Iscturkey All Papers

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Ülke Bilgi Güvenliği Yılmaz VURAL, Şeref SAĞIROĞLU Özet— Kiúisel ve kurumsal düzeyde stratejik bilgileri içeren ülke bilgi sistemleri, güvenlik tehditlerine karúÕ korunmalÕdÕr. AyrÕca geliútirilen yeni uygulamalarÕn da beraberinde yeni Ülke bilgi sistemlerimizde bilgilerin üretilmesi, iúlenmesi, güvenlik tehditlerini getirdi÷i düúünüldü÷ünde bilgi iletilmesi, depolanmasÕ ve paylaúÕlmasÕna ba÷lÕ olarak oluúabilecek güvenlik ihlallerini en aza indirgemek için kiúisel ve güvenli÷inin sa÷lanmasÕnÕn her geçen gün daha da zorlaútÕ÷Õ kurumsal seviyede alÕnmasÕ gereken güvenlik önlemleri her anlaúÕlacaktÕr. geçen gün artmaktadÕr. Bu çalÕúmada, ülke bilgi güvenli÷inin Kamu veya özel kuruluúlara ait a÷ destekli bilgi yüksek seviyede sa÷lanmasÕ için kurumsal ve kiúisel bilgi sistemlerinin birbirleriyle etkileúimi her geçen gün artmakta güvenli÷inin önemi, en zayÕf halka olan insan faktörünün ve bu sistemler ülke bilgi sistemlerinin altyapÕsÕnÕ iyileútirilmesi için e÷itimin önemi ve güvenlik süreçlerinin oluúturmaktadÕr. Ülke bilgi sistemleri ülke güvenli÷i açÕsÕndan iyileútirilmesini sa÷layan güvenlik testleri incelenmiútir. Son olarak ülke bilgi güvenli÷i hakkÕnda genel de÷erlendirmeler önemli olan stratejik ülke bilgilerinin, ilgili kurumlarÕn kendi yapÕlarak öneriler yapÕlmÕútÕr. içinde veya baúka kurumlar arasÕnda paylaúÕlmasÕnÕ ve kullanÕlmasÕnÕ sa÷ladÕ÷Õndan ülke bilgi sistemlerinin Anahtar— Bilgi güvenli÷i, kiúisel bilgi güvenli÷i, kurumsal güvenli÷inin yüksek seviyede sa÷lanmasÕ ülke güvenli÷i bilgi güvenli÷i, güvenlik testleri, ülke bilgi güvenli÷i açÕsÕndan önemlidir. Kiúilerin ve kurumlarÕn sahip olduklarÕ önemli bilgilerin yer Summary— National Information Systems that consist of aldÕ÷Õ ülke bilgi sistemleri istihbarat veya terör amaçlÕ strategic information at personal and enterprise level must be yapÕlabilecek siber saldÕrÕlara karúÕ yüksek seviyede protected against threats. Personal and enterprise level security precautions are increasing day by day in order to decrease korunmasÕ gerekmektedir. Ülke bilgi güvenli÷ini tehdit eden probable security threats that occur as a result of information unsurlar sadece elektronik ortamlarda yapÕlan saldÕrÕlarla being produced, processed, transferred, stored and shared on sÕnÕrlÕ de÷ildir. ønsan hatalarÕ, yangÕn, sel, deprem, terör national information systems. In this paper, importance of saldÕrÕlarÕ, sabotaj gibi istenmeyen olaylar veya do÷al personal and enterprise information security in order to provide felaketler sonucunda da bilgiler ve bilgi sistemleri tamamen ya national information security, importance of information da kÕsmen zarar görmektedir. AyrÕca korunmasÕzlÕ÷Õn yanÕnda security education and awareness in order to improve human factor which is the weakest link of security life cycle and security korunma seviyesinin iyi belirlenememesi ve etkin güvenlik tests supplying improvements of security processes have been önlemlerinin alÕnamamasÕ da beraberinde maliyet, performans examined. Finally some evaluations about national information ve verimsizlik gibi önemli di÷er sorunlara yol açmaktadÕr. security have been performed. Günümüzde elektronik ortamlarda meydana gelen güvenlik ihlâllerinden hemen hemen her gün bahsedilmektedir. Bu Keywords— Information security, enterprise information ihlallerden bir tanesi olan ve ülke bilgi güvenli÷i açÕsÕndan security, personal security, security testing, national information önemli bir örnek olan “EstonyanÕn ülke bilgi sistemlerine security karúÕ yapÕlan da÷ÕtÕk temelli hizmet aksattÕrma saldÕrÕlarÕ” I. GøRøù sonucunda 1,3 milyonluk nüfusa sahip Estonya'daki kamu, banka ve medya internet siteleri, Rusya kaynaklÕ yüz binlerce B ilgi sistemlerinin kurumsal veya kiúisel düzeyde kullanÕmÕnÕn yaygÕnlaúmasÕ sonucunda hayatÕmÕz kolaylaúÕrken güvenli÷i yüksek seviyede sa÷lanan bilgi bilgisayardan yapÕlan geniú kapsamlÕ, eúgüdümlü ve uzun süreli saldÕrÕlar sonucu çökertilmiú ve Estonyada hayat durma noktasÕna gelmiútir [2]. Bu saldÕrÕ devletler arasÕnda yaúanan sistemlerine duyulan ihtiyaçlar da aynÕ oranda artmaktadÕr [1]. ilk siber so÷uk savaú olarak tarihe geçmiútir. A÷ destekli bilgi sistemleri üzerinden haberleúen, sayÕlarÕ ønternet güvenlik úirketi McAfee firmasÕnÕn 2007 yÕlÕ hÕzla artan ve geniú kitlelerce ülke çapÕnda kullanÕlan sonunda hazÕrladÕ÷Õ raporda gelecek on yÕlda dünyada uygulamalar üzerinde tutulan bilgilerin de÷eri güvenli÷e iliúkin en büyük tehditlerden birinin, ülkeler düúünüldü÷ünde bilgi güvenli÷inin sa÷lanmasÕnÕn önemi daha arasÕnda bilgi sistemleri üzerinde yaúanacak siber so÷uk iyi anlaúÕlacaktÕr. savaúlarÕn oldu÷u belirtilmiútir. Raporda yaklaúÕk 120 ülkenin, mali piyasalar, resmi bilgisayarlar sistemleri ve kamu ù. SAöIROöLU, Gazi Üniversitesi Mühendislik MimarlÕk Fakültesi, hizmetleri alanÕnda interneti kullanmak için çözümler Bilgisayar Mühendisli÷i Bölümü, Ankara, ss@gazi.edu.tr geliútirdi÷ini ve istihbarat örgütlerinin di÷er devletlerin ülke bilgi sistemlerini sürekli sÕnayarak zayÕf noktalarÕnÕ bulmak Y. VURAL, STM A.ù., Ankara, yvural@stm.com.tr için yeni teknikler geliútirildi÷i vurgulanmÕútÕr [3]. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 3

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Bu ve benzeri siber tehditlerden ülke düzeyinde etkilenmeyi destekli bir ortamda birlikte çalÕúabilirlik kabiliyeti kazanacaktÕr. en aza indirmek için kurumsal ve kiúisel düzeyde alÕnmasÕ Sistemlerin sistemi, birbirinden farklÕ sistemlerin tek gereken önemli güvenlik tedbirleri vardÕr. Ülke bilgi baúlarÕna gerçekleútiremeyecekleri iúlevleri yapabilmek için güvenli÷inin aúamalarÕnÕ oluúturan kurumsal ve kiúisel bilgi a÷ destekli ortamlarÕ kullanarak birbirleriyle uyumlu ve etkin güvenli÷inin yüksek düzeyde sa÷lanmasÕ, ülke bilgi güvenli÷i úekilde çalÕúabilmesiyle oluúan sistemler kümesi olarak politikalarÕnÕn oluúturulmasÕ, yapÕlmasÕ gerekenler arasÕnda ilk tanÕmlanmaktadÕr [9]. Sistemlerin sistemine verilebilecek en sÕrada gelmektedir. KullanÕcÕlarÕn kiúisel bilgi güvenli÷i güzel örnek Internet’dir. ønternet yÕllar içinde geliúmiú, konusunda bilinçli olmalarÕ gerekirken, kurumlarÕn kurumsal yaygÕnlaúmÕú ve günümüzde dünyaya yayÕlmÕú bir bilgi bilgi güvenli÷i konusunda önlemler almalarÕ ise yapÕlmasÕ sistemleri toplulu÷u haline gelmiútir. gereken önemli görevler arasÕndadÕr [4]. Ulusal bilgi sisteminin bu yaklaúÕm çerçevesinde Bu çalÕúmada takip eden bölümlerde stratejik ülke oluúturulmasÕ sonucunda kazanÕlacak bir çok olumlu bilgilerinin yer aldÕ÷Õ ülke bilgi sistemleri açÕklanmÕú, ülke kabiliyetin yanÕnda güvenlik, performans ve yönetim gibi bilgi sistemlerinin güvenli÷inin sa÷lanmasÕnda önemli temel sorunlarÕnda dikkate alÕnmasÕ ve çözümlenmesi aúamalar olan kiúisel ve kurumsal bilgi güvenli÷i konularÕ ayrÕ gerekmektedir. Tüm bu sorunlarÕn çözümünde ise bilgi baúlÕklar altÕnda ele alÕnmÕú ve takip eden bölümlerde güvencesi (information assurance) kavramÕ ön plana güvenlik testleri ve e÷itimin önemi üzerinde durulmuútur. Son çÕkmaktadÕr. olarak ülke bilgi güvenli÷i konusunda de÷erlendirmeler Bilgi güvencesi bilginin güvenli÷i, performansÕ ve yönetimi yapÕlmÕú ve öneriler sunulmuútur. gibi temel konularÕn birlikte çözümlenmesini sa÷layan çözümler kümesi olarak tanÕmlanmaktadÕr [10]. Bilgi II. ÜLKE BøLGø SøSTEMLERø güvencesi sayesinde ülke bilgi sistemlerinin a÷ ve bilgi Bilgi genellikle, bireyler veya kurumlar tarafÕndan bir altyapÕlarÕnÕn bütünleúmesi sa÷lanacaktÕr. Bilgi güvencesi sorunun çözümü, herhangi bir çalÕúmanÕn baúlatÕlmasÕ ya da kurumsal bilgi sistemlerinin birlikte çalÕútÕ÷Õ ülke bilgi bitirilmesi gibi faaliyetler sonucunda ortaya çÕkarÕlan sistemlerinin tamamÕnda sa÷lanmalÕdÕr. Ülke bilgi anlamlandÕrÕlmÕú verilerin bütününü ifade etmektedir. Bilgi güvenli÷inin yüksek seviyede sa÷lanabilmesi için kurumsal kelimesinin menúei, Latincedeki herhangi bir úeye úekil bilgi güvenli÷inin ülke genelinde yeterli koruma seviyesinde vermek anlamÕna gelen “informare” kelimesinden gelmektedir sa÷lanmasÕ önemlidir. Bundan dolayÕ takip eden bölümde [5]. Sözlük anlamÕyla bilgi; “Ö÷renme, araútÕrma ve gözlem kurumsal bilgi güvenli÷inin yüksek seviyede sa÷lanmasÕna yoluyla elde edilen her türlü gerçek, malumat ve kavrayÕúÕn yönelik açÕklamalar yapÕlmÕútÕr. tümü” olarak tanÕmlanmaktadÕr [6]. Bilgi sistemleri donanÕmlar, yazÕlÕmlar, iletiúim teknolojileri ve insan gibi alt III. KURUMSAL BøLGø GÜVENLøöø bileúenlerden meydana gelmektedir. Bilgiler, bilgi sistemleri Kurumsal bilgi, kurum içinde üretilen veya kuruma aracÕlÕ÷Õyla üretilmeye, iúlenmeye, taúÕnmaya ve depolanmaya dÕúarÕdan gelen, o kurumla ilgili kayÕtlÕ ya da kayÕtsÕz her türlü baúladÕkça güvenlik tehditleri ve alÕnmasÕ gereken önlemler bilgiyi ifade etmektedir. Kurumsal bilgi, bireysel bilgilerin ise artarak farklÕlÕk göstermeye baúlamÕútÕr. toplamÕnÕn yanÕ sÕra, di÷er kurumlar tarafÕndan kolayca taklit Ülke bilgi sistemleri bireylerden kurumlara kadar de÷iúik edilemeyecek úekilde insan, teknoloji ve yönetim ilkeleri seviyelerde a÷ destekli ortamlarda bilginin yönetilmesi, iú arasÕnda üretilen bilgi kaynaklarÕnÕ ifade etmektedir [11]. verimlili÷in ve bilgi akÕúlarÕnÕn hÕzlandÕrÕlmasÕ, bireyler ve Bilgiye sürekli olarak eriúilebilirli÷in sa÷landÕ÷Õ bir kurumlarla daha hÕzlÕ iletiúimin kurulabilmesini sa÷layan ortamda, bilginin göndericisinden alÕcÕsÕna kadar gizlilik ulusal ve uluslararasÕ kullanÕmÕ olan sistemlerdir [7]. Ülke içerisinde, bozulmadan, de÷iúikli÷e u÷ramadan ve baúkalarÕ Bilgi Sistemleri sayesinde a÷ destekli ortamlarda bilginin tarafÕndan ele geçirilmeden bütünlü÷ünün sa÷lanmasÕ ve üretilmesi, iúlenmesi, taúÕnmasÕ ve saklanmasÕ sa÷lanarak güvenli bir úekilde iletilmesi süreci bilgi güvenli÷i olarak bilgiye mekândan ba÷ÕmsÕz olarak istenilen ortamlardan tanÕmlanmaktadÕr [12]. Kurumsal bilgi güvenli÷i ise, eriúilmesi ve paylaúÕlmasÕ sa÷lanmÕútÕr. Nüfus VatandaúlÕk kurumlarÕn bilgi varlÕklarÕnÕn tespit edilerek zafiyetlerinin ødaresi MERNøS, Maliye ønternet Vergi Dairesi, Sosyal belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunmasÕ Güvenlik Kurumu Bilgi Sistemi, Meteoroloji Bilgi Servisleri, amacÕyla gerekli güvenlik analizlerinin yapÕlarak önlemlerinin Co÷rafi Bilgi Sistemleri ve Banka Bilgi Sistemleri ülke bilgi alÕnmasÕ ve güvenlik süreçlerinin standartlara göre sistemlerimize ilk bakÕúta örnek olarak gösterilebilir. yönetilmesidir [13]. Ülke bilgi sistemlerimizin birlikte çalÕúabilece÷i Ulusal Kurumsal bilgi güvenli÷i, ülke bilgi güvenli÷inin Bilgi Sistemi ile ilgili çalÕúmalara ülkemizde devam sa÷lanmasÕnda önemli bir aúamadÕr. Kurumsal bilgi güvenli÷i edilmektedir. Ulusal Bilgi Sistemi ülke yönetimine yönelik sa÷lanmadÕkça, ülke bilgi güvenli÷i sa÷lanamayacaktÕr. stratejik bilgilerin ilgili kurumlar arasÕnda iliúkilendirilmesi, Kurumsal Bilgi güvenli÷inin sa÷lanmasÕ, planlanmasÕ, paylaúÕlmasÕ ve yönetilmesini amaçlayan ülke bilgi sistemleri tasarlanmasÕ, gerçekleútirilmesi, iúletilmesi, izlenmesi, toplulu÷udur [8]. Ulusal Bilgi Sisteminin kurulmasÕyla birlikte denetlenmesi, sürdürülmesi ve geliútirilmesi için, iú riski kurumsal bilgi sistemleri sistemlerin sistemi yaklaúÕmÕyla a÷ yaklaúÕmÕna dayalÕ tüm yönetim sisteminin bir parçasÕ Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 4

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Kurumsal Bilgi Güvenli÷i Yönetim Sistemi (KBGYS) olarak IV. øNSAN FAKTÖRÜ (KøùøSEL BøLGø GÜVENLøöø) tanÕmlanmaktadÕr [14]. ÇalÕúma kapsamÕnda incelenen, bilgi güvenli÷iyle ilgili Kurumlar açÕsÕndan önemli bilgilerin ve bilgi sistemlerinin yapÕlan raporlar, anketler, kitaplar ve makalelerde bilgi korunabilmesi, risklerin en aza indirilmesi ve süreklili÷inin güvenli÷inin sa÷lanmasÕndaki en zayÕf halkanÕn insan faktörü sa÷lanmasÕ, KBGYS’nin kurumlarda hayata geçirilmesiyle oldu÷u gösterilmiútir [17-23]. mümkün olmaktadÕr. KBGYS’nin kurulmasÕyla; olasÕ risk ve ønsan faktöründen kaynaklanan zafiyetlerin saldÕrganlar tehditlerin tespit edilmesi, güvenlik politikalarÕnÕn tarafÕndan kullanÕlmasÕ, teknolojik olarak tüm güvenlik oluúturulmasÕ, denetimlerin ve uygulamalarÕn kontrolü, uygun tedbirlerinin alÕnmasÕna ra÷men bilgi güvenli÷i ihlallerinin yöntemlerin geliútirilmesi, örgütsel yapÕlar kurulmasÕ ve yaúanmasÕna neden olacaktÕr. Bu ihlaller ülke bilgi güvenli÷i yazÕlÕm/donanÕm fonksiyonlarÕnÕn sa÷lanmasÕ gibi bir dizi açÕsÕndan önemli sorunlara yol açacaktÕr. denetimin birbirini tamamlayacak úekilde gerçekleútirilmesi Kiúisel bilgi güvenli÷ini tehdit eden, insan faktöründen anlamÕna gelmektedir. kaynaklanan hatalar ve alÕnmasÕ gereken önlemlerden bazÕlarÕ Sadece teknik önlemlerle (güvenlik duvarlarÕ, atak tespit aúa÷Õda baúlÕklar halinde özetlenmiútir. sistemleri, antivirüs yazÕlÕmlarÕ, anticasus yazÕlÕmlar, Güvenlik politikalarÕ ihlali: Bilgi Sistemlerindeki bilgilere úifreleme, vb.) kurumsal bilgi güvenli÷inin sa÷lanmasÕ eriúim hakkÕ olan her kullanÕcÕnÕn yöneticiler tarafÕndan mümkün de÷ildir. KBGYS; insanlarÕ, süreçleri ve bilgi onaylanan Bilgi Güvenli÷i politikalarÕna uymasÕ sistemlerini içine alan ve üst yönetim tarafÕndan desteklenen gerekmektedir. Güvenlik politikalarÕ son kullanÕcÕlar bir yönetim sistemidir. Kurumsal bilgi güvenli÷i insan, e÷itim, tarafÕndan ço÷u zaman bilerek veya bilmeyerek ihlal teknoloji gibi birçok faktörün etki etti÷i yönetilmesi zorunlu edilmektedir. Güvenlik politikalarÕnÕn ihlal edilme olan karmaúÕk süreçlerden oluúmaktadÕr. sebeplerinin baúlÕcalarÕ, kullanÕcÕ alÕúkanlÕklarÕ, Kurumsal Bilgi Güvenli÷i sadece teknoloji problemi olarak uygulanamayacak yaptÕrÕmlar, bilinçsizlik olarak tespit de÷il aynÕ zamanda insan ve yönetim problemi olarak edilmiútir. Politika ihlallerinin önüne geçebilmek için de÷erlendirilmelidir [15]. Kurumlarda insan ve yönetim kullanÕcÕlarÕn genel bilgi güvenli÷i konusunda e÷itilmesi ve hatalarÕndan kaynaklanan güvenlik ihlallerinin sebeplerine güvenlik politikalarÕnÕn uygulanabilir ifadeler içermesi bakÕldÕ÷Õnda son kullanÕcÕlardan üst yönetime kadar farklÕ gerekmektedir. kademelerde çalÕúan insanlarÕn ortak eksikliklerinin e÷itim ve Bilgi aktarÕmÕ: ønsanlar genellikle tanÕmadÕklarÕ kiúilere bilinçlendirme oldu÷u görülür. Kurumun stratejik hedeflerini sohbet esnasÕnda birçok önemli bilgiyi farkÕnda olmaksÕzÕn belirleyen en üst seviyedeki yönetim kademelerinin kurumsal iletmektedir. Hiçbir kullanÕcÕ ortam fark etmeksizin (e-posta, bilgi güvenli÷inin sa÷lanmasÕ için verecekleri destek çok telefon, faks, yüzyüze, vb.) kimli÷inden emin olmadÕ÷Õ önemlidir. Bilgi güvenli÷inin sa÷lanmasÕ için gerekli olan kimselere hiçbir konuda bilgi vermemelidir. Örne÷i hiçbir idari ve mali kararlarÕn verilebilmesi amacÕyla yönetim teknoloji kullanÕlmadan bir kurum çalÕúanlarÕndan alÕnacak tarafÕndan bilgi güvenli÷i birimi kurulmalÕdÕr. Bu birim bilgilerle tüm kurumsal bilgi güvenli÷i kontrollerinin tarafÕndan güvenlikle ilgili stratejik kararlar zamanÕnda ve aúÕlabilece÷i hiçbir zaman unutulmamalÕdÕr. BaúlangÕçta do÷ru bir úekilde alÕnmalÕdÕr. Yönetim tarafÕndan bilgi önemsiz gibi görünen küçük bilgiler bir araya geldi÷inde, güvenlik biriminin kurulmasÕ ve etkin bir yapÕda çalÕúmasÕ içinde gizli bir bilgiyi barÕndÕran ciddi bir güvenlik açÕ÷Õna yönetimin kurumsal bilgi güvenli÷ini sahiplendi÷inin ve dönüúebilece÷ine dair örnekler her geçen gün artmaktadÕr. destekledi÷inin önemli bir göstergesidir. Bilinmeyen kiúilere bilgi aktarÕlmamasÕ için kullanÕcÕlarÕn Kurumsal bilgi güvenli÷inin üst seviyede sa÷lanmasÕna özellikle sosyal mühendislik konusunda e÷itilmesi yönelik süreçlerinin oluúturulmasÕ, yönetilmesi ve gerekmektedir. yapÕlandÕrÕlmasÕ amacÕyla yapÕlan standartlaúma çalÕúmalarÕ ùifrelerin kâ÷Õtlara yazÕlmasÕ: ùifreleme politikalarÕ, dünyada ve ülkemizde hÕzla sürmektedir. Standartlaúma kÕrÕlmasÕ güç olan úifrelerin kullanÕcÕlar tarafÕndan konusuna öncülük eden øngiltere tarafÕndan geliútirilen BS– kullanÕlmasÕnÕ ve düzenli aralÕklarla bu úifreleri 7799 standardÕ, ISO tarafÕndan kabul görerek önce ISO– de÷iútirilmesini zorunlu kÕlmaktadÕr. ùifrelerin güçlü olmasÕ, 17799 sonrasÕnda ise ISO–27001:2005 adÕyla dünya genelinde içerdi÷i karakterlerin karmaúÕklÕ÷Õyla do÷ru orantÕlÕdÕr. Güçlü bilgi güvenli÷i standardÕ olarak kabul edilmiútir [16]. úifrelerin kullanÕlmasÕyla birlikte kullanÕcÕlarÕn bu úifreleri Kurumsal bilgi güvenli÷inin sa÷lanmasÕ ülke bilgi hatÕrlama problemleri ortaya çÕkmaktadÕr. KullanÕcÕlar, bu güvenli÷inin yüksek seviyede sa÷lanmasÕ için önemli bir durumda úifrelerini hatÕrlayabilmek amacÕyla görebilecekleri aúama olmasÕna ra÷men tek baúÕna yeterli de÷ildir. Ülke bilgi bir yere úifrelerinin yazÕlÕ oldu÷u kâ÷ÕdÕ asmaktadÕr. Bu durum güvenli÷inin yüksek seviyede sa÷lanmasÕ için ülke bilgi ilgili kullanÕcÕ úifresinin kötü niyetli baúka bir kiúi tarafÕndan sistemlerini kullanan son kullanÕcÕlarÕn güvenli÷i yani kiúisel okunarak kullanÕlmasÕyla güvenlik ihlalinin oluúmasÕna sebep bilgi güvenli÷i de sa÷lanmalÕdÕr. Bundan dolayÕ takip eden olacaktÕr. Bu durumlarÕn meydana gelmemesi için bölümde kiúisel bilgi güvenli÷inin yüksek seviyede kullanÕcÕlara úifre seçimi ve hatÕrlanmasÕyla ilgili e÷itimler sa÷lanmasÕna yönelik açÕklamalar yapÕlmÕútÕr. verilmelidir. Güvenilir olmayan yazÕlÕmlarÕn kullanÕmÕ: Güvensiz yazÕlÕmlar illegal olarak kopyalanmÕú veya internetteki Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 5

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION güvenilir olmayan sitelerden indirilmiú, lisanssÕz yazÕlÕmlar posta eklerini virüs taramasÕndan mutlaka geçirmesi, e-posta olup içerisinde bilgisayara zarar verebilecek virüs, truva atÕ, aracÕlÕ÷Õyla kiúisel gizli bilgilerini (internet bankacÕlÕ÷Õ hesap tuú kaydedici ve her türlü kötü amaçlÕ yazÕlÕmlarÕ bilgilerini, kimlik bilgileri, kullanÕcÕ hesap bilgileri) kimseye barÕndÕrabilen programlardÕr. Güvenilir olmayan yazÕlÕmlar, vermemesi gibi e-posta kullanÕmÕnda dikkat edilmesi gereken ziyaret edilen web sitelerinin kayÕtlarÕnÕ tutarak baúkalarÕna hususlar konusunda kullanÕcÕlar bilinçlendirilmeli ve gönderen, istenmeyen reklâm pencerelerinin gelmesini e÷itilmelidir. Bu e÷itimler sonucunda e-posta kullanÕmÕndan sa÷layan, bilgisayar içerisinde yer alan kiúisel dosyalarÕ kaynaklanacak zafiyetler en aza indirgenecektir. baúkalarÕna gönderebilen, bilgisayarÕn performansÕnÕ düúüren Genel anlamda bilgi güvenli÷inin sa÷lanmasÕnda en zayÕf ve internet eriúimini gereksiz yere meúgul eden istenmeyen halka olan insan faktöründen meydana gelen zafiyetlerin yazÕlÕmlardÕr. Güvenilir olmayan yazÕlÕmlarÕn kullanÕmÕ giderilmesinde e÷itim önemli bir rol oynadÕ÷Õndan ülke bilgi sonucunda, birçok güvenlik ihlali meydana gelmektedir. Bu güvenli÷inin sa÷lanmasÕnda e÷itimin önemi ayrÕntÕlÕ olarak tür ihlallerin önüne geçebilmek için kullanÕcÕlara güvenilir takip eden bölümde incelenmiútir. olmayan yazÕlÕmlarÕn ne oldu÷u ve bu yazÕlÕmlardan nasÕl korunulaca÷Õ konusunda e÷itimler verilmelidir. V. EöøTøM BilgisayarlarÕn fiziksel güvenli÷inin sa÷lanmamasÕ: Ülke bilgi güvenli÷inin sa÷lanmasÕ açÕsÕndan önemli olan Genellikle kullanÕcÕlar koruma önlemi almaksÕzÕn e÷itimler ve bilinçlendirmeler farklÕ yöntemlerle ülke bilgi bilgisayarlarÕnÕn baúÕndan ayrÕldÕ÷Õnda kötü niyetli insanlar bu sistemlerini her seviyede kullanan kiúilere düzenli olarak durumu de÷erlendirerek bilgisayarÕ zararlÕ amaçlar için verilmelidir. Bu yöntemler bilinçlendirmeler, toplantÕlar, web kullanmakta ve güvenlik ihlalleri meydana gelmektedir. üzerinden e÷itimler, e-posta yoluyla kullanÕcÕlara bildirimler, Fiziksel güvenlik zafiyetinden faydalanarak bilgisayarÕ yazÕlar ve duyurular, seminerler, bültenler ve güvenlik kullanan kötü niyetli kiúi gizli bilgiler içeren dosyalarÕ posterleri úeklinde olabilir. dÕúarÕya e-posta aracÕlÕ÷Õyla gönderebilir, bilgisayar üzerindeki ønsana ba÷lÕ güvenlik riski hiçbir zaman tamamen yok bilgileri silebilir, de÷iútirebilir ve o anki kullanÕcÕnÕn yetkisi edilemese de iyi planlanmÕú bilgi güvenli÷i e÷itimleri riskin ölçüsünde birçok iúlemi kötücül amaçlar için yapabilir. kabul edilebilir bir seviyeye indirilmesine yardÕmcÕ olacaktÕr. BilgisayarlarÕn fiziksel güvenli÷inin sa÷lanmasÕyla ilgili FarklÕ bilgi seviyesindeki insan gruplarÕnÕn, bilgiyi ve bilgi olarak; kullanÕcÕlar bu konuda bilinçlendirilmeli kaynaklarÕnÕ koruma konusunda üzerilerine düúen bilgisayarlarÕn baúÕndan ayrÕlan kullanÕcÕlarÕn en azÕndan sorumluluklarÕ anlamasÕ ve yerine getirmesi, bilgi parola korumalÕ ekran koruyucusu kullanmalarÕ bilgisayarlara güvenli÷inin sa÷lanmasÕ ve insan faktöründen kaynaklanan fiziksel olarak yapÕlabilecek saldÕrÕlarÕn en aza zafiyetlerin en aza indirgenmesi açÕsÕndan kritik bir öneme indirgenebilmesi açÕsÕndan önem arz etmektedir. sahiptir. BilgisayarlarÕn yönetici hakkÕyla açÕlmasÕ: KullanÕcÕlar Bilgi güvenli÷i e÷itimlerinin temel hedefi, bilgi kurum içerisinde kendilerine tahsis edilmiú olan kiúisel kaynaklarÕnÕn gizlilik, bütünlük ve eriúilebilirli÷in sa÷lanmasÕ bilgisayarlarÕnÕ, herhangi bir kÕsÕtlama olmaksÕzÕn kullanmak konusunda yapmasÕ gereken görev ve sorumluluklar amacÕyla genellikle yönetici haklarÕna sahip olan hesaplarla konusunda insanlarÕ e÷itmektir. Bilgi güvenli÷i e÷itimleriyle kullanmaktadÕrlar. Bu durum, bilgi güvenli÷inin insanlar sadece bilginin korunmasÕ konusunda nasÕl katkÕ sa÷lanmasÕnda önemli ilkelerden biri olan “en az yetki” sa÷layabileceklerini de÷il aynÕ zamanda bilginin neden prensibinin (principle of least privilege) ihlali anlamÕna korunmasÕ gerekti÷ini de ö÷renmelidir. ÇalÕúanlar hatalÕ gelmektedir. Yönetici haklarÕna sahip bir hesapla bir davranÕúlarÕnÕn ülke bilgi güvenli÷i üzerinde yaratabilece÷i kullanÕcÕnÕn bilgisayarÕnda oturum açÕlmasÕ, güvenlik ihlali etkiyi e÷itimler aracÕlÕ÷Õyla açÕkça anlamalÕdÕr. KullanÕcÕ meydana geldi÷inde bilgisayar üzerinde yönetici iúlemlerini bilinçlendirme çalÕúmalarÕ, güvenlik ihlallerinin maliyetini yapma yetkisine sahip olaca÷Õndan güvenlik ihlalinin etkisi azaltmaya ve kontrollerin kurumun tüm bilgi kaynaklarÕ çok daha büyük olacaktÕr. Bu tür ihlallerin etkisini azaltmak üzerinde dengeli uygulanmasÕna yardÕmcÕ olacaktÕr. için kullanÕcÕlarÕn ihtiyaçlarÕnÕ karúÕlayacak kÕsÕtlÕ haklara Güvenlik farkÕndalÕk e÷itimlerinin amacÕ, güvenlik ve sahip olan hesaplar tanÕmlanmalÕ ve bu hesaplarla güvenlik kontrollerinin önemi hakkÕnda ülke bilgi sistemleri kullanÕcÕlarÕn oturum açmalarÕ zorunlu hale getirilmelidir. Bu kullanÕcÕlarÕnda ortak bir bilinç oluúturulmasÕdÕr [24]. önleme ek olarak kullanÕcÕlara yönetici haklarÕna sahip Bilinçlendirme mesajlarÕ basit ve açÕk olmalÕ, bilinçlendirme hesaplarla oturum açmalarÕnÕn gereksizli÷i ve zararlarÕ e÷itimleri insan gruplarÕnÕn anlayabilece÷i basit bir formatta anlatÕlarak, kÕsÕtlÕ haklara sahip olan hesaplarÕ kullanmalarÕ verilmelidir. yönünde özendirici ve bilgilendirici e÷itimler verilmelidir. Ço÷u kurumda güvenli÷in sa÷lanmasÕ için yapÕlmasÕ Bilinçsiz e-posta kullanÕmÕ: Kurum çalÕúanlarÕ tarafÕndan gereken kÕsÕtlamalarÕn kullanÕcÕlarÕn alÕúkanlÕklarÕyla ters kullanÕlan iletiúim araçlarÕnÕn baúÕnda e-posta gelmektedir. düúmesinden dolayÕ güvenlikle ilgili yaptÕrÕmlarÕn Günümüzde kötücül yazÕlÕmlar ço÷unlukla e-postalar uygulanmasÕnda geç kalÕnmaktadÕr. Güvenlik uygulamalarÕ aracÕlÕ÷Õyla yayÕldÕ÷Õndan, e-posta kullanÕmÕnÕn önemi baúÕndan itibaren uygulanamadÕ÷Õndan zamanla her artmÕútÕr. Bilinçsiz e-posta kullanÕmÕ sonucunda bilgi kullanÕcÕnÕn, güvenli÷e dikkat etmeksizin farklÕ kullanÕm güvenli÷i ihlalleri meydana gelmektedir. KullanÕcÕlarÕn alÕúkanlÕklarÕ edindi÷i görülmüútür. Bu durum bilgi güvenli÷i tanÕmadÕ÷Õ kiúilerden gelen úüpheli e-postalarÕ açmamasÕ, e- Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 6

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION bilinçlendirme e÷itiminin uygulanmasÕnÕ zorlaútÕrarak, edildi÷i teknik testlere ek olarak teknik olmayan testler de kullanÕcÕlarda güvenlik uygulamalarÕna karúÕ direnç yapÕlmalÕdÕr. Teknik olmayan güvenlik testlerinin baúÕnda oluúmasÕnÕ sa÷lamaktadÕr. Çünkü sadece kullanÕcÕlarÕ e÷itmek sosyal mühendislik testleri gelmektedir. Sosyal mühendislik, de÷il aynÕ zamanda eski alÕúkanlÕklarÕndan kurtarmak yalan söyleme ve ikna etme üzerine kurulan inandÕrma ve gerekmektedir. bilgi toplama sanatÕdÕr [25]. Sosyal mühendislik testlerinden KullanÕcÕlara göre kurum güvenlik önlemleri olmaksÕzÕn sonuç alabilmek için farklÕ yöntemler kullanÕlmaktadÕr. Bu bugüne kadar gayet iyi çalÕúmÕútÕr ve hiçbir sorunla yöntemlerden en çok kullanÕlanÕ telefon yoluyla taklit ve ikna karúÕlaúmamÕútÕr. Yeni güvenlik önlemleri hayatÕ zorlaútÕrÕcÕ yöntemidir. gereksiz de÷iúiklikler olarak görülür. Bilinçlendirme Güvenlik testlerinin yapÕlmasÕnda dünyada yaygÕn olarak e÷itimleri güvenlikle ilgili bilgi vermenin yanÕnda kullanÕcÕ bilinen birçok açÕk kaynak standart ve kÕlavuzlar (OSSTMM, alÕúkanlÕklarÕndan nasÕl kurtarÕlaca÷Õ göz önüne alÕnarak NIST, OWASP, v.b.) vardÕr. Güvenlik testleri yapÕlÕrken bu hazÕrlanmalÕ akÕcÕ ve e÷lenceli bir içerikle kullanÕcÕlara kaynaklarÕn kullanÕlmasÕ güvenlik testlerinin baúarÕsÕ sunulmalÕdÕr. açÕsÕndan önemlidir. ÇalÕúma kapsamÕnda yapÕlan araútÕrmalarda ço÷u kurumda Bu çalÕúmada ülkemizde güvenlik testlerinin henüz güvenlik bilinçlendirme programÕnÕn olmadÕ÷Õ görülmüú, olan yaygÕnlaúmadÕ÷Õ ve kurumlar tarafÕndan kurumsal bilgi kurumlarda ise genellikle kullanÕcÕlarÕ bilgi güvenli÷inin güvenli÷inin sa÷lanmasÕnda önemli bir bileúen oldu÷unun neden önemli oldu÷u konusunda e÷itmeyi baúaramadÕ÷Õ tespit bilinmedi÷i tespit edilmiútir. Bu durum güvenlik testlerinin edilmiútir. E÷itimin baúarÕlÕ olabilmesi için kullanÕcÕlarÕn kurumlara katkÕlarÕnÕn, sa÷layaca÷Õ farkÕndalÕ÷Õn ve güvenlik kafasÕndaki neden sorusunun cevabÕ kullanÕcÕyÕ ikna edecek seviyesinin artÕrÕlmasÕna katkÕsÕnÕn ülkemizde pek úekilde verilmelidir BaúarÕlÕ bir e÷itim sonrasÕnda bilinmedi÷inin ve yeterince önem verilmedi÷inin kullanÕcÕlarÕn úifreleme politikasÕna sahip çÕkarak yeni göstergesidir. politikanÕn uygulanmasÕnda gayretli olacaklarÕ görülecektir. Pek çok kullanÕcÕ, bilgi ve bilgi kaynaklarÕnÕn korunmasÕnÕn VII. SONUÇLAR VE DEöERLENDøRMELER önemi konusunda yeterli bilgiye sahip de÷ildir. øyi tasarlanmÕú Ülke bilgi sistemleri, e-devlet uygulamalarÕ aracÕlÕ÷Õyla ve sonuçlandÕrÕlmÕú bilinçlendirme ve e÷itim çalÕúmasÕ kiúisel veya kurumsal ihtiyaçlar do÷rultusunda kurumsal güvenlik zincirinin en kÕrÕlgan halkasÕ olan insan faktörünün biliúim altyapÕlarÕnÕ kullanarak hizmet vermektedir. Geçmiú güçlendirilmesine büyük katkÕ sa÷layacaktÕr. yÕllarda saldÕrÕlar hedef gözetmeksizin yapÕlmaktayken Ülke Bilgi Güvenli÷inin sa÷lanmasÕndaki kurumsal ve günümüzde nokta hedefi gözeten ve ülke bilgi sistemlerini kiúisel bilgi güvenli÷i aúamalarÕndan sonra insan faktöründen hedef alan bilinçli saldÕrÕlar yapÕlmaktadÕr. Ülke bilgi kaynaklanan zafiyetleri en aza indirgeyen e÷itim unsuru güvenli÷ini zaafa u÷ratmaya hatta yÕkmaya çalÕúan, bireyler ve üzerinde durulmuútur. Ülke bilgi güvenli÷i süreçlerinin kurumlar üzerinde maddi manevi büyük zararlara yol açan iúlerli÷inin kontrol edilebilmesi için güvenlik testlerine ihtiyaç bilgi güvenli÷i tehditlerinin engellenmesi için kiúisel ve duyuldu÷undan güvenlik testleri takip eden bölümde kurumsal seviyede bilgi güvenli÷i sa÷lanmalÕdÕr. Ülke bilgi açÕklanmÕútÕr. sistemlerinin bilgi güvenli÷i süreçleri uluslararasÕ standartlara göre yönetilmelidir. VI. GÜVENLøK TESTLERø Ülke bilgi sistemleri ülkeler açÕsÕndan kritik bilgiler Ülke Bilgi Güvenli÷inin sa÷lanmasÕnda temel unsurlar olan barÕndÕrmaktadÕr. Bu kritik bilgilerin bilgi güvenli÷inden insan faktörü ve e÷itim önceki bölümler içerisinde alt baúlÕklar kaynaklanan zafiyetlerden dolayÕ siber saldÕrÕlara u÷ramasÕ halinde incelenmiútir. Bilgi güvenli÷ine etki eden unsurlarÕn sonucunda ülkeler açÕsÕndan telafisi mümkün olmayan bir bütün olarak saldÕrgan gözüyle sÕnanmasÕ, zafiyetlerin durumlarla karúÕlaúÕlabilir. Bir barajÕn kapaklarÕnÕn yetkisiz tespit edilerek giderilmesi için yapÕlacak düzeltmelerin ve bir úekilde istenmeyen bir zamanda açÕlmasÕ, sivil veya askeri sÕkÕlaútÕrmalarÕn belirlenmesi, güvenlik testlerinin ülke bilgi haberleúme sistemlerinin aksatÕlmasÕ, elektrik ve do÷algaz güvenli÷inin sa÷lanmasÕndaki önemini özetlemektedir. santrallerinin kullanÕlmaz hale getirilmesi, bankacÕlÕk, sa÷lÕk Güvenlik testleri, bilgi sistemlerinin baúÕna olumsuz bir ve e÷itim sektörlerine ait bilgi sistemlerinin çökertilmesi ülke durum gelmeden önce, sistem açÕklarÕnÕ sÕnayarak belirlemek güvenli÷ini tehdit eden bilgi sistemleri odaklÕ saldÕrÕlara örnek ve alÕnabilecek karúÕ tedbirlerin önceden düúünülmesinde olarak gösterilebilir. Ülke güvenli÷ini tehdit eden bilgi kullanÕlan önemli bir erken uyarÕ sistemidir. Güvenlik sistemleri odaklÕ saldÕrÕlardan korunmak için ülke güvenlik testlerinin baúarÕlÕ olabilmesi için bilgi sistemlerinin politikalarÕ oluúturulmalÕ ve bu politikalara göre ülke bilgi güvenli÷ine etki eden faktörlerinin a÷ÕrlÕklarÕ dikkate alÕnarak güvenli÷i sa÷lanmalÕdÕr. sistemlere özgü farklÕ senaryolar geliútirilmesi gereklidir. Bilginin gizlili÷ine, bütünlü÷üne, eriúilebilirli÷ine karúÕ Güvenlik testleri için geliútirilen senaryolar kullanÕlan yapÕlan saldÕrÕlar ciddi ve giderilemeyecek kayÕplara yol teknolojilere, kullanÕcÕlarÕn bilgi düzeylerine, bilgi güvenli÷i açmaktadÕr. Bu kayÕplarÕ tamamen yok etmek mümkün seviyesine, bilgi güvenli÷i bileúenlerinin dozuna göre farklÕlÕk de÷ildir. Ancak yapÕlacak güvenlik testleriyle kayÕplarÕ en aza gösterebilir. indirmek mümkündür. Ülke bilgi sistemlerine yönelik Bilgi güvenli÷i ihlallerinin kontrollü bir úekilde tespit yapÕlacak güvenlik testlerinin ulusal bir otorite tarafÕndan Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 7

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION oluúturulan güncel ulusal güvenlik politikalarÕna uygun olarak [11] Bhatt, G. D., “Knowledge Management in Organizations: Examining the Interaction between Technologies, Techniques and People”, Journal of yapÕlmasÕ gerekmektedir. Ülkemizde güvenlik testlerini Knowledge Management, 5 (1):71, (2001) ücretsiz yapan devlet destekli merkezler oluúturulmalÕ ve [12] Vural, Y., Sa÷Õro÷lu, ù., Kurumsal Bilgi Güvenli÷i: Güncel Geliúmeler, güvenlik testlerine yönelik milli yazÕlÕmlar geliútirilerek ISC Turkey UluslararasÕ KatÕlÕmlÕ Bilgi Güvenligi ve Kriptoloji Konferansi, Ankara, 191-199, AralÕk 2007 kullanÕlmalÕdÕr. [13] Vural, Y., Sa÷Õro÷lu, ù., Gazi Üniv. Müh. Mim. Fak. Der. 23(2), 507- Bilgi güvenli÷inde “güvenli÷iniz en zayÕf halkanÕz 522, (2008) kadardÕr” ilkesi gözönüne alÕndÕ÷Õnda ülke bilgi güvenli÷ini [14] Türk StandardlarÕ Enstitüsü, “Bilgi güvenli÷i yönetim sistemleri”, TSE- oluúturan halkalar içerisinde en zayÕf halka olan insan TS 1779- 2, Ankara, 3, (2005). [15] Mitnick, K. D., Simon, L. W., Wozniak, S., “The Art of Deception: faktöründen kaynaklanan zafiyetlerin giderilmesi için bilgi Controlling the Human Element of Security”, Wiley Publishing, New güvenli÷i e÷itimi ve bilinçlendirmesi, ilkö÷retimden York, 17-18 (2003) üniversiteye kadar e÷itimin her aúamasÕnda verilmelidir. [16] ønternet: Wikipedia, “ISO/IEC 27001”, http://en.wikipedia.org/wiki/ISO_27001 (09.11.2008) Burada özellikle sivil toplum kuruluúlarÕna, Milli E÷itim [17] ønternet: CERT “Historical Statistics” BakanlÕ÷Õna ve üniversitelere büyük görevler düúmektedir. http://www.cert.org/stats/historical.html (09.11.2008) Ülke güvenli÷ini tehdit eden siber saldÕrÕlarÕn bilinmesi, [18] Dunlevy, J. C., “Information Security Strategies: A New Perspective”, CERT, Pittsburgh, 15, (2006) bilgi güvenli÷inin sa÷lanmasÕna yönelik ülke stratejilerinin [19] Internet: World Stats “Top 20 Countries With The Highest Number Of geliútirilmesinde önemli bir role sahiptir. Bilgi sistemlerine Internet Users” http://www.internetworldstats.com/top20.htm yönelik olarak yapÕlan planlÕ saldÕrÕlar incelendi÷inde; (17.03.2007) saldÕrÕlarÕn kiúi düzeyinden ülke düzeyine kadar çok geniú bir [20] Symantec Corp., “Symantec Internet Security Threat Report Trends for July–December 07” Symantec Volume XII, Cupertino, 24-64 (2008). yelpazede geliúmiú teknikler kullanÕlarak yapÕldÕ÷Õ tespit [21] Gordon, L. A., Loeb, M. P., Lucyshyn, W., Richardson, R., “CSI/FBI, edilmiútir. Ülke bilgi güvenli÷inin sa÷lanmasÕ amacÕyla, Computer Crime and Security Survey”, FBI Computer Security Institute, saldÕrÕ türlerinin takip edilmesi, saldÕrganlarÕn kullandÕ÷Õ 1- 26, (2005). [22] Koç.net Haberleúme Teknolojileri ve øletiúim Hizmetleri A.ù., “Türkiye geliúmiú yöntemlerin saptanmasÕ, ülkemizde ve dünyada bu ønternet Güvenli÷i AraútÕrma SonuçlarÕ 2005”, Koç.net, østanbul, 5- 12, konuda yapÕlan araútÕrmalarÕn, raporlarÕn ve çalÕúmalar ile (2005) tespit edilen açÕklarÕn yakÕndan takip edilmesi ve zamanÕnda [23] ønternet: “Information Security Awareness” http://www.massachusetts.edu/SecurityAwareness/securityawareness.ht giderilmesi gerekmektedir. ml (9.11.2008) Sonuç olarak; ülke bilgi güvenli÷inin sa÷lanmasÕna yönelik [24] Morales, L.; Dark, M., “Information Security Education and yapÕlan çalÕúmalarÕn ve alÕnmasÕ gereken önlemlerin yeterli Foundational Research”, System Sciences, HICSS 2007. 40th Annual Hawaii International Conference, Hawaii, 269 (2007). olmadÕ÷Õ, kiúisel ve kurumsal düzeyde bilgi güvenli÷i [25] Mitnick, K. D., Simon, W. L., “Aldatma SanatÕ”, Nejat Eralp Tezcan, bilincinin ve e÷itiminin toplumumuza tam olarak yerleúmedi÷i ODTÜ YayÕncÕlÕk, Ankara, 303, (2006). ve ülkemizde yüksek seviyede ülke bilgi güvenli÷inin sa÷lanamadÕ÷Õ dikkate alÕndÕ÷Õnda, bu çalÕúmada sunulan hususlara dikkat edilmesi ve yapÕlan önerilere uyulmasÕ gerekmektedir. KAYNAKLAR [1] Thow-Chang, L., Siew-Mun, K., and Foo, A., “Information Security Management Systems and Standards” Synthesis Journal, 2(2):5,8 (2001). [2] Sandham, D., “News”, Communications Engineer Publication 5(4):3-8, (2008). [3] ønternet: “McAfee Virtual Criminology Report” http://www.mcafee.com/us/research/criminology_report/default.html (09.11.2008) [4] Vural, Y., “Kurumsal Bilgi Güvenli÷i ve SÕzma Testleri”, Yüksek Lisans Tezi, Gazi Üniversitesi Fen Bilimleri Enstitüsü, 15-20, (2007). [5] Rocha, L. M., Schnell, S., “The Nature of Information-Lecture Notes”, Indiana University, Bloomington, 1, (2007). [6] ønternet: Türk Dil Kurumu “Güncel Türkçe Sözlük” http://www.tdk.gov.tr/TR/SozBul.aspx?F6E10F8892433CFFAAF6AA8 49816B2EF4376734BED947CDE&Kelime=bilgi [7] ønternet : “National Information Systems Advisory Panel- Computer- Based National Information Systems” http://govinfo.library.unt.edu/ota/Ota_5/DATA/1981/8109.PDF (09.11.2008). [8] ønternet: “Türkiye Ulusal Bilgi Sistemi:Genel Esaslar” www.hssgm.gov.tr/stratejikyonetim/egitim_dokumanlari/turkiye_ulusal_ bilgi_sistemi_esaslari.pdf (09.11.2008) [9] Krygiel, J., “Behind the Wizards Curtain: An Integration Environment for a System of Systems” DoD C4ISR Cooperative Research Program,Washington, 9-11 (1999). [10] ønternet: Wikipedia, “Information Assurance”, http://en.wikipedia.org/wiki/Information_assurance (09.11.2008) Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 8

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION E-Devlet Güvenliği Ayşe İNALÖZ, Mustafa ÜNVER, Mustafa ALKAN Özet— Küreselleúme ile gelen hÕzlÕ de÷iúim içerisindeki t II. E-DEVLETøN GELøùøMø dünyada bilgi tabanlÕ ekonomi hem özel sektör hem de kamu Endüstrileúmiú ülkelerin popülasyonunun büyük bir yüzdesi sektörüne bazÕ zorluklarÕn yanÕ sÕra bazÕ fÕrsatlar da f web’e dayalÕ ekonomi ile iç içe yaúamaktadÕr. 2007 yÕlÕnda sunmaktadÕr. Bu makalede bilgi ve haberleúme teknolojilerinin Avrupa Birli÷i popülasyonunun %55’i ve ABD kamu sektöründe yarattÕ÷Õ reform olarak kabul edebilece÷imiz popülasyonunun %71’i internet eriúimine sahiptir. AralÕk Elektronik Devlet ya da kÕsaca “e-devlet” konusunun geliúimi 2007 sonu itibariyle ABD popülasyonunun % 78’i dünya irdelenmiú, e-devlet sistemleri için arttÕrÕlmÕú güvenlik çerçevesi kapsamÕnda E-Devlet Güvenlik Riskleri ve Risk Yönetimi popülasyonunun ise %69 ‘unun elektronik posta kullandÕ÷Õ Prosedürleri incelenmiútir. bildirilmektedir [2]. Bilgi ve haberleúme teknolojilerinin kullanÕmÕnÕn artmasÕ e-devlet oluúumunun geliúimini Anahtar Kelimeler—E-devlet, güven r hedefleri, güvenlik politikalarÕ úa÷Õda ùekil I’de gösterilen beú ana mektedir. I. GøRøù ùEKøL I DEVLET OLUùUMU Ça÷ÕmÕzda tüm dünyada gerçekleúe kamu sektöründe bilgi ve haber kullanÕlmasÕnÕn yaygÕnlaúmasÕ il rasyonalizasyonun do÷masÕna yol haberleúme teknolojileri araçlarÕnÕn ku iúlemleri ve fonksiyonlarÕnda dönü açmÕútÕr. Bilginin yönetimi belirl hükümetlerin ana görevlerinden birisi o “e-Devlet” kavramÕ, vatandaúlarÕn kurum ve kuruluúlarÕn kamu kurumlarÕ bilgi alÕúveriúi úeklindeki iliúki ve iúlem teknolojilerinin yardÕmÕyla e gerçekleútirilmesidir [1]. E-Devlet sadece vatandaúlar için hizmetler sa÷lamakla I.Aúama: Ortaya ÇÕkÕú kalmayÕp, kamu sektörünün de hükümet fonksiyonlarÕnda Hükümetin çevrimiçi varlÕ÷Õ bir web sayfasÕ ya da úeffaflÕk ve hesap verilebilirli÷in sa÷lanmasÕ, hükümet BakanlÕklar, e÷itim enstitüleri, sa÷lÕk, sosyal yardÕm, iú ve yönetiminde masraflarÕn azaltÕlmasÕnÕn sa÷lanmasÕ v.b. gibi finans kuruluúlarÕna ba÷lantÕlarÕ da içeren resmi bir web verimlilik amaçlarÕnÕn gerçekleútirilmesini sa÷lamaktadÕr [2]. sayfasÕndan oluúmaktadÕr. Bilgilerin ço÷u statiktir ve vatandaúlar ile etkileúim azdÕr. Bu makalenin I. Bölümünde E-Devlet oluúumunun aúamalarÕna de÷inilmiú, E-devlete hazÕrlÕk göstergeleri II. Aúama: Geliútirilmiú kapsamÕnda dünya geneli ve ülkemizdeki duruma ait bazÕ Hükümetler kamu politikasÕ ve yönetiúimle ilgili pek çok istatistiksel veriler sunulmuútur. II. Bölümde E-Devlet için bilgi sa÷larlar. Vatandaúlar için dokümanlar, formlar, raporlar, ArttÕrÕlmÕú Güvenlik Çerçevesi konusu incelenmiú, III. yasa ve düzenlemeler ve gazeteler v.b. gibi arúivlenmiú Bölümde E-Devlet Güvenlik Riskleri ve Risk Yönetim bilgilere eriúme imkanÕ sa÷larlar. Prosedürlerine de÷inilmiútir. IV. Bölümde ise Sistem Güvenli÷i AltyapÕsÕ konusu irdelenmiútir. III. Aúama: ønteraktif Hükümetler hizmetlerini vergi ödemeleri ve lisans yenileme Bilgi Teknolojileri ve øletiúim Kurumu, Maltepe, Ankara ainaloz@tk.gov.tr, munver@tk.gov.tr, malkan@tk.gov.tr uygulamalarÕ için indirilebilir formlar v.b. gibi çevrimiçi sunarlar. Buna ek olarak interaktif portalÕn ya da web sitesinin baúlangÕcÕ vatandaúlarÕn rahat etmesini sa÷lamaya yöneliktir. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 9

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION IV. Aúama: øúlemsel Hükümetler kendileri ve vatandaú arasÕnda iki yönlü TABLO III etkileúim sa÷laya baúlarlar. Buna vergileri ödeme seçene÷i, E-DEVLET KULLANIM KAPASøTESø sayÕsal kimlik baúvurusu, nüfus ka÷ÕdÕ, pasaport baúvurusu dahil olmak üzere bu hizmetlere vatandaúlarÕn 7/24 çevrimiçi KullanÕm Yüzdesi I II III IV V olarak ulaúmasÕnÕ sa÷lamaktadÕr. Tüm iúlemler çevrimiçi Ülke Ortaya ÇÕkÕú Geliútirilmiú yapÕlÕr. Ba÷lantÕlÕ ønteraktif øúlemsel Toplam V. Aúama: Ba÷lantÕlÕ Hükümetler kendilerini vatandaúlarÕnÕn tüm ihtiyaçlarÕna karúÕlÕk veren ba÷lantÕlÕ bir varlÕk olarak görürler. Bu e-devlet % 34-%66 KullanÕm OranÕna Sahip Ülkeler- KullanÕm OranÕ (%) giriúimlerinin en sofistike aúamasÕdÕr ve aúa÷Õda yer alan Malta 100 92 63 40 44 65 Birleúik ba÷lantÕlara sahiptir. Arap 88 68 68 60 37 64 Emirli÷i Meksika 100 86 65 38 41 63 1.Yatay ba÷lantÕlar (Hükümet kuruluúlarÕ arasÕnda) øspanya 100 79 68 39 41 62 2.Dikey ba÷lantÕlar (Merkezi ve bölgesel hükümet kuruluúlarÕ Malezya 100 84 65 35 26 60 Avusturya 100 85 60 38 22 59 arasÕnda) øsrail 88 82 56 43 44 59 3.AltyapÕ ba÷lantÕlarÕ (Birlikte çalÕúabilirlik konularÕ) 0 84 53 32 4 53 4. Hükümetler ve vatandaúlar arasÕndak 0 75 56 21 33 52 5.Paydaúlar (Hükümet, özel sektör, 0 75 56 20 30 51 sivil toplum örgütleri) arasÕndaki ba÷la 0 82 58 11 19 50 0 78 50 11 19 47 70 44 27 26 46 Birleúmiú Milletlerin 2008 yÕlÕ E-Dev 0 79 48 2 37 46 üye ülkenin daha iyi kalitede hizme 0 72 49 14 22 46 vatandaúlarÕnÕn, iúletmelerinin ihtiyaçl 0 76 52 4 26 45 içermektedir. 60 52 5 37 42 0 58 53 8 19 41 TABLO I Ülkelerin Sundu÷u ønteraktif 74 46 8 0 41 0 70 48 1 7 40 Ülke S 73 33 7 19 38 59 37 17 26 38 GSM Telefonlara Mesaj Gönderimi 0 74 35 4 4 37 14 WAP PDA Eriúimi 19 60 40 14 26 37 Güvenli Ba÷lantÕ 33 65 36 7 22 37 Güncellemeler øçin E-Posta KayÕt 58 Opsiyonu Hükümetlerin kayÕtlarÕn gizli ÇøN ARTTIRILMIù GÜVENLøK 29 kalaca÷Õna ait garantisi ÇERÇEVESø Elektronik ømza 19 vatandaúlarÕ ve iúletmelerinin Ülkemiz E-Devlet HazÕrlÕk Göstergesi 2008’de 76 nc ihtiyaçlarÕnÕ karúÕlamaya yönelik sunmuú olduklarÕ hizmetleri yer almaktadÕr (Bknz. Tablo II). Ülkemiz E-Devlet KullanÕm kendilerine uygun olan güvenli yer ve zamanlarda kapasitesi açÕsÕndan %33- % 66 lÕk Grupta yer almaktadÕr vermektedirler. E-Devlet internetin en önemli (Bknz. Tablo III). baúarÕlarÕndan biridir. E-Devlet güvenli÷i, e-Devlet TABLO II oluúumunun ileri aúamalarÕna ulaúÕlmasÕnÕ sa÷layan çok E-DEVLET HAZIRLIK GÖSTERGESø önemli faktörlerden biridir. E-Devletin baúarÕlÕ olarak uygulanmasÕ iúlemlerde yer alan tüm taraflar üzerinde bir Ülke Gösterge güvenlik seviyesini gerektirmektedir. E-Ticaret kapsamÕnda 1 øsveç 0.9157 geliútirilmiú olan bazÕ güvenlik teknikleri ve araçlarÕ 2 Danimarka 0.9134 3 Norveç 0.8921 bulunmaktadÕr. Ancak güvenli e-devlet sistemleri proje yaúam 4 ABD 0.8644 döngüsünden itibaren yürürlü÷e konulabilecek olan kapsamlÕ 5 Hollanda 0.8631 bir model gerektirmektedir. Bu makalede e-devlet sistemleri Kore için arttÕrÕlmÕú güvenlik çerçevesi modeli sunulmaktadÕr. Bu 6 0.8317 Cumhuriyeti tip bir güvenlik çerçevesi karar alÕcÕlar ve e-devlet sistemlerini 7 Kanada 0.8172 8 Avusturalya 0.8108 dizayn edenler tarafÕndan kullanÕlacak olan temel bir araçtÕr. f 9 Fransa 0.8038 10 øngiltere 0.7872 76 Türkiye 0.4834 Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 10

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION E-Devlet için arttÕrÕlmÕú güvenlik çerçevesi güvenlik 2. Gizlilik: Sadece yetkilendirilmiú kiúiler sisteme eriúebilir. úartlarÕnÕn en üst düzeyde ifade edildi÷i ve e-devlet güvenlik Bilgi güvenli olarak depolanÕr ve yetkisiz kiúi ya da beyanlarÕna uzanan bir dokümandÕr. Bu çerçevenin amacÕ e- iúlemlere kapalÕdÕr. devlet hizmetleri ve iúlemlerinin güvenli÷ini sa÷lamak olup hükümet kurum ve kuruluúlarÕ ve iúletmeler tarafÕndan f 3. Güvenli Uygulamalar: E-Devlet hizmet ve uygulamalarÕnÕn kullanÕlan bir kÕlavuzdur. Sözkonusu çerçeve e-devlet web sa÷lam ve güvenli bir biçimde dizayn edilip geliútirilmesi sitelerinin güvenlik seviyesini ölçmede de kullanÕlabilir. ve uygulanmasÕdÕr. 4. Güvenli ùebeke: Bilgi ve iúlemlerin her türlü saldÕrÕdan ùEKøL II E-DEVLET GÜVENLøK ÇERÇEVESøNøN ANA BøLEùENLERø korunmasÕdÕr. 5. Güvenli Haberleúme: øúlemdeki bilginin tahrif ve ifúa f edilmeden korunmasÕ 6. Güven: øúlemlerin yetkilendirilmiú kiúilerce izlenebilir ve hesap verilebilir olmasÕ ve daha sonradan inkar edilememesi 7. Teminat: Güvenlik bileúenlerinin uygulanmasÕnda güvenin uú olan E-Devlet güvenlik çerçevesi güven ve itimat kazanmak isteyen anahtar bir kÕlavuz mahiyetindedir. gi bir E-devlet sisteminin güvenlik ek tehdit ve saldÕrÕlarÕ da analiz n bir yazÕlÕm risk analiz metodolojisini ama geliútirme ile bütünleúmiútir. ET GÜVENLøK RøSKLERø -devlet’in geliúimi ile úebekenin ÕklarÕ sebebiyle önemli güvenlik lmaktadÕr. tÕ÷Õ güvenlik riskleri aúa÷Õda “ønsanlar” bileúeni e-Devleti kull etmektedir. Hükümetler tarafÕndan e f 1. Bilginin Yolunun Kesilmesi (DurdurulmasÕ): ølgili e- güvenlik problemleri ve sonuçlarÕndan haberdar olmasÕnÕ devlet kullanÕcÕlarÕnÕn ya da saldÕrganlarÕn bilgileri sa÷layacak farkÕndalÕk programlarÕnÕn uygulanmasÕna ihtiyaç kullanÕcÕlardan ya da devletten çalmalarÕ ya da ele vardÕr. geçirmeleridir. “øúlemler” bileúeni E-Devlet kullanÕmÕnÕ sa÷layan güvenlik 2. Bilginin TahrifatÕ: ønternet saldÕrganlarÕnÕn bilgi politikasÕ ve prosedürleri tarafÕndan yönetilen uygulamalardÕr. f bütünlü÷ünün tahrip edilmesi amacÕyla orijinal bilgiyi çeúitli metotlar vasÕtasÕyla tahrif etmesi, bilgiye ekleme Teknoloji E-Devlet güvenli÷ini kuvvetlendirmek için ya da çÕkartma yapmasÕdÕr. kullanÕlÕr ancak en zayÕf halka kadar iyidir. Güvenli÷i arttÕrmak için kullanÕlacak teknoloji çok katmanlÕ olmalÕ ve 3. Hizmetlerin ønkar Edilmesi: ùebeke sisteminin yada her seviyede uygun úekilde uygulanmalÕdÕr [3]. sistemdeki sunucularÕn belirli bir periyot zarfÕnda f tamamen hükümsüz kÕlÕnmasÕdÕr. Ço÷unlukla hacker Teknolojinin ùekil ‘de yer alan altbileúenlerine aúa÷Õda saldÕrÕlarÕ ya da virüs ya da insan yapÕmÕ yÕkÕcÕ araçlar kÕsaca de÷inilmektedir. vasÕtasÕyla gerçekleútirilen saldÕrÕlardÕr. 1. Kimlik Denetimi: Sadece yetkilendirilmiú kiúiler sisteme 4. Sistem KaynaklarÕnÕn ÇalÕnmasÕ: ùebeke sistemi eriúebilmelidir. çevresinde sistem kaynaklarÕnÕn çalÕnmasÕ sÕk rastlanÕr bir durumdur. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 11

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION 5. Bilginin Taklidi: saldÕrganlarÕn úebeke bilgisi A.3. Risk Kontrolü içerisindeki veri kurallarÕnÕ bilmesi ya da e-devlet bilgisinin kodunu çözdükten sonra yasal kullanÕcÕ gibi Risk kontrolü bazÕ risk kontrol metotlarÕnÕ seçerek riskin davranmasÕ ya da di÷er kullanÕcÕlarÕ aldatmak için yanlÕú kabul edilebilir bir seviyeye azaltÕlmasÕnÕn sa÷lanmasÕdÕr. bilgi vermesidir. Ana formlar kullanÕcÕlarÕn yasal Risk kontrolü risk yönetiminin en önemli adÕmÕdÕr. E-Devlet olmayan sertifikalarÕ, yanÕltÕcÕ e-postalarÕ almasÕnÕ da güvenlik risk kontrolünün amacÕ e-devlet projelerinin maruz içerir [5]. kalaca÷Õ risk derecesini azaltmaktÕr. A. Risk Yönetimi Prosedürleri øki çeúit risk kontrolü metodu bulunmaktadÕr. Risk yönetimi riskleri tanÕmlamak, analiz etmek ve risk Birincisi risk azaltÕmÕ, kaçÕnma ya da transfer etme ve kayÕp yönetimi planlarÕnÕ hazÕrlamayÕ içeren bir süreçtir. E-devlet yönetimi gibi risk kontrolü ölçüleridir. güvenlik risk yönetimi prosedürleri üç adÕmdan oluúmaktadÕr. Risk tanÕmlanmasÕ, Risk Analizi ve Risk Kontrolü økincisi risk telafisi için sigorta ya da riski kendilerinin üstlenmesi gibi fon önlemleridir. E-devlet güvenlik risk A.1.Risk TanÕmlamasÕ: ølgili çeúitli tehditlerin ve yönetiminde idareciler sigorta ya da riski kendilerinin çözümlerinin toplanmasÕna ve e-devlet sistemindeki muhtemel üstlenmesine dair hangi önlemi alacaklarÕna karar riskleri ve tehditlerin tanÕmlanmasÕna dayanmaktadÕr. vermelidirler. Risklerin belirlenmesini sa÷layan çeúitli metotlar V. SøSTEM GÜVENLøöø ALTYAPISI bulunmaktadÕr. Risklerin belirlenmesinin amacÕ úebeke içindeki, veri ya da veri alÕúveriúindeki var olan riskleri Kamu perspektifinden bakÕldÕ÷Õnda hükümet bir kuruluú tanÕmlamaktÕr. olarak kabul edilebilir. Bir devlet kuruluúunda oluúacak olan bir güvenlik problemi tüm hükümet iúlemlerinin baúarÕsÕzlÕ÷Õ Risklerin belirlenmesi tüm e-devlet sistemi risklerinin olarak görülebilir. Bu bakÕmdan tüm kamu kurum ve belirlenmesini sa÷layamaz. Risk belirlenmesi halihazÕrda kuruluúlarÕnda bilgi güvenli÷inin sa÷lanmasÕ ve korunmasÕ bir bilinen ya da bilinen risklerden kaynaklanabilecek muhtemel ana proje olarak kabul edilebilir [6]. riskleri bulabilir. BøLGø GÜVENLøöø YÖNETøM SøSTEMø (BGYS) Risk analizi ve risk kontrolü bilinmeyen riskleri azaltmak ya da çözmek için kullanÕlÕr. Kurum ve KuruluúlarÕn hassas bilgilerini yönetebilmek amacÕyla benimsenen sistematik bir yaklaúÕm olan Bilgi A.2. Risk Analizi: Analiz, karúÕlaútÕrma ve de÷erlendirme Güvenli÷i Yönetim Sistemi’nin (BGYS) amacÕ sistem gibi çeúitli nicel ve nitel yöntemler vasÕtasÕyla e-devlet çalÕúanlarÕ, iú süreçlerini ve bilgi teknolojileri (BT) risklerinin her faktörünün önemine karar vermek ve e-devlet sistemlerini kapsayan hassas bilgilerin korunmasÕdÕr. sistemi için muhtemel sonuçlarÕnÕ de÷erlendirmektir. Kurum ve KuruluúlarÕn fiziksel alan güvenli÷i, veri Tehdit kaynaklarÕ insan, do÷a v.b. her türlü çevre olabilir. güvenli÷i, donanÕm-yazÕlÕm güvenli÷i ve güvenilirli÷i ile personel güvenilirli÷inin sa÷lanmasÕ için tehditlerden ve/veya zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya TABLO IV ÇEùøTLø TEHDøT KAYNAKLARI azaltÕlmasÕna yönelik kullanÕlan bazÕ standartlar Tehdit Muhtemel Kaynak bulunmaktadÕr. KasÕtlÕ Tehditler Teröristler Organizasyondan memnun olmayan, Bilgi güvenli÷i yönetimi konusunda en yaygÕn olarak akÕl sa÷lÕ÷Õ yerinde olmayan insanlar Suçlular kullanÕlan standart, “ISO/IEC 27002:2005 Bilgi Güvenli÷i YabancÕ düúmanlarla iúbirli÷i yapan Yönetimi øçin Uygulama Prensipleri” standardÕdÕr. Bu iúbirlikçiler standart, iúletmeler içerisinde bilgi güvenli÷i yönetimini KasÕtlÕ olmayan Tehditler Sistem kullanÕcÕlarÕnÕn yanlÕú iúlemleri baúlatmak, gerçekleútirmek, sürdürmek ve iyileútirmek için Sistem koruyucularÕnÕn ya da sorumlularÕnÕn yanlÕú iúlemleri genel prensipleri ve yönlendirici bilgileri ortaya koyar. Do÷al Tehditler Deprem ISO/IEC 27002:2005 rehber edinilerek kurulan BGYS’nin Volkanik Patlama belgelendirmesi için “ISO/IEC 27001:2005 Bilgi Güvenli÷i Hortum Yönetim Sistemleri–Gereksinimler” standardÕ Sel kullanÕlmaktadÕr [7]. Bu standart, dokümante edilmiú bir YÕldÕrÕm Düúmesi Dolu BGYS’ni kurumun tüm iú riskleri ba÷lamÕnda kurmak, Güvenlik açÕklarÕ hakkÕndaki bilgilere mevki araútÕrmasÕ, gerçekleútirmek, izlemek, gözden geçirmek, sürdürmek ve personel araútÕrmasÕ, penetrasyon testi, ilgili dokümanlarÕn iyileútirmek için gereksinimleri kapsamaktadÕr. øú risklerini analizi ve di÷er açÕk bilgi kaynaklarÕndan ulaúÕlabilir. karúÕlamak amacÕyla ISO/IEC 27002:2005’te ortaya konan Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 12

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION kontrol hedeflerinin kurum içerisinde nasÕl uygulanaca÷Õ ve denetlenece÷i ISO/IEC 27001:2005’te belirlenmektedir [8]. Ülkemiz E-Devlet HazÕrlÕk Göstergesi 2008’de 192 ülke arasÕnda 76 ncÕ sÕrada yer almakta ve E-Devlet KullanÕm Her iki standardÕn Türkçe hali TSE tarafÕndan sÕrasÕyla TS kapasitesi olarak %34- %66 kullanÕm oranÕna sahip ülkeler ISO/IEC 17799:2005 ve TS ISO/IEC 27001:2005 isimleri ile sÕnÕfÕnda bulunmaktadÕr. E-Devlet güvenli÷inin sa÷lanmasÕ, yayÕnlanmÕútÕr. makalenin I inci bölümünde kapsamlÕca anlatÕlan e-Devlet oluúumunun ileri aúamalarÕna ulaúÕlmasÕnÕ sa÷layan en önemli Pratik Uygulamalar: faktörlerin baúÕnda gelmektedir. Bu ba÷lamda ülkemizdeki e- Devlet oluúumunun ileri aúamalara ulaúabilmesi için E-Devlet Bilgi Teknolojileri ve øletiúim Kurumu tarafÕndan hazÕrlanan Güvenli÷inin sa÷lanmasÕna özel bir önem verilmesi yerinde 20 Temmuz 2008 tarih ve 26942 sayÕlÕ Resmi Gazetede olacaktÕr. Bu ba÷lamda makalenin II inci bölümünde yayÕmlanan ELEKTRONøK HABERLEùME GÜVENLøöø vurgulanan E-Devlet Güvenlik çerçevesinin belirlenerek, YÖNETMELøöø ile elektronik haberleúme güvenli÷ine iliúkin E-Devlet Güvenlik politikalarÕ ve güvenlik úartlarÕ usul ve esaslar düzenlenmektedir. oluúturulmasÕ, kullanÕcÕlar, iúlemler ve teknolojiyi bir arada göz önünde bulunduran bir E-Devlet Güvenlik sistemi Bu Yönetmelik, iúletmecilerin fiziksel alan güvenli÷i, veri kurulmasÕ yerinde olacaktÕr. E-Devlet Güvenlik sisteminin güvenli÷i, donanÕm-yazÕlÕm güvenli÷i ve güvenilirli÷i ile kurulmasÕnÕn en önemli safhasÕnÕ kamu kurum ve personel güvenilirli÷inin sa÷lanmasÕ için tehditlerden ve/veya kuruluúlarÕnÕn hassas bilgilerini yönetebilmesi, bilgi zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya güvenli÷inin sa÷lanmasÕ ve korunmasÕ oluúturmaktadÕr. azaltÕlmasÕna iliúkin olarak alacaklarÕ tedbirlere yönelik usul Kamu Kurum KuruluúlarÕnÕn kendi Bilgi Güvenli÷i Yönetim ve esaslarÕ kapsamaktadÕr. Yetkilendirilen iúletmeciler Sistemlerini kurmalarÕ ve bu konuyla ilgili olarak Elektronik yetkilendirme tarihinden itibaren bir yÕl içerisinde Elektronik Haberleúme Güvenli÷i Yönetmeli÷i ile yetkilendirilen haberleúme güvenli÷ini sa÷lama kapsamÕnda TS ISO/IEC iúletmecilerin halihazÕrda uygunlu÷u sa÷lamakla yükümlü 27001 veya ISO/IEC 27001 standardÕna uygunlu÷u kÕlÕndÕklarÕ TS ISO/IEC 27001 veya ISO/IEC 27001 sa÷lamakla yükümlü kÕlÕnmÕúlardÕr. sertifikasyonlarÕnÕ almalarÕ devlet bünyesinde bir sistemati÷in oluúturulmasÕnÕ sa÷layacaktÕr. AyrÕca ISO bünyesinde 27001 Bilgi Güvenli÷i sertifikasÕ kapsamÕnda; bilgi sürdürülen ISO/IEC 27012 – Bilgi Teknolojileri-Güvenlik envanterinin hazÕrlanmasÕ ve bilgilerin sÕnÕflandÕrÕlmasÕ, Teknikleri-E-Devlet için Bilgi Güvenli÷i Yönetim Sistemleri Zaafiyet – SÕzma Test ve Analizlerinin yapÕlmasÕ, Risk KÕlavuzu’nun hazÕrlanmasÕ faaliyetlerinin dikkatle takip Analizinin yapÕlmasÕ ve Güvenlik Önlemlerinin tespit edilmesi, Ülkemiz E-Devlet Güvenlik sistemi kurulmasÕ edilmesi, Bilgi Güvenli÷i Politika, Prosedür, Talimat ve çalÕúmalarÕnda katkÕ sa÷layacaktÕr. FormlarÕnÕn OluúturulmasÕ, TS ISO/IEC 27001 Ek dokümanlarÕnÕn hazÕrlanmasÕ, TS ISO/IEC 27001 Sertifikasyonu kapsamÕnda de÷erlendirilmesi gereken KAYNAKLAR konulardÕr. [1] C. Can Aktan, “Etkin Devlet”, Çizgi Kitabevi, 2003 [2] David S. Evans, “ Antitrust Issues Raised by the emerging global ønternet AyrÕca ISO bünyesinde ISO/IEC 27012 – Bilgi Economy” , Copyright 2008 by Northwestern University School of Law Vol. 102Northwestern University Law Review Colloquy Teknolojileri-Güvenlik Teknikleri-E-Devlet için Bilgi [3] “UN e-Government Survey”, United Nations, New York, 2008 Güvenli÷i Yönetim Sistemleri KÕlavuzu’nun hazÕrlanmasÕ [4] Walid Al-Ahmad and Reem Al-Kaabi,, “An Extended Security çalÕúmalarÕ sürdürülmektedir. ISO/IEC 27012’nin ilk tasla÷Õ Framework for E-Government”,ISI 2008, June 17-20, 2008, Ocak 2009 tarihinde yayÕnlanacak olup Nisan 2009 tarihine Taipei, Taiwan, 2008 IEEE [5] Zhitian Zhou, Congyang Hu, “Study on the E-government Security kadar kamuoyu görüúlerine açÕlacaktÕr [9]. Risk Management”, IJCSNS International Journal of Computer Science and Network Security, VOL.8 No.5, May 2008 VI. SONUÇ [6] Stephen Smith, “Key Factors in E-Government Information System Security”, 18th Bled eConference eIntegration in Action Bled, Slovenia, ønternet günümüzde hem bilgi hem de tehditlerin kayna÷Õ June 6 - 8, 2005 [7] Fikret Ottekin Ulusal Elektronik ve Kriptoloji durumuna gelmektedir. Bu makalede güvenli e-devlet hizmet AraútÕrma Enstitüsü ISO/IEC 27001 Denetim Listesi, ve uygulamalarÕnÕn ana bileúenlerini adresleyen kapsamlÕ bir Sürüm 1.00, 21.02.2008 güvenlik çerçevesi ortaya konulmuútur. Bu çerçeve [8] Dinçer Önel, Ali Dinçkan, Ulusal Elektronik ve Kriptoloji hükümetlerin güvenli÷i e-Devlet sistemlerine tüm anahtar AraútÕrma Enstitüsü, Bilgi Güvenli÷i Yönetim Sistemi Kurulumu, Sürüm 1.00, 28.08.2007 güvenlik bileúenlerini göz önünde bulundurarak etkin bir [9] http://www.iso27001security.com/html/27012.html úekilde dahil etmelerinde yardÕmcÕ olacaktÕr. E-devletin karúÕlaútÕ÷Õ güvenlik riskleri risk yönetimi prosedürleri yardÕmÕyla azaltÕlabilir. Etkin ve elveriúli risk kontrolü metotlarÕndan biri riski azaltmak üzere bütüncül bir güvenlik planÕ hazÕrlamak, güvenlik garantisi olarak bazÕ temel teknolojilere hakim olmak ve özel güvenlik kazalarÕ oldu÷unda hükümetin kabul edebilece÷i çözümler hazÕrlamaktÕr. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 13

