlüdür. Bu şifreleme düzeyi, uzun yıllar sizi saldırılardan koruyabilecek kapasitededir. (1)
Sonraki adımda anahtarın ne kadar süre geçerli olacağını belirtmelisiniz. Anahtarlarınızı geçici bir süreliğine yaratmak en iyisidir. Fakat anahtarınızı yeniden dağıtmak ile uğraşacağınızı da göz önünde bulundurmanız gerekir. Bu nedenle Lucas (2006), ilk oluşturduğumuz anahtarın bir yıllık bir kullanım süresi olmasını, tecrübe kazandıktan sonra ise iki ile beş yıl arasında bir tercihte bulunulmasını öneriyor. Ancak süre dolmadan da kullanıcının anahtar lağvetme sertifikasını kullanarak anahtarını geçersizleştirmesi ve bunu duyurması mümkündür. Ama son kullanım süresi belirttiğinizde anahtarın geçersiz hale gelmesi otomatik olarak gerçekleşir.
Adınızı ve soyadınızı girdikten sonra parolanızı girmelisiniz. Parolanızın uzunluk limiti yoktur. Büyük küçük harflerden, rakamlardan ve karakterlerden oluşacak ve unutmayacağınız kuvvetli bir parola güvenliğinizi artıracaktır. Parola oluşurken rastgele baytlar oluşturmak için farenizi rastgele hareket ettirin. Anahtarım oluşturuldu:
pub 2048R/ 0445D3B3 2014-01-21 [son kullanma tarihi: 2015-01-21]
Yukarıdaki bilgiden anahtarımın 2048-bit RSA anahtarı ile oluşturulduğu, imzalamakta ve şifrelemekte kullanılacak özel kimlik numaramın 0445D3B3 olduğu gösteriliyor. Aslında bu kimlik numarasının bir parçasıdır. Kimlik numarasının tamamı, anahtar parmakizi ile başlayan satırdadır.
Anahtar parmakizi = 3D7D 0386 C482 5431 37B2 2B19 76EF 51C6 0445 D3B3
Ayrıca anahtarın oluşturulma ve son kullanma tarihi de gösterilmiş. Bu parmak izi sizi diğer OpenPGP kullanıcılarından ayırır. Başka bir kullanıcıyla çakışma ihtimali çok çok düşüktür. Anahtar, adınız ve e-posta adresiniz ile birleştiğinde ise tektir. Önceki sekiz karakterlik numara ise bilgisayarınızdaki diğer anahtarla karışmaması için kullanılan bir numaradır.
En son satırda ise sub anahtar bilgisi vardır. GnuPG kullanımında önerilen ana anahtarın güvenli (internet bağlantısı olmayan, şifreli bir disk) bir ortamda saklanıp alt anahtarların kullanılmasıdır.
A ve B arasındaki açık anahtarlı iletişimi şöyle özetleyebiliriz:
1) A, kendine bir açık anahtar üretiyor ve bunu B ile paylaşıyor.
2) B, A’ya yazdığı mesajları bu açık anahtar ile şifreliyor ve gönderiyor.
3) Mesaj sadece A’nın anahtarı ile açılabilecek şekilde şifrelendiğinden, B’den A’ya giderken, ne arada izinsiz izleme yapanlar, ne e-posta servisleri ne de internet servis sağlayıcılar mesajı açıp okuyabiliyor.
4) B, mesajı kendi özel anahtarı ile imzaladığından, A, B’nin açık anahtarını kullanarak bunun B’ye ait olduğunu doğruluyor.
Dolayısıyla,
1) Başkalarını size mesajlarını şifreli olarak iletebilmesi için sizin açık anahtarınızı bilmesi
2) Sizin başkalarına şifreli mesajlar gönderebilmesi için de onların açık anahtarlarınızı bilmeniz
3) Özel anahtarınıza ait şifreyi hiç kimseyle paylaşmamanız
gerekiyor.
Anahtarlarınızı, son kullanma tarihinden önce de geçersizleştirebilmek için aşağıdaki komutu kullanarak bir lağvetme sertifikası üretebilirsiniz:
gpg -a –gen-revoke [email protected]
Oluşturduğunuz her anahtardan sonra, bu lağvetme sertifikanızı oluşturup saklamanız yerinde olacaktır. Ayrıca, GNU/Linux kullanıcılarının ev dizinlerindeki .gnupg/ dizinini, Windows XP’de C:\Documents and Settings\kullaniciAdi\Application Data\GnuPG, Windows 7’de ise C:\Users\kullaniciAdi\AppData\Roaming\gnupg klasörlerini güvenli bir şekilde saklamaları gerekir.
Komut satırı karışık gelebilir. Şimdi daha kolay bir yol izleyelim:
1) Şifreli e-posta alışverişi yapabilmeniz için bilgisayarınızda GnuPG kurulmuş olmalı.
