Elektronik ticarette alıcı ve satıcı birbirlerini görmeksizin iş yaptıklarından karşılıklı olarak güvenin sağlanması için ek bir takım önlemlere ihtiyaç duyulmuştur. Öncelikle alıcı ve satıcı taraflar birbirlerinin kimliklerinden ve gönderdikleri bilgilerin güvenliğinden emin olmak istemektedirler. Bu ihtiyaç dijital imza ve sertifikaların yanısıra çeşitli güvenlik algoritmalarının doğmasına neden olmuştur
Dijital İmza
Elektronik imza; bir bilginin üçüncü şahıs ya da kurumların erişimine kapalı bir ortamda, bütünlüğü bozulmadan ve tarafların kimlikleri doğrulanarak iletildiğini elektronik araçlarla garanti eden harf ya da sembollerden oluşmuş bir karakter setidir. Dijital imza; elektronik imzanın özel bir çeşidi olup bir anahtar çifti ile (açık ve gizli anahtar) elektronik ortamda iletilen veriye vurulan bir mühürdür
Günlük hayatta kullanılan imzalarda olduğu gibi, dijital imzalar da elektronik ortamda gönderilen bilginin veya e-postanın kime ait olduğunu göstermek için kullanılır. Dijital imzaların oluşturulmasında ve doğrulanmasında dijital sertifikalar kullanılır. Kullanıcının gönderdiği veriyi imzalaması için kendine ait bir dijital sertifikası bulunmalıdır
Dijital Sertifika
Dijital sertifika ya da dijital kimlik günlük hayatta kullanılan ehliyet, pasaport gibi kimlik kartlarının elektronik ortamdaki karşılığını ifade etmektedir. Dijital sertifika kişinin kimliğini ve söz konusu bilgiye veya hizmete ulaşım hakkını kanıtlamak için elektronik olarak ibraz edilmek üzere geliştirilmiştir
Dijital sertifikalar dijital bilgileri şifrelemek ve şifrelenen bilgileri çözmek için kullanılan bir çift elektronik anahtar ile kimlik bilgisini bağlamaktadır. Dijital sertifika ile kullanıcıların ve kuruluşların bilgilerinin iletişim ağlarında güvenli bir şekilde iletilmesi sağlanır. Dijital sertifikada kullanıcıya ait açık anahtar, kullanıcının adı, son kullanma tarihi sertifikanın alındığı kurumun adı ve seri numarası bulunur. Dijital sertifikaların verilmesi ve yönetilmesi işlemleri sertifikasyon kurumu tarafından düzenlenir. Dijital sertifikalar bu kurumların gizli anahtarıyla imzalanır. Dijital sertifika açık anahtar ile kişi veya kurumun eşleştirilmiş halidir. Sertifikasyon kurumu güvenilir bir kaynak olarak, bir kurum ya da kişiyi bir açık anahtar ile eşleştirme işlevini gerçekleştirmektedir. Dijital sertifika GlobalSign ve VeriSign gibi sertifikasyon kurumlarından temin edilebilmektedir. Sertifika isteyen kişinin bilgileri sertifikasyon kurumuna ulaştıktan ve doğrulandıktan sonra sertifika talepleri otomatik olarak işleme konur ve elektronik ortamda sertifikalar iletilir . Türkiye yasal düzenlemelerin eksik olması nedeniyle dijital sertifikalar henüz kullanıcılar tarafından kullanılmamaktadır. Ancak Avrupa Birliği’ne uyum çalışmaları ile beraber yasal düzenlemelerin gerçekleştirilmesi ve böylece dijital imzaların kullanımının başlaması beklenmektedir
Açık ve Gizli Anahtar
Anahtar, şifrelemek veya deşifre etmek için kullanılan sayısal karakterler dizisidir. Simetrik anahtar algoritmasında şifrelemek ve deşifre etmek için aynı anahtar; açık anahtar algoritmasında şifrelemek için açık anahtar, deşifre etmek için ise gizli anahtar kullanılır. Dijital imzalar açık anahtar algoritmasını kullanır. Dijital imza, imzanın sahibinin gizli anahtarı kullanılarak oluşturulur. Alıcı da imza sahibinin açık anahtarını kullanarak imzasını kontrol eder . Açık anahtar (public key) herkesçe bilinir ve açık anahtara bir veri tabanından (telefon rehberi gibi) ulaşılabilir. Gizli anahtar ise sadece kullanıcının kendisi tarafından bilinir ve kullanılır .