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Security of Critical Information Infrastructures: E-Governance and Standardization Serap ATAY, Marcelo MASERA Keywords — Communication system security, Goverment information systems, Internet, Security. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 21

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 22

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Cryptanalysis of Strengthened Magenta Orhun KARA Abstract—In this paper we mount a reflection attack on a its extremely simple key-schedule algorithm. We strengthen modified version of Magenta. Magenta was one of the block Magenta by double encryption and by adding two more rounds ciphers submitted for the AES contest. Indeed, Magenta has in order to foil the attack in [2]. It is also interesting that slide been already broken during the AES contest and hence has been disqualified. We first strengthen Magenta by double encryption attacks and related-key attacks are probably not applicable and by adding two more rounds. We call this new cipher as to the strengthened version. On the other hand, we mount a MagentaP2. We claim that MagentaP2 is strong against any reflection attack on the strengthened version. attack including the attack mounted on Magenta, except refection It is quite unusual that increasing the number of rounds type attacks. may cause weaknesses in terms of reflection analysis in some One prevalent adoption in crypto community is that increasing the number of rounds of a block cipher enhances the security cases. Magenta is strong against reflection analysis. However, level. In fact, we give a counter example against this adoption. reflection attack works quite well on MagentaP2, having more Magenta stands well against reflection attacks whereas Magen- rounds. The attack exploits extremely large number of the fixed taP2 is vulnerable to reflection attacks even though its number of points produced by the encryption function of Magenta. The rounds is more than twice the number of original Magenta. The workloads are , and encryptions with at most workloads of our attack are , and encryptions with at most known plaintexts for 128-bit, 192-bit and 256-bit key known plaintexts for 128-bit, 192-bit and 256-bit key lengths, lengths, respectively. respectively. Keywords Index Terms—Block Cipher, Round Function, Round Key, Key Organization. We give a brief description of the algorithm Schedule, Cryptanalysis, Self-similarity. Magenta in section II and then describe the modified version MagentaP2 in the forthcoming section. After giving prelimi- I. I NTRODUCTION nary results for the attack in Section IV, we explain the attack in Section V. Then, we conclude the paper. In this paper we mount a reflection attack on a fortified version of Magenta by means of increasing its round numbers and double encryption. The reflection attack is a new type II. A B RIEF D ESCRIPTION OF M AGENTA of self-similarity attack and the attack idea has been first Magenta is a block cipher submitted for the AES contest by appeared in [13]. The first applications with extensions have Deutsche Telekom AG [10]. It is a Feistel cipher with 128 bit been presented in FSE 2007 [14] and in INDOCRYPT 2008 block size and 128, 192 or 256 bit key sizes. In this section [12]. we give a high level description of Magenta and construct Apart from reflection attacks, there are two more generic a distinguisher for the whole cipher. This distinguisher does attack types exploiting some degree of self-similarity among not assist key recovering. We modify Magenta and call it round functions: One of them is the slide attack [5], [6]. The MagentaP2 (meaning Magenta Plus 2). MagentaP2 is double typical slide attack can be applied if the sequence of round encryption of Magenta plus two more rounds. The modified keys has a short period. The other attack type is the related- Magenta is expected to be more secure than Magenta against key attacks proposed by Biham [1]. Unlike slide attacks and most of the attack methods including the attack in [2] on related-key attacks, reflection attack exploits similarities of Magenta. However, it is surprising that MagentaP2 is weaker some round functions of encryption process with those of than Magenta itself in terms of reflection attacks. decryption. This is the main difference from the previous self-similarity attacks, which exploit the similarities among We give a short description of Magenta. We do not enter round functions only in encryption process. Consequently, into details of round function since we do not exploit it in some ciphers resistant to related-key attacks or slide attacks cryptanalysis. Magenta is a Feistel network where the last can be vulnerable to reflection attacks. swap operation is included unlike DES. When the key length Magenta was one of the candidate algorithm for AES during of Magenta is of 128, 192 or 256 bits then it is divided into NIST-AES contest and has been broken immediately after the two, three or four equal parts as , or commencement of the contest [2]. The major pitfall of the , respectively. The encryption functions are algorithm was not a weakness of the round function but was if key size is 128, The author is supported in part by the European Commission through the if key size is 192, project FP-7 ICE under the project grant number 206546. if key size is 256. O. KARA , TÜBİTAK UEKAE National Research Institute of Electronics and Cryptology, Gebze 41470 Kocaeli/Turkey, orhun@uekae.tubitak.gov.tr Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 27

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Each round function is defined as the studies were focused on algebraic properties of DES permutations and their short cycles rather than developing a key recovery attack [8], [19], [11], [18]. The following corollary (1) points out the opposite direction of this old phenomenon. where is the “XOR” operation. Corollary 1: Assume that each round key determines a Magenta was cryptanalyzed during the AES conferences round function randomly. Let be encrypted by Biham et. al. [2] and hence eliminated. The attack is a and be its encryption stream. Assume that divide and conquer type attack. One can extract the outer keys, the round number is even, , and independently from the inner key. The complexity is . Let be the cardinality of the pre-image encryptions for a known plaintext attack where is the key set, . Then, length. and III. D ESCRIPTION OF M AGENTA P2 The modified Magenta, which we call MagentaP2, is a Proof: Assume that the round function is random. Then, double encryption of Magenta including two more rounds. Let the probability that is given as and denote the encryption functions of Magenta and MagentaP2, respectively. Then, MagentaP2 encryption is defined as since it is equal to (2) where is the round function of Magenta and if key size is 128, if key size is 192, Note that since . if key size is 256. On the other hand, by Proposition 1. Hence, we conclude that is cyclic rotation to left by bits where can be chosen any positive integer less than 64. The new cipher depends on , but we call all the ciphers simply as “MagentaP2” by abuse of terminology. IV. P RELIMINARY W ORK FOR THE ATTACK We give a general framework of the reflection attack on Feistel networks as a preliminary section for the next section The following theorem illustrates the property exploited to where the attack is described. The extensions of the statements mount an attack on a Feistel network with palindromic round in this section can be found in [12]. keys. Let a plaintext be given as Theorem 1: Assumptions are as in Corollary 1. Then the . The Feistel structure can be equality implies that the equation stated as a recursive function defined as with the initial conditions given by . The (4) function is the encryption is true with probability function. The -th round operation is defined as (3) for . In general, the swap operation is excluded in the Proof: Assume that . Then by Corollary 1, we last round and is the corresponding ciphertext. With have with probability some abuse of terminology, is also called the round function. We call the stream the encryption stream of with respect to . Proposition 1: For a given natural number , assume Thus the equality is true with probability that . Let be encrypted and be its encryption stream. If , then by Proposition 1. On the other hand . Conversely, if and Thus, the probability that is for some , then . Proposition 1 has already been known during the studies on cycle structures of DES (see [8], [19]). Hence, the notion of the fixed points of the weak keys of DES is well known. However, Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 28

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION V. T HE ATTACK the equation and extract the subkey and then recover the Define an intermediate function remaining key bits by searching exhaustively. Let the key length be for . Then, by using plaintexts we obtain approximately equations of the form Equation (5) 8 and expect half of them to be correct by Proposition 2. By collecting the subsets of equations and solving them The function is indeed two rounds of encryption with we obtain a unique solution for . Note that false alarm key such that the second swap is ignored. That is, is probability is almost zero since the probability that a false without the last swap. We use this function as the key is a solution of all the equations is . The time intermediate function. It has many fixed points: complexity of recovering is where is the Lemma 1: The function has fixed points. number of rounds, namely 14 or 18 depending on the key Proof: The fixed points of the function are those size. The remaining key material (i.e., ) can be deduced such that by exhaustive search. As a result, one can recover the key by and (6) and encryptions using and known plaintexts for 128 bit, 192 bit and 256 bit key lengths, These are the same equations and the points respectively. are fixed points of . The intermediate function of MagentaP2 chosen as VI. C ONCLUSION AND D ISCUSSION The algorithm Magenta is doubled in the modified ver- (7) sion. Indeed, the number of Magenta encryption does not also has fixed points by Lemma 1. If the first half affect the attack complexity. Therefore, one may use triple of a plaintext is equal to second half of its corresponding or more Magenta encryptions. Still, the attack will work. It ciphertext through encryption of Magenta, then the remaining is also interesting that other self-similarity attack methods other halves are also equal with probability nearly one half by whose complexities are independent of round number, such Corollary 1. This distinguisher does not depend on the number as related key attacks or slide attacks probably do not work of Magenta encryptions. for MagentaP2. The reflection attack on MagentaP2 is to get an equation One design criterion introduced in [13] is the self similarity similar to Equation 4 and solve it to extract the subkey degree of functions. It is expected that the round functions . The following proposition leads to a reflection attack on of a block ciphers should not be similar of high degree with MagentaP2. high probability. Indeed, the Magenta round functions are even Theorem 2: Assume that Magenta is a random function. Let same with probability one. This property results from the key a plaintext be encrypted by MagentaP2 and the schedule of Magenta and is exploited in the attack. ciphertext be produced. Assume that . Then and satisfy the equation R EFERENCES (8) [1] E. Biham. New Types of Cryptanalytic Attacks Using Related Keys. J. of Cryptology, Vol.7, pp.229-246, 1994. with probability [2] E.Biham, A. Biryukov, N. Ferguson, L.R. Knudsen, B. Schneier and A. Shamir. Cryptanalysis of Magenta. In Proc. Second AES conference, NIST, 1999. [3] E.Biham, O. Dunkelman and N. Keller. Improved Slide Attacks, In Proc. Proof: Observe that the equations FSE’07, LNCS 4593, pp. 153-166, Springer, 2007. [4] E. Biham and A. Shamir. Differential Cryptanalysis of Data Encryption and together come Standard. Springer, 1993. from a fixed point of double encryption [5] A. Biryukov and D. Wagner. Slide Attacks. In Proc. FSE’99, LNCS 1636, Magenta function without the last swap. We have pp.245-259, Springer, 1999. [6] A. Biryukov and D. Wagner. Advanced Slide Attacks. In Proc. EURO- the equality of probabilities: CRYPT 2000, LNCS 1807, pp.589-606, Springer, 2000. [7] G. Carter, E. Dawson and L. Nielsen. Key Schedules of Iterated Block is fixed point Ciphers. In Proc. Information Security and Privacy, ACISP’98, LNCS is fixed point 1438 pp. 80-89, Springer, 1998. [8] D. Coppersmith. The Real Reason for Rivest’s Phenomenon. In Proc. CRYPTO’85, LNCS 218, pp. 535-536, Springer, 1985. since is fixed point . On the other [9] M. Henricksen. Design, Implementation and Cryptanalysis of Modern Symmetric Ciphers. PhD Thesis, ISRC, Faculty of Information Technol- hand, by Theorem 1 and the ogy, Queensland University of Technology, 2005. result follows. [10] M.J. Jacobson Jr. and K. Huber. The Magenta Block Cipher Algorithm. In Proc. First AES conference, NIST, 1998. [11] B.S. Kaliski, R.L. Rivest and T. Sherman. Is DES a Pure Cipher? Equation 8 in Theorem 2 leads to a divide and conquer (Results of More Cycling Experiments on DES). In Proc. CRYPTO’85, type attack that can be mounted on MagentaP2. Encrypt a LNCS 218, pp. 212-222, Springer, 1985. plaintext and obtain the corresponding ciphertext [12] O. Kara. Reflection Cryptanalysis of Some Ciphers. In Proc. IN- DOCRYPT 2008, LNCS 5365, pp. 294-307, Springer, 2008. . If then Equation 8 is satisfied for [13] O. Kara. Self-Similarity Anlaysis of Block Ciphers. In Proc. II. National and with probability nearly one half by Theorem 2. Solve Cryptology Symposium, METU Ankara 2006. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 29

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION [14] O. Kara and C. Manap. A new class of Weak Keys for Blowﬁsh, In Proc. FSE’07, LNCS 4593, pp. 167-180, Springer, 2007. [15] J. Kelsey and B. Schneier. Key-Schedule Cryptanalysis of DEAL. In Proc. SAC’99, pp.118-134, Springer, 2000. [16] Y. Ko, S. Hong, W. Lee, S. Lee and J. Kang. Related Key Differential Attacks on 27 Rounds of XTEA and Full-Round GOST. In Proc. FSE’04, LNCS 3017, pp.299-316, Springer, 2004. [17] M. Matsui. Linear Cryptanalysis Method of DES Cipher. In Proc. EUROCRYPT’93, LNCS 765, pp. 386-397, Springer, 1994. [18] J.H. Moore and G.J. Simmons. Cycle Structure of the DES with Weak and Semi-Weak Keys. In Proc. CRYPTO’86, LNCS 263, pp.9-32, Springer, 1986. [19] J.H. Moore and G.J. Simmons. Cycle Structure of the DES for Keys Having Palindromic (or Antipalindromic) Sequences of Round Keys. IEEE Transactions on Software Engineering, pp. 262-273,No 13,1987. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 30

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Algebraic Cryptanalysis of Reduced AES Ameneh FARHADIAN, M.R. AREF cryptanalysis reduced AES. The obtained equation system Abstract—Algebraic attack on AES was proposed, recently. It could be solved faster than brute force attack even by was called XSL attack. The suggested computational complexity guessing the unknowns. of this attack on AES is not dependent on the number of cipher The equation system is established in the next section. The rounds, roughly. So the implementation of attack is not practical Section 3 deals with solving discussion of the obtained even for the low number of AES round. In addition, the estimate given for the number of linearly independent equations equation. An improved attack is presented in Section 4. generated by XSL technique has not been proved exactly and it Finally we summarized the paper in the Section 5. can not be checked even for reduced AES, because the mentioned reason. But there is a question: weather it may be possible to have another equation system expressing the AES that enable the II. GENERATING THE EQUATION SYSTEM algebraic attack on reduced AES with computational complexity proportional to the number of rounds. In this paper a new In algebraic cryptanalysis of block cipher, usually a big equation system for AES is proposed that results in new equation system with large number of equations and algebraic attack on reduced AES up to 5 rounds. Solving this unknowns is established. But here, only one equation is equation system even by worst method like guessing the written to describe the cipher and cryptanalysis is done by unknowns is faster than the brute force attack. solving this equation for some chosen plaintexts. In AES encryption, all the operations can be expressed in Keywords Index Terms— Algebraic cryptanalysis, AES, Closed form GF (28 ) field. So every intermediate byte or output byte can representation, Ground idea. be expressed in closed form of input bytes, easily. In [4], Ferguson et al. derived a closed formula for AES (rijndael) I. INTRODUCTION that can be seen as a generalization of continued fractions. We use such closed form equation by some modifications. Before A lgebraic attack on ciphers has gained more and more attention in cryptography[1]-[6]. The idea of algebraic attack is to express a cipher by a system of equations generating the equation, let define the notation that will be used. We refer to FIPS 197 [7] for a full description of the cipher. whose solution revels the secret key. So the differences in the p i , j One byte of plaintext which is placed in i-th row and j-th way of generating the equation system or in the methods of solving the equation may result in different algebraic attacks. column of block. The algebraic attack on AES [7] was proposed by Courtois c i , j One byte of ciphertext which is placed in i-th row and j- and Pieprzyk in [1], it was called XSL attack. The th column of block. computational complexity of this attack has not been proved, S (x ) S-box function by input byte x. perfectly. Because the estimates given for the number of p i(,rj) The input byte of r-th round which is placed in i-th row linearly independent equations generated by the XSL technique, appears to be inaccurate. Murphy and Robshaw and j-th column of block. have improved this attack by rewriting the equations in D i , E i , J i Coefficients of the mix column operation. GF (28 ) instead of GF(2)[2]. They argue that it should be Oi Coefficients of the mix column inversion operation. possible to break 128-bit AES with an effort equivalent to k i(,rj) One byte of subkey in r-th round, which is placed in i-th 2100 AES encryption, of course if the estimates for XSL row and j-th column of block. technique are valid. Using the defined notation and description of the cipher, the In [8], a simple closed form of AES was presented. But p i(3) , one input byte of the third round can be written as ,j solving this equation or using it in cryptanalysis has remained as an open problem, until now. In this paper we use solving (3) p m ,n D1S (¦ E1,e S ( p i 1,e , j1,e k i1,e , j1,e ) k l(1)k 1 ) 1. e such closed form of equation by some difference to D 2S (¦ E 2,e S ( p i 2,e , j 2,e k i 2,e , j 2,e ) k l(1)k 2 ) 2. e (1) Manuscript received November 9, 2008. This work was supported in part D 3S (¦ E 3,e S ( p i 3,e , j 3,e k i 3,e , j 3,e ) k l(1)k 3 ) 3, by ITRC under Grant T500/5990. e A.Farhadian received the B.S., and M.S. degrees, in Electrical Engineering, from Sharif University of Technology of Iran. (Phone: +98-21-44990823; e- D 4S (¦ E 4,e S ( p i 4,e , j 4,e k i 4,e , j 4,e ) k k(1), l 4 ) k p ,q 4 (2) mail: afarhadian@ yahoo.com). e M.R. AREFis with the Electrical Engineering Department, Sharif University M.R. Aerf of Technology. (phone: +98-21-66165935; e-mail: aref@sharif.ir). Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 31

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Now we want to simplify this equation. For this reason, we choose only plaintexts which are identical in all bytes except S 1 ( k m , n /(4) ¦OS 1d y d 4 y 1 (c k y ,l y k k(5),l y )) k m , n y (3) one, say p i1,1 , j1,1 . We call it “active byte”. Choosing plaintexts J 1S (D1S ( E1S ( p i , j k i , j ) const 1,1 ) const 2,1 ) 1 1 1 1 in this way enables us to summarize the equation. Now, we J 2S (D 2S ( E 2S ( p i1 , j1 k i1 , j1 ) const 1,2 ) const 2,2 ) (8) have some constant components in the equation for this set of chosen plaintexts. We summarize these constant parts in J 3S (D 3S ( E3S ( p i1 , j1 k i1 , j1 ) const 1,3 ) const 2,3 ) equation by assigning a new simple constant parameter. One J 4S (D 4S ( E 4S ( p i1 , j1 k i1 , j1 ) const 1,4 ) const 2,4 ) constant part in the (1) within such chosen plaintexts are The resulted equation is very interesting. We could find an shown by underling. Using this idea, equation (1) is rewritten equation that relates the plaintext bytes and cipher text bytes to together, with low number of unknown variables. The number (3) p m ,n D1S ( E1S ( p i1,1 , j1,1 k i1,1 , j1,1 ) const 1 ) const 2 (2) of unknown variables in this equation is only 15. In (2), const 2 is equal to the part that is underlined in (1). After generating the equation for 4-round and 5-round As we see, the number of unknowns are reduced in (2), AES, let's investigate the solving strategy. In the next section we deal with the strategy of solving. notably. If we consider the reduced 4-round AES, the p i(3) ,j byte can be expressed by ciphertext bytes, too. The expression of p i(3) according to ciphertext bytes is ,j III. SOLVING THE EQUATIONS (3) S ( p m ,n ) k m ,n /(3) ¦ 1d y d 4 Oy S 1 (c k y ,l y k k(4),l y ) (3) y Since the number of unknowns in the equations is low, the first way that appears to solve the equation is to guess the /(3) Please note that k m , n is the subkey that is obtained after unknowns. The equation corresponding to 4-round AES has 8 transposition of two linear operations in 3-th round. “Add unknowns. And other equation corresponding to 5-round AES round key” operation and “Mix column” operation are has 15 unknowns. transported together. Since both of them are linear, this The second way is to substitute the S(x) relation in the transposition doesn’t have any effect on cipher. Just, we equation. From [7], we know that should notice that replacing these two operations requires S (x ) ' 63' ' 05 ' x 254 ' 09 ' x 253 ' f 9 ' x 251 ' 25 ' x 247 changing the corresponding subkey. (By performing the mix (9) 'f 4'x ' 01' x 'b 5 ' x '8f ' x 239 223 191 127 column inversion operation on corresponding subkey) Combining (2) and (3), we have Substituting S(x) relation in original Equation results in a multivariate polynomial over GF(28) with maximum possible S (D1S ( E1S ( p i1,1 , j1,1 k i1,1 , j1,1 ) const 1 ) const 2 ) degree. Solving the resulted multivariate polynomial seems to (4) k m , n ¦ Oy S 1 (c k y , l y k k(4), l y ) /(3) y be very difficult. We don’t have any proper tool to solve such 1d y d 4 equation. Now, we could find a relation between plaintext bytes and Another way is to use xy 1 relation for nonlinear part of ciphertext bytes for 4-round AES. Let develop this equation to s-box. This idea was used in establishing the equation system 5-round AES. We know that each output byte of mix column for XSL attack on AES. According to [1], it is possible to operation in 3-th round is a linear combination of S ( p i(3) ) s. ,j have 23 implicit quadratic equations with 80 distinct terms for thus each s-box. We define new variables and expand the equation to be possible to use such above-mentioned implicit equation (3) bm ,n J 1S ( p i(3) ) J 2S ( p i(3) ) J 3S ( p i(3) ) J 4S ( p i(3) ) (5) ,j ,j ,j ,j system for s-box. Each s-box should be assigned to a new And Substituting (5) into (4), it gives defined variable like as follows for 4-round AES equation (3) bm ,n J 1S (D1S ( E1S ( p i , j k i , j ) const 1,1 ) const 2,1 ) S (D1 S ( E1 S ( p i1,1 , j1,1 k i1,1 , j1,1 ) const 1 ) const 2 ) 1 1 1 1 J 2S (D 2S ( E 2S ( p i1 , j1 k i1 , j1 ) const1,2 ) const 2,2 ) 1 y (6) J 3S (D 3S ( E3S ( p i1 , j1 k i1 , j1 ) const 1,3 ) const 2,3 ) 2 (10) y y3 J 4S (D 4S ( E 4S ( p i1 , j1 k i1 , j1 ) const1,4 ) const 2,4 ) (3) k /(3) m ,n ¦O 1d j d 4 j S 1 (c k j ,l j k k(4), l j ) j In other hand, b m ,n can be represented by ciphertext bytes as zj follows Thus bm , n S (k m , n (3) /(4) ¦S 1d y d 4 1 (c k y ,l y k k(5),l y )) k m , n y (3) (7) Combining [6] and [7] results in Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 32

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION y 1 S ( p i1,1 , j1,1 k i1,1 , j1,1 ) right hand side of the equation and to check if the computed ° values for right hand side are identical for all chosen ° y 2 S (v 1 ), v 1 E1 y 1 const 1 plaintexts. If they are the same, the guessed values for °y S (v 2 ), v 2 D1 y 2 const 2 unknowns can be correct. So it is sufficient to guess only 7 ° 3 °z 1 S 1 (c k , l k k(4)l ) bytes and to compute the right hand side. By means of this ° 1 1 1, 1 idea, the number of unknown is reduced. The number of ®z 1 S (c k 2 ,l 2 k k(4),l 2 ) (11) ° 2 2 chosen plaintexts that the right hand side is computed for them °z S 1 (c k 3 ,l 3 k k(4)l 3 ) should be enough to overcome the answers by chance. The ° 3 3, probability that n bytes take the same value by chance is °z 1 S (c k 4 ,l 4 k k 4 ,l 4 ) (4) 2 8 /(28 ) n . And the search space for 7 unknown bytes has ° 4 ° y 3 k m , n O1z 1 O2 z 2 O3 z 3 O4 z 4 /(3) (28 )7 elements. Thus n should be at least 8 to overcome the ¯ In above equation system, there are 10 equations over wrong solutions. In this case, the computational complexity GF (28 ) . Each equation over GF (28 ) is equal to 8 equation would be 256 . It shows that the attack is improved by factor of over GF(2). We have 7 s-box relations that each of them can 28 to prior attack. /(3) generate 23 implicit quadratic equations. Therefore this We define the k m , n term as “Ground” of the equation [9]. equation system is equal to an equation system over GF (2) Since it is constant within all chosen plaintexts and can be with 185 (7 u 23 implicit quadratic +3 u 8 linear) equations considered as a ground for our computations. and 136 unknown bits and nearly 591 distinct terms. The Now we want to use the “Ground” idea to improve the 5- (3) number of equations is more than the number of unknowns by round AES cryptanalysis, too. In (8), k m , n can be taken as a 49, so the XL method can be successful to solve the system. “Ground“. Thus But it seems that the work load will be more than to be (3) Ground k m , n acceptable. In future, may be, one can solve this equation system better. S 1 ( k m , n /(4) ¦OS 1d y d 4 y 1 (c k y ,l y k k(5),l y )) y Let come back to first way, guessing the unknowns. In the equation corresponding to 4-round AES, there are 8 unknown J 1S (D1S ( E1S ( p i1 , j1 k i1 , j1 ) const 1,1 ) const 2,1 ) (13) bytes, so the search space has (2 8 )8 elements. Each element J 2S (D 2S ( E 2S ( p i1 , j1 k i1 , j1 ) const 1,2 ) const 2,2 ) should be tested by computing the equation and check the J 3S (D 3S ( E3S ( p i1 , j1 k i1 , j1 ) const 1,3 ) const 2,3 ) equality for it. To overcome the answers by chance, we should iterate the test at least 8 times for 8 different chosen plaintexts. J 4S (D 4S ( E 4S ( p i1 , j1 k i1 , j1 ) const 1,4 ) const 2,4 ) Because the probability that equality holds by chance is 28 . Now, there are 14 unknowns, which should be guessed, to The computation of equation takes 1/ 8 of work load taken for compute the “Ground” value. Since the search space has one 4-round AES encryption. Therefore the work load of this (28 )14 elements, we should compute the Ground parameter for attack is 264 . at least 14 chosen plaintexts to escape from accidental wrong There are 15 unknown bytes in 5-round expressing outcomes. If the guessed variables are correct, the computed equation. So, 15 bytes should be guessed. To overcome the answers by chance, we should iterate the test at least 15 times Ground for all chosen plaintexts will be the same. In this case, for 15 different chosen plaintexts. Finally, the work load will the computational complexity is 2112 that is improved by be 2121.5 . This is lower than exhaustive search by factor of factor of 28 rather prior attack. It is better than brute force 26.5 . attack by factor of 216 . In the next section we will improve this attack. V. CONCLUSION IV. THE ATTACK IMPROVEMENT In this paper, a new algebraic attack on reduced AES is As we saw in the previous section, the resulted equation can proposed. It was shown that for the reduced AES up to 5 be solved by guessing the unknowns with computational rounds, it is possible to write an equation that relates the complexity lower than exhaustive key search attack. Here, we plaintext and ciphertext bytes together. Solving this equation want to improve the prior attack. even by guessing the unknown is faster than brute force Equation (4) can be rewritten as follows attack. The attack was improved by the Ground idea. The k m , n S (D1S ( E1S ( p i1,e , j1,e k i1,e , j1,e ) const 1 ) const 2 ) /(3) proposed algebraic Ground attack could break 4-round and 5- (12) round AES by respectively 256 and 2112 computational ¦ Oy S 1 (c k y ,l y k k(4),l y ) 1d y d 4 y complexity. The number of required chosen plaintexts for We see that the left hand side of the above equation is a byte cryptanalysis the 4-round and 5-round AES is 8 and 15, of subkey and is constant for every plaintext. Therefore it respectively. /(3) doesn’t need to guess the k m , n . It is sufficient to compute the Although, some more efficient structural attacks such as square attack [10], impossible differential attack [11] and Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 33

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION collision attack [12] were proposed on reduced AES before, but the new proposed attack in this paper is the first successful algebraic attack on reduced AES. It seems to be hard to extend the attack to more than 5 rounds. But may be, one can do it some years ago. REFERENCES [1] N. Courtois, J. Pieprzyk, “Cryptanalysis of Block Ciphers with Overdefined Systems of Equations.” In: Proceedings of Asiacrypt 2002, LNCS 2501, Springer-Verlag 2002, pp. 267-287. [2] S. Murphy, J.B. Robshaw,”Essential Algebraic Structure Within the AES”, Proceedings of CRYPTO 2002, LNCS 2442, Springer-Verlag 2002, pp.17-38. [3] A. Biryukov ,and C. De Canniere, "Block ciphers and systems of quadratic equations", in Fast Software Encryption, FSE 2003, pp. 274- 289. [4] C. Carlos, S. Murphy, M. Robshaw, Algebraic Aspects of the Advanced Encryption Standard , 2006, Approx. 155 p., Hardcover, ISBN:0-387- 4363-1. [5] C. Cid, S. Murphy ,and M. Robshaw, “Computational and Algebraic Aspects of the Advanced Encryption Standard”, Seventh International Workshop on Computer Algebra in Scientific Computing, CASC‘2004, Petersburg, Russia, 2004, pp. 93-103. [6] I. Toli ,and A, Zanoni, ”An Algebraic Interpretation of AESí128”, AES 4th International Conference, AES 2004 Bonn, Germany, pp. 84-97. [7] National Institute of Standards and Technology. “Advanced Encryption Standard”, FIPS 197, 26 November 2001. [8] N. Ferguson, R. Schroeppel, D. Whiting, A Simple algebraic representation of Rijndael, Proceeding of the Eighth International Workshop on selected areas in cryptography (SAC’2001), LNCS 2259, Springer-Verlag, 2001, pp. 103-111. [9] A. Farhadian, “Algebraic Cryptanalysis of AES” M.S. thesis, Dept. Electrical. Eng., Sharif University of Technology, Tehran, Iran, 2006. [10] J. Daemen, L.R. Knudsen, and V.Rijmen,”The Block Cipher Square”, Fast Software Encryption, LNCS 1267, Springer-Verlag, 1997, pp. 149- 165. [11] E. Biham ,and N. Keller, “Cryptanalysis of Reduced Variants of Rijndael”, 3rd AES Conference, New York, USA, 2000. [12] H. Gilbert and M. Minier, “A Collision Attack on 7 Rounds of Rijndael", Proceeding of the Third Advanced Encryption Standard Candidate Conference, NIST, 2000, pp. 230-241. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 34

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION A Survey of the Attacks on AES Ali DOĞANAKSOY, Aslı DARBUKA, Dilek ÖZBERK, Neşe ÖZTOP, Fatih SULAK Keywords Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 35

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION A Survey of Related-Key Attacks on AES Ali DOĞANAKSOY, Aslı DARBUKA, Dilek ÖZBERK, Neşe ÖZTOP, Fatih SULAK Keywords Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 41

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION CMS Tabanlı Kütüphane Kullanarak ETSI Uyumlu Elektronik İmza Modülü Geliştirmek Hasan GÖLLE, Şeref SAĞIROĞLU ETSI TS 101 733 [2] de belirtilen BES (basic electronik Özet—Dijital imzanÕn matematiksel altyapÕsÕ iyi signature ) formatÕnÕn PKCS#7 / CMS formatÕndan farklÕ tanÕmlanmÕútÕr ve açÕk anahtar altyapÕsÕnÕn sa÷ladÕ÷Õ olarak sahip oldu÷u ek imza nitelikleri nedeniyle Ms Crypto kriptografik metodlar, gizlilik, bütünlük, inkar edememezlik API nin üretti÷i elektronik imza, Tübitak imza kütüphanesi ve kimlik do÷rulamada etkin olarak kullanÕlabilmektedir. Veri tarafÕndan do÷rulanamamaktadÕr. nesnelerine uygulanan dijital imza için tanÕmlÕ genel standartlar (PKCS#7 veya CMS gibi) varsa da imzalanacak verinin formatÕnÕ, imza formatÕnÕ ve elektronik belge formatÕnÕ ETSI TS 101 733, Cryptographic Message Syntax (CMS) tanÕmlayan bir standarda gereksinim vardÕr. YalnÕzca uzun üzerine yazÕlmÕú bir standartdÕr. CMS'nin güncel dönemli elektronik imza geçerlili÷ini destekleyen bir standart, RFC'si RFC 3852’dÕr. ETSI ise RFC 3369'u kullanmÕútÕr. farklÕ kullanÕcÕ ortamlarda çalÕúan elektronik imza CMS [3] standartÕnda, atÕlan imzalara "Attribute" olarak çözümlerinin birbirleri ile uyumlu çalÕúabilmelerine olanak adlandÕrÕlan çeúitli nitelikler eklemek mümkündür. ETSI sa÷lar. Bu noktada Telekomünikasyon Kurumu, atÕlan 101 733, attribute'larla ilgili çeúitli kÕsÕtlar koyarak 9 farklÕ imzalarÕn ETSI TS 101 733 standartÕna uygun olmasÕnÕ tavsiye imza formatÕ tanÕmlamaktadÕr. Bunlardan en basiti etmektedir. Bu bildiride CMS tabanlÕ MS CryptoApi BES(Basic Elektronic Signature) yani Temel Elektronik kütüphanesinin sa÷ladÕ÷Õ temel kriptografik metodlar kullanÕlarak ETSI uyumlu elektronik imzanÕn nasÕl ømzadÕr. BES imzasÕ içinde bulunmasÕ zorunlu olan 3 oluúturulaca÷Õ açÕklanmÕútÕr. attribute vardÕr. Bunlar CMS'de tanÕmlÕ Content- type, Message-digest attribute’larÕ ve RFC 2634'te [4] Anahtar kelimeler—elektronik imza, CMS, ETSI, imzalama tanÕmlÕ signing-certificate ve other-signing- sertifikasÕ. certificate attribute’larÕndan biri olmalÕdÕr. MS CryptoAPI ile ETSI uyumlu imza atamamadaki Abstract—The mathematical aspects related to the problem de bu noktada ortaya çÕkmaktadÕr. MS CryptoAPI, calculation of digital signatures are well defined and the BES yapÕsÕ içine konmasÕ gereken 3 attribute'tan ilk ikisini cryptographic methods, provided by public key cryptography, imza içine koymasÕna ra÷men, üçüncü olarak konmasÕ are effective in achieving scalable confidentiality, integrity, gereken signing-certificate veya other-signing authentication and non-repudiation services. Even though there have been defined so far general standards for defining certificate attribute’larÕnÕn ikisini de koymamaktadÕr. Bu digital signature applied on data objects, like PKCS#7 or CMS, nedenle MS CryptoAPI içinde bu atribute'larÕ direkt olarak there still exist the need for a standard entirely defining the tanÕmlamak mümkün de÷il. Fakat Microsoft, imza yapÕsÕna format of the data that is to be signed, the format of the bir attribute eklemek için gerekli alt yapÕyÕ oluúturmuútur ve signature and the format of the electronic documents. Only the e÷er encoding’i de dahil olmak üzere attribute'u oluúturup existence of a widely accepted standard for the format of MS CryptoAPI ye verilirse istenen attribute'un eklenmesi electronic signature that could remain valid over long periods mümkündür. could avoid the appearance of incompatible specifications and solutions for electronic signatures in different user II. PKCS#7 / CMS environments. At this time, telecommunication institute advices generating electronic signatures compatible with ETSI TS 101 En önemli kriptografik standartlardan biri, RSA veri 733. In this paper, it is explained that how to generate ETSI güvenli÷inin çÕkardÕ÷Õ PKCS#7 dir. Bu standart, S/MIME compatible electronic signature by using basic criptographic [5] eposta güvenli÷i, kredi kartÕ ödemeleri için (Secure methods provided from CMS based MS CryptoAPI . Electronic Specification Transaction-SET) standartÕ yada gizli anahtar ve sertifikanÕn güvenli taúÕmasÕnda kullanÕlan Keywords—electronic signature, CMS, ETSI, signing PKCS#12 standardÕ gibi mekanizmalarda geniú kabul certificate. görmüú ve temel alÕnmÕútÕr. PKCS#7 standartÕ, (Internet Engineering Task Force- I. GøRøù IETF)’un S/MIME çalÕúma grubunun üretti÷i ve sÕradan bir MS CryptoAPI [12] ile PKCS#7 / CMS standardÕ mesajÕn dijital imzalanmasÕ, özetinin alÕnmasÕ, do÷rulanmasÕ kullanÕlarak elektronik imza oluúturulmaktadÕr. Türkiyede yada úifrelenmesi amacÕyla kullanÕlan Kriptografik Mesaj Tübitak’Õn geliútirmiú oldu÷u imzager (java ve .net ) e-imza Sözdizimi (Cryptographic Message Syntax- CMS) kütüphaneleri [1] ETSI uyumlu e-imza üretip standardÕnÕn evrimleúmiú halidir. Temelde PKCS#7 /CMS, do÷rulamaktadÕrlar. elektronik verilere dijital imza gibi kriptografik düzenlemeler eklemek için farklÕ kullanÕúlÕ biçimler önermektedir. Standart, imzalama zamanÕ, mesaj içeri÷i ile H. GÖLLE, TÜBİTAK, Ankara birlikte do÷rulanabilme, çoklu imza gibi niteliklere izin Ş. SAĞIROĞLU, Gazi Üniversitrsi, Mühendislik Mimarlık Fakültesi, verir. Standart, PKIX çalÕúma grubunun [6] tanÕmladÕ÷Õ Bilgisayar Mühendisliği Bölümü, Ankara X.509 tabanlÕ PKI gibi farklÕ sertifika tabanlÕ mimarilere Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 47

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION destek verecek úekilde tasarlanmÕútÕr. Tüm veri tipleri Cades-BES yapÕsÕ úu úekildedir: ASN.1 sözdizimine uygun olarak açÕkça tanÕmlanmÕútÕr ve úifreleme kurallarÕ (DER ve/veya BER úifreleme nerede ve ne zaman kullanÕlÕr gibi.) da ayrÕca belirlenmiútir. Herhangi bir içeri÷e dijital imza eklenmesi gerekti÷inde PKCS#7/CMS standardÕnda bulunan imzalÕ veri (signed- data) içerik tipini paralel olarak çok sayÕda imzacÕ kullanabilir. Imzalanan veri formatÕ blobdur. PKCS#7/CMS de belge eklerine dijital imza desteklenmemiútir. Mesaj kendi içinde imza do÷rulama için gerekli sertifikalarÕ ve sertifika iptal listelerini (CRL) [7] içerebilir. Standartla ortaya çÕkabilecek olumsuz bir durum da içerikte imzalayan olmadÕ÷Õ durumda sertifikalar ve CRL’ ler anlamsÕzlaúabilir. DahasÕ veri ve imzasÕnÕn signed-data içerik tipi içinde ùekil 1: Elektronik imza (Cades -BES) formatÕ birarada gruplanmadÕ÷Õ ayrÕk imzalar da ortaya çÕkabilir. Bu Cades-BES, Avrupa elektronik imza yönergesi yasal son durumda imza do÷rulama iúlemi uygulama ba÷ÕmlÕdÕr. gereksinimlerini karúÕlar. Temel kimlik do÷rulama ve Örne÷in S/MIME’da tanÕmlÕ imzalÕ belgeler için tanÕmlÕ iki bütünlük denetimi sa÷lar. format application/pkcs7-mime with SignedData ve multipart/signed’dÕr. Sonuç olarak ya multipart/signed MIME içerik tipi[8] kullanarak ayrÕk imza oluúturulabilir ya IV. CADES-BES DE BULUNMASI ZORUNLU da application/pkcs7-mime with SignedData[5] tipi NøTELøKLER kullanarak tek CMS nesnesi oluúturulabilir. Aúa÷Õdaki niteliklerin imzalÕ belgede bulunmasÕ zorunludur. III. ETSI ELEKTRONøK øMZA STANDARDI (CADES) A øçerik tipi (Content-type) Elektronik imza, imzalayanla do÷rulayan arasÕnda uzun yÕllar sonra bile oluúabilecek anlaúmazlÕklarda kullanÕlabilir. Content-type niteli÷i imzalÕ içeri÷in tipini belirtir. Bu standartta elektronik imza üretmede açÕk anahtar Content-type niteli÷inin sözdizimi CMS (RFC 3852 [3]) de altyapÕsÕ baz alÕnmÕútÕr. Standartta ileri elektronik imza için tanÕmlÕdÕr. Content-type niteli÷i, signed-data yada kullanÕlan format olarak ASN.1 (Abstract syntax notation 1) authenticated-data içindeki ContentInfo’nun içerik tipini belirtilmiútir. Bu format CMS (Cryptographic message gösterir. Content-type niteli÷i imzali-veride (signed-data) syntax ) tabanlÕ olup RFC 3852 [3] de tanÕmlÕdÕr. Elektronik imzalÕ nitelikler varsa yada do÷rulanmÕú-veride imzalar bu nedenle CadES “CMS Advanced electonic (authenticated-data) do÷rulanmÕú nitelikler varsa mutlaka signature” olarak adlandÕrÕlÕr. ùekil 1 de temel elektronik bulunmalÕdÕr. Content-type niteli÷i imzalÕ-veride ya da imza formatÕ görülmektedir. do÷rulanmÕú verideki encapContentInfo eContentType Standartta CMS (RFC 3852[3]) tabanlÕ Elektronik imza de÷eriyle uyuúmalÕdÕr. Content-type niteli÷i imzalÕ formatlarÕ tanÕmlanmÕútÕr. Bu ba÷lamda temel olarak úu olmalÕdÕr. tanÕmlara yer verilmiútir: x ømzalayan ùu nesne belirteci content-type niteli÷ini belirtir: x Do÷rulayan x Güvenilir servis sa÷layÕcÕ (trusted service id-contentType OBJECT IDENTIFIER ::= { iso(1) providers) member-body(2) x Hakem us(840) rsadsi(113549) pkcs(1) pkcs9(9) 3 } Güvenilir servis sa÷layÕcÕlar (TSPs), imzalayanla do÷rulayan arasÕnda güven iliúkisi sa÷lamaya yarayan ContentType ::= OBJECT IDENTIFIER varlÕklardÕr. Bu güven iliúkisini úu hizmetleri sürdürerek sa÷larlar: B Mesaj özeti (message-digest) x KullanÕcÕ sertifikalarÕ x Çapraz sertifikalar, zaman damgasÕ tokenlarÕ Mesaj özeti (Message-digest) niteli÷inin sözdizimi CMS x CRL[7] ve OCSP[11] sorgularÕ (RFC 3852 [3]) de tanÕmlÕdÕr. Mesaj-özeti (message-digest) Bu hizmetler aúa÷Õdaki güvenilir servis sa÷layÕcÕlarÕ niteli÷i imzalÕ-veride (signed-data) imzalanacak vasÕtasÕyla sürdürülür: encapContentInfo eContent OCTET STRING verisinin x Sertifika makamÕ özetini gösterir. ImzalÕ-veri için mesaj-özeti, imzalayanÕn x KayÕt makamÕ mesaj özeti algoritmasÕ ile hesaplanÕr. ImzalÕ-veride imzalÕ x CRL yayÕnlayÕcÕ niteliklerin bulunmasÕ durumunda mutlaka mesaj özeti x OCSP sunucu niteli÷i de bulunmalÕdÕr. Mesaj özeti mutlaka imzalÕ x Iptal makamÕ olmalÕdÕr. x Zaman damgasÕ makamÕ x Time-marking makamÕ x Imza politikasÕ yayÕnlayÕcÕ Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 48

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION olabilir. ømzalamaSertifikasÕ (SigningCertificate) niteli÷i ùu nesne belirteci content-type niteli÷ini belirtir: mutlaka imzalÕ olmalÕdÕr. id-messageDigest OBJECT IDENTIFIER ::= { iso(1) member-body(2) V. ASN1 ENCODE us(840) rsadsi(113549) pkcs(1) pkcs9(9) 4 } Bu yapÕyÕ encode edebilmek için DER encode fonksiyonlarÕ hazÕrlamak gereklidir. Bu fonksiyonlar MS CryptoAPI’de MessageDigest ::= OCTET STRING [12] tanÕmlÕ bir veri yapÕsÕ olan CRYPT_ATTR_BLOB üzerinde iúlem yapmaktalar. C ømzalama sertifikasÕ (signing-certificate) niteli÷i Programda kullanÕlan EncodeLen, MakeTLV ve BasaTagEkle metodlarÕ öncelikle oluúturulmuútur. TLV, ømzalama sertifikasÕ (signing-certificate) niteli÷i, ESS Tag, Length, Value kelimelerinin baú harflerinden imzalama-sertifikasÕ (ESS signing-certificate) yada ESS oluúmaktadÕr. Der kodlamasÕ böyle bir yapÕ kullanmaktadÕr. imzalama-sertifikasÕ-v2 (ESS signing-certificate-v2) ile desteklenmektedir. Bu niteliklerde imzalayan sertifikasÕna referans bulunmalÕdÕr ve bu nitelikler yerine koyma ve VI. ETSI UYUMLU ELEKTRONøK øMZA yeniden yayÕnlama saldÕrÕlarÕna karúÕ koyan ve imza OLUùTURMAK øÇøN KULLANILAN ALGORøTMA do÷rulamada kÕsÕtlÕ sayÕda sertifikaya izin veren yapÕda Ms CryptoApi’nin[12] sa÷ladÕ÷Õ en temel kriptografik tasarlanmalÕdÕr. Tam bir sertifikadan daha yo÷un ve küçük medodlar kullanÕlarak úu iúlem adÕmlarÕ ile ETSI uyumlu bir yapÕdadÕrlar ve kolayca ayÕrdedilebilirler. elektronik imza gerçekleútirilebilir. ùekil 2 de bu iúlem x ømzalama sertifikasÕ (ESS signing certificate) adÕmlarÕ gösterilmektedir. niteli÷i (Enhanced Security Services -ESS) RFC De÷iúkenleri tanÕtÕp ilk de÷er atadÕkdan sonra kullanÕcÕya 2634 [4] de tanÕmlanmÕútÕr ve özet algoritmasÕ sertifika seçtirilir. olarak yalnÕzca SHA-1 e izin verir. x Sertifika store açmak için CertOpenSystemStore x ømzalama sertifikasÕ-V2 (ESS signing certificate- kullanÕlÕr. V2) niteli÷i ise (ESS update: Adding CertID x Store'daki sertifikalarÕ liste halinde gösterip algorithm agility) RFC 5035 [9] de tanÕmlanmÕútÕr kullanÕcÕnÕn seçmesine imkan tanÕmak için ve di÷er özet algoritmalarÕ kullanÕldÕ÷Õnda CryptUIDlgSelectCertificateFromStore kullanÕlÕr. kullanÕlmalÕdÕr. Seçilen sertifika için iptal kontrolü yapÕlÕr. Sertifika Imza do÷rulamada kullanÕlacak sertifika, sertifika geçerliyse devam edilir. zincirinde bulunmalÕdÕr ve sertifika zinciri de boú Microsoft’un ekleyemedi÷i signingCertificate attribute olmamalÕdÕr. Signing-certificate RFC 2634 [4] (Enhanced oluúturulur. Bu attribute RFC 2634’de [4] tanÕmlÕdÕr. Security Services for S/MIME) içinde úöyle tanÕmlanÕyor: x Sertifika icinden blob olarak issuer'i ve serial'i alÕnÕr. SigningCertificate ::= SEQUENCE { x Blob halindeki issuerdan GeneralNames yapisi certs SEQUENCE OF ESSCertID, olusturulur. policies SEQUENCE OF PolicyInformation x Blob halindeki serial'dan OPTIONAL CertificateSerialNumber=INTEGER yapisi } olusturulur. x IssuerSerial yapisi olusturulur. id-aa-signingCertificate OBJECT IDENTIFIER ::= { iso(1) x Hash'i hesaplamak ve Hash yapÕsÕnÕ olusturmak member-body(2) us(840) rsadsi(113549) pkcs(1) için CryptAcquireContext, CryptCreateHash, pkcs9(9) CryptHashData, CryptGetHashParam, smime(16) id-aa(2) 12 } CryptDestroyHash, CryptReleaseContext metodlarÕ kullanÕlÕr. x Hash ve IssuerSerial kullanarak ESSCertID yapÕsÕ ESSCertID ::= SEQUENCE { olusturulur. certHash Hash, issuerSerial IssuerSerial OPTIONAL x SigningCertificate yapÕsÕ elde edilir. } ømza sonucunun kaç byte oldu÷unu belirlemek için Hash ::= OCTET STRING -- SHA1 hash of entire certificate CryptSignMessage kullanÕlÕr. x CryptSignMessage(&SigParams,false,1,MessageAr IssuerSerial ::= SEQUENCE { ray, MessageSizeArray,NULL, &DataSize) issuer GeneralNames, serialNumber CertificateSerialNumber ømzayÕ atmak için CryptSignMessage kullanÕlÕr. } x CryptSignMessage(&SigParams,false,1,MessageAr ray,MessageSizeArray,sonuc->pbData,&DataSize)) Sertifika zincirindeki ilk sertifika imza do÷rulama sertifikasÕ olmalÕdÕr. Bu sertifika için EssCertID Her iki iúlem için CryptSignMessage metodu kullanÕlÕyor kodlamasÕnda issuerSerial alanÕ mutlaka bulunmalÕdÕr. fakat girilen parametreler nedeniyle birinde imza büyüklü÷ü Böylece imzayÕ atan kiúinin sertifikasÕna ulaúmak mümkün alÕnÕrken di÷erinde imza atÕlÕyor. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 49

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION gerekmeden güvenli elektronik imza uygulamasÕ geliútirebilir. Sonuçta elde edilen imzalÕ dosyalar Tübitak’Õn E-imza oluútur da÷ÕttÕ÷Õ Imzager MIM [10] ile açÕlmÕú ve imzalarÕn do÷rulandÕ÷Õ ve ETSI standardÕna uygun oldu÷u görülmüútür. ùekil 3 de bu programÕn ekran görünümü KullanÕcÕ imza sertifikasÕ seçer verilmiútir. SertifikanÕn iptal durumunu kontrol et Sertifika geçerli Evet Sertifika Sertifikadan issuer ve serial al basaTagEkle Issuer ile General metodu Names yapÕsÕnÕ oluútur basaTagEkle Serialdan metodu CertificateSerialN yapÕsÕnÕ oluútur makeTLV IssuerSerial yapÕ metodu oluútur ve özetini (hash) bul lgeler Tübitak Imzager programÕ ile baúarÕlÕ ESSCertID yapÕs makeTLV oluútur metodu KAYNAKLAR Available: SigningCertific g gov.tr/tr/Urunler/Eimza/ r elde edildi 1.5.1 (2003-7 12) “Electronic Signatures and Electronic Signature Formats”. 4): "Cryptographic Message Syntax (CMS)". SigningCertific (1999): "Enhanced Security Services for kullanarak ETS imza oluútur ME Version 3 Message Specification”, RFC- ùekil 2: ETSI uyumlu imzada kullanÕlmak ü tml.charters/pkix-charter.html p attribute oluúturulmasÕ “Internet X. 509 Public Key Infrastructure Profile”, RFC-2459, 1999 [8] J. Galvin, et al., “Security Multiparts for MIME: Multipart/Signed VII. SONUÇ and Multipart/Encrypted”, RFC-1847, 1995 Yukarda iúlem adÕmlarÕnÕ gerçekleútirerek oluúturdu÷um [9] IETF RFC 5035 (2007): "ESS Update: Adding CertID Algorithm Agility" elektronik imza modülü, dll uzantÕlÕ bir kütüphane [10] [Online] Available: Imzager MIM, programÕdÕr. Microsoft .Net C++ ortamÕnda, Ms CryptoAPI http://www.kamusm.gov.tr/tr/Urunler/Imzager/ r kullanÕlarak hazÕrlanmÕútÕr. Bu kütüphane kullanÕlarak ETSI [11] M. Myers, et al., “X509 Internet Public Key Infrastructure Online uyumlu elektronik imza oluúturulabilir ve oluúturulan Certificate Status Protocol –OCSP”, RFC-2560, 1999 [12] [Online] Available: imzalarÕn iptal kontrolleri yapÕlabilir. Masaüstü ve web http://msdn.microsoft.com/en-us/library/aa380256(VS.85).aspx tabanlÕ kullanÕcÕ arayüzü yazÕlÕmlarÕnda ve uygulama yazÕlÕmlarÕnda bu kütüphanenin dÕúarÕdan kullanÕlmasÕ (import edilmesi) yeterlidir. Uygulama geliútiren kiúinin karmaúÕk kriptografik algoritmalarÕ bilmesi ve kullanmasÕ Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 50

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Project TWOVAULT – Secure and Selectively Deniable Data Storage Markku-Juhani O. SAARINEN, Member IEEE Keywords— Data storage, protocol, analysis Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 51

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Partially Opened Data and Its Security Hidema TANAKA Abstract—We discuss a method of disclosing data which t includes secret information. In general, such method is called sanitizable signature and context extraction signature and many schemes are proposed. In the previous schemes, we can make an opened data (covered data) after signed the data which includes secret information. And maker of covered data and signer are another person. We assume that the person who knows the secret information is only signer and maker of covered data and signer are the same person. We analyze security requirements for such purpose and develop a proposal method. We show a security analysis of our proposal protocol and its applications. We also show that our proposal protocol is a method that can be used for not only the data concerning to national security and digital forensics but also the secure network co Keywords Index Terms—Digital forensics, ElGa secure protocol, Partially opened data, nature g printed data including secret information I. I NTRODUCTIO A. Background E have demands for disclosin W while concealing the confident ample, though all information can be cludes secret information has already hods have already been proposed [2], necessary to open it partially for one’s y are applications of hash functions before the day. Figure 1 shows the e scheme with pairing techniques [4]. printed data which includes secret info ata (ciphertext) is guaranteed by the types of solution, TYPE-1 and TYPE- not consider the attack and injustice of painting out the secret information. by using unopened data which does tion and they are founded in several pl et. The proposers assume the signer of documents of government which are al r of covered data (sanitized data) are some condition, some indictment doc ore the maker can know the confident on. TYPE-2 is a method of cutting off e that the person who know the secret is well adopted to audio and video data signer, it is not suitable method for technique for keeping the secret by removing an inconvenient our purpose. Of course their methods can be improved to part from the original data. In this paper, we discuss how achieve our requirement, the weakness against attack using such a method is applied to digital data. The necessity of collision search of hash functions remains. An outline of this technology grows up greatly with an increase in the use previous proposal scheme is that it calculates the hash value of digital data. For instance, the Sarbanes Oxley act [21] at every the subblock of data, and calculates the signature of is enforced as for an economic activity, and management it. Then the signed subblock of data concatenated to another and disclosing digital data are the important problems for subblock of data and repeated above procedure. From such corporations. Moreover, it is necessary to treat as evidence of mechanism and procedure, they are categorized into TYPE-1 the criminal case. In the politics of Japan, assembly member in Figure 1. From such a mechanism, estimating the secret Nagata’s fake email in 2006 is famous [15]. He tried to open information, we can determine the secret information using the main text without the informations of sender and he printed hash value and signature, so the essential security of the email and eliminated such information, then submitted as the method depends on the difficulty of collision search of the evidence with his declare that all information is opened later. hash function. The influence on the weakness of some concrete Fortunately his fake was solved by another matter, however, applications when the assumption of computational difficulty the case where digital data is treated as a legal evidence will of collision search of hash function collapses is shown in increase. [16] and [20]. The previous methods are not required to open the secret information later. In addition, it is needed for the H.Tanaka is with the National Institute of Information and Communications maker of covered data to have anonymity and the method Technology, Japan, 4-2-1, Nukui-Kitamachi, Koganei, Tokyo 184-8795, Japan. needs to prevent injustice act by them. These points are not Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 57

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION corresponding to our purpose. Especially, because we assume the parameters of cryptographic primitives considering the maker of covered data to be the same person with the signer, evolution of computer and cryptanalysis techniques. This is the discussion of anonymity of maker of covered data is a requirement concerning Alice’s secrecy. omitted in this paper. [R2] It is possible to verify that is a part of without opening . C. Our purpose It is necessary to verify that the partially opened data First of all, we assume that the secret information should is a part of . We assumed that is kept secret, the be open to public later and the person who knows the secret verification are done without opening . Blind signature is only the signer before the day. The signer and the maker scheme [3] and partially signature scheme [10] seems to have of covered data are the same person. Therefore, we develop same purpose. Both of them can verify the ciphertext without the method which can be applied to the data which has not opening plaintext to verifier. However they can not decrypt a been signed yet. We assume that the secret information is con- part of ciphertext. And they can not prove the relation between cerning to national security and digital forensics such as legal partially opened data and its ciphertext. For the methods using evidences. So the security and consistency of data are higher hash functions, the calculation of hash value of a part of data level than previous proposal schemes are required. Since the is done at the same time as the data creation. Therefore it signer and the maker of covered data are the same person, the is not secure to apply such method to the data which was injustice act and attack of signer is needed to be prevented. made in the past. It is because the change in the content by Similarly, the signer should show that any injustice act is not attack using collision search of hash function. The attacks of done before X-day. The differences of purpose and condition X.509 certificates [20] and pdf files [16] are well known as the between previous methods and our method are summarized advanced attack using collision search of hash function. Such as Table 1. In Section 2 we discuss the security requirements attack method can be applied to previous methods for unsigned for our purpose. In the section, we summarize the property of data. To solve these problem, we show a proposal protocol in security and analyze their purpose in details. In Section 3, we Section 3. We should show that the partially opened data can show our proposal method. It is based on ElGamal encryption not be generated by another data. Or when forgery data is method. Our proposal method is categorized into TYPE-2. In open, It is necessary for us to find out the injustice act. This is Section 4, we show a security analysis of our proposal method a requirement concerning authentication of data and . according to the security requirements in Section 2. In Section 5, we propose another application of our method. We assume [R3] It is impossible to change after is opened. that the secret data is concerning to high secret important data To hold this requirement, it is necessary to show that it is such as national security. However, when the small size data secure against following two types of attack; one is an injustice is used, some applications are considered. attack of Alice and another is forgery attack of malicious people who can get open data. This is a requirement con- II. S ECURITY REQUIREMENTS cerning consistency of data and . Though these attack Suppose that Alice has a digital data which contains techniques are essentially the same, Alice has advantageous secret information. After X-day, she can open all of , condition because she can prepare forgery data beforehand. however, she wants to open a part of which contains no Thus it is necessary for us to find out her injustice. Detailed secret information before the day. Let be a part of security analysis for our proposal protocol is shown in Section which can be open to Public. We call “partially opened 4. data”. Authority who does not know , authenticates that is a part of and guarantees that can not be changed after [R4] It is possible to verify that Alice did no injustice act is open. We assume that Authority is a trusted person and before X-day. we can believe that he does not do any injustice acts. Table 2 When Alice opens the all of data , it is necessary to be shows the variables and their roles in the protocol. proven that she did no injustice act for and . This is Then we faces the following security requirements. a requirement concerning integrity of data and . It is considered that this requirement is held if the R1, R2 and R3 [R1] It is impossible to calculate using open data in the are held. protocol. III. P ROPOSAL SCHEME First of all, it is necessary to prevent to re-caliculation of the secret part of using partially opened data . A. Protocol flow In addition, the protocol opens some data for verification Our proposal scheme is as follows. Table 3 shows variables and authentication which are generated from and Alice’s used in the protocol. The protocol is based on ElGamal secret information. As the results, the attacker can use many encryption method [7]. Figure 2 shows the diagram of the open information (For examples, see Table 4). This is the protocol. fundamental requirement for the protocol. Therefore if the Proposal protocol for secure partially opened data term when is kept secret long, it is necessary to choose Step 1 Alice sends the size of data to Authority. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 58

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION TABLE I D IFFERENCE OF PURPOSE AND CONDITION maker of covered data secret information category in Figure 1 Previous method another person of signer not required to be open TYPE-1 Our method same person of signer required to open after X-day TYPE-2 TABLE II VARIABLES AND THEIR ROLES Alice A holder of data . She wants to open a part of . Authority Trusted party such as organizations of government or court. Secret data of Alice. Partially opened data. Disclosable part of . X-day The day when Alice can open all of . Public People who want to know . Before X-day, they want to get information as much as possible . TABLE III VARIABLES A multi-plicate cyclic group of order A public key of Alice, A prime number A secret data of Alice, A generator of Partially opened data of Alice, A random number chosen from The size of A secret key of Alice chosen from Step 2 According the size, Authority chooses , and which includes secret information. Alice makes a shrunken whose size is larger than . Then he open to public , and data ) and opens . Authority chooses a random number from (where denotes a secure hash function). Then Alice then he sends to Alice. starts the protocol with . Alice also open and . Step 3 Alice converts her data into elements of . Next she chooses a secret key from and calculate her IV. S ECURITY ANALYSIS public key and which is an inverse of . She We analyze the security of our proposal protocol according calculates , and and then sends them to to the security requirements shown in section 2. Table 4 Authority. Note that public key is kept secret before X-day. shows the variables which appear in the protocol. From the Step 4 Authority calculates and purpose of the protocol, all variables are opened after X-day. . If , he can ﬁx the message Adding the analysis for security requirements, we analyze the without opening it. He guarantees . security against malicious Public in “[RX] Attack of malicious Step 5 Alice makes a partial open data from . Then she Public”. opens and to Public. Step 6 Public can know and verify . [R1] It is impossible to calculate using open data in the Step 7 After X-day, Alice opens and and Authority protocol. opens . In Step 3 and Step 4, the attacker can get some information which generated from , that is , and pair B. Characteristic of our protocol of . The attack scenarios are follows (in the Our proposal protocol is an application of ElGamal encryp- following (given information) target). tion method. Therefore the security of protocol depends on [Case1] the security of ElGamal. The main feature of this protocol is [Case2] that the validity of is guaranteed by ciphertext , [Case3] and . To keep secret and , we uses the data It is easy to see that the attack condition of [Case1] and . By using it, Authority and Public can verify . The [Case3] are equivalent to the discrete logarithm problem. detailed security analysis is shown in Section 4. Therefore the attacker can not get no information on There is difﬁculty in implementation. Our proposal protocol in the cases. In the same way, it is easy to see that the uses many times of multi-plicate calculation. We assume condition of [Case2] is equivalent to the attack of ElGamal is the data concerning to the very important data such encryption method. Therefore the security of depends on as national security or digital forensics, so it is not a dis- the security of ElGamal encryption method. As a result, it can advantageous problem the necessity of a large computing be concluded that requirement [R1] has been achieved. time. However in the case of huge size of , it becomes It is well known that ElGamal encryption method is un- impossible to calculate. For such a case, it is necessary to conditionally malleable and therefore it is not secure against reduce beforehand. Let be a huge chosen ciphertext attack. So the attacker can easily construct a size data and we assume that Alice want to open a part of valid ciphertext and for the data . However, Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 59

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Alice Authority ok. if X-day Public Fig. 2. Diagram of proposal protocol TABLE IV VARIABLES IN PROTOCOL Public information , , setup of procol opened by Authority , , , contains secret information and secret key Alice’s open information Secret Information , , Alice’s secret information Authority’s secret information in Step 5, Alice opens then we can find out that know , it is impossible to find which can hold such attack is done. In this attack scenario, there are no benefit at the same time because this problem is based on the discrete for Alice and Authority and such attack is easy to find. logarithm problem. And for malicious Alice who knows , it is impossible to find out whose size is equals to . On the [R2] It is possible to verify that is a part of without other hand, if , malicious Alice can make as opening . where because of . But in this case, To analyze this security requirement, it is necessary to show the size of becomes larger than the size of , Authority that is generated from without opening . In Step and Public can easy to find out the malicious Alice’s injustice 4, Authority and Public can check after X-day. Considering the purpose of this protocol, we can and . We should check that and can conclude that there are no benefit for Alice in such attack. be calculated from and uniquely. Therefore the attack Under the assumption that we can verify that is gen- scenario is summarized as follows. Note that the size of erated from without opening by the method in Step 4, equals to . we analyze the requirement by the following attack scenario. [Case4] [Case5] which holds As mentioned above, we can easily make which holds A malicious Alice can find out such but there are no benefit . However, for malicious Public who does not for Alice because has been already fixed. As the result, we Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 60

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION can verify that is a part of without opening by the security requirements shown in Section 2, is secure against method in Step 5 and Step 6. malicious Public. We confirmed the security of our proposal protocol for the [R3] It is impossible to change after is opened. requirements shown in Section 2. As a results, we conclude From the analysis of security requirement [R2], under the that our protocol holds the security requirements. assumption of using same key , it is obvious that it is impossible to rewrite after is opened. V. A PPLICATIONS There is another attack scenario. [Case6] where and A. Incident analysis , CERT and IRT analyze the incident which caused by and malicious software (Malware), illegal access, DoS attack and so on . They collect data concerning attacks or incidents from Under the condition of , from the result of user who are in trouble. Such data has often includes privacy analysis of [R2], it is impossible to do the attack according information which should be kept secret. On the other hand, to this scenario. Under the condition of , we can CERT and IRT need to confirm the report of attacks is the find pair of which holds . So true. The difference exists in information that the user can the attacker can execute the above scenario for . show and information that CERT and IRT need. Today they Therefore if malicious Alice prepared such pairs of solve this problem by making NDA each other. Because it is and , she can success the attack in this scenario. such a situation, the information from general user is difficult Of course, after X-day, the unnatural setting of size of is to collect. Additionally, if it can, there will be a possibility that found in this scheme. Therefore Public will have a doubt in information from general user contains lies and mistakes. By the validity of and Alice. However, the countermeasure using proposal protocol, CERT and IRT get more information against this attack is easy by using hash functions or time from general users. As mentioned above, user’s privacy is stamp protocol. For example, in Step 3, Alice opens the hash protected and CERT and IRT know the details of attacks and value of with the time stamp protocol. In that case, the incidents. And CERT and IRT can check the information is validity of depends on the security of hash function and true or false. It is expected that our proposal can be applied time stamp protocol. We assume that our proposal protocol is effectively to such use. used for long term validity of partial opened data . In this case, the security requirement of hash function becomes high performance. Such discussion is found in [9]. B. Encryption Email Some email servers such as in the corporation, the en- [R4] It is possible to verify that Alice did no injustice act cryption email to the address that has not been permitted is before X-day. prohibited. Though it is because of prevention of information In Step 7, Alice opens and her secret key and leakage, it limits the activity of staff. Such a problem can Authority opens his random number . So Public can calculate be solved by submitting the partially opened data which and decrypt . In Step 3, Alice opens is generated by our protocol. Our protocol can verify the . Public can not verify that it is generated by ciphertext and partially opened data, so if the information is without knowing its value. This is an open problem of our leaked by encryption email, we can find the malicious user. protocol. However, as mentioned above, some attack and injustice activity are discovered as an unnatural setting of . C. Traceable network and incident detection [RX] Attack of malicious Public It is well known that the attack to the network using We analyze the attack of malicious Public who want to ruin encrypted IP packet. Since the router, the server, and the ad- Alice’s confidence. In this section, we assume an active attack ministrator can not analyze the content, encrypted IP packet is to the protocol. an effective attack method. As the countermeasure against such Man-in-the-middle-attack : In place of Alice, malicious problem, our proposed protocol can be used. For example, the Public opens another or . In Step 3 and Step 5, router issues ID to the sender. The sender writes ID in his malicious Public can changes Alice’s data. So, if there are IP packet, then he encrypts it. (Of course, plaintext IP packet no authentication protocol between Alice and Authority, the should be written ID, too.) Next he make partially opened data attack successes. Before Step 1, Alice and Authority must which open only ID and sends encrypted IP packet, ID, and make a secure channel by using PKI and so on. . The router checks ID and stores ID, and . Forgery attack : At X-day, malicious Public opens forgery In the same way as the case of Section 5.2, the administrator data . As mentioned above, if , it is impossible can find the packet which makes incident or troubles and the to do such attack. If , the attack is discovered by sender. In this system, the router, the server and client PCs another Public and Authority. need to do the large number of calculation for huge number Basically, the attack which Alice can not execute, can not be of IP packets. It is a problem of implementation of our protocol done by malicious Public. Therefore the protocol which holds and it is hard to solve at once. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 61

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION VI. C ONCLUSION [15] H.Nakata,“Nagata now admits e-mail was fake, faces Diet discipline”, The Japan Times Online, 3rd Mar, 2006, In this paper, we propose a protocol which generates par- http://search.japantimes.co.jp/cgi-bin/nn20060303a1.html tially opened data. The security requirements are shown in [16] M. Gebhardt, G. Illies and W. Schindler, “A Note on Practical Value of Section 2 and proposal protocol is shown in Section 3. Single Hash Collisions for Special File”, Proc. of NIST 1st Cryptographic Hash Workshop, 2005 In Section 4, we analyze the security of our proposal [17] S.Lu,R.Ostrovsky,A.Sahai,H.Shacham and B.Waters, Sequential Ag- protocol. Note that we did not discuss whether forgery data gregate Signatures and Multisignatures without Random Oracles, Cryp- was possible to have semantic meaning which is effective tology ePrint Archive,Report 2006/141,2006. [18] C. P. Schnorr, Efficient Identification and Signatures for Smart Cards, for attack. Suppose text data , it is very hard to find some Advances in Cryptology - CRYPTO 89, LNCS 435, pp.239-252, 1990. meaning in . Therefore we conclude that the [19] R. Steinfeld, L. Bull, Y. Zheng, Content Extraction Signatures , ICICS successful attack in Section 4 has no sense for real data. In 2001, LNCS 2288, pp.285-304, Springer, 2001. [20] M.Stevens, A.Lenstra and B.Weger, “Chosen-Prefix Collisions for MD5 addition, even if most successful attack, since the evidence and Colliding X.509 Certificates for Different Identities”, Proc.of EURO- was left Alice gets disadvantageous. As a result, we conclude CRYPT2007, LNCS 4515, pp.1-22, Spring, 2007. that our proposal protocol is secure enough for semantic data. [21] P.Sarbanes and M.G.Oxley, “Public Company Accounting Reform and Investor Protection Act of 2002”, PL 107-204, 2002 In Section 5, we show an application of our protocol whose [22] M. Suzuki, T. Isshiki, K. Tanaka, Sanitizable Signature with Secret purpose is other than national security and digital forensics. Information , SCIS 2006, 4A1-2, pp.273, 2006. For the usage for national security and digital forensics, [23] B.Waters, Efficient identity based encryption without random oracles , Proc.of EUROCRYPT2005, LNCS 3494, pp.114-127, Spring, 2005. necessity of huge computational cost does not become a fatal problem. For the general usage, it becomes important problem to be solved. Analysis of security concerning and improvement of protocol is our next research topics. It is a disadvantageous not to be able to verify until X-day. Our proposal protocol uses transmission of a huge amount of data and it has some redundant steps. The optimization of the data transfer is our next theme. R EFERENCES [1] H. Kopka and P. W. Daly, A Guide to LTEX, 3rd ed. Harlow, England: A Addison-Wesley, 1999. [2] G. Ateniese, D. Chou, B. Medeiros, G. Tsudik, Sanitizable Signatures , ESORICS 2005, LNCS 3679, pp.159-177, Springer, 2005. [3] M.Bellare and P.Rogaway, The Exact Security of Digital Signatures - How to Sign with RSA and Rabin, Proc.of EUROCRYPT1996,LNCS 1070,pp.399-416, Springer,1996. [4] D. Boneh, C. Gentry, B. Lynn, H. Shacham, Aggregate and Verifiably Encrypted Signatures from Bilinear Maps , EUROCRYPT 2003, LNCS 2656, pp.416-432, Springer, 2003. [5] R.Cramer and V.Shoup, Signature Schemes Based on the Strong RSA Assumption Proceedings of the 6th ACM conference on Computer and communications security ,pp.46-51,1999 [6] D.Chaum, Blind signature for untraceable payments”, Advances in Cryptology: Proceedings of Crypto 82, pp.199–203, Plemum, New York, 1983 [7] T. El Gamal,“A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms”, Advances in Cryptology, Proceedings of CRYPTO ’84, LNCS 196, pp.10-18, Springer, 1984 [8] S.Goldwasser,S.Micali.and R.L.Rivest, A digital signature scheme secure against adaptive chosen message attacks, SIAM Journal on Computing,pp.236- 238,1988. [9] Y.Hirai, T.Kurokawa, S.Matsuo, H.Tanaka and A.Yamamura,“ Classifica- tion of Hash Functions Suitable for Real-Life Systems” IEICE Transac- tions 91-A(1): pp.64–73 (2008) [10] T. Izu, N. Kanaya, M. Takenaka, T. Yoshioka, PIATS: A Partially Sanitizable Signature Scheme , ICICS 2005, LNCS 3783, pp.72-83, Springer, 2005. [11] H. Kuwakado, M. Morii, Restrictively Sanitizable Signature Scheme , SCIS 2006, 4A1-3, pp.274, 2006. [12] K. Miyazaki, G. Hanaoka, H. Imai, Digitally Signed Document Sanitizing Scheme from Bilinear Maps , SCIS 2005, 3E3-5, pp.1471- 1476, 2005. [13] K. Miyazaki, M. Iwamura, T. Matsumoto, R. Sasaki, H. Yoshiura, S. Tezuka, H. Imai, Digitally Signed Document Sanitizing Scheme with Disclosure Condition Control , IEICE Transactions on Fundamentals, Vol E88-A, pp.239-246, No. 1, 2005. [14] K. Miyazaki, S. Susaki, M. Iwamura, T. Matsumoto, R. Sasaki, H. Yoshiura, Digital Documents Sanitizing Problem , IEICE Technical Report, ISEC 2003-20, pp.61-67, 2003. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 62

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Policy Negotiation System based on Privacy Preference In Joo JANG, Wenbo SHI, Hyeong Seon YOO provides the unfair position to the users. It is the problem of Abstract— In this paper, we consider a problem of monopolistic monopolistic information management technologies. As a information management technologies. Most service providers solution of this problem, we introduce the policy negotiation have an access to any information. Even though the information is system for privacy protection in this paper. really a personal data, service providers can access to it merely Security issues usually are derived from laws such as data with the user’s first subscription. protection acts or general security rules stemming from the In order to limit the disclosure and avoid the misuse of personal domain itself. However, the laws and rules are given as plain data, this paper discusses an architectural proposal for a policy negotiation system. This proposed architecture mediates among texts and lack a common formalism. This may make it the three actors: the users, the service providers and the law. The impossible to predict unambiguous privacy regulation and central unit of the proposed architecture is a policy negotiation privacy guidelines [5,6,7,8]. Knowledge is not only a form of engine. A negotiation engine undertakes the enforcement of user’s property governed by intellectual property law, but also an privacy preference, by matching the service provider’s disclosure individual attribute, and as part of the personality, it may be policy and user’s privacy policy. Several additional components governed by privacy law [5]. assigned with supporting functional tasks complement the During the last years ontology has been used as formalism to architecture, while the formal definition of personal data type and describe laws and rules on common bases services type. [9,10,11,12,16,17,18,19]. As sets of concepts in a specific This architecture provides more powerful right to each user. domain, ontologies have proven to be a useful tool in the areas Finally, this paper discusses the formalization how users can express their privacy preferences and how regulations can be of the semantic web and personalized information management. expressed in this system. By using ontologies, we can provide a common description for any type of policy, rule, and law, independently from the specifics of the system implementation. Keywords Index Terms— Privacy, Information management I. INTRODUCTION All Every software application domain should provide and ensure security issues. Especially, as countries around the world transition from paper-based to electronic information record infrastructures, compliance with these data protection laws will require sophisticated information management technologies [1,2,3,4]. Technical and policy challenges concerning the widespread adoption of electronic information records systems have been discussed, for example, in [1] and [2]. In addition to, there are different aspects between the users and the service providers. Most users want to disclosure only Fig. 1 Policy based privacy management system architecture least privacy data, while the service providers request at most personal information. Under this environment, if most right of A policy negotiation system (PNS) is suggested to satisfy information management comes up to the service providers, it the requirement. In this architecture, each user provides ones own privacy policy by using a policy creation interface, as in Manuscript received November 10, 2008. This work was supported in part Fig.1. The privacy policy could be represented as the set of by the Brain Korea 21 project in 2006. privacy concept. In Joo Jang is with Computer Engineering Department, This interface also makes the specific privacy policy INHA University, Incheon, Korea, (corresponding author to provide phone: 82-032-860-7381; fax: 82-032-874-1435; e-mail: ijjang@inhaian.net). ontology for the each user. Each individual stores the encrypted Wenbo Shi is with Computer Engineering Department, privacy policy in his/her potable storages or in his/her computer. INHA University, Incheon, Korea, (e-mail: swb319@hotmail.com). And then they can use it as new authentication certification. Hyeong Seon Yoo is with Computer Engineering Department, The policy negotiation engine performs collaborative process INHA University, Incheon, Korea, (e-mail: hsyoo@inha.ac.kr). with the certain service’s data disclosure policy. The concept is Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 63

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION shown in figure 1. Each engine refers to law ontologies for specification just deals with the framework and leaves the exact reflecting current legislation. implementation details of the access control engine for the When the privacy policy makes agreement with the data actual implementation. Besides the objective to create a disclosure policy, policy negotiation engine sends the portable and standard way of describing access control entities encrypted results to application services. The result is used as a and their attributes, XACML aims at providing a mechanism consensual privacy policy and also can used a kind of that offers much finer granular access control than simply certification for legal user. denying or granting access II. RELATED WORKS III. POLICY NEGOTIATION SYSTEM ARCHITECTURE A. Web service policies in OWL-DL The complete PNS solution is comprised of three stages – Kolovski et al. proposed a mapping of WS-Policy to the policy creation stage, policy negotiation stage and application description logic fragment species of the Web Ontology service retrieval as in Fig.2. Language (OWL-DL) [11,12,13] and claimed that OWL A. Policy creation stage reasoners could be used as policy processing tools. They describe how standard OWL-DL reasoners can be used to In the policy creation stage (step 1a, 1b in Fig.2), there are check policy conformance and perform several policy analysis two parts of the policy - the data disclosure policy and the tasks. Since OWL-DL is much more expressive than privacy policy. /her own privacy policy by using the WS-Policy, it provides a framework for ne. The privacy policy would be languages. of privacy concepts to express their B. Hippocratic databases [14] R. Agrawal et al. defined a set of sta access and protection that would co Database (HDB). Here it is advocate should include responsibility for the p they manage. In addition to the e databases today, such as the ability to and the ability to access a large amount repositories in future would also need to to a certain set of standards in term protection. These privacy principles, a OECD guidelines (see http://www.oec p terms such as; broadly purpose specifi collection, limited use, limited disclo y negotiation system architecture accuracy, safety, openness and co constraint validates checks whether th ngine provides the keyword-Set to users enterprise is acceptable to the user, b The users select some or more keywords any data from the user. While recordin preference. for which the user is sharing it is also recorded. In HDB, when a 1) Definition 3.1 : Keyword-Set (KeyS) ( S user submits the query to the system, she also submits the A Keyword, denoted by ki, is a tuple <keywordi, Ci> d intended purpose for requesting the data. The system validates Keyword-Set(KeyS) describes the set of all possible keywords ( S the identity of the user and then checks whether the user is used describe concept Ci. allowed to access the requested data for a given purpose. The ki KeyS HDB system returns only those data records whose purpose … attribute includes the query s purpose attribute. C. XACML framework 2) Definition 3.2 : Privacy Concept ( S) (PCS A Privacy Concept, denoted by PCSi, is a tuple < ki , kj , op> A y S XACML is an initiative to provide a standard for access privacy concept contains a set of that together result in a control and authorization systems, which is generic, distributed, privacy breach. and powerful [13,15]. In contrast, most of the current systems PCSi PCS S implement access control and authorization in a proprietary manner. / ! XACML provides an XML based access control policy language together with an access control decision request/response language. Applications and systems can use these to fulfill their access control needs. The XACML Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 64

