Sözlük

Kriptoloji (Cryptology): Çözülebilmesi çok zor matematik problemleri ve mekanizmaları inceleyen Kriptografiyi (Cryptography) ve bu problemleri ve mekanizmaları çözmeyi hedefleyen ve saldırıları belirleyen Kriptoanalizi (Cryptanalysis) içerir. Kriptoloji = Kriptografi + Kriptoanaliz.

Şifreleme (Encryption): Veriyi bir anahtarla şifrelemeye verilen addır. Amaç; veriyi, gerekli anahtar olmadan çözülebilmesi imkansıza mümkün olduğunca yakın şekilde kodlamaktır.

Şifre Çözme (Decryption): Şifrelenmiş veriyi çözüp eski haline getirme işlemidir.

Açık Metin (Plaintext): Metinlerin şifrelenmemiş, normal, okunabilir halleridir.

Şifreli Metin (Ciphertext): Metinlerin şifrelenmiş, okunamaz halleridir.

Anahtar (Key): Veri şifrelemek için kullanılan algoritmanın bilinmeyen kısmını oluşturan parçadır (sayı, kelime veya herhangi bir sayısal veri parçası). Veriyi şifrelemek ya da çözmek için anahtar kullanılır.

Açık Anahtarlı Algoritmalar (Public Key Algorithms): Veri şifrelemenin ve şifrelenmiş veriyi çözmenin farklı anahtarlar yardımıyla yapıldığı kriptografik algoritmalardır. Açık anahtar ve onun eşi olan özel anahtar beraber bir anahtar çifti oluşturur. RSA, El Gamal gibi şifreleme algoritmaları ve Diffie-Hellman anahtar değişim algoritması en çok bilinenleridir.

Açık Anahtar (Public Key): Açık anahtarlı kriptografide herkes tarafından erişilebilen anahtardır. Sadece eşi olan özel anahtara sahip kişi tarafından açılması istenen verileri şifrelemek için ya da özel anahtar sahibi tarafından şifrelenmiş verileri çözmek için kullanılır.

Özel Anahtar (Private Key): Açık anahtarlı kriptografide, sadece sahibi tarafından bilinmesi gereken anahtardır. Karşılık gelen açık anahtarla şifrelenmiş verileri çözmek veya veri imzalamak için kullanılır. Sistemin güvenlik açısından dayanak noktası özel anahtarın sahibi dışında kullanılmamasıdır. Bu yüzden, özel anahtarın korunması gereklidir.

Anahtar Yönetimi (Key Management): Açık anahtarlı kriptografide, kriptografik anahtarların üretimi, saklanması, dağıtımı, iptali, arşivlenmesi ve uygulamaya alınması işlemlerini kapsar.

Elektronik Sertifika (Certificate): İmza sahibinin imza doğrulama verisini (elektronik imzayı doğrulamak için kullanılan şifreler, kriptografik açık anahtarlar gibi veriler) ve kimlik bilgilerini birbirine bağlayan elektronik kayıt. Elektronik sertifikaların içeriğinde aşağıdaki bilgiler vardır:

Elektronik Sertifika Hizmet Sağlayıcısı (ESHS) (Certificate Authority (CA)): Elektronik Sertifika Hizmet Sağlayıcısı (ESHS), Kanun'da "elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişileri" olarak tanımlanır. ESHS'ler, kayıt merkezleri aracılığıyla aldıkları elektronik sertifika başvurularını değerlendirip güvenli koşullar altında işleyerek elektronik sertifikaları üretir, sertifika başvuru sahiplerine ulaştırır. Bunun yanı sıra, sertifika yenileme ve iptal hizmetlerini, sertifika ve iptal durumu yayımlama hizmetlerini ve zaman damgası hizmetlerini verir. Kanun gereği, Türkiye´de elektronik imzanın hukuki ve teknik yönleri ile uygulanmasına ilişkin usul ve esasları düzenleme ve ESHS'lerin faaliyetlerini denetleme görevi Telekomünikasyon Kurumu'na (TK) verilmiştir.

Kök Sertifika (Root Certificate): Bir ESHS'nin, başvuru sahiplerine yönelik olarak sertifika üretebilmesini sağlayan, ürettiği nitelikli elektronik sertifikalar ve sunucu sertifikaları gibi sertifikaları imzalamakta kullandığı imza oluşturma verisine (imza sahibine ait olan, imza sahibi tarafından elektronik imza oluşturma amacıyla kullanılan ve bir eşi daha olmayan şifreler, kriptografik gizli anahtarlar gibi veriler) karşılık gelen imza doğrulama verisiyle (elektronik imzayı doğrulamak için kullanılan şifreler, kriptografik açık anahtarlar gibi veriler) ESHS'nin kurumsal kimliği arasında bağ kuran, yine ESHS'nin kendi imza oluşturma verisiyle imzalanmış sertifikasına kök sertifika adı verilir. 5070 sayılı Elektronik İmza Kanunu uyarınca TK tarafından yayımlanan "Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik" gereği, ESHS faaliyete geçmesini müteakip yedi (7) gün içinde; kök sertifikasının sertifika özet değerini ve özetleme algoritmasını kendi İnternet sayfasında yayımlar, ulusal yayın yapan en yüksek tirajlı üç (3) gazetede ilan vermek suretiyle kamuoyuna duyurur ve gazete ilanlarının bir örneğini TK'ya iletir.

EAL (Evaluation Assurance Level): EAL seviyeleri değerlendirmelerin sağladığı garanti seviyelerini ifade eder. 7 adet garanti seviyesi vardır. İlk dört garanti seviyesi için uluslararası kabul görmüş bir değerlendirme metodolojisi (CEM - The Common Evaluation Methodology) mevcuttur. EAL 5, 6 ve 7 için ülkeler kendi yorumlarını kullanmaktadırlar. Değerlendirme garanti seviyesi yükseldikçe ürünün değerlendirmesinde daha fazla ayrıntıya inilmekte, böylece ürüne ve değerlendirmeye olan güven artmaktadır. EAL seviyesinin yüksekliği ürünün güvenlik seviyesinin doğrudan bir göstergesi değildir. EAL seviyesi arttıkça ürünün sağlaması gereken güvenlik garanti gereksinimleri artmaktadır.

OKTEM (Ortak Kriter Test Merkezi - TÜBİTAK UEKAE) laboratuarında şu anda EAL4'e kadar değerlendirme yapılmaktadır:

• EAL1: Fonksiyonel olarak test edilmişltir;
• EAL2: Yapısal olarak test edilmişltir;
• EAL3: Metodik olarak test edilmişltir;
• EAL4: Metodik olarak geliştirilmiş ve test edilmiştir.

TEMPEST Güvenliği (Emission Security): TEMPEST (Telecommunications Electronics Material Protected From Emanating Spurious Transmissions) güvenliği; haberleşme sistemlerinden, bilgiişlem donatımlarından veya kripto donatımlarından salımlanan elektromanyetik dalgalardan yetkisiz kişilerin bilgi çıkarsamalarını engelleyici güvenlik önlemlerinin tümüdür.

Şifre Kırma (Crack): Elektronik ortamda kullanılan şifreleri öğrenmek amacıyla yapılan işlemdir. Genellikle art niyetli kişilerce, çıkar amaçlı uygulandığı için yasadışı olarak kabul edilmektedir.