2) GnuPG’den sonra bilgisayarınıza Outlook yerine kullanabileceğiniz Thunderbird (www.mozilla.org/thunderbird/) e-posta istemcisini kurunuz.
3) Thunderbird’de gerekli ayarları yaptıktan sonra Thunderbird’teki Eklentiler menüsünden Enigmail eklentisini bulup kurunuz.
4) Kurulumdan sonra Thunderbird yeniden başlatılacak. Enigmail sizden bazı ayarlar isteyecek. Yeni bir anahtar çifti yaratabileceğiniz gibi bilgisayarınızda kurulu anahtarı da kullanabilirsiniz. Bir diğer deyişle, yukarıda komut satırında belirtilen adımları grafik bir arayüzde çok rahat tamamlayabilirsiniz.
Kurulumdan sonra Thunderbird menülerine OpenPGP başlığı eklenecektir. İstediğiniz zaman kendinize yeni anahtarlar yaratabilirsiniz. Thunderbird’ü Enigmail eklentisiyle kullandığınızda:
1) Size gönderilmiş şifreli e-postaları parolanızı girerek açabilirsiniz.
2) Arkadaşlarınızı açık anahtarınız konusunda bilgilendirebilirsiniz.
3) Size gönderilen bir açık anahtar bilgisini (.asc uzantılı) kaydedip, daha sonra bunu gönderen arkadaşınızla güvenli bir şekilde iletişime geçebilirsiniz.
4) OpenPG ->Anahtar Yönetimi menüsüne tıklayarak seçtiğiniz anahtarınızı açık anahtar sunucularına yükleyebilirsiniz. Açık anahtar sunucularını telefon rehberi olarak değerlendirebilirsiniz. Ama rehberde bulunup bulunmamak sizin tercihinizdir. Bu rehberden e-posta adreslerini yazarak arkadaşlarınızın açık anahtarlarını da arayabilirsiniz.
5) E-Postalarınızı imzalayabilir ya da açık anahtarına sahip olduğunuz kişilere özel mesajlar yollayabilirsiniz.
6) Gelen mesajların gerçekten ilgili kişiden geldiğini doğrulayabilirsiniz.
GnuPG’nin farklı işletim sistemlerine (OSX, Windows, Android) kurulumu için Cryptoparty Elkitabı’nın Email Encyrption başlıklı yedinci bölümüne bakabilirsiniz (https://www.cryptoparty.in/documentation/handbook). Kurulum, grafiklerle detaylı bir şekilde anlatılıyor.
Dikkat!
Ancak GnuPG kullanırken dikkatli olmamız gerekiyor. GnuPG’nin sağladığı güvenlik kullanıcının dikkatsizliği ile çok kolay darmadağın olabilir. İnsanlar e-postanın güvensiz olduğunu bildiklerinde en azından hassas konuları e-posta üzerinden paylaşmazlar. Ama güvenlik yanılgısı güvensiz ortamlardan çok daha tehlikelidir. Parolanızı sadece kafanızda saklamanız gerekir. Parolasını ve özel anahtarını kaybetmemek ve unutmamak için bunu kendi e-postasına atan kullanıcı ne kadar güvendedir? Kimi kullanıcılar ise güvenlik konusunda aşırı hassastır. Anahtarlarını sadece bir CD’de ya da USB’de saklamakta, sadece mesaj atacakları zaman bunları bilgisayarlarına takmaktadırlar. Ne kadar güvenliğe ihtiyacınızın olduğuna siz karar vereceksiniz.
GnuPG’nin şifreleme algoritmasının sonsuz bir güvenlik sunduğunu da düşünmemek gerekir. Bilgisayarınıza takılan ve çok zor fark edebileceğiniz bir aygıt ya da bilgisayarınıza sızan bir yazılımla tüm klavye hareketleriniz elde edilebilir. Böylece şifrenizi kırmaya gerek bile kalmaz. Belki bilgisayarın işletim sisteminin güncel tutulması, şifre girerken sanal klavye kullanılması, tüm anahtarların şifreli olarak taşınabilir ortamlarda saklanması ek bir güvenlik sağlayabilir. Ancak bu önlemler gündelik hayatta çoğu zaman gereksizdir.
GnuPG’yi doğru biçimde kullanmak çoğu kullanıcı için yeterli olacaktır ve e-postalarımızın üçüncü kişi ya da kurumlar tarafından analizini engelleyecektir.
Dipnot
1) NSA’nın çok gizli ve sadece şifre kırmak için özelleştirilmiş bilgisayarları olduğuna dedikodular vardır.
Kaynaklar
1) Loshin, P, 2013, Simple Steps to Data Encryption: A Practical Guide to Secure Computing, Access Online via Elsevier.
2) Lucas, M, 2006, PGP & GPG: Email for the practical paranoid, No Starch Press.