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION 3) Example 1 : own privacy and security preferences. This fully automated A user doesn’t want to expose to others his social security process is completed before the user provides any personal data number, birth date, and address on the ID-card. Also, he wants to the organization. The user first uses the policy creation to keep his employee-ID and his telephone number as a privacy engine to express his personal policy concerning the use and information. disclosure of his personal data. This information is specified in In this case, we could express the user’s privacy concept as a preference language [14] and matched with the system follows. organization s privacy and security policies to identify any conflicts. The user is advised of these conflicts and given an k1 = <socialID, BirthDay,Addr, C1>, opportunity to resolve them or terminate the process. C1 : a certificate of residence Lastly, the user should modify the policy regarding whether K2 = <employeeID, Telphone, C2>, his data may be disclosed to third parties or used for a different C2 : a certificate of employee purpose than for which it was collected. This changing information are recorded as a result of policy negotiation in the application service database and factored in at the time of service processing. A successful policy negotiation confirms Privacy is a very subjective notion. Some users may create a agreement between the privacy policy and the data disclosure specific concept; say age, as private, whereas others may not. policy concerning the processing of the personal data. Because of it, the encrypted PCS would be used as an authentication for the disclosure on engine has mainly four components information, also according to the ca a policy analyzer, negotiation processor, feature, the purpose of the request, and Fig.4. We’ll develop it in depth for future wor The policy governs the access pr according to the category of information request, and the intended recipient of re Policy Negotiation Engine e privacy policy and the data disclosure atches for each item of the policies. If reements, the negotiation processor provides a disagreement-report and sends it to user and service provider. After the processor get a reply from user and service provider, the result creator makes an agreement result. The Fig. 3 Policy Creation Engine result could be a policy agreement between the policies. The policy creation engine has three main components such as a policy creation interface, an ontology interpreter, and a policy creator. First the policy creation interface supports users easily define their privacy policy without the expertise. The ontology interpreter imports the privacy law ontology and the intellectual property law ontology. Policy creator provides encrypted privacy policy after integrates the rules from ontologies. B. Policy negotiation stage In the policy negotiation stage (step 2a, 2b in Fig.2), the user is notified of the system organization s policies concerning Fig. 5 Negotiation Flow data use and disclosure, advised of any disagreement with ones Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 65

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION The figure 5 shows the policy negotiation flow. The agreement is a result of the negotiation between the privacy negotiation engine performs this fully automated process policy and the data disclosure policy. That means the service before the user provides any personal data to the organization. provider cannot monotonically control the privacy data without A successful policy negotiation confirms agreement between user’s strong agreement. It will be a new model of the e-service the privacy policy and the data disclosure policy concerning the system architecture. processing of the personal data. This agreement could be used a The PNS can fulfill efficient management, sharing, and personal certification to access a certain service processing of sensitive data in compliance with the principles C. Application service stage of the data protection laws. In the application service retrieval stage (step 3 in Fig.2), the In addition to, the encrypted privacy policy will be used as a application system controls accesses based upon the user’s role, new way for authentication certification. purpose, and intended recipient. During service, the service system use the result of V. REFERENCES negotiation as a user’s information, a kind of user’s certification and a agreement between service provider and user. [1] B. Humphreys, “Electronic health record meets digital library”, Journal of the American Medical Information Association, Vol. 7, no 5, 2000, pp. This system already installed the result of policy negotiation 444-452. between the privacy policy and the data disclosure policy. This [2] I. Iakovidis, "Towards personal health record: current situation, obstacles PNS can be integrated into existing environments through a and trends in implementation of electronic healthcare record in Europe", database interface. International Journal of Medical Information, vol. 52, no. 1, 1998, pp. 105-115. D. Active enforcement scenario [3] D. Gritzalis, C. Lambrinoudakis, “A security architecture for interconnecting health information systems”, International Journal of Alice wants to access several e-services such as e-market, Medical Information, Vol 73, no 3, 2004, pp.305-309. e-learning, and online service of a hospital. In this case, Alice [4] R.E.Scott, P. Jennett, et al., “Access and authorization in a Global can access to the services with her own privacy policy by using e-Health Policy context”, International Journal of Medical Information, Vol. 73, no. 3, 2004, pp259-266. the system based on the PNS architecture. [5] A. Dulipovici, R. Baskerville, “Conflicts between privacy and property: The discourse in personal and organizational knowledge”, J. Strategic 1) Policy creation In this stage, Alice can make her own Information System Vol.16, 2007, pp.187-213. privacy policy by using the policy creation engine. This engine [6] M. Pulkkinen, A. Naumenko, et al., “Managing information security in a business network of machinery maintenance services business – makes privacy policy ontology for Alice according to the Enterprise architecture as a coordination tool”, The Journal of Systems privacy law and the intellectual property law. She can store it in and Software, Vol. 80, 2007, pp. 1607-1620. her portable memory or in her computer. Therefore the privacy [7] Editorial, “Some issues in privacy data management”, Data & Knowledge policy can also be used a kind of authentication certification. Engineering Vol. 63, pp.591-596, 2007. [8] Ji-Won Byun, et al., “Purpose Based Access Control of Complex Data for The application service providers already make their data Privacy Protection”, Proc. of 10th ACM Symposium on Access Control disclosure policy by using the policy creation engine or their Models and Techologies, Stockholm (Sweden), June 1-3, 2005, service-programming engine. [9] D.F.Ferraiolo, D.R. Kuhn, et al., “Role-Based Access Control”, Artech 2) Policy negotiation As Alice registers to use services, the House, 2003. [10] R.Agrawal, C. Johnson, “Securing electronic health r ecords without policy negotiation engine requests the Alice’s privacy policy impeding the flow of information”, International Journal of Medical and the data disclosure policy of the each service. And then, the Information, vol. 76, 2007, pp. 471-479. result is installed in the application service database. If the [11] Jun Choe, Sun K. Yoo, “Web-based secure access from multiple patient result is not adoptable, that means Alice’s privacy policy does repositories”, International Journal of Medical Information, 2007. [12] S. Berlik et al., “An Ontology-Based Approach for Managing and not agreement with the data disclosure policy. At that time, the Maintaining Privacy in Information Systems”, LNCS 4275, 2006, pp982 policy negotiation engine provides a message to Alice to make – 994. an agreement. [13] D. Geneiatakis, C. Lambrinoudakis, “An ontology description for SIP 3) Application services The each application service installs security flaws”, Computer Communications, Vol. 30, 2007, pp. 1367-1374. the result of policy negotiation in its database. The each service [14] R. Agrawal, et al., “Hippocratic Databases”, the 28th VLDB Conference, provider realizes the results as a legal user-list. The service 2002. checks the installed data whenever Alice accesses the each [15] M.Verma, “XML Security: Control information access with XACML,” service. The encrypted negotiation-result is used as a [Online] Available: http://www-128.ibm.com/developerworks/library/x-xacml/, 2005 certification for the user. [16] A. Katifori, C. Halatsis, “Ontology Visualization Methods-A Survay”, ACM Computing Servays, Vol.39, no. 4, 2007. IV. CONCLUSION [17] M. Thinyane, L. Dalvit, H. Slay, et al., “An ontology-based, multi-modal platform for the inclusion of marginalized rural communities into the Considering the problem of monopolistic information knowledge society”, ACM Int. Conf. Proceeding series, Vol.226, 2007, management, we proposed new information management pp.143-151. system - PNS. In this system architecture, before access to [18] InJoo Jang, et al. “ Collaborative Privacy Management System,” International Conf. On Information Security and Assurance No.2, 2008, services, the policy negotiation is performed. By using the pp52-56. policy negotiation, PNS provides powerful right for users to [19] Yolanda B.F, et. al., “A flexible semantic inference methodology to handle their confidential data. Service systems can access the reason about user preferences in knowledge-based recommended systems, “Knowledge-Based Systems, 21, 2008, pp305-320. personal data if only if they get the policy agreement. This Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 66

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Doğruluk Oranı İyileştirilmiş (2, n) Olasılıklı Görsel Sır Paylaşma Şeması Vasif V. NABİYEV, Mustafa ULUTAŞ, Güzin ULUTAŞ g]HW² *|UVHO 6ÕU 3DODúPD *63

JL]OL ELU J|UQWQQ JUO VÕU VDKLEL RODQ NLúL JL]OL J|UQWGHQ J|UVHO úLIUHOHPH WHNQLNOH W EHQ]HUL SDODUD NRGODQPDVÕGÕU *63 |QWHPOHULQGH JL]OL J| ULQL NXOODQDUDN Q WDQH DQODPVÕ] SD ROXúWXUXU YH VÕUÕ SDODúDFD UQWGHNL ELU SLNVHOLQ SDODUGD P SLNVHOOH NRGODQÕRU ROPDVÕ E ÷Õ JXUXSWDNL DOÕFÕODUÕQ KHU ELULQH ELU DGHW SD J|QGHULU 3DODU PH RUDQÕ SUREOHPLQL EHUDEHULQGH JHWLUPLúWLU %X SUREOHPLQ DVOÕQGD DQODP LIDGH HWPHHQ JUOW EHQ]HUL J|UQWOHUGLU JLGHULOPHVL LoLQ P GH÷HULQL RODUDN EHOLUOHHQ YH 2ODVÕOÕNOÕ *|U VHO 6ÕU 3DODúPD 2*63

RODUDN DGODQGÕUÕODQ HQL ELU |QWHP *L]OL J|UQWQQ RUWDD oÕNDUÕODELOPHVL LoLQ HQ D] N DGHW NLúL |QHULOPLúWLU *HOHQHNVHO *63 YH 2*63 |QWHPOHULQGH JL]OL J|UQ QLQ NHQGL SDODUÕQÕ VODW ]HULQH EDVPDODUÕ YH EX VODWODUÕ WDP WQQ RUWDD oÕNDUÕOPDVÕ LoLQ LQVDQ J|UPH VLVWHPL HWHUOL ROPDN RODUDN VW VWH JHWLUPHOHUL JHUHNPHNWHGLU *L]OL YHUL J|UVHO WDGÕU ÕOÕQGD :DQJ LQVDQ J|UPH VLVWHPLQL NXOODQPDDQ YH úLIUHOHPH WHNQLNOHUL NXOODQÕODUDN SDODUD GD÷ÕWÕOGÕ÷Õ LoLQ N|W DOQÕ]FD PDQWÕNVDO LúOHPOHUH GDDQDQ HQL ELU Q

2*63 |Q DPDoOÕ NLúLOHU KHUKDQJL WHN ELU SDGDQ JL]OL J|UQW HOGH WHPL |QHUPLúWLU <|QWHP VLDK SLNVHOOHUL EHD] SLNVHOOHUL LVH ò HGHPHHFHNWLU RODVÕOÕNOD GR÷UX RODUDN NRUXDELOPHNWHGLU %X DÕQGD :DQJ¶ÕQ |QWHPLQGH NXOODQÕODQ UDVJHOH % PDWULVOHULQLQ LoHULNOHULQLQ EHOLU 1DRU YH 6KDPLU WDUDIÕQGDQ |QHULOHQ EX úHPDÕ JHOLúWLUPHN OHQPHVLQGH NXOODQÕODFDN RODQ HQL ELU |QWHP |QHULOPLúWLU %X DPDFÕ LOH oHúLWOL DNODúÕPODU |QHULOPLúWLU %D]Õ oDOÕúPDODU SD VDHGH DSÕODQGÕUÕODQ UHVLPGHNL EHD] SLNVHOOHULQ GR÷UXOXN RUDQÕ ODúÕODFDN RODQ J|UQWQQ DOQÕ]FD VLDK EHD] UHVLP ROPDN NVHOPLúWLU 7HVW VRQXoODUÕQGD DSÕODQGÕUÕODQ J|UQWQQ VDKLS HULQH JUL VHYLH YHD UHQNOL UHVLP RODELOHFH÷LQL J|VWHUPLúWLU RODELOHFH÷L PDNVLPXP 3615 GH÷HUL :DQJ¶ÕQ |QHUGL÷L |QWHPOH >@ 3DODúÕODFDN RODQ VÕU VDÕVÕQÕQ DUWÕUÕOPDVÕ LVH LOJL oHNHQ HOGH HGLOHQ GH÷HUGHQ GDKD NVHN oÕNPÕúWÕU %|OHOLNOH :DQJ¶ÕQ |QWHPLQLQ *63 úHPDODUÕQÕQ GH÷HUOHQGLULOPHVLQGH |QHPOL ELU GL÷HU ELU NRQXGXU >@ *|UVHO úLIUHOHPHQLQ GR÷DVÕ JHUH÷L SDUDPHWUH RODQ GR÷UXOXN RUDQÕ LLOHúWLULOPLúWLU ROXúDQ NRQWUDVW SUREOHPOHULQLQ JLGHULOPHVL LVH o|]OPHH oDOÕ úÕODQ SUREOHPOHUGHQ ELULGLU >@ 7DQÕPÕ JHUH÷L J|UVHO úLIUHOH $QDKWDU Kelimeler 6|]FNOHU²*63 2*63 3615 PHGH VÕU RODUDN SDODúÕODFDN RODQ J|UQWGHNL ELU SLNVHO SD ODUGD ELUGHQ oRN DOW SLNVHO LOH WHPVLO HGLOPHNWHGLU %|OH ELU NRGODPD WHNQL÷L LVH J|UQW ERXWODUÕQÕQ EHOLUOL ELU RUDQGD , *ø5øù JHQLúOHPHVLQH QHGHQ ROPDNWDGÕU *HQLúOHPH IDNW|U RODUDN 6 ÕU 3DODúPD 63

úHPDVÕ RODUDN DGODQGÕUÕODQ |QWHP LON RODUDN %ODNOH YH 6KDPLU WDUDIÕQGDQ ÕOÕQGD |QHULO PLúWLU > @ N Q

HúLN úHPDVÕ RODUDN GD DGODQGÕUÕODQ EX |Q DGODQGÕUÕODQ EX EPH RUDQÕ EHOOHNWH VDNODPD DoÕVÕQGDQ LKWL Do GXXODQ NDSDVLWHQLQ DUWPDVÕ LOH VRQXoODQPDNWDGÕU <DSÕODQ ELUoRN oDOÕúPD LOH EX RUDQÕQ NoOWOPHVL DPDoODQPÕúWÕU WHP YHULQLQ JYHQOL÷LQL Q WDQH SDUoDD E|OHUHN VD÷ODU +HU ELU N Q

*63 úHPDODUÕQÕQ EDúDUÕPÕQÕ WHVW HWPHNWH NXOODQÕODQ SDUoD ³SD´ RODUDN DGODQGÕUÕOÕU 2OXúWXUXODQ Q WDQH SD Q WDQH G|UW SDUDPHWUH PHYFXWWXU %X SDUDPHWUHOHUGHQ LONL JYHQOLNWLU NLúLH GD÷ÕWÕOÕU 6ÕUÕ SDODúDQ KHU ELU NLúLQLQ HOLQGH DOQÕ] ELU N DGHWWHQ D] SDÕQ ELU DUDD JHWLULOPHVL VÕU KDNNÕQGD KLoELU ELOJL SD YDUGÕU *L]OL YHUL DQFDN EX SDODUGDQ HQ D] N WDQHVL ELU RUWDD oÕNDUPDPDOÕGÕU øNLQFL SDUDPHWUH GR÷UXOXNWXU (Q D] N DUDD JHWLULOGL÷LQGH RUWDD oÕNDFDNWÕU N DGHWWHQ D] SDÕQ ELU DGHW SDÕQ ELU DUDD JHOPHVL LOH RUWDD oÕNDUÕODQ VÕUÕQ RULMLQDOL DUDD JHWLULOPHVL JL]OL YHUL KDNNÕQGD KLoELU ELOJL DoÕ÷D QH RODQ EHQ]HUOL÷LGLU 'L÷HU ELU NULWHU LVH KHVDSODPD NDUPDúÕN oÕNDUPD] OÕ÷ÕGÕU SDODUÕ UHWPHGH JHUHNHQ LúOHP VDÕVÕ LOH |OoOU 6RQ 63 |QWHPLQL WHPHO DODQ YH GDKD HQL ELU |QWHP RODQ NULWHU LVH JL]OL J|UQWGHNL ELU SLNVHOLQ SDODUGD NDo SLNVHO LOH ³*|UVHO 6ÕU 3DODúÕPÕ´ *63

1DRU YH 6KDPLU WDUDIÕQGDQ NRGODQGÕ÷ÕQD ED÷OÕ RODUDN GH÷LúHQ EPH RUDQÕGÕU ÕOÕQGD |QHULOPLúWLU >@ %X úHPD LoLQ SDODúÕODQ VÕU JL]OL ELU %PH RUDQÕ NULWHULQL LLOHúWLUPHH oDOÕúDQ ED]Õ oDOÕúPD J|UQWGU HO D]ÕVÕ QRWODUÕ D]ÕFÕ oÕNWÕODUÕ UHVLPOHU JLEL

%X ODU ³RODVÕOÕNOÕ J|UVHO VÕU SDODúPD´ 2*63

úHPDODUÕQÕ |QHUPLú HQL VÕU SDODúÕP WHNQL÷LQLQ HQ |QHPOL |]HOOL÷L EDúND ELU KH OHUGLU >@ %X oDOÕúPDODUGD VÕU RODUDN SDODúÕODFDN RODQ VDSODPDD LKWLDo GXPDNVÕ]ÕQ LQVDQ J|UPH VLVWHPLQL JL]OL J|UQWGHNL KHU ELU SLNVHO SDODUGD WHN SLNVHO NXOODQÕODUDN NRG YHULL RUWDD oÕNDUPDGD NXOODQPDVÕGÕU *HOHQHNVHO úLIUHOHPH ODQÕU %|OHOLNOH SDODUÕQ ERXWX RULMLQDO J|UQWQQ ERXWX LOH WHNQLNOHULQLQ úLIUH o|]PH LoLQ JHUHNWLUGL÷L NRPSOHNV KHVDSOD DQÕ NDOÕU 2ULMLQDO J|UQWGHNL SLNVHOOHULQ HQLGHQ DSÕODQGÕ PDODU EX HQL DODQGD HU DOPDPDNWDGÕU N Q

*63 úHPDVÕ LoLQ UÕODQ J|UQWGH DQÕ RODUDN HOGH HGLOHELOPHVL EHOLUOL ELU RODVÕOÕN V. NABİYEV, Karadeniz Teknik Üniversitesi M. ULUTAŞ, G. ULUTAŞ , Ondokuz Mayıs Üniversitesi Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 67

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION GDKLOLQGHGLU *L]OL J|UQWGHNL SLNVHOOHU HQLGHQ DSÕODQGÕ % PDQWÕNVDO PDWULVLQLQ VDWÕUODUÕQGDQ ELULQL UDVWJHOH RODUDN VH UÕOPD LúOHPLQGHQ VRQUD ELUH ELU DQÕ NDOPD] )DNDW E|OJHVHO oHU YH LOJLOL SDD HUOHúWLULU 6LDK ELU SLNVHO SDODúÕODFD÷ÕQGD RODUDN EDNÕOGÕ÷ÕQGD UHVPLQ RULMLQDO J|UQWVQ NRUXGX÷X LVH % PDWULVLQGHQ VHoLOHQ UDVWJHOH ELU VDWÕU LOJLOL SDÕ NRGODPD J|]OHPOHQHELOLU +HU QH NDGDU 2*63 WHNQLNOHUL KHVDSODPD GD NXOODQÕODFDNWÕU % YHD % PDWULV NPHOHULQGHQ UDVJHOH VHoL NDUPDúÕNOÕ÷ÕQÕ YH EPH RUDQÕQÕ D]DOWVD GD GR÷UXOXNWD NDÕS ODUD VHEHS ROPDNWDGÕU OHQ ELU PDWULV Q WDQH SDGDNL P DGHW DOW SLNVHOLQ JUL VHYLHVLQL ÕOÕQGD :DQJ PDQWÕNVDO LúOHPOHUH GDDOÕ HQL ELU EHOLUOHPHH DUGÕPFÕ RODFDNWÕU 1DRU YH 6KDPLU¶LQ WDQÕPÕ JH Q

2*63 úHPDVÕ LOHUL VUPúWU >@ %X úHPD ;25 YH $1' UH÷L ELU *63 úHPDVÕ DQFDN DúD÷ÕGDNL NRúXOODUÕ VD÷ODGÕ÷Õ WDN LúOHPOHULQL NXOODQDUDN VLDK EHD] UHVLPOHUL UDVWODQWÕVDO ELU GLUGH JHoHUOL RODFDNWÕU WHNQLNOH NRGODU *HOHQHNVHO 2*63¶ GHQ IDUNOÕ RODUDN HQLGHQ % YHD % NPHOHULQGHQ VHoLOHQ KHUKDQJL ELU PDWULVLQ Q DSÕODQGÕUPD LúOHPL LoLQ LQVDQÕQ J|UPH VLVWHPL HWHUOL GH÷LOGLU WDQH VDWÕUÕQÕQ KHUKDQJL N WDQHVLQLQ 25¶ODQPDVÕ VRQXFX ROXúDQ (OGH HWPLú ROGX÷X VRQXoODUÕQ NDUúÕWOÕN DoÕVÕQGDQ JHOHQHNVHO YHNW|UQ 9

VHoLOGL÷L NPHH ED÷OÕ RODUDN % ¶GDQ VHoLOHQ WHNQLNOHUGHQ GDKD LL ROGX÷XQX GHQHVHO VRQXoODUOD J|VWHUPLú ELU PDWULV LoLQ + 9

d G DP YHD % ¶GHQ VHoLOHQ ELU PDWULV WLU %X PDNDOHGH :DQJ WDUDIÕQGDQ |QHULOHQ WHNQL÷LQ NRQWUDVW LoLQ + 9

t G ROPDOÕGÕU GH÷HULQL LLOHúWLUHUHN HQLGHQ DSÕODQGÕUÕODQ UHVLPOHULQ GR÷UX ^ Q ` ¶QLQ KHUKDQJL DOW NPHOH OXN GH÷HULQLQ NVHOWLOPHVL VD÷ODQPÕúWÕU gQHULOHQ WHNQL÷LQ UL ^ L L L ` T¢N

T LoLQ % YH % PDWULVOHULQLQ LoHUPLú RO :DQJ¶ÕQ oDOÕúPDVÕQGDQ VWQ ROGX÷X HQLGHQ DSÕODQGÕUÕODQ GX÷X PDWULVOHULQ VÕNOÕ÷Õ HúLW ROPDOÕGÕU UHVLPOHULQ 3615 GH÷HUOHULQLQ WHVW HGLOPHVL LOH J|VWHULOPLúWLU øON SDUDPHWUH NRQWUDVW RODUDN DGODQGÕUÕOÕUNHQ LNLQFL SDUD <DÕQÕQ JHUL NDODQÕ úX úHNLOGH G]HQOHQPLúWLU øNLQFL NÕ PHWUH úHPDQÕQ JYHQOL÷LQL JDUDQWL HGHU øNLQFL NRúXO VDHVLQGH VÕPGD *63 YH 2*63 úHPDODUÕQÕQ DUÕQWÕODUÕQGDQ EDKVHGLOPLú N DGHWWHQ D] VDÕGD SDÕQ VW VWH JHWLULOPHVL LOH VÕUÕQ HOGH HGL WLU hoQF NÕVÕPGD LVH :DQJ¶ÕQ |QHUPLú ROGX÷X Q

úHPDVÕ OHPHHFH÷L JDUDQWL HGLOLU DoÕNODQDUDN |QHUPLú ROGX÷XPX] |QWHP DUÕQWÕODUÕ LOH YHULO N Q

*63 úHPDODUÕQÕQ QDVÕO NXUXODELOHFH÷LQL J|VWHUPHN D PLúWLU 6RQ RODUDN |QHULOHQ WHNQLN LOH HOGH HGLOHQ WHVW J|UQW PDFÕOD

GXUXPX ELU |UQHN LOH DoÕNODQDFDNWÕU % YH % OHUL YHULOPLú YH VRQXoODU RUXPODQPÕúWÕU PDWULVOHUL DúD÷ÕGDNL úHNLOGH WDQÕPODQDELOLU °NRORQODUÕ Q SHUPWDVRQX LOH § ·° ½ % ® ¨ ¸¾ ,,*63 9( 2*63 <g17(0/(5ø ° HOGH HGLOHQ WP PDWULVOHU ¨ ¸° ¯ © ¹¿ $ *|UVHO 6ÕU 3DODúPD *63

°NRORQODUÕ Q SHUPWDVRQX LOH § ·° ½ % ® ¨ ¸¾ N Q

*63 úHPDVÕQGD RULMLQDO J|UQWQQ VLDK YH EHD] ° HOGH HGLOHQ WP PDWULVOHU ¨ ¸° ¯ © ¹¿ SLNVHOOHUGHQ ROXúWX÷X YDUVDÕOPÕúWÕU 2ULMLQDO J|UQWGHNL KHU % YH % NPHOHULQL ROXúWXUDQ PDWULVOHULQ VDWÕUODUÕQÕQ J|UQ ELU SLNVHO SDODUGD P DGHW DOW SLNVHO RODUDN NRGODQÕU *63 úH PH RODVÕOÕNODUÕ ELUELUOHULQH HúLWWLU %X GD EHOLUOL ELU |UQWQQ PDVÕ QuP ENO÷QGHNL PDQWÕNVDO 6 PDWULVL 6 VLM

WDUD > @ EHOLUOL ELU UHQJH DLW ROGX÷X ELOJLVLQLQ JL]OL J|UQW HOH JHoLU IÕQGDQ WDQÕPODQÕU 6WXQ VDÕVÕQÕ J|VWHUHQ P GH÷HUL JL]OL J| PHH oDOÕúDQ VDOGÕUJDQODU WDUDIÕQGDQ oÕNDUÕOPDVÕQD HQJHO ROD UQWGHNL WHN ELU SLNVHOLQ SDODUGD NDo SLNVHOOH WHPVLO HGHFH÷L FDNWÕU 3HUPWDVRQ LúOHPLQLQ JHUoHNOHúWLULOHFH÷L PDWULVOHUGHQ QL J|VWHULU (÷HU L SDGDNL M DOW SLNVHO VLDK LVH VLM DNVL GH DQODúÕODFD÷Õ ]HUH % NPHVLQL ROXúWXUDQ KHUKDQJL ELU PDW WDNGLUGH VLM ¶GÕU L L LN LOH J|VWHULOHQ SDODU DOW SLNVHO ULVLQ VDWÕUODUÕQÕQ 25¶ODQPDVÕ VRQXFX ROXúDQ YHNW|UQ OHUL XJXQ ELU úHNLOGH |UWúHFHN úHNLOGH VW VWH JHWLULOGLNOHULQ +DPPLQJ X]DNOÕ÷Õ LNHQ EHD] SLNVHOL WHPVLO HGHU

% N GH VÕU RUWDD oÕNDFDNWÕU 6 PDWULVLQGHNL VDWÕUODUD 25 PDQWÕNVDO PHVLQGHNL ELU PDWULV LoLQ KHVDSODQDQ +DPPLQJ X]DNOÕ÷Õ ROD LúOHPLQLQ XJXODQPDVÕ VRQXFX ROXúDQ YHNW|UQ +DPPLQJ D÷ÕU FDNWÕU $UDGDNL IDUN LQVDQ J|]QQ VLDK YH EHD] DUDVÕQGD OÕ÷Õ LOJLOL SLNVHOLQ LQVDQ J|UPH VLVWHPL WDUDIÕQGDQ QDVÕO DOJÕOD DUÕP DSPDVÕQÕ VD÷ODDFDN NDUúÕWOÕ÷Õ ROXúWXUPDNWDGÕU QDFD÷ÕQÕ J|VWHUPHNWHGLU 6LDK YH EHD]Õ DÕUW HWPHN LoLQ VDELW .RGODPD LúOHPL HVQDVÕQGD JL]OL J|UQWGHNL EHD] SLNVHOLQ ELU HúLN GH÷HUL ROVXQ YH G d G d P

LOH J|VWHULOVLQ 5HVPLQ NRGODQPDVÕ LoLQ % NPHVLQGHQ UDVJHOH ELU PDWULV VHoLOHFHNWLU J|UQHELOLUOL÷L DoÕVÕQGDQ D LOH J|VWHULOHQ NRQWUDVWÕQ VÕIÕUGDQ 5

%LULQFL SDGD NDUúÕ GúHQ DOW SLNVHO JUXEXQXQ LoHUL÷L EN ROPDVÕ JHUHNLU øOJLOL SLNVHO LoLQ EHOLUOHQHQ 6 PDWULVLQLQ 5 ¶ÕQ ELULQFL VDWÕUÕ WDUDIÕQGDQ EHOLUOHQLUNHQ LNLQFL SDÕQ NDUúÕ VDWÕUODUÕQÕQ 25¶ODQPDVÕ VRQXFX ROXúDQ uP OLN YHNW|U 9 LOH GúHQ SLNVHO JUXEX LNLQFL VDWÕU WDUDIÕQGDQ EHOLUOHQHFHNWLU %HQ J|VWHULOVLQ %X GXUXPGD H÷HU + 9

t G LVH HQLGHQ DSÕODQGÕ ]HU úHNLOGH VLDK SLNVHOLQ NRGODQPDVÕ LoLQ NXOODQÕODFDN RODQ UÕODQ SLNVHO LQVDQ J|UPH VLVWHPL WDUDIÕQGDQ VLDK H÷HU PDWULV LVH % NPHVLQGHNL PDWULVOHU DUDVÕQGDQ VHoLOHFHNWLU + 9

d G DP LVH EHD] RODUDN DOJÕODQDFDNWÕU *|UQWGHNL WP VLDK YH EHD] SLNVHOOHU LoLQ EDKVHGLOHQ NRG 7DQÕP N Q

*63 úHPDVÕ % YH % LOH J|VWHULOHQ QuP E ODPD JHUoHNOHúWLULOGL÷LQGH VÕUUÕ SDODúDFDN RODQ NLúLOHUH GD÷ÕWÕ NO÷QGHNL PDQWÕNVDO PDWULVOHUGHQ ROXúDQ LNL NPH LOH WHP ODFDN RODQ SDODU ROXúWXUXOPXú ROPDNWDGÕU $oÕNODQDQ NRGODPD VLO HGLOHELOLU %HD] ELU SLNVHO SDODúÕODFD÷Õ ]DPDQ NLúL LúOHPLQH LOLúNLQ ELU |UQHN 7DEOR ¶GH YHULOPHNWHGLU Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 68

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION 7DEOR

úHPDVÕ LoLQ VLDK YH EHD] SLNVHOOHULQ NRGODQPDVÕ VHO G]HLQGH ROXúWXUGXNODUÕ +DPPLQJ D÷ÕUOÕNODUÕ EHOLUOHHFHN WLU 6LDK YH EHD] E|OJHOHUGHNL EHD] VÕNOÕ÷Õ HQLGHQ DSÕ % 3D 3D 6RQXo 6 3D 3D 6RQXo ODQGÕUÕODQ UHVPLQ LQVDQ J|] WDUDIÕQGDQ DÕUW HGLOHELOPHVLQL VD÷ODDFDNWÕU S HQLGHQ DSÕODQGÕUÕODQ UHVPLQ EHD] E|OJH VLQGH EHD] SLNVHOLQ J|UQPH RODVÕOÕ÷ÕQÕ WHPVLO HGHU S LVH VLDK E|OJHGH EHD] J|UQPH RODVÕOÕ÷ÕQÕ YHUHFHNWLU %HD] YH VLDKÕQ DÕUW HGLOPHVLQL EHOLUOHHFHN SDUDPHWUHOHUGHQ ELUL RODQ GH÷LúPH] HúLN RODVÕOÕ÷Õ SWK LOH J|VWHULOVLQ N Q

2*63 úHPDVÕ DQFDN DúD÷ÕGDNL o GXUXPX VD÷OÕRUVD JHoHUOLGLU *L]OL J|UQWGHNL KHU ELU SLNVHOLQ SDODUGD NDo DOW SLNVHO LOH % YH % NPHOHULQGHNL KHU ELU PDWULVLQ KHUKDQJL N VDWÕUOD WHPVLO HGLOHFH÷L *63 úHPDODUÕQÕQ ROXúWXUXOPDVÕQGDNL SDUDPHW UÕQÕQ ROXúWXUGX÷X VWXQ YHNW|U 9 LOH J|VWHULOVLQ /9

LVH LOJLOL UHOHUGHQ ELULGLU 9HULOHQ |UQHNWH EX GH÷HU RODUDN VHoLOHELOH YHNW|UQ VDWÕUODUÕQÕQ 25¶ODQPDVÕ VRQXFX HOGH HGLOHQ GH÷HU FH÷L KDOGH UHVPLQ HQ ER RUDQÕQGD ER]XOPDD QHGHQ ROPDPDVÕ ROVXQ % NPHVLQGHQ HOGH HGLOHQ /9

GH÷HUOHUL O NPHVL LoLQ KHU LNL GR÷UXOWXGD GD RODFDN úHNLOGH DQL RODUDN EHOLU QL % GHQ HOGH HGLOHQ GH÷HUOHU LVH J NPHVLQL ROXúWXUVXQ OHQPLúWLU ùHPDQÕQ NDUúÕWOÕ÷ÕQÕ EHOLUWHQ D GH÷HUL NRGODQPÕú O YH J NPHOHUL S t S WK

YH S d SWK D

NRúXOODUÕQÕ EHD] SLNVHO LOH VLDK SLNVHOLQ +DPPLQJ X]DNOÕNODUÕ DUDVÕQGDNL IDUNWÕU D GH÷HULQLQ EN ROPDVÕ WHNUDU DSÕODQGÕUÕODQ UHVPLQ VD÷ODDFDNWÕU NDUúÕWOÕ÷ÕQÕ ELU EDúND GHLúOH J|UQHELOLUOL÷LQL LLOHúWLUHFHNWLU ^ Q ` ¶QLQ KHUKDQJL DOW NPHOHULQGH L L LT ^ ` 9HULOHQ EX |UQHNWH D GH÷HUL LNLGLU T¢ N

S YH S GH÷HUOHUL HúLW RODFDNWÕU % 2ODVÕOÕNOÕ *|UVHO 6ÕU 3DODúPD 2*63

%|OH ELU úHPDQÕQ QDVÕO DSÕODQGÕUÕODFD÷ÕQÕ J|VWHUHELOPHN DPDFÕOD

2*63 úHPDVÕQÕQ >@¶GH YHULOHQ WDQÕP ED÷ÕQ ÕOÕQGD <DQJ WDUDIÕQGDQ RODVÕOÕNOÕ J|UVHO VÕU SDODúPD WÕVÕ NXOODQÕODFDNWÕU P LM +DPPLQJ D÷ÕUOÕ÷Õ L RODQ EWQ Qu¶OLN RODUDN DGODQGÕUÕODQ HQL ELU |QWHP |QHULOPLúWLU <HQL |QWH PLQ UHWWL÷L SDODUÕQ ENO÷ JHOHQHNVHO |QWHPOHUGHQ IDUN NRORQ PDWULVOHULQL WHPVLO HGHU M LQGLVL LVH PDWULVLQ % YH OÕ RODUDN SDODúÕODFDN RODQ JL]OL J|UQW LOH DQÕ NDOPDNWDGÕU D % ¶H DLW ROGX÷XQX J|VWHUHFHNWLU M ^ ` gUQH÷LQ Q hUHWLOHQ SDODUÕQ ERXWODUÕQÕQ JL]OL J|UQW LOH DQÕ NDOPDVÕ LNHQ P NPHVLQH DLW PDWULVOHU DúD÷ÕGDNL úHNLOGHGLU EHOOHNWH VDNODPD NDSDVLWHVL DoÕVÕQGDQ |QHPOL |OoGH ND]DQoODUÕ GD EHUDEHULQGH JHWLUPHNWHGLU <HQL úHPD EHD] SLNVHOOHULQ ªº ª º ª º ½ ° ° VLDK YH EHD] E|OJHGH J|UQPH VÕNOÕ÷ÕQÕ LQVDQ J|]QQ VLDK P ®«» «» «» ¾ « » « » « » YH EHD]Õ DÕUW HWPHVLQL VD÷ODDFDN úHNLOGH NXOODQPDNWDGÕU °«» « » «» ° <DQJ DÕQÕQGD YHUPLú ROGX÷X WDQÕP ED÷ÕQWÕODUÕ LOH

¯¬ ¼ ¬ ¼ ¬ ¼ ¿ Q

N N

YH N Q

úHPDODUÕQÕQ QDVÕO ROXúWXUXODELOHFH÷LQL J|V 7DQÕP % ^P P ` YH % ^P ` % YH %

WHUPLúWLU 2*63¶QLQ ROXúWXUXOPDVÕ LoLQ JHUHNOL u OLN PDWULVOHULQ NPH 2ODVÕOÕNOÕ |QWHPL JHOHQHNVHO |QWHPGHQ DÕUDQ HQ |QHPOL VLGLU %X GXUXPGD % YH % DLW PDWULVOHU DúD÷ÕGDNL úHNLOGH YHUL IDUN NRGODQDFDN RODQ J|UQWGHNL SLNVHOL ELUGHQ oRN DOW SLN OHELOLU VHOOH SDODUGD WHPVLO HWPHN HULQH WHN ELU SLNVHO LOH NRGODPDVÕ ªº ªº ½ ° ° ªº ªº ½ ° ° GÕU 2ULMLQDO J|UQWQQ HQLGHQ DSÕODQGÕUÕOPDVÕ LoLQ JHUHNHQ % ^P P ` ®« » « » ¾ % ^P ` ®« » « » ¾ DOQÕ]FD JHUHNOL N Q

OLN ELU úHPD LoLQ HQ D] N DGHW SDÕQ VW °¬¼ ¬¼ ° ¯ ¿ °¬¼ ¬ ¼ ° ¯ ¿ VWH JHWLULOPHVLGLU %X GD JHOHQHNVHO |QWHPGHNL 25¶ODQPD § ªº · § ªº ·½ ° ¨ ° LúOHPLQH NDUúÕ GúPHNWHGLU *HOHQHNVHO |QWHP EHD] SLNVHOL O ® /¨ « » ¸ /¨ « » ¸¾ ^ ` WHPVLO HWPHN LoLQ [ % 6 [ DGHW EHD] DGHW VLDK

VLDK ° © ¬¼ ¸ ¨ ¬¼ ¸° ¯ ¹ © ¹¿ SLNVHOL WHPVLO HWPHN LoLQ LVH [ % 6 NXOODQÕU %LU SLNVHOLQ NDo § ª º · § ªº ·½ ° ¨ ° J ® /¨ « » ¸ /¨ « » ¸¾ ^ ` DOW SLNVHOOH WHPVLO HGLOGL÷L P LOH J|VWHULOHFHN ROXUVD ¼ ¸ ¨ ¬¼ ¸° ° ©¬ ¹ © ¯ ¹¿ [ [ P RODFDNWÕU 2*63 úHPDODUÕQGD LVH P GH÷HUL O YH J ¶GD SLNVHOLQ EHD] ROPD RODVÕOÕ÷Õ RODQ S YH S VÕUDOD ¶H HúLW RODFDNWÕU *HOHQHNVHO |QWHPGH NXOODQÕODQ QuP E YH ¶GÕU %X QHGHQOH EX úHPDD DLW HúLN RODVÕOÕ÷Õ RODQ NO÷QGHNL % YH % PDWULVOHULQLQ HULQL Qu ENO÷QGH SWK YH NDUúÕWOÕN D ¶GLU NL % YH % PDWULVOHUL DODFDNWÕU %HD] SLNVHOOHULQ NRGODQPDVÕ HVQDVÕQGD % NPHVLQGHQ UDVJHOH ELU PDWULV VHoLOGLNWHQ VRQUD ,,, 1

2/$6,/,./, *g56(/ 6,5 3$</$ù0$ <g17(0ø UDVJHOH VHoLOHQ VDWÕUODUGDNL GH÷HUOHU SDODUD GD÷ÕWÕODFDNWÕU 6L %X E|OPGH |QFHOLNOH :DQJ WDUDIÕQGDQ |QHULOHQ Q

DK SLNVHOOHULQ NRGODQPDVÕ HVQDVÕQGD NXOODQÕODFDN RODQ PDW 2*63 úHPDVÕQÕQ WDQÕPÕ YHULOHFHN GDKD VRQUD LVH DÕQ NDSVD ULV % PDWULVOHUL DUDVÕQGDQ VHoLOHFHNWLU <HQLGHQ DSÕODQGÕUÕOPD PÕQGD |QHULOHQ |QWHPGHQ EDKVHGLOHFHNWLU HVQDVÕQGD ROXúDFDN J|UQW VW VWH JHWLULOHQ SDODUÕQ SLN Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 69

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION $ :DQJ¶ÕQ Q

2*63 úHPDVÕ % gQHULOHQ Q

2*63 úHPDVÕ :DQJ WDUDIÕQGDQ |QHULOHQ EX úHPD ;25 YH $1' JLEL PDQ ÕOÕQGD :DQJ WDUDIÕQGDQ |QHULOHQ |QWHPGH RULMLQDO WÕNVDO LúOHPOHULQ NXOODQÕPÕQD GDDQÕU >@ *L]OL J|UQWQQ JL]OL J|UQWGHNL EHD] SLNVHOOHULQ HQLGHQ GR÷UX ELU úHNLOGH RUWDD oÕNDUÕOPDVÕ VÕUDVÕQGD LQVDQ J|UPH VLVWHPL HULQH |]HO DSÕODQGÕUPD RODVÕOÕ÷Õ ;25 IRQNVLRQXQD JLULú RODUDN YHULOHQ ELU D]ÕOÕP JHUHNWLUPHGHQ J|UQWOHPH D]ÕOÕPODUÕQÕQ RODQDN LNL UDVJHOH PDWULVLQ %L YHD % M

NDUúÕOÕNOÕ SLNVHOOHULQ GH÷HUOH ODUÕ NXOODQÕODELOPHNWHGLU gQHULOHQ |QWHP RULMLQDO J|UQWGH ULQH ED÷OÕGÕU Q

*63 úHPDVÕ LoLQ ROXúWXUXOPDVÕ JHUHNHQ NL VLDK SLNVHOOHUL NHVLQ GR÷UXOXNOD HQLGHQ DSÕODQGÕUDELOLU UDVJHOH % PDWULVL VDÕVÕ Q GLU 6RQ PDWULV KDULo %Q

JHUL NHQ EHD] SLNVHOOHUL GR÷UX RODUDN DSÕODQGÕUPD RODVÕOÕ÷Õ ¶GLU gQHULOHQ úHPDQÕQ SDODUÕ ROXúWXUPDN LoLQ JHUoHNOHúWLU NDODQ PDWULVOHU EHD] SLNVHOOHULQ GR÷UX ELU úHNLOGH HQLGHQ GL÷L DGÕPODU DúD÷ÕGDNL úHNLOGH YHULOHELOLU DSÕODQGÕUÕOPDVÕQGD URO RQDDFDNWÕU 0DNDOHGH |QHULOHQ |Q *LULúOHU Q LOH LIDGH HGLOHQ ELU WDPVDÕ GH÷HUL Q t

WHPGH WP EX PDWULVOHU ELUELUOHULQGHQ ED÷ÕPVÕ] RODUDN UDVJHOH DQODPGD UHWLOPHNWHGLU 1 WDQH PDWULVLQ KHUKDQJL LNLVLQLQ NDU YH $ LOH J|VWHULOHQ JL]OL J|UQW úÕOÕNOÕ HOHPDQODUÕQÕQ ;25 VRQXFXQXQ YHUPH RODVÕOÕ÷Õ ò¶GLU <HQLGHQ DSÕODQGÕUPD VRQXFXQGD ROXúDQ J|UQWQQ GR÷UXOXN $GÕP % % %Q LOH J|VWHULOHQ Q

DGHW PDWULV UHW RUDQÕQÕ NVHOWHELOPHN DOJRULWPDQÕQ EHD] SLNVHOOHUL HQLGHQ $GÕP & & &Q LOH J|VWHULOHQ Q DGHW DUD PDWULVL UHWPHGHNL EDúDUÕ RUDQÕQÕ NVHOWHUHN JHUoHNOHúHFHNWLU %X &L %L $ L Q GHQNOHPLQL NXOODQDUDN KHVDSOD QHGHQOH % PDWULVOHUL ELUELUOHULQGHQ ED÷ÕPVÕ] RODUDN UHWLOPHN $GÕP $ $ $Q LOH J|VWHULOHQ Q DGHW SD HULQH Q DGHW PDWULVLQ NDUúÕOÕN GúHQ SLNVHOOHULQH HUOHúWLULOH FHN GH÷HUOHU VHoLOLUNHQ ;25 VRQXFXQXQ IDUNOÕOÕN GXUXPXQGD Õ $L &L %Q L Q GHQNOHPLQL NXOODQDUDN KHVDSOD YHUGL÷L J|] |QQH DOÕQPDOÕGÕU Q ERXWOX ELU GL]LGHQ VHoLOHQ *L]OL J|UQWQQ $

ROXúWXUXOPDVÕ LoLQ JHUoHNOHúWLULOHFHN LNLOL NRPELQDVRQODUÕQ ;25 VRQXoODUÕQÕQ YHUPH RODVÕOÕ÷ÕQÕ RODQ DSÕODQGÕUPD LúOHPL 'HQNOHP ¶GH YHULOPHNWHGLU NVHOWPHN |QWHPLQ EDúDUÕVÕQÕ NVHOWPHNOH HúGH÷HUGLU Q YH Q HOHPDQOÕ ELU YHNW|UQ VDKLS RODELOHFH÷L IDUNOÕ $c $L $ M L M ^ Q` YH L z M

+DPPLQJ D÷ÕUOÕNODUÕQD ED÷OÕ RODUDN LNL HOHPDQOÕ NRPELQDVRQ ODUÕQ ;25 VRQXoODUÕQÕQ YHUGL÷L GXUXPODUÕQ VDÕVÕQD DLW JUDILN $L V W

EDVLWoH $L RODUDN J|VWHULOVLQ <XNDUÕGD EDKVHGLOHQ ùHNLO ¶GH YHULOPLúWLU $OÕQDQ LNLOL NRPELQDVRQODUÕQ HQ oRN DSÕODQGÕUPD DGÕPODUÕ J|] |QQH DOÕQGÕ÷ÕQGD $ LOH J|VWHULOHQ VDÕGD ELU YHUGL÷L GXUXP VLPHWUL QHGHQL LOH Q GH÷HULQLQ oLIW JL]OL J|UQWGHNL KHUKDQJL ELU VLDK SLNVHOLQ L LOH J|VWHULOHQ YHD WHN ROPDVÕQD J|UH GH÷LúPHNWHGLU 7RSODP SD VDÕVÕQÕ J|VWHUHQ Q GH÷HULQLQ oLIW ROGX÷X GXUXPODUGD WHN ELU PDNVLPXP SDD NRGODQPDVÕ HVQDVÕQGD &L %L RODFDNWÕU %XUDGDQ GH÷HU YDUNHQ WHN ROGX÷X GXUXPODUGD LNL PDNVLPXP GH÷HU YDU GD L LOH J|VWHULOHQ SDGDNL SLNVHO GH÷HUL $L %Q %Q R GÕU ODFDNWÕU %|OHFH JL]OL J|UQWQQ HQLGHQ DSÕODQGÕUÕOPDVÕ HVQDVÕQGD $c $L $ M %Q %Q RODFDNWÕU %XUDGDQ GD ;25 VRQXoODUÕ ELU YHUHQ NRPELQDVRQ VDÕVÕ NRGODQDQ VLDK SLNVHOOHULQ HQLGHQ DSÕODQGÕUPD HVQDVÕQGD NHVLQ GR÷UXOXNOD ROXúWXUXODFD÷ÕQÕ J|VWHUPHNWHGLU $¶GDNL EHD] µ¶

SLNVHO LoLQ &L %L %L YH $L %Q %L RODFDNWÕU %|OHFH JL]OL J|UQWQQ HQLGHQ DSÕODQGÕUÕOPDVÕ LoLQ L YH M LOH J|VWHULOHQ SDODUÕQ ELU DUDD JHWL ULOPHVL VRQXFX

GHNL LIDGH HOGH HGLOHFHNWLU +DPPLQJ D÷ÕUOÕ÷Õ ;25 VRQXoODUÕ ELU YHUHQ $c %Q %L %Q % M %L % M

NRPELQDVRQ VDÕVÕ <XNDUÕGDNL LIDGHGHQ GH J|UOHFH÷L JLEL EHD] ELU SLNVHOLQ GR÷UX RODUDN NRGODQPD RODVÕOÕ÷Õ ò¶GLU %X RODVÕOÕN DQÕ ]D PDQGD ;25 IRQNVLRQXQXQ VRQXFXQGD J|UOPH RODVÕOÕ÷ÕQÕ WHPVLO HWPHNWHGLU :DQJ WDUDIÕQGDQ |QHULOHQ Q

2*63 úHPDVÕ JL]OL J|UQW +DPPLQJ D÷ÕUOÕ÷Õ $ LOH HQLGHQ DSÕODQGÕUÕODQ J|UQW $c DUDVÕQGD ELWOHULQL ùHNLO 6ÕUDVÕOD Q YH Q LoLQ IDUNOÕ KDPPLQJ D÷ÕUOÕNOÕ YHNW|UOHULQ NHQGL HOHPDQODUÕQÕQ LNLOL NRPELQDVRQODUÕQÕQ ;25 VRQXoODUÕQÕQ GH÷HUOHQ DQÕ WXWPDÕ EDúDUÕUNHQ ELWOHULQL GR÷UX NRGODDELOPH RODVÕOÕ GLULOPHVL ÷Õ ò¶GLU %X QHGHQOH GH EX úHPDD LOLúNLQ D GH÷HUL LOH J|VWHUL OHQ NRQWUDVW GH÷HUL ò¶GLU 2ODVÕOÕNVDO ELU |QWHP RODQ EX úHPD % PDWULVOHULQGHNL NDUúÕOÕNOÕ SLNVHOOHUL Q ERXWOX YHNW|UOHU R QÕQ NRQWUDVW GH÷HULQLQ |OoPQGH

ED÷ÕQWÕVÕ NXOODQÕOPÕúWÕU OXúWXUPDNWDGÕU 0DWULVOHULQ :DQJ WDUDIÕQGDQ |QHULOGL÷L úHNLOGH S S DUÕN RODUDN ROXúWXUXOPDVÕ HULQH NDUúÕOÕNOÕ HOHPDQODUÕQÕQ ROXú D

WXUGX÷X YHNW|UOHULQ VÕQÕUOÕ ELU UDVJHOHOLN NXOODQÕODUDN VHoLOPHVL S HQLGHQ DSÕODQGÕUÕODQ UHVPLQ GR÷UXOX÷XQX DUWÕUDFDNWÕU % PDW Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 70

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION ULVOHULQL ROXúWXUPDN LoLQ |QHULOHQ |QWHP ùHNLO ¶GH YHULOPHN 6WHLQEHUJ |QWHPL LOH DOQÕ] VLDK YH EHD] SLNVHOOHUGHQ ROX WHGLU 2ULMLQDO J|UQWQQ 1u0 ERXWODUÕQGD ROGX÷X YDUVDÕO úDQ J|UQWH G|QúWUOHUHN NXOODQÕOPÕúWÕU +HU LNL |QWHP GH PÕúWÕU 0DWODE RUWDPÕQGD SURJUDPODQPÕúWÕU 7HVWOHU ,QWHO &RUH *|VWHULPGH % PDWULVOHULQLQ NDUúÕOÕNOÕ HOHPDQODUÕQD HUOHúWLUL 'XR *+] LúOHPFLOL YH *% 5$0¶L RODQ WDúÕQDELOLU ELU OHFHN RODQ GH÷HUOHUL LoHUHQ YHNW|U Y LOH J|VWHULOPHNWHGLU 9 ELOJLVDDU ]HULQGH JHUoHNOHúWLULOPLúWLU øúOHWLP VLVWHPL RODUDN YHNW|UQQ LoHUL÷L ( LOH J|VWHULOHQ YHNW|U X]DÕQGDQ VHoLOHQ :LQGRZV ;3 3URIHVVLRQDO NXOODQÕOPÕúWÕU UDVJHOH ELU YHNW|UQ LoHUL÷L RODFDNWÕU ( X]DÕQÕQ ROXúWXUXOPDVÕ HVQDVÕQGD WRSODP SD VDÕVÕQÕQ oLIW YHD WHN ROPDVÕ GXUXPX J|] |QQH DOÕQPDNWDGÕU dLIW ROPDVÕ GXUXPXQGD GH÷HU DWDPDGD NXOODQÕODFDN YHNW|UOHU NPHVL HOHPDQODUÕQÕQ +DPPLQJ D÷ÕUOÕN ODUÕ WRSODP SD VDÕVÕQÕQ DUÕVÕQD HúLWWLU P Q LIDGHVL +DPPLQJ D÷ÕUOÕ÷Õ Q RODQ u Q ERXWXQGDNL YHNW|UOHUL WHPVLO HWPHNWHGLU %X GXUXPGD WHN VDÕ RODQ ELU Q GH÷HU LoLQ ( N PHVL P ¬Q ¼ P ¬Q ¼ GH÷HUOHULQGHQ ROXúDFDNWÕU 8JXQ ELU úHNLO GH ROXúWXUXODQ ( NPHVLQGHQ UDVJHOH VHoLOHQ ELU YHNW|U GH÷HUL ùHNLO u ENO÷QGHNL WHVW J|UQWV QL WDúÕDQ Y YHNW|UQQ LoHUL÷L % PDWULVOHULQLQ R DQ LúOHP J|UPHNWH RODQ NDUúÕOÕNOÕ SLNVHOOHULQLQ LoHUL÷LQL ROXúWXUDFDNWÕU % 'H÷HUOHQGLUPH LoLQ KHU LNL |QWHP WDUDIÕQGDQ HQLGHQ DSÕ PDWULVOHULQLQ M YH N LOH J|VWHULOHQ NRRUGLQDWODUÕQGDNL SLNVHO ODQGÕUÕODQ UHVLPOHULQ GR÷UXOXN RUDQÕ GLNNDWH DOÕQPÕúWÕU 'R÷UX GH÷HUOHUL Y YHNW|UQQ LoHUL÷LQH XJXQ RODUDN GROGXUXOXU %| OXN RUDQÕQÕ EHOLUOHHELOPHN LoLQ 3615 GH÷HUOHUL KHVDSODQPÕú OHOLNOH JL]OL J|UQWQQ HQLGHQ DSÕODQGÕUÕOPDVÕ DúDPDVÕQGD Q WÕU 6DELW ELU Q GH÷HUL LoLQ HQLGHQ DSÕODQGÕUPD DúDPDVÕQGD SD LoHULVLQGHQ VHoLOHFHN UDVJHOH LNL SDÕQ UHWPH RODVÕOÕ÷Õ ROXúDELOHFHN &Q IDUNOÕ GXUXP J|] |QQH DOÕQPÕúWÕU .RPELQDV NVHOWLOPLú RODFDNWÕU RQODUÕQ ;25¶ODQPDVÕ VRQXFX HOGH HGLOHQ J|UQWOHULQ RULML QDO J|UQWGHQ IDUNÕ GR÷UXOXN RUDQÕ KDNNÕQGD RUXP DSÕOD LI Q $ ELOPHVLQL VD÷ODPÕúWÕU 3615 GH÷HUOHULQLQ KHVDSODQPDVÕ LoLQ ( ^P ` Q NXOODQÕODQ LIDGH 'HQNOHP ¶GH YHULOPLúWLU . Q &Q 0DNV 3615 ORJ G% Y ^Y L Y L ( L ^ . `` 1 06( 0

Y L ^Y L M M ^ Q ` ` 06( 1u0 ¦¦ [ L M LM D LM

LI Q $ ( ^ P¬ Q ¼ P ¬Q ¼ ` 0DNV J|UQWGHNL SLNVHOOHULQ VDKLS RODELOHFH÷L SDUODNOÕN . & Q & Q GH÷HUL DUDOÕ÷ÕQÕQ VW VÕQÕUÕQÕ J|VWHULU 0DNDOHGH LúOHQLOHQ J| ¬Q ¼ ¬Q ¼ UQWQQ VLDK EHD] ROPDVÕ VHEHEL LOH EX GH÷HU RODUDN DOÕQ Y ^Y L YL ( L ^ . ` ` PÕúWÕU 9HULOHQ LIDGHGH 3615 GH÷HUL 1u0 ERXWODUÕQGDNL ; Y L ^Y L M M ^ Q ` ` LOH J|VWHULOHQ JL]OL J|UQWQQ $ LOH J|VWHULOHQ RULMLQDO J|UQ % ^% L L ^ Q ` ` WGHQ QH NDGDU IDUNOÕ ROGX÷XQXQ ELU |OoWGU 'DKD NVHN 3615¶H VDKLS HQLGHQ DSÕODQGÕUPD VRQXFX ROXúDQ J|UQW % L ^% L MN M ^ 1 ` N ^ 0 `` RULMLQDOH GDKD oRN EHQ]HPHNWHGLU [LM YH DLM VÕUDVÕOD WHVW YH % L MN Y L ^ Q ` P P L UDQG u .

RULMLQDO J|UQWQQ L M

úHPDODU LoLQ IDUNOÕ SDÕQ DUDODUÕQGD ROXúWXUDELOHFHN ROGX÷X IDUNOÕ NRPEL VLDK SLNVHOOHUL NRGODPDGD NXOODQPÕú ROGX÷X NPH ED÷ÕQWÕVÕ LOH QDVRQXQ UHWHFHN ROGX÷X HQLGHQ DSÕODQPÕú UHVLPOHUH LOLú Hú GH÷HUGLU %X QHGHQOH DVOÕQGD |QHULOHQ |QWHP VRQXFXQGD NLQ 3615 GH÷HUOHUL YHULOPHNWHGLU ùHNLOGHQ GH J|UOG÷ JLEL ROXúDQ % PDWULVOHULQLQ LoHUL÷L WPOH VLDK SLNVHOOHUGHQ ROXú :DQJ WDUDIÕQGDQ |QHULOHQ |QWHPLQ HQLGHQ DSÕODQGÕUGÕ÷Õ WX÷X YDUVDÕODQ JL]OL ELU J|UQW ]HULQGH Q

2*63 |QWHPL J|UQWOHULQ 3615 GH÷HUOHUL G% G]HLQGH ROPDVÕQD NDUúÕ NXOODQÕODUDN UHWLOHQ SDODUOD HúGH÷HUGLU OÕN |QHULOHQ |QWHPOH G% G]HLQH NVHOPLúWLU *|VWHULOHQ VHULOHUGH PDNVLPXP GH÷HU ROXúXPX VD÷ODDQ SD NRPELQDV ,9 6218d/$5 RQODUÕQÕQ UHWPLú ROGX÷X VRQXo J|UQWOHU ùHNLO D YH ùHNLO E¶GH J|VWHULOPHNWHGLU gQHULOHQ |QWHPLQ :DQJ¶ÕQ |QWHPLQGHQ VWQO÷Q J|V WHUHELOPHN DPDFÕ LOH DSÕODQ WHVWOHUGH ùHNLO ¶GH YHULOHQ u ERXWODUÕQGDNL UHQNVL] ³/HQD´ J|UQWV )ORG Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 71

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION 3615 G%

:DQJ Q

gQHULOHQ <|QWHP ùHNLO 3615 GH÷HUOHUL LOH |QWHPOHULQ NDUúÕODúWÕUPD VRQXoODUÕ U ùHNLO D

E SÕODQGÕUÕODQ J|UQWOHU < /HH <. :DQJ 5= ³6KDULQJ PXOWLSOH JUDSK´ 3DWWHUQ 5HFRJQLWLRQ YRO QR 9'(ö(5/(1'ø5 <DSÕODQ oDOÕúPDGD ÕOÕQGD : 5 'H 6DQWLV $ ³&RORUHG YLVXDO FUSWRJUDSK PLú RODQ WHNQL÷LQ UHWPLú ROGX÷X HQ J´ 7KHRUHWLFDO &RPSXWHU 6FLHQFH YRO QR UQWQQ 3615 GH÷HULQLQ LLOHúWLULOP DQG + 7DQDND ³,PDJH 6L]H ,QYDULDQW 9LVXDO NDSVDPGD |QWHP WDUDIÕQGDQ NXOODQ 7UDQVDFWLRQ RQ )XQGDPHQWDOV QR SS UHWLPL LoLQ HQL ELU |QWHP |QHULOP DO VHFUHW VKDULQJ VFKHPHV XVLQJ SUREDELOLVWLF GD YXUJXODQGÕ÷Õ JLEL KHU LNL |QWHP QLWLRQ /HWWHUV YRO QR SS ± ÷Õ UHVLPOHU DUDVÕQGD VDÕVDO YH J|UVHO VFR DQG $ 'H 6DQWLV ³3UREDELOLVWLF 9LVXDO øOHUOHHQ oDOÕúPDODUGD LOJLOL |QWHPL ´ 7KH &RPSXWXWHU -RXUQDO YRO QR SS OHúWLULOPHVL DPDoODQPÕúWÕU 0D DQG ; /L ³7ZR 6HFUHW 6KDULQJ 6FKHPHV DWLRQV´ 3DWWHUQ 5HFRJQLWLRQ YRO SS .$<1$./$5 >@ * 5 %ODNOH ³6DIHJXDUGLQJ &USWRJUDSK 1DWLRQDO &RPSXWHU &RQIHUHQFH $PHULFDQ )HGHUDWLRQ RI ,QIRUPDWLRQ R 3URFHVVLQJ 6RFLHWLHV 3URFHHGLQJV 1HZ <RUN 86$ SS -XQH >@ $ 6KDPLU ³+RZ WR 6KDUH D 6HFUHW´ &RPPXQLFDWLRQV RI $&0 YRO 0 QR SS >@ 0 1DRU $ 6KDPLU ³9LVXDO &USWRJUDSK´ $GYDQFHV LQ &USWRORJ (XURFUSW¶ /1&6 YRO SS >@ +RX <& ³9LVXDO FUSWRJUDSK IRU FRORU LPDJHV´ 3DWWHUQ 5HFRJQLWLRQ YRO SS >@ /LQ && 7VDL :+ ³9LVXDO FUSWRJUDSK IRU JUDOHYHO LPDJHV E GLWKHULQJ WHFKQLTXHV´ 3DWWHUQ 5HFRJQLWLRQ /HWWHUV YRO QR SS ± >@ 6KX 6 - ³(IILFLHQW YLVXDO VHFUHW VKDULQJ VFKHPH IRU FRORU LPDJHV´ 3DWWHUQ 5HFRJQLWLRQ YRO QR SS ± >@ :X & & &KHQ / + ³$ VWXG RQ YLVXDO FUSWRJUDSK´ 0DVWHU 7KHVLV ,QVWLWXWH RI &RPSXWHU DQG ,QIRUPDWLRQ 6FLHQFH 1DWLRQDO &KLDR 7XQJ 8QLYHUVLW 7DLZDQ >@ :X +& &KDQJ &&³6KDULQJ YLVXDO PXOWLVHFUHWV XVLQJ FLUFOH VKDUHV´ &RPSXWHU 6WDQGDUGV ,QWHUIDFHV YRO QR SS ± Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 72

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Bir Steganografi Sisteminin FPGA Üzerinde Gerçeklenmesi Betül ELÇİ, Berna ÖRS, Volkan DALMIŞLI Bu durumdan yola çıkılarak steganografide resmin içine veri Özet— Bu çalışmada, öncelikle steganografinin içeriği ve gizlenirken çeşitli yöntemler geliştirilmiştir [1]. uygulama alanları incelenmiştir. İlk olarak bir kölenin saçının Bu çalışmada bu yöntemlerden üç tanesi kullanılmıştır. kazıtılarak, bilginin dövme şeklinde kölenin kafa derisine işlenmesi Bunlardan birincisinde bir resmi oluşturan tüm piksellerin son ve kölenin saçı yeteri kadar uzadığında bilginin tekrar elde bitleri değiştirilmiş ve bu değişimin bir fark yaratmadığı edilmesi ile başlayan, veri gizleme bilimi olarak adlandırılan anlaşılmış, ikincisinde ilk pikselden başlanarak veri gizlenmiş steganografi, günümüzde teknolojik gelişmelerle çok ileri boyutlara ulaşmıştır. Veriyi gizlerken ve veriyi tekrar elde ederken daha sonra da aynı şekilde çözümlenmesi yapılmıştır. Son kullanılan yöntemler her geçen gün gelişme göstermektedir. yöntemde ise verinin hangi piksellere gizleneceğini belirten bir Böylece verinin en güvenli şekilde iletimi sağlanmaya steganografik anahtar kullanılarak veri gizlenmiş ve tekrar elde çalışılmaktadır. edilmiştir. Bu çalışmada incelenen üç steganografi yöntemi uygulanmıştır. Bu yöntemleri gerçeklerken VHDL donanım tanımlama dili II. STEGANOGRAFİ kullnılmıştır. Steganografi sisteminin FPGA üzerinde tasarımı ve gerçeklenmesi sağlanmıştır. Gerçeklenen üç yöntemin sonuçları Steganografi veriyi gizlemenin ve zararsız taşıyıcılarla veriyi kıyaslanarak avantajları ve dezavantajları yorumlanmıştır. taşımanın sanatıdır [1]. Kelime anlamı olarak kökleri Anahtar Kelimeler—Steganografi, FPGA, VHDL ve γραΦειν’ye ait olmakta ve Yunan alfabesinden gelmekte olup kaplanmış yazı anlamına gelmektedir. Yunanca steganos I. GİRİŞ sözcüğü gizli, saklı ve grafi sözcüğü çizim ya da yazım demektir. Bu sanat var olan veriyi gizlemede birçok gizli B u çalışmada, steganografi sisteminin FPGA üzerinde tasarımı ve gerçeklenmesi sağlanmıştır. Eski Yunancada gizlenmiş yazı anlamına gelen steganografi, bilginin haberleşme tekniği kullanmaktadır. Steganografi eski bir el sanatı olmasına rağmen günümüzde bilgisayar teknolojisiyle görünürlüğünü gizleme bilimine verilen isimdir [1]. yeni bir içerik kazanmıştır. Bilgisayar tabanlı steganografi Günümüzde karşılaşılan en büyük yanlış anlama teknikleriyle veriyi yeni gizleme teknikleri geliştirilmiştir. steganografinin şifreleme ile karıştırılmasıdır. Veriyi gizleme Bilgiler metin formunda, sayısal 1 ve 0 olarak ya da başka sanatı olarak bilinen bu bilimin şifrelemeye göre en büyük çeşitlerde iletime geçerken verinin kime ait olduğunu belirten üstünlüğü bilgiyi gören bir kimsenin gördüğü şeyin içinde bir çeşit parmak izi bırakırlar. Steganografi bir çeşit kriptografi önemli bir bilgi olduğunu fark edemiyor olmasıdır, böylece yötemi gibi düşünülebilir. Her ikisi de haberleşme sırasında içinde bir bilgi aramaz oysa bir şifreli mesaj, çözmesi zor olsa kaydedilmiş veriye bilgi ekleyerek çalışırlar. Kriptografi bile, gizemi dolayısıyla ilgi çeker. Çünkü bir bilginin teknikleri bilgiyi belirli algoritmalara dayanarak şifreleyip gizlendiği bellidir [3]. Günümüzde steganografi bilimi güvenli bir örtü yaratmayı amaçlar. Steganografi ise sayesinde ses, video, resim dosyalarına, disketlere ve kriptografiden farklı olarak veriyi örterek gizlemeyi sağlar. haberleşme kanallarına istenilen veri gizlenebilmektedir [1]. kriptografide şifreli metin olarak adlandırdığımız örtülü yapı Çalışmada steganografinin resim alanındaki uygulamaları dikkat çekebilirken steganografide kendini gizlediğinden donanımsal olarak gerçeklenmiştir. dikkat çekmemeyi sağlar. Bu da verinin güvenli bir şekilde Steganografide resmin içine veri gizlerken en çok kullanılan taşınması açısından önemli ve yararlı bir durum yöntem resmi oluşturan piksellerin en anlamsız bitlerinin oluşturmaktadır [7]. kullanıldığı uygulamalardır. Bunun nedeni en düşük anlamlı bitte yapılan değişiklikleri insan gözünün fark edememesidir. III. STEGANOGRAFİ UYGULAMASI Yani en anlamsız bitlere saklanan veriyi içeren resimle, esas Günümüzde resim alanında yapılan steganografi resim yan yana konulduğunda gözle görülür hiçbir fark yoktur. uygulamalarında çeşitli algoritmalar ve yöntemler kullanılmaktadır. Bunlardan en yaygın olanı resmi oluşturan B. Elçi İstanbul Teknik Üniversitesi öğrencisidir. piksellerin en düşük anlamlı bitinde yapılan değişiklikleri B. Örs Istanbul Teknik Universitesi, Elektrik-Elektronik Fakultesi, kapsar. Bu çalışmam kapsamında bu yöntemlerden üç tanesi Elektronik ve Haberlesme Muhendisligi Bolumu, 34469 Maslak, Istanbul’da Yardımcı Doçent Dr. olarak görev yapmaktadır. Tel: 0212 285 36 03, Fax: yer almaktadır. 0212 285 35 65, url: www2.itu.edu.tr/~orssi. V. Dalmışlı İstanbul Teknik Üniversitesi öğrencisidir. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 73

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION A. Uygulamada Kullanılan Yöntemler eskisi kıyaslanırsa arada gözle görülür bir fakın olmayacağıdır Çalışmada resmi oluşturulan piksellerin son bitinde yapılan [7]. değişikliklerle üç yöntem gerçeklenmiştir. Gerçeklenme Şekil 2’deki kaynak resmin ilk 10×10’luk kısmının aşamasından sonra elde edilen resimlerle esas resimlerle piksellerine bakacak olursak her pikselin son biti 1 ise 0, 0 ise kıyaslandığında gerçekten gözle görülür bir fark olmadığı 1 yapılarak yöntem gerçeklenmiştir. Bunun için her hex yapısı ortaya çıkmıştır. Çalışma esnasında en yüksek verim ikilik düzende düşünülmüştür. Bu işlemin resimdeki her alınabilmesi için resimler için kayıpsız bir sıkıştırma piksele uygulanması sağlanmıştır ve Şekil 3’deki matris elde algoritması olan bitmap formatı seçilmiştir. edilmiştir. 1) En Düşük Anlamlı Bitlerin Tümünün Değiştirilmesi Yöntemi 43 4C 77 31 04 01 01 01 01 01 Bu yöntemle steganografinin kapsamında anlatılanları 01 01 9B 00 01 01 15 00 01 01 gerçekleyerek gerçekten kullanılan ve değişen resimler 01 01 01 01 01 01 C5 0F 01 01 arasında fark olmadığını görülmesi sağlanmıştır. Öncelikle 01 01 01 01 01 01 C1 87 49 C5 resimler piksellerden oluştuğu ve matris halinde bu pikseller 87 48 C0 85 47 C3 84 48 C0 84 dizildiği için bir metin dosyasına aktarım işlemi yapılması 46 C0 87 4A C0 85 47 C5 85 47 gerekiyordu. Bunun için wnbrowse editörü ile Şekil 1’deki C0 87 47 C2 87 44 C1 87 49 C3 resmin hex formatında görülmesi sağlanmıştır. 88 45 C5 86 42 C2 87 44 C2 84 48 C5 86 44 C3 89 46 C4 8B 48 5 85 47 C3 86 46 C1 47 BC 84 46 C3 86 miş Resmin İlk 10×10’luk Kısmının Görünümü tirilmesi için kombinezonsal bir devre undan sonra gereken işlem 205×138 den resim elde etmektir. Ancak bu ilmeden önceki resimle farkının olup Şekil 1 F15 Uçak Resm mektedir [2]. nan devrenin benzetimi devreye Şekil v Oluşan 205×138’lik resim içinde l değerleri giriş olarak verilerek pikseller içeren bir yapı oluşmuştur. m piksellerin son bitleri değişmiş haliyle sadece ilk 10 x 10’luk kısmı alınmıştır. 4’deki gibidir. Burada 8 bitlik yapılardan yani b matris görülmektedir. Bu matriste her s oluşmaktadır. 8 bitlik bu yapıya resimde piksel ad boyutu değiştikçe matris boyutu da dol piksel sayısı da değişmektedir [2]. 42 4D 76 30 05 00 00 00 9A 01 00 00 14 01 00 00 00 00 00 00 00 00 C4 0E 00 00 Şekil 4 F15 Uçak Resmi 00 00 00 00 00 00 C0 86 48 C4 86 49 C1 84 46 C2 85 49 C1 85 Bu iki resimde burada da görüldüğü gibi gözle görülür 47 C1 86 4B C1 84 46 C4 84 46 hiçbir fark yoktur. C1 86 46 C3 86 45 C0 86 48 C2 2) Bir Veriyi En Düşük Anlamlı Bitlere Gömme ve Elde 89 44 C4 87 43 C3 86 45 C3 85 Etme Yöntemi 49 C4 87 45 C2 88 47 C5 8A 49 Bir resmi oluşturan tüm piksellerin son bitlerinin değişimi n C2 86 4A C4 84 46 C2 87 47 C0 resimde fark edilir bir ayrım yaratmadığından ilerleyen 82 45 BF 81 46 BD 85 47 C2 87 steganografik çalışmalarda bu en düşük anlamlı bitlerle veri Şekil 2 Orijinal resmin ilk 10×10’lık kısmının heksadesimal f formatında gömmeye başlanmıştır. Bu konuda çeşitli algoritmalar Görünümü geliştirilmiştir [3]. Bu çalışmada resmin içine veri gizlenmiş ve daha sonra bu resim iletilmiştir. Resmi alan kullanıcı resmin Steganografideki en yaygın yöntem olan en düşük anlamlı içine gömüldüğü gibi veriyi çıkartmış ve böylece haberleşme bitin değiştirilerek uygulanmasını burada matriste sağlanmıştır. Bu yöntemde veriyi gömme işlemi Algoritma gerçeklenmesi sağlanmıştır. Yöntemde belirtilen yapıya göre 1’de gösterildiği gibidir. bir resmi oluşturan piksellerin her birinin son bitlerini r Bu yöntemde önceki yöntem gibi resmin wnbrowse editörü değiştirilirse yani 0 ise 1, 1 ise 0 yapılırsa yeni oluşan resimle gibi bir araç ile hex formatında gösterimi sağlanır ve bir metin Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 74

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION dosyasına kaydedilir. Elde edilen bu esas resim cover olarak Burada algoritmada da belirtildiği gibi resmin bitlerini ifade edilir. Esas resmin baytlar ci olarak ifade edilmektedir. kontrol eden bir yapı yoktur. Yani i karakterinin ilk biti 0, aynı Steganografik tanım olarak steganografik anahtar ifadesi si zamanda resmin ilk baytının da son biti 0 diyen bir kontrol olarak belirtilmiştir. Resmin içine gömülmek istenen verinin mekanizmasına gerek yoktur. Saklamak istediğimiz bilgi ne ise bitlerini ifade etmek için mi kullanılmıştır. Bu algoritmaya onu oluşturan bitleri teker teker piksellerin son bitlerine göre veri gizlenirken resmi oluşturan ilk baytın son bitinde yazdırmak yeterlidir [2]. değişiklik yapılarak veri gömülmeye başlanır. Yani veriyi Veriyi gömme işlemi bittikten sonra tekrar Matlab programı gömme işlemi ilk baytın en düşük anlamlı bitinden başlanarak kullanarak bu matrisi bitmap formatında resme dönüştürürüz. sırayla hangi baytın en düşük anlamlı bitine kadar gidiyorsa Yeni oluşan resimle eskisi kıyaslandığında gözle görülür bir yapılır. Bu çalışmada, veri gizlenirken alfabedeki harflerin fark olmamaktadır. ikilik düzende karşılıkları şeklinde bir dönüşüm kullanılması Bu içinde veri gömülü resim iletilmek istenen kişiye gerekmektedir. Bunu sağlamak için ascii karakter iletildiğinde o kişinin bu bilgiye ulaşması için tekrar o bilgiyi kodlamasından yararlanılmıştır [2]. Karşı taraf veriyi elde elde etmesi gerekir. Bunun için kullanılan algoritma aşağıdaki ettiğinde ikilik düzenin karşılığını alfabede bulunan 29 harfin gibidir. karşılığı olarak elde etmesi içinse Matlab programında yazılan kod parçası kullanılmıştır. Örnek bir uygulama olarak olarak Algoritma 2 itu sözcüğünü gizlemeye çalıştığımızda ilk olarak yapılan işlem itu kelimesinin ascii karakter kodlamasında karşılığını Giriş: s = (s1s2 L sn )8 bulmak olacaktır. Çıkış: m = (m1m2 L ml )2 Algoritma 1 for i = 1,L, l mi ← si 8 Giriş: c = (c1c2 L cn )8 , m = (m1m2 L ml )2 Çıkış: s = (s1s2 L sn )8 İçine veri gizlenmiş olan resim iletilmek istenen kişinin for i = 1,L, l eline geçtiğinde veriyi gönderenden gerekli bilgileri önceden aldığından, veriye ulaşmak için Algoritma 2’nin kullanılması si ← ci yeterlidir. Bu gerekli bilgi verinin alfabetik olarak ya da bit si 8 ← mi sayısı olarak uzunluğunu içermektedir. Veri uzunluğunu bilen kullanıcı, verinin içerdiği bit sayısı for i = l + 1,L, n kadar matrisi oluşturan baytlardan baştan başlayarak alır. si ← ci Aldığı bu baytların son bitlerini bir metin dosyasına çıkartır ve ascii karakter kodlamasına göre her baytın karşılığını itu kelimesinin ascii karakter kodlamasındaki karşılığı alfabedeki harfler olarak elde etmelidir [2]. Bunun için de bulunur. Buna göre i = 69, t = 74, u = 75 şeklinde belirlenir. Matlab programında her harfin ascii karakter kodlamasını Burada 69, 74 ve 75 şeklinde gördüğümüz sayılar hex içeren bir kod parçası kullanarak bunun elde edilmesi sağlanır. formatında yapılardır. Veriyi resmin son bitlerine gizlemek Günümüzde steganografinin çok fazla gelişme imkânı için ikilik düzendeki ifadesine ihtiyacımız var. Bu nedenle itu bulmasıyla buna karşı geliştirilen atak türlerinde de gelişme sözcüğünün ikilik düzendeki karşılıkları i = 0110 1001, t = olmuştur. Bu nedenle böyle bir veri örneğin internet ortamında 0111 0100, u = 0111 0101 şeklinde belirlenir. Bundan sonraki dolaşırken çok da fazla güvenli olmaz. Çünkü resmin içinde işlemi bu bitleri verinin gizleneceği resme ilk baytın son veri var mı diye bakan analiz yapmak isteyen kişi ilk baytın bitlerinden başlayarak sırayla gömmektir. Alfabede bulunan üç son bitlerinden başlayarak bir çözümleme yapmaya çalışabilir. harfi gizlemek için her bir harfin 8 bitlik karşılığı olduğundan Bu da verinin güvenliğini önemli ölçüde tehdit eden bir yapı 24 bite ihtiyaç vardır. Bu da resmimizin ilk baytından oluşturur. Bu nedenle steganografinin resim alanındaki birçok başlanarak sırayla 24 baytın son bitlerine veriyi gizlemek çalışmasında bu yöntem kullanılsa da saldırı ve analiz anlamına gelmektedir. F15 uçak resminin ilk 10×10’luk tekniklerinin de geliştirilmesiyle veriyi gömme - çıkarma kısmındaki ilk bayt, 42 idi. Yani 0100 0010 şeklinde ikilik alanında yeni algoritmalar geliştirilmiştir [2,3]. düzende ifadesi vardır. Gizlemek istediğimiz “itu” sözcüğünün ise ilk karakteri i = 0110 1001 şeklinde ifade edilmişti. Demek ki ilk baytın son bitine yani 42 in son bitine i karakterinin ilk biti gömülmelidir. 42 = 0100 0010 olduğundan son bit 0’dır. i = 0110 1001 olduğundan ilk bit 0’dır. Demek ki kaynak resmin ilk baytında bir değişiklik olmayacaktır. Yine 0 olarak kalacaktır. Bu şekilde bu durum sırayla devam edecektir. Daha sonraki aşama i karakterinin ikinci biti olan 1’i ana resmin ikinci baytının son bitine gömmek olacaktır. Gömmek istenilen 24 bit resmin ilk baytından başlanarak 24 baytın en düşük Şekil 5 Veri gömülmeden önce anlamlı bitlerine yerleştirilecektir. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 75

