Neden şifrelemeye ihtiyaç duyarız?

SO27001, KVKK, EU-GDPR, PCI-DSS, HIPAA, PII gibi birçok regülasyon var ve bu regülasyonlara uyum sağlayabilmek için teknoloji tarafında yapmamız gerekenleri konuşuyoruz. Bu konuyu önemseyip aksiyon alan kurum ve kuruluşlar olduğu gibi konunun ciddiyetine vakıf olamamış, gerekli yatırımları yapabilecek bütçesi olmayan, bu süreci nasıl tamamlayacağını bilmeyen, hatta konuyu önemsemeyen firmalar da var ne yazık ki. Özellikle Türkiye’de son yıllarda KVKK (Kişisel Verilerin Korunması Kanunu) çerçevesinde ciddi denetlemeler ve yaptırımlar konuşulmaya başlandı. Hatta birçok özel firmanın da ceza aldığını biliyoruz. 

Veri şifreleme konusu yeni bir kavram olmayıp M.Ö 58 yıllarına dayanmaktadır. Yunanca Kryptos (Gizli) + Graphein (Yazma) kelimelerinin birleşmesinden oluşan KRYPTOSGRAPHEIN kelimesinden gelmekte olup dilimize “Kriptografi” yani “Şifreleme bilimi” olarak çevrilmiştir.  İlk zamanlar şifreleme için iki yöntem kullanılmış. 

Örnek olarak;

Yer Değiştirme: TABAK = BTAKA (Aynı harflerin yerleri değişir.)

Yerine Koyma: TABAK = QDEDN (Harflerin yerine farklı harf kullanılır.) 

Tahmin edebileceğiniz üzere bu iki yöntem de günümüzdeki teknolojik gelişmeler ile tahmin edilmesi zor olmayan, özellikle kısa kelimelerde harflerin çözülmesini mümkün kılan bir metot.  Zamanla birçok farklı zorlu metot üretilmiş, savaş alanlarında rakibe karşı üstünlük kurarak savaşı kazanabilmek adına ve casusluk amaçlı kullanılmıştır. Günümüze gelecek olursak çok daha karmaşık metotlar kullanılmakta, teknolojinin nimetlerinden en son noktaya kadar faydalanılmaktadır. Askeri, elektronik, banka sistemleri, e-ticaret siteleri, borsa, sigorta ve daha birçok yer veri şifreleme metotları kullanarak verilerinin güvenliğini sağlayıp istenmeyen kişilerin eline geçmesi durumunda da kullanılabilirliğini engellemektedir. Şifreleme gereksinimi ülkelerden tutun da firma ve kurumlara hatta standart bir bilgisayar kullanıcısına kadar herkesin ihtiyacı haline gelmiş durumda. Günümüzde simetrik ve asimetrik şifreleme metotları kullanılmaktadır. 

Simetrik Şifreleme Algoritmaları:

DES (Data Encrytion Standard - Veri Şifreleme Standartı)

AES (Advanced Encrytion Standard - Gelişmiş Şifreleme Standartı)

Blowfish 

Asimetrik Şifreleme Algoritmaları:

DH (Diffie-Helman)

RSA (Rivest-Shamir-Adleman)

Anahtarsız Algoritmalar şifreleme yöntemlerinden bazılarıdır.

Peki şifrelemeye neden ihtiyacımız var?

Eskiden büyük toprak alanlarına sahip olmak çok önemliyken bugün en önemli araç veri olarak görülüyor. Bu yüzden büyük sosyal medya şirketleri (Facebook, Twiter, Instagram vb.) tüm dünyada edindikleri verileri kullanarak inanılması zor bir servet ve güç elde etmiş durumdalar. Bu sebepten dolayı elimizdeki veriyi ya da ürettiğimiz veriyi işlemek, korumak, erişim yetkilerini sınırlandırmak ve şifreli olarak muhafaza etmek ciddi önem taşımaktadır. 

Veriyi şifreleriz zira verimizin başkasının eline geçmesi durumunda kullanılabilir olmaması ve okunamamasını isteriz. KVKK kapsamında verinin şifrelenmesi Kriptografik yöntemlerle yapılmalı ve şifrenin, veri ile aynı ortamda olmaması gerektiği ifade edilmektedir. Bu da şifrelenmiş verinin kötü amaçlı ellere geçmesi durumunda veriyi okumak için kullanılan anahtarın aynı ortamda olmaması gerekliliğinden kaynaklıdır.  Bunu en anlaşılır ve basit şekilde anlatmak gerekirse eğer, evin kapısını kilitleyip anahtarı saksının altında ya da paspasın altında tutmamak olarak somutlaştırabiliriz. Anahtar cebimizde olacağından erişilmesi güç olacaktır. Böylece hırsızın kapıyı açacak anahtarı bulmasını zorlaştırmış oluruz.  Bunun daha karmaşık yöntemi veri şifreleme ürünleri ile yapılabilmekte, veriyi okumaya yarayacak kullanıcı ve ana anahtarlar farklı şifre kasalarında tutularak verinin okunabilmesinin önüne geçilmiş olunmaktadır. Kurum ve kuruluşlar verilerini şifreleyip koruyamadıklarından birçok veri hırsızlığı vakası yaşanmaktadır.

Yukarıda bahsettiğimiz regülasyonlar verilerin uygun bir ortamda tutulmasını, yetki erişimlerini ve verinin şifrelenmesi prosedürlerini de amaçlamaktadır.