Açık ve gizli anahtarlar bilgilerin güvenli bir ortamda iletimi için kullanılmaktadır. Bir anahtarın diğerinden türetilmesi veya hesaplanması mümkün değildir. Açık anahtarın başkaları tarafından bilinmesinin bir sakıncası yoktur fakat gizli anahtar kesinlikle bir başkası bilmemelidir. Dijital anahtarlar açık-gizli anahtar şifreleme algoritması üzerine kurulmuştur. Bir açık-gizli anahtar çifti bir sayı çiftinden ibarettir. Gizli anahtar sadece sahibi olan kişi ya da kurum tarafından bilinir ve dijital imzayı oluşturmak için kullanılır. Açık anahtar ise dijital imzaların doğrulanması için kullanılır. Bir dijital imzanın doğrulanması mesajın geldiği kişinin kimliğinin doğrulanması anlamına gelmektedir
Şifreleme
Şifreleme, elektronik ortamda iletilen bilginin dönüştürülmesi işlemidir. Bu yöntemde bilgi, alıcı dışında başka bir kişi tarafından okunamaması yada değiştirilememesi için kodlanır. Şifreleme ile gönderilen herhangi bir bilginin gizliliği korunmuş ve bütünlüğü bozulmamış olur. Şifreleme daha çok internet üzerinden alışverişte kredi kartı bilgilerinin aktarımı esnasında kullanılmaktadır. İnternet üzerinden alışveriş yapan birçok insan kredi kartı bilgilerinin üçüncü şahıslar tarafından ele geçirilmesinden endişe duydukları için alışverişte kredi kartı ile ilgili işlemlerini telefon aracılığıyla yapmayı tercih etmektedirler .
Şifreleme yönteminde güvenliği artırmak amacıyla çeşitli şifreleme algoritmaları kullanılmaktadır. Kullanılan bu şifreleme algoritmaları üç grup altında toplanmaktadır:
- Gizli (simetrik) anahtar algoritması
- Açık (simetrik olmayan) anahtar algoritması
- Gizli ve açık anahtar algoritması
Gizli anahtar algoritmasında şifrenin hazırlanması ve çözülmesi için aynı anahtar kullanılmakta ve şifreli iletinin çözülebilmesi için alıcının kullanılan anahtarı daha önceden bilmesi gerekmektedir.
Açık anahtar algoritmasında şifreleme için kullanılan anahtarlar ile şifre çözümünde kullanılan anahtarlar farklıdır. Bu nedenle bu algoritma tipinde şifreleme için kullanılan anahtar bilinse dahi (zaten bu anahtar açıktır ve herkes tarafından kolaylıkla öğrenilebilir), bu anahtarı kullanarak şifreyi çözmek için kullanılan anahtarı elde etmek olanaksızdır. Böylece gizli anahtarlar ile şifrelenen bilgiler ancak açık anahtar ile açılabilir. Bu tip algoritmalarda gizli anahtarla şifrelenen iletilerin açık anahtarlar ile çözülme zamanı, gizli anahtar algoritmalardakine kıyasla çok daha uzundur. Bu zaman ileti uzunluğu ile üstel olarak artmaktadır.
Açık anahtar algoritmalar, gizli anahtar algoritmalarına kıyasla çok fazla bilgisayar kullanımını gerektirdiğinden, gerek şifreleme gerekse şifre çözümünde çok zaman kaybına neden olurlar. Buna karşılık açık anahtar algoritmalar, gizli anahtar algoritmalarına kıyasla çok daha güvenilirdirler. Bu nedenle pek çok anahtar algoritma bu iki yöntemi birlikte kullanmaktadır
Güvenlik Protokolleri
Günümüzde e-ticaret işlemlerinin güvenliğinin sağlanmasında yaygın olarak iki protokol kullanılmaktadır:
- SSL (Secure Sockets Layer) Protokolü
- SET (Secure Electronic Transaction) Protokolü
SSL (Secure Socket Layer)
SSL (Secure Sockets Layer-Güvenli Soket Katmanı), 1995 yılında internet üzerinde güvenli veri alışverişi sağlayabilmek amacıyla Netscape Communications tarafından geliştirilmiş bir güvenlik protokolüdür.