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION gerçekten diğer algoritmalardan daha hızlı ve kolay bir yol olmasıdır. Rastgele aralık yöntemine dayalı olarak steganografik anahtarın uzunluğu gizlenmek istenen verinin uzunluğu ile aynı olmalıdır. Bu yöntemde veriyi gömme işlemine bir önceki yöntemdeki gibi başlanır [2]. Burada gizlenmek istenen verinin bitleri yine resmin piksellerinin en son bitlerine gömülecektir. Yalnız bu yöntemde ilk bayttan başlanarak sırayla gömme işlemi yapmak yerine hangi baytlara verinin gizleneceğini gösteren bir Şekil 6 Veri gömüldükten sonra steganografik anahtarın kullanıldığı denklem yer almaktadır [2]. Burada saklamak istediğimiz bilgi toplam 24 bitten Görüldüğü gibi itu sözcüğü gömülmeden önce Şekil 6’daki oluşmaktadır. Bu da oluşturmamız gereken anahtarın 24 bit resimle, gömüldükten sonraki halini yani Şekil 7’deki resmi uzunluğunda olması gerektiğini belirtir. Bu steganografik yan yana koyduğumuzda gözle görülemeyecek kadar değişim anahtar belirlendikten sonra yönteme dayalı olarak veriyi oluştuğundan fark edilememektedir. resmin hangi baytlarına saklanıldığını belirtildiği denklem 4 3) Rastgele Aralık Yöntemi kullanılır. Bir önceki yöntemin zayıf yanı iletilmek istenilen verinin başkaları tarafından ele geçirilme durumunun olmasıydı. Bu j1 = k1 (4) ihtimali azaltmak için geliştirilen algoritmalardan birisi ji = ji −1 + ki mod n “Rastgele Aralık Yöntemi” dir. Bu yöntemin bir önceki yöntemden farkı gizlenecek verinin bitlerinin ilk bayttan Bu denklemde ji rastgele belirlenmiş steganografik başlanarak sırayla en düşük anlamlı bitlere yüklenmeyecek anahtarı buna bağlı olarak 4 denklemini kullanarak resmin olmasındandır. Rastgele Aralık Yöntemi’nde hangi piksellere hangi baytlarına verinin gizleneceğini belirten bir indistir [2]. verinin gizleyeceği belirli denklemlere bağlıdır [2]. Bu Örneğin Matlab programını kullanarak itu sözcüğün i harfini yöntemde kullanılan algoritma aşağıdaki gibidir. gizlemek için 8 tane rastgele sayı yani 4 denklemindeki k değerlerini belirlensin. Bu sayılar 1, 3, 12, 56, 9, 10, 18, 22 Algoritma 3 şeklinde belirlendi. Buradan anlaşıldığı gibi k değerleri sırasıyla rastgele belirlenen 8 değerden oluşmaktadır. Giriş: c = (c1c2 L cn )8 , m = (m1m2 L ml )2 Belirlenen bu k değerlerinden yararlanarak verinin Çıkış: s = (s1s2 L sn )8 gizleneceği j değerleri 4 denklemine göre belirlenir. for i = 1,L, n k1 =1 → j1 =1 si ← ci k2 =3 → j2 =j1 + k2 =4 Rastgele 1 ≤ ki ≤ n olmak üzere l adet k değeri k3 =12 → j3 =j2 + k3 =16 belirlenir. k4 =56 → j4 =j3 + k4 =72 j1 = k1 k5 =9 → j5 =j4 + k5 =81 for i = 1,L, l k6 =10 → j6 =j5 + k6 =91 ji = ji −1 + ki mod n k7 =18 → j7 =j6 + k7 =109 for i = j1 , L, jl k8 =22 → j8 =j7 + k8 =131 si 8 ← mi Belirlenen k dolayısıyla j değerleri resmin bayt Bu yöntemin en önemli özelliği veri gizlenirken bir numaralarını göstermiş oldu. Buradan çıkarılması gereken steganografik anahtarın kullanılmasıdır. Steganografik anahtar sonuç i harfini gizleme işleminin, resmin 1, 4, 16, 72, 81, 91, verinin rastgele olarak hangi piksellerin en düşük anlamlı 109 ve 131 numaralı baytlarında gerçekleşmesi gerektiğidir. bitleri e gizleneceğini belirtir. Burada önemli olan hem veriyi n Numarası belirtilmiş baytların en düşük anlamlı bitlerine gönderen hem veriyi alan kişi için steganografik anahtardır. İki sırasıyla 0110 1001 bitleri gömülür. Aynı işlemler diğer taraf da aynı steganografik anahtar olmadan veri iletimini karakterler için de steganografik anahtar ve verilen denklem sağlayamazlar [2]. yardımıyla hangi baytlara gömme işleminin yapılacağı Çalışma sırasında steganografik anahtar belirleme de çeşitli belirlenerek uygulanır. Gömme işlemi rastgele aralık yöntemler araştırılmıştır. Bu yöntem dahilinde Matlab yöntemine göre gerçeklenmiştir. İçine veri gömülen resim programı ile rastgele sayılar üretilmiştir. Bu sayıların iletilmek istenen yere ulaştığında bu veriyi tekrar elde etmek steganografik anahtar olmasına karar verilmiştir. Matlab için de bu yöntem dahilinde bir algoritma vardır. programı kullanılarak bu anahtarı üretilme sebebi bunun Burada unutulmamalıdır ki hem veriyi gönderen hem veriyi alan kişilerde aynı steganografik anahtar bulunmaktadır [2]. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 76

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Steganografik anahtarın her iki tarafta da olduğu kabul haline getirildiğinde resimde gözle görülür bir fark olmadığı edilen bu yöntem gereği veriyi resimden çıkartma algoritması görülmüştür. Resmi oluşturan piksellerin en anlamsız bitine bir aşağıdaki gibidir. veri gömülüp tekrar elde etme işlemi yapıldı. Yani bir yerden bir yere verinin resim aracılığıyla güvenli bir şekilde Algoritma 4 taşınabileceği ve verinin tekrar gömüldüğü gibi çıkarılabileceği gösterildi ve FPGA üzerinde gerçeklendi. Giriş: s = (s1s2 L sn )8 , k1 , k2 ,L, kl Yapılan araştırmalar sonucunda steganografi teknikleri ve bu alanda kullanılan algoritmalar geliştikçe stegoanaliz Çıkış: m = (m1m2 L ml )2 tekniklerinin de zamanla geliştiği görülmüştür. Bu nedenle bu j1 = k1 algoritmanın aslında zayıf bir yanın olduğu belirtilmelidir. Bu zayıf yan veri gömülme işlemi sırasında ilk baytın en düşük for i = 1,L, l anlamlı bitinden başlanarak sırayla verinin gömülme işleminin ji = ji −1 + ki mod n uygulanmasındandır. Bu nedenle steganografi alanında kullanılan başka yöntemler de araştırılmış ve gerçeklenem için for i = j1 , L, jl rastgele aralık yöntemi seçilmiştir. Bu yöntemde veri u mi ← si 8 gizlenirken güvenliği sağlamak adına steganografik bir anahtar kullanılır. Kullanılan bu anahtar sayesinde algoritmaya bağlı olarak verinin hangi baytların en anlamsız bitine gizleneceği Algoritma 4’de ifade edildiği gibi gömülmüş veriyi tekrar belirlenir. Bu sayede elinde steganografik anahtar olmayan elde ederken öncelikle hangi bayt mesi çok güçtür. olduğunun bulunması gerekir. Bu nede her üç steganografi yöntemi VHDL anahtar değerleri olan kişi denklem 4 ılarak tasarlandı ve FPGA üzerinde yani hangi baytlara veri gizlendiğini be eri yapılarak sonuçların beklendiği gibi KAYNAKLAR Z. ve Jajodia S., 2001. Information Hiding : atermarking - Attacks and Countermeasures, tcolas, Fabien A. P., 2000. Information Hiding graphy and Digital Watermarking, London. on Hiding: Steganography and Watermarking, al Techniques for Information Security 2008. The Image Downgrading Problem, Şekil 7 Veri gizlenmeden en/steganography/image_downgrading/index.ht Şekil 8 Veri gizlendikten sonra Daha sonra belirlenen baytların en düşük anlamlı bitleri yan yana getirilerek gizlenmiş olan veri elde edilmiş olur [2]. Burada yapılması gereken son işlem elde ettiğimiz veriyi alfabe düzenine geçirmektir. Bunun için de bir önceki yöntem de olduğu gibi Matlab programı yardımıyla gerekli dönüşüm yapılır ve alfabetik karşılıklar elde edilir. Şekil 7 ve Şekil 8’de görüldüğü gibi algoritma gerçeklendikten sonra resmin içine veri gömüldüğünde gözle görülür bir fark olmamıştır. IV. SONUÇ İlk yöntem gerçeklendiğinde resmi oluşturan baytların en düşük anlamlı biti değiştirildiğinde ve yeni yapı tekrar resim Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 77

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Verileri Nota Kullanarak Şifreleme ve Ses Dosyası İçerisine Gizleme Muhammet Hamdi YAVUZ, Oğuz ERGİN şüpheleri azaltmak için taşıyıcı ses dosyasındaki en anlamsız Özet—Gizli tutulması gereken verilerin dışarıya açık bitleri saptamak suretiyle verileri bu anlamsız bitlere sistemlerle aktarılması veriyi ilgilendiren kişiler için büyük bir saklamanın daha iyi olacağını belirtmişlerdir [2]. Gopalan ise sorun teşkil etmektedir. Bu çalışmada veri şifrelemeye ve veri yapmış olduğu çalışmada her örnekteki bir biti gizli içerisine veri saklamaya farklı bir yaklaşım getirilmiştir. Önce verisindeki bitler ile değiştirmiştir [3]. Söz konusu gizli bilgi AES şifreleme algoritmasıyla şifrelenen veriler daha sonra müzik notalarına dönüştürülmekte, dönüştürülen bu notalar AES’nin kişiye özel olduğunda, ele geçmesi durumunda çok kötü S-kutusu’nu (S-box) güncellerken aynı zamanda bir ses sonuçlar doğurmayacağı zaman şifreleme veya steganografi dosyasındaki müziğin notalarına dönüştürülmeleri için gerekli yollarına başvurmak çoğu zaman yeterli olacaktır ancak bu olan veriler aynı ses dosyası içerisine seçilen bir anahtar gizli bilginin bir askeri bilgi veya devlet sırrı olduğu ve bir yardımıyla gizlenmektedir. Sonuçta ortaya şüphelenilmeyen ülkenin kaderini belirleyebileceği düşünüldüğünde bu fakat gizli verileri taşıyan bir şarkı çıkmaktadır. yöntemler tek başlarına hiçbir zaman yeterli olmayacak ve Anahtar Kelimeler—aes, güvenlik, kriptografi, müzik, nota, sürekli yeni teknikler geliştirilmeye devam edilecektir. Bu steganografi. çalışmada, gizli veri aktarımını daha güvenli hale getirebilmek için bazı bilinen teknikleri içeren yeni bir yöntem ortaya çıkarılmıştır. I. GİRİŞ Yapılan yeni yaklaşımın ilk aşamasında AES şifreleme yöntemi kullanılmaktadır. Rijndael algoritması ile 128 bitlik G ÜNÜMÜZ dünyasında gizli tutulması gereken bilgilerin dışarıdan erişilebilir sistemler vasıtasıyla, bilginin kaynağından başka bir yere aktarılması, bilginin sahipleri için veri parçaları 128, 192 veya 256 bitlik şifreleme anahtarları ile şifrelenmektedir [4]. İkinci aşamaya geçildiğinde şifrelenen şüphesiz ciddi sorunlar oluşturmakta ve bilginin gizli veriler, önceden belirlenmiş olan bir tabloya göre müzik kalmamasının etkileyeceği kitleler için çok önemli bir tehdit notalarına çevrilmekte ve ortaya, icra edildiğinde kulağa hoş unsuru olmaktadır. gelmesi tesadüfi olan bir nota dizisi çıkmaktadır. Gizli verinin Gizli tutulan veriler internet gibi herkese açık olan bir ağdan bir ses dosyası içerisine gizlenerek taşınması amaçlanmıştır. gönderildiği zaman üçüncü şahıslar tarafından erişilebilirdir. Bu ses dosyası herhangi bir şarkı olabilmektedir. Son durumda Bu tehlikeye karşı birçok şifreleme algoritması geliştirilmiş ve elde bulunan nota dizisinin anlamsız bir dizi nota olma hala dünyanın dört bir yanında kullanılmaktadır. Veriler ihtimali çok yüksek olacaktır. Bu nota dizisi ile öncelikle şifrelendiğinde hala veri sıfatındadırlar, sadece başka bir türe birinci aşamada AES şifrelemesi için kullanılan S-kutusu (S- dönüşmüş olarak nitelendirilebilirler. Veriyi ne şekilde eski box) [4] güncellenir ve bir sonraki aşama olan üçüncü haline dönüştürebileceklerini bilen kişiler tarafından eski aşamaya geçilir. Üçüncü aşamada ise bu notalar, taşıyıcı ses haline dönüştürülebilirler. Şifrelenmiş verilerdeki en büyük dosyasındaki müziğin notalarına dönüştürülür. Bu aşamada sıkıntılardan birisi üçüncü şahıslar tarafından ele esas olan notayı dönüştürürken eldeki nota ve hedef nota geçirildiklerinde ortada şifrelenmiş bir veri olduğunun arasındaki üçüncü notanın saptanmasıdır. Asıl taşınacak olan görülmesidir. Yeterince zaman harcayan birisi şifrelenmiş veri bu üçüncü nota dizisidir. Üçüncü nota dizisi saptanarak gizli bilgilere, veriyi özgün haline dönüştürerek erişebilir. Bu önceden hazırlanan tablodaki karşılığı olan onaltılık değerine durumu göz önünde bulunduran ve gizli veri aktarımı yapmak dönüştürülmektedir. Dördüncü ve son aşamada ise son isteyen bazı insanlar steganografi (veri içerisine veri gizleme) durumda elde edilen veriler taşıyıcı ses dosyasının içerisine yoluna başvururlar. Burada aktarılan bilgiyi eline geçirmiş gizlenmektedir. olan kişinin şifrelenmiş bir veri olduğunu görmemesi ve eline Bütün bu işlemleri bir boru hattı tasarlayarak yaptırmak geçirdiği verilerden şüphelenmemesi şifrelemeye göre avantaj zaman tasarrufu sağlayacaktır. Örneğin ikinci aşamanın sağlamaktadır [1]. Pooyan ve Delforouzi çalışmalarında, bu sonunda elde edilen nota dizisi S-kutusu’nu güncellerken aynı anda üçüncü aşamanın başlaması tasarımın verimli çalışması için çok uygun olacaktır. Muhammet Hamdi Yavuz, Gazi Üniversitesi, Mühendislik Mimarlık Dördüncü aşamanın sonunda artık gizli bilgi, güvenle Fakültesi, Kimya Mühendisliği Bölümü, Ankara’da lisans eğitimine devam aktarılmak için hazır hale gelmiş bulunmaktadır. Eğer etmektedir. e-posta: muhammethamdiyavuz@gmail.com Oğuz Ergin, TOBB Ekonomi ve Teknoloji Üniversitesi, Mühendislik aktarılan ses dosyası üçüncü şahıslar tarafından ele geçirilirse Fakültesi, Bilgisayar Mühendisliği Bölümü. Tel: (312) 292 4059, Faks: (312) öncelikle bu dosyanın gizli bir bilgi taşıdığına dair 292 4180, e-posta: oergin@etu.edu.tr Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 78

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION şüphelenmeleri daha sonra çalan müziği notaya dökebilecek “ “Bayt Değiştirme ( (Sub Bytes)”, “Satır Kaydırma (Shift B s ( kadar iyi seviyede müzik bilgilerinin olması, daha sonra bütün Rows)”, “Sütun karıştırma (Mix Columns)” ve s ( s “ “Döngü tasarımı çözmeleri (nota dönüştürmede kullanılan tablolar ve Anahtarı Ekleme (Add Round Key)” adları verilen dört temel ( y yöntemler dahil) ve en sonunda karşılarına çıkan S-kutusu dönüşümden oluşmaktadır. Döngü sayısı, anahtar boyutuna güncellenen bir AES algoritmasını tersine çevirmeleri bağlı olarak 10, 12 veya 14 olabilmektedir. Şekil. 1’de AES gerekmektedir. şifreleme algoritmasının işleyişi gösterilmiştir. Başlangıçta döngü anahtarı eklendikten sonra, yukarıda ifade edilen dört temel dönüşümü içeren döngü fonksiyonu II. AES ALGORİTMASI uygulanır. Son döngüde sütun karıştırma dönüşümü uygulanmaz. Bayt değiştirme dönüşümü, S-kutusu dönüşüm DES şifreleme algoritmasının iyi bir algoritma olduğunun tablosunu kullanarak, 4×4’lük bayt dizilerinin her birini bağımsız olarak, doğrusal olmayan bir şekilde dönüştürme işlemidir. Satır kaydırma dönüşümü, 4×4’ lük bayt dizilerinin satırlarını dairesel olarak kaydırma işlemidir. Sütun karıştırma işleminde her bir sütun dört terimli birer polinom olarak düşünülerek sabit bir polinomla çarpılır ve sütunlar dönüştürülmüş olur. Döngü anahtarı ekleme işleminde ise; anahtar genişletme işlemi sonucunda üretilen döngü anahtarlarının, her bir tekrarda diziye özel veya (XOR) işlemi udur. tması ile şifrelenmiş bir veriyi çözmek goritmasında uygulanan dönüşümlerin 4][5][6]. VERİNİN NOTAYA ÇEVRİLMESİ masında, ilk aşamada AES şifreleme n verilerin müzik notalarına çevrilmesi yapılabilmesi için önce notaların tanımlanmıştır. ılacak Özellikleri zalı sesler (diyez ve bemol) dahil unmaktadır. Bunlar; do, do diyez (re i bemol), mi, fa, fa diyez (sol bemol), ol), la, la diyez (si bemol), ve si’dir. ardışık sesin arası yarım ses olarak sesi yarım ses inceltildiğinde re diyez . 2’de notaların müzik yazımındaki ur. Şekil 2. Notaların müzik yazımındaki gösterimi. Şekil 1. AES şifreleme algoritmasının işleyişi (Nr döngü sayısını ifade etmektedir) Müzikteki seslerin her birinin birer frekans değeri vardır. Bir frekans değeriyle, o değerin iki katı veya yarısı arasına bir kabul edilmesine rağmen düşük döngü (round) sayısı, düşük oktav denir. Örneğin dördüncü oktavda la sesinin frekansı 440 şifre parça boyutu sebebiyle ve dönemin meşhur EFF paralel Hz’dir. Buradan yola çıkarak herhangi bir oktavdaki nota bilgisayarı Deep Crack’e yapılan test saldırılarının sonucunda değerinin frekansı aşağıdaki formülle hesaplanabilir. DES algoritması yerini AES algoritmasına bırakmıştır [5]. AES algoritması, 128, 192 veya 256 bitlik şifreleme (1) anahtarları ile 128 bitlik veri parçalarını şifreleyen bir algoritmadır. Her veri parçası, “state” adı verilen 4×4’ lük Yukarıdaki formülde “f” frekansı, “n” ise frekansı bayt dizilerinden oluşmaktadır. Algoritmanın temel işlemleri hesaplanmak istenen nota ile dördüncü oktavdaki la (La4) bu diziler üzerine uygulanmaktadır [6]. AES algoritması, arasındaki yarım seslerin sayısıdır. Eğer frekansı hesaplanmak Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 79

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION istenen nota La4’ ün üzerindeyse (La4’ten inceyse) n pozitif, düşünülmüştür. Bunun için her notada farklı olan frekans altındaysa (La4’ten kalınsa) n negatiftir. Bu çalışmada değerleri kullanılacaktır. Bu sebeple ilk aşamadan gelen sekiz kullanılan notalar ikinci oktavdaki do’dan (Do2) yedinci bitlik verinin ilk iki biti ilk aşamada düşünülmemektedir. oktavdaki re diyez’e (Re#7) kadar olan notalardır. Sonraki altı bit bir notayı ifade ettiğinden Denklem 1 Müzik yazımında her bir notanın birer uzunluk değeri kullanılarak frekans kolayca hesaplanabilir. Ancak öncelikle vardır. Bunlar aşağıdaki gibi sıralanabilir: söz konusu denklemde kullanmak üzere bir “n” değeri Tam (Birlik) Nota hesaplanmalıdır. "n” değerinin ikilik tabandaki karşılığı 1/2’lik (Yarımlık) Nota aşağıdaki denklem yardımıyla kolaylıkla 1/4’lük (Bir Dörtlük) Nota hesaplanabilmektedir. 1/8’lik (Sekizlik) Nota 1/16’lık (Onaltılık) Nota (2) 1/32’lik (Otuzikilik) Nota 1/64’lük (Altmışdörtlük) Nota Yukarıdaki denklemde “V” 6 bitlik notayı ifade etmektedir. Birlik nota müzikte en uzun değer olup dört vuruştan TABLO II ibarettir. Yarımlık nota birliğin yarısı değerindedir. Aynı İKİLİK TABANDAKİ DEĞERLERİN NOTA KARŞILIKLARI şekilde sekizlik, bir dörtlüğün, otuzikilik onaltılığın, İkilik Değer ğ Nota İkilik Değer ğ Nota altmışdörtlük otuzikiliğin yarısıdır. Yani birlik nota, iki tane 000000 DO2 100000 SOL#4 ikilik, dört tane dörtlük, sekiz tane sekizlik, onaltı tane DO#2 100001 LA4 onaltılık, otuziki tane otuzikilik RE2 100010 LA#4 altmışdörtlük değerindedir [7]. Bu çalışmada notaların yalnızca RE#2 100011 Sİ4 özellikleri kullanılmıştır. Yani bu tasar Mİ2 100100 DO5 hangi nota olduğu ve notanın değerinin FA2 100101 DO#5 FA#2 100110 RE5 B. Verinin Tanımlanması ve Notaya SOL2 100111 RE#5 Yukarıda bahsedilen özelliklerin say SOL#2 101000 Mİ5 nota değerleri (birlik, yarımlık, bir dör LA2 101001 FA5 otuzikilik, altmışdörtlük) 7 tanedir. Ça LA#2 101010 FA#5 yalnızca yarımlık, bir dörtlük, seki Sİ2 101011 SOL5 değerleri kullanılacaktır. O halde bu d DO3 101100 SOL#5 düşünüldüğünde nota değerleri iki bitle DO#3 101101 LA5 bitin nota değeri karşılıkları Tablo 1’de RE3 101110 LA#5 TABLO I RE#3 101111 Sİ5 İKİLİK TABANDAKİ DEĞERLERİN NOTA Mİ3 110000 DO6 İkilik değer 00 01 Nota değeri Yarımlık Bir dörtlük FA3 110001 DO#6 FA#3 110010 RE6 Birinci aşamadan gelen veriler bir baytlık paketler halinde 010011 SOL3 110011 RE#6 işlenecektir. Bahsedilen sekiz bitin ilk iki biti notanın değerini, 010100 SOL#3 110100 Mİ6 sonraki altı bit ise notanın ne olduğunu ifade etmektedir. 010101 LA3 110101 FA6 Sonraki altı bitin ikilik tabandaki karşılıklarına göre hangi 010110 LA#3 110110 FA#6 nota olduğunun nasıl belirleneceği ise Tablo 2’de 010111 Sİ3 110111 SOL6 sunulmuştur. Örneğin ilk aşamadaki AES şifreleme algoritmasından 011000 DO4 111000 SOL#6 gelen sekiz bitlik bir çıktı 10101101 olduğu takdirde bu 011001 DO#4 111001 LA6 verinin Tablo 1 ve Tablo 2’den yararlanılarak ilk iki bitin 011010 RE4 111010 LA#6 sekizlik nota değerine, sonraki altı bitin ise LA5’e denk 011011 RE#4 111011 Sİ6 geldiği açıkça görülebilir. O halde, 10101101 değeri, sekizlik 011100 Mİ4 111100 DO7 ve beşinci oktavdaki la notasıdır. 011101 FA4 111101 DO#7 011110 FA#4 111110 RE7 C. S-kutusu’nun Güncellenmesi S 011111 SOL4 111111 RE#7 Birinci aşamada AES şifreleme algoritmasından gelen veriler notaya çevrilirken aynı zamanda AES algoritmasının Bulunan n değeri Denklem 1’ de yerine yazılarak, işlem temel yapıtaşı olan S-kutusunun güncellenmesi yapılan notanın frekans değeri hesaplanır. Frekans değerinin Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 80

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION tam kısmı alınarak bu değerin başına iki bitlik nota değeri tabanda karşılığı 11010111’dir. Taşıyıcı müziğin sıradaki eklenir ve S-kutusu’nun ilk bayt’ı güncellenir. Veri akışı notası ise sekizlik ve dördüncü oktavdan sol notası olsun. Bu devam ettikçe sürekli güncellenen bir S-kutusuyla işlem notanın ikilik tabanda karşılığı ise 10011111’dir. Bu iki sayı yapmaya devam edilir. özel veya işlemine tabi tutulursa; IV. NOTAYA DÖNÜŞTÜRÜLEN VERİNİN TAŞIYICI elde edilir. SES DOSYASINDAKİ MÜZİĞİN NOTALARINA Anlamsız nota dizisindeki her bir notaya bu işlem DÖNÜŞTÜRÜLMESİ uygulandığında elde edilen veriler, anlamsız nota dizisini anlamlı nota dizisine çeviren verilerdir ve bu veriler taşıyıcı Üçüncü bölümde anlatılan işlemler sonucunda şifrelenmiş ses dosyasının içine gizlenecek olan verilerdir. verilerden büyük olasılıkla anlamsız bir nota dizisi elde edilmiş olacaktır. Tasarımın temel amacı, bu notaları taşıyıcı ses dosyasındaki müziğin notalarına çevirmek, daha doğrusu V. ELDE EDİLEN VERİLERİN TAŞIYICI SES DOSYASINA GİZLENMESİ çevirmek için gerekli olan veriyi bu ses dosyasına gizlemektir. Söz konusu anlamsız nota dizisinin frekansları Denklem 1 yardımıyla hesaplanmıştır. Bu çalışmadaki tasarımın son aşaması dördüncü bölümde Öncelikle taşıyıcı ses dosyasındaki müziğin önceden elde edilen verilerin taşıyıcı ses dosyası içerisine kararlaştırılmış notaları belirlenir içerisinden sadece piyano notaları e nmek istenen verinin bitlerinin, taşıyıcı işlemler gerçekleştirilebilir. Notaları itleri üzerine yazılmasından ibarettir. bölümün B başlığında bahsedildiği öz üzerine yazılacağı önceden belirlenmiş Diğer tüm müzikal özellikler ve ta espit edilmektedir. notalar ihmal edilecektir. şıyıcı dosyaya sekiz bitlik paketler Elde bulunan anlamsız notalar ile t Her paketin sonunda anahtarın boyutu anlamlı notalar sırasıyla ve birebir ö a sonraki sekiz bit yazılmaya başlanır. tutulur. Özel veya işleminin yapısı ge Ö mada önerilen yöntemin denenmesi anlamlı nota arasında özel veya işlem nıp kullanılan benzetim aracından (daha notayı anlamlı hale çevirecek veri elde 01000 verisi saklanmış olan dosyanın Örneğin üçüncü bölümde anlatılan iş ken) veri ayıklama ekran görüntüsü ve üçüncü oktavdan si notası elde edilm Şekil 3. Benzetim Aracı Ekran Görüntüsü. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 81

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION VI. GİZLENEN VERİLERE ULAŞMA İŞLEMİ Ses dosyasına sayısal işleme yapılmadığı sürece seste Yukarıda bahsedilen algoritma ile şifrelenip ses dosyası kayıplar her zaman mevcut olacaktır. Örneğin bilgisayarınıza içerisine gizlenen verilerin ayıklanıp işlenmesi işlemi aslında önceki bir kayıttan çalmak suretiyle ses kaydettiğinizi anlatılan yöntemin tamamen tersine çevrilmesinden ibarettir. düşünürseniz iki kayıttaki veriler birbirini tamamıyla Öncelikle taşıyıcı ses dosyasında bulunan müzik notalara tutmayacaktır. Bu sebeple gizlenmiş olan veriler sonucu dökülür. Bu işlem, iki şekilde mümkün olabilmektedir. yapılan denemelerde, seslerdeki faklılıkların dikkat çekmediği Birincisi tamamen insan kulağına bağlı olarak notaları tespit edilmiştir. Şekil 4’te taşıyıcı ses dosyasının ilk halinin saptama işlemidir. İkincisi ise söz konusu dosyanın sayısal ve Şekil 5’te taşıyıcı dosyanın veri gizlendikten sonraki olarak işlenerek notaların saptanmasıdır. halinin izge (spektrum) çözümlemesi sunulmuştur. Veriler ses dosyasına gizlenirken kullanılan anahtar çözümde de kullanılarak ses dosyasının hangi bitlerine verilerin saklandığı anlaşılır ve böylece kullanılacak olan veriler ses dosyasından ayıklanır. İlk etapta bulunan anlamlı notaların tasarımı ilgilendiren elemanları (ikinci oktav do’dan yedinci oktav re diyeze kadar yarımlık, bir dörtlük, sekizlik ve onaltılık olanlar) üçüncü bölümde anlatıldığı gibi 8 bitlik verilere çevrilir. Ul l b l l nota verileri, taşıyıcı ses dosyasından zel veya işlemine tabi tutulur ve artık lamsız nota olarak tanımlanan verilere ın frekans değerleri üçüncü bölümde anır. Böylece AES’nin S-kutusu için rtaya çıkmış olacaktır. S-kutusu’na yapılan güncellemelerin Son veriden başlamak suretiyle, S- ellenerek (şifreleme yapılırken yapılan geri alınarak) AES çözüm algoritması erilere ulaşılır. VII. SONUÇ Şekil 4. Taşıyıcı ses dosyasının ilk halinin mek istenen veriler, bazı işlemlerden Yapılan izge çözümlemesi, de hiç şüphe uyandırmayan şarkılar değiştirildiğinde bile taşıyıcı dosy Diğer çalışmalardan farklı olarak, bu gizlendikten sonraki hali arasında ce AES şifreleme algoritması ile olmadığını göstermektedir. ra AES’den çıkan veriler notalara sonunda ortaya çıkan anlamsız nota dosyasındaki müziğe göre anlamlı eriler herhangi bir anahtar kullanılarak taşıyıcı ses dosyasına gizlenmiştir. Gizleme işlemi yer değiştirme esasıyla yapıldığı için taşıyıcı dosyada herhangi bir boyut değişimi söz konusu olmamaktadır. İçerisine farklı miktarlarda veri gizlenen üç taşıyıcı ses dosyası ile laboratuarda 12 kişi ile yapılan denemelerde; yalnızca 32 bit veri taşıyan dosya için ortalama fikir puanı (MOS) 5, taşıyabileceği veri miktarının %50’sini taşıyan dosya için MOS değeri 4.67, %100’ünü taşıyan dosya için MOS değeri ise 4.25 olarak ölçülmüştür. Yukarıdaki ölçümlerde kullanılan ses dosyası wav uzantılı olup, 60 saniyelik bir klasik müzik eseri içermektedir. Dinleyicilere önce veri taşımayan dosyalar dinletilerek 5 üzerinden puanlama yapmaları istenmiştir. Farklı tür müziklerle yapılan çalışmalarda daha farklı MOS değerleri elde edilmiştir. Örneğin Rock müzikte dinleyicilerin verdiği puanlar artarken Klasik Türk Müziği’nde ise dinleyiciler hissedilen gürültünün Şekil 5. Taşıyıcı ses dosyasına veri gizlendikten sonraki izge çözümlemesi. arttığına dair yorumlar yapmışlardır. Ses dosyasına ne kadar az veri gizlenirse, taşıyıcı dosya o Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 82

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION kadar güvenli olacaktır [8]. KAYNAKLAR Bu işlemler gerçekleşirken, anlamsız nota dizisi AES’nin S- [1] D. Artz, “Digital Steganography”, IEEE Internet Computing, vol. 5, is. kutusu’nu güncellemiştir. Bu, işlemlerin çözümünü biraz daha 3, pp.75-80, 2001. karmaşık hale getirmesine rağmen işlemlerin hepsinin tersinir [2] M. Pooyan, A. Delforouzi, “LSB-based Audio Steganography Method olması, yöntemi bilen ve yeterli veriye sahip bir alıcının, gizli Based on Lifting Wavelet Transform ”, Signal Processing and Information Technology, 2007 IEEE International Symposium, pp. 600- veriye ulaşabilmesini sağlamaktadır. 603, 2007. Son halde elde edilen şarkıdan gizlenen veriyi [3] K. Gopalan “Audio Steganography Using Bit Modification”, Multimedia ayıklayabilmek için, öncelikle o şarkının gizli bir veri and Expo, 2003. ICME '03. Proceedings. 2003 International taşıdığının bilinmesi, daha sonra çok iyi bir dikte1 kabiliyetine Conference, vol.1, pp. 629-632, 2003. sahip olunması ve hangi aralıklarla veri gizlendiğini, hangi [4] Advanced Encryption Standard, Federal Information Processing Standards Publication 197, November, 2001. notaların ve o notaların hangi özelliklerinin temel alındığının [5] D. Forte, “The future of the advanced encryption standard”, Network bilinmesi gereklidir. Bunlara ek olarak notalarla hangi işlemin Security, vol. 1999, is. 6, pp. 10-13, 1999. yapıldığının, AES’nin S-kutusunun nasıl güncellendiğinin [6] S. M. Yoo, D. Kotturi, D. W. Pan, J. Blizzard, “An AES crypto chip bilinmesi ve anahtarlar bilinmediği için çok fazla zaman usinga high-speed parallel pipelined architecture”, Microprocessors and harcanması gerekmektedir. Bu tasarım tek başına AES Microsystems, vol. 29, is. 7, pp. 317-326, 2005. kullanmanın veya tek başına veri içerisine veri gizlemenin bile [7] N. Cangal, Armoni, Arkadaş Yayınları, Ankara, 1999. yeterli görüldüğü durumlarda fazladan güvenlik sağlayacaktır. [8] R. J. Anderson, F. A. P. Petitcolas, “On the limits of steganography”, Selected Areas in Communication, vol. 16, is. 4, pp. 474-481, 1998. Şekil 6. Tasarımın akış şeması. Örneksel (analog) yollarla bu ses aktarımı söz konusu olursa veri kayb Bahsedilen yöntemin sonucunda elde veri bulunduran ses dosyası ancak sayı gizli verilerin tamamı korunacaktır. Sürekli gelişen uydu teknolojisiyle bu tasarımı kullanmak mantıklı olacaktır. Örneğin askeri alanda gizli bir konum bilgisinin iletilmesi gerektiği düşünülürse, bu tasarım kullanılarak bir ses dosyası hazırlanabilir ve bu müzik uydudan yayın yapan bir televizyon kanalında örneğin bir reklamın arkasında çalabilir. Sayısal iletişimde veri bozulmayacağı için mesajı alacak olan kişi bu reklamın sesini yine sayısal ortamda kaydederek gerekli işlemleri yapıp gizli konum verisine ulaşabilir. Silahlı Kuvvetler bünyesinde yetişmiş ve çok iyi dikte1 kabiliyetine sahip müzisyenler olduğu düşünülürse, taşıyıcı ses dosyasındaki müziğin notalarının başka bir yolla iletimine de gerek kalmayacaktır ve gizli verinin ayıklanması bir takım çalışması haline gelecektir. Bu çalışmadaki tasarımın akış şeması Şekil 6’da sunulmuştur. 1 Dikte, duyulan sesleri kağıda dökmektir. Örneğin çalınan bir şarkının a notalarını yazabilmek o şarkıyı dikte etmektir. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 83

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION İGS Tabanlı Yeni Bir Video–Sırörtme Yöntemi Özdemir ÇETİN, Ahmet T. ÖZCERİT bir ihtimaldir. Her iki yöntemde de en önemli nokta, gizli Özet — Bu çalÕúmada, algÕlanabilirli÷i düúürebilmek için verinin algÕlanabilirli÷inin neredeyse imkânsÕz olmasÕnÕn farklÕ bir yaklaúÕma sahip yeni bir øGS (ønsan Görme gerçeklenebilmesidir. Sistemi) tabanlÕ veri gömme yöntemi önerilmiútir. Gizli haberleúme teknikleri ilk olarak resim dosyalarÕ Önerdi÷imiz yöntem iki iúlem adÕmÕna sahiptir. ølk iúlem olarak örtü video dosyasÕ içerisindeki veri gömmeye uygun üzerinde uygulanmÕú fakat yüksek gizli veri kapasitesi piksellerin bulunmasÕ gerçekleútirildikten sonra ikinci iúlem ihtiyacÕ ve resimlerin sÕnÕrlÕ kapasiteleri, yapÕlan olarak; gizli veri, belirlenen uygun piksellere yeni bir araútÕrmalarÕ videolar üzerinde yo÷unlaútÕrmÕútÕr [1]. kodlama tekni÷i ile gömülür. Bu çalÕúmada, yüksek Video dosyalarÕna gizli veri gömmek için; genelde resim haberleúme güvenli÷i sa÷layabilmek için sÕrlÕ videodaki gizli ve ses içerisine veri gizleme yöntemleri beraber kullanÕlÕr. verinin algÕlanabilirli÷ini en düúük seviyede tutma Video içerisine veri gizlemek için dönüúüm–boyutu amaçlanmÕútÕr. yöntemleri (Discrete Cosine Transform–DCT, Discrete Wavelenght Transform–DWT ) kullanÕlÕr. Anahtar Kelimeler— SÕrörtme, Veri Gizleme, SayÕsal Videonun veri gizleme için kullanÕlmasÕnÕn en büyük Video, Histogram, Dalgaboyu yararlarÕndan biri de çok büyük miktarda gizli veri I. GøRøù kapasitesi sa÷lamasÕdÕr. Örne÷in 30 fps ve 10 saniye süreli bir video dosyasÕ 300 hareketsiz resimden Internet için “zifiri karanlÕkta mayÕn tarlasÕnda oluúmaktadÕr. Böylece bir resim dosyasÕ içerisine ilerlemeye çalÕúmak” benzetmesini yapmak herhalde gizlenecek gizli veri kapasitesi, bu örnek video dosyasÕ yanlÕú bir tanÕm olmaz. SÕnÕrlarÕ belli olmayan bu devasa için 300 kat daha fazla olacaktÕr. dünyada güvenli÷i sa÷lamak kolay de÷il neredeyse Video dosyalarÕ üzerinde yapÕlan ilk veri gizleme imkânsÕzdÕr. SayÕsal teknolojinin hÕzlÕ bir úekilde çalÕúmalarÕ ham videolar üzerine odaklanmÕútÕr. Bu geliúmesi bilgi hÕrsÕzlÕ÷ÕnÕ kolaylaútÕrmÕú, Internetin çalÕúmalar video içerisine veri gömme yöntemlerinin güvenlik zafiyeti de bilgi hÕrsÕzlÕ÷Õna iyi bir ortam temelini oluúturmuútur. Günümüzde gerek ilerleyen oluúturmuútur. Ortaya çÕkan bu güvenlik zafiyeti, gizli sÕkÕútÕrma teknikleri ve gerekse büyük kapasiteye sahip haberleúme tekniklerinin de geliúmesine neden olmuútur. videolarÕn Internet üzerinden iletimleri sÕrasÕnda Bu çalÕúmada, önemli bilgilerin saldÕrganlardan yaúanÕlan bant geniúli÷i sorunlarÕ, çalÕúmalarÕn korunarak haberleúmenin gerçekleútirilebilmesi için yeni sÕkÕútÕrÕlmÕú videolar üzerine kaymasÕna neden olmuútur. bir sÕrörtme tekni÷i geliútirilmiútir. Ham video kullanÕlarak yapÕlmÕú ilk veri gizleme SayÕsal medyanÕn geliúen teknolojiye paralel hÕzla çalÕúmasÕna örnek olarak Hartung ve Girod’un büyümesi sayÕsal damgalama, sÕrörtme gibi veri gizleme çalÕúmasÕnÕ gösterebiliriz [3]. Bu çalÕúmada yöntemlerinin ortaya çÕkmasÕna neden olmuútur. SayÕsal araútÕrmacÕlar, yayÕlÕ–izge haberleúmesinden damgalama (watermarking) ve sÕrörtme (steganography) esinlenmiúlerdir. Hartung bir baúka çalÕúmasÕnda resim tekniklerinde kullanÕlan yöntemler birbirlerine benzerlik içerisine veri gömme tekniklerini do÷rudan ham videoya gösterse de kullanÕm amaçlarÕ itibariyle farklÕlÕklara uygulamÕútÕr [4]. Gizli verinin geri elde edilmesi sahiptirler. Bir sayÕsal medyanÕn (sinema filmi, müzik aúamasÕnda alÕcÕ tarafÕnda ilgileúim metodu uygulanÕr. parçasÕ vb.) illegal yollarla paylaúÕlmasÕnÕ önlemek için Elde edilen deney sonuçlarÕna göre gizli veri kapasitesi sayÕsal damgalama tercih edilirken bireyler veya 50 bit/sn‘dir. Hartung ham video için önerdi÷i bu kurumlar aralarÕnda gizli haberleúme (askeri istihbarat çalÕúmasÕnÕ ayrÕca sÕkÕútÕrÕlmÕú videoya da uygulamÕútÕr. vb.) yapmak için ise sÕrörtmeyi kullanÕrlar. Intra-çerçeve (I-frames), forward predicted çerçeve (P- øki yöntem arasÕndaki en büyük fark; sayÕsal damgalama frames) ve bi-directional predicted çerçevelerinin (B- herkes tarafÕndan bilinen bir medya dosyasÕnÕn frames) her birisine di÷er yöntemindeki iúleyiúin aynÕsÕnÕ korunmasÕnda kullanÕlÕrken, sÕrörtme herkes tarafÕndan uygulamÕútÕr. Videoda her bir sÕkÕútÕrÕlmÕú çerçeve için bilinmeyen bir medya dosyasÕ ile gizli haberleúme 8×8 DCT katsayÕlarÕnÕ kullanarak gizli veriyi çerçevelere yapmak için kullanÕlÕr. Bu yüzden de her iki yöntemin eklemiútir. Deneylerden elde edilen sonuçlara göre, karúÕlaútÕ÷Õ saldÕrÕlar farklÕlÕklar gösterir. Çünkü standart sinyal iúleme saldÕrÕlarÕna karúÕ daha dayanÕklÕ sÕrörtmede kullanÕlan örtü dosyasÕ bilinmeyen herhangi sonuçlar vermiútir. bir dosya olacaktÕr ve saldÕrÕya maruz kalmasÕ çok düúük Bir baúka çalÕúmada ise Swanson, çoklu-ölçek damgalama yöntemini önermiútir [5,6]. Bu yöntemde, her Özdemir Çetin and Ahmet T. Özcerit are with the Department of Computer Systems, Sakarya University, Sakarya, 54188, Turkey bir çerçeveye zamansal dalgacÕk dönüúümü uygulanarak (e-mail: {ocetin, aozcerit}@sakarya.edu.tr) zamansal alçak geçiren ve yüksek geçiren çerçeveler elde Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 84

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION edilir. Bu çalÕúmada damganÕn geri elde edilmesi için frekans orijinal video bilgisine ihtiyaç duyulur. Bu makalede, önceki çalÕúmalardan farklÕ olarak örtü videosu içindeki veri gömmeye uygun pikseller øGS’ne duyarlÕ yeni bir yaklaúÕmla belirlenmiútir. AyrÕca yapÕlan dalgaboyu çalÕúmada veri gömme (iletiúim amaçlÕ) ve damga ekleme (güvenlik amaçlÕ) problemleri birbirlerinden ayrÕlarak ùekil-2. Görülebilir IúÕk Dalgaboyu tayfÕ. f sadece veri gömme üzerinde durulmuútur [7]. Gizli haberleúme süresince taúÕyÕcÕ videosunun dÕúarÕdan Elektromanyetik tayfta görülebilir alanÕn dalgaboyu gelebilecek saldÕrÕlara maruz kalmamasÕ için gizli veri de÷erleri ùekil-2’de de görüldü÷ü gibi her bir renk için algÕlanabilirli÷inin en düúük seviyelerde tutulmasÕ farklÕdÕr ve alt sÕnÕrÕ 350nm ile mor, üst sÕnÕrÕ da 780nm çalÕúmanÕn asÕl amacÕdÕr. ile kÕrmÕzÕ temsil eder. II. SAYISAL VøDEO, HøSTOGRAM VE III. ÖNERøLEN VERø GÖMME ALGORøTMALARI DALGABOYU KAVRAMLARI Bu çalÕúmada øGS tabanlÕ yeni bir veri gömme yöntemi Bir sayÕsal video, hareketsiz resimlerin øGS tarafÕndan f geliútirilmiútir [15]. TaúÕyÕcÕ video içerisinde veri gömme akÕcÕ olarak algÕlanabilmesi için ardÕúÕk olarak saniyede yapÕlabilecek bölgelerin belirlenmesinde daha önceki en az 25 kez oynatÕlmasÕ ile oluúmaktadÕr. Bu çalÕúmada yapÕlmÕú çalÕúmalardan farklÕ olarak histogramlar ve ÕúÕk sunulan yöntem, sÕkÕútÕrÕlmamÕú (AVI) videolar için dalgaboyu yaklaúÕmlarÕ kullanÕlmÕútÕr. Histogramlar geliútirilmiútir. Deneysel çalÕúmalar yöntemi, video içerisindeki hareket veya renk ‘vipmen.avi’ videosunun çerçeve zla veya az oldu÷u durumlarÕn görülmektedir. anÕlan etkili bir yöntemdir. AyrÕca bu mlendirme çalÕúmalarÕnda da sÕklÕkla 160 piksel 9]. Gizleme yapÕlabilecek uygun masÕnda algÕlanabilirli÷i daha da imkânsÕz hale getirmek için ÕúÕk Õ da histogramlar yöntemi ile birlikte 120 piksel n çalÕúmayÕ gösteren genel bir blok ktedir. Gizli veri, gömme yöntemi örtü dosyasÕ içerisine gömme ve arÕ vasÕtasÕ ile gömülür. ArdÕndan na gönderilen sÕrlÕ video alÕcÕya arafta öncelikle iúlem türü olarak çilir. ÇÕkarma yönteminin seçiminden ùekil-1. Örnek bir video çerçevesi. afta kullanÕlan gömme algoritmasÕna ùekil-1’de verilen vipmen tmasÕ belirlenerek gizli veri geri elde çerçevesinin 120 u 160 boy görülmektedir. Bu bilgiye dayanarak esnasÕnda kullanÕlacak olan ‘vipm Gizli Dosya bellekte kapladÕ÷Õ alan aúa÷Õdaki gibi hesaplanabilir; Video boyutu u Çerçeve sayÕsÕ u Renk yo÷unlu÷u (bayt) u Video süresi (2) TaúÕyÕcÕ Gömme Gömme SÕrlÕ Video 120 u 160 u 30 u 3 u 9,43 = 16,300,742 bayt Video Yöntemi AlgoritmasÕ Elde edilen sonuca göre vipmen videosu bellekte 16,300,742 bayt yer tutar. Kodlama ÇalÕúmamÕzda kullanÕlan yöntemlerde bahsedilen Kodlama AlgoritmasÕ ønternet terimleri sÕrasÕ ile kÕsaca açÕklayalÕm. AlgoritmasÕ Histogram: Bir sinyalin sahip oldu÷u frekans bileúenleri hakkÕnda bilgi veren bir gösterimdir. SayÕsal Veri ÇÕkarma Veri ÇÕkarma resimlerde veya videolarda histogram grafikleri resmin AlgoritmasÕ Yöntemi SÕrlÕ Video renk bileúenleri hakkÕnda bilgi verir. 8–bit renk yo÷unlu÷undaki bir video çerçevesinin histogramÕ, 0–255 arasÕ renk yo÷unlu÷una ait kaç tane piksel oldu÷u Gizli konusunda bilgi verir. Dosya Dalgaboyu: Bir dalga örüntüsünün tekrarlanan kÕsÕmlarÕnÕn arasÕndaki mesafe olarak tanÕmlanabilir ve ùekil-3. Geliútirilen sÕrörtme yöntemlerin genel blok diyagramlarÕ. frekans ile ters orantÕlÕdÕr. Görülebilir ÕúÕ÷Õn sahip oldu÷u dalgaboyu dalgalar ise øGS tarafÕndan f algÕlanamamaktadÕr (morötesi, kÕzÕlötesi vb.) [8]. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 85

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION A. Histogramlar YaklaúÕmÕ renk kodlarÕnÕn listelerinden de faydalanmak Histogramlar yaklaúÕmÕnda; ardÕúÕk gelen her bir video mümkündür. Bu çalÕúmada faydalanÕlan renklerin listesi çerçevesinden elde edilen histogram de÷erleri yorumlanÕr. ve dalgaboyu de÷erleri Tablo 1’de verilmiútir. øçerisine veri gizlenecek videonun çerçeveleri elde TABLO 1. DALGABOYU DEöERLERININ TANIMLANMASI. edildikten sonra her bir video çerçevesinin histogram R renk G renk B renk de÷erleri bulunur. YapÕlan çalÕúmada, ardÕúÕk video Dalgaboyu De÷eri yo÷unlu÷u yo÷unlu÷u yo÷unlu÷u çerçeveleri arasÕndaki histogram farklarÕ her bir renk Mor renk: 380a400 97a130 0a30 97a175 bileúeni (R, G, B) için ayrÕ ayrÕ elde edildikten sonra bu KÕrmÕzÕ renk: 730a750 161a200 0a30 0a50 bileúenlerin ortalamasÕ alÕnarak tek bir de÷er elde edilir. Elde edilen bu de÷er eúik de÷eri olarak adlandÕrÕlan YukarÕdaki tabloya göre, örne÷in 100,0,105 RGB sayÕsal bir de÷er ile karúÕlaútÕrÕlÕr. Eúik de÷eri, ardÕúÕk de÷erine sahip bir pikselin kabul edilebilir ÕúÕk dalgaboyu çerçeveler arasÕnda bir de÷iúim veya benzerlik aralÕ÷Õnda oldu÷u söylenebilir. Böylelikle, veri gizleme algÕlamasÕnda kullanÕlan, maksimum alabilece÷i de÷er algoritmasÕ kullanÕlarak görülebilir ÕúÕ÷Õn sÕnÕr de÷erlerine video çerçevesinin boyutu ile ifade edilen piksel sayÕsÕdÕr. (380nm veya 750nm) yakÕn dalgaboyuna sahip pikseller ArdÕúÕk çerçevelerin histogram de÷erleri eúik de÷eri ile veri gömme için belirlenir. Belirlenen her bir pikselin veri karúÕlaútÕrÕlarak veri gizlenebilecek video çerçeveleri ve gömüldükten sonra da ilk dalgaboyu de÷erine yakÕn bir pikselleri belirlenir. Eúik de÷erinin üzerinde kalan de÷erde kalÕp kalmadÕ÷Õ kontrol edilir. Piksel kabul bileúenler seçilirse, ardÕúÕk video çerçevelerinin renk edilebilir bir ÕúÕk dalgaboyu de÷erinde kalÕyorsa, bir bakÕmÕndan karÕúÕk bir yapÕya sahip oldu÷u anlaúÕlÕr ki bu baúka ifadeyle gömme iúlemi sonucunda pikselin sahip yöntem farklÕ histogramlar yöntemi, eúik de÷erinin oldu÷u ilk dalgaboyu de÷erinde çok büyük bir de÷iúim altÕnda kalan bileúenlerin seçilmesi durumunda ise ardÕúÕk olmuyor ise, bu piksele veri gömme yapÕlabilir. ùekil- video çerçevelerinin renk bakÕmÕndan tekdüze oldu÷u 4.a’da örnek resimdeki 400nm dalgaboyu de÷erine sahip anlaúÕlÕr ki bu yöntem de benzer histogramlar yöntemi mor renkli piksel, veri gömüldükten sonra 400nm ile olarak adlandÕrÕlÕr. 410nm aralÕ÷Õnda bir dalgaboyu de÷erinde kalÕyorsa bu FarklÕ histogramlar yöntemi ile hedeflenen; video piksele veri gömme yapÕlabilir (ùekil 4.b). Fakat piksel çerçeveleri arasÕndaki uzamsal algÕlanabilirli÷in veri gömme gerçekleútirildikten sonra 420nm de÷erine önlenmesinin yanÕnda literatürde titreúim sorunu olarak sahip oluyorsa bu piksel veri gömme için uygun de÷ildir da bilinen zamansal algÕlanabilirlik sorununa da bir (ùekil 4.c). ølk piksel de÷eri ile sonraki piksel de÷eri çözüm getirmektir. Bu yöntemde; ardÕúÕk video arasÕnda øGS’nin algÕlayabilece÷i derecede bir fark söz çerçeveleri arasÕndaki øGS’nin algÕlayamadÕ÷Õ renk veya konusudur. hareket geçiúleri belirlenerek veri gömmede kullanÕlmalarÕ sa÷lanÕr. Benzer histogramlar yönteminde, video içerisindeki ardÕúÕk çerçevelerin renk ve hareket bakÕmÕndan de÷iúmeyen bölgelerine veri gizlemenin yapÕlmasÕ önerilmektedir. Örne÷in renk veya hareket bakÕmÕndan (a) (b) (c) de÷iúmeyen arka plana sahip bir video veri gizleme için ideal alanlardÕr. ùekil 4. (a) 4 pikseli de 400nm dalgaboyu olan örnek bir blok. (b) 2 numaralÕ pikseli 405nm dalgaboyu olan örnek bir blok. (c) 2 numaralÕ B. Dalgaboyu YaklaúÕmÕ pikseli 420nm dalgaboyu olan örnek bir blok. Dalgaboyu yönteminde øGS’nin zaafÕndan Standart bir video çerçevesinin 352x288 boyutlarÕnda faydalanÕlarak veri gömme iúlemi gerçekleútirilir. Enerji oldu÷unu düúünürsek piksel sayÕsÕ 101376 olarak tayfÕndaki øGS’nin algÕladÕ÷Õ renk dalgaboyu aralÕ÷Õ, yani hesaplanabilir. YaklaúÕk olarak 100 bin piksel içerisinde görülebilir ÕúÕk alanÕ bilgisinden faydalanarak veri ùekil 4.a’da gösterilen orijinal pikselin ùekil 4.b’deki gibi gizlenecek piksellerin belirlenmesi bu yöntemin temelini de÷iúmesinin øGS tarafÕndan algÕlanmasÕ çok zor oluúturmaktadÕr. olacaktÕr. Fakat ùekil 4.c’deki gibi bir de÷iúikli÷in øGS øçerisine veri gömülmek istenen örtü videosunun tarafÕndan algÕlanma ihtimali daha yüksektir. çerçevelerinde görülebilir ÕúÕk aralÕ÷ÕnÕn sÕnÕr dalgaboyu Dalga boyu yönteminde esas olan, gizli verinin de÷erlerine (380nm750nm) yakÕn renklere sahip içerisine yerleútirildi÷i pikselin dalga boyu aralÕ÷ÕnÕn pikseller belirlenir. Baúka bir ifadeyle, morötesi ve sahip oldu÷u orijinal dalga boyu aralÕ÷Õndan çÕkmamasÕ kÕzÕlötesi dalgaboyu de÷erlerine yakÕn renklere sahip kÕstasÕdÕr ve bu sayede video çerçevelerini oluúturan her pikseller belirlenir. Bu sÕnÕrlara yakÕn dalgaboyu bir piksele birbirinden ba÷ÕmsÕz olarak veri gömme iúlemi de÷erlerine sahip renkler kullanÕlarak veri gizleme iúlemi gerçekleútirilebilir. gerçekleútirilir. Burada faydalanÕlan durum øGS’nin Dalgaboyu yönteminin benzer ve farklÕ histogramlar morötesi ve kÕzÕlötesi ÕúÕk dalgalarÕnÕ algÕlayamamasÕdÕr. yöntemleri ile birlikte kullanÕlmasÕ sayesinde gizli verinin Bu yöntemde, her bir video çerçevesindeki piksellerin algÕlanabilirli÷i daha da düúürülerek haberleúme güvenli÷i ait oldu÷u renk dalgaboyu de÷eri bulunur. Bunun için en üst seviyeye çÕkarÕlabilir. Fakat bu durumun gizli veri öncelikle mor ve kÕrmÕzÕ renkleri veren RGB renk kapasitesini önemli ölçüde düúürece÷i unutulmamalÕdÕr. karÕúÕmlarÕnÕn bir tablosu oluúturulur. Bu tabloyu oluúturmak için herhangi bir resim iúleme programÕndan faydalanÕlabilir. AyrÕca Internette kolayca bulunabilen Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 86

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION IV. ÖNERøLEN VERø GÖMME KODLAMA Burada I ve K birbirleriyle kÕyaslanan görüntülerdir. I TEKNøöø orijinal görüntüyü K ise yeniden elde edilmiú görüntüyü Görüntüde en az bozulma ve en yüksek veri gizleme, ifade eder. Görüntü boyutlarÕ ise m u n dir. MSE sÕrörtme yöntemlerinde aranan en temel kÕstaslardandÕr. de÷erinin hesaplanmasÕnÕn ardÕndan Denklem-4’e göre østenilen bu kÕstaslarÕ sa÷lamak amacÕyla RGB a÷ÕrlÕklÕ PSNR hesaplanÕr [12,13]. kodlama tekni÷i geliútirilmiútir [10]. RGB: (89,143,240) olarak üç ana renk da÷ÕlÕmÕna sahip § MAX 2 · olan bir pikselin R=89, G=143, B=240 a÷ÕrlÕklarÕna sahip ¨ MSE ¸ PSNR 10log10 ¨ ¸ oldu÷u söylenebilir. RGB a÷ÕrlÕklarÕna sahip bu pikselin © ¹ (4) içerisine “s” harfinin ASCII karúÕlÕ÷Õ olan “115” sayÕsÕnÕn gömülme iúlemi úu úekilde olacaktÕr; öncelikle RGB Denklem 4’deki MAX, görüntüye ait bir pikselin kaç de÷erinin son rakamlarÕ sÕfÕrlanÕr. Buna göre elimizde f bit ile ifade edildi÷ini gösterir. Örne÷in 8 – bit renk R=80, G=140, B=240 de÷erleri olur. Bir sonraki aúamada yo÷unlu÷undaki bir görüntü için MAX = 255 olacaktÕr. “s” karakterinin ASCII karúÕlÕ÷Õ her basamak de÷eri 10 sayÕsÕndan çÕkarÕlÕr (10–1=9, 10-1=9, 10-5=5). Elde edilen rakamlar her bir RGB de÷erlerinin son basamaklarÕna yerleútirilir. Son durumda ise elimizde R=89, G=149, B=245 olan bir RGB de÷eri bulunur. Gizli verinin elde edilmesi aúamasÕnda ise; pikselin sahip oldu÷u RGB de÷erinin son rakamlarÕ alÕnÕr (9 9 5) Bu rakamlar 10 sayÕsÕndan (10–9=1, çÕkarÕlarak tekrar “s” harfinin ASCI olur. V. DENEYSEL SON ÇalÕúmanÕn bu bölümünde tekniklerinin kapasite, algÕlanabilirli gibi parametrelere ba÷lÕ baúarÕmlar ÇalÕúmanÕn sÕkÕútÕrÕlmamÕú forma geliútirilmiú olmasÕndan dolayÕ, süresince literatürde sÕklÕkla kullanÕ boyu b)FarklÕ hist ve dalgaboyu kullanÕlmÕútÕr. Vipmen videosunun çerçeve boyutlarÕ ise 160x120 dir. lerden elde edilen PSNR de÷erleri. Deney sonuçlarÕnÕn de÷erlendirilm videolarÕn istatistiksel kalitelerini liútirilen yöntemlerden elde edilmiú Sinyal Gürültü OranÕ (Peak Signal to de verilmiútir. KayÕplÕ resim/video ölçe÷i kullanÕlmÕútÕr. PSNR, orijin nden sonra elde edilen görüntüler için görüntü arasÕndaki benzerlik oranÕnÕ de÷erleri 30db ile 50db arasÕndadÕr sonucunda PSNR tek bir de÷er üreti mada, geliútirilen yöntemlerin PSNR olmasÕ benzerliklerinin de yükse Õk olarak 65db ile 95db arasÕnda gelmektedir. AslÕnda PSNR de÷eri, øGS ile birebir uyuúan oldu÷u görülmektedir ki bu da tatminkar sÕnÕrlar bir sonuç vermemektedir. Çünkü insanlarÕn renkleri ve içerisinde kabul edilebilir. tonlarÕ algÕlama davranÕúÕ tamamen birbirinden farklÕdÕr. ÇalÕúma süresince geliútirilen gizleme yöntemlerine Bu durum göz önüne alÕnarak bir baúka görsel kalite uyarlanan RGB ve R a÷ÕrlÕklÕ kodlama tekniklerinden de÷erlendirme kÕstasÕ olan görsel denek ölçüm yöntemi [10] elde edilen baúarÕm de÷erleri Tablo 2’de, grafiksel de geliútirilen tekniklerin baúarÕm de÷erlendirilmesinde olarak ise ùekil 6’da gösterilmiútir. Elde edilen sonuçlar kullanÕlmÕútÕr. ÕúÕ÷Õnda literatürdeki ilk veri gizleme çalÕúmalarÕnda øki görüntü arasÕndaki PSNR de÷erini hesaplamak için kullanÕlan LSB kodlama tekni÷inin geliútirilen yeni öncelikle Ortalama Kare HatasÕ (Mean Squared Error– tekniklere göre çok zayÕf oldu÷u söylenebilir. Deneysel MSE) de÷eri hesaplanmalÕdÕr [11]. MSE de÷erinin çalÕúma süresince aynÕ taúÕyÕcÕ video içerisine farklÕ hesaplanmasÕ için Denklem–3 kullanÕlabilir. boyutlarda gizli veri gömme iúlemi gerçekleútirilmiútir. Deneysel verilere göre RGB ve R a÷ÕrlÕklÕ kodlama 2 tekniklerinin sÕrlÕ video içerisinde meydana getirdikleri 1 m 1 n 1 MSE ¦¦ I mn i 0 j 0

bozulan piksel sayÕsÕ LSB kodlama tekni÷ine göre yaklaúÕk 2,5 kat daha azdÕr. veya ¦>

@ 2 M, N MSE Mu N (3) Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 87

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION TABLO 2. GÖMME øùLEMø SONUNDA KODLAMA TEKNøKLERøNE GÖRE hareketliliktir. Bu düúünce ile taúÕyÕcÕ videolarÕn GÖRÜNTÜDE BOZULAN PøKSEL SAYISI. Örtü Video Boyutu Gizli Veri Bozulan Piksel SayÕsÕ histogram de÷erleri hesaplanarak renk geçiú noktalarÕ, (bayt) Boyutu (bayt) LSB RGB R hareketlili÷in bulundu÷u çerçeveler belirlenmiútir. 73 195 73 73 AlgÕlanabilirli÷i daha da düúürmek için görülebilir ÕúÕk 1800 4800 1800 1800 dalgaboyu yöntemi histogramlar yöntemi ile 27648 73728 27648 27648 15,220,624 birleútirilmiútir. Burada ana fikir; taúÕyÕcÕ video 54784 146091 54784 54784 103424 275798 103424 103424 içerisindeki görülebilir ÕúÕ÷Õn sÕnÕrlarÕna yakÕn olan 168960 450560 168960 168960 dalgaboyu de÷erlerine sahip piksellerin bulunarak veri gömmek için kullanÕlmasÕnÕ sa÷lamaktÕr. Veri gizlemek için kullanÕlacak olan piksellerin dalgaboyu de÷erleri kÕzÕlötesi (750nm) veya morötesi (380nm) dalgaboyu de÷erlerine ne kadar yakÕn olursa, algÕlama iúlemi de o kadar imkânsÕz olacaktÕr. AyrÕca araútÕrmamÕzda; gizli veri kapasitesini literatürdeki En Düúük De÷erlikli Bit (LSB) kodlama tekni÷ine göre önemli ölçüde artÕran, resim sÕrörtme için geliútirilmiú RGB ve R a÷ÕrlÕklÕ kodlama teknikleri video sÕrörtmeye uygulanmÕútÕr. Bu kodlama tekni÷i ile video görüntüsünde en az bozulma hedeflenerek gizli veri kapasitesi artÕrÕlmaya çalÕúÕlmÕútÕr. KAYNAKLAR , “Oblivious Video Watermarking Using y of HVS”, Proceedings of the 2005 ence on Image Processing (ICIP 2005), ber 11-14, 2005, IEEE. AQ, http://zone-h.org Zone-H, 2006. rod, “Digital watermarking of raw and ùekil 6. Kodlama yöntemlerine göre taúÕyÕcÕ v in Proc. SPIE 2952: Digital Compression piksel sayÕsÕ. ystems for Video Communication, Berlin, pp. 205–213. “Digital watermarking of uncompressed and Tablo 2’ye bakÕldÕ÷Õnda bozulan p Trans. Of Signal Processing – Sprecial Issue RGB ve R kodlama tekniklerinden eld ction and Access Control for Multimedia aynÕ oldu÷u görülmektedir. Fakat 01,1998. Zhu, A.T. Tewfik, “Multiresolution scene- seviyesinde incelendi÷inde, R ko arking using perceptual models”, IEEE J. pikseldeki bozulmanÕn RGB kodlam n., vol. 16, pp. 540–550, 1998. oldu÷u görülür. Çünkü RGB kodlama hu, A.T. Tewfik, “Data Hiding for Video-in- , Santa Barbara, CA, 2:676-679, 1997. bileúenlerine uygulanan kodlama yö ermarking Via Optimization Algorithms For renk bileúenlerindeki de÷iúimler 0–9 mized Image Characteristics”, Microsoft olacaktÕr. Fakat R kodlamada ise R re hy and Anti-Piracy Group WA, USA. it, M. Cakiroglu, “A New Data Embedding renk bileúenlerinden farklÕ olarak sa n Pictures” The 2006 World Congress in arasÕnda bozulmaya maruz kalacaktÕr Computer Engineering, and Applied içerisinde bozulan piksel sayÕsÕnÕ a 29, 2006, Las Vegas, USA. algÕlanabilirli÷i azaltmaktadÕr. [9] I. Koprinska, S. Carrato, “Temporal Video Segmentation: A Survey”, Signal Processing Image Communication, Elsevier Science, 2001. VI. SONUÇLAR [10] F. Akar, H. S. Varol, “A New RGB Weighted Encoding Technique for Efficient Information Hiding in Images” Journal of Bu makalede sunulan araútÕrmanÕn amacÕ, Internet gibi Naval Science and Engineering Number 2 Volume 2 July 2004. güvenli olmayan ortamlarda güvenli haberleúme [11] K.S. Jonathan, F. Hartung, B. Girod, “Digital Watermarking Of sa÷layabilmek için haberleúme bilgilerinin korunmasÕnÕ Text, Image, And Video Documents Comput. & Graphics”, Vol. 22, No. 6, pp. 687±695, Elsevier Science, 1999. kapsayan yeni birtakÕm veri gizleme tekniklerini ortaya [12] A.N. Netravali, B.G. Haskell, “Digital Pictures: Representation, koymak ve gerçekleútirmektir. Compression, and Standards (2nd Ed)”, Plenum Press, New York, SÕrörtme iúleminde birinci ve en önemli gereksinim NY 1995. [13] M. Rabbani, P.W. Jones, “Digital Image Compression algÕlanamazlÕktÕr. Resim, video gibi görsel içerikli taúÕyÕcÕ Techniques”, Vol TT7, SPIE Optical Engineering Press, Bellvue, dosyalarda algÕlanabilirlik kÕstasÕ øGS’ne ba÷lÕdÕr. Bu Washington 1991. durumda geliútirilmesi gereken yeni yöntemin øGS [14] http://en.wikipedia.org/wiki/Peak_signal-to- noise_ratio#searchInput#searchInput (Eriúim Tarihi: Haziran özelliklerine, sÕnÕrlarÕna hassas olmasÕ gerekmektedir. 2008). AraútÕrmada gizli verinin video çerçevelerinin veri [15] O. Cetin, “A Data Embedding Algorithm Design for Video gömmeye uygun pikselleri içerisine yerleútirilmesinde Applications Using a New Steganography Approach (Thesis or Dissertation style),” Ph.D. dissertation, Dept. Elect. Eng., Sakarya daha önceki yapÕlmÕú benzer çalÕúmalarda uygulanmayan Uni., Sakarya, Turkey, 2008. histogram ve görülebilir ÕúÕk dalgaboyu yöntemleri kullanÕlmÕútÕr. Video dosyalarÕnda øGS’nin duyarlÕ oldu÷u en önemli nokta, renk geçiúleri ve video içerisindeki Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 88

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Uluslararası Ülke Güvenliğinde Hukuki ve Teknik Yaklaşım Köksal ÖZENÇ,Mustafa ALKAN, Tayfun ACARER Abstract- And the risks against the security of the Çok çeúitli sayÕda bilgi ve iletiúim teknolojilerinin information and data because of our today’s developing günümüzde hÕzla artan bir oranda kullanÕlÕr hale gelmesi technology increase too. The certain sources say that the market ekonomik ve sosyal hayatta karúÕlaúÕlan pek çok iúlemleri on the software programs for the internet security was about kolaylaútÕrdÕ÷Õ ölçüde bilgi güvenli÷ine karúÕ çeúitli boyutlarda USD 4,4 bn as for the last of 1999 and also this figure amounts to risk ve tehditleri de beraberinde getirebilmektedir. Zira yabancÕ USD 8,3 bn with an increase of % 23 on average per year. ülkelerde oldu÷u gibi ülkemizde de bilgisayar ve mobil iletiúim Furthermore while the overheads done for information security teknoloji cihaz ve sistemlerini kullanan kiúiler ço÷unlukla in the information and communication technologies which has bilgi güvenli÷ine karúÕ oluúabilecek risk ve tehditlerin farkÕnda great importance for EU were USD 465 million, this amount de÷ildir. Oluúan bu risk ve tehditler, kiúilerin ço÷unlukla maddi increased up to USD 2,74 bn in 2006. Because Euro 1,4 bn in the kayba u÷ramalarÕna ya da bilgilerinin de÷iútirilmesi, silinmesi term of 2007/2013 has been assigned for the R&D projects in the ya da izinsiz olarak eriúilmesi gibi istenmeyen bazÕ durumlara field of information security technologies within the context of neden olabilmektedir. the 7th Framework Program which has a budget of Euro 5,3 bn. [1] II. BøLGø GÜVENLøöøNøN EKONOMøK BOYUTU In deed while the market share of security software was USD 1995 yÕlÕnda sadece 20.000 olan web sitesi sayÕsÕnÕn 8,2 bn in 2006, it has been estimated that this share will be USD 9,1 bn in 2007 and the share for antivirus software USD 4,9 bn 2008 yÕlÕnda 101 milyonu geçti÷i dikkate alÕndÕ÷Õnda with the increasing of 54% in 2007. Therefore it has been internet ve multimedya ortamÕnda kullanÕlan ses, data ve understood that the financial burden to be realized for the görüntü olmak üzere her türlü bilgi ve verinin güvenlik information security is how much important taking into account boyutunun ne kadar önemli oldu÷u ve buna ba÷lÕ olarak this issue. da güvenli÷in sa÷lanmasÕ sorununun çözülmesinin de bir o kadar karmaúÕk ve zor oldu÷u ortaya çÕkmaktadÕr. Keywords—Information security, Echelon, CETS, AyrÕca bilgi ve iletiúim teknolojilerinin özelli÷i TEMPEST nedeniyle veri güvenli÷i hususunda uluslararasÕ iúbirli÷i de çok önemlidir. Zira günümüzün geliúen teknolojisi I. GøRøù sayesinde biliúim suçlarÕ artÕk sÕnÕrlarÕ aúan bir boyut kazanmÕútÕr. Örne÷in, 2000 yÕlÕnda ortaya çÕkan Love Bilindi÷i üzere günümüzün gerek geliúen ve gerekse de Letter virüsünün tüm dünyada yaklaúÕk 7 milyar ABD birbirine yakÕnsayan teknolojileri sayesinde ses, data ve DolarÕ zarar verdi÷i tahmin edilmektedir. görüntü olmak üzere her türlü bilgi ve verilerin hÕzlÕ bir úekilde iletilmesi, alÕnmasÕ ve iúlenmesi büyük ölçüde Benzer úekilde 2001 yÕlÕnda Code Red Worm virüsü hayatÕmÕzÕ kolaylaútÕrmakla beraber bilgi ve iletiúim ortaya çÕktÕ÷Õndan itibaren ilk 14 saat içinde 359.000 teknolojilerinde “bilgi güvenli÷i” gibi oldukça önemli bir adet sisteme zarar verirken, 2003 yÕlÕnda ortaya çÕkan hususu da gündeme getirmektedir. Zira, bilgi ve iletiúim Sequel Slammer virüsü ise bundan çok daha hÕzlÕ bir teknolojilerinin toplum bazÕnda yaygÕnlaútÕrÕlmasÕ, sadece úekilde yayÕlma göstererek sadece ilk 10 dakika içinde etkin ve verimli kullanÕmÕna de÷il aynÕ zamanda sözkonusu 75.000 adet sisteme zarar verdi÷i tahmin edilmektedir. teknolojilerde kullanÕlan tüm cihaz, ekipman ve sistemlerde FBI tarafÕndan yapÕlan araútÕrmaya göre halen günümüze bilgi güvenli÷inin de tam olarak sa÷lanmasÕna ba÷lÕdÕr. kadar yaklaúÕk 70.000 adet virüsün tesbit edildi÷i ve dünyada mevcut olan internet web server’lerinin Bilgi toplumu hedefine ulaúÕlmasÕ ve elektronik imzaya yaklaúÕk %85’inin en az bir kez siber saldÕrÕya maruz dayalÕ elektronik devlet ve elektronik ticaret uygulamalarÕnÕn kaldÕ÷Õ dikkate alÕndÕ÷Õnda konunun ekonomik yaygÕnlaúmasÕ, bilgi ve iletiúim teknolojilerinde güvenli bir boyutunun oldu÷u kadar uluslararasÕ iliúkiler boyutunun ortamÕn, açÕk a÷larda dolaúan bilginin güvenli÷inin ve kiúisel da ne kadar önemli oldu÷u ortaya çÕkmaktadÕr. verilerin gizlili÷inin sa÷lanmasÕ ile mümkün olmaktadÕr. Bu nedenle, taraflararasÕ iletilerde bilginin gizlili÷i, bütünlü÷ü ve her III. BøLGø GÜVENLøöøNDE AB’NøN istenilen anda eriúilebilirli÷inin sa÷lanmasÕ için teknik ve hukuki HUKUKø YAKLAùIMI önlemlerin alÕnmasÕ büyük önem arzetmektedir. YukarÕda belirtilen hususlar çerçevesinde istenmeyen bu durumlarÕn engellenebilmesini teminen AB, hukuki Bilgi Teknolojileri ve øletiúim Kurumu, alanda aúa÷Õda belirtildi÷i üzere bazÕ düzenlemeler kozenc@tk.gov.tr, malkan@tk.gov.tr, tacarer@tk.gov.tr yapmÕútÕr. [2] Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 89

