User:Hocak2/Açık Anahtar Altyapısı

AÇIK ANAHTAR ALTYAPISINDAKİ RİSKLER

Risk-1 : Güven Sorunu

Açık anahtar altyapısında kime ve neden güvenileceğiyle alakalı sorular oluşmaktadır. Sertifika otoriteleri genelde güvenilir olarak belirtilir. Güvenilir olması aslında gizli anahtarlarını iyi yönetmesidir. Böyle olması da sertifika otoritesinin ürettiği sertifikalara güvenileceği manasına gelmez.

Risk-2 : Anahtar Kullanımı ve Güvenliği

Açık anahtar altyapısının en büyük risklerinden birisi de gizli anahtarın güvenli bir şekilde saklanması ve kullanılmasıyla ilgilidir. Gizli anahtar genelde güvenli bir fiziksel ortam olmadan ve fiziksel saldırılara karşı korunma yapılmadan saklanır. Çünkü çoğu kişi veya kurumlar böyle bir ortama sahip değildir veya olamazlar. Bunun yanında gizli anahtarın saklandığı makinaya virüs veya diğer zararlı yazılımlar bulaşabilir. Açık anahtarın sağladığı özelliklerden birisi de inkar edememe olması, çok güvenli olması ve asla kırılamamasını gerektirir. Ama gizli anahtar elde edilebiliyorsa bu güvenlik özelliklerini karşılaması risk oluşturur.

Risk-3 : Açık Anahtar Altyapısının Çalıştığı Makinanın Güvenliği

Sertifika doğrulamada yalnızca açık anahtar kullanılır. Burada birkaç kök sertifikanın açık anahtarı da kullanılabilir. Eğer saldırgan kendi açık anahtarını bu listeye ekleyebilirse kendi sertifikasını üretebilir ve bu güvenli yollardan üretilmiş bir sertifika gibi çalışır. Kök sertifikaları bilgisayarda “kök sertifikalar” bölümünde tutmak problemi çözmez. Bu şekilde olan sertifikalar kişisel imzalanmıştır ve güvenliği artırmaz.

Risk-4 : Karşıdaki Kişiyi Doğrulama Problemi

Sertifikalarda genelde açık anahtar bir isimle eşleştirilir. Herhangi bir isimle bir sertifikayla karşılaşıldığında bu sertifikanın gerçekten de o zannedilen isim olduğundan emin olunamaz. Çünkü sertifika otoritelerinde aynı isimden farklı sertifikalar alınmış olabilir. Karşıdaki kişinin zannedilen kişi olduğuna sadece uygulama olarak güvenilir. Ama gerçekte doğru olmayabilir.

Risk-5 : Sertifika Otoritesi Güven Problemi

Sertifika veren otoritenin gerçekten de bir otorite mi olup olmadığının sorgulanamıyor olması da riskli bir durumdur.

Risk-6 : Güvenliğin Kullanıcı Seçimine Bağlılığı Problemi

SSL ile korunan sayfadan alışveriş yapmaya kullanıcı sayfada gördüklerine göre karar verir. Sertifika direkt görünmez ve içerikle alakası yoktur. SSL güvenliği sayfadaki içerikle ilgilenmez, sadece DNS adresiyle ilgilidir. Alışveriş yapılan sitenin sertifikasında site sahibinin değil de hosting yapan firmanın adı yazıyor olabilir. Kullanıcılar ise bunun farkına varamazlar.