SSL hem bir private key (özel anahtar) hem de bir public key (genel anahtar) kullanarak şifreleme yapar. Netscape ve Internet Explorer gibi tarayıcıların çoğu (özellikle yeni sürümleri) SSL’i desteklemektedir. SSL güvenlik sistemi tam ve kesin bir koruma sağlamaktadır. SSL gönderilen bilginin kesinlikle ve sadece doğru adreste deşifre edilebilmesini sağlar. Bilgi gönderilmeden önce otomatik olarak şifrelenir ve sadece doğru alıcı tarafından deşifre edilebilir. Her iki tarafta da doğrulama yapılarak işlemin ve bilginin gizliliği ve bütünlüğü korunur. Veri akışında kullanılan şifreleme yönteminin gücü kullanılan anahtar uzunluğuna bağlıdır. Anahtar uzunluğu bilginin korunması için çok önemlidir. Örneğin; 8 bit üzerinden bir iletimin çözülmesi son derece kolaydır. Bit, ikilik sayma düzeninde bir rakamı ifade eder. Bir bit, 0 veya 1 olmak üzere 2 farklı değer alabilir. 8 bit ise sadece 28=256 olası farklı anahtar içerir. Bir bilgisayar bu 256 farklı olasılığı sıra ile inceleyerek bir sonuca ulaşabilir. SSL protokolünde 40 bit ve 128 bit şifreleme kullanılmaktadır. 128 bit şifrelemede 2128 değişik anahtar vardır ve bu şifrenin çözülebilmesi çok büyük bir maliyet ve zaman gerektirir. Kötü niyetli bir kişinin 128 bitlik şifreyi çözebilmesi için 1 milyon dolarlık yatırım yaptıktan sonra 67 yıl gibi bir zaman harcaması gerekmektedir. Ayrıca bir kırılma gerçekleşse bile oturum anahtarı sadece bir oturumda kullanıldıktan sonra imha edildiğinden, şifreyi kıran kişi başka hiç bir oturumu görememektedir .
SET (Secure Electronic Transaction)
SET (Secure Electronic Transaction-Güvenli Elektronik İşlem) banka kartları ve ödemeler ile ilgili bilgilerin güvenliğini sağlamak amacıyla Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC, Terisa Systems ve Verisign’ın katılımıyla oluşan bir konsorsiyum tarafından geliştirilmiştir .
SET iletiminin yapılabilmesi için uygulamaya katılan tüm tarafların gerekli SET yazılımını sağlayıp sistemlerine yüklenmesi gerekmektedir. Müşteri her hangi bir bankada bir hesap açtığında bir sertifika alır ve kendisine iki anahtar sağlanır. Dijital imza sipariş için kullanılırken anahtarlardan biri şifreleme, diğeri kimlik belirleme ve ödeme bilgileri için kullanılır (20).
Bir SET uygulamasında öncelikle banka veya kredi kartı şirketi, müşteri ve satıcı için elektronik ortamda sertifikalar üretir. Sertifikaların kopyaları her siparişte alıcı ve satıcı arasında karşılıklı olarak birbirlerine iletilir. Bu bilgiler şifreli olup ancak yetkililer tarafından okunabilmektedir. Bu aşamadan sonra internet üzerinden alışveriş yapmak isteyen kullanıcı istediği ürünü seçer ve sipariş eder, satıcı daha önce edindiği sertifikayı müşteriye iletir ve müşteri böylece satıcıyı belirler. Müşteri siparişini birinci adımda gizli anahtar ile şifreler ve daha sonra açık anahtarını kullanarak ikinci şifrelemeyi gerçekleştirir. Bu durumda satıcı sadece müşteri siparişinin şifre çözümünü yapabilir. Bu esnada siparişin parasal kısmı ve kredi kart numarası şifrelenmiş olarak aktarılır. Satıcı kendi özel anahtarını kullanarak gizli anahtarının ve daha sonra da siparişin şifresini çözer. Bu esnada satıcı siparişin kopyası ile birlikte ödeme bilgilerini bankaya iletir. Banka önce müşteriye ait bilgileri kontrol eder ve daha sonra bilgileri açar. Sonra müşterinin ödeme bilgilerini kontrol eder ve satıcıya gerekli garantiyi verir. Satıcı bunun üzerine müşterisinin siparişini yerine getirir .
SET protokolü hakkında performansının yavaş olması, kullanımının tecrübe gerektirmesi ya da kullanıcıların deneyim kazanabilmeleri için gereken yatırım miktarı açısından olumsuz yaklaşımlar söz konusudur. Ancak SET’in sağladığı yüksek güvenliğin getirdiği avantajlar bu olumsuzlukların etkisini en aza indirmekte ve SET protokolü firmalar için vazgeçilmez bir standart halini almaktadır