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Avrupa Birli÷i’ndeki bilgi güvenli÷i alanÕndaki çalÕúmalar koymuútur. AB mevzuat uyum çalÕúmalarÕ çerçevesinde esas itibariyle 1987 yÕlÕnda baúlamÕútÕr. 1987 yÕlÕnda sözkonusu Direktifin uyumlaútÕrÕlmasÕ amacÕyla Kurum yayÕnlanan Green Paper (Yeúil Rapor) ile AB, tarafÕndan 06.02.2004 tarihinde Telekomünikasyon telekomünikasyon sektöründeki bilgi güvenli÷inin önemine Sektöründe Kiúisel Bilgilerin øúlenmesi ve Gizlili÷inin iúaret etmiútir. AyrÕca AB, bilgi ve iletiúim teknolojileri KorunmasÕ HakkÕnda Yönetmelik çÕkartÕlmÕútÕr. üzerinde bilgi güvenli÷inin sa÷lanmasÕ ve mahremiyetin korunmasÕ konusunda geliúen teknolojik ve sosyal ihtiyaçlarÕ YukarÕda belirtilen hususlarÕn yanÕ sÕra, AB yukarÕda da dikkate alarak telekomünikasyon sektöründe sayÕlan direktifleri tamamlayÕcÕ nitelikte olmak üzere serbestleúmenin Topluluk içinde 2000 yÕlÕna kadar aúa÷Õda belirtilen bazÕ kararlar almÕútÕr. tamamlanmasÕnÕn hedeflendi÷i 1998 mevzuatÕ çerçevesinde 95/46/EC ve 97/66/EC sayÕlÕ AB Direktifleri düzenlenerek - Bilgi güvenli÷inin sa÷lanmasÕna iliúkin 31 Mart yürürlü÷e konulmuútur. 1992 tarih ve 92/242/EC sayÕlÕ Konsey KararÕ, - ùebeke ve bilgi güvenli÷i kültürüne do÷ru Di÷er taraftan AB, özellikle 1995’li yÕllardan itibaren Avrupa’nÕn yaklaúÕmÕna iliúkin 18 ùubat 2003 internet ve multimedya teknolojilerinin toplum tarafÕndan çok tarih ve 2003/48/EC sayÕlÕ Konsey KararÕ, büyük bir hÕzla kullanÕlÕr hale gelmesiyle birlikte özellikle - ùebeke ve bilgi güvenli÷inin iyileútirilmesi ve internet teknolojilerinin beraberinde getirdi÷i bazÕ kolaylÕklar uygulamanÕn yayÕlmasÕ ile ilgili e-Avrupa Eylem ve imkanlara ilaveten küçük çoçuklarÕn internet ortamÕndaki PlanÕ’nÕn izlenmesine iliúkin 17 KasÕm 2003 tarih ve muzÕr yayÕnlardan korunmasÕ amacÕyla “Küresel a÷lar 2256/2003/EC sayÕlÕ Konsey KararÕ, üzerinde zararlÕ ve yasadÕúÕ içerikle mücadeleyle internetin daha güvenli kullanÕmÕ” hususunda 99/276/EC sayÕlÕ bir AyrÕca, yukarÕda belirtildi÷i üzere kiúisel verilerin ve Karar yayÕnlamÕútÕr. mahremiyetin korunmasÕna yönelik olarak bir çok farklÕ alanda düzenleme yapma ihtiyacÕ hisseden AB, AyrÕca, 1998 tarihli mevzuat çerçevesinde sözkonusu düzenlemelerden özellikle genel anlamda ve telekomünikasyon sektöründe hedeflenen serbestleúmeyi sektör spesifik alanda olmak üzere iki ayrÕ yapÕ halinde tamamlayan AB, bu kez teknolojideki ve buna ba÷lÕ olarak da kurumsallaúmaya do÷ru da bir adÕm atmÕútÕr. Bu telekomünikasyon sektöründe çerçevede kiúisel verilerin ve mahremiyetin korunmasÕna * ses ve veri yönelik olarak 95/46/EC sayÕlÕ Direktifte belirtilen * telekomünikasyon ve radyo-TV yayÕnÕ hususlara kurumsal bir yapÕ kazandÕrmak amacÕyla * sabit ve mobil “Topluluk kurumlarÕ tarafÕndan kiúisel verilerin hizmetler olmak üzere üç farklÕ alanda gerçekleútirilen ve iúlenmesi, kiúilerin korunmasÕ ve bilgilerin serbest toplum hayatÕnÕ ve dolayÕsÕ ile de telekomünikasyon dolaúÕmÕ”na iliúkin olarak onayladÕ÷Õ 2001/45/EC sayÕlÕ alanÕndaki düzenlemeleri derinden etkileyen yakÕnsama Tüzük ile AB içinde ilk kez “Veri Koruma Görevlisi” ve konusunu dikkate alarak 2002 tarihinde yeni bir düzenleyici “Avrupa Veri Koruma Denetmeni” gibi bazÕ görev ve çerçeve mevzuatÕnÕ hazÕrlayarak yürürlü÷e koymuútur. fonksiyonlara iúlerlik kazandÕrÕlmÕútÕr. YukarÕda belirtilen hususlar çerçevesinde Benzer úekilde sektör spesifik bir alanda, sadece telekomünikasyon, radyo-TV yayÕn, sabit ve mobil hizmetler, telekomünikasyon sektörüne özgü olmak üzere ve bu ses ve veri hizmetleri, internet ve multimedya hizmetlerindeki kapsamda düzenleme amacÕyla yürürlü÷e konulan 2002 bu yakÕnsama nedeniyle artÕk AB, 1998 tarihli çerçeve tarihli yeni düzenleyici çerçeve mevzuatÕ kapsamÕnda mevzuatÕnda yer alan ve teknolojiye ba÷lÕ olan di÷er bir kabul edilen elektronik haberleúme úebeke ve hizmetleri deyiúle belirli bir teknolojiyi ça÷rÕútÕran “telekomünikasyon”, konusundaki 2002/58/EC sayÕlÕ Direktif ve 99/276/EC radyo-TV yayÕncÕlÕ÷Õ”, “uydu hizmetleri”, “sabit ses sayÕlÕ Karar’a iliúkin hükümleri de kapsayacak úekilde hizmetleri”, “mobil hizmetler”, “veri hizmetleri” gibi tanÕm AB tarafÕndan “Avrupa ùebeke ve Bilgi Güvenli÷i ve ifadeler yerine tüm bunlarÕ tek bir baúlÕk altÕnda Kurumu”nun (ENISA-European Network and kapsayacak úekilde ve teknoloji nötür bir ifade olan dolayÕsÕ Information Security Agency) kurulmasÕ amacÕyla ile de teknolojilerin her alanÕnda yakÕnsamayÕ ifade eden 2004/460/EC sayÕlÕ Tüzük yayÕnlanmÕútÕr. “elektronik haberleúme úebekeleri ve hizmetleri” úeklinde farklÕ bir tanÕmÕ gündeme getirmiútir. YukarÕda belirtilen hususlara ilaveten AB, özellikle tüm dünyada 1990’lÕ yÕllardan itibaren geliúen ve Bu kapsamda, 2002 yÕlÕnda kabul edilen ve 2003 yÕlÕnda yaygÕnlaúan elektronik ticaret ve elektronik imza AB üyesi ülkelerde yürürlü÷e giren yeni çerçeve düzenleyici uygulamalarÕna özgü çÕkartmÕú oldu÷u 2000/31/EC ve paket kapsamÕnda 1998 tarihli mevzuatta yer alan 99/93/EC sayÕlÕ Direktifler’de de kiúisel verilerin ve telekomünikasyon sektöründeki kiúisel verilerin iúlenmesi ve mahremiyetin korunmasÕnÕ sa÷lamak üzere kriptografi mahremiyetin korunmasÕ konusundaki 97/66/EC sayÕlÕ AB ve elektronik imza teknolojileri çerçevesinde uygulanan Direktifi’nin yerine geçen elektronik haberleúme sektöründe standartlara iliúkin olarak bazÕ hükümler getirmiútir. mahremiyetin korunmasÕ ve kiúisel verilerin iúlenmesi hususundaki 2002/58/EC sayÕlÕ Direktifi yürürlü÷e Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 90

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Son olarak da AB tarafÕndan elektronik haberleúme B. Kanada’da Çocuk Pornosunun Önlenmesine Yönelik úebekeleri kullanÕlarak gerçekleútirilen tüm haberleúmenin Bir Sistem: CETS (telefon, faks, VoIP, e-posta vs.) kim tarafÕndan ne zaman ve Bilindi÷i üzere günümüzde internet kullanÕmÕnÕn her kimle yapÕldÕ÷Õna dair ve haberleúmenin içeri÷i de dahil geçen gün artmasÕ, beraberinde çocuklarÕn internet olmak üzere ileride meydana gelebilecek herhangi bir yasal kullanÕlarak istismar edilmesi ve bu çerçevede çocuk soruúturma ya da incelemede kullanÕlabilmesini teminen pornosunun çok büyük bir boyuta ulaúmÕú olmasÕ gerekli olabilecek tüm bilgilerin 6 aydan az olmamak ve 2 toplumda büyük bir rahatsÕzlÕ÷a neden olmaktadÕr. Bu yÕldan fazla olmamak úartÕyla depolanmasÕ yönünde rahatsÕzlÕktan hareketle Kanada polisi, 2003 yÕlÕnda bir telekomünikasyon sektöründeki mobil iúletmecilere, sabit çocuk pornosunun kullanÕldÕ÷Õ bir web sitesinin iúletmecilere, MVNO ve ISP gibi di÷er tüm sektör aktörlerine izlenmesi ve tespit edilebilmesini teminen Microsoft bir görev verilmiútir. Bu çerçevede 13.4.2006 tarihli AB firmasÕndan yardÕm talep edilmiútir. Sözkonusu talep Resmi Gazetesi’nde yayÕnlanan 2006/24/EC sayÕlÕ Direktif üzerine Microsoft tarafÕndan hazÕrlanan ve adÕna CETS gere÷ince bu husus yasal bir zorunluluk haline getirilmiútir. (Chield Exploitation Tracking System) denilen özel bir yazÕlÕm sayesinde tüm internet siteleri önceden IV. AVRUPA BøRLøöø’NDE GÜVENLøK POLøTøKASI belirlenmiú olan kelime ve/veya kelime gruplarÕ ve belirli resimler taranarak çocuk pornosunun kullanÕldÕ÷Õ Bilgi toplumu hizmetlerinin geliúmesiyle bilgi güvenli÷i, iú sitelerin tespit edilmesi sa÷lanmÕútÕr. Sözkonusu projenin dünyasÕnÕn vatandaúÕn ve kamu sektörünün yaptÕ÷Õ her maliyeti yaklaúÕk 2,5 milyon ABD DolarÕ olup, internete iúlemde vazgeçilmez bir unsur olmuútur. Bu nedenle, AB eriúim yapan çocuklarÕn yaklaúÕk % 20’sinin pornografik bünyesinde ortak tutum, fikir ve anlayÕú birli÷inin kurulmasÕ saldÕrÕya maruz kaldÕ÷Õ tahmin edilmektedir. [4] ve iç pazarÕn sa÷lÕklÕ çalÕúmasÕ amacÕyla, AB içinde güvenlik kültürü oluúturulmasÕ hedeflenmiútir. Bu kapsamda, C. Carnivore 92/242/EC sayÕlÕ Konsey KararÕ ile 2002 yÕlÕ e-Avrupa Eylem Carnivore, ABD’de FBI tarafÕndan 2000’li yÕllarÕn PlanÕ ve 2256/2003/EC ve 2003/48/EC SayÕlÕ Konsey baúÕnda geliútirilen özel bir elektronik izleme sistemine KararlarÕ ile 2005 yÕlÕ e-Avrupa Eylem PlanlarÕ verilen isimdir. Bu sistem FBI tarafÕndan daha önceden oluúturulmuútur. Bu eylem planlarÕnda; kullanÕlan Omnivore adlÕ sistemin geliútirilmiú - Elektronik ortamda depolanan, iúlenen ve iletilen bilginin versiyonudur. Carnivore sistemi, adli mercilerin izni ile kazara veya kasÕtlÕ tehditlere karúÕ uygun úekilde internet üzerinden gerçekleútirilebilecek suçlarÕ ve korunmasÕ, suçlularÕ önleme ve izleme amacÕyla ya internet servis - Konu ile ilgili uluslararasÕ standartlarÕn kabul edilmesi, sa÷layÕcÕsÕna ba÷lanÕr. Bu sayede takibe alÕnan kiúinin e- - Konu ile ilgili üye devletlerde gerekli düzenlemelerin posta mesajlarÕ, ICQ mesajlaúmalarÕ ve hangi web yapÕlmasÕnÕn gereklili÷i, sayfasÕnda ne kadar süre gezindi÷i ve ne yaptÕ÷Õ gibi her - Bilgi sistemlerinin güvenli÷i için kullanÕcÕ ve servis türlü iúlem dahil olmak üzere internet vasÕtasÕyla sa÷layÕcÕlara düúen görevlerin tanÕmlanmasÕ, gerçekleútirmiú oldu÷u her türlü iúlem takibe alÕnÕr. - Her kesimden kullanÕcÕnÕn bilgilendirilmesi ve Carnivore sisteminin FBI tarafÕndan kullanÕlmasÕ bilinçlendirilmesi için bilgi ve veri güvenli÷i ile sayesinde 25600 suçlu yakalanmÕútÕr. mahremiyetin korunmasÕ e÷itimlerine önem verilmesi, gerekti÷i vurgulanmÕútÕr. 11 Eylül 2001’de ABD’de yaúanan terörist saldÕrÕ sonucu iki adet gökdelenin çökmesi sonucu ABD V. ULUSLARARASI BøLGø GÜVENLøöøNE øLøùKøN Temsilciler Meclisi tarafÕndan 24 Ekim 2001 tarihinde BAZI ÖRNEKLER kabul edilen ABD VatandaúlÕk Kanunu ile internetteki her türlü verilerin FBI tarafÕndan izlenmesi ve kayÕt A. øngiltere altÕna alÕnmasÕ hüküm altÕna alÕnmÕútÕr. øngiltere, biyometrik güvenlik önlemlerini de içeren kimlik kartlarÕnÕn vatandaúlara da÷ÕtÕlmasÕ için bir proje baúlatmÕútÕr. Ancak her úeye ra÷men Carnivore sisteminin Zira kimlik bilgilerinin çalÕnarak kopyalanmasÕ sonucu çok kullanÕlmasÕnÕn, 2001 yÕlÕnda FBI tarafÕndan terk sayÕda insan maddi ve manevi zarara u÷ramÕú bulunmaktadÕr. edildi÷i 2005 yÕlÕnda ilan edilmiútir. Bunun yerine daha øngiltere’de kimlik bilgilerinin çalÕnmasÕna karúÕ mücadele da geliútirilmiú olan ve kod adÕ “DragonWare Suite” vermek üzere sivil toplum kuruluúu sÕfatÕyla kurulmuú olan olan ve üç ayrÕ amaca yönelik olarak hazÕrlanmÕú olan Cifas’a göre örne÷in sadece 2004 yÕlÕnda 119.000 kiúinin “Carnivore”, “Packeteer” ve “CoolMiner”dan oluúan bir kimlik bilgileri kullanÕlarak maddi çÕkar sa÷lanmÕútÕr. Cifas, sistem hizmete alÕnmÕútÕr. FBI bu ve buna benzer øngiltere’de 240 üyesi ile beraber baúta telekomünikasyon sistemleri daha ziyade suçlularÕ, casuslarÕ, kaçakçÕlarÕ ve úirketleri olmak üzere bankacÕlÕk sektörü ve çeúitli ticari teröristleri takip etmek amacÕyla yo÷un bir úekilde firmalardaki kiúisel bilgilerin baúka amaçlarla kullanÕlmasÕnÕ kullanmÕútÕr. Sözkonusu sistemin toplam maliyetinin 6- önlemek ve kullanÕldÕ÷Õ takdirde bunu yetkili makamlara 15 milyon ABD DolarÕ oldu÷u ifade edilmektedir. [5] ihbar etmek üzere kar amacÕ gütmeden çalÕúma yapan çok D. Echelon sayÕdaki sivil toplum kuruluúundan birisidir. [3] Echelon sistemi küresel bir haberleúme müdahale (COMINT - Communications Interception) sistemi olup, Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 91

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION tüm dünyadaki askeri ve sivil her türlü haberleúme izlenmekte iletken bir maddeyle kaplanarak elektromanyetik ve kaydedilmektedir. Sistemin yönetimi, tamamen ABD’nin yayÕnlarÕ durdurucu Faraday kafesi oluúturulur. OdalarÕn Ulusal Güvenlik Kurumu (NSA - National Security Agency) havalandÕrma giriúlerine dalga kÕrÕcÕ yansÕtÕcÕlar konur. olup, sistemin varlÕ÷Õ 1999 yÕlÕna kadar sürekli olarak inkar Elektrik úebekesine olan ba÷lantÕlar açÕkverici iúaretlerin ediliyordu. Ancak 16 Mart 1999’da Avustralya’daki Ulusal bulunabilece÷i frekanslarÕ kesen filtreler aracÕlÕ÷Õyla Askeri Muhabere Merkezi (DSD - Defense Signals yapÕlÕr. Bu tip odalar genellikle ses yalÕtÕmÕna da tabi Directorate) Müdürü Martin Bradley’in bir muhabir olan Ross tutulur. Coulthart’a yazdÕ÷Õ mektupta ortaya çÕktÕ. Bunun üzerine Avustralya hükümeti, MayÕs 1999’da yapÕlan bir açÕklama ile VII. øSTEK DIùI HABERLEùME Echelon sisteminin bir parçasÕ olduklarÕnÕ kabul etti. Ülkemizin AB mevzuatÕna uyumlaútÕrma sürecinde, istek dÕúÕ haberleúme konusuna önem verilerek bu Sistem çok güçlü bir yazÕlÕm ve donanÕm altyapÕsÕna konuda bir an önce yasal düzenleme çalÕúmalarÕna sahipti. Zira 1992 yÕlÕnda NSA’den emekli olan ve buranÕn baúlanmasÕ, bu konudaki sorumluluk ve yaptÕrÕmlarÕn müdürlü÷ünü yapmÕú olan Amiral William Studeman’Õn belirlenmesi gerekmektedir. YapÕlacak yasal düzenleme yaptÕ÷Õ açÕklamaya göre Echelon sistemi, saatte 2 milyondan ile, abonenin önceden rÕzasÕ olmadan istek dÕúÕ fazla telefon, teleks, e-posta ve faks mesajÕnÕ izleyebiliyor ve haberleúme yapÕlmasÕnÕn önlenmesi, gerçek ve tüzel kaydedebiliyordu ki bu rakam bir yÕlda 17,5 milyar mesaja kiúilerin kendi müúterilerine çÕkan yeni bir ürün veya karúÕlÕk gelmektedir. 1992 yÕlÕndaki teknolojik imkanlar hizmet hakkÕnda bilgi vermek amacÕyla mesaj sayesinde 2 milyon olan bu rakamÕn, günümüzde çok daha gönderebilmesi, ancak mesajÕn içeri÷inde mesajÕ fazla bir de÷ere ulaútÕ÷Õ düúünülebilir. gönderenin açÕk bir úekilde belirtilmesi ve alÕcÕnÕn mesajÕ tekrar almak istememesi durumunda ücretsiz ve Echelon sayesinde yapÕlan tüm izleme ve kayÕtlar do÷rudan kolay bir yolla reddebilme imkanÕnÕn tanÕnmasÕ, mesajÕn NSA ve CIA’ya yönlendirilmektedir. 11 Temmuz 2001 içeri÷inin ahlaka ve kamu düzenine aykÕrÕ olmamasÕ, tarihinde Echelon sisteminin mevcut olup olmadÕ÷Õ mesaj gönderen kiúilerin sahte isim ve úaúÕrtÕcÕ konu konusunda AB Parlamentosu tarafÕndan çok kapsamlÕ bir baúlÕ÷Õ kullanmalarÕnÕn önlenmesi, kiúinin rÕzasÕ úekilde hazÕrlanan ve yayÕnlanan rapor, Echelon sisteminin olmamasÕna ra÷men mesajÕn zorla gönderilmemesi, mevcut oldu÷unu kanÕtlamÕútÕr. AyrÕca sözkonusu raporda ahlaka ve kamu düzenine aykÕrÕ olmasÕ durumunda cezai Echelon sistemine benzer baúka sistemlerin Rusya, Çin ve müeyyidelerin konulmasÕ, pornografik içerikli mesajlarÕn Fransa gibi bazÕ ülkelerde de kurulu olabilece÷i ifade gönderimesinin yasaklanmasÕ sa÷lanmalÕdÕr. Bunun yanÕ edilmektedir.[6] sÕra, di÷er AB üyesi ülkelerde oldu÷u gibi kapsam içi yöntemin uygulanmasÕ gerekmektedir. VI. TEMPEST (TRANSIENT ELETROMAGNETIC PULSE SURVEILLANCE STANDARD) VII. SONUÇ VE DEöERLENDøRMELER BakÕr kablo ve monitör gibi ilave bazÕ donanÕmlardan Güvenlik açÕsÕndan göz önüne alÕnmasÕ gereken husus, oluúan tüm bilgisayar sistemleri, Hollanda’lÕ bilim adamÕna güvenlik alanlarÕnÕn çok iyi tespit edilerek bilginin hitaben adÕnÕ Van Eck’ten alan alÕcÕlar tarafÕndan alÕnabilen özelli÷ine en uygun önlemlerin alÕnmasÕdÕr. Ancak ünlü ve kaydedilebilen elektromanyetik yayÕnlarÕ yaymaktadÕr. hacker Kevin Mitnick’in “KÕrÕlamayacak site, Tempest teknolojisi, bu yayÕnlarÕn kullanÕlarak ve ortamdaki sÕzÕlamayacak a÷ yoktur” sözünden de anlaúÕlaca÷Õ üzere parazitlerden arÕndÕrÕlarak ve güçlendirilerek ilgili cihaz tam olarak bilgi güvenli÷inden söz etmek mümkün tarafÕndan yaklaúÕk 500 m kadar uzaktan alÕnmasÕnÕ olamamaktadÕr. Ancak, bu konuda atÕlacak en önemli engellemeye yönelik olarak oluúturulmuú bir teknolojidir. adÕmÕn etkin ve verimli bir güvenlik kültürünün oluúturulmasÕ, bilgi güvenli÷inin temel unsuru olan BilgisayarÕn klavyesinden, ekranÕndan, modem kablosu gibi kiúisel verilerin korunmasÕ ile ilgili düzenlemelerin çeúitli yerlerden elektromayetik sinyaller klavyede basÕlan yapÕlmasÕ ve küresel bir a÷ haline gelen bilgi ve iletiúim tuúlara, ekrandaki görüntüye ve modemle bilgisayar arasÕnda teknolojilerinde uluslararasÕ iúbirli÷ine önem geçen bilgileri içermektedir. Yeterli donanÕma sahip herhangi verilmesinin úart oldu÷u de÷erlendirilmektedir. biri bu yayÕnlarÕ bir veya iki kilometreye varabilen bir mesafeden kaydedebilir ve ekranÕnÕzda ne göründü÷ünü, A. Hükümetin; klavyede ne girildi÷i veya modemden ne geçti÷i bu yayÕnlar Tüm kesimden kullanÕcÕnÕn katÕlÕmÕnÕ sa÷layacak bir iúlenerek tekrar oluúturabilir. [7] “Eylem PlanÕ”nÕ baúlatmasÕ, bilgi sistemlerinin güvenli÷i için ulusal politika geliútirmesi ve di÷er ülkeler Tempest’de ekranlama, filtreleme veya yayÕlan dalgalara ile iúbirli÷i yapmasÕ, e÷itimler, broúürler, internet siteleri gürültü ekleyerek sinyali anlaúÕlmaz kÕlmak gibi hazÕrlamasÕ ve danÕúma birimleri kurmasÕ, konu ile ilgili uygulanabilecek bazÕ elektromanyetik güvenlik yöntemleri uluslararasÕ standartlarÕ Türk StandardÕ haline getirmesi mevcuttur. Bu tip yöntemlerde ya do÷rudan kullanÕlan ve kullanÕmÕnÕ sa÷lamasÕ, tüm kurumlarÕn, özel elektronik malzemeler ekranlanÕr ve giriú/çÕkÕúlarÕ filtrelenir kuruluúlarÕn ve sivil toplum kuruluúlarÕnÕn iúbirli÷i veya ekranlÕ olmasÕ gerekmeyen aletler ekranlÕ odalarda içinde bulunmasÕnÕ sa÷lamasÕ, ülke güvenli÷ini (Faraday kafesi) kullanÕlÕr. Ekranlanacak odalar tamamen sa÷layacak yasal düzenlemelerin bir an önce Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 92

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION yürürlü÷e girmesini sa÷lamasÕ, bilgi teknolojilerinin de÷erlendirilmesi gereklidir. Kurumun di÷er ülkelerdeki geliúimi için araútÕrma-geliútirmenin devletçe desteklenmesi, düzenleyici kurumlarla ikili iúbirli÷i geliútirerek, onlarÕn bilgi güvenli÷i ve kiúisel mahremiyete yönelik ihlalleri asgari telekomünikasyon alanÕnda kiúisel verilerin ve düzeye indirecek cezai önlemlerin alÕnmasÕnÕ sa÷lamasÕ, mahremiyetin korunmasÕ konusunda yaptÕklarÕ biliúim suçlarÕ ile ilgili birimler kurmasÕ, di÷er ülkelerde tecrübelerden faydalanmasÕ, edindi÷i izlenim ve oldu÷u gibi bilgi güvenli÷i konusunda kiúileri tecrübeleri sektöre aktarmasÕ oldukça büyük önem yönlendirebilecek ve olaylara müdahale edebilecek CERT arzetmektedir. gibi kurumlar kurmasÕ, gereklidir. AyrÕca bu konuda uluslararasÕ iúbirli÷inin önemli olmasÕ nedeniyle di÷er Bilgi toplumunun oluúturulmasÕ ve ülkelerle iúbirli÷i kurma yoluna gitmesi gereklidir. yaygÕnlaútÕrÕlmasÕnda en büyük engel olarak görülen istek dÕúÕ haberleúmenin artmasÕ toplumun hemen hemen B. Kurum ve kuruluúlarÕnÕn; tüm kesiminin (internet kullanÕcÕlarÕ, kamu sektörü, Kurumun yapÕsÕna uygun “Kurumsal Güvenlik PolitikasÕ” øSS’ler, hizmet sa÷layÕcÕlar) ortak kararlÕlÕ÷Õ, yapÕlacak geliútirmesi, bilgi güvenli÷i konusunda oluúturulan iúbirli÷i ve dayanÕúmayla oluúturulacak mücadelede standartlarÕn kullanÕmÕna özen göstermesi gereklidir. baúarÕ sa÷layabilecektir. Bu itibarla Kurum di÷er ilgili kurum ve kuruluúlarÕn iúbirli÷i ile istek dÕúÕ haberleúmeyi C. KullanÕcÕlarÕn; önleme konusunda görüú, öneri ve politikalarÕn Bilgi sistem ve a÷larÕndaki di÷er kullanÕcÕlara karúÕ sorumlu oluúturulaca÷Õ forumlar düzenlemelidir. AyrÕca kamu olduklarÕnÕn bilincinde olmasÕ, güncel antivirüs yazÕlÕmÕ ve kurum ve kuruluúlarÕnda ülke güvenli÷ine yönelik olarak lisanslÕ yazÕlÕmlar kullanmasÕ, ønternette kiúisel verilerini Bilgi Güvenli÷i Yönetim Sistemi’nin (ISO/IEC 27001, nasÕl koruyacaklarÕnÕ bilmesi, bilgasayar ve e-postalarÕ için COBIT vs.) kurulmasÕ ve bu çerçevede imkanlar parola kullanmasÕ ve bunlarÕ sÕk sÕk güncellemesi, ölçüsünde tüm bireylerin ve kamu çalÕúanlarÕnÕn bilgi güvenmedikleri sitelere girmemesi ve tanÕmadÕklarÕ kiúilerden güvenli÷i konusunda bilgilendirilmesi ve gelen e-postalarÕ açmamasÕ gereklidir. bilinçlendirilmesi çalÕúmalarÕnÕn bir an önce baúlatÕlmasÕ ve bu ba÷lamda e÷itim çalÕúmalarÕnÕn yapÕlmasÕ son D. Düzenleyici otoritelerin derece önemlidir. Güvenlik kültürü oluúturulmasÕnda her kurum, kuruluú ve bireye sorumluluk düúmesi nedeniyle Telekomünikasyon Sadece bilgi ve iletiúim teknolojileri boyutunda de÷il, Kurumu (TK) tarafÕndan “Kurumsal Bilgi Güvenli÷i günümüz kullanÕcÕlarÕnda oldu÷u kadar üretici ve PolitikasÕ” oluúturulmasÕ, Kurum çalÕúanlarÕnÕn elektronik iúletmeciler gibi daha bir çok sektör aktörlerinin ortamda tutulan ve aktarÕlan bilginin güvenli÷ini sa÷lama hepsinde ortak duyulan bir endiúe sözkonusudur. hususunda uymasÕ gereken kural ve politikalarÕn belirlenmesi “Güvenlik”. Zaten konu ile ilgili olarak çeúitli gerekmektedir. platformlarda halen çalÕúmalarÕ yürütülmekte olan tüm standardizasyon faaliyetlerinin temel hedefi sistem ve øSS’lere bilgi güvenli÷i ihlallerini önleme yetkisi ve cihazlar arasÕnda uyumlu çalÕúabilmeyi sa÷lamak oldu÷u yükümlülü÷ü verilmelidir. øSS’lerin aboneleri ile yaptÕklarÕ kadar, güvenlik unsuru da birinci derecede rol sözleúmede kendi abonelerinin bilgi güvenli÷i ihlali oynamaktadÕr. Ülke güvenli÷i kavramÕ içinde kiúisel ve yapamayacaklarÕ hüküm altÕna alÕnmalÕ ve kendi abonesinin kurumsal bilgi güvenli÷i gibi temel hususlar yer almakla ihlalinden øSS sorumlu tutulabilmelidir. AyrÕca abonelerinin birlikte, bunlarÕn altÕnda iletiúim a÷Õ güvenli÷i, iúletim hazÕrlamÕú olduklarÕ ønternet sitelerinde özellikle ticari sistemi güvenli÷i, veri tabanÕ güvenli÷i, internet eriúim sitelerde gizlilik politikalarÕnÕn ne oldu÷u kiúisel bilgilerin güvenli÷i, terminal cihazÕ ve sistem güvenli÷i gibi niçin istendi÷i, bilgilerin hangi amaçla kullanÕlaca÷Õ ve oldukça önemli hususlar bulunmaktadÕr. Özetle, burada bilgilerin güvenli÷inin nasÕl sa÷lanaca÷Õna iliúkin bilgilerin sayÕlanlarÕn hepsinin “Toplam Sistem Güvenli÷i” adÕ sunulmasÕ sa÷lanmalÕdÕr. Bununla birlikte siteler, “çerez” altÕnda toplanmasÕ mümkündür. (cookie) gönderilip gönderilmedi÷i konusunda kullanÕcÕyÕ bilgilendirmeli ve kullanÕcÕya bunu reddetme imkanÕ YukarÕda belirtilen hususlar, geniú bandlÕ tanÕnmalÕdÕr. teknolojilerin toplum bazÕna yaygÕnlaútÕkça ülke güvenli÷i ve veri güvenli÷i olgusunun beraberinde TK önderli÷inde tüm sektör aktörlerinin katÕlÕmÕ ile getirece÷i muhtemel risklerin ve siber saldÕrÕlarÕn da oluúturulacak ve “Elektronik Haberleúme Sektöründe do÷ru orantÕlÕ olarak artaca÷Õna iúaret etmektedir. Kiúisel Verilerin ve Mahremiyetinin KorunmasÕ DolayÕsÕ ile, konu sadece bilgisayar suçlarÕna yönelik Komisyonu” olarak adlandÕrÕlabilecek bir komisyon olarak ülkelerde görevli bir Kuruma iúlerlik sayesinde abone ve kullanÕcÕlar dahil olmak üzere tüm sektör kazandÕrÕlmasÕnÕ de÷il aynÕ zamanda yargÕ organlarÕ, aktörlerinin yapaca÷Õ toplantÕlarda karúÕlÕklÕ bilgi alÕú veriúi sanayi, tüketici kuruluúlarÕ, üniversiteler ve veri koruma ve istiúarelerde bulunarak kiúisel verilerin ve mahremiyetin kurumlarÕ arasÕnda iúbirli÷inin artÕrÕlmasÕnÕ ve korunmasÕna yönelik olarak ilgili mevzuatÕn varsa geliútirilmesini gerektirmektedir. Bununla beraber, bilgi eksikliklerinin tespiti, usul ve esaslarÕn belirlenmesi, ve iletiúim teknolojilerinde veri güvenli÷inin belki de en mevzuatÕn nasÕl daha iyi ve sa÷lÕklÕ olarak iúletilebilece÷inin önemli kÕsmÕnÕ oluúturan telekomünikasyon iúletmecileri Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 93

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION ile eriúim sa÷layÕcÕlarÕnÕn geliúen teknoloji çerçevesinde tesbit edilecek olan asgari seviyedeki güvenlik kriterlerine uymalarÕ da büyük önem arzetmektedir. Bu ba÷lamda “siber-suç polisi” ve “siber-suç savcÕsÕ” gibi yeni tanÕm ve meslek dallarÕnÕn ya da di÷er bir deyiúle bilgi ve iletiúim teknolojileri alanÕnda veri güvenli÷i konusunda hukuki ve teknik ihtisas gerektiren yeni branúlarÕn gündeme gelmesi bir teknolojik zorunluluk olarak ortaya çÕkmaktadÕr. Bu çerçevede; bilgi ve iletiúim teknolojileri alanÕnda bilgi güvenli÷i ve mahremiyetin korunmasÕna yönelik olarak AB’de halen çok çeúitli platformlarda mevcut çalÕúmalar, dikkate alÕnÕr ise, konu sadece Ülkemizin AB'ne uyumu açÕsÕndan de÷il; aynÕ zamanda günümüz teknolojisinin gereklerine ve ihtiyaçlarÕna mümkün olan en kÕsa sürede uyum sa÷layabilme ve hatta gerçekleútirilebilir ise; Ülkemizde baúta bilgi ve iletiúim teknolojilerinde veri güvenli÷i olmak üzere, di÷er teknolojik alanlarda da Devlet- Sektör-Üniversite iúbirli÷inin geliútirilebilmesi için, sözkonusu çalÕúmalarÕn mümkün olan en kÕsa sürede baúlatÕlmasÕnÕn, Ülkemiz menfaatleri açÕsÕndan do÷ru bir yaklaúÕm olaca÷Õ de÷erlendirilmektedir. Zira burada önemli olan husus, bir çok geliúmiú ülkede yazÕlÕm ve donanÕm ürünleri dahil olmak üzere biliúim sektörünün “Stratejik Sektör” olarak ilan edildi÷i olgusunun gerektirdi÷i ölçüde Ülkemizde topyekün bir iúbirli÷inin ve eyleminin gerekti÷idir. Bu çerçevede ülkemizde baúta Telekomünikasyon Kurumu olmak üzere, UlaútÕrma BakanlÕ÷Õ gibi ilgili tüm kamu kurum ve kuruluúlarÕnÕn ve di÷er sektör aktörlerinin de iútirakinin sa÷landÕ÷Õ “Bilgi Güvenli÷i Ulusal Koordinasyon Kurulu”nun kurulmasÕ son derece önem arzetmektedir. Kurulun temel amacÕ, telekomünikasyon sektöründeki abone ve kullanÕcÕlar dahil olmak üzere tüm sektör aktörlerinin ve ilgili kamu kurum ve kuruluúlarÕnÕn iútirak edece÷i toplantÕlarÕn düzenlenmesi ve bu çerçevede ilgili tüm taraflar arasÕnda bilgi, tecrübe ve doküman paylaúÕmÕnÕn yapÕlmasÕdÕr. AyrÕca “Bilgi Güvenli÷i Ulusal Koordinasyon Kurulu” tarafÕndan yürütülecek çalÕúmalarÕn kapsamÕ ise, ilgili taraflarla karúÕlÕklÕ bilgi alÕú veriúi ve istiúarelerde bulunarak bilgi güvenli÷inin teminine yönelik olarak ülkemizde ihtiyaç analizinin yapÕlmasÕ, hazÕrlanacak rapor ÕúÕ÷Õnda alÕnabilecek hukuki ve teknik tedbirlerin tespit edilmesi ve bu kapsamda yapÕlabilecek önerilerin de÷erlendirilerek ülkemiz açÕsÕndan bir raporun hazÕrlanmasÕ olarak belirlenmelidir. KAYNAKLAR [1] European Innovation, May 2007, pp8 [2] http:// ec.europa.eu/information_Society/index_en.htm [3] www.eurocomms.co.uk, Identity Crisis, Lynd Morley, pp7 [4] http://ncecc.ca/cets_e.htm [5] www.foxnews.com [6] http://en.wikipedia.org/wiki/echelon [7] System Security, Srdjan Capkun, pp6 Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 94

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Bir Sanal Noter Uygulamasının Teknolojik ve Hukuki Gereksinimleri Dursun AKÇEŞME, A.Çoşkun SÖNMEZ II. NOTER KURUMU Abstract— Nowadays, internet has become an inseparable part of our lifes. Every daily activities are being modeled under the Noterler kamuya hizmet veren çok önemli kurumlardÕr. name of e-proccess and with in the acceptance of e-sign law, e- Toplum nazarÕnda güven makamÕ olarak bilinirler. YaptÕklarÕ state projects took part of virtual environment. This progress has her iúlemde güvenli÷i maksimize etmeye çalÕúÕrlar. Herhangi arised the question wheter the public notary services can be bir noter iúleminde temel olarak dört koúul yerine getirilir. realised in virtual environment. Bunlar; noter iúlemine konu olan belgenin içeri÷inin tahrif In this study how public notary services can be realized is edilemeyece÷inin(veri bütünlü÷ü), belgenin gizlili÷inin examined. As a result of this study, it's decided that a big part of muhafaza edilece÷inin(veri gizlili÷i), iúlemi yapan kiúinin public notary services can be implemented in virtual nüfus cüzdanÕ, ehliyet, pasaport vb. ile kimlik tespiti environment with in the consideration of technological and judicial requirements. yapÕlaca÷ÕnÕn(kimlik do÷rulama ve onaylama), inkâr edilmemesi için iúlemi yapan kiúinin Õslak imzasÕnÕn Keywords— Digital Certificate, Digital Notarization, Digital alÕnaca÷ÕnÕn(inkâr edememe) güvence altÕna alÕnmasÕdÕr. Tüm Signature, Private Key, Public Key, Public Key Infrastructure. bu koúullar noterlerin yapmÕú oldu÷u her iúlemde yerine getirilir. Görülüyor ki, bir Sanal Noter UygulamasÕnÕn gerçekleútirilebilmesi için yukarÕda verilen, I. GøRøù x Veri Bütünlü÷ü 1 970’lerde entegre devrelerinin icadÕ ile baúlayan elektronikleúme süreci çok kÕsa sürede hayatÕn her alanÕna girmiútir. Hiç úüphe yoktur ki bu sürecin en önemli geliúmesi x x Veri Gizlili÷i Kimlik Do÷rulama ve Onaylama x ønkâr Edememe “internet”tir. Elektronik postayla baúlayan bu süreç, internet bankacÕlÕ÷Õ ve elektronik ticaret ile doru÷a ulaúmÕútÕr. Biliúim koúullarÕnÕn sa÷lanmasÕ gerekmektedir. Aksi halde, Sanal dünyasÕnda tüm bu geliúmeler ile birlikte sanal dünyada Noter UygulamasÕndan söz edilemez. güvenli÷in sa÷lanmasÕ da gitgide zorlaúmÕútÕr. Teknolojik olarak, AçÕk Anahtar AltyapÕsÕ üzerine kurulan Müthiú bir ivmeyle geliúen internet teknolojisi ile günlük sayÕsal imza ile veri gizlili÷i dÕúÕnda, veri bütünlü÷ü, inkâr hayatta yapÕlan iúlerin birço÷u e-iúlem adÕ altÕnda internet edememe, kimlik do÷rulama ve onaylama ortamÕnda modellenmiútir. Tüm bu geliúmeler beklentileri sa÷lanabilmektedir[2]. Veri gizlili÷i için aúa÷Õda verilen arttÕrmÕú kamu kurumlarÕnÕ tek bir çatÕ altÕnda birleútiren e- modelde görülece÷i gibi kriptolojik yöntemlerden devlet kavramÕnÕn do÷masÕna neden olmuútur. E-devlet yararlanÕlmaktadÕr. projelerinde mutlak güvenli÷in sa÷lanmasÕ gerekmektedir. Bu Hukuki açÕdan, 5070 SayÕlÕ Elektronik ømza Kanunu, sebeple e-devlet projelerinde veri bütünlü÷ü ve veri gizlili÷i nitelikli elektronik sertifika kullanÕlarak yapÕlan iúlemleri sa÷lanmalÕ, bunlarÕn yanÕnda kimlik do÷rulamasÕ yapÕlabilmeli hukuki olarak geçerli kÕlmaktadÕr. ve yapÕlan iúlemlerin inkâr edilmemesi sa÷lanmalÕdÕr. YukarÕdaki bilgiler ÕúÕ÷Õnda; kamu kurumlarÕ, iúletmeler ve III. TEKNOLOJøK GEREKSøNøMLER bireyler ile sürekli etkileúim halinde olan noterlere de sanal ortamda ihtiyaç duyulmuútur. A. AçÕk Anahtar AltyapÕsÕ(AAA) Noterlerin vermiú oldu÷u hizmetlerin tümünün sanal Sanal Noter teknolojik altyapÕsÕ, AçÕk Anahtar AltyapÕsÕ ortama taúÕnmasÕ hukuki mevzuattan ve yapÕlacak iúin üzerine kurulu olan sayÕsal imza ile sa÷lanmaktadÕr. AçÕk niteli÷inden dolayÕ mümkün de÷ildir[1]. Fakat noterlerin bazÕ Anahtar AltyapÕsÕ’nÕn temel görevi; elektronik ortamda hizmetlerinin sanal ortama taúÕnmasÕ, mevcut teknolojik haberleúen, iúlem gören ve çalÕúan kiúiler, kurumlar ve koúullar ve hukuki düzenlemeler ile mümkün olabilmektedir. cihazlar arasÕnda güvenilir bir haberleúme ortamÕ Bildiri içeri÷inde, noterlerin sanal ortamda hizmet verebilmesi oluúturmaktÕr[2]. Bu altyapÕ içerisinde gizlilik, bütünlük, inkâr edememe, kimlik do÷rulama ve onaylama iúlevleri sa÷lanarak için, teknolojik gereksinimi açÕsÕndan AçÕk Anahtar AltyapÕsÕ sanal ortam güvenli hale getirilir. üzerine kurulan sayÕsal imza ve hukuki geçerlilik bakÕmÕndan AAA kriptoloji bilimi üzerine kurulmuú bir yapÕdÕr. da 23 Temmuz 2004'te kabul edilen 5070 SayÕlÕ Elektronik Kriptoloji bilimi günümüzde anahtar tabanlÕ úifreleme üzerine ømza Kanunu esas alÕnmÕútÕr. yo÷unlaúmÕútÕr. Anahtar tabanlÕ úifreleme iki çeúittir. Bunlar simetrik ve asimetrik úifrelemedir. Simetrik úifreleme ve asimetrik úifreleme yöntemleri algoritma ba÷ÕmsÕz úifreleme yöntemleridir. Algoritma ba÷ÕmlÕ úifreleme yöntemleri günümüzde tercih edilmemektedir. Bunun sebebi, algoritmanÕn deúifre olmasÕ D. AKÇEùME ve A.C. SÖNMEZ; YÕldÕz Teknik Üniversitesi, Bilgisayar Mühendisli÷i Bölümü, østanbul dursun.akcesme@halkbank.com.tr, acsonmez@ce.yildiz.edu.tr durumunda tüm sistemin güvenli÷inin tehlikeye girmesidir. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 95

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION En eski úifreleme yöntemlerinden olan Sezar ùifreleme özetini çÕkartÕr. Bu algoritma mesajÕn uzunlu÷u ne olursa algoritma ba÷ÕmlÕ úifrelemeye en güzel örnektir. Sezar olsun sabit uzunlukta ve mesajÕ ifade eden eúsiz bir özetini ùifreleme, her karakteri kendisinden sonra gelen üçüncü çÕkartÕr. Bu özetten mesajÕ elde etmek mümkün de÷ildir. karakteri alarak úifreler, deúifre etmek için de úifrelenmiú MesajÕn özeti çÕkartÕldÕktan sonra, mesaj ve mesajÕn özeti verinin her karakterinin kendisinden önce gelen üçüncü Ayúe’nin açÕk anahtarÕ ile úifrelenir. Ayúe’ye úifrelenmiú karakteri alarak metni deúifre eder[2]. mesaj gönderilir. ùifrelenmiú mesajÕ alan Ayúe kendi gizli anahtarÕ ile úifreli mesajÕ deúifre eder ve mesaja ulaúÕr. Daha Matematiksel olarak; sonra hash algoritmasÕ ile mesajÕn özetini elde eder, kendi elde etmiú oldu÷u de÷er ile gelen mesaj özetini karúÕlaútÕrÕr. Her iki E(M) = (M+3) mod 29 = C D(C) = (C–3) mod 29 = M özet de aynÕ ise Ayúe mesajÕn yolda de÷iúmedi÷ini anlar. Bu örnekte AAA ile gizlilikle beraber veri bütünlü÷ü de E = ùifreleme iúlemi D = Deúifre øúlemi sa÷lanmÕú olur(ùekil 2). M = ùifrelenecek Metin C = ùifrelenmiú Metin C = ùifrelenmiú Metin M = Deúifre Edilmiú Metin Ali PubAyúe(Msg + Hash) Ayúe úeklinde ifade edilir. Fonksiyonda oluúan verinin 29 mod alÕnma sebebi alfabemizde 29 harf bulunmasÕdÕr[2]. Bu ùekil 2. AAA Veri Bütünlü÷ü øúlevi úekilde bir úifreleme yapan sistemin algoritmasÕ mutlak suretle gizli kalmalÕdÕr. AlgoritmanÕn deúifresi tüm sistemi tehlikeye Ali Ayúe’ye gizlili÷i ve bütünlü÷ü sa÷lanmÕú, kimlik sokar. do÷rulama ve onaylama yapÕlabilen ve inkâr edilemeyen bir Simetrik úifreleme yöntemlerinde metni úifreleme ve deúifre mesaj göndermek istedi÷inde; Ali Ayúe’ye mesajÕ etmek için bir gizli anahtar kullanÕlÕr. KullanÕlan bu anahtarÕ göndermeden önce hash algoritmasÕ ile mesajÕn özetini úifreli haberleúmek isteyen her iki tarafta bilmelidir. Sistemin çÕkartÕr. Mesaj ve özetini kendi gizli anahtarÕ ile úifreler, daha güvenli÷i gizli anahtarÕn büyüklü÷ü ile do÷ru orantÕlÕdÕr. sonra úifreli mesajÕ Ayúe’nin açÕk anahtarÕ ile úifreler. Son Simetrik úifreleme yönteminde, IBM tarafÕndan geliútirilmiú úifrelenmiú mesajÕ Ayúe’ye gönderir. ùifrelenmiú mesajÕ alan olan DES(Data Encryption Standart) algoritmasÕ standart Ayúe önce kendi gizli anahtarÕ ile mesajÕ deúifre eder. Veri olarak kabul edilmektedir. gizlili÷i bu aúamada sa÷lanmÕú olur. Daha sonra Ali’nin açÕk Asimetrik úifreleme yönteminde ise, veriyi úifrelemek ve anahtarÕ ile úifrelenmiú ikinci mesajÕ deúifre eder. E÷er Ali’nin deúifre etmek için farklÕ anahtarlar kullanÕlmaktadÕr. Bu iki açÕk anahtarÕ bu úifreli mesajÕ deúifre ederse AAA ile kimlik anahtar üretilirken aralarÕnda matematiksel bir ba÷ kurularak do÷rulama ve onaylama sa÷lanmÕú olur. Bununla beraber bu üretilir. Bu anahtarlar açÕk anahtar(public key) ve gizli úifreli mesajÕ sadece Ali’nin gizli anahtarÕ anahtar(private key) olarak isimlendirilir. Bir anahtarÕn oluúturabilece÷inden AAA ile inkâr edememe sa÷lanmÕú olur. úifreledi÷i metni ancak ikizi olan di÷er anahtar deúifre Sonraki aúamada da özet de÷er ile hash algoritma sonucu edebilir. Burada, açÕk anahtar herkes tarafÕndan bilinen karúÕlaútÕrÕlarak veri bütünlü÷ü de sa÷lanmÕú olur(ùekil 3). anahtardÕr. Gizli anahtar ise sadece sahibi tarafÕndan bilinen ve gizli tutulmasÕ gereken anahtardÕr. Asimetrik úifrelemede, kullanÕlan algoritmanÕn bilinmesinin simetrik úifrelemede Ali PubAyúe(PrvAli(Msg + Hash)) Ayúe oldu÷u gibi hiçbir önemi yoktur. AAA asimetrik úifreleme yöntemini kullanmaktadÕr. AAA ùekil 3. AAA Kimlik Do÷rulama ve ønkâr Edememe øúlevi da úifreli haberleúmek isteyen her bireyin açÕk ve gizli anahtarÕ vardÕr. Bu iki anahtarÕn nasÕl kullanÕldÕ÷ÕnÕ açÕklayalÕm. Ali B. SayÕsal ømza Ayúe ile AAA ile haberleúmek istemektedir. Her ikisi de birbirlerinin açÕk anahtarlarÕna eriúebilmektedirler. Aúama SayÕsal ømza, Sanal Noter UygulamasÕnÕn en önemli aúama AAA’nÕn iúlevlerini görelim. bileúenidir. BaúlangÕçta belirtildi÷i üzere, noter kurumunda Ali Ayúe’ye gizlili÷i sa÷lanmÕú bir mesaj göndermek yapÕlan her iúlemde yerine getirilen veri bütünlü÷ü, inkâr istedi÷inde; Ali gönderece÷i mesajÕ Ayúe’nin açÕk anahtarÕ ile edememe, kimlik do÷rulama ve onaylama sayÕsal imza ile úifreleyerek Ayúe’ye gönderir. Gönderim esnasÕnda mesaja yerine getirilir. Fakat sayÕsal imza haberleúmede gizlili÷i eriúilse dahi úifrelenmiú oldu÷undan mesaj anlaúÕlamaz. sa÷lamaz[2]. Bunun sebebi AAA'da haberleúmede ùifrelenmiú mesajÕ alan Ayúe kendi gizli anahtarÕ ile úifreli gönderilecek mesaj úifrelenirken, sayÕsal imza yapÕsÕnda mesajÕ deúifre eder ve mesaja ulaúÕr. Bu örnekte anlaúÕldÕ÷Õ sadece mesajÕn hash algoritmasÕndan elde edilen özeti üzere AAA ile gizlilik sa÷lanmÕú olur (ùekil 1). úifrelenir. Bu úifrelenmiú özet de sayÕsal imzayÕ oluúturur. SayÕsal ømza 5070 SayÕlÕ Elektronik ømza Kanunu’ndaki tanÕmÕyla; “baúka bir elektronik veriye eklenen veya Ali PubAyúe(Msg) Ayúe elektronik veriyle mantÕksal ba÷lantÕsÕ bulunan ve kimlik do÷rulama amacÕyla kullanÕlan elektronik veriyi tanÕmlar" ùekil 1. AAA Gizlilik øúlevi úeklindedir[3]. Ali Ayúe’ye gizlili÷i ve veri bütünlü÷ü sa÷lanmÕú mesaj AAA'da haberleúmek isteyen her birey ve kurumun açÕk ve göndermek istedi÷inde; Ali Ayúe’ye mesajÕ göndermeden gizli anahtarÕ vardÕr. SayÕsal imza'da AAA üzerine kurulmuú önce hash algoritmasÕ (MD5, SHA–1, SHA–2 vb.) ile mesajÕn bir yapÕ oldu÷undan, sayÕsal imza ile haberleúmek isteyen her Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 96

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION bireyin açÕk anahtarÕnÕ içeren elektronik sertifikasÕ ve gizli ESHS anahtarÕnÕ muhafaza eden token ya da akÕllÕ kartÕ vardÕr. Ali e-sertifika Elektronik sertifikalar sahibinin sanal kimlik kartlarÕdÕr. Bu sanal kimlik kartlarÕnÕn yönetimini sa÷layan bir yapÕ daha vardÕr. Bu yapÕda Elektronik Sertifika Hizmet Ali Msg + Say-imza(Msg) Ayúe Sa÷layÕcÕsÕdÕr(ESHS). Ali Ayúe'yle sayÕsal imza kullanarak haberleúmek istedi÷inde ilk olarak hash algoritmasÕnÕ kullanarak gönderece÷i mesaj Kontrol özetini çÕkartÕr. Ondan sonra içinde gizli anahtarÕ bulunan usb ? token ya da akÕllÕ kartÕ ile mesajÕn özetini úifreler ve mesajla Msg(Hash) = DE(Say-imza) birlikte Ayúe'ye gönderir. MesajÕ alan Ayúe ESHS’dan içinde Ali'nin açÕk anahtarÕ bulunan elektronik sertifikasÕnÕ alÕr. Daha ùekil 4. SayÕsal ømza ile Haberleúme sonra buradaki açÕk anahtar ile sayÕsal imzayÕ deúifre eder. MesajÕ da hash algoritmasÕndan geçirerek mesajÕn özetine ulaúÕr. Deúifre etti÷i sayÕsal imza ile özet aynÕ ise bu mesajÕ Ali'nin imzaladÕ÷ÕnÕ anlar(ùekil 4). Bu senaryo da elektronik sertifikalar, inkâr edilememeyi, kimlik do÷rulama ve Sertifika Seri No 59014325431 onaylamayÕ sa÷lamaktadÕr. Görülüyor ki ESHS'lardan alÕnan Sertifika Sahibinin bilgi esas kabul edilmiútir. Bu kabul 5070 SayÕlÕ Elektronik Dursun Akçeúme Kimlik Bilgileri ømza Kanunu ile güvence altÕna alÕnmÕútÕr. Sertifika Geçerlilik 10 ùubat 2008 14.00 BaúlangÕç Tarihi C. Elektronik Sertifikalar Sertifika Geçerlilik 10Eylül 2009 14.00 Bitiú Tarihi Elektronik sertifikalar, kiúinin kimlik bilgisi ile kiúinin açÕk SertifikanÕn KullanÕm anahtarÕnÕ birbirine ba÷layan elektronik kayÕtlardÕr. Elektronik Test KullanÕmÕ AmacÕ sertifikalarÕn görevi kiúinin kimli÷ini do÷rulamak, inkâr KullanÕlacak edilememeyi sa÷lamaktÕr. 5070 SayÕlÕ Kanun ile elektronik Sha1RSA Algoritma sertifikalar kayÕtlÕ bir ESHS tarafÕndan verilirse nitelikli Sertifika Sahibinin 65 94 73 58 59 ef 8e 6f 1e 95 22 a7 elektronik sertifika(NES) olarak tanÕmlanÕrlar. Bu sertifikalar AçÕk anahtar Bilgisi c9 67 2e a5 d4 ee 2c 1c tektir, baúka bir kiúiye ba÷lÕ olamaz, yalnÕzca ba÷lÕ oldu÷u kimli÷i ifade eder. YayÕnlayan ESHS XXXX Kurumu Nitelikli elektronik sertifikalar UluslararasÕ Telekom Birli÷i 4t 4a 31 e8 9y 3d fa 3e 0a b7 dd ESHS SayÕsal ømzasÕ standartlarÕna göre X.509 standardÕnda tanÕmlanÕrlar[4]. 70 71 c7 51 7c 45 83 4f 11 Standart bir nitelikli elektronik sertifika örne÷i úekil 5'te ùekil 5. Nitelikli Elektronik Sertifika görülmektedir. Nitelikli elektronik sertifikalarÕn bir ömrü vardÕr. Bu sürenin sonunda sertifika yenilenir veya iptal edilir. Hiçbir D. Elektronik Sertifika Hizmet Sa÷layÕcÕ(ESHS) zaman hiçbir ESHS tarafÕndan, süresiz nitelikli elektronik ESHS’lar bireylere veya kurumlara nitelikli elektronik sertifika üretimi yapÕlamaz. Bu sertifikalarÕn üst sÕnÕrÕ sertifika veren ve vermiú olduklarÕ sertifikalarÕn yönetim iúini ülkemizde Telekomünikasyon Kurumu tarafÕndan belirlenir. üstlenen güven makamlarÕdÕr. ESHS’lar temel olarak kayÕt Bu sürenin sonunda yenilenmelidirler. Nitelikli elektronik makamÕ, sertifika makamÕ ve kök sertifikadan oluúur. KayÕt sertifika sahibi, gizli anahtarÕnÕ içeren donanÕmÕnÕ kaybetmesi makamÕ bireyin baúvuru yaptÕ÷Õ, nitelikli elektronik sertifika ya da benzer bir durumda nitelikli elektronik sertifikasÕ iptal taleplerinin alÕndÕ÷Õ ve ilgili kiúinin kimlik do÷rulamasÕnÕn edilir. Sertifikalar geçersiz olsa bile, sertifikanÕn geçerli yapÕldÕ÷Õ makamdÕr. Sertifika makamÕ ise eúsiz bir sertifika oldu÷u dönemlerde yapmÕú oldu÷u iúlemlerde gelecekte ihtilaf tanÕmlamasÕnÕn yapÕldÕ÷Õ ve tanÕmlanan sertifikayÕ kendi oluúmasÕ ihtimaline karúÕ, sertifikayÕ üreten ESHS tarafÕndan sayÕsal imzasÕ ile imzalayarak yayÕnlayan makamdÕr. geçersiz olmasÕndan sonra bile arúivlenirler. ESHS’larÕn temel görevleri; x Nitelikli Sertifika Üretimi x Zaman DamgasÕ Hizmeti x Nitelikli Elektronik SertifikalarÕ bir dizinde yayÕnlama ( Örnek olarak LDAP dizini) x SIL(CRL)(Sertifika øptal Listesi) yayÕnlama x ÇøSDUP(OCSP)(Çevrim øçi Sertifika Durum Protokolü) hizmeti x Sertifika Mali Sorumluluk SigortasÕ YaptÕrma x Kanunda belirtilen Sertifika ilkeleri(Sø) ve Sertifika Uygulama EsaslarÕna göre hizmet verme Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 97

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION x Tüm bu hizmetlerini sürekli kÕlmak “[3] ifadesine göre noterlerin yapmÕú oldu÷u iúlemlerin bazÕlarÕ sayÕsal imza kullanÕlarak yapÕlamaz. Ülkemizde oldu÷u gibi bir ülkede nitelikli elektronik sertifika veren birden fazla kurum olabilir. Bu durumda sertifika makamlarÕnÕn hepsi kök sertifika’ya ba÷lÕ olur. Her sertifika makamÕnÕn elektronik sertifikasÕnÕ da kök sertifika imzalar. Sertifika makamlarÕ kendi aralarÕnda çapraz sertifikasyon yaparak iletiúim kurarlar. ESHS’larÕn hizmetlerinden en önemlilerinden biride iptal veya bir sebepten dolayÕ geçersiz kÕlÕnan sertifikalarÕn yayÕnlandÕ÷Õ SIL listelerini belirli aralÕklarla yayÕnlamaktÕr. ESHS, yayÕnladÕ÷Õ listeyi kendi sayÕsal imzasÕyla imzalar. SertifikanÕn geçerlili÷i kontrol edildi÷inde, ESHS’Õn yayÕnladÕ÷Õndan emin olmak için sayÕsal imzalar mutlaka kök sertifikaya ulaúÕncaya kadar do÷rulanmalÕdÕr. Geçersiz kÕlÕnan ùekil 6. SayÕsal ømza DonanÕmlarÕ sertifikalarÕ anlÕk ö÷renmek için ise OCSP hizmetinden Fakat, yapÕlacak hukuki düzenlemeler(yönetmelik, tebli÷, yararlanÕlÕr, anlÕk olarak sertifikanÕn durumu hakkÕnda sayÕsal genelge vb) ile, sayÕsal imza kullanÕlarak sanal ortamda imza ile imzalanmÕú úekilde sertifikanÕn geçerlili÷i hakkÕnda aúa÷Õdaki noter iúlemleri hukuki normlara uygun, teknolojik bilgi verir. SIL listesinde oldu÷u gibi bu iúlemde de kök olarak her türlü bilgi güvenli÷i sa÷lanmÕú olarak yapÕlabilir. sertifikaya ulaúÕncaya kadar do÷rulama yapÕlmalÕdÕr. x Elektronik zaman damgasÕ vurma E. SayÕsal ømza DonanÕmlarÕ x Kendisine gönderilen elektronik belgelerdeki SayÕsal imzayÕ oluúturabilmek için kiúinin gizli anahtarÕnÕn Elektronik ømza ve tarihi onaylamak bir donanÕmda tutulmasÕ gereklidir. AAA tabanlÕ x Elektronik belgelerin saklanmasÕ ve istendi÷inde uygulamalarda, gizli anahtar bilgisi, bir kere yazÕlabilen ve belgelenmesi donanÕmÕn içerisinden çÕkartÕlamayan akÕllÕ kartlar veya usb x Özel Kanununda hükmü bulunmayan defterleri token'larda tutulurlar. Bu donanÕmlarÕn güvenlik seviyesi onaylamak minimum EAL–4 uluslararasÕ standardÕnda olmalÕdÕr. x Tebligat øúlemleri Her iki donanÕm da PIN(úifre) bilgisi ile korunur. øúlem yapÕlmak istendi÷inde sadece sahibinin bildi÷i PIN bilgisi A. Elektronik Zaman DamgasÕ Vurma girilerek iúlem yapÕlÕr. Aksi halde iúlem yapÕlmasÕ mümkün de÷ildir. PIN bilgisi girildikten sonra gizli anahtar verisi Noterlik Kanunu’nun 60. Maddesi 4. bendi “Bu kanuna karmaúÕk matematiksel fonksiyonlardan geçerek üretilir. uygun olarak dÕúarÕda yazÕlÕp getirilen kâ÷ÕtlarÕn üzerindeki imza, mühür veya herhangi bir iúareti veya tarihi onaylamak”[5] kanununa göre, noterler bir belge üzerinde F. Bir Sanal Noter UygulamasÕnda Gizlili÷in Sa÷lanmasÕ herhangi bir iúareti, tarihi, imzayÕ onaylayÕp tarih atarak Bir Sanal Noter UygulamasÕnda olmasÕ gereken veri hukuki geçerlili÷ini sa÷larlar. SayÕsal imza kullanÕlarak bütünlü÷ü, kimlik do÷rulama ve onaylama, inkâr edememe imzalanmÕú bir elektronik belge notere ulaútÕ÷Õnda kiúinin koúullarÕ yukarÕda ki bilgiler de görüldü÷ü gibi sayÕsal imza elektronik sertifikasÕyla kimlik do÷rulama yapÕlabilir. Bu kullanÕlarak yerine getirilebilir. Gizlilik koúulu için kriptolojik iúlemde noter belgenin içeri÷i ile ilgilenmeyip sadece kimlik yöntemlerden yararlanÕlÕr. Kriptolojik bir yöntem olan do÷rulamasÕnÕ yapmaktadÕr. Bu sonuç esas alÕnarak iúlemin SSL(Secure Socket Layer) bu koúulu yerine getirir. sanal ortamda modellenebilece÷ini söyleyebiliriz, kurulacak SSL çalÕúma prensibi; A kiúisi B kiúisine mesaj göndermek bir otomasyon ile onaylama iúlemi yapÕlÕp, sonuç olumlu ise istedi÷inde sadece B kiúisinin sahibi oldu÷u gizli bir anahtarÕn noter kendi sayÕsal imzasÕ ile elektronik belgeyi onaylar. Hali eúi olan açÕk anahtarla mesajÕ úifreler, dolayÕsÕyla sadece hazÕrda ülkemizde bu konuda hizmet veren bir kurum úifrelenmiú mesajÕ B kiúisinin sahibi oldu÷u gizli anahtar mevcuttur. açabilece÷inden mesaja eriúilse bile deúifre edilemez. Bu kriptolojik yöntem ile gizlilik sa÷lanmÕú olur. Sonuçta SSL ve B. Kendisine Gönderilen Elektronik Belgelerdeki Elektronik sayÕsal imza kullanÕlarak, sanal ortamda bir noter iúlemi için ømza ve Tarihi Onaylamak gerekli tüm koúullar yerine getirilmiú olur. Noterlik Kanunu’nun 90. Maddesi “Hukuki iúlemlerin altÕndaki imzanÕn onaylanmasÕ imzayÕ atan úahsa ait IV. SAYISAL øMZA øLE YAPILABøLECEK NOTERLøK øùLEMLERø oldu÷unun bir úerhle belgelendirilmesi úeklinde yapÕlÕr”[5]. 91. Maddesi “Onaylama, imzanÕn noter huzurunda atÕlmasÕ Daha öncede de÷inildi÷i gibi bir noterin tüm iúlevlerini veya kendisine ait oldu÷unun ilgili tarafÕndan kabulü ile sanal ortama taúÕmak mümkün de÷ildir. 5070 SayÕlÕ Elektronik kabildir” úeklindedir[5]. Bu maddelere göre noter bir ømza Kanunu’nda yer alan “KanunlarÕn resmî úekle veya özel belgedeki imza ve tarihi kendi huzurunda ve kendisine ait bir merasime tabi tuttu÷u hukukî iúlemler ile teminat oldu÷unun kabul edilmesi durumunda bir úerhle sözleúmeleri güvenli Elektronik ømza ile gerçekleútirilemez. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 98

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION belgelendirmektedir. SayÕsal imza ile imzalanmÕú bir di÷er yandan Õslak imzayla eú olan sayÕsal imzasÕnÕn noter elektronik belgede kimlik do÷rulama yapÕlabildi÷inden noter tarafÕndan do÷rulanmÕú olmasÕ hukuki geçerlili÷ini sanal ortamda gerekli do÷rulama mekanizmasÕ ile bu hizmeti sa÷lamaktadÕr. Bu ve benzeri durumlar da oluúabilecek yorum verebilir. farklÕlÕklarÕndan dolayÕ Sanal Noter UygulamasÕ için Noterlik Kanunu ve di÷er iliúkili kanunlarda çeúitli düzenlemeler yapÕlmalÕdÕr. C. Elektronik Belgelerin SaklanmasÕ ve østendi÷inde Belgelenmesi V. HUKUKø GEREKSøNøMLER Noterler yapmÕú olduklarÕ iúlemleri 2000’li yÕllardan itibaren kâ÷Õt üzerinde tutmanÕn yanÕnda elektronik olarak Noter iúlemlerinde teknolojik altyapÕ kullanÕlarak, normal kayÕt altÕna almaktadÕrlar. Noterlik Kanunu’nun 94. Maddesi bir noterin sa÷lamÕú oldu÷u tüm güvenlik sa÷lanmÕú olsa da “Noterler tarafÕndan yapÕlan iúlemlerin örnekleri, ancak hukuki mevzuat tam anlamÕyla noterlik iúlemleri yapmaya ilgililerine, kanuni mümessil veya vekillerine yahut da uygun de÷ildir. mirasçÕlarÕna verilir.”[5] úeklindedir. Bu kanuna göre birey ya 5070 SayÕlÕ Elektronik ømza Kanunu kabul edilerek, sayÕsal da kurum kendisiyle ilgili bir belgeyi noterden elektronik imza ile Õslak imza belirli kÕsÕtlamalar dÕúÕnda eú kÕlÕnmÕútÕr. olarak talep edebilir. Bu durumda sanal ortamda kiúi sayÕsal Fakat kurumlarÕn yapmÕú oldu÷u iúlemlere sayÕsal imzayÕ imzasÕ ile baúvuruda bulunup, kimlik do÷rulamasÕ yapÕlarak entegre edecek düzenlemeler yapÕlmamÕútÕr. Oysaki kanunda öngörüldü÷ü gibi noter iúlemi ile ilgili ise noter iúlem kurumlarÕn birço÷unun noterlerde oldu÷u gibi(Noterlik örneklerini, noterin sayÕsal imzasÕ ile imzalanmÕú olarak sanal Kanunu) kendi iú yapÕsÕna uygun kanunlarÕ vardÕr. Bu nedenle ortamda alabilir. hukuki anlamdaki temel gereksinim, sayÕsal imzayÕ kurumlarÕn iú yapÕsÕna uyarlamaktÕr. SayÕsal imza ile yapÕlan sözleúmeler ve iúlemler hukuki D. Özel Kanununda Hükmü Bulunmayan Defterleri olarak, adi senet statüsündedir. Adi senet, “resmi bir makam Onaylamak veya memurun katÕlÕmÕ olmaksÕzÕn, bizzat hukuki iliúkilerin Günümüzde ticari olsun olmasÕn hemen hemen tüm taraflarÕnca düzenlenen senetlerdir”[17]. Hukuk Usulü defterler elektronik ortamlarda tutulmaktadÕr. Fakat dijital Muhakemeleri kanununda adi senetlerin ispat gücü; “Bir adi olmayan bir kopyasÕ, kanun gere÷i tahrifatÕ önlemek ve kayÕt senet, senet altÕnda imza tarafÕndan ikrar edilirse kesin delil altÕna almak için belirli aralÕklarla noterlere onaylatÕlÕr. teúkil eder”[17] úeklinde tanÕmlanmÕútÕr. Bu ifadelere göre, Noterlik Kanunu’nun 107. Maddesi “Özel kanununda sayÕsal imza ile iúlem yapan taraflardan birinin noter olmasÕ, hüküm bulunmayan hallerde defter onaylamasÕ, defterin baú yapÕlan iúlemin hukuki tanÕmÕyla çeliúmektedir. Çünkü artÕk ve son sayfasÕna kaç sayfadan ibaret oldu÷u yazÕlmak ve her taraflardan biri resmi bir makamdÕr. Bu durumda yapÕlan sayfasÕ numaralanÕp mühürlenmek suretiyle yapÕlÕr.” iúlem adi senet statüsünde mi de÷erlendirilecektir? Burada úeklindedir[5]. Bu kanuna göre; noterler sanal ortamda üzerinde durulmasÕ gereken konu, sayÕsal imza ile yapÕlan kurulacak bir otomasyon ile kendisine ulaútÕrÕlan özel kanunda iúlemlerinin neden adi senet olarak tanÕmlandÕ÷ÕdÕr. Bunun hükmü bulunmayan defterleri, kendi sayÕsal imzasÕ ile sebebi, iúlem taraflarÕndan kaynaklanan güven zafiyeti mi, onaylayÕp, kayÕt altÕna alabilir. yoksa teknolojik altyapÕya olan güven zafiyetimidir? øúlem taraflarÕna olan güven zafiyeti var ise bu iúlemi bir noter E. Tebligat øúlemleri sayÕsal imza ile yapmasÕ veya koordine edip iúleme sayÕsal Noterlerin en yo÷un olarak yaptÕ÷Õ iúlemlerden biri de imzasÕnÕ koymasÕ durumunda bu iúlemi hukuki olarak hangi kendisine gelen belgeleri ilgili kiúiye tebli÷ etmektir. Noterlik statüde de÷erlendirilecektir. Di÷er yandan teknolojik altyapÕya Kanunu’nun 106. Maddesi “Her türlü hukuki iúlemlere ait olan güven zafiyeti mi, iúlemi hukuki olarak adi senet úeklinde ihtarname ve ihbarname: tanÕmlamÕútÕr. Sebep bu ise, sayÕsal imza ile yapÕlan iúlemler, taraflarÕn dÕúÕnda üçüncü bir kurum olan ESHS tarafÕndan I. østemde bulunan ve di÷er tarafÕn ad ve soyadlarÕ ile açÕk teyit edilmektedir, bu sebeple adi senet tanÕmlamasÕnÕn sayÕsal adreslerini, imza iúlemleri ile ne kadar örtüútü÷ü de÷erlendirilmelidir. II. øhtar ve ihbar konusunu, Türkiye’de hizmet veren ESHS’larÕn Elektronik ømza III. østemde bulunanÕn imzasÕnÕ, Kanunu’na göre “Sertifika Mali Sorumluluk SigortasÕ” IV. Tebli÷ úerhini, noterin imza ve mührünü ve tarihi (YazÕ yaptÕrmasÕ gereklidir. Bu sigorta ESHS’Õn, Elektronik ømza ve rakam ile), Kanunu’ndan do÷an yükümlülüklerini yerine getirmemesi kapsar. øhtarname ve ihbarnameler ilgili tarafÕndan yazÕlÕp durumunda, nitelikli elektronik sertifika sahibi kiúi veya tebli÷ için notere getirebilece÷i gibi, notere de kuruluúlarÕn ve üçüncü úahÕslarÕn u÷rayaca÷Õ zararlara iliúkin yazdÕrÕlabilir.”[5] úeklindedir. Bu iúlem kurulacak bir sorumlulu÷u, sözleúmede belirlenen zorunlu sigorta limitlerine otomasyon ile bireyin yâda kurumun internet üzerinden açÕk kadar teminat altÕna alÕr[6]. Bu sigorta, sigortalÕya karúÕ adres bilgilerini, ihtar ve ihbar konusunu elektronik belgeye yapÕlan talepler sonucundaki yasal giderler için de teminat girip sayÕsal imzasÕ ile tebligat notere ulaútÕrÕlÕr. Gerekli verir. kimlik do÷rulamasÕ yapÕldÕktan sonra tebligat ilgili kiúiye Sertifika Mali Sorumluluk SigortasÕ olay baúÕna 10.000 (On klasik noter hizmetlerinde oldu÷u gibi ulaútÕrÕlÕr. bin YTL) ve Sözleúme süresince 1.000.000( Bir Milyon YTL) Fakat burada ihtar eden kiúinin tebligat üzerinde Õslak teminat tutarlarÕnÕ vermektedir[7]. Di÷er sigorta iúlemleri ile imzasÕ olmamasÕ, hukuki normlara göre geçersiz gözükse de, mukayese edildi÷inde teminat tutarlarÕ oldukça düúüktür, Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 99

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION birey ve kurumlara güven vermemektedir. Sadece noter [9] http://www.comms.scitech.susx.ac.uk,, Understanding Public Key Infrastructure (PKI), KasÕm 2008. iúlemleri için de÷il tüm iúlemlerde bu teminat tutarlarÕ daha [10] Keser Leyla, østanbul Bilgi Üniversitesi, e-imza & e-Türkiye, Temmuz 2004. yukarÕ çekilmeli, toplumun sayÕsal imzayÕ kullanmasÕ teúvik [11] http://turk.internet.com, Elektronik ømza Kanunu ve Dijital ømza, Mart 2008. [12] http://www.pki.iam.metu.edu.tr, Kriptografi Bölümü, AçÕk Anahtar AltyapÕsÕ edilmelidir. AraútÕrma, Geliútirme ve Uygulamalar, Mart 2008. Daha önce belirtildi÷i gibi, sayÕsal imza uygulamalarÕnda [13] Akçeúme Dursun, Sönmez Çoúkun, Bir Sanal Noterin AltyapÕsÕnÕn Gerektirdikleri, A÷ ve Bilgi Güvenli÷i Sempozyumu, MayÕs 2008 iúlemi yapan elektronik sertifikalarÕn geçerli olup olmadÕ÷ÕnÕn [14] Yavuz Alper, Digital Notary, Lisans Tezi, 2006 do÷rulanma süreci çok önemlidir. Do÷rulama sürecinde SIL [15] Demir ølke, ODTU Bilgisayar Toplulu÷u, e-bergi/Nisan 2007 listeleri veya OCSP sorgusu kullanÕlabilir. OCSP anlÕk olarak [16] [11] ÇelikyÕlmaz Sertaç, Türkiye’de Kurumlar øçin e-Güven AltyapÕsÕ e-ømza, AralÕk 2005. elektronik sertifikanÕn geçerlili÷ini bize verdi÷i için, noter [17] http://turk.internet.com, e-imza ve Adi Senetler, KasÕm 2008. uygulamalarÕn da mutlaka her iúlem için OCSP [18] Beceni Yasin, Elektronik ømza ve Uygulamalar, Ocak 2006. kullanÕlmalÕdÕr. OCSP sorgusundan dönen ESHS’Õn sayÕsal imzasÕnÕ koydu÷u sonuca göre iúlem yapÕlmamalÕ, dönen sonuçtaki sayÕsal imza kök sertifikanÕn do÷rulanmasÕna kadar devam edilmelidir. Bu sebeple Noter uygulamalarÕ için yapÕlacak yazÕlÕmlar mutlaka CWA 14167–1 standardÕnda olmalÕ ve ek olarak OCSP sorgu úartÕ yönetmelik ve kanunlarla düzenlenmelidir. Hukuki anlamda düzenleme gereken di÷er bir konuda, sanal ortamda gerçeklenecek bir Sanal Noter UygulamasÕnÕn ne úekilde ücret tahsil edece÷idir. Noterlik Kanunu’na göre noterlik hizmetleri, peúin olarak noterde tahsil edilir. Bu durum da hukuki olarak düzenlenmelidir. Ücretlendirme için kontör sistemi ya da sanal poslar kullanÕlabilir. VI. SONUÇLAR Ülkemizin ilk sayÕsal imza uygulamalarÕndan olan UYAP ile baúlayan süreç, Sanayi BakanlÕ÷Õ, BaúbakanlÕk DÕú Ticaret MüsteúarlÕ÷Õ ve Türk Patent Enstitüsü’nün uygulamalarÕ ile devam etmiútir. Bu projelerden bir sonraki adÕm Sanal Noter UygulamasÕ olmalÕdÕr. Günümüzde bankacÕlÕk iúlemlerini kâ÷Õt üstünde yürütebiliriz demek, ne kadar imkânsÕz ise, artan iú yüküyle beraber gelecekte noter iúlemlerini kâ÷Õt üstünde yürütürüz demek o kadar imkânsÕzdÕr. Sanal ortamda e-ticaret hacmi arttÕkça, e-sözleúme, e-fatura, e-devlet vb. uygulamalar arttÕkça, Sanal Noter ihtiyacÕ daha da belirginleúecektir. Bu sebeple sanal ortamda noterin iúlevlerini, gerekli güvenlik sa÷lanarak modellenmesi zorunluluk haline gelmiútir. YapÕlan çalÕúmada noterlerin, sanal ortamda bazÕ hizmetlerinin hiçbir kuúkuya neden olmadan AAA teknolojisi üzerine kurulmuú sayÕsal imza ile gerçeklenebilece÷i aúikârdÕr. 5070 SayÕlÕ Elektronik ømza Kanunu ile beraber kurum kanunlarÕnda yapÕlacak hukuki düzenlemeler, Sanal Noter UygulamasÕnÕn hukuki dayana÷ÕnÕ oluúturur. Bu koúullar altÕnda Sanal Noter UygulamasÕ hayata geçirilebilir. KAYNAKLAR [1] http://turk.internet.com, Kamu Yönetimi ve Hukuk Ekseninde E-noterlik, KasÕm 2008. [2] Sa÷Õro÷lu, ù., Alkan, M., Her Yönüyle Elektronik ømza (E-ømza), Grafiker YayÕnlarÕ, ISBN:975-6355-23-9, Ankara, 2005 [3] http://mevzuat.basbakanlik.gov.tr, 5070 SayÕlÕ Elektronik ømza Kanunu, KasÕm 2008. [4] Türkiye Biliúim Derne÷i, Nitelikli Sertifikasyon AltyapÕsÕ ve Yetkilendirme, KasÕm 2008 Antalya. [5] http://www.noterlerbirligi.org.tr/nkanunu.htm, 1512 Nolu Noterlik Kanunu, KasÕm 2008. [6] http://www.tk.gov.tr/eimza/eimza_mevzuat.htm, Zorunlu Sertifika Mali Sorumluluk SigortasÕ Genel ùartlarÕ, KasÕm 2008. [7] http://www.tk.gov.tr/eimza/eimza_mevzuat.htm, Sertifika Mali Sorumluluk SigortasÕ Tarife ve TalimatÕ, KasÕm 2008. [8] http://www.k-binder.be, Introduction to PKI - Public Key Infrastructure, KasÕm 2008. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 100

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Dijital Hak Yönetimi ve Hukuksal Düzenlemeler Caner AŞÇIOĞLU, Rüya ŞAMLI Özet- Geliúen teknolojiler ve bu teknolojilerin hayatÕmÕzÕ Ülkemizin yasalarÕnda, 5846 sayÕlÕ Fikir ve Sanat kolaylaútÕran yönleri gün geçtikçe artmaktadÕr. Ancak Eserleri Kanunu [2] ile DRM'nin hak yönetimi ve yenilikler ve geliúmeler pek çok soruyu ve sorunu da teknolojik önlemler ile ilgili düzenlemeler yapÕlmÕútÕr. beraberinde getirmektedir. ønternetteki medya paylaúÕmÕ Ancak yine de di÷er pek çok ülkenin hukuku kadar ve satÕúÕ, iktisadî anlamda milyar dolarlar ölçe÷ine ulaúÕrken, hukukun bu alanda getirmiú oldu÷u birtakÕm geniú yasalar içermemektedir. kurallar, úirketlerin çÕkarlarÕ ve insanlarÕn özgürlük Örne÷in yasalarÕmÕza göre telif hakkÕ ödenmeyen bir anlayÕúÕyla çatÕúÕr duruma gelmiútir. Bu yüzden hem ürün ticarî kaygÕ olmaksÕzÕn da÷ÕtÕlÕrsa suç kapsamÕna úirketler hem de insanlar alternatif yollarla sistemdeki girmemektedir. boúluklarÕ kullanarak, sistemi kendi lehlerine çevirmeye çalÕúmaktadÕrlar. II. DøJøTAL HAK YÖNETøMø (DIGITAL RIGHT MANAGEMENT - DRM) ùirketlerin yüksek kar marjÕ ve bireylerin karúÕsÕndakine zarar verici düzeylere ulaúabilecek sanal Elektronik ortamda bulunan medya artÕk çok daha dünyadaki özgürlük talepleri arasÕnda sÕkÕúan hukuk, kolay kopyalanabilir hale gelmiútir. Medya ürünleri çözümü insan haklarÕnÕn temel özelliklerinde bulmuútur. geniú bantlÕ iletiúim a÷larÕ ve özellikle de p2p (peer to Bu çalÕúmada elektronik ortamda yapÕlan bilgi paylaúÕmÕ peer) [3] yazÕlÕmlar sayesinde pek çok kiúiye sonucunda kiúilerin ve kurumlarÕn haklarÕnÕn korunmasÕ anlamÕna gelmekte olan Dijital Hak Yönetimi konusu iletilebilmektedir. Ancak bu teknolojik paylaúÕm incelenecektir. arttÕkça buna paralel olarak etkin bir izleme ve kÕsÕtlama sistemi de kurulmaktadÕr. Bu izleme ve Anahtar kelimeler-Dijital Hak Yönetimi, DRM, telif kÕsÕtlama yöntemlerine genel olarak dijital hak yönetim haklarÕ sistemleri denmektedir. DRM, pek çok farklÕ tekni÷in bulunmasÕ ve I. GøRøù uygulamalar arasÕnda gerekli standardizasyonun sa÷lanamamasÕ nedeniyle kesin bir úekilde D ijital Hak Yönetimi (Digital Right Management - DRM), temel olarak dijital ortamlar kullanÕlarak tanÕmlanamamaktadÕr. TanÕmlamadaki zorlu÷un sebebi kullanÕlan her tekni÷in farklÕ fonksiyonlarÕnÕn mevcut paylaúÕlan medya üzerindeki haklarÕn korunmasÕ, olmasÕ ve bu fonksiyonlarÕn farklÕ birer medya üzerinde kÕsÕtlanmasÕ olarak tanÕmlanabilir. TanÕmÕ, DRM kullanÕlabilmesine imkan sa÷lamasÕdÕr. sistemleriyle ilgili çok sayÕda çözümün bulunmasÕ DRM yapÕsal olarak iki temelden oluúur : sebebiyle standartlaútÕrÕlamamÕútÕr. DRM yazÕlÕmlarÕ elektronik ortamdaki dosyalarÕn A. Fikrî Mülkiyet TtanÕmlanmasÕ de÷iútirilmesini, tamamen kopyalanmasÕnÕ, içeri÷inin DRM sistemlerinin en önemli ve zorunlu koúulu, kopyalanmasÕnÕ, yazÕcÕdan çÕktÕ alÕnmasÕ sÕrasÕnda dijital veriler üzerindeki fikrî mülkiyet haklarÕnÕn ve de÷iúikli÷e u÷ratÕlmasÕnÕ, çÕktÕ alÕnmasÕnÕ, hatta ekran hak sahiplerinin tanÕmlanmasÕdÕr. TanÕmlama bilgileri, görüntüsünün alÕnmasÕnÕ bile engelleyebilirler [1]. yerleútirme yöntemiyle uyumlu çalÕúan okuma DRM sistemleri tüketici haklarÕna ve haklÕ rekabete araçlarÕyla (yazÕlÕm, donanÕm) yapÕlmaktadÕr. izin vermesi ancak aynÕ zamanda da kullanÕcÕlarÕn özel DRM tanÕmlama bilgileri asgarî olarak úu bilgileri ve gizli bilgilerinin korunmasÕ açÕsÕndan iúlevlerin içermelidir: yapÕlabilmesi için gereken en az seviyede kullanÕcÕ bilgisi talep etmelidir. -Fikrî mülkiyet sahiplerinin tanÕmlanmasÕ, -Eser üzerinde korunan haklarÕn tanÕmlanmasÕ, -Eserin yaratÕlma zamanÕnÕn tanÕmlanmasÕ, -TanÕmlama iúleminde kullanÕlan yöntemlerin Caner AùÇIOöLU is with the Computer Engineering Department and Faculty of Engineering østanbul University, tanÕmlanmasÕ østanbul, 34320 Turkey. (e-mail : 2Hcanasci@gmail.com). B. KullanÕm KÕsÕtlamalarÕnÕn UygulanmasÕ Rüya ùAMLI is with the Computer Engineering Department DRM'nin fonksiyonel tarafÕ olan kullanÕm and Faculty of Engineering østanbul University, østanbul, kÕsÕtlamalarÕ aúa÷Õdaki úekillerde olabilir : 34320 Turkey. (e-mail : 3Hrsamli@istanbul.edu.tr). -øçeri÷in tümüne eriúimi engellemek, Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 101

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION -øçeri÷in belirli bir bölümüne eriúimin kendi kiúisel bilgisayarlarÕnda dijital sertifikalar engellenmesi, kullanÕr. Dijital sertifikalarÕn benzersiz ortak anahtarÕ a)Zaman bakÕmÕndan, ve sürüm numarasÕ istemciyi tanÕmlar. Lisanslar b)Bütünlük bakÕmÕndan, yalnÕzca kimli÷i do÷rulanan istemcilere verilir. Lisansta c)SayÕ sÕnÕrlÕ eriúim bakÕmÕndan bulunan dijital ortam dosyasÕ anahtarÕ da yalnÕzca -øçeri÷in de÷iútirilmesini engellemek, anahtarÕn verildi÷i WMDRM tabanlÕ istemci yazÕlÕmÕ -øçeri÷in kopyalanmasÕnÕ engellemek tarafÕndan alÕnabilecek úekilde úifrelenir. Dijital imza ise, kullanÕm kurallarÕnÕn ihlal edilmesini önleyen ek III. SANAL ORTAMDA DRM'NøN ÖNEMø koruma sa÷lar. WMDRM'in çalÕúmasÕ esnasÕnda alÕcÕ yazÕlÕmÕ lisans Bant geniúli÷inin artmasÕ, mobil araçlarÕn ve servis sunucusundan içerik anahtarÕnÕ sa÷lar. Sunucu bu sa÷layÕcÕlarÕn ço÷almasÕ dijital ortamdaki hizmet ve anahtarÕ alÕcÕya göndermeden önce global olarak arz-talep döngüsünü arttÕrmÕú ve bunun oluúturdu÷u önceden belirlenmiú 160-bitlik Eliptik E÷ri piyasayÕ büyütmüútür. Kriptografisi (ECC : Eliptic Curve Crytography) [5] AraútÕrmalara göre 2004 yÕlÕnda dünyada geniú bant anahtarÕyla úifreler. Sunucu ayrÕca úifrelenmemiú bir ID kullanÕcÕ sayÕsÕ 110 milyonun üzerine çÕkmÕútÕr. içerik anahtarÕnÕ da gönderir. LisanslÕ medya içerik Teknolojinin geliúme ve yayÕlma hÕzÕ gözönüne anahtarÕ ile deúifre edilir. alÕndÕ÷Õnda önümüzdeki yÕllarda bu sayÕnÕn ne kadar DolandÕrÕcÕlÕ÷a karúÕ, medya yürütme haklarÕ rastgele olaca÷ÕnÕ öngörmek zordur. 2004 ve 2007 yÕlÕna ait üretilmiú bir sayÕnÕn alÕcÕ ve sunucu tarafÕndan alÕcÕ online e÷lence sektörüne ait veriler aúa÷Õdaki tabloda yazÕlÕmÕ, alÕcÕ makinesi ve sunucu yazÕlÕmÕ olmak üzere gösterilmiútir [4]. üç adet, önceden belirlenmiú ECC anahtarÕyla úifrelenmesi ile korunur. AyrÕca anahtar de÷iúimi, DES Tablo 1 : Dünyadaki online e÷lence pazarÕ ile ilgili iktisadî block cipher, RC4 stream cipher ve SHA-1 hashing veriler fonksiyonlarÕ kullanÕlÕr. 2004 2007 ArtÕú Yüzd Temel WMDRM çalÕúmasÕ úu úekildedir : online e÷lence 10 milyar $ 26 milyar $ % 160 Paketleme: Windows Media Rights Managements pazarÕ dijital ortam dosyasÕnÕ paketler. ùifrelenip bir anahtarla 79 milyon $ 2,3 milyar $ % 3000 kilitlenmiú olan dosya úifreli bir lisans içinde depolanÕr. video on deman LisansÕn alÕnabilece÷i URL gibi di÷er bilgiler dijital online video 1,2 milyar $ 3,5 milyar $ %200 ortam dosyasÕna eklenir. Dosya Windows Media Ses oyunlarÕ biçiminde (.wma uzantÕlÕ) veya Windows Media video biçiminde (.wmv uzantÕlÕ) kaydedilir. Tüm bu istatistiksel bilgiler bile online veya mobil Da÷ÕtÕm: Paketlenen dosya yüklenmek üzere bir web dünyadaki paylaúÕmÕn ne kadar yo÷un ve hÕzlÕ arttÕ÷ÕnÕ sitesine yerleútirilebilir, uzaktan çalÕútÕrÕlmak üzere bir göstermeye yetmektedir. Bu verilere bakÕldÕ÷Õnda bu dijital ortam sunucusuna konabilir, tüketicilere CD büyük rakamlarÕn döndü÷ü elektronik ortamda içinde verilebilir veya e-posta ile gönderilebilir. paylaúÕm konusunda haklarÕn ve rekabetin WMDRM, tüketicilerin kopya korumalÕ dijital ortam korunmamasÕ dünyadaki kayÕtdÕúÕ ekonominin en dosyalarÕnÕ üçüncü úahÕslara göndermelerine de izin önemli parçalarÕndan biri olaca÷Õ ve hak sahiplerinin eúi vermektedir. benzeri görülmemiú bir hak kaybÕna destek vermiú Lisans Sunucusu Belirleme: øçerik sa÷layÕcÕsÕ, olaca÷Õ görünmektedir. Bu yüzden bu durumu lisansla ilgili belirli haklarÕ ve kurallarÕ depolayan ve engellemek için çeúitli çalÕúmalar yapÕlmaktadÕr. Windows Media Rights Manager lisans hizmetlerini yerine getiren bir lisans onay merkezi seçer. Onay IV. DRM SøSTEMLERø merkezinin görevi, tüketicinin lisans iste÷ini UluslararasÕ alanda, çeúitli DRM sistemleri do÷rulatmaktÕr. Dijital ortam dosyalarÕ ve bunlarÕn bulunmaktadÕr. Bu bölümde Windows Media DRM lisanslarÕ ayrÕ olarak da÷ÕtÕlÕr ve depolanÕr, böylece tüm baúta olmak üzere bu sistemlerden bazÕlarÕ sistemin yönetimi kolaylaúÕr. incelenecektir. Lisans Alma : Tüketicinin paketlenmiú bir dijital ortam dosyasÕnÕ çalÕútÕrabilmesi için önce bir lisans A. Windows Media DRM (WMDRM) anahtarÕ alarak dosyanÕn kilidini açmasÕ gerekir. WMDRM, bilgisayarlar, taúÕnabilir aygÕtlar ve a÷ Tüketici paketlenmiú bir dijital ortam dosyasÕnÕ almayÕ aygÕtlarÕnda, kayÕttan yürütülmek üzere içerikleri denedi÷inde, önceden da÷ÕtÕlan bir lisansÕ aldÕ÷Õnda koruma ve güvenli úekilde da÷Õtmada kendini veya dosyayÕ ilk kez yürüttü÷ünde lisans alma iúlemi kanÕtlamÕú bir platformdur. otomatik olarak baúlar. WM Rights Manager tüketiciye, WMDRM'de baútan sona kimlik do÷rulamasÕ için bilgi istenen veya ödeme yapÕlmasÕnÕ talep eden bir dijital imzalarÕ temel alan standart úifreleme kayÕt sayfasÕ gönderir ya da onay merkezinde otomatik protokolleri kullanÕlÕr. Örne÷in, lisans sunucularÕ olarak bir lisans alÕr. WMDRM tabanlÕ istemcilerin kimli÷ini do÷rulamak Dijital Ortam DosyasÕnÕ Yürütme:Dijital ortam için WMDRM teknolojilerini kullanÕr. Bu istemciler dosyasÕnÕ yürütmek için, tüketicinin WMDRM'yi Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 102

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION destekleyen bir yürütücüye gereksinimi vardÕr. DRM ile ilgili gerçekleútirilmekte olan pek çok Tüketici, lisansta yeralan kurallara veya haklara uygun uluslararasÕ proje vardÕr. Elektronik hak yönetimi úekilde dosyayÕ çalÕútÕrabilir. Lisanslar baúlangÕç sistemlerinin geliúiminde di÷er projeler ve gruplara saatleri ve tarihleri, süreler veya sÕnÕrlÕ sayÕda iúlem gibi yardÕm etmeyi amaçlayan [17], COPEARMS, internet farklÕ haklar içerebilir. ortamÕnda telif haklarÕnÕ ihlal eden durumlarÕn ortadan kaldÕrÕlmasÕna yönelik çalÕúmalar hakkÕnda Avrupa B. SOFTWRAP çapÕnda fikir birli÷i oluúturulmasÕ ve farkÕndalÕ÷Õn YazÕlÕm üreticilerinin uygulamalarÕnÕ internet geliútirilmesine çalÕúan [18] RIGHTSWATCH, daha üzerinden güvenli bir úekilde da÷ÕtmalarÕnÕ ve çok karma network ve platformlar arasÕnda medyanÕn satmalarÕnÕ sa÷alayan dijital bir pazarlama ve da÷ÕtÕm yaratÕlmasÕ, da÷ÕtÕmÕ ve tüketilmesi problemlerinin sistemidir [6]. çözümü ile ilgilenen [19] TIRAMISU bunlardan bazÕlarÕdÕr. C. Elicense : Viatech tarafÕndan sa÷lanmakta olan sistem, içerik b)UluslararasÕ Düzenlemeler sahiplerine yazÕlÕm, kitap, müzik, video gibi ürünleri DRM tanÕmÕnÕ içeren ve sadece bu konuyu kapsayan yayÕnlama ve da÷Õtma imkanÕ sa÷layan e-ticaret bir uluslararasÕ düzenleme bulunmamakla beraber, teknolojisidir [7]. kÕsmen de olsa DRM'ye iliúkin konularÕ ve bileúenleri düzenleyen uluslararasÕ bazÕ düzenlemeler D. CineaDRM : bulunmaktadÕr. Bu düzenlemelerde DRM ile ilgili yer Dolby Laboratories'in bir bölümü olup DVD alan konular, DRM'nin teknik bileúenleri olarak kabul görüntüleyicilerini koruma özelli÷i olan bir DRM edilebilecek olan hak yönetimi bilgileri, teknolojik teknolojisi geliútirmiútir [4]. önlemlerle ilgili düzenlemeler ve elektronik ortamda eser arzÕnda bulunan kiúiler hakkÕnda uygulanabilecek E. OPERA : servis sa÷layÕcÕlara iliúkin sorumluluklardÕr. Avrupa Birden fazla DRM platformunu entegre ederek, Birli÷i'nin 2001/29 ve 2000/31 [20] sayÕlÕ direktifleri ile standardize edilmiú ara yüzler uygulamakta ve böylece ABD Digital Millenium Copyright Act [21], karúÕlÕklÕ sorunsuz olarak gerçekleútirilmektedir [4]. uluslararasÕ bir düzenleme olmamalarÕna ra÷men uygulamayÕ göz önünde bulunduran detaylÕ V. ULUSLARARASI ÇERÇEVEDE VE yaklaúÕmlarÕ ile uluslararasÕ kabulleri gösteren önemli TÜRKøYE’DE DRM’øN HUKUKSAL DURUMU kaynaklar olarak kabul edilmektedirler. WCT (WIPO Copyright Treaty – Eser Sahibinin DRM ilgili var olan hukuksal düzenlemeler genel HaklarÕ Sözleúmesi) [22] ve WPPT (WIPO Performers olarak fikrî mülkiyet hukuku, tüketicinin korunmasÕ, and Phonograms Treaty – øcralar ve Fonogramlar rekabetin korunmasÕ, mahremiyetin korunmasÕ, yargÕ Sözleúmesi) [23], eser sahiplerinin haklarÕ ve ba÷lantÕlÕ içtihadlarÕ konularÕnÕ içermektedir. Buna göre DRM ile haklar alanlarÕnda mevcut olan uluslararasÕ kabullerin ilgili hukuksal durum uluslararasÕ arenada ve yeni teknolojik geliúmeler sonucu yetersiz kaldÕ÷ÕnÕn ve Türkiye'de úu úekilde incelenebilir : uluslararasÕ alanda yeni standartlarÕn kabul edilmesinin gerekli görülmesi üzerine Dünya Fikrî Mülkiyet A.UluslararasÕ Alanda Durum TeúkilatÕ – WIPO [24] tarafÕndan hazÕrlanmÕútÕr. Her iki a)UluslararasÕ Alanda ÇalÕúmalar sözleúme de daha onceden hazÕrlanmÕú olmalarÕna ra÷men 2002 yÕlÕnda yürürlü÷e girebilmiútir. i)DRM ile ølgili Organizasyonlar WCT ve WPPT'de ço÷altma hakkÕ, dijital ortam göz önüne alÕnarak geniú olarak tanÕmlanmÕú, ayrÕca eserin -MPEG: Hareketli görüntü uzmanlarÕ grubu [8]. elektronik ortamda dijital formda bulundurulmasÕnÕn -OASIS: YapÕlandÕrÕlmÕú bilgi standartlarÕnÕn ço÷altma olaca÷Õ kabul edilmiútir.Yine her iki geliútirilmesi organizasyonu [9]. sözleúmede eserin internet ortamÕnda bulundurulmasÕ -OeB: AçÕk e-kitap forumu [10]. özel bir hak kategorisi olarak düzenlenmiútir. Bu husus -TV-ANYTIME: Her zaman tv forumu [11]. sözleúmelerde (WCT.m.8, WPPT.m.10,14) açÕk -OMA: AçÕk mobil ittifakÕ [12]. olarak“.... eserlerinin kablolu ya da kablosuz -DMP: Dijital medya projesi [13]. ortamlarda, toplum üyelerinin kendileri tarafÕndan -CORAL : Coral Konsorsiyumu, araç ya da hizmet seçilen bir yer ve zamanda bu eserlerden kiúisel olarak sa÷layÕcÕ fark etmeksizin, bugünün dijital müzik ve yararlanacak biçimde topluma iletilmesine izin verme videolarÕna kolay eriúim sa÷lanmasÕ amacÕyla karúÕlÕklÕ hususunda inhisarî bir hak sahibidir.” úeklinde ifade iúlerlik amaçlamaktadÕr [14]. edilmiútir. Sözleúmelerde yer alan bu inhisarî nitelikteki -EC HLG-DRM : AB komisyonunun kurdu÷u High hak ile, kuúkudan uzak, açÕk ve anlaúÕlmasÕ kolay bir Level Group'tur [15]. úekilde, hak sahiplerinin, eserlerinin dijital formda -ODRL: AçÕk dijital haklar dili teúebbüsü [16]. da÷ÕtÕlmasÕnÕ yasaklama yetkisi oldu÷unu iddia etmesi ii)DRM ile ølgili UluslararasÕ Projeler sa÷lanmÕútÕr. Eser Sahibinin HaklarÕ AnlaúmasÕ’nÕn 11 ve 12’nci maddelerine, øcralar ve Fonogramlar Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 103

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION AnlaúmasÕ’nÕn 18 ve 19. maddelerine göre sözleúmeye B. Türkiye'de Durum taraf olan ülkeler, eser sahiplerinin, yorumcularÕn ve Hukukumuzdaki DRM ile ilgili temel düzenleme fonogram yapÕmcÕlarÕnÕn haklarÕnÕ korumak üzere 5846 sayÕlÕ Fikir ve Sanat Eserleri Kanunu’dur. Her ne kullandÕklarÕ teknolojik önlemlerin ihlalini engellemek kadar halen WIPO Sözleúmelerine taraf olunmamÕúsa için gerekli yasal düzenlemeleri yapmak zorundadÕrlar. da 5846 sayÕlÕ kanunda 2001 yÕlÕnda 4630 sayÕlÕ Anlaúmalara taraf olan ülkeler ayrÕca; yetkisiz olarak kanunla yapÕlan de÷iúiklikle – kanun gerekçesinde de elektronik hak yönetimi bilgisini kaldÕran veya zarar açÕkça belirtildi÷i üzere – WIPO Sözleúmeleri'nin temel veren, elektronik hak yönetimi bilgisi kaldÕrÕlmÕú veya hükümleri hukuk sistemimize alÕnmÕútÕr. YapÕlan zarar verilmiú eserleri, icralarÕ veya fonogramlarÕ de÷iúiklikle, ço÷altma hakkÕ oldukça geniú olarak da÷Õtan, da÷ÕtÕlmasÕna yardÕmcÕ olan veya ileten belirlenmiú, hak sahiplerine umuma iletim hakkÕ kimselere karúÕ gerekli yaptÕrÕmlarÕ içeren yasal tanÕnmÕú ve ayrÕca hak yönetim bilgileri ile teknolojik düzenlemeleri yapmak zorundadÕrlar. yöntemler hakkÕnda düzenlemeler yapÕlmÕútÕr. WIPO Eser Sahibinin HaklarÕ AnlaúmasÕ’nÕn 12. (2) 2008 yÕlbaúÕndan itibaren Türk Telekom, maddesinde, “hak yönetimi bilgisi”nin tanÕmÕ kullanÕcÕlarÕna yasal müzik paylaúÕmÕ imkanÕ sunmaya yapÕlmÕútÕr. Buna göre; “hak yönetimi bilgisi”; eseri, baúlamÕútÕr. Bu imkan belli bir zaman aralÕ÷Õnda belli eser sahibini, eserde herhangi bir hakkÕ bulunan hak bir sayÕda úarkÕ indirilmesini içermek gibi bir sahibini ve/veya eserin kullanÕmÕyla ilgili genel sÕnÕrlamaya sahip olmakla beraber yalnÕzca Türk hükümleri tanÕmlayan bilgi veya bu bilgiyi tanÕmlayan Telekom müúterilerinin sahip oldu÷u bir imkan olmasÕ numaralar veya kodlardÕr. WIPO øcralar ve açÕsÕndan ve úarkÕlarda telif hakkÕna sahip olan Fonogramlar AnlaúmasÕ’nÕn 19. (2) maddesinde de sanatçÕlara eme÷inin ödenmesi açÕsÕndan online müzik benzer úekilde “hak yönetimi bilgisi”nin tanÕmÕ paylaúÕmÕnda bir devrim olarak kabul edilebilir. yapÕlmÕútÕr. Buna göre; “hak yönetimi bilgisi”; TTNet’in bu hizmetinde, TTNeT, MÜ-YAP (Müzik yorumcuyu, yorumcunun yorumunu, fonogram YapÕmcÕlarÕ Meslek Birli÷i), MSG (Musikî Eser yapÕmcÕsÕnÕ, fonogramÕ, yorumda veya fonogramda Sahipleri Grubu meslek Birli÷i), MESAM (Müzik Eseri herhangi bir hakkÕ bulunan hak sahibini, yorumun veya Sahipleri Meslek Birli÷i) ve MÜYORBøR (Müzik fonogram kullanÕmÕyla ilgili genel hükümleri YorumcularÕ Meslek Birli÷i) iúbirli÷i içerisindedir. tanÕmlayan bilgi veya bu bilgiyi tanÕmlayan numaralar Yasal olarak indirilebilen müzik parçalarÕ, DRM ile veya kodlardÕr. WIPO Eser Sahibinin HaklarÕ TTNet ADSL abonelerine özel olarak lisanslanmakta, AnlaúmasÕ’nÕn 10. maddesi ile WIPO øcralar ve böylece úarkÕlarÕn izinsiz olarak paylaúÕmÕnÕn önüne Fonogramlar AnlaúmasÕ’nÕn 16. maddesinde geçilmektedir [27] [28]. “SÕnÕrlamalar ve Ba÷ÕúÕklÕklar” baúlÕ÷Õ altÕndaki hükümlerle Bern Sözleúmesinin üç basamak testinin (three-step test) eser sahibinin ço÷altma hakkÕnÕn VI. SONUÇ sÕnÕrlamalarÕna ve istisnalarÕna uygulanaca÷Õ öngörülmektedir. Söz konusu maddelerle akit taraflarÕn ønternetten her türlü bilginin paylaúÕmÕ gün geçtikçe Bern Sözleúmesiyle uyum sa÷larken üç aúama testini artmaktadÕr. Kiúilerin kendilerine ait dosyalarÕnÕ kÕsÕtlamalarÕn ve istisnalarÕn sÕnÕrlandÕrmasÕnda paylaúmalarÕ için internet biçilmiú bir kaftan olmasÕna uygulayacaklarÕ belirtilmiútir. Yine aynÕ maddelerle akit karúÕn lisanslÕ film, müzik gibi multimedia araçlarÕnÕn taraflar üç aúama testini kullanmak úartÕyla ulusal eme÷i geçen ve lisansa sahip olan kiúilere herhangi bir mevzuat ile “eserin ola÷an kullanÕmÕnÕ engellemeyecek ödeme yapÕlmaksÕzÕn paylaúÕlmasÕ konusunda maalesef ve eser sahibinin meúru yararlarÕna zarar vermeyecek uygunsuz bir ortam olmaktadÕr. Bu uygunsuz durumu bazÕ özel durumlarda” ek sÕnÕrlamalar ya da engelleyebilmek için bu dijital ortamdaki paylaúÕm, ba÷ÕúÕklÕklar öngörebilecektir. Bern sözleúmesinde yer DRM ile çözülmeye çalÕúÕlmaktadÕr. Ancak çok da eski alan üç basamak testi aynÕ zamanda eser sahibinin olmayan DRM sistemleri henüz haklarÕndan ço÷altma hakkÕnÕn istisnalarÕnÕn standartlaútÕrÕlamamÕútÕr bu yüzden de sorunlar uygulanmasÕnda, eserden yararlanabilmenin sÕnÕrlarÕnÕ içermektedir. FarklÕ ülkelerin, farklÕ gruplarÕn DRM çizmektedir, bu do÷rultuda hak ihlali yaratmayan içerisine aldÕ÷Õ ve kanunlaútÕrdÕ÷Õ noktalar farklÕ ço÷altmanÕn özel durumlarla sÕnÕrlÕ kalma, eserin farklÕdÕr. Birinin suç olarak gördü÷ünü di÷eri suç olarak normal kullanÕm ölçülerini aúmama ve hak sahibinin görmeyebilir. Bu durumda herkesin kabul edece÷i ve yasal karÕnÕ engellememe özelliklerine sahip olmasÕ uygulayaca÷Õ kurallar oluúturmak zorlaúmaktadÕr. gerekir. WCT’nin 1/4 maddesiyle Türkiye’nin de 1951 Bununla birlikte DRM ile ilgili yapÕlan çalÕúmalar ve yÕlÕndan beri üye oldu÷u [25] Bern Sözleúmesi’nin [26] projeler devam etmekte; farklÕ gruplar farklÕ DRM ço÷altma hakkÕ ve istisnalarÕyla ilgili hükmüne atÕf sistemleri üzerinde çalÕúmakta ve optimum çözüm için yapÕlmÕú, akit taraflarÕn bu hükümle ba÷lÕ olacaklarÕ büyük kaynaklar ayrÕlmaktadÕr. Bu durum ümit belirtilmiútir. Buna göre Bern Sözleúmesinde yer alan vericidir. Sonuçlar alÕnmaya baúlandÕkça bu konuya “ço÷altma hakkÕ” ve “istisnalarÕ” eserlerin dijital gelecekte daha fazla kaynak ayrÕlaca÷Õ ve bu úekilde úekillerinin yer aldÕ÷Õ dijital ortama tamamÕyla daha yaratÕcÕ ve kullanÕúlÕ sonuçlara ulaúÕlaca÷Õ uygulanacaktÕr. Bir eserin dijital olarak depolanmasÕ düúünülmektedir. Ancak gene de DRM'in herhangi bir onun kopyalanmasÕ olarak kabul edilecektir. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 104

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION bilginin mutlak gizlili÷ini sa÷lamasÕnÕn mümkün olmadÕ÷Õ açÕktÕr. Bu gizlili÷i sa÷lamak için kanunlaúmanÕn yanÕnda çeúitli algoritmalara, kriptografik yöntemlere baúvuruluyor olsa bile bu kriptografik yöntemler ne kadar güçlü olursa olsun her zaman bir açÕk kapÕ bulunacaktÕr. KAYNAKLAR [1] Mehmet Emin Küçük, Kerem Özen, “Telif HaklarÕ, Bilgi Güvenli÷i ve Teknolojik Koruma”, ÜNAK’07, Mu÷la. [2] http://www.mevzuat.adalet.gov.tr/html/957.html [3] http://tr.wikipedia.org/wiki/Peer-to-peer [4] østanbul Bilgi Üniversitesi, Biliúim Teknolojisi Hukuku Uygulama ve AraútÕrma Merkesi, SayÕsal Haklar Yönetimi, østanbul 2006. [5] http://www.nationmaster.com/encyclopedia/WMDRM [6] http://www.softwrap.com [7] http://www.elicense.com [8] http://www.chiariglione.org/mpeg [9] http://www.oasis-open.org/home/index.php [10] http://www.idpf.org [11] http://www.tv-anytime.org [12] http://www.openmobilealliance.org [13] http://www.chiariglione.org/project [14] http://www.coral-interop.org [15] http://europa.eu.int/information_society/eeurope/ 2005/all_about/digital_rights_man/index_en.htm [16] http://odrl.net [17] http://www.ifla.org/VI/2/p5/projsum.htm [18] www.rightswatch.com [19] http://www.tiramisu-project.org [20] http://europa.eu.int/smartapi/cgi/sga_doc?smartapi!celexapi! prod!CELEXnumdoc&lg=EN&numdoc=32001L0029&mode l=guichett [21] The Digital Millennium Copyright Act of 1998 – U.S Copyright Office Summary [22] http://www.wipo.int/treaties/en/ip/wct [23] http://www.wipo.int/treaties/en/ip/wppt/trtdocs_wo034.html [24] http://www.wipo.int [25] DPT Sekizinci 5 YÕllÕk KalkÕnma PlanÕ – Fikri Haklar Özel øhtisas Komisyonu Raporu [26] http://www.wipo.int/treaties/en/ip/berne [27] www.akbilbilgisayar.com.tr [28] http://www.ttnetmuzik.com Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 105

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION An Analysis of the Generalized ID-Based ElGamal Signatures Hatice KOYUNCU, Kamer KAYA, Ali Aydın SELÇUK Keywords Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 106

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Efficient Multiplication in Finite Fields of Characteristic 3 and 5 for Pairing Based Cryptography Murat CENK, Ferruh ÖZBUDAK Keywords mail:ozbudak@metu.edu.tr Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 111

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Arithmetic on Pairing-Friendly Fields Sedat AKLEYLEK, Barış Bülent KIRLAR, Ömer SEVER, Zaliha YÜCE Keywords Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 115

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Pairing-Based Cryptography : A Survey Sedat AKLEYLEK, Barış Bülent KIRLAR, Ömer SEVER, Zaliha YÜCE Keywords Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 121

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Analysis of Attacks towards Turkish National Academic Network Murat SOYSAL, Onur BEKTAŞ Network GÉANT2 with 2.5 Gbps capacity and an upgrade on Abstract— Monitoring unused IP address is an emerging this link is in process. ULAKNET backbone consists of three method for capturing Internet security threads. Either an attack PoPs located in Ankara, Istanbul and Izmir and the backbone or a mis-configuration could generate network traffic towards links are 1 Gbps, 500 Mbps and 500 Mbps accordingly. the unused IP blocks of a network segment. This paper summarizes the method for ascertaining the attacks towards The CERT/CSIRT units are mainly established in the Turkish National Academic Network by the use of modified version of Blackhole concept. In this method Blackhole traffic is constitutions of well-organized and superior enterprises captured by using Honeypots and analyzed by using IP header managing big networks [2]. Ulak-CSIRT (Computer Security information. The attacks are classified based on source IP Incident Response Team) is responsible for preventing the address, originating country, operating system and destination potential security violation of external networks to port. Moreover, captured traffic originating from Turkey is ULAKNET. Ulak-CSIRT also aims ascertaining the attacks further evaluated in order to characterize distribution of attacks and the people in charge and in the same way, preventing the among the Turkish Internet Service Providers. attacks of ULAKNET to the outside world and if there is an attack, ascertaining the people in charge of the attack and Keywords Index Terms—Blackhole monitoring, Honeypot, network sharing the information with the administrators of this security, ULAKBIM, ULAKNET network [3]. The method developed in this study is based on Blackhole I. INTRODUCTION concept and employs Honeypots in the scope of “ascertaining T he security of the national and personal information resources has become more important with the expansion in the use of the internet and the increase in the number of the attacks towards ULAKNET” mission of Ulak-CSIRT. In ordinary usage, Blackholes, from a network security perspective, are placed in the network where traffic is applications such as e-government and electronic banking forwarded and dropped. Systems that monitor unused address applications. Moreover, the increase in the number of cyber space have been called Blackholes [4], darknets [5], network attacks and cyber terrorism have been threatening especially telescopes [6] or Sinkholes [7] and have been under the security of the national information resources. These investigation for a long time. Honeypots are kind Intrusion circumstances have emerged the urgent establishment of the Detection Systems which emulates vulnerable systems or Computer Security Incident Response Teams. Urged by services to attract interest of intruders [8]. necessity, Ulak-CSIRT, ULAKNET Computer Security Incident Response Team, has been established in the ULAKNET Blackhole Attack Detection System includes a constitution of the National Academic Network (ULAKNET). Blackhole application based on ULAKNET unused IP blocks and the traffic forwarded to this system is received by a ULAKNET, managed by Turkish Academic Network and Honeypot. Inclusion of the Honeypot encourages the intruders Information Center (ULAKBIM) [1], provides network to continue their attacking behavior which facilitates security connectivity of universities and research institutes with similar experts analyzing the attacks deeper. Whereas, with single institutions in Turkey and abroad. For ULAKBIM to provide stand Blackholes security experts have limited capabilities services in order to be able to fulfill its primary duties there is since the traffic is directly dropped. Although there are some a need for a high-speed reliable backbone and external researches in literature focusing on the use of Honeypots in connections. The main goal of ULAKBIM is to provide Blackhole applications, implementation in large scale network services always one step ahead of the expectations of networks is still a challenging study due to the great amount its users, made up of 100,000 academic personnel and more of data required to be analyzed. In addition, ULAKNET than 2.2 million university students. Blackhole Attack Detection System is a unique study in Turkey in this scale up to our knowledge. Moreover, our study ULAKBIM is a partner of GÉANT2 and ULAKNET represents national scale findings since it analyzes the attacks backbone is interconnected with the trans-European Research towards whole national academic network. These findings contribute to the analysis of attacks toward Turkey with interesting results such as the most attacking countries, the Manuscript received November 10, 2008. M. Soysal. is with the Turkish Academic Network and Information Center most attacking Operating Systems, the mostly attacked ports, (ULAKBIM), Ankara, 06539 Bilkent, phone: 312-298-9367; fax: 312-298- etc. 9310; e-mail: msoysal@ulakbim.gov.tr O. Bektaú. is with the Turkish Academic Network and Information Center (ULAKBIM), Ankara, 06539 Bilkent, e-mail: onur@ulakbim.gov.tr Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 126

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION II. ULAKNET BLACKHOLE ATTACK DETECTION SYSTEM destination address are distributed to the related nodes. Then, the rest is captured by Blackhole. A. Blackholes Blackholes, from a network security perspective, are placed After capturing these packets the analysis is done according in the network where traffic is forwarded and dropped. Once to the research interests. We assumed that if the captured an attack has been detected, blackholing can be used to drop packets belong to a malicious activity, this is mainly a scan all attack traffic at the edge of an Internet Service Provide before the actual attack since the destination is not a real (ISP) network, based on either destination or source IP victim with a valid IP address. Therefore, we decided to addresses. identify the distribution of these hosts according to the ISP Blackholes are used for monitoring unused Internet space to hosting the attacker, the country the attacks come from, the characterize security threats. Systems that monitor unused IP destination ports scanned. This information could easily be address space have been called Blackhole monitors [4], gathered from the IP header part from the packets, so the deep darknets [5] , network telescopes [6] and Sinkholes [7]. packet inspection tools are not used in this study. Employing such a tool to identify the attack type more preciously and in Blackholes are capable of identifying configuration errors, more detail was another option, but it will not be cost effective routing problems [9], denial of service attacks (DoS) [10], since the captured packets probably belong to the only the [11], Internet worms [12], [13], [14], [15] and botnets [4]. scan part. Besides, as the number of packets towards the There are some primitive results even from IPv6 Blackhole Blackhole increases, real time deep packet analysis of traffic applications [16]. gets more difficult. B. Capturing and Analyzing Attacks Honeyd [18] is used to gather information from the IP The Blackhole concept is adapted to detect the attacks by header part of the captured packets. Although honeyd is the help of unused IP blocks among ULAKNET. The classified as low interaction honeypot it has advanced features following IPv4 address blocks are assigned to ULAKNET in like faking operating system probe scanners. Simplicity, Ripe Database [17]: human readable logs and familiarity are the main concerns while choosing honeyd. x 193.140.0.0/16 x 194.27.0.0/16 Honeyd creates a flow log for all connections request x 193.255.0.0/16 captured. Example log file includes the following lines: x 79.123.128.0/17 2008-06-30-00:00:00.8110 tcp(6) S 10.10.10.12 4270 ULAKBIM assigns sub-blocks of these four IP blocks to 192.16.2.3 1433 [Windows XP SP1] the nodes of ULAKNET, using its “Assignment Window”, 2008-06-30-00:00:00.8848 tcp(6) E 220.169.60.35 4021 and routes the traffic destined to these sub-blocks to the 79.123.148.140 1433: 41 0 related node according to these assignments. On the other 2008-06-30-00:00:00.0312 udp(17) - 24.215.24.91 1045 hand, some sub-blocks are currently not assigned to any node 193.255.1.207 1026: 30 and consequently, nominated as unused IP blocks of ULAKNET. Any network packet whose destination address is Fields in the Honeyd log file can be interpreted as follows: in one of the unused IP block ranges belongs to either a x The first field contains the timestamp of event malicious activity or a mis-configured traffic. The ULAKNET x The second field lists the protocol like tcp, udp etc. Blackhole application is mainly based on capturing and x The third field may either be : o S start of a new connection analyzing this kind of traffic. o E end of a connection (Honeyd logs the amount of data received at the end of line) We used a very simple rule of routing to capture this traffic: o Packet does not belong to any connection. “The priority of the specific routes over the general ones”. x Third field is four tuple of connection in the order of First, all four huge IP ranges assigned to ULAKBIM are source IP, source port, destination IP and destination routed to a ULAKNET Blackhole. port. ip route 193.140.0.0 0.0.255.255 193.140.82.205 Honeyd also logs operating system (OS) of the attacker at ip route 194.27.0.0 0.0.255.255 193.140.82.205 the end of the line if it can be identified via passive fingerprinting. ip route 193.255.0.0 0.0.255.255 193.140.82.205 ip route 79.123.128.0 0.0.254.255 193.140.82.205 C. Classification of Attacks Since the smaller blocks assigned to the nodes have more In this section, the methodology which is used to classify the attacks will be explained. The attacks are classified specific entries in the routing tables of backbone routers, they according to the ISP which the attacker belongs to, the are issued first. All packets having a “used” IP address as a Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 127

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION D. Reporting All the classification results are visualized in a graphical manner and shared via Ulak-CSIRT web page [21]. The graphs include statistics such as the most attacking ULAKNET node, the most attacking countries and the most attacking IP address. This information is publicly published to enable all security teams to identify the most active attackers targeting Turkish Academic Network. Further details are available up on request, since public share could result in more security holes. III. RESULTS In this section the classification results of the attacks Figure 1. Source IP based on analysis captured during June 2008 will be given. The log file processed exactly belongs to 30 days. The log file has an approximate size of 18 Gigabytes and over 233 Million lines. country the attacks come from, the destination ports scanned The total number of unique IP addresses in the log file is and the operating system used by the a of these unique IP addresses belongs a significant number for our internet The classifications based on the des plication identified 50k compromised directly gathered from the honeyd log rkish ISP during one month. source IP information is further proce hosting the attacker and the country ng IP addresses This process is given in Figure 1 as a f In the first step, the country which t identified by using an open source [19]. GeoIP is a geographical loca mainly used to gather geographical Internet visitors in real-time. An query/result pair is given below: Query: [root@blackhole]$ geoiploo Result: GeoIP Country Edition: US, ng IP Addresses In step 2, country origin is determin Turkey are classified using Ge Attacking IP Addresses” is one of the membership information [20] is use n network security point of view. This Turkish Local Internet Registers (LIR) and their IP ranges. At list could be used for dynamically generating Access Control step 3 and 4, Turkey originated IP addresses are further Lists for filtering the most active attackers at the edge of classified as ULAKNET and the others. To accomplish this task, membership list further filtered based upon the registry backbone. After detecting IP address, traffic can also be base of LIR’s. A LIR is added to “Turkish LIR’s List” if its redirected to deep packet intrusion detection systems (IDS) to registry base is in Turkey. Attacks from Turkey are classified analyze attack in depth. By using this method load on IDS can according to the ISPs hosting the attacker. . be reduced. B. The Most Attacking Countries The last classification is made on the attacks coming from Another type of classification on the attackers is made ULAKNET nodes. Most of ULAKNET nodes use the IPv4 according to the countries they belong to. This information blocks assigned by ULAKBIM, so it is easy to identify the became much more important after the examples of “cyber node owning a source IPv4 address from the local databases. wars” following the conflicts between some countries during In addition, some nodes of ULAKNET have their own AS 2008. numbers and IPv4 addresses assigned directly from RIPE (e.g. METU, ITU). The local database is updated to include all The results in Figure 3 show the ranking according to the sum IPv4 addresses used among ULAKNET. of all packets received from the attacking country. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 128

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION remote shell access. Its ranking indicated that ssh probes are the most common attack type performed against Unix derivatives. Figure 3. Top Ten Attacking Countries Evaluations on the “Top Ten Attacking Countries” revealed Figure 5. Top Ten Attacked Ports that summing all the packets would mislead the ranking. A single host scanning the ports of another single destination D The Most Attacking Operating Systems could burst the country rank. A revise to identify the Operating System used by counting all the traffic between dis ult of the attacker OS evaluation is as IP pairs as single hit and result is g nce most of the internet users are using comparison of Figure 3 and Figure 4 s ating system has more than 70% share biased by the Polish hosts identified fro ng OS Figure 4. Top Ten Attacking Countries Revised C. The Mostly Attacked Ports his evaluation could be the 18% share The “Top Ten Attacked Ports” is giv ount of the open source attacking tools information is valuable since some of the attacks could be are available and Linux is feasible platform for running and identified according to these ports. In addition, the list of the improving such tools, a special attention to these attacks are mostly attacked ports is heavily used by network paid. Linux can be used as server operating system. Thus, administrators to secure their network by simply blocking the detection of Linux as attacker OS can be the indication of the probes to these ports. more severe security problems like the compromise of DNS or SMTP servers. As a result, if detected OS is a server A dramatic result from this evaluation is the high share of operating system it should be investigated more closely. Port 1433 which is commonly used by Microsoft's SQL server. Two MSSQL worms in May 2002 and January 2003 E. Special analysis on the attackers from Turkey exploited several known MSSQL flaws [22]. The mostly A novel result of this study is based on evaluating the attacked ports evaluation shows that the scan on this port still attacks originating from Turkey. This is the first time in has a great amount of activity on Internet. Another interesting result is observation of port 1026 and 1027.These ports are literature such a classification is given. used by Microsoft Windows messaging system which is designed for use by system administrators to notify users about their networks. Nevertheless, spammers use this service to send advertisements [23]. Port number 22 is used for SSH protocol which is used in Unix derivatives for encrypted Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 129

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Figure 7. Top Ten Turkish ISPs Figure 9. Top Ten Attacking ULAKNET Members The Turkish ISP ranking is given with two different Attacks were counted as a single hit if source and destination evaluations similar to the “Most Attacking Countries” is addresses are distinct. section III.B. IV. CONCLUSION In this paper, ULAKNET Blackhole Attack Detection analysis methodology have been dings of the system for a one month d. It is also verified that even if the analyzed only in IP header level, an be gained about the attacks towards . e Blackhole can be the result of either ation error. The results of the detailed Figure 8. Top Ten Turkish ISPs Revised due to the attacks are presented in this AKNET Network Operations Center It should be noted here that ULAK ork administrator of the ULAKNET considerable amount of the attacks gath general vision on the security threads This is mainly based on the worm tra cademic Network with the findings of “nearby” hosts. A worm uses the sou the analysis over Blackhole data are subnet mask to discover the nearby nuously and results are updated in related ports. from ULAKNET nodes are further The lead of “Turk Telekom” is an ex IRT to improve the security level in high share of the ISP in the market. fying the compromised machines in rank of other ISPs could be beneficial f s identification is automatically turned these ISPs to evaluate their position according to their into security incident by a trouble ticketing system and the competitors in the market. system informs security contact point of the node. Severity F. The Most Attacking ULAKNET members levels are assigned to each incident with time limits to investigate and resolve the attack. Since attack ranking of ULAKNET members are visualized and shared via Ulak-CSIRT web page on daily and hourly Two configuration errors causing network traffic towards basis, only one month summary is given in Figure 9. Blackhole are also discovered in this study. In the first case the Akamai servers, hosted in ULAKBIM and providing the content delivery services to ULAKNET, were discovered to distribute traffic to Blackhole due to BGP routing problem. The second problem was discovered by the real time monitoring of port anomalies. A configuration error in the DNS server of one of the ULAKNET nodes resulted in excessive amount of traffic to port 53 of an unused IP address (193.140.82.251). This anomaly was detected by the help of “Blackhole Destination Port Daily Analysis”. The Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 130

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION administrator of the node was informed to update the [16] M. Ford, J. Stevens, J. Ronan, “Initial Results from an IPv6 Darknet Internet Surveillance and Protection,” in International Conference on configuration of DNS server and enter the correct IP address Volume , Issue 2006, pp:13 – 13. (193.140.83.251) to use ULAKBIM DNS forwarder service. [17] RIPE network coordination centre, http://www.ripe.net This update prevented nodes DNS server from forwarding all [18] Honeyd virtual honeypot, http://www.honeypot.org uncached DNS queries to Blackhole. [19] Geoip Geolocation IP finder http://www.maxmind.com [20] Local Internet Registries offering service in Turkey. Available: http://www.ripe.net/membership/indices/TR.html Blackhole system also detected considerable amount of [21] ULAKNET honeypot statistics, [Online]. Available: traffic originated from unassigned ULAKNET IP addresses http://www.ulakbim.gov.tr/ulaknet/istatistik/balkupu which is a clear indication of IP spoofing. Ulak-CSIRT [22] Port 1433 details, [Online]. Available: published a recommendation including technical details of IP http://isc.sans.org/port.html?port=1433 [23] Disabling Messenger Service in Windows XP, [Online]. Available: spoofing and “ingress filtering” as a possible solution as a http://www.microsoft.com/windowsxp/using/security/learnmore/stopspa result of this observation. m.mspx In the future the efficiency of a Blackhole system can be improved by increasing the number of sensors. Moreover, if universities deploy their Blackhole systems monitored data can correlate together to produce better results. Another enhancement can be made by analyzing Blackhole traffic with the deep packet inspection tools. For example Honeynet can be used for this kind of purposes. REFERENCES [1] ULAKBIM The Turkish Academic Network and Information Centre, http://www.ulakbim.gov.tr [2] RFC 2350, Expectations for Computer Security Incident Response. [3] Ulak-CSIRT, Turkish Academic network and information center Computer Security Incident Response Team, http://csirt.ulakbim.gov.tr/ [4] Dug Song, Rob Malan, and Robert Stone, “A snapshot of global Internet worm activity,” presented at the FIRST Conference on Computer Security Incident Handling and Response, June 2002. [5] Team Cymru. The darknet project [Online]. Available: http://www.cymru.com/Darknet/index.html, November 2008. [6] David Moore, Colleen Shannon, Geoffrey M. Voelker, and Stefan Savage, “Network telescopes,” Technical Report CS2004-0795, UC San Diego, July 2004. [7] Barry Raveendran Greene and Danny McPherson, “Sinkholes: A swiss army knife isp security tool,”, June 2003 [Online]. Available: http://www.arbor.net/. [8] The Honeynet Project, Know Your Enemy : Learning about Security Threats, (2nd Edition), Pearson Education. [9] S. Soltani, S. A. Kyaham, H. Radha, “Detecting Malware Outbreaks Using a Statistical Model of Blackhole Traffic,” in Proc. IEEE International Conference on Communications, Beijing, 2008, pp. 1593 – 1597 [10] David Moore, Geoffrey M. Voelker, and Stefan Savage, “Inferring Internet denial-of-service activity,” in Proceedings of the Tenth USENIX Security Symposium, Washington, D.C., August 2001, pp. 9–22. [11] Evan Cooke, Michael Bailey, Z. Morley Mao, David Watson, and Farnam Jahanian, “Toward understanding distributed Blackhole placement,” in Proceedings of the 2004 ACM Workshop on Rapid Malcode (WORM-04), New York, Oct 2004. ACM Press. [12] Michael Bailey, Evan Cooke, David Watson, Farnam Jahanian, and Jose Nazario, “The Blaster Worm: Then and Now,” IEEE Security & Privacy, 3(4):26–31, 2005. [13] David Moore, Vern Paxson, Stefan Savage, Colleen Shannon, Stuart Staniford, and Nicholas, “Weaver. Inside the Slammer worm,” IEEE Security & Privacy, 1(4):33–39, 2003 [14] Colleen Shannon and David Moore, “The spread of the Witty worm,” IEEE Security & Privacy, 2(4):46–50, July/August 2004. [15] Colleen Shannon, David Moore, and Jeffery Brown, “Code-Red: a case study on the spread and victims of an Internet worm,” in Proceedings of the Internet Measurement Workshop (IMW), December 2002 Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 131

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Güvenlik Penceresinden IPv4/IPv6 Karşılaştırılması Şeref SAĞIROĞLU, Onur BEKTAŞ, Murat SOYSAL This paper analyses the major security threads in IPv6 networks Özet—IPv4’ün yerini almak için tasarlanmÕú olan IPv6 yakÕn in two categories. First part focuses on the attacks which are bir gelecekte internete ba÷lanmak için yeni standart olacaktÕr. IP common to both protocols. Second part examines types of attacks adreslerinin da÷ÕtÕmÕndan sorumlu kurumlarÕn IPv4 adres that will change in IPv6 networks and security threads which are aralÕ÷ÕnÕn bitiú tarihinin 2010 yÕlÕ sonlarÕna do÷ru olaca÷ÕnÕn IPv6 specific. tahmin etmeleri IPv6’ya geçiú çalÕúmalarÕnÕn son yÕllarda tüm ülkelerde ivmelenmesine neden olmuútur. IPv6’nÕn IPv4’te Index Terms—IPv4, IPv6, IPv6 Security, Mobile IPv6 Keywords deste÷i sorunlu olan adres kapasitesi, çoklu da÷ÕtÕm, servis kalitesi ve dolaúÕlabilirlik problemlerine çözüm olaca÷Õ I. GøRøù öngörülmektedir. IPv6’nÕn bu özelikleri yanÕnda ön plana çÕkarÕlan di÷er bir özelli÷i de IPv4’e göre güvenlik konusunda getirdi÷i yeniliklerdir. IPv6 ile birlikte IPv4’te seçimlik olan IPSec deste÷ini zorunlu tutulmasÕ, adreslenebilecek uç sayÕsÕnÕn ø NTERNETøN temel protokolü olan IPv4 25 yÕldan daha uzun süredir kullanÕlmaktadÕr. IPv4, tasarÕmÕnÕn yapÕldÕ÷Õ 80’li yÕllardan günümüze kadar teknolojinin getirdi÷i artÕrÕlmasÕ, baúlÕk yapÕsÕnÕn sadeleútirilmesi, ara dü÷ümlerde gereksinimler do÷rultusunda yapÕlan eklentiler ile günün paket parçalanmasÕna izin vermemesi benzeri iyileútirmelerinin ihtiyaçlarÕnÕ karúÕlar hale getirilmeye çalÕúÕlmÕútÕr. 1990’lÕ yapÕlmasÕ yeni nesil internet protokolünün daha güvenli olarak yÕllarÕn baúÕndan itibaren IETF (Internet Engineering Task sunulmasÕnÕ sa÷lamÕútÕr. Bununla birlikte henüz geliútirilme ve deneme aúamasÕnda olan IPv6’nÕn kullanÕm oranÕnÕn çok yüksek Force) tarafÕndan IPv4’ün internetin geliúimde engel olamamasÕ, protokolün internetin güvenli÷ine yapaca÷Õ katkÕ ve oluúturmamasÕ için yerini alacak yeni bir protokole ihtiyaç yarataca÷Õ muhtemel güvenlik riskleri konularÕnda ki belirsizli÷i duyuldu÷u uyarÕlarÕ yapÕlmÕú ve çalÕúmalar baúlatÕlmÕútÕr [1]. henüz kaldÕramamÕútÕr. Bu makalede ilk olarak IPv4’te ÇalÕúmalarÕ yeni nesil IP protokolü (Next Generation IP, IPng) karúÕlaúÕlan güvenlik riskleri ve saldÕrÕ türlerinin IPv6 kullanÕmÕ ismi altÕnda baúlayan IPv6 ile ilgili temel tanÕmlarÕnÕ içeren ile birlikte durumlarÕ incelecek ve daha sonra IPv6 kullanÕmÕ ile RFC 2460 [2] 1998 yÕlÕnda yayÕnlanmÕútÕr. ortaya çÕkabilecek IPv6’ya özel güvenlik problemlerini konusunda bilgi verilecektir. IPv6’nÕn çÕkÕú noktasÕ internet protokolünün günün Anahtar Kelimeler —IPv4, IPv6, IPv6 Güveni÷i, Gezgin IPv6, ihtiyaçlarÕnÕn karúÕlayacak úekilde yenilenmesidir. Günümüze IPv6 SaldÕrÕ Türleri internetin geldi÷i noktada IPv4 geliútiricilerinin öngöremedi÷i gereksinimlerin ortaya çÕkmasÕ IPv6’ya olan ihtiyacÕ Abstract— IPv6 is expected to become the new standard for tetiklemektedir. IPv6, adres kapasitesi artÕrÕmÕ, çoklu da÷ÕtÕm, Internet connection in the forthcoming years. There is a servis kalitesi, dolaúÕlabilirlik gibi IPv4 ile sa÷lanmasÕ güç transition progress all over the world towards the IPv6 since IPv4 olan teknolojilerin çözümlerini içeren yapÕsÕ ile günümüz address space is expected to be exhausted by the end of 2010. IPv6 brings many improvement opportunities in terms of address ihtiyaçlarÕ ve yeni nesil internet uygulamalarÕnÕn space, auto configuration, quality of service, routing speed, gereksinimleri karúÕlayacak úekilde tasarlanmÕútÕr. Uzun mobility and security. In comparison to IPv4, IPv6 was designed süredir kullanÕmda olan IPv4 adreslerinin 2010 yÕlÕ sonlarÕna with security in mind and offers many improvements on network do÷ru tükenece÷i hesaplanmaktadÕr [3]. IPv4 adreslerinin layer security. Despite these improvements, IPv6 is not widely da÷ÕtÕmÕ sÕrasÕnda Amerika’nÕn protokolü geliútiren ülke deployed yet and still in the phase of development and early olmasÕ nedeni ile elde etti÷i avantaj adreslerin dünya integration. As a result, IPv6 security features are not extensively tested in real environments and it is likely that IPv6 usage in ülkelerinde eúit da÷ÕtÕlmamasÕna neden olmuútur [4]. Bunun operational networks may pose risks and introduce potential sonucunda özellikle Uzak Do÷u ülkelerinde IPv4 adres vulnerabilities in addition to those experienced in IPv4 networks. sÕkÕntÕsÕ oluúmuú ve IPv6 geçiúi ile ilgili çalÕúmalar Uzakdo÷u ülkelerinde Amerika ve Avrupa’ya göre daha önce baúlamÕútÕr. 10 KasÕm 2008 tarihinde gönderilmiútir. Tüm dünyada IPv4’den IPv6’ya geçiú için yapÕlan ù. Sa÷Õro÷lu. Gazi Üniversitesi, Mühendislik MimarlÕk Fakültesi, çalÕúmalarda IPv6’nÕn yeni nesil teknolojilerin ù. Sa÷Õro÷lu. Gazi Üniversitesi, Mühendislik MimarlÕk Fakültesi, Bilgisayar Mühendisli÷i Bölümü, Maltepe, Ankara. Bilgisayar Mühendisli÷i Bölümü, Maltepe, Ankara. Telefon/fax: 312-2306503; E-posta: ss@gazi.edu.tr uygulanmasÕnda sa÷ladÕ÷Õ kolaylÕklar yanÕnda IPv6’nÕn Telefon/fax: 312-2306503; E-posta: ss@gazi.edu.tr güvenlik özellikleri geçiú nedenlerinden bir olarak O. Bektaú TÜBøTAK Ulusal Akademik A÷ ve Bilgi Merkezinde uzman öngörülmektedir. araútÕrmacÕ olarak çalÕúmaktadÕr.Telefon: 312-2989367; faks 312-2989393; E- posta: onur@ulakbim.gov.tr M. Soysal TÜBøTAK Ulusal Akademik A÷ ve Bilgi Merkezinde uzman ønternette en çok karúÕlaúÕlan saldÕrÕlar OSI referans modeli araútÕrmacÕ olarak çalÕúmaktadÕr. Telefon: 312-2989310; faks: 312-2989393; uygulama seviyesi saldÕrÕlardÕr. Buna karúÕn a÷ katmanÕnda ki E-posta: msoysal@ulakbim.gov.tr Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 132

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION saldÕrÕlarÕn karúÕ önlemlerinin alÕnmasÕ, fark edilmeleri ve anahtar paylaúÕmÕnda verimli algoritmalar önerilmedi÷inden engellenmeleri çok daha güç olabilmektedir. A÷ katmanÕ yeni nesil protokolün bu saldÕrÕnÕn úekli ve tespitine güvenli÷inde yaúanacak sorunlar dünya çapÕnda servis katacaklarÕ úimdilik sÕnÕrlÕdÕr [7]. Bu saldÕrÕ türünün IPv6 kesintilerine neden olabilecek seviyede yaygÕnlÕ÷a ve tüm a÷larÕndaki durumunda IPSec’in kullandÕ÷Õ ISAKMP (Internet haberleúmenin kesintiye u÷ramasÕ, dinlenmesi, sahte bir Security Association and Key Management Protocol) ve IKE hedefe yönlendirilmesi benzeri durumlar ile sonuçlanabilecek (Internet Key Exchange) protokollerinin úifreleme, mesaj özeti güvenlik risklerinin oluúmasÕna neden olabilir. algoritmalarÕ, yetkilendirme yöntemi konularÕndaki baúarÕsÕ belirleyici olacaktÕr. Bir a÷ seviyesi protokolü olan IPv6’nÕn güvenli÷i ile ilgili B. Uygulama seviyesi saldÕrÕlarÕ olarak literatürde birçok çalÕúma mevcuttur [8], [12], [16], [18], [25], [26], [27], [29], [30]. YapÕlan araútÕrmalar iki grup OSI referans modeli 7. seviyesi olan uygulama katmanÕ, altÕnda toplanabilir. ølk grupta IPv4 a÷larÕndaki mevcut internette yapÕlan saldÕrÕlarÕn sayÕca ve kapsam olarak en güvenlik risklerinin (solucan da÷ÕlÕmÕ, ortadaki adam saldÕrÕsÕ büyük kÕsmÕnÕ oluúturmaktadÕr. Uygulama katmanÕnda vb) IPv6 a÷larÕndaki durumu incelenmiútir. økinci grupta yapÕlacak olan saldÕrÕlar a÷ katmanÕndan çalÕúan IP IPv6’nÕn IPv4’ten farklÕ olan adres yapÕsÕ, dolaúÕlabilirlik, ek- sürümünden ba÷ÕmsÕz oldu÷u için hafÕza taúÕrma veya taúmasÕ, baúlÕk deste÷i gibi özelliklerin güvenli÷i irdelenmiútir. SQL enjeksiyonu (SQL injection) benzeri uygulama seviyesi saldÕrÕlarÕ yeni nesil internet protokolü kullanÕmÕ ile herhangi IPv6 kullanÕmÕ ile birlikte a÷ seviyesi saldÕrÕlarÕnÕn güvenlik bir de÷iúiklik göstermeyecektir [8] . riskleri analiz edildi÷inde yeni bir protokole geçilmesinin bir C. Ortadaki adam saldÕrÕsÕ sonucu olarak IPv4’e göre farklÕlÕklar oldu÷u gözlenmektedir. IPv4 ve IPv6 adres baúlÕklarÕnÕn hiçbir koruma altÕnda Mevcut güvenlik riskleri ve saldÕrÕlarÕn incelendi÷inde bazÕ olmamasÕ, ortadaki adam saldÕrÕlarÕndan korunmak için iki saldÕrÕ türlerinin IPv6 ile gerçekleútirilme zorluklarÕnÕn arttÕ÷Õ protokolünde IPSec deste÷ine ihtiyaç duymalarÕna neden ve bazÕlarÕnÕn da azaldÕ÷Õ görülmektedir. IPv6 güvenlik olmaktadÕr. Paket koklama saldÕrÕlarÕna benzer olarak IPsec açÕsÕndan de÷erlendirildi÷inde özellikle dolaúÕlabilirlik ve kullanÕlmamasÕ durumunda bu saldÕrÕ türü için IPv4 ve IPv6 yerel a÷da IPv6 kullanÕmÕnda potansiyel güvenlik risklerinin arasÕnda bir fark bulunmamaktadÕr. olabilece÷i öngörülmüútür. TABLO 1 Bu çalÕúmanÕn sunuú sÕrasÕ úu úekildedir. IPv4 ve IPv6 IPV4 øLE IPV6 ARASINDAKø BENZERLøK GÖSTEREN GÜVENLøK RøSKLERø arasÕnda benzerlik gösterilen güvenlik riskleri Bölüm 2’de Güvenlik Riski IPv4 IPv6 irdelenmiútir. IPv6’nÕn kullanÕlmasÕ ile birlikte IPv6’ya özel Paket Koklamak Mümkün IPsec kullanÕlmassa mümkün hangi güvenlik riskleri ile karúÕ karúÕya kalÕnabilece÷i Bölüm Uygulama 3’de açÕklanmÕútÕr. øki protokol arasÕnda güvenlik risklerin seviyesinde karúÕlaútÕrmasÕ Bölüm 4’de sunulmuútur. Son bölümde (Bölüm yapÕlacak saldÕrÕlar Mümkün KÕsmen mümkün 5) ise çalÕúma genel olarak de÷erlendirilmiú ve öneriler Ortadaki adam saldÕrÕsÕ Mümkün KÕsmen mümkün sunulmuútur. TaúÕma hafÕza veya TaúÕrma saldÕrÕsÕ Mümkün KÕsmen mümkün II. IPV4 VE IPV6 øÇøN BENZERLøK GÖSTEREN BAZI GÜVENLøK RøSKLERø IPv4 ve IPv6 güvenlik riskleri açÕsÕndan de÷erlendirildi÷inde paket koklamak, taúÕrma saldÕrÕsÕ, ortadaki adam saldÕrÕsÕ ve D. TaúÕrma (flooding) uygulama seviyesi saldÕrÕlarÕ karÕúÕlabilecek güvenlik TaúÕrma saldÕrÕlarÕ genel anlamda hedefe baú risklerinin baúÕnda gelmektedir. Bu hususlar aúa÷Õda alt edebilece÷inden daha fazla iste÷in yönlendirmesiyle yapÕlÕr. baúlÕklar halinde açÕklanmÕútÕr. Tablo 1’de IPv4 ile IPv6 Bu yönlendirme sonucu hedefin iúlemci, bellek, disk arasÕndaki benzerlik gösteren güvenlik riskleri listelenmiútir. kapasitesi ve bant geniúli÷i tüketilerek hizmet vermesi A. Paket koklamak engellenir. TaúÕrma saldÕrÕlarÕ IP adres yapÕsÕyla çok ba÷lantÕlÕ bir saldÕrÕ türü olmadÕ÷Õndan IPv6 için çok fazla de÷iúikli÷e Paket koklamak a÷da dolaúan paketlerin yakalanarak ve maruz kalmasÕ beklenmemektedir. Bununla birlikte aúa÷Õdaki içeri÷inin incelenmesi úeklinde tanÕmlanabilir. AçÕk kaynak problemlerle karúÕlaúÕlabilir: kodlu popüler paket koklayÕcÕlardan tcpdump [5] ve wireshark x økili yÕ÷Õn yapÕsÕnÕ destekleyen sunucularda IPv4 ve [6] uzun süredir IPv6 deste÷i vermektedir. IPv6’nÕn IPsec IPv6 a÷ yÕ÷ÕnlarÕn birlikte kullanÕlmasÕnÕn sistem deste÷ini zorunlu tutmasÕ a÷ seviyesinde uçtan uca güvenli kaynaklarÕ tüketimi açÕsÕndan bir maliyeti olacaktÕr. iletiúimin her cihaz tarafÕndan yapÕlabilmesinin önünü økili yÕ÷Õn çalÕútÕran cihazlar IPv6 için kaynak açmÕútÕr. Paket koklanmasÕ saldÕrÕsÕnda IPsec kullanÕlarak ayÕrmalarÕ nedeni ile sadece IPv4 çalÕútÕran cihazlara úifreleme yapÕlmamasÕ durumunda paketlerin içeri÷i açÕk göre daha az istek ile servis veremez hale gelebilirler. oldu÷u için IPv4 ve IPv6 arasÕnda bir fark bulunmamaktadÕr. x IPv6 a÷larÕnda geçiú için kullanÕlan tünel IPsec uygulamasÕ ile yakalanan paketlerinin içeri÷inin mekanizmalarÕ, saldÕrganÕn tüneli açan cihazlara karúÕ incelenmesinin engellenebilmesine karúÕn henüz IPsec için aúÕrÕ trafik oluúturarak servis dÕúÕ bÕrakma saldÕrÕsÕ Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 133

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION yapÕlmasÕnÕ kolaylaútÕrabilir. tiplerinin hangi servislerin çalÕúmasÕ için mutlak gereklilik x ICMPv6 ve IPv6 çoklu gönderim adreslerinin oldu÷u konusunda probleme neden olabilir. ICMPv6’nÕn kullanÕlma úekli ileride bahsedilece÷i úekilde IPv6 IPv6’da kullanÕlmasÕ zorunlulu÷una ICMPv6 tip 2 (Çok büyük a÷larÕnda taúÕrma saldÕrÕsÕ yapÕlmasÕnÕ paket, Packet too big) paketleri örnek olarak verilebilir. Bu kolaylaútÕrabilir. paketler IPv6 kullanarak haberleúen iki uç arasÕndaki a÷da gönderilebilecek en büyük paketin büyüklü÷ünü bulmayÕ III. IPV6 øLE DEöøùECEK SALDIRI TÜRLERø amaçlayan maksimum paket büyüklü÷ü keúfi mekanizmasÕnÕn iúlemesi için mutlak gerekliliktir ve güvenlik duvarÕ tarafÕndan A. Keúif (Reconnaissance) engellenmemelidir. FreeBSD [14] iúletim sisteminin AMD64 Keúif saldÕrÕlarÕ bir saldÕrÕ türü olmaktan çok saldÕrÕ öncesi sürümünde ICMPv6 tip 2 paket göndererek servis dÕúÕ hedef cihazlarÕn tespiti ve kurban aramak için kullanÕlan bÕrakÕlmasÕna sebep olabilecek bir açÕk FreeBSD güvenlik çalÕúmalarÕ içermektedir. IPv4 a÷larÕnda adres aralÕ÷ÕnÕn dar listesine 8 Eylül 2008 tarihinde duyurulmuútur [15]. ICMPv6 olmasÕ nmap benzeri tarama programlarÕ ve solucanlar tip iki paketlerin güvenlik duvarÕnda engellenmemesi tarafÕndan bir a÷a ait tüm adres aralÕ÷ÕnÕn çok kÕsa bir zorunlulu÷u FreeBSD sunucularÕnÕ bu saldÕrÕya maruz zamanda taranmasÕnÕ mümkün kÕlmaktadÕr. IPv6 ile birlikte en kalmalarÕna sebep olabilmektedir. düúük alt a÷ adresi olan /64, 264 adres içermektedir. Alt a÷daki adres sayÕsÕndaki bu artÕú rastgele IP adresi tarama ile C. Komúu AraútÕrÕlmasÕ (neighbor discovery) ve Durum hedef bulma olasÕlÕ÷ÕnÕ azaltmaktadÕr. Adres aralÕ÷ÕnÕn Denetimsiz (stateless) Adres YapÕlandÕrmasÕ getirdi÷i bu koruma saldÕrganlarÕn rastgele IP adresi aramak IPv6 komúu araútÕrmasÕ paketleri, IPv6 konuúan cihazlarÕn yerine DNS mekanizmasÕ kullanmalarÕ ile aúÕlabilir. Hedef yerel alan a÷larÕndaki di÷er uçlarÕn ba÷lantÕlÕ yerel a÷a ait alan adÕ altÕnda bulunan bilgisayarlarÕn IPv6 adresine adreslerinin ö÷renilmesi ve yönlendirici bilgilerinin ulaúmak, DNS sözlük saldÕrÕsÕ ile desteklenmiú bir DNS kaba sorgulanmasÕ için kullanÕlÕr. Komúu araútÕrmasÕ sürecinin bir kuvvet saldÕrÕsÕ ile mümkündür. DNS kaba kuvvet saldÕrÕsÕ parçasÕ olan yinelenmiú adres tespiti (Duplicate Address yapan TXdns [9] benzeri uygulamalar bu amaç için Detection) iúlemi a÷da aynÕ IPv6 adresine sahip olan ucun kullanÕlabilir. IPv6 ile birlikte a÷da belirli servisleri veren bulunup bulunmadÕ÷Õ bilgisinin ö÷renilmesi amacÕ ile sunucularÕn ortak çoklu gönderim adresi kullanmalarÕ kullanÕlÕr. sunucularÕn adreslerinin bulunmasÕnÕ kolaylaútÕrmaktadÕr. Örne÷in a÷daki tüm EIGRP yönlendiricilerini temsil eden Durum denetimsiz yapÕlandÕrma paketleri, yerel alan a÷Õndaki FF02::A [10] adresi bu yönlendiricileri tespit etmek için cihazlara IPv6 adresi atanmasÕ için kullanÕlabilecek bir kullanÕlabilir. yöntemdir. IPv6’nÕn komúu araútÕrmasÕ ve durum denetimsiz yapÕlandÕrma paketleri tasarlanÕrken IPv6 kullanÕmÕnÕn yerel B. ICMPV6 alan a÷larÕnda eriúim kontrolü fiziksel güvenli÷i sa÷lanmÕú IPv4’te ICMP protokolü hata ve hat bilgisi iletimi amacÕ ile linkler üzerinden yapÕlaca÷Õ öngörülmüútür. Günümüzde kullanÕlmakta ve bu nedenden güvenlik duvarÕ tarafÕndan IPv6’nÕn kablosuz a÷larda kullanÕlmasÕ ile bu durum tamamen filtrelenmesi durumunda dahi IPv4 kullanan geçerlili÷ini kaybetmiútir [16]. Bu sebepten dolayÕ IPv6 yerel servislerde kesintiye neden olmamaktadÕr. RFC 4443 alan a÷Õna katÕlan tek bir cihaz bile belirtilen tüm güvenli÷ini tanÕmlanan ICMPv6 IPv6 konuúan cihazlarÕn hata bildirimde tehdit edebilecek potansiyele sahiptir. Yerel alan a÷Õnda bulunmasÕ ve di÷er tanÕsal (diagnostic) bilgileri iletmeleri durum denetimsiz adres yapÕlandÕrmasÕ mekanizmasÕnÕ için tasarlanmÕútÕr [11]. ICMPv6 IPv4’teki ICMP’ye göre çok suiistimal eden bir saldÕrgan kendisini yönlendirici olarak daha fazla iúlem için kullanÕlmaktadÕr ve IPv6 üzerinden göstererek tüm trafi÷i üzerinden akÕtabilir. Windows XP sunulan servislerin çalÕúabilmesi için gerekliliktir. IPv6 komúu iúletim sisteminin IPv6 adresleri için öntanÕmlÕ adres isteme araútÕrÕlmasÕ (neighbor discovery), maksimum paket biçimi durum denetimsizdir. A÷a yeni katÕlÕp IPv6 büyüklü÷ü keúfi (Path Maximum-Transmission-Unit yönlendiricisini soran Windows XP iúletim sistemini yüklü bir Discovery, PMTU-D) benzeri mekanizmalar ICMPv6 bilgisayarÕn tüm trafi÷i kendisini yönlendirici olarak tanÕtan paketlerini kullanmaktadÕr. bir saldÕrgan tarafÕndan çok kolayca yakalanÕp istenilen noktaya yönlendirilebilir veya analiz edilebilir. IPv6 yerel alan ICMPv6 ile ilgili güvenlik risklerinden ilki ICMPv6’nÕn a÷larÕnda di÷er bir güvenlik riski yinelenmiú adres tespiti ile hata mesajlarÕnÕn hedef adresinin çoklu gönderim adresi olarak adres kontrolü yapan bir cihazÕn IPv6 adresi almasÕnÕn tanÕmlanabilmesine izin vermesidir. Bu durumun saldÕrganlar engellenebilir olmasÕdÕr. A÷da mevcut olup olmadÕ÷Õ sorulan tarafÕndan kullanÕlmasÕ da÷ÕtÕk servis dÕúÕ bÕrakma (DDOS) her IPv6 adresi için saldÕrgan tarafÕndan a÷da oldu÷u bilgisi saldÕrÕsÕ için zemin oluúturabilir [12]. Örne÷in a÷daki tüm dönülmesi ile cihaza hizmet aksattÕrma saldÕrÕsÕ yapÕlabilir. DHCPv6 adreslerini temsil eden FF05::1:3 çoklu gönderim adresi [13] DHCPv6 sunucularÕna icmpv6 kullanan servis D. Ek baúlÕklar (Extension headers) dÕúÕ bÕrakma saldÕrÕsÕ gerçekleútirmek için kullanÕlabilir. IPv6 ek baúlÕklarÕ RFC 2460 ta “seçimlik internet seviyesi trafi÷inin taúÕnmasÕ için IPv6 ana baúlÕ÷Õ ve üst katman (upper ICMPv6’nÕn içerdi÷i seçeneklerin fazlalÕ÷Õ ve kullanÕmÕnÕn layer) baúlÕ÷Õ arasÕna kodlanmÕú bilgiler” olarak zorunlu olmasÕ, güvenlik duvarlarÕnda hangi ICMPv6 tanÕmlanmaktÕr. ùifreleme, do÷ruma, paket parçalanmasÕ gibi Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 134

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION seçimli iúlemler için kullanÕlÕrlar. IPv6 ek baúlÕklarÕ paket yapÕlabilecek açÕk keúfedilmiútir [21]. BSD türevi olan ve büyüklü÷ünün sabit tutulabilmesi için IPv4’ten farklÕ olarak felsefesi güvenli bir iúletim sistemi sunmak olan OpenBSD ana IP baúlÕ÷ÕnÕn sonrasÕna eklenmiútir. Ek baúlÕklardan iúletim sisteminde 10 senede çÕkan ikinci açÕ÷Õn sisteme IPv6 yönlendirme baúlÕ÷Õ (Routing header) ve Ev adresi (Home deste÷i verilmesi sÕrasÕnda ortaya çÕkmÕútÕr [22]. Yine bir BSD address) baúlÕ÷ÕnÕ tüm IPv6 cihazlarÕ tarafÕndan desteklemek f türevi olan FreeBSD iúletim sisteminde de ICMPv6 ve komúu zorundadÕr [17]. Yönlendirme baúlÕ÷Õ kullanÕmÕ ile IPv6 araútÕrÕlmasÕ yazÕlÕm desteklerine açÕklar tespit edilmiútir [23]. paketlerinin hangi yönlendiricileri geçerek hedef noktasÕna F. Virüs / Solucan yayÕlÕmÕ varaca÷Õ bilgisi ek baúlÕ÷Õn içine gömülerek izlenecek yolun Virüs ve solucanlarÕn bulaúma yöntemleri iki baúlÕk altÕnda paketi gönderen uç tarafÕndan belirlenmesi amaçlanmÕútÕr. f incelenebilir. ølki yayÕlmak için e-posta ve virüslü dosyalarÕn paylaúÕlmasÕ benzeri kullanÕcÕ ba÷ÕmlÕ veya uygulama Yönlendirme baúlÕ÷Õndaki güvenlik riskleri ile ilgili seviyesinde metotlarÕn kullanÕlmasÕdÕr. Di÷er yöntem ise a÷ uyarÕlarÕ içeren pek çok çalÕúma mevcuttur [12], [18], [19]. iletiúimi aktivitesi (genellikle tarama) ile güvenlik açÕ÷Õ RFC 2460 ve RFC 1883’te yönlendirme baúlÕ÷Õ tip 0 içersinde cihazlarÕn taranarak bulaúacak konak aranmasÕdÕr [24]. belirtilen ara dü÷üm adreslerinin çoklu gönderim adresi olmasÕ dÕúÕnda herhangi bir kÕsÕtlama belirtilmemiútir. Protokoldeki Yeni hedef tespiti için konak üzerinde bulunan bilgilerin ve bu tanÕm ek baúlÕ÷Õ içindeki adreslerden birinin üzerinden depolama ortamlarÕnÕn kullanÕlmasÕ IP nesline ba÷lÕ olmayan daha önceden geçilen yönlendiricin adresi olabilmesine izin bir durumdur. ølk bölümü oluúturan virüs/solucanlar, IP vermektedir. Bu açÕk kullanÕlarak gerçekleútirilebilecek protokolü de÷iúiminden etkilenmeyeceklerdir. Bunun yanÕnda hizmet aksattÕrma saldÕrÕsÕnÕn grafiks an solucanlar için a÷ taramasÕ yapma verilmiútir. SaldÕrÕnÕn baúlatÕlabilmesi artan adres sayÕsÕ ciddi sorunlar yönlendirme ek baúlÕ÷Õnda adre ktedir. SaldÕrÕ araçlarÕnÕn geçirece÷i Y1Y2Y1Y2Y1 kullanan bir paket ucanlar IPv6 adres aralÕ÷ÕnÕn getirece÷i yeterlidir. Bu úekilde yaratÕlan bir dan kaldÕrabilir [25]. Örne÷in IPv6 baúlÕ÷ÕnÕn izin verdi÷i en fazla sayÕ ol sÕ için DNS yöntemini kullanan kadar Y1 ve Y2 yönlendiricileri arasÕn esi, IPv6 adreslerinin tespit edilmesinin paketlerden çok sayÕda gönderecek ban konuda yapÕlan araútÕrmalarda, DNS yönelik bir hizmet aksattÕrma saldÕ i bulmak için kullanan solucanlarÕn Paketlerin iki nokta arasÕna yönlend unda yayÕlma hÕzlarÕnÕn IPv4 a÷larÕna saldÕrÕ türü ping-pong olarak isimlendir ir sonuçlar elde edilmiútir [26]. IPv6 protokolün aynÕ anda hizmet vermesi ygun zemin hazÕrlayabilir. IPv6 geçiú an ikili yÕ÷Õn yapÕsÕnda çalÕúan a÷larda nÕz IPv4 çalÕúan a÷lara göre daha hÕzlÕ araútÕrma sonuçlarÕ mevcuttur [27]. irine gönderim” (anycast) adreslerinin gönderim adresleri aynÕ hizmeti veren en yakÕn olanÕn otomatik olarak bulunabilmesi için kullanÕlmaktadÕr Herhangi birine gönderim adresleri ile ilgili en büyük güvenlik riski bu adreslerin çoklu gönderim adreslerinde oldu÷u gibi önceden tanÕmlÕ bir adres aralÕ÷ÕnÕn olmamasÕdÕr. ùekil 1.Ping Pong saldÕrÕsÕ 1 Bu adresleme metodolojisinin bir sonucu olarak tek bir “gönderim adresine” paket gönderilmesi durumunda, bu E. Programlara IPv6 deste÷i verilmesi e adresin herhangi birine gönderim adresi “veya” teke gönderim adresi olup olmadÕ÷Õ bilinememektedir. RFC 3513 [28] IPv6 IPv4’ün 25 yÕldan fazla bir süredir kullanÕlmasÕ IPv4 konuúan cihazlarÕn üzerindeki yazÕlÕmlarÕn güvenlik açÕsÕndan kararlÕ herhangi birine gönderim adresinin sadece yönlendiricilere hale getirmiútir. IPv4 destekleyen cihazlarÕn a÷ yÕ÷ÕnlarÕna verilmesini ve kaynak IPv6 adresi olarak kullanÕlmamasÕnÕ IPv6’yÕ deste÷inin verilmesi sürecinde birçok güvenlik açÕ÷Õ önermektedir. ortaya çÕkabilir. øúletim sistemlerinin IPv6 destekler hale getirilmesi için yapÕlan çalÕúmalarda ortaya çÕkabilecek Herhangi birine gönderim yöntemi ile sunucu sorgulamanÕn açÕklarÕn yaygÕn etkileri olmaktadÕr. Günümüzde en yaygÕn getirece÷i risk istemcinin kendisine cevap dönen sunucunun olarak kullanÕlan iúletim sistemlerinden biri olan Windows’ta yetkili bir sunucu olup olmadÕ÷ÕnÕ tanÕmlayan bir IPv6 ile ilgili hizmet aksattÕrma saldÕrÕlarÕna imkân veren mekanizmaya sahip olmamasÕdÕr. Bu açÕk yetkili sunucu açÕklar bulunmaktadÕr [20]. Linux iúletim sisteminde de IPv6 yerine saldÕrgan tarafÕndan ele geçirilmiú bir bilgisayarÕn f Jumbo paketlerini kullanarak servis dÕúÕ bÕrakma saldÕrÕsÕ sorguya cevap vermesi yöntemi ile kullanÕlabilir. Örne÷in, Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 135

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION saldÕrgan herhangi birine gönderim adresine DNS sorgusu yapmanÕn mümkün olmadÕ÷Õ rapor edilmiútir [30]. gönderildi÷inde sorguya cevap vererek kendini yetkili DNS K. IPv4- IPv6 geçiúi sürecinde çÕkabilecek problemler sunucusu olarak gösterebilir. Yeni nesil internet protokolüne geçiú süresince IPv4 ve H. ParçalanmÕú paket (Fregmentation) SaldÕrÕlarÕ IPv6 uzun bir süre internette beraber bulunacaklardÕr. øki IPv4’te paket parçalanmasÕ ara dü÷ümler tarafÕndan protokolün beraber kullanÕlmasÕ cihaz yönetimi, trafi÷in yapÕlmaktadÕr. IPv6’da IPv4’ten farklÕ olarak parçalanma izlenmesi, filtrelenmesi, iletiúim bilgilerin ve kütük dosyalarÕn iúlemi sadece uçtan uca yapÕlmakta ara dü÷ümlere paket takibi konularÕnÕ daha karmaúÕk hale getirecektir. Geçiú parçalamasÕ iúlemi gerçekleúmemektedir. Paket sürecinde yaúacak güvenlik risklerinin temel sebeplerinden parçalanmasÕnÕn ara cihazlarda yapÕlmayÕp uç noktada ki biri bilgi eksikli÷i olacaktÕr. Günümüzde popüler iúletim cihazlarda yapÕlmasÕ yönlendiriciler, güvenlik duvarlarÕ sistemlerinde (Windows Vista, Linux, FreeBSD vb.) IPv6 benzeri ara a÷ cihazlarÕ üzerindeki parçalanmÕú paket saldÕrÕsÕ deste÷i özdevimli olarak gelmektedir. riskini azaltmÕútÕr. Bununla birlikte uç cihazlarÕn parçalama baúlÕ÷Õ ile paket parçalama yapabilmesi bu saldÕrÕ riskini uç A÷ ve güvenlik uzmanlarÕn a÷larÕna IPv6 deste÷ini cihazlarÕn üzerine çekmiútir. vermedikleri durumda IPv6 kullanÕmÕnÕn olmayaca÷Õ düúüncesine sahip olmalarÕ geçiúteki en büyük güvenlik RFC2460’da parçalanmÕú paketleri alan uçlarÕn paketleri risklerinden biridir. Örne÷in Windows Vista yüklü birleútirmek için 60 saniye süresince tampon bellekte tutmalarÕ bilgisayarlarda kurulu bir a÷, makalenin daha önceki gerekti÷ini belirtmektedir. Bu sürenin uzunlu÷u aynÕ anda kÕsÕmlarÕnda bahsedilen tünel mekanizmasÕ, komúu birden fazla noktadan çok sayÕda parçalanmÕú paket araútÕrÕlmasÕ ve durum denetimsiz adres yapÕlandÕrmasÕ gönderilmek sureti ile hedef cihaza servis dÕúÕ bÕrakma baúlÕklarÕnda tanÕmlanan saldÕrÕlara açÕktÕr. A÷da kullanan saldÕrÕsÕ yapmak için kullanÕlabilir. RFC belgelerinde saldÕrÕ tespit sistemi, güvenlik duvarÕ, a÷ trafik izleme IPv6’nÕn parçalanmÕú bir paketin parçalarÕ bileútirildikten yazÕlÕmlarÕnÕn IPv6 deste÷inin olmamasÕ durumda, a÷da sonra içinden tekrar bir parçalama baúlÕ÷Õ çÕkmasÕ durumunu meydana gelen saldÕrÕ ve güvenlik ihlallerinin farkÕna varmak tanÕmlayan yuvalanmÕú paket parçalama (nested fragmentaion) oldukça güç olacaktÕr. iúlemine izin verilip verilmedi÷i kesin olarak L. Gezgin (Mobil) IPv6 tanÕmlanmamÕútÕr. Bu tip bir paket alÕndÕ÷Õnda ne yapÕlaca÷Õna karar verilememesi cihazlarÕn kilitlenmesine neden olabilir IPv6 dolaúÕlabilirlik deste÷i ile ilgili standartlar RFC veya iç içe geçmiú paketler saldÕrgan tarafÕndan güvenlik 3375’te tanÕmlanmÕútÕr [31] .Gezgin IPv6 mimarisinin nasÕl kontrol mekanizmalarÕnÕ aúmak için kullanÕlabilir [19]. çalÕútÕ÷Õ úekil 2 üzerinde açÕklanmÕútÕr. ø. Tünel mekanizmalarÕ kullanan saldÕrÕlar Gezgin IPv6 mimarisinde her bir hareketli kullanÕcÕ Tünelleme mekanizmasÕ IPv6 trafi÷inin IPv4 paketlerinin internete ba÷lÕ oldu÷u noktadan ba÷ÕmsÕz olarak ev adresi içinde taúÕndÕ÷Õ veya IPv4 trafi÷inin IPv6 paketlerin içinde (Home Address, HoA) ile tanÕmlanÕr. Gezgin dü÷üm (Mobile taúÕndÕ÷Õ çözümleri içermektedir. Bu IPv6’ya geçiú Node, MN) kendi ev a÷Õnda oldu÷u sürece iletiúimi ve aúamalarÕnda kullanÕlabilecek yöntemlerden birisidir. Tünel yönlendirme normal úekilde yapÕlÕr. KullanÕcÕ kendi a÷Õ mekanizmalarÕnÕn IPv6 geçiú yöntemlerinden biri olarak dÕúÕnda baúka bir a÷a geçti÷i zaman (1), a÷a ait olan bir kullanÕlmasÕ tünellenmiú trafi÷in güvenlik önlemlerinin konuma ba÷lÕ IPv6 adresi (Care of Address, CoA) durum alÕnmasÕnÕ gerektirmektedir. denetimsiz adres yapÕlandÕrma veya di÷er mekanizmalar ile kendisine atanÕr. (2) Gezgin dü÷üm misafir a÷da aldÕ÷Õ IPv4 protokolü içerisinde IPv6 trafi÷i taúÕnmasÕ ve trafi÷in konuma ba÷lÕ adresini ev a÷Õndaki yönlendiriciye (Home IPv4 olarak gözükmesi saldÕrganlar tarafÕndan kendilerini Agent, HA) ba÷lama güncellemesi (Binding Update,BU) gizleme yöntemi olarak kullanÕlabilir. Günümüzde kullanÕlan göndererek bildirir (3). Bu aúamadan sonra gezgin dü÷üme güvenlik duvarlarÕnÕn birço÷u kapsüllenmiú trafi÷in içini gönderilen paketler ev a÷Õndaki yönlendirici ile gezgin filtreleyememektedir. Bu açÕ÷Õ kullanan saldÕrganlar iç a÷da dü÷ümün konuma ba÷lÕ adresi arasÕnda açÕlan tünel üzerinden kalan IPv6 destekli cihazlarÕn dÕú a÷lara filtresiz eriúimi için iletilir (4) ve ev adresine gelen paketler saydam bir úekilde IPv4 üzerinde açÕk tek bir portu kullanarak tünel açÕp IPv6 gezgin dü÷ümüm konuma ba÷lÕ adresine yönlendirilir.(5) trafi÷ini filtrelenmeden akÕtabilirler. Gezgin IPv6’da kullanÕlan terminoloji ile ilgili bilgiler Tablo 2’de özetlenmiútir. J. Broadcast yükseltgenme saldÕrÕsÕ (Smurf) Broadcast yükseltgenme saldÕrÕlarÕ ICMP echo Gezgin IPv6’nÕn güvenli÷inin sa÷lanmasÕ IPv6 mekanizmasÕnÕn kullanÕldÕ÷Õ hizmet aksattÕrma saldÕrÕsÕnÕn bir dolaúÕlabilirlik özelliklerinin standartlaúmasÕndaki en önemli türüdür. Bu saldÕrÕnÕn IPv6’da önüne geçmek için RFC2463’te engellerden biridir [29]. Gezgin IPv6 ile ilgili oluúabilecek ICMPV6 hedef adresinin çoklu gönderim, veri ba÷Õ çoklu potansiyel güvenlik problemleri ile birçok araútÕrma mevcuttur gönderim (link-layer multicast) ve veri ba÷Õ broadcast adresi [29], [32], [33]. Bununla ilgili olarak yapÕlan çalÕúmalar (link-layer broadcast address) olamayaca÷Õ belirtilmiútir [29]. úekilsel olarak verilmiú ve aúa÷Õda alt baúlÕklarda Yang ve arkadaúlarÕ tarafÕndan yapÕlan çalÕúmada RFC2463 açÕklanmÕútÕr. uyumlu IPv6 a÷ cihazlarÕnda IPv6 yükseltgenme saldÕrÕ Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 136

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION dahil olan gezgin IPv6 uçlarÕna saldÕrÕ düzenlemesi gösterilebilir. Ortadaki adam saldÕrÕsÕ d Gezgin IPv6’da Ortadaki adam saldÕrÕsÕnÕn aúamalarÕ ùekil 3 üzerinde açÕklanmÕútÕr. SaldÕrÕnÕn ilk aúamasÕnda saldÕrgan karúÕ uç adresine ba÷lama güncesi göndererek gezgin dü÷ümün konuma ba÷lÕ adresinin de÷iúti÷i bilgisini iletir (1). Bu úekilde karúÕ uçtan gezgin dü÷üme gelen paketleri üzerine yönlendirebilir. SaldÕrgan ikinci aúamada gezgin IPv6 ucuna karúÕ uçtan gelmiú bir ba÷lama güncesi göndererek karúÕ uç adresinin de÷iúti÷ini bilgisini iletir (2). Bu iki aúama sonunda saldÕrgan araya girerek trafi÷i üzerinden yönlendirebilir. ùekil 2 Gezgin IPv6 Yönlendirme optimizasyonu (route opti Gezgin dü÷üm ile ba÷lantÕ (Correspondend node, CN) arasÕndaki t üzerinden geçmesi güvenli olmakla be ev a÷Õ ajanÕ arasÕndaki mesafe arttÕkça t rtadaki adam saldÕrÕsÕ yönlendirilmesini zorlaútÕrmaktÕr. Bu geliútirilen yönlendirme optimizasy a saldÕrÕsÕ (BU flooding) d gezgin dü÷üm a÷ de÷iútirdi÷ine aldÕ÷Õ gezgin dü÷üm veya ev a÷Õ ajanÕ ba÷lama güncellemesi kullanarak karúÕ a geçersiz ba÷lama güncesi bilgisi ile ba÷lantÕnÕn ev a÷Õ ajanÕ üzeriden d güncesi tampon belle÷in dolmasÕnÕ karúÕ uç arasÕnda do÷rudan yapÕ em ile hizmet aksattÕrma saldÕrÕsÕ mekanizmanÕn yetkilendirme olmadan tarafÕndan gezgin dü÷üm trafi÷ f yönlendirilmesi için kullanÕlabilir. Ç VE DEöERLENDøRME Psec deste÷inin zorunlu olmasÕ, ara Misafir a÷ güvenlik problemleri a÷ çalanmasÕna izin verilmemesi, adres Gezgin dü÷üm farklÕ a÷larda dolaú lÕklar ile a÷da paketlerin izlenmesinin TABLO 2 kolaylaúmasÕ, NAT mekanizmasÕnÕn olmamasÕ gibi güvenli÷i GEZGøN IPV6 TERMøNOLOJøSø arttÕrÕcÕ iyilileútirmeler içermekte ise de IPv6’nÕn güvenlik için Gezgin Dü÷üm (MN) FarklÕ IPv6 a÷larÕnda dolaúan mobil cihaz yeni özellikler getirmesi protokolün güvenli bir protokol Gezgin dü÷ümün konumunda ba÷ÕmsÕz olan olarak kabul edilmesi için yeterli de÷ildir. Ev adresi (HoA) sabit IPv6 adresi Günümüzde biliúim sistemlerinin haberleúmesi için Gezgin dü÷ümün yeni bir a÷a geçti÷i zaman Konuma ba÷lÕ adres misafir oldu÷u a÷dan aldÕ÷Õ konumuna ba÷lÕ kullanÕlan IPv4 protokolünün sa÷ladÕ÷Õ pek çok destek (CoA) adresi kullanÕmÕn yaygÕnlaúmasÕnÕ sa÷lasa da desteklenen Gezgin dü÷ümün bulundu÷u a÷da gezgin IPv6 kullanÕcÕlarÕn sayÕsÕnda teorik limit noktasÕna gelinmesi yeni Ev a÷Õ ajanÕ (HA) mekanizmalarÕnÕ yöneten cihaz nesil protokollerin geliútirilmesini zorunlu kÕlmÕútÕr. IPv6 Ba÷lama güncellemesi Gezgin dü÷ümün Ev ajanÕna gönderdi÷i (Bu) konum güncelleme bilgisi protokolü, IPv4 protokolünden ö÷renilmiú, denenmiú, IPv6 gezgin dü÷ümünün ba÷lantÕ kurdu÷u yapÕlaúmÕú, test edilmiú pek çok özelli÷i bünyesinde KarúÕ uç (CN) karúÕ cihaz. barÕndÕrmasÕndan dolayÕ çok gözde ve beklenen bir protokol olarak karúÕmÕza çÕkmaktadÕr. ÇalÕúmada irdelenen güvenlik a÷Õn güvenlik problemlerinden etkilenebilir. Konuma ba÷lÕ riskleri IPv6’nÕn beklendi÷i veya düúünüldü÷ü gibi çok adres alÕnmasÕnÕn durum denetimsiz olarak yapÕlmasÕ güvenli bir protokol olmadÕ÷ÕnÕ göstermektedir. makalede daha önceden bahsedilen saldÕrÕlara maruz IPv6 protokolünde, IPsec deste÷i teoride iyileútirmeleri kalÕnmasÕna neden olabilir. Bu duruma örnek olarak saldÕrgan içerse de özellikle IPv6’nÕn yeni bir protokol olmasÕ ve yaygÕn ele geçirdi÷i a÷da kendisini ev a÷Õ ajanÕ olarak gösterip a÷a kullanÕlmamasÕndan dolayÕ pratikte hangi tür güvenlik riskleri Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 137

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION içerdi÷i zaman içinde ortaya çÕkacak bir durumdur. IPv6 [19] C. A. Potyraj, “NSA Firewall Design Considerations for IPv6,” http://www.nsa.gov/snac/downloads_all.cfm kullanÕmÕ arttÕkça saldÕrganlar tarafÕndan açÕklarÕnÕn daha [20] Microsoft security bulletin ms06-064 , “Vulnerabilities in TVP/IP IPv6 fazla araútÕrÕlmasÕ, IPv6 kullanan sistemlerde güvenlik could allow denial of service,” sorunlarÕna yol açabilece÷i de÷erlendirilmektedir. http://www.microsoft.com/technet/security/bulletin/ms06-064.mspx [21] Linux Kernel IPv6 Jumbo Bug, IPSec protokolünün deste÷inin IPv6 ile birlikte zorunlu http://www.securiteam.com/exploits/5QP0F15N5Q.html olmasÕ a÷da dolaúan úifreli trafi÷in miktarÕnÕn artmasÕna neden [22] OpenBSD's IPv6 mbufs remote kernel buffer overflow, olabilecektir. Bu durumun saldÕrganlar tarafÕndan kullanÕlmasÕ http://www.coresecurity.com/content/open-bsd-advisorie derin paket analizi metodu kullanarak çalÕúan saldÕrÕ tespit ve [23] IPv6 Neighbor Discovery Protocol routing vulnerability, http://security.freebsd.org/advisories/FreeBSD-SA-08:10.nd6.asc önleme sistemlerinin iúlerli÷ini yitirmelerine sebep [24] O. Bektaú, M. Soysal, “IPv6 a÷larÕnda solucan da÷ÕlÕmÕ, ” Haberleúme olabilecektir. Do÷al olarak, yeni saldÕrÕlarÕn tespit edilmesinde Teknolojileri Uygulama Sempozyumu, østanbul, 2008, 137-141 imza tabanlÕ çözümler yetersiz kalaca÷Õndan davranÕúsal [25] S.M. Bellovin, B. Cheswick, A. D. Keromytis “Worm propagation strategies in an IPv6 internet,” (behavioral) tabanlÕ yöntemlerin kullanÕmÕ artabilecektir. IPv6 http://www.cs.columbia.edu/~smb/papers/v6worms.pdf kullanÕmÕna geçiú ve yaygÕnlaúma sÕrasÕnda iki protokolün [26] A. Kamra, H. Feng, V. Misra, A. Keromytis, “The effect of DNS birlikte kullanÕlmasÕ, sorumlu personelin IPv6 güvenli÷i delays on worm propagation in an IPV6 Internet,” Proceedings of IEEE Infocom, Miami, 2005, 2405- 2414 konusunda yeterince bilgiye ve tecrübeye sahip olmamalarÕ [27] Q Zheng, T. Liu, G. Xiaohong, X.,Q. Yu, N. Wang N, “A new worm bilgi güvenli÷imizi daha fazla tehdit edebilecek hususlar exploiting IPv4-IPv6 dual-stack networks,” Proceedings of the 2007 olarak karúÕmÕza çÕkabilecektir. ACM workshop on Recurring malcode, Virginia, 2007, 9-15 [28] S. Deering, R. Hinden, Internet Protocol Version 6 (IPv6) Addressing Sonuç olarak, ülkemizin IPv6’ya geçiú konusunda hazÕr Architecture, RFC RFC 3513, 2003 hale gelmesi, bu konulara ilgi duyan uzman sayÕsÕnÕn artmasÕ [29] K. Elgoarany, M. Eltoweissy, “Security in mobile IPv6 a survey,” uygulamalarÕn geliútirilmesi, test ortamlarÕnÕn oluúturulmasÕ Information Security Tech. Report, vol 4, sayfa 32-43, Ocak. 2007 [30] Y. Xinyu, M. Ting, S.Yi, “Typical DoS/DDoS threats under IPv6,” ve özellikle alt yapÕnÕn sa÷lÕklÕ olarak yaygÕnlaútÕrÕlmasÕna Computing in the Global Information Technology, Guadeloupe, 2007, 55 ba÷lÕdÕr. Bu çalÕúmamÕzÕn ülkemizde yeni yeni yaygÕnlaúmaya – 61 baúlayan bu konunun farklÕ açÕlardan de÷erlendirilmesine [31] S. Hollenbeck, Mobility Support in IPv6, IETF RFC 3375, 2002 ihtiyaç duyulmaktadÕr. Bu çalÕúmamÕzÕn güvenlik açÕsÕndan [32] J. Kempf, J. Arkko, P. Nikander, “Mobile IPv6 security,” Wireless Personal Communication, vol 29, sayfa 389-414, 2004 farklÕ kazanÕmlarÕn elde edinilmesine katkÕlar sa÷layaca÷Õ [33] T. Aura, “Mobile IPv6 Security,” Microsoft Research Ltd. de÷erlendirilmektedir. http://research.microsoft.com/users/tuomaura/publications/aura- protocols02.pdf KAYNAKLAR KAYNAKÇA [1] S. Bradner, A.Mankin, The Recommendation for the IP Next Generation Protocol, IETF RFC 1752, 1995 [2] S. Deering, R. Hinden, Internet Protocol, Version 6 (IPv6) Specification, IETF RFC 2460, 1998 [3] IPv4 Address Report, http://www.potaroo.net/tools/ipv4/index.html [4] IPv4 Global Unicast Address Assignments, http://www.iana.org/assignments/ipv4-address-space [5] Tcpdump paket koklayÕcÕ, http://www.tcpdump.org [6] Wireshark paket koklayÕcÕ, http://www.wireshark.org [7] S. Convery, D. Miller, “Cisco IPv6 and IPv4 threat comparison and best practice evaluation (v1.0)” [8] D. Zagar, K. Grgic, R.Snjezana, “Security aspects in IPv6 networks implementation and testing,” Computers and Electrical Engineering, vol. 4, sayfa 425-437, Eylül. 2007 [9] TXdns multithreaded DNS digger, http://www.txdns.net [10] S. Deering, R. Hinden, IPv6 Multicast Address Assignments, IETF RCF 2375, 1998 [11] A. Conta, S. Deering, M. Gupta, Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification, IETF RFC 4443, 2006 [12] D. Zagar, K. Grgic, “IPv6 security threats and possible solutions,” World Automation Congress, 2006 [13] R. Droms, J. Bound, B. Voltz, T. Lemon, C. Perkins, M. Carney, Dynamic Host Configuration Protocol for IPv6 (DHCPv6), IETF RFC 3315, 2003 [14] FreeBSD iúletim sistemi, http://www.freeebsd.org [15] Remote kernel panics on IPv6 connections, http://security.freebsd.org/advisories/FreeBSD-SA-08:09.icmp6.asc [16] J. Arkko, T. Aura, J. Kempf, V. Mäntylä, P. Nikander, M. Roe, “Securing IPv6 neighbor and router discovery,” Proceedings of the 1st ACM workshop on Wireless security, Atlanta, 2002, 77-86 [17] P. Savola, IPv6 Routing Header and Home Address Options Internet draft, http://www.6net.org/publications/standards/draft-savola-ipv6-rh- ha-security-03.txt [18] J. Lim, Y. Kim, “Protection algorithm against security holes of IPv6 routing header,” Advanced Communication Technology , vol l3, sayfa 2004 -2007, ùubat. 2006 Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 138

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Kablosuz Algılayıcı Ağlarda Güven ve Zaman Tabanlı Solucan Deliği Tespit Algoritması Suat ÖZDEMİR1, Majid MEGHDADI2, İnan GÜLER3 Özet— Günümüzde Kablosuz AlgÕlayÕcÕ A÷ (KAA)’lar çok çok geniú uygulama alanlarÕ bulmaktadÕr ve bu a÷larÕn geniú uygulama alanlarÕ bulmaktadÕr. KÕsÕtlÕ kaynaklarÕ ve kullanÕmÕ, ortam izleme, sa÷lÕk, askeri ve meteoroloji gibi genelde dost olmayan ortamlarda kullanÕlmalarÕ sebebiyle birçok alanda yaygÕnlaúmaktadÕr. Bu tür a÷lar temel olarak KAA’lar güvenlik açÕsÕndan hassastÕrlar. Geleneksel güvenlik algÕlayÕcÕlar ve bu algÕlayÕcÕlardan gelen verileri toparlayan mekanizmalarÕnÕn KAA’lara özgü güvenlik ataklarÕna karúÕ dü÷üm istasyonlarÕndan oluúmaktadÕrlar. AlgÕlayÕcÕlar pil ile sa÷layamadÕ÷Õ kanÕtlanmÕútÕr. Bu çalÕúmada ele alÕnarak çözüm çalÕúan ve kÕsÕtlÕ ömre sahip olan kablosuz iletiúim getirilen solucan deli÷i (wormhole) saldÕrÕsÕ da bu ataklardan birisidir. Önerilen çözüm zaman tabanlÕ bir sistem olup, aynÕ cihazlarÕdÕr[1], [2]. zamanda yanlÕú bilgi veren kötücül dü÷ümleri tespit edebilmek KAA’lar genelde dost olmayan kötücül ortamlarda için bir güven mekanizmasÕ da içermektedir. Bilgilerimiz kullanÕlmalarÕ nedeniyle a÷ güvenli÷i açÕsÕndan hassastÕrlar. dahilinde, literatürdeki zaman tabanlÕ solucan deli÷i bulma KAA’larda algÕlayÕcÕlar bir iúbirli÷i içerisinde mekanizmalarÕ kötücül dü÷ümlerin yanlÕú bilgi aktarmalarÕ durumunda do÷ru sonuç verememektedirler. Bu problemi çalÕúmaktadÕrlar. DolayÕsÕyla dü÷ümler kendi aralarÕnda ortadan kaldÕrabilmek için, bu çalÕúmada zaman tabanlÕ bir sürekli iletiúim halinde olmaktadÕrlar. DÕúarÕdan dinlenilmeye sistem ile dü÷ümler arasÕndaki güven/itibar ölçümünü yapabilen son derece açÕk olan bu tür sistemler güvenlik problemini de bir güven mekanizmasÕ bileútirilmiútir. Performans analiz beraberinde getirmektedir. YayÕn yoluyla yapÕlan haberleúme sonuçlarÕ önerilen çözümün, solucan deli÷i saldÕrÕsÕ belirlemede dÕúarÕdan dinlenilmeye açÕk olup saldÕrÕya karúÕ son derce literatürdeki zaman tabanÕ sistemlere göre daha do÷ru sonuçlar zayÕf bir altyapÕ sunmaktadÕr. AyrÕca KAA’lardaki algÕlayÕcÕ verdi÷ini göstermektedir. elemanlar sÕnÕrlÕ bant geniúli÷inde bir iletiúim becerisine, sÕnÕrlÕ bir iúlemci gücüne, düúük kapasiteli bir hafÕzaya ve Anahtar Kelimeler Kablosuz AlgÕlayÕcÕ A÷lar, Solucan Deli÷i düúük enerjili bir bataryaya sahiptir. DolayÕsÕyla sÕnÕrlÕ SaldÕrÕsÕ, Güven Sistemleri. kaynaklara sahip olan KAA yapÕlarÕnda di÷er a÷ yapÕlarÕnda kullanÕlan etkili güvenlik algoritmalarÕ direk olarak Abstract— Wireless sensor networks (WSN) are being used in kullanÕlamamaktadÕr. KaynaklarÕ kÕsÕtlÕ algÕlayÕcÕ dü÷ümleri many application areas. As WSNs are deployed in hostile sebebiyle, literatürdeki araútÕrmalar geleneksel güvenlik environments, security is an important issue for these networks. mekanizmalarÕnÕn KAA’larda çözüm sa÷layamadÕ÷ÕnÕ ortaya Traditional security mechanisms are not applicable against attacks in WSNs such as wormhole attack. In this paper, a time koymuútur [3],[4]. Özellikle askeri ve sa÷lÕk uygulamalarÕ gibi and trust based wormhole detection mechanism is proposed. To güvenlik yönünden hassas veri iletiminin yapÕldÕ÷Õ KAA’larda the best of our knowledge, existing wormhole attack detection veri gizlili÷ini ve bütünlü÷ünü sa÷layacak güvenlik protocols may fail when compromised nodes falsify routing mekanizmalarÕna fazlasÕyla ihtiyaç vardÕr. Daha da önemlisi, information. The proposed technique combines a time based KAA’larÕn kendilerine has özellikleri sebebiyle bu güvenlik system with a trust based mechanism to detect compromised mekanizmalarÕ sistem tasarÕmÕ aúamasÕnda geliútirilmelidir. nodes that send false information. Performance analysis shows KAA’larÕn özgün yapÕsÕ geleneksel a÷larda görülmeyen that the proposed technique is more effective than existing birçok saldÕrÕ tipini ortaya çÕkarmÕútÕr. Bu çalÕúmada bu tür wormhole detection protocols. saldÕrÕlardan birisi olan solucan deli÷i saldÕrÕsÕ ele alÕnmÕú ve Keywords— Wireless sensor networks (WSN) bu saldÕrÕya karúÕ bir savunma mekanizmasÕ önerilmiútir. Solucan deli÷i saldÕrÕsÕnda iki kötücül dü÷üm birbirleri arasÕnda yüksek iletiúim kalitesine sahip bir kanal oluútururlar. I. GøRøù Bu kanal bir kablolu ya da kablosuz ortam olabilir [2],[3]. K ablosuz AlgÕlayÕcÕ A÷ (KAA) kavramÕ ilk kez 1980’lerin baúlarÕnda karúÕmÕza çÕkmÕútÕr. Mikro elektronik ve kablosuz haberleúme teknolojilerindeki geliúmeler küçük Daha sonra yönlendirme için bu yüksek kaliteli kanalÕn reklamÕnÕ yaparak çevredeki algÕlayÕcÕlardan baz istasyonuna gönderilmek üzere veri toplarlar (ùekil 1). Amaç, toplanan bu boyutlu, hareketli, düúük maliyetli, düúük enerji gereksinimli verinin baz istasyonuna eriúiminin engellenmesi ya da ve çok fonksiyonlu algÕlayÕcÕ dü÷ümlerinin yaygÕn olarak bozularak iletilmesidir. Bu sebeple baz istasyonu yakÕnÕndaki kullanÕlmasÕna olanak sa÷lamÕútÕr [1]. Son yÕllarda KAA’larÕ kötücül dü÷üm toplanan veriyi baz istasyonuna iletmeyebilir ya da verileri de÷iútirerek baz istasyonuna gönderebilir [5], 1 Bilgisayar Mühendisli÷i Bölümü, Mühendislik MimarlÕk Fakültesi, Gazi [6]. SaldÕrÕ sonucunda a÷Õn veri toplama performansÕ ve Üniversitesi, Ankara, Türkiye toplanan verinin do÷rulu÷u/hassasiyeti azalÕr. 2 Bilgisayar Mühendisli÷i Bölümü Mühendislik Fakültesi, Zanjan Üniversitesi, Zanjan, øran 3 Elektronik-Bilgisayar Bölümü, Teknik E÷itim Fakültesi, Gazi Üniversitesi, Ankara, Türkiye suatozdemir@gazi.edu.tr, meghdadi@mail.znu.ac.ir, iguler@gazi.edu.tr . Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 139

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION II. øLGøLø ÇALIùMALAR Tablo 1’de bu konuda bazÕ araútÕrmalar ve o çalÕúmalarda kullanÕlan metotlar gösterilmektedir. Hu ve arkadaúlarÕ paketlerin en çok iletimini sÕnÕrlamak metodu ile solucan deli÷i saldÕrÕsÕna karúÕ bir yöntem oluúturmuúlardÕr [9]. Bu yöntemde dü÷ümler komúularÕnÕ sürekli izlemektedirler. Bu yöntemde fazla veri paketlere ekleme ile paketlerin adÕm sayÕsÕnÕ a÷da belirtip ve böylece paketlerin gitti÷i adÕmlarÕ a÷da sÕnÕrlandÕrmÕúlar. AyrÕca paketlerin gönderildi÷i zaman ve gönderen dü÷ümün yerini paketlere eklemiútirler. Böylece alÕcÕ bu bilgileri incelemeyle gelen paketlerin normal durumda gelip gelmedi÷ini incelemektedir. Solucan deli÷i saldÕrÕsÕna karúÕ, Capkun ve arkadaúlarÕ tarafÕndan önerilen The Secure Tracking of Node Encounters f ùekil 1. Solucan deli÷i (Wormhole) saldÕrÕsÕ - iki kötücül in Multi-hop Wireless Networks (SECTOR) protokolü bir kaç dü÷üm baz istasyonuna do÷ru yüksek kaliteli bir veri iletim metodun bir araya gelmesinden oluúmuútur [10]. SECTOR hattÕnÕn reklamÕnÕ yaparlar ve veri topl asyonu veya konum bilgisine gerek uzaklÕ÷ÕnÕ bulmak için MAD (Mutual stance-bounding) protokolünü kullanÕr. Bu makalede solucan deli÷i ata÷Õna r dü÷üm bir özel donanÕm ile teçhiz tabanlÕ bir sistem olup, aynÕ zaman okolü paketlerin bütünlü÷ünden emin kötücül dü÷ümleri tespit edebilm ee ve One-Way-Hash zincirinden mekanizmasÕ da içermektedir. Litera do÷rulamak için MAC (Message solucan deli÷i bulma mekanizmalar ’den yararlanÕr. KAA’larda dü÷üm yanlÕú bilgi aktarma ihtimallerini göz an, dü÷ümlerde kullanan donanÕm bu saldÕrÕ tespit etkinlikleri düúüktür [7],[ ajdÕr. tabanlÕ bir sistem ile dü÷ümler arasÕ yapabilen bir güven mekanizmasÕ sÕna karúÕ, Wang ve arkadaúlarÕ Multi problem ortadan kaldÕrÕlmÕútÕr. Yap g Visualization of Wormhole sonuçlarÕ önerilen çözümün, sol mekanizma yardÕmÕyla, bir çözüm belirlemede literatürdeki zaman taban çalÕúmada her dü÷üm komúularÕndan do÷ru sonuçlar verdi÷ini göstermekted ölçüp, uzaklÕ÷ÕnÕ onlardan tahmin baz istasyona gönderir. Daha sonra baz algoritmasÕ [16] yardÕmÕ ile tüm dan uzaklÕ÷Õ hesaplanÕr. Baz istasyon Tablo 1. Solucan Deli÷i ile ilgili anarak dü÷ümlerin gerçek konumlarÕnÕ düzleme (Smoothing) fonksiyonu YÕl Modelin plar. E÷er elde edilen harita düz olursa AdÕ ú ÷i saldÕrÕsÕ bulunmamaktadÕr ama e÷er Hu et al.[9] 2001 TIK Paketlerin en çok iletimini iki dü÷üm arasÕndaki yüzey (surface) e÷iri olursa solucan sÕnÕrlamak deli÷i saldÕrÕsÕnÕn oldu÷unu gösterir. Bu durumda baz Capkun et 2003 SECTOR Her dü÷üm bir özel donanÕm ile istasyon, solucan deli÷i saldÕrÕsÕnÕn uzaklÕ÷ÕnÕ baúka al.[10] teçhiz edilmek. dü÷ümlerden hesaplar ve böylece kötücül dü÷ümün konumunu belirttikten sonra normal dü÷ümler kötücül Wang et al.[11] 2004 MDS_V Multi Dimentional Scaling dü÷ümle iletiúim kurmazlar. OW algoritmasÕ, Dijkstra algoritmasÕ Ngai ve arkadaúlarÕ solucan deli÷i saldÕrÕsÕna karúÕ bir Song et al.[12] 2005 SAM Çoklu yol Yönlendirme algoritma geliútirmiútirlerdir [14]. Bu algoritmada her bir (Multi Path Routing) dü÷ümün farklÕ bir tanÕmlayÕcÕ ID numarasÕna sahip oldu÷u Pirzada et al. 2005 Trust Güven puanÕ, farz edilmiútir. Algoritma iki aúamadan oluúur. Birinci [13] Base KomúularÕ izlemek aúamada veri tutarlÕ÷Õ (Data Consistency) yardÕmÕyla, úüpheli Ngai et al[14] 2006 Bilgi TutarlÕ÷Õ, dü÷ümlerin listesini bulunur hale getirilir. økinci adÕmda, A÷ ùebekenin AkÕm Bilgisi Analizi AkÕm Bilgisinin (Network Flow Information) analizini Yun et al[15] 2007 WODEM SÕnÕrlÕ sayÕda dü÷ümleri yer yardÕmÕyla bu listeden kötüsel kiúiler bulunur. Algoritma bulma aygÕtlara ve uzun ömürlü kötücül dü÷ümlerin sayÕsÕnÕn birden fazla oldu÷u ya da pil ile teçhiz etmek iúbirli÷i yapan kötücül dü÷ümlerin bulundu÷u durumlarda da baúarÕlÕ olarak çalÕúabilmektedir. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 140

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION [15]’te Yun ve arkadaúlarÕ solucan deli÷i saldÕrÕsÕna karúÕ bir B. Baz-istasyona giden en uygun yolun bulunmasÕ algoritma geliútirmiútirlerdir. Bu çalÕúmada sÕnÕrlÕ sayÕda özel algÕlayÕcÕ dü÷ümünün yer bulma aygÕtlarÕna sahip olduklarÕ Bu aúamada her dü÷üm kendisi ile baz istasyon arasÕndaki kabul edilmiútir. AyrÕca bu dü÷ümlerin pillerinin normal en kÕsa yolu bulmaktadÕr. Bu iúlemi yapabilmek için her dü÷ümlere göre daha uzun ömürlü olduklarÕ kabul edilmiútir. dü÷üm Yol Bulma (RREQ – Route Request) paketi tüm Simülasyon sonuçlarÕ, yaklaúÕk 400 dü÷ümlü bir algÕlayÕcÕ komúularÕna gönderir ve bu mesajÕn gönderilme zamanÕnÕ a÷da 10 tane yer bulma aygÕtÕna sahip dü÷üm bulundu÷unda, kayÕt eder (TREQ-Time of Request). Bu paketi alan komúular solucan deli÷i saldÕrÕlarÕnÕn %90 oranÕnda tespit edilebildi÷ini bu paketi sonraki dü÷üme gönderir ve onlarda bu paketi göstermiútir. gönderme zamanÕnÕ kayÕt ederler. Böylece bu paket a÷da yayÕlÕr ve sonunda bu paket baz istasyona ulaúÕr. Baz III. ÖNERøLEN YÖNTEM istasyonu bu paket aldÕktan sonra Yol YanÕtÕ (RREP – Route Reply) paketi ile RREQ paketini gönderen dü÷ümü yanÕtlar. Bu Bu çalÕúmada önerilen çözüm paralel çalÕúan iki modülden paket, kaynaktan baz istasyona kadar tüm bulunan dü÷ümleri oluúmaktadÕr: “Güven Modülü (GM)” ve “solucan deli÷i içermektedir. Bu paket her dü÷üme vardÕ÷Õnda o paketin yanÕt Tespit Modülü (SDTM)”. Sistem yapÕsÕ ùekil 2 de zamanÕnÕ (TREP -Time of Reply) kayÕt eder. Her dü÷ümde bu gösterilmiútir. SDTM üç aúamadan oluúmaktadÕr. paketin gidiú dönüú zamanlarÕnÕn farkÕ (RTT- Round Trip Time) kayÕt edilir. RTT de÷eri aúa÷Õdaki formül ile hesaplanmaktadÕr. (1) ùekil 2. Önerilen çözümün múu dü÷ümlerin belirlenmesi Bu modülün birinci adÕmÕnda, h dü÷ümler belirtilmektedir. økinci adÕm er RTT bilgisini hesapladÕktan sonra baz istasyona giden en uygun yol b mektedirler. RREP paketinin kayna÷a adÕmda, baz istasyona giden yollar ü ile kaynak arasÕnda bir yol oluúturdu÷u olup olmadÕ÷ÕnÕ incelenmektedir. A 4). Baz istasyonu gelen her RREQ kötücül dü÷ümler yanlÕú bilgi vere n, kaynak, gelen RREP mesajlarÕnÕn RTT solucan deli÷i saldÕrÕsÕnÕn tespitini sonra baz istasyonu ile arasÕndaki en engellemek için GM sürekli SDTM’nin ikinci ve üçüncü y ç ùekil 5’te gösterildi÷i gibi yol seçimi aúamasÕnÕ gözlemleyerek, baz-istasyona giden yollar yapÕlÕrken kötücül daha kÕs bir yolun reklamÕnÕ yaparak üzerindeki dü÷ümler için güven/itibar de÷erleri hesaplar. Bu solucan deli÷i saldÕrÕsÕ gerçekleútirebiliriler ve paket iletimini güven/itibar de÷erlerini kullanarak solucan deli÷i saldÕrÕsÕ engelleyebilir ya da içeriklerini de÷iútirebilirler. SDTM’nin ihtimali olan yollarÕn de÷iútirilmesini sa÷lar. üçüncü basama÷Õ bu saldÕrÕlarÕ tespit eder. A. Komúu dü÷ümlerin belirlenmesi ü Bu aúamada her dü÷üm NREQ - Neighbor Request adlÕ özel bir mesajÕ tüm komúularÕna gönderir. NREQ mesajÕnÕ alan bütün komúu dü÷ümler, bu mesajÕn cevap olarak NREP - Neighbor Reply mesajÕnÕ gönderir. NREQ mesajÕnÕ gönderen dü÷üm NREP mesajlarÕ aldÕktan sonra komúularÕnÕ tanÕr ve bunlarla bir çizelge oluúturur ve komúularÕn sayÕsÕ belirtilir. Örne÷in úekil 3’teki dü÷üm, 4 tane NREP aldÕktan dolayÕ 4 tane komsusu oldu÷unu fark etmektedir. Bu çalÕúmada bu sayÕ N ile adlandÕrÕlmÕú. ùekil 4. Yol Bulma paketleri Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 141

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION böylece solucan deli÷i saldÕrÕlarÕ daha yüksek performansta bulunabilmiútir. Bu iúlemi yapabilmek için bir izleme modülü tasarlanmÕútÕr. Bu modül bir Güven mekanizmasÕnÕ içermektedir. Bu bölümün devamÕnda bu mekanizma anlatÕlmaktadÕr. Tablo2. KullanÕlan simgeler ve açÕklamalarÕ Simge AçÕklama RTT Paketin gediú dönüú zamanÕ (Round Trip Time) TREP Paketin yanÕt zamanÕ (Time of Reply) ùekil 5. KAA’larda bir solucan deli÷i saldÕrÕsÕ TREQ Paketin gönderme zamanÕ (Time of Request) C. Solucan deli÷i saldÕrÕlarÕnÕn tespiti i d RREQ Yol bulma Paketi(Route Request Packet) Bu aúamada kaynak dü÷üm, yoldaki bütün dü÷ümlerin Yol YanÕt Paketi (Route Reply Packet) RREP gönderdi÷i RTT de÷erlerini inceleyip bu yolda solucan deli÷i saldÕrÕsÕ olup olmadÕ÷ÕnÕ anlamaktadÕr. Bu iúlemi yapabilmek Rij j’inci komúuya i’inci dü÷ümün verdi÷i itibar için yol üzerindeki her iki ardÕúÕk dü÷ümün arasÕndaki RTT PuanÕ 0 Rij 1 farkÕndan faydalanÕlÕr. Normal dü÷üm uya i’inci dü÷ümün verdi÷i en son (theshold) de÷erden fazla olmamasÕ ge 0 yada Kij=1 A ve B arasÕndaki RTT farkÕ (R uya i’inci Dü÷ümün güven puanÕ tanÕmlanmaktadÕr [13]. RTT(A,B) = |RTTA-RTTB| (A, B ardÕúÕk dü÷ u Rij de÷erini güncellemektedir RTT(A,B)= Paketlerin A dü÷ümünden B dü÷ iúimin baúarÕ olma ihtimali E÷er iki ardÕúÕk dü÷ümün RTT fa múuya i’inci dü÷üm gönderen arasÕndaki RTT farkÕndan çok fazla aúarÕlÕ olan paketlerin sayÕsÕ saldÕrÕsÕnÕn bir göstergesidir. Kötücü múuya i’inci dü÷üm gönderen mesafe uzun oldu÷undan, kötücül dü aúarÕsÕz olan paketlerin sayÕsÕ farkÕ di÷er dü÷ümlere göre fazla o örnekte görüldü÷ü gibi RTT(B,C), RTT’lere göre çok daha büyüktür, ç asÕ arasÕndaki mesafe di÷er dü÷ümlerin a daha uzundur. mler yanlÕú bilgi göndermezseler, masÕnda a÷da solucan deli÷inin olup úÕlmaktadÕr. Ancak kötücül dü÷ümler RTT de÷erleri, de÷iútirilirse ve yanlÕú ulaúÕrsa, SDTM’nin performansÕ dü÷ümde sürekli çalÕúmaktadÕr. GM çalÕúÕrken komúulardan alÕnan RTT de÷erleri, beklenen eúik de÷eri ile karúÕlaútÕrÕlÕp ve her komúuya bir güven/itibar (Reputation) puanÕ (Rij = j’inci komúuya i’inci dü÷üm tarafÕndan verilenen güven/itibar puanÕ ) verilmektedir. Bu f bölümde kullanÕlan simgeler ve açÕklamalarÕ Tablo2’de verilmiútir). Güven puanÕ zaman içerisnde de÷iútirilmektedir. BaúlangÕçta tüm dü÷ümler için 0.5 de÷eri alan güven puanÕ ùekil 6. RTT de÷erlerinin farkÕ iki normal dü÷üm ve iki kötücül dü÷ümlerin gönderdikleri her eúik de÷ere göre yanlÕú kötücül dü÷üm arasÕnda RTT için beta da÷ÕlÕmÕna göre düúürülür (beta da÷ÕlÕmÕ birazdan açÕklanacaktÕr). Güven puanÕnÕn 1 de÷erini almasÕ Önerilen zaman tabanlÕ solucan deli÷i bulma mekanizmasÕ, “güvenin tam olmasÕ” anlamÕndadÕr. Baúka söyleyiúle bir kötücül dü÷ümlerin arasÕndaki paket iletim zamanÕndan paketi bu komúu aracÕ ile göndermek güvenilirdir ve bu yolda yararlanmaktadÕr. E÷er iki dü÷üm arasÕndaki paket iletim solucan deli÷i saldÕrÕsÕ olma ihtimali küçüktür. Güven zamanÕ bir belli eúikten fazlaysa bu bir anomali demektir. Bu puanÕnÕn sÕfÕr olmasÕ “asla bu komúu güvenilir de÷il” f durumda kötücül dü÷ümler e÷er kayna÷a yanlÕú bilgi iletseler anlamÕndadÕr. Baúka söyleyiúle bir paketi bu komúu aracÕ ile zaman tabanlÕ algoritma her zaman do÷ru sonuca varamaz. Bu göndermek güvenilir de÷ildir ve bu yolda saldÕrÕ olma ihtimali problemi ortadan kaldÕrabilmek için, bu çalÕúmada zaman yüksektir. GM ile komúular sürekli izlenir ve güven/itibar tabanlÕ bir modül ile dü÷ümler arasÕndaki güven (itibar) puanlarÕ sürekli güncellenir (ùekil 7). tahmin edebilen, güven mekanizmasÕ ile bileútirilmiútir ve Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 142

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION E÷er daha önceden hiçbir bilgi olmazsa D ij E ij 0 olmalÕdÕr. Bu nedenle görüldü÷ü gibi Rij uni(0,1) olmalÕdÕr. ( Rij Beta(D ij 1, Eij 1) Beta(1,1) uni(0,1) ( ( (8) Güven (Tij), itibarÕn (Rij) istatistiksel olarak beklenen de÷eridir ve úöyle ifade edilebilir [13]. D ij 1 ùekil 7. Güven modülünde itibar puanÕ güncellenmesi Tij E( Rij ) E( Beta(D ij 1, E ij 1)) ( (9) D ij Eij 2 ùekil 7’de görüldü÷ü gibi Rij izlemenin sonuçlarÕna göre sürekli güncellenmektedir (Formül 3). Güven puanÕ (Tij), itibar puanÕn (Rij) beklenen de÷eridir (Formül 4). Rij=f(Dij, Rij) Tij = E(Rij) Güven modellerini ifade etmek içi da÷ÕlÕmdan yararlanabiliriz. Örne÷in, B Binomial da÷ÕlÕmlarÕ vb. Bu çal da÷ÕlÕmlardan esnekli ve kolaylÕk gö da÷ÕlÕmÕ seçilmiútir. Beta da÷ÕlÕmÕ iki p edilir (Formül 5) [13]. * (D E ) ven puanÕnÕn de÷iútirilmesi P (x) x D 1 u * (D ) u * ( E ) omúusu tüm paketlerin iletmesine tam 0 d x d 1, D t 0, E t 0 saldÕrÕ olmama durumunda) ve RTT úik de÷erine yakÕn verirse bu komúu en sonunda bir olmaktadÕr. Baúka Bu çalÕúmada beta da÷ÕlÕmÕndan gönderildi÷i yolda kötücül dü÷üm baúarÕlÕ olan iletiúimleri ve E baúarÕsÕ si takdirde e÷er bir komúu asla etmektedir. ùimdiye kadar n+m pak yardÕm etmezse, güven puanÕ sÕfÕrf edelim. BaúarÕlÕ olan iletiúimlerin say e görüldü÷ü gibi güven puanÕnÕn iletiúimlerin sayÕsÕ m olsun. Sonraki komúulara 0.5 tir. Sistem çalÕútÕktan iletiúim olma ihtimali( T ) ne kadardÕr? Geçmiúten bir bilgi sonra bu puan her komúu için de÷iútirilmektedir. olmazsa T bir üniform da÷ÕlÕm olmalÕdÕr ( 0 d T d 1 ). Bu GM modülü tarafÕndan üretilen güven puanlarÕndan f nedenle P( T ) = uni(0,1) = beta(1,1) denilebilir. Buna göre faydalanÕlarak, SDTM’nin üçüncü adÕmÕnda kötücül dü÷ümlerin yanlÕú bilgi verdi÷i durumlarda da solucan deli÷i gelecek seferdeki iletiúimde baúarÕlÕ olma ihtimalini Formül 6 saldÕrÕlarÕ tespit edilebilmektedir. Paket gönderiminde rol alan gibi yazabiliriz [13]. bütün dü÷ümler periyodik olarak komúularÕnÕ gözlemler ve onlara ait güven puanlarÕnÕ hesaplar.. Her dü÷üm kendi Bin(m n, m) * Beta(1,1) ( P(T ) Beta(m 1, n 1) (6) ( komúularÕnÕn güven puanlarÕnÕ ve RTT de÷erleri inceler, e÷er Normalization i RTT de÷erlerinde herhangi bir anormallik varsa o komúuya ait güven puanÕnÕ düúürür. Böylece her dü÷üm komúularÕnÕn Formül 6 gösteriyor ki T ’nin gelecekteki da÷ÕlÕmÕ beta solucan deli÷i saldÕrÕsÕnda yer alÕp almadÕ÷ÕnÕ tahmin etmeye çalÕúÕr. E÷er bir dü÷ümün güven puanÕ 1’e yaklaúÕyorsa da÷ÕlÕmÕ olabilir. Rij (i’inci dü÷ümün j’inci dü÷üm için solucan deli÷i saldÕrÕsÕnda yer alma ihtimali 0’a hesapladÕ÷Õ itibar de÷eri) beta da÷ÕlÕmÕ yardÕmÕyla Formül 7 yaklaúmaktadÕr. Güven puanlarÕna göre solucan deli÷i deki gibi yazÕlmaktadÕr. saldÕrÕsÕnda bulundu÷u düúünülen dü÷ümler paket gönderiminde kullanÕlmaz ve böylece paketlerin baz istasyona Rij Beta(D ij 1, E ij 1) (7) ulaúma olasÕlÕ÷Õ artÕrÕlÕr. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 143

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION IV. SONUÇ VE GELECEK ÇALIùMALAR [15] J. H. Yun, I. H. Kim, J. H. Lim, S. W. Seo, “WODEM: Wormhole Attack Defense Mechanism in Wireless Sensor Networks” book chapter in Bu çalÕúmada KAA’larda solucan deli÷i saldÕrÕsÕ ele alÕnmÕú Lecture Notes in Computer Science, vol. 4412 pp. 200-209,2007. ve bu saldÕrÕya karúÕ bir savunma mekanizmasÕ önerilmiútir. [16] E. W. Dijkstra, “A note on two problems in connection with graphs”, Önerilen çözüm zaman tabanlÕ bir sistem olup, aynÕ zamanda Numerische Mathematik, vol. 1, no. 1, pp.83–89, 1959. yanlÕú bilgi veren kötücül dü÷ümleri tespit edebilmek için bir [17] S. McCanne and S. Floyd. ns-Network Simulator.Available at: güven mekanizmasÕ da kullanmaktadÕr. Önerilen savunma http://www.isi.edu/nsnam/ns/ mekanizmasÕnÕn tasarÕm aúamasÕ bitmiútir ve úuan itibarÕ ile ns2 a÷ simülatörü [17] kullanÕlarak gerçeklenmektedir. GM ve SDTM’nin detaylarÕ ve önerilen savunma mekanizmasÕnÕn gerçeklenmesinden elde edilecek sonuçlar bu bildirinin geniúletilmiú versiyonunda yer alacaktÕr. KAYNAKLAR [1] I. F. Akyildiz,.,W. Su,, Y. Sankarasubramaniam, E. Cayirci, “A Survey on Sensor Networks”, IEEE Communications Magazine vol.40 , no.8 pp.102-114. , 2002. [2] M. Meghdadi, S. Özdemir, ø. Güler, "Security in Wireless Sensor Networks: Problems and Solutions" (Manuscript in Turkish), Journal of Informatics Technologies , Gazi University, Ankara, Turkey , vol. 1, no.1, pp. 35-42, 2008. [3] C. Ceken. “An Energy Efficient and Delay Sensitive Centralized MAC Protocol for Wireless Sensor Networks”, Computer Standards & Interfaces,vol.30, no.1-2,pp. 20-31, 2008. [4] M. Meghdadi, S. Özdemir, ø. Güler, “An Algorithm for Defending Black- Hole Attacks in Wireless Sensor Networks”, (Manuscript in Turkish), in Proc. of HABTEKUS 08, Istanbul, Turkey, pp. 71-76, October 22-24, 2008. [5] C.Karlof, D. Wagner, “Secure routing in wireless sensor networks: Attacks and countermeasures”, Elsevier's Ad Hoc Network Journal, Special Issue on Sensor Network Applications and Protocols, September, pp. 293-315.2003 [6] S. S., Kulkarni, M. G., Gouda, A. Arora, “Secret instantiation in adhoc networks,”, Special Issue of Elsevier Journal of Computer Communications on Dependable Wireless Sensor Networks, pp.1–15, 2005. [7] T.V. Phuong, L.X. Hung, Y.K. Lee,,S. Lee, H. Lee, “TTM: An Efficient Mechanism to Detect Wormhole Attacks in Wireless Ad-hoc Networks”,4 th IEEE Consumer Communications and Networking Conference , pp. 593-598, 2007. [8] T. V. Phuong, N. T. Canh Y. K. Lee, S. Lee,H. ,Lee, Transmission Time- Based Mechanism to Detect Wormhole Attacks, Proceedings of the The 2nd IEEE Asia-Pacific Service Computing Conference pp.172-178, 2007. [9] Y. C.Hu, A. Perrig, D. B. Johnson, “Packet Leashes: A Defense against Wormhole Attacks in Wireless Networks” , INFOCOM 2003. Twenty- Second Annual Joint Conference of the IEEE Computer and Communications Societies. IEEE,vol.3 no.1, pp.1976- 1986 , 2001. [10] S. Capkun,,L. Buttyan, J. Hubaux , “Sector: secure tracking of node encounters in multi-hop wireless networks” Proceedings of the ACM Workshop on Security of Ad Hoc and Sensor Networks, vol1, no.1 pp 1- 11, 2003. [11] Wang, X., Gu, W., Schosek, K. Chellappan, S. Xuan.,D “Sensor network configuration under physical attacks”. Technical Report Technical Report (OSU-CISRC-7/ 04-TR45), 2004. [12] Song, N., Qian, L. and Li, X., “Wormhole attacks detection in wireless ad hoc networks: a statistical analysis approach”, Proceedings. 19th IEEE International Parallel and Distributed Processing Symposium, vol. 1, no. 1 pp. 1-11, 2005. [13] A. Pirzada, C. McDonald, “Circumventing Sinkholes and Wormholes in Wireless Sensor Networks”, International Workshop on Wireless Ad-hoc Networks, 2005. [14] E.C. H. Ngai,J. Liu,M.R. Lyu, ,”An efficient intruder detection algorithm against sinkhole attacks in wireless sensor Networks”, ACM Transaction on Sensor Networks, Vol. V, No. N ,2007. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 144

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION IPv6 İkili Yığın Geçiş Yönteminde Uygulamaların Saldırı Altında Performans Analizi Beyhan ÇALIŞKAN, Onur BEKTAŞ nesil IP (Next Generation IP, IPng) ismi altÕnda başlayan IPv6 Abstract— IPv6, being the next generation Internet protocol to geliştirme çalÕşmalarÕ sonucunda protokol temel tanÕmlarÕnÕ replace IPv4, will be the primary network layer protocol in 21st içeren RFC 2460 [1] ise 1998 yÕlÕnda yayÕnlanmÕştÕr. century networks. The IPv6 transition studies which initially IPv6’nÕn yakÕn bir gelecekte internete bağlanmak için yeni started in research and education networks are now shifting towards the commercial networks due to the expectation that the standart olmasÕ beklenmektedir. IPv4 address range will be totally exhausted by the end of 2010. For Ipv6 to become more widespread, it has to prove that it IPv4 adres dağÕtÕmÕnÕn geçmiş yÕllardaki hÕzÕ modellenerek fulfills the critical performance and security expectations of yapÕlan tahminler IPv4 adreslerinin 2010 yÕlÕ sonlarÕna doğru commercial networks especially in the transitions phase. This tükeneceği göstermektedir [2]. IPv6 uzun süren tasarÕm paper analyzes IPv6 stack performance under denial of service aşamalarÕ ve araştÕrma ağlarÕnda yapÕlan denemelerden sonra attacks for dual stack IPv6 network, which is one of the major types of the IPv6 transition methods. For comparison, native günümüzde ticari ağlara doğru geçiş sürecindedir. IPv6’ya IPv4 and IPv6 performance with and without attacks are also geçiş sürecinde mevcut olan IPv4 altyapÕsÕ bir anda given. bÕrakÕlmayacağÕndan iki protokolünde internete aynÕ anda bulunmasÕ kaçÕnÕlmazdÕr. IPv6 tasarlayÕcÕlarÕ tarafÕndan geçiş Keywords Index Terms—Apache benchmark, dual stack, IPv6 sürecinin en optimum gerçekleştirilmesi için çeşitli yöntemler performance, security önerilmiştir. Bu yöntemler 3 başlÕk altÕnda toplanabilir [3]. Özet— IPv4’ün yerini almak için geliútirilen IPv6, 21 yüzyÕlda økili yÕ÷Õn internetin temel ba÷lantÕ protokolü olacaktÕr. AraútÕrma a÷larÕnda ve test yataklarÕnda baúlayan IPv6 geçiú çalÕúmalarÕ, Bu yöntemde cihazlarÕn geçiş sürecinde IPv4 ve IPv6 IPv4 adreslerinin 2010 yÕlÕ sonunda tükenece÷i beklentisi ile protokollerini de aynÕ anda desteklemesi söz konusudur. İkili birlikte ticari a÷lara do÷ru kaymÕútÕr. IPv6’nÕn yaygÕnlaúmasÕ yÕğÕn destekli cihazlarda bağlantÕ aşamasÕnda ilk olarak IPv6 için ticari a÷larÕn beklentilerini karúÕlayacak úekilde kendisini adresi ile bağlantÕ yapÕlmaya çalÕşÕlÕr. BağlantÕnÕn kanÕtlamasÕ gerekmektedir. Ticari a÷larÕn IPv6’ya geçiúinde gerçekleşmemesi durumunda IPv4 adresi kullanÕlÕr. güvenlik ve performans iki önemli kÕstas olacaktÕr. Bu makalede IPv6 geçiú yöntemlerinden biri olan ikili yÕ÷Õn metodunun servis dÕúÕ bÕrakma saldÕrÕsÕna karúÕ performansÕ incelenmiútir. Geçiú Tünelleme metodunun yanÕnda, yalÕn IPv4 ve yalÕn IPv6 performanslarÕ Tünelleme yöntemi, IPv6 ağlarÕnÕn diğer IPv6 ağlarÕna normal durumda ve saldÕrÕ altÕnda araútÕrÕlmÕútÕr. ulaşmalarÕ için IPv4 ağlarÕnÕn kullanÕlmasÕdÕr. Bu yöntemde IPv6 trafiği IPv4 paketleri içinde taşÕnÕr. Bir diğer yöntem ise Anahtar Kelimeler— Apache performansÕ, ikili yÕ÷Õn, IPv6 IPv4 trafiğinin IPv6 paketleri ile taşÕnmasÕdÕr. İstemciden performansÕ istemciye, istemciden yönlendiriciye, yönlendiriciden istemciye, yönlendiriciden yönlendiriciye olmak üzere tünelin açÕlÕş şekline göre 4 grup altÕnda sÕnÕflandÕrÕlabilir. I. GİRİŞ IPv6, IETF (Internet Engineering Task Force) tarafÕndan YalÕn IPv6 IPv4’ün yerini almak için geliştirilen yeni nesil internet Sadece IPv6 adresine sahip olan cihazlarÕn IPv4 cihazlarÕ protokolüdür. IPv6’nÕn çÕkÕş noktasÕ internet protokolünün ile haberleşmesi için araya bir çevirici (translator) konulmasÕ günün ihtiyaçlarÕnÕn karşÕlayacak şekilde yenilenmesidir. Yeni yöntemidir. Bu yöntemde IPv6 <-> IPv4 ve IPv4 <-> IPv6 çevrimi OSI referans modelinin ağ, ulaşÕm veya uygulama Beyhan ÇalÕşkan, TÜBİTAK Ulusal Akademik Ağ ve Bilgi Merkezinde katmanlarÕnda gerçekleştirilebilir. sistem yöneticisi olarak çalÕşmaktadÕr.Telefon: 312-2989376; faks 312- 2989393; Eposta: beyhan@ulakbim.gov.tr IPv6 ile ilgili yapÕlan çalÕşmalarÕn birçoğu test ortamlarÕnda O. Bektaş TÜBİTAK Ulusal Akademik Ağ ve Bilgi Merkezinde uzman araştÕrmacÕ olarak çalÕşmaktadÕr.Telefon: 312-2989367; faks 312-2989393; ve araştÕrma ağlarÕnda gerçekleştirilmiştir. IPv6’nÕn ticari Eposta: onur@ulakbim.gov.tr ağlardaki performansÕ ile ilgili çok fazla araştÕrma Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 145

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION yapÕlmamÕştÕr [4]. AğÕn performansÕ ticari ağlar için kritik Literatürde IPv6 performans ve güvenlik özellikleri olan bir özelliktir. IPv6 ağlarÕnda performans ile ilgili konusunda araştÕrmalar yapÕlmÕş ise de, uygulamalarÕn servis çalÕşmalar, işletim sistemlerinde IPv6 yÕğÕn performansÕnÕn dÕşÕ bÕrakma saldÕrÕsÕ benzeri güvenlik riskleri karşÕsÕnda incelenmesi ve ticari IPv6 internet performansÕnÕn IPv4 ile durumlarÕ incelenmemiştir. Diğer bir değişle, IPv6 yÕğÕn karşÕlaştÕrÕlmasÕ konularÕnda yoğunlaşmÕştÕr. yapÕsÕnÕn IPv4’e göre saldÕrÕ altÕndaki performanslarÕ karşÕlaştÕrÕlmamÕştÕr. İlk grupta yer alan araştÕrmalar işletim sistemlerindeki IPv6 yÕğÕn performansÕnÕ ölçmeye yöneliktir. Windows 2000 ve Bu makalede, FreeBSD işletim sistemi üzerine çalÕşan Solaris 8 işletim sistemlerinde IPv4 ve IPv6 protokollerinin ağ apache web sunucusunun saldÕrÕ altÕnda IPv4 ve IPv6 performansÕnÕn ve sistem yükünün incelendiği çalÕşmada [5], yÕğÕnlarÕnÕn performansÕ incelenmiştir. Makalenin ikinci Solaris 8 işletim sisteminin 256 bayttan küçük TCP paketleri bölümünde test yatağÕ özellikleri ve ölçüm metodolojisine için ağ katmanÕnda IPv4 kullanÕmÕnÕn IPv6 kullanÕma göre 3 değinilmiştir. Üçüncü bölümde, test sonuçlarÕndan elde edilen kat daha hÕzlÕ olduğu görülmüştür. Yine aynÕ çalÕşmada, veriler incelenmiş ve son olarak dördüncü bölümde makale Windows 2000 işletim sisteminde IPv6 TCP performansÕnÕn 1 sonuçlarÕ özetlenmiştir. Kbayt’tan büyük paketler için IPv4’e göre %25 daha düşük olduğu gözlenmiştir. İki protokolün sistem kaynaklarÕ II. DENEY DÜZENEĞİ VE ÖLÇÜM SÜRECİ kullanÕmÕnÕ incelendiğinde ise IPv6 üzerinden TCP protokolü KullanÕlan yöntem, uygulamalarÕn IPv4-IPv6 ve ikili yÕğÕn kullanÕmÕnÕn IPv4’e göre ortalama %20 daha fazla işlemci performansÕnÕ ortaya koymaya yöneliktir. Bu çalÕşmada kaynağÕ kullandÕğÕ saptanmÕştÕr. IPv6 kullanan yazÕlÕmlarÕn seçilen uygulama Apache web sunucusudur. Apache web performans araştÕrmasÕnda Web sunucularÕnÕn performansÕ sunucusu, netcraft araştÕrma sonuçlarÕna göre dünya karşÕlaştÕrÕlmÕştÕr. Solaris 8 işletim sisteminin web sunucu üzerindeki web sunucularÕnÕn %53,3’ünde kullanÕlmaktadÕr performansÕnÕn Windows 2000’e göre 4 kat daha fazla oluğu [15]. Günümüzde internet trafiğinin büyük bir kÕsmÕ web tespit edilmiştir. İşletim sistemlerinin yÕğÕn performansÕ ile trafiği oluşturmaktadÕr. Web sunucularÕ sağladÕğÕ içerik ile ilgili diğer bir çalÕşma Windows 2003, RedHat 9.0 ve birlikte kurumlarÕn vitrini ve saygÕnlÕk göstergesi haline FreeBSD 4.9 işletim sistemlerinin karşÕlaştÕrÕlmasÕdÕr [6]. gelmiştir. BankacÕlÕk, kurumsal veritabanÕ, e-devlet ÇalÕşmada, farklÕ paket büyüklükleri için IPv4 ve IPv6 uygulamalarÕ benzeri kritik yazÕlÕmlarÕn web sunucularÕ performanslarÕ arasÕnda benzer sonuçlara ulaşÕlmÕş fakat üzerinden çalÕşmalarÕ bu serviste meydana gelecek kesintilerin işletim sistemleri arasÕnda farklÕlÕklar gözlenmiştir. Redhat kullanÕcÕlar ve kurumlar tarafÕndan önemini arttÕrmaktadÕr. işletim sistemi loopback üzerinde yapÕlan testlerde ilk sÕrayÕ Bununla birlikte asp, php benzeri web programlama dillerinin almÕş, Windows 2003 arada bir cihaz olmadan doğrudan kablo gelişimi bu eğilimi arttÕrÕcÕ yönde etki yapmaktadÕr. ile yapÕlan testlerde en iyi performansÕ göstermiştir. A. Test OrtamÕ Performans üzerinde yapÕlan diğer çalÕşmalar son kullanÕcÕ Apache web sunucusunun IPv6 ve ikili yÕğÕn yapÕda tarafÕndan IPv6 ağlarÕnda hissedilecek olan performansÕ performansÕ ölçülümü Şekil 1’de gösterilen ağ topolojisi ölçmeye yöneliktir [4],[7]. ÇalÕşmalarda, ilk olarak ikili yÕğÕn üzerinden gerçekleştirilmiştir. Test ortamÕnda, aynÕ özelliklere yapÕsÕnda çalÕşan web sunucularÕn listesi çÕkarÕlmÕştÕr. İkinci sahip 6 istemci bilgisayar, 1 adet sunucu, 1 adet kontrol aşamada tespit edilen sunuculara IPv4 ve IPv6 üzerinden bilgisayarÕ, 1 adet saldÕrÕ bilgisayarÕ ve Cisco 3550 serisi bağlanÕlarak bant genişliği, paket kaybÕ, paket gidiş geliş anahtarlama cihazÕ bulunmaktadÕr. İstemci bilgisayarlar ve süresi benzeri ağ performansÕ parametreleri gözlenmiştir. Elde kontrol bilgisayarÕ, Intel Pentium 4 2.66GHz işlemci, 512MB edilen bulgulardan ilki IPv6 ağlarÕnda IPv4 ağlarÕna göre daha bellek, 80GB Sata sabit disk ve 100Mbit ethernet kartÕ fazla sayÕda paket kaybÕ yaşanmasÕdÕr. AyrÕca, deneysel donanÕmlarÕna sahiptir. Sunucuda, 2 adet Intel Xeon Quad ağlarda yapÕlan çalÕşmalardaki bulgularÕn aksine tünellenmiş Core 1.86GHz işlemci, 8Gbayt bellek, 80Gbayt Sata sabit IPv6 trafiği ile tünellenmemiş trafik arasÕnda performans disk ve PCI-X Intel Pro 1000 gigabit ethernet kartÕ açÕsÕndan fark olmadÕğÕ tespit edilmiştir. Diğer bir gözlem, donanÕmlarÕ bulunmaktadÕr. SaldÕrÕ bilgisayarÕnÕn anakart ve IPv6 kullanÕmÕnÕn yaygÕn olmamasÕnÕn bir sonucu olarak IPv6 işlemci donanÕmÕ istemci bilgisayarlarÕ ile aynÕdÕr. Bununlar için ayrÕlan bant genişliliğinin boş olduğudur. Bunun sonucu birlikte istemci bilgisayarlarÕndan fraklÕ olarak Broadcom olarak testlerde IPv6 istemcilerinin IPv4’e göre daha hÕzlÕ veri gigabit ethernet kartÕ ve 1512MB bellek kullanÕlmÕştÕr. alÕp gönderebildikleri saptanmÕştÕr. İstemci ve kontrol bilgisayarlarÕ Cisco 3550 anahtarlama cihazÕnÕn 100 Mbit hÕzÕndaki ethernet portlarÕna, sunucu ve Ticari ağlarda önemli olan diğer bir kÕstas IPv6’nÕn güvenlik saldÕrÕ bilgisayarlarÕ ise 1 Gbit hÕzÕndaki portlarÕna CAT5e özellikleridir. Bu konuda yapÕlan araştÕrmalar iki grup altÕnda kablolar ile doğrudan bağlanmÕştÕr. İstemciler, sunucu, saldÕrÕ toplanabilir. İlk grupta, IPv4 ağlarÕndaki mevcut güvenlik ve kontrol bilgisayarÕ aynÕ ağda olacak şekilde risklerinin IPv6 ağlarÕndaki durumu incelenmiştir [8]-[10]. yapÕlandÕrÕlmÕştÕr. İkinci grupta IPv6’nÕn IPv4’ten farklÕ olan adres yapÕsÕ, dolaşÕlabilirlik, ek-başlÕk desteği gibi özelliklerin güvenliği irdelenmiştir [11]-[14]. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 146

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION FreeBSD işletim sisteminde, testler sÕrasÕnda oluşan işlemci ve ethernet yükleri, vmstat [18] yazÕlÕmÕyla tespit edilmiş ve yazÕlan betik yardÕmÕyla kaydedilmiştir. D. Ölçüm SonuçlarÕnÕn ToplanmasÕ Performans testlerinin aynÕ şartlar altÕnda tekrarlanmasÕ için istemci bilgisayarlarÕn hepsine bir kabuk betiği yazÕlmÕştÕr. Bu betik kontrol bilgisayarÕ tarafÕndan Clusterssh [19] yazÕlÕmÕyla f tüm istemcilerde aynÕ anda çalÕştÕrÕlmÕştÕr. Her testten sonra sunucu ve istemciler yeniden başlatÕlmÕştÕr. Ölçümler 3’er kez tekrarlanmÕş ve sonuçlarÕn aritmetik ortalamasÕ alÕnmÕştÕr. E. Ölçüm SonuçlarÕnÕn AnlamlÕ Hale Getirilmesi Kontrol bilgisayarÕnda toplanan ham veriler Perl [20] betikleri yardÕmÕyla işlenmiştir. SonuçlarÕn anlamlÕ bir hale getirilmesinden sonra Gnuplot [21] uygulamasÕ ile grafikler çizilmiştir. Şekil 1. Test OrtamÕ ÜMLERİN YAPILMASI apÕnÕn uygulama performansÕnÕn IPv4 B. øúletim Sistemleri ile karşÕlaştÕrÕlmasÕ aşağÕdaki ölçüm İstemci, saldÕrÕ ve kontrol bilgisayar Õr: 4.0_r4 sürümlü işletim sistemi y eb sunucusunda sadece IPv4 adresleri üzerinde çalÕşan Linux çekirdek sürü üzerine AMD64 FreeBSD 7 işletim eb sunucusunda sadece IPv6 adresleri Apache web sunucusu FreeBSD kurulmuştur ve sürümü 2.0.63’tür dece IPv4 adresi, 3 istemcide sadece bilgisayarlar üzerinde yapÕlan ince ayar e web sunucusunda ikili yÕğÕn yapÕ Linux sistemler; ulimit –t 10000 m saldÕrÕ altÕnda tekrarlanarak toplamda amamlanmÕştÕr. Bu 6 adÕm Normal FreeBSD sistemi sysctl.conf ayarlarÕ; ra AltÕnda Test olmak üzere iki grupta t vm.pmap.pv_entry-max=90000000 vm.pmap.shpgperproc=500000 FreeBSD üzerine portlardan kurulan grafiksel gösterimi için apache mpm prefork modülü [16] ile ç e VMSTAT çÕktÕlarÕ kullanÕlmÕştÕr. Ab httpd.conf ayarlarÕ aşağÕda listelenmişt sen sunucuya yapÕlan istek sayÕsÕnÕ, ServerLimit 15000 dikey eksen istemcilerin aldÕğÕ cevap süresini mikrosaniye StartServer 2000 olarak göstermektedir. VMSTAT grafikleri işlemci ve ethernet MinSpareServers 1000 üzerinde oluşan kesme oranÕnÕ (interrupt rate) göstermektedir. MaxSpareServers 1000 Kesme oranÕ; ethernet kartÕ için işlemciye gönderilen kesme isteği sayÕsÕnÕ, işlemci için ise tüm giriş/çÕkÕş (I/O) ve programlardan gelen toplam kesme isteği sayÕsÕnÕ C. Ölçüm AraçlarÕ göstermektedir. İşlemci kesme oranÕnÕ gösteren grafikte yatay Web sunucusunun performansÕ apache benchmark (ab) [17] eksende işlemci zamanÕ, dikey eksende kesme oranÕ ile ölçülmüştür. Ab yazÕlÕmÕ Apache sunucusunun saniyede gösterilmiştir. İşlemci zamanÕ ve kesme oranÕ her test için cevap verebildiği istek sayÕsÕnÕn ölçümü için geliştirilmiştir. farklÕ başlangÕç değerlerinde olabilmektedir. Bu nedenle Her bir istemciye ab yazÕlÕmÕ kurulmuş ve yazÕlan betikler işlemciye ait grafik yorumu dikey ve yatay eksendeki sayÕsal yardÕmÕyla sonuçlar kontrol bilgisayarÕ tarafÕndan f değerlerin büyüklüğüne göre değil, grafik altÕnda kalan alan toplanmÕştÕr. Ab uygulamasÕ -n 1600 -c 20 parametreleri ile değerlendirilerek yapÕlmalÕdÕr. Ethernet kesme oranÕnÕ çalÕştÕrÕlmÕş ve sabit içeriğe sahip olan html sayfasÕna erişim gösteren grafikte yatay eksen zamanÕ (saniye), dikey eksen süreleri kaydedilmiştir. Test sonuçlarÕnÕn karşÕlaştÕrÕlabilir kesme oranÕnÕ göstermektedir. Şekil 2 ve Şekil 3’te olmasÕ için bütün istemcilerden aynÕ sayÕda istek (1600) istemcilerin ve web sunucusunun sadece IPv4 adresi gönderilmiştir. kullandÕğÕ testin sonuçlarÕ gösterilmiştir. Test sonuçlarÕ, Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 147

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION beklendiği gibi zamanla işlemci ve ethernet yükünün arttÕğÕnÕ ortaya koymaktadÕr. Apache sunucusunun ise istek sayÕsÕ artÕşÕyla birlikte cevap verme süresinin arttÕğÕ görülmektedir. Şekil 4. Sadece IPv6 ab test değerleri Şekil 2. Sadece IPv4 ab test değerleri değerleri eri Şekil 6 ve Şekil 7’de gösterilmiştir. ÕyaslandÕğÕnda Apache sunucusunun süresinin artÕşÕ açÕkça görülmektedir. Şekil 3. Sadece IPv4 vmstat değerleri mikrosaniye seviyesinden 1500 mikrosaniye seviyesine kadar çÕkmÕştÕr. Buna paralel olarak İstemcilerin ve sunucunun sadece IPv6 kullandÕğÕ test ab testinin tamamlanma süresi 10-13 saniye seviyesinden 27- sonuçlarÕ Şekil 4 ve Şekil 5’te gösterilmiştir. Sadece IPv6 28 saniye seviyesine çÕkmÕştÕr. Bir diğer önemli nokta ise kullanÕldÕğÕnda Apache sunucusunun yaklaşÕk 750 isteğe ethernet yükünün 10 kata kadar artmasÕ olmuştur. Bu süreçte kadar cevap verme süresi en çok 50 mikrosaniye seviyesinde işlemci yükü de gözle görülür artÕş göstermiştir. iken sadece IPv4 ile 200 isteğe kadar bu seviyede kalabilmiştir. Genel olarak bakÕldÕğÕnda isteklere cevap süresi IPv6 ile daha az görünmektedir. Şekil 5’te gözlemlenen ethernet yükünün bir süre sonra hÕzla tÕrmanÕşÕ IPv6 paket sayÕsÕna bağlÕ olarak sunucunu performansÕndaki değişimi ortaya koymaktadÕr. Şekil 6. İkili yÕğÕn ab test değerleri Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 148

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Şekil 7. İkili yÕğÕn vmstat değerleri Şekil 9. SaldÕrÕ altÕnda sadece IPv4 vmstat değerleri SaldÕrÕ AltÕnda Test d Testlerin asÕl odak noktasÕ olan IPv6 performansÕ ise Şekil SaldÕrÕ altÕnda yapÕlan ölçümlerde kça görünmektedir. Şekil 8 ve Şekil 10 kullanÕlmÕş ve normal durumda ğÕnda IPv6 istemcilerinden gelen tekrarlanmÕştÕr. Pktgen, Linux çekird ri belli değerlerde sabit gözükmektedir. paket üretici yazÕlÕmdÕr. SaldÕrÕ sadece IPv6 kullanÕldÕğÕ durumda ab üzerindeki etkisini arttÕrmak için 4 kullanÕlan duruma göre 4 kattan fazla bilgisayarlardan farklÕ olarak PCI gig u durum saldÕrÕ altÕndaki Apache bellek kullanÕlmÕştÕr. SaldÕrÕ bi performansÕndaki dramatik düşüşü kullanÕlan ortama IPv4 paketleri, ortama IPv6 paketleri ile saldÕrm yapÕlan saldÕrÕlarda önce IPv4 kullanÕlmÕştÕr. Şekil 8 ve Şekil 9’da saldÕrÕ altÕnd durum gösterilmiştir. Beklendiği gib ve ethernet yükü normal duruma gör paralel olarak Apache sunucusunu süresi de artmÕştÕr. Şekil 10. SaldÕrÕ altÕnda sadece IPv6 ab değerleri Şekil 8. SaldÕrÕ altÕnda sadece IPv4 ab değerleri Şekil 11. SaldÕrÕ altÕnda sadece IPv6 vmstat değerleri Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 149

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION İkili yÕğÕn yapÕya önce IPv4 paketleri sonra IPv6 paketleri sistemlere göre oldukça düşük olduğu görülmektedir. ile saldÕrÕlmÕştÕr. İstemcilerin hiçbiri ab testini her iki durumda da tamamlayamamÕştÕr. Şekil 12’de IPv4 paketleri ile İkinci kÕsÕmda servis dÕşÕ bÕrakma saldÕrÕsÕnÕn performans saldÕrÕldÕğÕnda, Şekil 13’te ise IPv6 paketleri ile üzerine etkileri incelenmiştir. Elde edilen veriler ÕşÕğÕnda, saldÕrÕldÕğÕnda sunucuda oluşan yük gösterilmiştir. IPv6 kullanan sistemlerin IPv4 kullanan sistemlere göre servis engelleme saldÕrÕlarÕndan daha çok etkilendiği görülmüştür. Bu durum ikili yÕğÕn yapÕda çalÕşan bir sunucu için daha dramatik bir hal almakta ve sunucu servis veremez hale gelmektedir. Elde edilen sonuçlar, IPv6 geçiş sürecinde ikili yÕğÕn yapÕlandÕrmasÕnÕn performans problemleri yaşanmasÕna neden olacağÕnÕ göstermiştir. Bu problemin çözümü için yüksek yük altÕnda çalÕşan servislerin ikili yÕğÕn yerine yalÕn olarak IPv4 ve IPv6 desteği olan ayrÕ sunucularda çalÕştÕrÕlmasÕ önerilebilir. Bu konuda yapÕlacak ileriki çalÕşmalarda farklÕ işletim performansÕnÕn gözlenmesi için i ile birlikte Linux ve Windows işletim ilir. AyrÕca, Bind DNS, Windows IIS Şekil 12. IPv4 saldÕrÕsÕ altÕnda ikili yÕğÕn vmst alar ile makale sonuçlarÕ farklÕ dilebilir. KAYNAKLAR tocol, Version 6 (IPv6) Specification http://www.potaroo.net/tools/ipv4/index.html” Guide http://www.6net.org/book/deployment- , “Understanding current IPv6 performance: a oceedings. 10th IEEE Symposium on Computers artagena, 2005, 71-76 valuating IPv6 on Windows and Solaris,” IEEE 7, sayfa 51-57, MayÕs-Haziran. 2003 M. Abusin, D. Chieng, “Evaluation of IPv6 and h different operating systems,” International ion Technology and Applications, vol 2, sayfa Tanand, W. C. Lau, “Empirical Performance of Şekil 13. IPv6 saldÕrÕsÕ altÕnda ikili yÕğÕn vmst Dual-Stack Environment,” IEEE International nications, Beijing, 2008, 5924 – 5929 [8] D. Zagar, K. Grgic, R.Snjezana, “Security aspects in IPv6 networks IV. SONUÇLAR implementation and testing,” Computers and Electrical Engineering, vol. 4, sayfa 425-437, Eylül. 2007 [9] Y. Xinyu, M. Ting, S.Yi, “Typical DoS/DDoS threats under IPv6,” Bu makalede işletim sistemlerinde IPv4, IPv6 ve ikili yÕğÕn Computing in the Global Information Technology, Guadeloupe, 2007, yapÕsÕnda çalÕşan servislerin performanslarÕ ölçülmüştür. 55 – 61 Servis performansÕnÕn gözlenmesi için uygulama olarak [10] H. Oh, K. Chae, H. Bang, J. Na, “Comparisons analysis of Security Vulnerabilities for Security Enforcement in IPv4/IPv6,” Advanced Apache web sunucusu kullanÕlmÕştÕr. AyrÕca, saldÕrÕ altÕnda Communication Technology, vol 3, sayfa 1583 – 1585. Şubat. 2006 protokol yÕğÕnÕ ve uygulama performansÕndaki değişim de [11] K. Elgoarany, M. Eltoweissy, “Security in mobile IPv6 a survey,” incelemiştir. Information Security Tech. Report, vol 4, sayfa 32-43, Ocak. 2007 [12] J. Kempf, J. Arkko, P. Nikander, “Mobile IPv6 security,” Wireless Personal Communication, vol 29, sayfa 389-414, 2004 Elde edilen bulgular iki başlÕk altÕnda yorumlanabilir. İlki, [13] J. Lim, Y. Kim, “Protection algorithm against security holes of IPv6 IPv4, IPv6 ve ikili yÕğÕn yapÕsÕnda çalÕşan servisler ve işletim routing header,” Advanced Communication Technology , vol l3, sayfa 2004 -2007, Şubat. 2006 sistemlerinin performans sonuçlarÕdÕr. AraştÕrma bulgularÕ [14] J. Arkko, T. Aura, J. Kempf, V. Mäntylä, P. Nikander, M. Roe, düşük istek sayÕsÕnda, IPv6’nÕn IPv4’e göre daha iyi bir “Securing IPv6 neighbor and router discovery,” Proceedings of the 1st performans gösterdiğini ortaya koymuştur. Bununla birlikte ACM workshop on Wireless security, Atlanta, 2002, 77-86 [15] Netcraft, October 2008 Web Server Survey, her iki protokolünde aynÕ anda desteklendiği ikili yÕğÕn yapÕ http://news.netcraft.com/archives/web_server_survey.html performansÕnÕn sadece IPv6 veya sadece IPv4 kullanan [16] Apache MPM prefork, http://httpd.apache.org/docs/2.0/mod/prefork.html Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 150

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION [17] Apache HTTP server benchmarking tool, http://httpd.apache.org/docs/2.0/programs/ab.html [18] VMSTAT, http://www.freebsd.org/cgi/man.cgi?query=vmstat&manpath=FreeBSD +7.0-RELEASE [19] Cluster SSH, http://clusterssh.wiki.sourceforge.net/Main+Page [20] Perl, http://www.perl.org [21] Gnuplot, http://www.gnuplot.info [22] R. Olsson, pktgen the linux packet generator, Linux Symposium 2005, http://www.linuxsymposium.org/2005/linuxsymposium_procv2.pdf Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 151

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Pasif Ağ Verileri Üzerinden Düzensizlik Tespiti Devrim SERAL, Beyhan ÇALISKAN Abstract-Through the history, people have used several Bu durum, imza tabanlı sistemleri sıfır gün saldırıları (zero day different ways to communicate. Over the few decades, Internet attack) karúısında etkisiz bırakabilmektedir [4]. ømza tabanlı has become the primary source of information and important media for communication. This makes the sustainability of sistemler, analiz sırasında paket verisinin tümünü kullanmak Internet crucial. On the other hand,the problems encountered on zorundadırlar. Bundan dolayı yüksek hızlı a÷larda performansı networks of various sizes that make up the Internet can seriously azaltıp maliyeti artırdı÷ından çok fazla tercih edilmezler. effect the performance of Internet. These problems usually Geliúen teknoloji ile a÷ hızları Gbps seviyelerine ulaúmıú ve originate from the anomalies of the networks and the immediate imza tabanlı sistemler yerine düzensizlik tabanlı sistemler detection of anomalies in high capacity networks is a very önem kazanmıútır [5]. Düzensizlik tespiti için güvenlik resource consuming effort. This paper focuses on methods for anomaly detection which will require less resources by making uzmanları tarafından yazılmıú kurallara gereksinim duyulmaz use of netflow data. ve yeni saldırı türleri tespit edilebilir. Ancak bu tür sistemler, paket verileri (payload) ile ilgili olmadıkları için saldırıların Index Terms— Site security monitoring, Networks, Computer Keywords özelliklerine ait bilgiler veremezler ve imza tabanlı sistemlere Network Security göre hatalı uyarı (false alarm) verme ihtimalleri daha fazla olabilmektedir. Özet-ønsano÷lu ça÷lar boyu bilgi edinmek ve haberleúmek için de÷iúik yöntemlere baúvurmuútur. Günümüzde ise ønternet, hem Bu makalede, pasif a÷ verileri üzerinden düzensizlik tespiti bilgi edinmek hemde haberleúmek için kullanılan en önemli yöntemleri verildikten sonra örnek akıú verisi üzerinde araçlardan biri haline gelmiútir. Bu yüzden ønternetin süreklili÷i uygulaması anlatılacaktır. Pasif a÷ verileri akıú veri standardı büyük önem taúımaktadır. ønterneti meydana getiren de÷iúik olan NetFlow [6] formatında yönlendirici üzerinden büyüklükteki a÷lar üzerinde meydana gelen sorunlar, ønternete alınacaktır. NetFlow, IP trafi÷ini özelliklerine göre eriúimi etkileyebilmektedir. A÷lar üzerinde meydana gelen ayırabilmekte, kaynak adresi, varıú adresi, süre ve port sorunlar, genelde a÷ düzensizliklerinden kaynaklanmaktadır. Yüksek hızlı a÷larda, anlık düzensizlik tespiti yapmak çok fazla bilgilerini detaylı úekilde verebilmektedir. Bu özellikler, a÷ kaynak gerektiren bir iúlemdir. Bu çalıúmada daha az kaynak saldırılarından kaynaklanan düzensiz trafi÷i tespit etmekte gerektiren pasif a÷ verileri kullanarak düzensizlik tespiti yapma kullanıúlı olmaktadır. Makalenin ilk bölümünde düzensizlik yöntemleri ele alınacaktır. tespitinde istatiksel yöntemler incelenmiú, ikinci bölümünde ise yapay sinir a÷ları ile düzensizlik tespiti yöntemleri Anahtar Kelimeler— A÷ güvenli÷i, Bilgisayar A÷ Güvenli÷i, de÷erlendirilmiútir. Son bölümde Ulusal Akademik a÷ Düzensizlik Tespiti trafi÷inden alınan örnek verilerden yararlanarak saldırı tespiti I. GøRøù yapılmıútır. A ö sistemlerine eriúim, donanımsal nedenlerin dıúında a÷ı kötüye kullanma yada a÷ üzerinde düzensizlik yaratılarak kesintiye u÷ratılabilir. Bunların önüne geçmek için a÷ trafi÷ini II. DÜZENSøZLøK TESPøTøNDE øSTATøSTøKø YÖNTEMLER A÷ trafi÷inde oluúan düzensizli÷i inceleyerek, saldırı tespit izlemek ve analiz etmek önem kazanmaktadır. Hızlı ve verimli etmek için de÷iúik çalıúmalar yapılmıútır. Bu çalıúmaların çalıúan analiz sistemlerinin varlı÷ı, bu sorunların etkin bir birço÷unda istatistiki yöntemler ve trafik örnekleme úekilde a÷a zarar vermesini engelleyebilmektedir. Bu úekilde (sampling) kullanılarak sonuç elde edilmeye çalıúılmıútır çalıúan sistemlere saldırı tespit sistemleri adı verilmektedir [1]. [7],[8]. Yönlendiricilerden toplanan akıú verileri (flow) ve ip A÷ saldırı tespit sistemleri, imza tabanlı ve düzensizlik tabanlı paket baúlıkları bu araútırmaların temelini oluúturmaktadır. Her olarak sınıflandırılabilirler [2]. ømza tabanlı sistemler, bilinen iki yöntemde de paketlerin veri kısmına bakılmaksızın saldırı türlerine göre yazılan kurallar ile çalıúırlar [3]. Ancak yönlendirme bilgisi, kaynak adresi, varıú adresi, kaynak portu, bu sistemlerde yeni saldırılar için gerekli olan kurallar, sadece varıú portu, aktarılan veri büyüklü÷ü (byte) gibi bilgilerden güvenlik uzmanları tarafından güncellenebilmektedir. faydalanarak modellemeler yapılmıútır [9]. Bu makalede akıú verileri kullanılarak düzensizlik tespiti yöntemleri irdelenmiú Devrim Seral, Uluslararası Kıbrıs Üniversitesi, Mühendislik Fakültesi, ve istatistik yöntemler genel olarak iki baúlık altında Biliúim Sistemleri Mühendisli÷i, Lefkoúa-Kıbrıs’ta ö÷retim görevlisidir. (e- toplanmıútır; En Çok ve Baz De÷er, øz Eúleútirme. mail: dseral@ciu.edu.tr) Beyhan Çalıúkan, ULAKBøM, Ankara’da sistem yöneticisi olarak çalıúmaktadır (e-mail: beyhan@ulakbim.gov.tr) Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 152

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION A. En Çok ve Baz De÷er durumu bildirebilir. Bu yöntem a÷ tarama tespitinde kolayca Baz de÷er, geçmiúte kaydedilen a÷ trafi÷ine göre kullanılabilir. oluúturulmuú úablondur. Bu úablon normal a÷ trafi÷ini temsil øz eúleútirmede bir di÷er yaklaúım, TCP bayraklarından eder. A÷ trafi÷inde meydana gelen ve baz de÷erden farklı olan (flags) yararlanarak örnekleme veritabanı oluúturmaktır. TCP her türlü trafik düzensiz olarak kabul edilir. Düzensiz trafi÷in Protokolünde, Three-way-handshake [11] prosedürünü incelenmesinde kullanılan genel yöntem akıú içerisindeki tamamlamayan, sürekli SYN paketleri gönderen istemciler de÷iúimleri tespit etmektir. Belirli bir zaman diliminde en fazla veya sürekli SYN paketi alan sunucular normal olmayan de÷iúimi tespit etmek en çok yöntemi olarak tanımlanmaktadır. trafi÷in habercisidir. Akıú verilerindeki TCP bayrakları ile En çok yönteminde, meydana gelen düzensizlikleri tespit karúılaútırma yapıldı÷ında belirli bir eúik de÷erin üzerindeki ederken iki ayrı yöntem izlenebilir. En çok oturum paket türleri düzensiz olarak kabul edilebilir. Genellikle böyle yönteminde; belirli bir zaman dilimindeki oturum sayısı bir durum DoS veya DDoS saldırısını iúaret eder. (session) temel alınır. En çok veri yönteminde ise; belirli bir Port ve TCP bayra÷ı yaklaúımına benzer bir yaklaúım IP zaman diliminde aktarılan veri miktarı (byte) temel alınır. adresleri için de uygulanabilir. Kaynak adresi IANA tarafından rezerve edilmiú ip kümelerinden [12] gelen trafik düzensiz En Çok Oturum olarak de÷erlendirilebilir. Ayrıca a÷a ait fakat kullanılmayan ip Belirili bir istemci veya sunucuya ait a÷ trafi÷inde meydana adreslerine do÷ru yapılan trafik a÷ taraması veya solucan gelen ani oturum sayısı artıúı DoS/DDoS, solucan aktivitesi, a÷ aktivitesini iúaret edebilir. IP veritabanı örneklemesi dıúarıdan taraması gibi birçok sebepten kaynaklanabilir. En fazla gelen saldırılara karúı etkili olabildi÷i gibi aynı yaklaúımla iç otururumun açıldı÷ı sunucu veya a÷’daki oturum sayısı ile baz a÷dan yapılan saldırıların da tespitinde önemli rol oynayabilir. de÷er karúılaútırılınca olası saldırı tespit edilebilir. A÷daki herhangi bir bilgisayar servis ba÷lantısı yaparken III. YAPAY SøNøR AöLARI øLE DÜZENSøZLøK TESPøTø kabul edilebilir sıklıkta oturum açar. E÷er oturum sayısında A÷lar üzerinde oluúan düzensizlikleri tespit etmek için çok hızlı ve ani artıúlar gözleniyorsa, bilgisayarın bir solucan yapay sinir a÷larını kullanmak bir di÷er yöntemdir. Bu tarafından etki altına alındı÷ı ve baúka bilgisayar veya a÷lara sistemler yapay sinir a÷larının, önceden kaydedilmiú problem do÷ru yayılmaya çalıútı÷ı söylenebilir. Solucanların a÷daki oluúturan düzensizlik verileri yardımıyla e÷itilmesine dayanır faaliyetleri, konak bilgisayardan di÷er kurbanları ararken a÷ın [13]. Bu sistemler hem yanlıú kullanım hemde düzensizlik normal a÷ karakteristik yapısında farklılıklar oluúturur. Bu tespit sistemleri ile birlikte anılır. farklılık akıú verilerindeki artıútan tespit edilebilir. Yapay sinir a÷larının Çok katmanlı Algılama (Multilayer Bir di÷er durum ise belirli bir sunucu veya a÷a yönelik akıú Perception) [14] ve Kendinden Teúekküllü Haritalar (Self- sayısındaki ani artıútır. Genellikle bu tür artıúlar servis veren orginizing Map) gibi farklı yaklaúımları da kullanılmaktadır sunuculara yöneliktir. DoS/DDoS saldırıları servis veren [15]. sunucu veya a÷ın karakteristik yapısını de÷iútirdi÷i için yine Yapay sinir a÷larında Kendinden Teúekküllü Haritalar akıú verileri yardımıyla saldırı tespit edilebilir. (KTH) öncelikle normal davranıú gösteren a÷ trafi÷ini ö÷renme periyodundan geçirdikten sonra düzensizlik En Çok Veri hareketlerini tespit edebilmektedir. Ancak bu sistemin en Sunucu veya istemcilerin belirli bir zaman diliminde bant büyük kısıtlaması neron sayısının a÷ performansını geniúli÷ini hızlıca tüketmeleri normal bir durumu de÷ildir. etkilemesidir. Çıkıú dü÷ümlerinin sayısını artırmak haritanın Düzensiz trafi÷i analiz etmek için bu konuda çalıúmalar çözünürlü÷ünü artırmakla beraber veri iúleme süresi dramatik yapılmıútır [10]. Baz de÷erden farkı açıkça gözlenebilen bu tür bir biçimde artırmaktadır. trafi÷in kayna÷ı yine solucan veya servis engelleme saldırıları Yapay sinir a÷ları, a÷ saldırı tespitinde kullanılırken bir olabilmektedir. Bu saldırıları tespit etmek çok kolay olmakla di÷er sorunu da zaman gecikmeli saldırıları tespit birlikte hatalı uyarı alma ihtimali daha fazladır. Bunun nedeni edememesidir [16]. yedekleme veya dosya transferi gibi uygulamalardan Tüm yöntemlerde istenen yanlıú uyarı miktarını mümkün kaynaklanan ve a÷ trafi÷inde oluúan ani ve yüksek veri akıúları oldu÷unca aúa÷ıya çekmektir. sayılabilir. B. øz Eúleútirme IV. AKADEMøK AöDA DÜZENSøZLøK TESPøTø øz eúleútirme, normal dıúı trafi÷in tespit edilmesinde bir ULAKNET; Türkiye'deki tüm akademik kurumları, Türk di÷er yöntemdir. Bu yöntemde motivasyon a÷da bilinen servis Tarih Kurumu, Milli Kütüphane, YÖK, ÖSYM, TÜBøTAK, ve ip bloklarının akıú verileri ile karúılaútırılmasına dayanır. Türkiye Atom Enerjisi Kurumu ve Türk Silahlı Kuvvetleri'nin Mevcut servislere ait port ve ip bilgileri oluúturulan bir Ar-Ge birimlerinden oluúan geniú bir a÷a hizmet sunmaktadır. veritabanı yardımıyla akıú verileri ile karúılaútırılır. Veri Bu uçlarda bulunan yaklaúık 89300 ö÷retim görevlisi, tabanında bulunmayan port veya ip adreslerine gelen veya araútırmacı ve 2.000.000 üzerinde üniversite ö÷rencisinin giden trafik úüpheli olarak de÷erlendirilebilir. Örne÷in sadece ønternet ba÷lantısı ULAKBøM tarafından sa÷lanmaktadır [17]. 80 portundan hizmet veren bir sunucunun 3306 portuna bir istek gönderildi÷inde uyarı sistemi devreye girip úüpheli Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 153

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION A. Yöntem TCP 194.27.X.X:80 -> 176.116.55.102:1024 .A..S. 1 44 0 0 44 1 TCP 194.27.X.X:80 -> 201.208.253.34:1024 .A..S. 1 44 0 0 44 1 Düzensizlik tespiti için ULAKNET a÷ından alınan bir aylık TCP 194.27.X.X:80 -> 122.121.178.35:1024 .A..S. 1 44 0 0 44 1 akıú verisi üzerinde çalıúılmıútır. Akıú verileri, 3Gbps bant geniúli÷ine sahip akademik a÷ın ana omurga yönlendiricisi Örnek diyagram sırasıyla; protokol, kaynak ip ve kaynak üzerinden Cisco NetFlow v9 standardında alınmıútır. ùekil port, hedef ip ve hedef port, tcp bayra÷ı, paket sayısı, paket 1’de gösterildi÷i gibi, akıú úemaları, açık kaynak kodlu nfcapd büyüklü÷ü (byte), saniyedeki bit sayısı, paket baúına byte ve [18] yazılımı ile toplanmıú ve verilerin hızlı iúlenmesi için Perl [19] betikleri yardımıyla MySQL [20] veritabanına oturum sayısını göstermektedir. En çok oturum yöntemi ile kaydedilmiútir. tespit edilen bu trafi÷in normal olmadı÷ı hemen ULAKNET a÷ında düzensizlik tespiti için kullanılan görülebilmektedir. 194.27.X.X ip adresine sahip 80 numaralı yöntemler makalenin birinci bölümünde anlatılan istatistik porttan hizmet veren web sunucusu birçok farklı ip adresine temelli yaklaúımlara dayanmaktadır. Bu çerçevede deneyler en SYN-ACK paketleri göndermekte ve hedef portları da sürekli çok yöntemi ve iz eúleútirme olarak iki baúlık altında 1024 ve 3072 olmaktadır (Sunucu adresi gizlenmiútir). Tespit toplanmıútır. Yapılan çalıúma saldırı úüphesi olan trafi÷i a÷ ve edilen bu düzensizlik ilgili web sunucusuna yapılan SYN flood sistem yöneticileri tarafından görünür kılmaya yöneliktir [21]. saldırısına aittir. En çok akıú yöntemi, a÷ trafi÷inin Daha sonra gerekli modelleme yaklaúımları ile otomatik karakteristik yapısında belirgin de÷iúiklikler yapan, yukarıda uyarılar üreten ve saldırıları engelleyen bir sistem inceledi÷imiz saldırıyı tespit edebilirken, aynı zaman dilimi geliútirilebilir. içinde yer alan bir baúka saldırıyı tespit etmekte baúarısız olabilir. Bu varsayımın temelinde, yüksek bant geniúli÷inde trafikten ayırt edecek paket ve akıú ması gerekti÷i düúüncesi vardır. Bu için en çok akıú yöntemine TCP verileri bir önceki akıú verileri ile aynı e edilmiútir. TCP bayra÷ında SYN en çok oturum yöntemi uygulanarak 193.140.X.X ip adresli istemciden rt adresini hedef alan faaliyetleri tespit ir solucan saldırısı oldu÷u hemen fark ùekil 1. Netflow akıú verilerinin alınması 3.140.53.155:135 ....S. 1 48 0 0 48 1 En Çok Yöntemi Uygulaması 3.140.53.164:135 ....S. 1 48 0 0 48 1 ønceleme yapılan bir aylık akıú v 3.140.231.7:135 ....S. 1 48 0 0 48 1 3.140.177.80:135 ....S. 1 48 0 0 48 1 dakikalık periyotlarla analiz edilmiú 3.140.53.187:135 ....S. 1 48 0 0 48 1 inceleme yapılmasının temel nedeni 3.140.53.190:135 ....S. 1 48 0 0 48 1 saldırıların tespiti için bir eúik de÷er ön 3.140.53.202:135 ....S. 1 48 0 0 48 1 3.140.53.212:135 ....S. 1 48 0 0 48 1 Deneyin ilk kısmında 5, 10, 30 v 3.140.177.91:135 ....S. 1 48 0 0 48 1 dilimleri kullanılarak akıú verisi içer 3.140.53.221:135 ....S. 1 48 0 0 48 1 açan istemciler tespit edilmiútir. Yapılan inceleme sonucu, 3.140.231.42:135 ....S. 1 48 0 0 48 1 TCP 193.140.X.X:3074 -> 193.140.231.49:135 ....S. 1 48 0 0 48 1 analiz periyodu uzadıkça en çok akıú yöntemine ait baúarının TCP 193.140.X.X:3077 -> 193.140.177.111:135 ....S. 1 48 0 0 48 1 düútü÷ü hatta etkisiz kaldı÷ı gözlemlenmiútir. Bu durumun TCP 193.140.X.X:3099 -> 193.140.53.232:135 ....S. 1 48 0 0 48 1 nedenini araútırıldı÷ında, 3Gbps gibi yüksek bir bant TCP 193.140.X.X:3104 -> 193.140.231.60:135 ....S. 1 48 0 0 48 1 geniúli÷inde normal trafi÷in úüpheli trafi÷e göre daha fazla yer TCP 193.140.X.X:3114 -> 193.140.231.65:135 ....S. 1 48 0 0 48 1 TCP 193.140.X.X:3127 -> 193.140.177.131:135 ....S. 1 48 0 0 48 1 almasından kaynaklandı÷ı tespit edilmiútir. Bu çerçevede en TCP 193.140.X.X:3118 -> 193.140.231.67:135 ....S. 1 48 0 0 48 1 çok akıú yöntemleri uygulanırken, kısa zaman dilimlerinde TCP 193.140.X.X:3147 -> 193.140.231.75:135 ....S. 1 48 0 0 48 1 analiz yapmanın, anlık artıúları ve düzensizli÷i tespit etmekte TCP 193.140.X.X:3154 -> 193.140.53.252:135 ....S. 1 48 0 0 48 1 TCP 193.140.X.X:3161 -> 193.140.177.137:135 ....S. 1 48 0 0 48 1 etkili olaca÷ından hareket edilmiútir. Bu yüzden 5 dakikalık periyotlarla trafik analizi yapılmıútır. En çok oturum yöntemi Bir di÷er en çok yöntemi olan paket büyüklü÷üne göre uygulanarak tespit edilen bir düzensizlik aúa÷ıda gösterilmiútir. düzensiz trafik tespiti ULAKNET akademik a÷ında baúarısız olmuútur. Bu yöntemdeki motivasyon saldırıların bant TCP 194.27.X.X:80 -> 20.95.31.62:1024 .A..S. 1 44 0 0 44 1 geniúli÷ini hızlıca doldurabilece÷i varsayımına dayanmaktadır. TCP 194.27.X.X:80 -> 3.110.217.64:3072 .A..S. 1 44 0 0 44 1 TCP 194.27.X.X:80 -> 85.255.5.60:3072 .A..S. 1 44 0 0 44 1 Fakat ULAKNET gibi çok uçlu ve yüksek bant geniúli÷ine TCP 194.27.X.X:80 -> 138.163.116.123:1024 .A..S. 1 44 0 0 44 1 sahip bir a÷da, normal trafik karakterinin fazla oluúu úüpheli TCP 194.27.X.X:80 -> 35.53.251.68:1024 .A..S. 1 44 0 0 44 1 trafi÷i en çok veri yönteminden gizleyebilmektedir. Bu TCP 194.27.X.X:80 -> 44.77.161.38:3072 .A..S. 1 44 0 0 44 1 TCP 194.27.X.X:80 -> 181.46.18.16:3072 .A..S. 1 44 0 0 44 1 yöntemin geniú süreli uygulamasından verimli sonuç Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 154

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION alınamayınca daha önce en çok oturum yöntemi ile tespit TCP 193.140.X.X:28680 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 TCP 193.140.X.X:23348 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 edilen saldırıya ait zaman aralı÷ı TCP filtreleri de kullanılarak TCP 193.140.X.X:9118 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 taranmıútır. Elde edilen sonuçlar etkin düzensizlik tespiti için yeterli olmamıútır. V. SONUÇ Bu yöntemin mevcut durumda kullanılabilmesi istatistik Günümüzde ønternetin kesintisiz olarak çalıúması hayati yöntemlerden daha çok yapay sinir a÷larıyla mümkün olabilir. önem taúımaktadır. Bunun nedeni ise artık birçok kurumun ve Yapay sinir a÷ı e÷itilip ULAKNET a÷ına ba÷lı her bir uç için bireyin hızlı ve zahmetsizce iúlerini ønternet özerinden baz de÷er veritabanı oluúturulabilir. A÷da baz de÷erin halledebilmesidir. Eriúimin herhangi sebepten dolayı kesilmesi üzerinde veri akıúı gerçekleúirse düzensiz trafik tespit zaman, maliyet ve iú kayıplarına neden olabilmektedir. edilebilir. Daha önce de belirtildi÷i gibi bu yöntemin hatalı ønternet’in donanım sorunları dıúında baúka nedenlerle uyarı verme ihtimali yedekleme ve dosya transferi gibi kesintiye u÷raması genelde a÷lar üzerinde görülen sebeplerden dolayı yüksek olması beklenebilir. düzensizliklerden kaynaklanmaktadır. Bu çalıúmada, yüksek hızlı a÷larda düzensizlik tespitinde øz Eúleme Yöntemi Uygulaması ULAKNET a÷ında iz eúleme yöntemi ile düzensizlik tespit kullanılan yöntemler ele alınmıú ve ULAKBøM gibi büyük bir uygulaması, istatistik yöntemlerin en baúarılısı olmuútur. Akıú a÷daki verilerden yararlanarak, temel düzensizlik bulgularının úemalarından elde edilen veriler IANA tarafından rezerve nasıl tespit edilece÷i gösterilmiútir. edilen ip blokları ile karúılaútırılmıútır. Bu çalıúmada IANA Bu çalıúma yazılım tabanlı uygulamalar geliútirerek daha tarafından rezerve edilen ip adreslerinin, asla geniú alan kapsamlı bir sistem haline getirilebilir. Böyle bir sistemin anlık a÷larında bulunmaması gerekti÷inden yola çıkılmıútır. Bu veri akıúları üzerinde düzensizlik tespit edip uyarılar üretmesi varsayıma uymayan bütün trafik düzensiz olarak kabul edilir. bir sonraki çalıúma konusu olabilir. Aúa÷ıdaki diyagramlarda iz eúleme yöntemi ile tespit edilen úüpheli trafikler gösterilmiútir. TEùEKKÜR Bu çalıúmada bizlere a÷ akıú verilerini ve analiz TCP 193.140.X.X:49960 -> 192.168.163.169:515 ....S. 1 52 0 0 52 1 yapabilmemiz için gerekli olan donanımı sa÷ladı÷ı için TCP 193.140.X.X:49969 -> 192.168.163.170:2191 ....S. 1 52 0 0 52 1 ULAKBøM’e teúekkür ederiz. TCP 193.140.X.X:49972 -> 192.168.163.170:81 ....S. 1 52 0 0 52 1 TCP 193.140.X.X:49977 -> 192.168.163.172:515 ....S. 2 100 0 88 50 1 TCP 193.140.X.X:49979 -> 192.168.163.172:2191 ....S. 1 52 0 0 52 1 KAYNAKLAR REFERANSLAR TCP 193.140.X.X:49984 -> 192.168.163.173:515 ....S. 1 52 0 0 52 1 [1] D.E. Denning, “An Intrusion Detection Model”, IEEE Transactions on TCP 193.140.X.X:49986 -> 192.168.163.173:2191 ....S. 1 52 0 0 52 1 Software Engineering, SE-13:222-232, 1987. TCP 193.140.X.X:49988 -> 192.168.163.173:443 ....S. 1 52 0 0 52 1 [2] N. J. Puketza, K. Zhang, M. Chung, “A Methodology for Testing TCP 193.140.X.X:49993 -> 192.168.163.171:2191 ....S. 1 52 0 0 52 1 Intrusion Detection Systems”, IEEE Transactions on Software TCP 193.140.X.X:49995 -> 192.168.163.171:443 ....S. 1 52 0 0 52 1 Engineering, Volume 22, Issue 10, pp. 719 – 729, 1996. [3] Novikov, D. Yampolskiy, R.V. Reznik, L., “Anomaly Detection Based Diyagramdan açıkça görüldü÷ü üzere 193.140.X.X ip Intrusion Detection”, ITNG 2006, pp. 420-425, 2006. adresli istemciye gelen trafik IANA tarafından rezerve edilmiú [4] K. Wang, S. J. Stolfo, “Anomalous payload-based network intrusion 192.168.0.0/16 a÷ı kaynaklıdır. Bu akıú úemasından, ip detection”, RAID, pp. 203-222, Sept., 2004. [5] B. Choi, S Bhattacharyya, “Observations on Cisco Sampled Netflow”, adresini de÷iútirmiú saldırganın port tarama saldırısı ACM SIGMETRICS Performance Evaluation Review, Volume 33, Issue gerçekleútirdi÷i görülmektedir. Tespit edilen bir di÷er úüpheli 3, pp.18 – 23, 2005. trafik ise aúa÷ıdaki akıú diyagramına aittir. Web sunucusuna [6] Cisco Netflow, http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_gr yapıldı÷ı ve servis engelleme amaçlı oldu÷u açıkça belli olan oup_home.html. bu saldırı 0.0.0.0/8 a÷ kaynaklı olarak gözükmektedir. Fakat [7] S. S. Kim, A. L. N. Reddy, “Statistical Techniques for Detecting Traffic bu a÷ IANA tarafından rezerve edilmiútir ve iz eúleme yöntemi Anomalies Through Packet Header Data”, IEEE/ACM Transactions on Networking, vol.16, pp. 562-575, June 2008. tarafından saldırı tespit edilmiútir. [8] A. Lakhina, M. Crovella, C. Diot ´Characterization of Network-Wide Anomalies in Traffic Flows”, in Proc. 4th ACM SIGCOMM conference TCP 193.140.X.X:5823 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 on Internet measurement, Taormina, 2004, pp. 201-206. TCP 193.140.X.X:2678 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 [9] G. Dewaele, K. Fukuda, P. Borgnat, P. Abry, K. Cho, “Extracting TCP 193.140.X.X:35671 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 Hidden Anomalies using Sketch and NonGaussian Multiresolution TCP 193.140.X.X:12301 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 Statistical Detection Procedures“, in Proc. 2007 workshop on Large TCP 193.140.X.X:62520 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 scale attack defense, Kyoto, 2007, pp. 145-152. TCP 193.140.X.X:32299 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 [10] Matthew V. Mahoney, “Network Traffic Anomaly Detection Based on TCP 193.140.X.X:38133 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 Packet Bytes”, in Proc. ACM symposium on Applied computing, TCP 193.140.X.X:35579 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 Florida, 2003, pp. 346-350. TCP 193.140.X.X:27852 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 [11] D. Katz, R. Saluja, Three-Way Handshake for Intermediate System to TCP 193.140.X.X:56331 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 Interm, IETF RFC 3373, 2002 TCP 193.140.X.X:19893 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 [12] IPv4 Global Unicast Address Assigments, TCP 193.140.X.X:14261 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 http://iana.org/assigments/ipv4-address-space TCP 193.140.X.X:14736 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 [13] J. Z. Lei, A. Ghorbani, “Network Intrusion Detection Using an TCP 193.140.X.X:12718 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 Improved Competitive Learning Neural Network”, Communications TCP 193.140.X.X:52480 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 Networks and Services Research Conference, pp. 190 - 197,2004. TCP 193.140.X.X:58488 -> 0.39.15.0:80 ....S. 1 48 0 0 48 1 Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 155

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION [14] A. K. Ghosh , A. Schwartzbard. “A study in using neural networks for anomaly and misuse detection”, In Proceedings of USENIX Security Symposium, 1999. [15] B. C. Rhodes, J. A. Mahaffey, and J. D. Cannady, “Multiple self- organizing maps for intrusion detection”, In Proceedings of the 23rd National Information Systems Security Conference, 2000. [16] Y. Yaho, Y.Wei, F.Gao, G. Yu,”Anomaly Intrusion Detection Approach Using Hybrid MLP/CNN Neural Network”, ISDA’06, pp. 1095-1102, 2006 [17] ULAKNET, http://www.ulakbim.gov.tr/hakkimizda/tarihce/ulaknet [18] nfdump, http://nfdump.sourceforge.net [19] Perl, http://www.perl.org [20] MySQL, http://www.mysql.com [21] G. Conti, K. Abdullah, “Passive Visual Fingerprinting of Network Attack Tools”, in Proc. ACM workshop on Visualization and data mining for computer security, Washington, 2003, pp. 45-54. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 156

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Secure Homogeneous Matrix Algebra via Oblivious Polynomial Evaluation Mert ÖZARAR, Attila ÖZGİT compute some function f on these inputs where f(x1, ..., xn) = Abstract—With the increasing demand to the Internet (y1, ..., yn) such that Pi learns yi but no other information. This technologies, the number of opportunities for cooperative should hold, even if players exhibit some amount of computation gets larger, where the answer depends on the private adversarial behavior [13,14]. inputs of separate entities. The communicating parties often may For example, two or more competing large financial firms not want to disclose their secret data to the other principal while might jointly invest in a project that must satisfy all taking the advantage of collaboration, hence concentrating on the results rather than private and perhaps useless data values. organizations' goals while preserving their private and valuable Developing algorithms to conduct such computations while financial data. For performing such computations, if none of preserving the privacy of the inputs for a target case is referred to the parties can be trusted enough to know all the inputs, as Secure Multi-party Computation. In this work, secure multi- privacy will become a primary concern. Hence the techniques party dot product algorithm is designed to be used as a building for secure multi-party computation are quite relevant and block for matrix algebraic problems like calculating practical to overcome the privacy gaps. determinants, traces and eigenvalues on a shared matrix. The In this paper, we investigate how various matrix algebra cooperation of principals is in homogeneous manner and the problems could be solved in a cooperative environment, where cryptographic tool to perform such a computation is oblivious parties need to solve a computational problem based on their polynomial evaluation. Under given security assumptions like passive adversaries, the privacy validities of the algorithms are joint data, but neither wants to disclose its private data to the justified using polynomial time reduction and statistical other party. Some of the target problems in this framework are indistinguishability. as follows: Problem 1 (Dot Product): Alice has a vector (x1, ..., xn), and Keywords Index Terms—Privacy Preservation, Secure Multi-party Bob has also another vector (y1, ..., yn). They what to Computation, Matrix Algebra, Oblivious Polynomial Evaluation determine the dot product z = x1.y1 + … + xn.yn, without revealing each others vector. For the remaining problems, we have the following I. INTRODUCTION assumption: Assumption 1 (N-Party Homogenous Cooperation): There W ITH the increasing demand to the Internet technologies, the number of tremendous opportunities for cooperative computation gets larger, where the answer depends on exist N parties each having a matrix Mi. The size of Mi is mixk and the total sum of mi’s is equal to k. Let K be a square matrix the private inputs of separate entities. These computations with dimension kxk. Construct K as the horizontal could occur between trusted partners, between partially trusted concatenation of Mi’s as follows: partners, or even between competitors. The problem is trivial 0 if the context allows the conduct of these computations by a .N N 0L trusted entity that would know the inputs from all the 01 participants; however if the context disallows this then the techniques of secure multi-party computation (SMC) become Problem II (Determinant): All joint parties want to compute very relevant and can provide useful solutions. the determinant of the common matrix K. Notice that K is Multi-party computation (MPC) is an extremely general square and the determinant is well-defined. subject, and a protocol enabling general secure multi-party Problem III (Trace): All joint parties want to compute the computation is a very strong tool that can theoretically solve trace of the common matrix K to the corresponding diagonal almost any cryptographic protocol problem. In MPC, one elements found in the previous problem. considers a number of parties P1, ..., Pn who initially each Problem IV (Eigenvalue): All joint parties want to compute possess some inputs x1, ..., xn and we then want to securely the eigenvalue of the common matrix K without disclosing their private inputs to the other party. Since characteristic Manuscript received October 7, 2008. polynomial for calculating the eigenvalues is a special kind of M. Ö. is with the Department of Computer Engineering, METU, Ankara, determinant computation, the algorithm for problem II can be 06531 TURKEY (e-mail: ozarar@ceng.metu.edu.tr). A. Ö. is also with the Department of Computer Engineering, METU, suitably applicable. In section 4, the corresponding algorithms Ankara, 06531 TURKEY (e-mail: ozgit@ceng.metu.edu.tr). Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 157

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION are presented using oblivious polynomial evaluation (OPE) as transfer to one exponentiations per a logarithmic number of the cryptographic mechanism. oblivious transfers, even for the case of malicious adversaries In general, the semi-honest model seems to be the right fit [17]. Oblivious polynomial evaluation is a technique based on for our setting, where there is no realistic way to verify that the oblivious transfer and explained in the next section. parties are submitting their true graphs as private inputs. It is The SMC applications distributed in broad range areas can proven that our constructions are secure in the semi-honest be enumerated as follows: Atallah et. al. [1] proposes model. Assuming that a party correctly follows the protocol, preliminary work for solving computational geometry there is no efficient adversary that can extract more problems including scalar product, permutation, vector information from the transcript of the protocol execution than dominance, equality testing, point inclusion and intersection. is revealed by that party’s private input and the result of the In the consecutive papers of Du et. al. [4,5,6], the authors OPE algorithm. We will compose our protocols in a modular define a set of new privacy preserving cooperative scientific manner and will argue about their privacy using well-known computation problems: privacy preserving cooperative linear sequential composition theorems in the semi-honest adversary model [2]. Designing communication and round efficient system of equations problem and privacy preserving secure protocols for linear algebraic problems in the malicious cooperative linear least-square problem. They have developed model still remains an open problem. protocols to solve these problems. Du et. al. [3 ] also studies The organization of the paper is as follows: Section 2 the problem of how to conduct the statistical analysis in a discusses the related work on SMC. The privacy definitions compact environment where neither of parties wants to and formulation, different models of cooperative computation, disclose their private data. The secure two-party statistical cryptographic tools and what kinds of assumptions are used for analysis problem could be solvable in a way more efficient algorithm design are briefly explained. Section 4 gives the than the general circuit evaluation approach. OPE technique together with multi-party dot product protocol. OPE is applied to SMC problems especially under privacy Then in section 5 which is the heart of the paper gives the preserving data mining concept which is introduced in the solution to privacy preserving homomorphic matrix algebraic work of Pinkas et. al. [12]. A privacy preserving ID3 decision problems like determinant, trace and eigenvalue for multi- tree algorithm is explained intensively. In another previous party case. Finally section 6 concludes this paper and proposes work [15], secure multi-party overall mean problem is several future research directions. analyzed and solved by OPE, as well. Jha et. al. [11] also primarily gets concentrated on weighted average problem for the applications on clustering using OPE. Neural network II. RELATED WORK applications are studied using OPE methods as well like Yan- Cheng et. al. [20]. Within the context of privacy-preserving The secure multi-party computation problem starts with the data mining, Goethals et. al. [8] presents a private scalar work of [18] and [19], then extended by [9] and by many product protocol based on standard cryptographic techniques others. The first representations are through a combinatorial and proved that it is secure. circuit, and then the parties run a short protocol for every gate in the circuit. While this approach is appealing in its generality and simplicity, the generated protocols depend on the size of III. PRIVACY FORMULATION, MODELS OF the circuit. This size depends on the size of the input domain, COOPERATION, CRYPTOGRAPHIC TOOLS and on the complexity of expressing such a computation. Moreover, it involves large constant factors in their If In this section, the privacy formulation for the given complexity. Therefore, as Goldreich points out in [10], using problems is defined. The models for sharing a common matrix the solution derived by these general results for special cases are illustrated. Moreover, the oblivious polynomial evaluation of multi-party computation can be impractical; special which is used as a cryptographic tool to construct the privacy solutions should be developed for special cases for efficiency requirements is briefly explained together with the remarks on reasons. This is our motivation of seeking special solutions to assumptions for the kind of adversaries. matrix algebra problems, solutions that are more efficient than A. Privacy Formulation the general theoretical solutions. In this subsection, we provide a formulation of privacy for There are two actors in oblivious transfer protocol namely, the desired protocols. The formulation uses a semi-honest the sender and the receiver. The sender’s input is a pair (x0, adversary model. Remark that in the matrix algebraic privacy x1) and the receiver’s input is a bit {0, 1}. At the end of problems, both parties only know their input and output. the protocol the receiver learns x (and nothing else) and the Definition of privacy is based on the intuition that parties sender learns nothing. Oblivious transfer is often the most should learn nothing more from the messages used in privacy- computationally intensive operation of secure protocols, and is preserving protocol, i.e., the messages received by a party repeated many times. Each invocation of oblivious transfer during an execution of a privacy-preserving protocol can be typically requires a constant number of invocations of trapdoor “effectively computed” by only knowing its input and output. permutations (i.e. public-key operations, or exponentiations). This idea is formalized below: It is possible to reduce the amortized overhead of oblivious Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 158

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Definition 1: Let x and y be inputs of the two parties and C. Oblivious Polynomial Evaluation <f1(x, y), f2(x, y)> be the desired functionalities, i.e., the first To design a secure protocol for computing a function f(x,y) party wants to compute f1(x, y), and the second wants to allows two parties, a receiver who knows x and a sender who compute f2(x, y). Let P be a two-party protocol to compute f. knows y, to jointly compute the value of f(x, y) in a privacy The view of the first party after having participated in protocol preserving way. The fact that for every computable function P (denoted by VIEW1(x, y)) is (x, r, m1, . ., mt), where r are the f(x,y) in polynomial time there exists such a (polynomially- random bits generated by party 1 and m1, . ., mt is the sequence computable) protocol is already achieved in the cryptographic of messages received by party 1, while participating in research [13]. In the OPE, the input of the sender is a protocol P. VIEW2(x, y), for the second party can be defined polynomial P of degree k over some field F. The receiver can in a similar manner. get the value P(x) for any element x F without learning We say that P privately computes f if there are probabilistic anything else about the polynomial P and without revealing to polynomial-time algorithms (PPTA), denoted by S1 and S2 the sender any information about x. The input and output for such that the functionality of OPE as a two party protocol run between a {S1(x, f1(x, y))}x,y s {VIEW1(x, y )}x,y receiver and a sender over a field F as follows: {S2(x, f2(x, y))}x,y s {VIEW2(x, y )}x,y Input In the equation given above, s denotes statistically indistinguishable. Two probability ensembles X = {Xw}w S - Receiver: an input x F. and Y = {Yw}w S indexed by S are statistically - Sender: A polynomial P defined over F. indistinguishable if for some negligible function : [0, 1] Output and all w S, _ 3 UR E ;Z 3 UR E < Z _ _Z _ - Receiver: P(x). A function : [0, 1] is called negligible if for every - Sender: nothing. positive polynomial q, and all sufficiently large n’s, (n) < There are various protocols to solve the OPE yet the q(n)-1. There is a weaker notion of indistinguishability called protocol given by Naor and Pinkas [14] is preferred for the computationally indistinguishable. We will use statistical target algorithms. indistinguishability throughout the paper especially in subsection 4.1, but all the results hold even if the weaker notion of indistinguishability is used. IV. DOT PRODUCT PROTOCOL IN THE PRIVACY PRESERVING MANNER B. Models of Cooperation In this section, a protocol for privacy preserving two-party A common property of the problems defined is the dot product problem (DPP) is designed. A function should be combining knowledge of a matrix M and of a vector b. As taken as a target to place the terms in the OPE for developing described in Figure 1 three different ways of combining such an algorithm. First we analyze the two-party case then knowledge, with (b) and (c) being the special cases of (d). extend it to the multi-party case. However, in real life, cases (b) and (c) are more meaningful than (d) because they tend to model the ways of actual A. Two-Party DPP cooperation’s. Let f be the function for such a computation, its domain set must be n-dimensional vectors for both parties and range set must be a In the matrix algebra problems, M and b usually represent a singleton numeric value (dot product). f can be constructed as: Q Q set of linear constraints. Sometimes the cooperating parties I ) ) ) each has its own set of constraints, but sometimes they have to jointly specify each single constraint. Therefore we classify the I [ [ [ Q Q [ [ [ Q Q cooperation to two basic models, the heterogeneous model and The straight forward solution is approximating f by a circuit and the homogeneous model. On the other hand, in this work, we using [9] for constructing the protocol for the privacy preserving only get concentrated on homogeneous case for the sake of case. Yet it is well known that the cost for implementing such a simplicity. circuit is so inefficient that a new solution should be developed for the specific case. We describe the protocol in a top-down fashion. Steps are as follows: i. Define the private bilinear terms summation problem (BTS) ii. Produce a protocol for BTS using OPE. iii. Find a suitable case for BTS by placing polynomials and field elements for DPP. (Reduction from private- BTS DPP) Fig. 1. Different models of cooperative computations Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 159

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION BTS: For any finite field F, construct f as VIEW2 ( 1, …, n) =( 1, …, n,, R1( 1), … , Rn( n)) f:(F [x] x F) Æ F x F n The view of party 1 consists of its input (R1, …, Rn,) and f(P, ) = (P( ), P( )) output (R1( 1), … , Rn( n)).so there is nothing to prove (see where P Fn[x] (polynomial for party 1) and F (field definition 1, we can use S1 as the identity function). The input element of party 2). and output of party 2 are ( 1, …, n) and ( R1( 1), … , Rn( n)), respectively. It is time to determine probabilistic Protocol BTS: The construction of BTS via OPE is as polynomial-time algorithm S2 such that S2( 1, …, n,, R1( 1), follows: … , Rn( n)) and VIEW2 ( 1, …, n) are statistically (1) Party 1 “blinds” the polynomials P by multiplying indistinguishable. Let be a random element of F and S2( 1, with a pre-determined field element 1 F. …, n,, R1( 1), … , Rn( n)) be defined as follows: (2) Party 2 computes 1P( ) by OPE. ( 1, …, n,, R1( 1), … , Rn( n), ’) (3) Party 2 blinds by multiplying with 2 F and sends It is trivial to see that the following two ensembles are the product 1P( ) 2 to party 1. statistically indistinguishable: (4) Party 1 cancels out 1 by dividing from the product ( 1, …, n,, R1( 1), … , Rn( n), ’) and sends 2P( ) to party 2. ( 1, …, n,, R1( 1), … , Rn( n)) (5) Party 2 computes P( ), by dividing ( 2P( ))/ 2, and This is because if is a random element of F then Ri( i) is a sends it to party 1. random element of F as well, for i=1, …, n. The construction of private-BTS to DPP is stated by placing suitable polynomials and field elements. Private-BTS to DPP reduction: Recall that party 1 has a Theorem 1 (Two-party DPP): The protocol formed by f vector (x1, ..., xn), and party 2 has (y1, ..., yn), Since the yields a privacy-preserving protocol for two-party DPP. reduction is from BTS, the party 1 needs to construct polynomials and party 2 needs to choose field elements. The Proof: It is clear that DPP is privately reducible to BTS by polynomials for party 1 are: choosing the given numerator and the denominator and there exists a protocol for private-RPE (Lemma 2) then by Lemma Q 3 Z 5L Z 1, given protocol is privately computes two-party DPP. L 5L Z Z[ L Note that all polynomials are linear and coefficients are known B. Multi-Party DPP by party 1. P is formed as a summation of sub-polynomials Ri’s for each bilinear terms in it. On the other hand, the field In the multi-party case, the BTS protocol should be applied elements for party 2 are: (m-1) times if there are m parties are joined in. The following construction summarizes the reduction of multi-party DPP to two-party DPP. The key point about the calculation is all the coefficients of the target polynomial can be gathered from After the desired function f is constructed, the lemmas and the traversing all the parties except the last one. Hence rather than theorem in the work of [ours] can be manipulated to prove that a single blinding factor for the step(2) of BTS protocol, there reduction can be done in polynomial time and f privately exist a multiplication of blinding factors, a new one is added at computes the DPP. each iteration traversing from one to other. Two lemmas are critical for the proof that f computes the Multi-party DPP Protocol: The protocol for multi-party overall mean privately. The former belongs to Canetti et. al. DPP can be designed from two-party DPP in the following [2] and the latter is already given. way: Lemma 1 (Composition Theorem for Passive Adversary): If (1) Parties are ordered from 1 to k in a manner that g is privately reducible to f and there exists a protocol for consecutive parties are involved in two-party DPP computing f privately then there exists a protocol for computation. This can be done with a common share or coin- computing g privately. tossing into well protocol [9]. Hence the last party can be differed from previous attempts. Lemma 2 (Private-BTS): The protocol PPBTS((R1, …, Rn), (2) Between party i and i+1, 0<i<k, the two-party DPP ( 1, …, n)) is a privacy preserving protocol for private-BTS protocol works and Ri (polynomial regarding to ith feature of problem. the input vectors) can be iterated as: W Proof: The views of the two parties are 5W Z [ ML Z 5W Z 5W Z [W Z ML W L L M VIEW1 (R1, …, Rn) = (R1, …, Rn,, R1( 1), … , Rn( n)) Note that ji’s are the blinding factors. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 160

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION (3) Hence for the ith feature of the input vectors, the product in computation. Yet the multi-party dot protocol can be is computed by multiplying all ith coefficients except the last: modified in the following way to handle multi-party N determinant computation problem in the light of our first 5L Z ML [ ML Z assumption. So there are N parties which form the rectangular M kxk matrix zero-padded matrix. (4) Summing up into all dimensions (features); Q N Multi-party Determinant Protocol: The protocol for 3 Z ML [ ML Z multi-party determinant protocol where all that needs to be M M done is to calculate the product of every possible permutation (5) The field elements are determined by the last party; and then sum them up can be designed from multi-party DPP. We have two define a number of algorithms to get the notion.

Total computation is quadratic in size and at the end of the computation; the last party (i.e. party k) gets the blinded dot product together with total sample size with remaining parties.

(6) In accordance with step (3) of BTS, the blinded dot product is traversed from all party k to party 2 backwards by dividing with corresponding blinding factor. Thus, the first party gets the dot product and send to other parties. The unimportant gap of the protocol is the first party is more privileged than others yet this can be overcome by

choosing the order in a circular round-robin fashion so the order of consecutive parties are preserved but only the first party changes. The probability to be the first party is 1/k which is Pareto-optimal for such a scheme. V. HOMOGENEOUS MATRIX ALGEBRA PROTOCOLS Algorithm I. Determinant Calculation In this section, multi-party determinant, trace, eigenvalue problems are discussed, respectively. Multi-party DPP The Johnson-Trotter algorithm offers a clever way to protocol is used with specific input vectors in each of them. directly generate permutations of the required length without A. Multi-Party Determinant Protocol computing shorter permutations. The algorithm requires the In this subsection, we show how the determinant of definition of a directed integer is said to be mobile if it is an nxn matrix can be computed using the permutations of the greater than its immediate neighbor in the direction it is sequence {1 ... n} by the famous Leibnitz’s formula. looking at. The Johnson-Trotter algorithm can now be described in five Theorem 2 (Determinant of a matrix based on lines: permutations): Let A be an n x n matrix and Vi be a 1 x n matrix where for all j i, v1,j = 0 and v1,i=1. Let S(n) be the set of all permutations on the sequence {1, ...,n}with n! elements and 1(i), …, n!(i) represent each of the possible permutations of the sequence {1, ..., n} so that for all (i) S(i), there exists k such that (i) = k(i). Then; Q GHW $ VJQ N D N D Q N Q N Algorithm II. Johnson-Trotter Algorithm for Permutation Calculation Suppose that we have a kxk matrix, A, then an elementary The Algorithm I should be modified in order to handle product from this matrix will be a product of k entries from A multi-party case: and none of the entries in the product can be from the same (1) Parties are ordered from 1 to k in a manner that row or column. Thus, each permutation corresponds to a consecutive parties are involved to two-party DPP signed elementary product. Some remarks have to be done computation. This can be done with a common share or coin- since there is an analogy between dot product and determinant tossing into well protocol [9]. Hence the last party can be computations. The sign is always positive and total number of differed from previous attempts. n-tuple products is n in dot product, on the contrary in (2) Lines 2, 3 and 4 are handled by the first party. determinant; the sign is alternating with the parity of (3) The while loop should be managed in the coordination permutation and n! copies of elementary products are involved of the first party. All the permutations are calculated by the Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 161

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION result of .Johnson-Trotter Algorithm for all parties in parallel at line 8. (4) Calculation of the current permutation should be handled Algorithm III. Multi-party Trace Calculation by using multi-party DPP protocol. For each calculation while the parties are being traversed, each party includes his/her The algorithm is the reduced version of determinant term(s) exist(s) in the formation of permutation for the target protocol where parties are traversed just once with the identity elementary product in the direction of the DPP protocol. The permutation. Hence the input vectors are formed of all 1’s vectors given as input to the protocol are partially created except the diagonal element. and should have all-zero values in all the dimensions except Example II: Regarding the previous example while taking the first one which has the target term. another permutation into account 1234 = (A1B2B7C4) which (5) Lines 10-13 are handled by the first party and the yields the trace, x1 to x4 are formed and the trace value is determinant result stored in the return value is distributed to computed. the parties. [ $ [ % [ % [ & Example I: Let Alice, Bob and Cindy are involved in a WU ' $ % % & determinant computation where Alice and Cindy have single vectors yet Bob has two vectors. Each vector has 4 dimensions suitable with our Assumption 1. There are totally 4! C. Multi-Party Eigenvalue Protocol permutations that form the determinant computation. An Consider the square matrix A It is said that is an elementary product corresponding to the permutation eigenvalue of A if there exists a non-zero vector x such that Ax 3412=(A3B4B5C2) is illustrated which is the eleventh element = x. In this case, x is called an eigenvector (corresponding to in the Johnson-Trotter order. The vectors from x1 to x4 are ), and the pair ( ,x) is called an eigenpair for A. A nontrivial partially created which are given as input to multi-party DPP solution of this equation is possible if and only if the protocol. The D matrix is also used in the following examples. coefficient matrix A I is singular. Such a condition can be D D D D expressed as the vanishing of the determinant E E E E ' E E E E |A I| = 0 F F F F When this determinant is expanded, we obtain an algebraic _' _ VJQ D E E F D E E F VJQ D E E F D E E F polynomial equation in of degree n: VJQ D E E F D E E F n n 1 P( ) = + 1 + + n =0 D E E F This is known as the characteristic equation of the matrix DEE F A. The algorithm for eigenvalue computation is quite similar to determinant computation yet the terms of elementary products include indeterminate values as well. Hence, the B. Multi-Party Trace Protocol first party can compute the characteristic equation of the In linear algebra, the trace of an n-by-n square matrix A is matrix instead of exact determinant. The eigenvalues can be defined to be the sum of the elements on the main diagonal obtained solving the characteristic equation for . (the diagonal from the upper left to the lower right) of A, i.e., The vectors given as input to the protocol are partially created and should have all-zero values in all the dimensions except the first one which has the target term decremented by indeterminate. The following example summarizes the point. Example III: For the matrix D, in example I, the partially where aij represents the entry on the ith row and ith column of created vectors for the permutation 3412=(A3B4B5C2) to A. compute eigenvalues are as follows: Multi-party Trace Protocol: The idea for trace D E E F computation is based on selecting the target vectors given as D E E F an input to DPP in the form of (1, 1, ..., dii, …, 1, 1) where dii is the diagonal element which corresponds to the identity . permutation. VI. CONCLUSION AND FUTURE WORK

In this paper, the application of the oblivious polynomial evaluation technique to secure multiparty computation

problems is shown via presenting privacy preserving algorithm

for dot product and matrix algebra problems. To form a basis, the two-party case and generalized multi-party version of Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 162

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION private dot product protocol are also presented to be used as a [5] Du W. and Atallah M. J.. Secure Multi-Party Computation Problems and their Applications: Review and Open Problems. In New Security component of matrix algebraic protocols. Namely, a group of Paradigms Workshop (2001), 11-20. people may form a homogeneous matrix and can compute the [6] Du W. and Atallah M. J.. A Practical Approach to Solve Secure Multi- determinant, trace and eigenvalues of the matrix without party Computation Problems. In New Security Paradigms Workshop grasping each others input yet just concentrated on the results. (2002), 127-135. The related validity and security proofs are already made out. [7] Duda R.O., Hart P.E. and Stork D.G.. Pattern Classification. John Wiley & Sons, (2001). Two crucial points should be noted out which can cause a [8] Goethals B., Laur S., Lipmaa H. and Mielikäinen T. On Private Scalar trade-off between computational complexity and security Product Computation for Privacy-Preserving Data Mining. The 7th aspects. The former is, unfortunately, the private determinant Annual International Conference in Information Security and and private eigenvalue algorithms have complexity O(n!) since Cryptology (ICISC 2004), volume 3506 of Lecture Notes in Computer Science, 104-120. there exist a traversal of all possible permutations. On the [9] Goldreich O., Micali S. and Wigderson A.. How to play any mental other hand, trace algorithm is polynomial. It can be overcome game - a completeness theorem for protocols with honest majority. In by revealing a number of intermediate terms which can cause a 19th Symposium on Theory of Computer Science, (1987), 218–229. number of security gaps or altering the algorithm from all [10] Goldreich O.. Foundations of Cryptography: Volume 2, Basic Applications. Cambridge University Press, (2004). permutations to Gaussian elimination. Even though complexity [11] Jha S., Kruger L. and McDaniel P.. Privacy Preserving Clustering. 10th can be decreased to O(n3) yet the cooperative computation of European Symposium on Research in Computer Security (ESORICS), course gets enormously larger in such a case. Since the proof Milan, (2005). of security is quite more important for our goal, O(n!) is quite [12] Lindell Y. and Pinkas B.. Privacy preserving data mining. In Advances in Cryptology (Crypto 2000), 36–54. affordable unless there is a breach in privacy. The latter is, the [13] Naor M. and Pinkas B.. Oblivious transfer and polynomial evaluation. algorithms are valid if and only if all the parties are at most In 31st Symposium on Theory of Computer Science, (1999) 245–254 honest but curious. If one of them may turn out to active [14] Naor M. and Pinkas B.. Computationally Secure Oblivious Transfer. adversary then all the algorithms can fail. It is an open Journal of Cryptology, Vol. 18, No. 1, 2005 [15] Özarar M. and Özgit A.. Secure Multiparty Overall Mean Computation problem to find out a solution to matrix algebraic via Oblivious Polynomial Evaluation, Security of Information and computations in totally dishonest model. There are some Networks, Proc. First International Conference on Security of empirical related works on the subject but it is too far away Information and Networks (SIN 2007), Gazimagusa, TRNC, May 2007, from realization. 84-95. [16] Paillier P.. Public-key cryptosystems based on composite degree In our future directions, we have to adapt the private-DPP residuosity classes. In Proceedings of Advances in Cryptology and private matrix algebraic problems to a specific case, (EUROCRYPT’99). especially in data mining or machine learning. Principal [17] Pinkas B.. Cryptographic Techniques for Privacy-Preserving Data Component Analysis [7] is chosen as a test bed which suits to Mining SIGKDD Explorations, the newsletter of the ACM Special the problem well since the mean, the determinant and Interest Group on Knowledge Discovery and Data Mining, (2003). [18] Rabin M.. How to exchange secrets by oblivious transfer. Technical eigenvalue computations are done before forming the Report Tech. Memo TR-81, Aiken Computation Laboratory, 1981. covariance matrix. The controlled experiments can guide us to [19] Yao A.C.. How to generate and exchange secrets. In 27th IEEE justify that the protocol works without trouble. Symposium on Foundations of Computer Science, (1986). Besides, as an alternative approach, the homomorphic [20] Yan-Cheng Chang and Chi-Jen Lu.. Oblivious polynomial evaluation and oblivious neural learning. In ASIACRYPT, volume 2248 of LNCS, encryption schemes (HES) can be designed to solve the given pages 369–384. Springer, 2001. problems. The scheme developed by Paillier [16] can be considered to be the alternatives for such a mechanism. A Mert Özarar is a senior Ph.D. student in Department of Computer testing environment for the comparison of the performance Engineering at Middle East Technical University (METU). His research focuses on using algorithmic techniques from cryptography and secure analysis between OPE and HES determines the efficient multiparty computation to design and model secure protocols for data algorithm under given security assumptions exchange and networking. His primary academic interests are cryptography, security, algorithms, and machine learning. Other academic interests include ACKNOWLEDGMENT complexity theory, pattern recognition and game theory. In 2004, he opted to join a startup company, TÜRKTRUST Inc. which is one of the leading Our thanks to all cryptography group members of Institute certification authorities and IT-Security firms in Turkey. of Applied Mathematics, Middle East Technical University He obtained his Master's degrees in Computer Engineering, in 2003 as valedictorian and in Cryptography, in 2004 both from METU. As an who encourage us to work on a heavily cryptographic subject. undergraduate, he attended METU as well where he obtained degrees in Computer Engineering and Mathematics in the double major program. In the REFERENCES past, he has worked for IBM, ZIB, TU-Darmstadt and METU. [1] Atallah M. J. and Du W.. Secure Multi-Party Computational Geometry. Attila Özgit is a faculty member in Department of Computer Engineering at In Proceedings of 7th International Workshop on Algorithms and Data Middle East Technical University (METU). His research focuses on data Structures (WADS 2001), 165-179. security, operating systems and computer networks. Other academic interests [2] Canetti. R.. Security and Composition of Multi-party Cryptographic include computer architecture and cryptography. Protocols. Journal of Cryptology, (2000) 13(1):143–202. [3] Du W. and Atallah M. J.. Privacy-Preserving Cooperative Statistical Analysis. In Annual Computer Security Applications Conference ACSAC) (2001) 102–110. [4] Du W. and Atallah M. J.. Privacy-Preserving Cooperative Scientific Computations. In 14th IEEE Computer Security Foundations Workshop, (2001), 273-282. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 163

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Survey on Transformation Based Algorithms in Digital Image Watermarking Ersin ELBAŞI Abstract—Digital watermarking has received increasing a watermark: spatial domain and transform domain (e.g., attention in recent years. Distribution of movies, music, and DCT, DFT, or DWT). In the spatial domain, the images is now faster and easier via computer technology, watermark is embedded by modifying the pixel values in especially on the Internet. Hence, the content owners (e.g., the original image. Transform domain watermarking is movie studios and recording companies) are concerned about illegal copying of their content. Watermarking is a similar to spatial domain watermarking; in this case, the pattern of bits (logo or noise) inserted into a digital image, coefficients are modified. Both methods have advantages video, text or audio which identifies the copyright and disadvantages: One disadvantage of spatial domain information [11]. This survey paper defines watermarking watermarking is that the cropping attack might remove technique in digital images and explains main frequency the watermark [11]. based algorithms. There are several criteria to classify watermarking Keywords—Watermarking, Transformation, DCT, techniques. Table1.1 shows some fundamental categories DFT, DWT, Embedding, Detection [2]. I. INTRODUCTION Criteria Types Watermarking and cryptography are two standard multimedia security methods. However, cryptography is Based on Type Image, Video, Audio, Text not an effective method because it does not provide permanent protection for the multimedia content after Human Perception Visible, Invisible delivery. The contents of the documents are protected from stealing and manipulation during the delivery, but after decryption there is no protection for the documents Working Domain Spatial Domain, Frequency Domain [11]. Pseudo Random Number Watermark Type (PRN) sequence, Visual Watermark The most important properties of a watermarking system are robustness, invisibility, data capacity, and Information Type Non-Blind, Semi-Blind, Blind security. An embedded watermark should not introduce a significant degree of distortion in the cover multimedia element. Robustness is the resistance of the watermark Table 1: Categories of watermarking techniques against normal A/V processes or intentional attacks. Data capacity refers to the amount of data that can be embedded without affecting perceptual transparency. Video watermarking is still an open research area because of a number of challenging problems: The security of a watermark can be defined to be the embedding large amount of data, redundancy between ability to thwart hostile attacks such as unauthorized frames, and robustness against temporal attacks (e.g., removal, unauthorized embedding, and unauthorized frame averaging, frame dropping, and frame swapping) detection. There are basically two approaches to embed [3]. There are several application areas that range from copy protection to broadcast communication [12]. Film Manuscript received October 30, 2008. and music makers, TV stations, and courts are very much Ersin ElbaúÕ is with The Scientific and Technological Research Council interested in using digital watermarking and cryptography of Turkey, Ankara (corresponding author to provide phone 312 468 as two complementary technologies. Table 2 shows the 5300-1124, e-mail: ersin.elbasi@tubitak.gov.tr) main application fields of multimedia watermarking. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 164

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION algorithm provides extra robustness against intentional Applications Purpose and distortions. Proposed algorithm is as follows: Copy Control Prevent unauthorized copying Embedding: Identify the video item being 1.Compute NxN. DCT of the image I. Broadcast Monitoring broadcasting 2.Reorder the DCT coefficients into zig-zag scan. Fingerprinting Trace back a malicious user 3.Generate the vector T by selecting the first L+M coefficients: T={t1,t2,…tL,….tL+M}. Insure that the original content 4.Skip the lowest L coefficients and embed the watermark Authentication not changed X={x1,x2,…,xM} in the last M numbers, to obtain Copyright protection Prove ownership T’={t1,t2,…,tL,t’L+1,…t’L+M}. 5.t’L+I=tL+i + .|tL+i|.Xi Table 2: Watermarking Application Areas Detection: 1.Apply the NxN DCT to the corrupted image I*. II. WATERMARKING METHODS 2.Generate the vector T* by selecting the coefficients There are three major watermarking schemes in from (L+1)th to the (L+M)th: T*={t*L+1,t*L+2,…t*L+M} multimedia. The first is spatial domain watermarking, 3.Compute the correlation Z between the DCT which basically embeds a visible logo or a PRN sequence coefficients marked with a codemark X and a possibly directly to selected pixels in the host image. The second is different mark Y: transform domain watermarking such as DCT, DWT or Y .T * 1 M DFT. The third is only for audio or video files, that is z M ¦ y i t L i * M i1 compressed domain watermarking. A video watermarking 4.Compose it to the threshold scheme usually should satisfy some requirements such as D M transparency, robustness, (blind) oblivious detection, free- Sz 3M ¦| t * i | from deadlock problem, public key detection, and so on. i 1 However, all the current watermarking methods only Experimental results demonstrated that the watermark satisfy part of the requirements. For example, some algorithm is robust to several signal processing techniques methods are really robust (oblivious) but they are non- and geometric distortions. oblivious (not robust enough). Dugad et al. [7] proposed wavelet based scheme for Cox et al. [5] proposed secure spread spectrum watermarking images. Algorithms is as follows: watermarking algorithm. This algorithm uses the Discrete Cosine Transformation in gray scale image. Proposed Embedding: algorithm is as follows: 1.Compute the NxN DWT of an NxN gray scale image I. 2.Exclude the low pass DWT coefficients. Embedding: 3.Embed the watermark into the DWT coefficients > T1: 1.Compute the NxN DCT of an NxN gray scale cover T = {ti}, t’i = ti + |ti|xi, where i runs over all DWT image I. coefficients > T1. 2.Embed a sequence of real values X=x1,x2,…..xn 4.Replace T = {ti} with T’ = {t’i} in the DWT domain. according to N(0,1), into the n largest magnitude DCT 5.Compute the inverse DWT to obtain the watermarked coefficients, excluding the DC component. image I’. 3.Vi’=Vi(1+ Xi), i=1,2,…,n 4.Compute the inverse DCT to obtain the watermarked Detection: cover image I’. 1.Compute the DWT of the watermarked and possibly attacked image I*. Detection: 2.Exclude the low pass DWT coefficients. 1.Compute the DCT of the watermarked (and possibly 3.Select all the DWT coefficients higher than T2. attacked) cover image I*. ¦y t 1 * 2.Extract the watermark X*: Xi*=(Vi*-Vi)/ Vi i=1,…n. 4.Compute the sum z = i i , where i runs over all M 3.Evaluate the similarity of X* and X using. i 1 X .X * DWT coefficients > T2, yi represents either the real Sim( X , X *) ( X * . X *)1 / 2 watermark or a fake watermark, ti* represents the 4.If Sim(X,X*) > T, a given threshold, the watermark watermarked and possibly attacked DCT coefficients. exist. D Piva et al. [6] presented DCT based watermark recovering 5.Choose a predefined threshold Tz = 2M ¦| t i 1 * i |. without resorting to the uncorrupted original image. This Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 165

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION 6.If z exceeds Tz, the conclusion is the watermark is Kusyk et al. [9] proposed a semi-blind logo watermarking present. for color images in the DFT domain. The proposed algorithm is as follows: Caldelli et al. [13] proposed geometric invariant in DFT frequency domain. Algorithm works as follows: Embedding: Embedding: 1.Compute the DFT of the NxN cover image. 1.Take the luminance layer of an YUV image. 2.Move the origin to the center. 2.Compute the Discrete Fourier Transform (DFT). 3.Obtain the magnitudes of DFT coefficients. 3.Select the magnitudes of some DFT coefficients 4.Divide the NxN matrix of magnitudes into four according to a secret key. (N/2)x(N/2) matrices Mul, Mur, Mll, Mlr. ul: upper left, 4.Modify the magnitudes in such a way to create a local ur:upper right, ll: lower left, lr: lower right. peak. 5.Define three frequency bands: low, middle, and high. 5.Compute the average and the standard deviation over a 6.Embed a visual binary watermark in these three bands window centered on the point to be changed. by determining the embedding locations. 6.The magnitude of the center coefficient will have a 7.In each band: value equal to the local average plus n-times (n = 4,5) the a.Choose a magnitude a in matrix Mul, and the standard deviation. corresponding magnitude b in matrix Mur. 7.The peaks are arranged in quadruplets, with pixels b.Compute the mean m = (a+b)/2, and choose the belonging to the same quadruplet being collinear. value of the parameter p. 8.Moreover these spikes are posed in such a way that c.Embedding bit 1: If a < m-(p/2*m) then do not quadruplets are concatenated to form a chain. modify a and b else a=m-(p/2*m) and b=m+(p/2*m) 9.Concatenation is achieved by letting the final peak in d.Embedding bit 0: If a > m+(p/2*m) then do not each quadruplet to be the initial peak of the subsequent modify a and b else a=m+(p/2*m) and b=m-(p/2*m) quadruplet of the chain. 8.Copy the modified magnitudes in matrix Mul to matrix 10.The peaks form a constellation that represents the Mlr. watermark and the template. 9.Copy the modified magnitudes in matrix Mur to matrix 11.A very general geometric invariant (the Cross-Ratio of Mll. four collinear points-CR) is adopted to be resistant against 10.Obtain the DFT coefficients of the entire image using complex geometrical attacks. the modified magnitudes. 11.Compute the inverse DFT. Detection: 1.Take the luminance layer of the watermarked YUV Detection: image. 1.Compute the DFT of the NxN watermarked (and 2.Compute the Discrete Fourier Transform (DFT). possibly attacked) image. 3.Identify all the local maxima through an exhaustive 2.Move the origin to the center. search. 3.Obtain the magnitudes of DFT coefficients. 4.If the central coefficient, within a window whose size is 4.Divide the NxN matrix of magnitudes into four (N/2) x equal or smaller than that adopted in the embedding step, (N/2) matrices Mul, Mur, Mll, Mlr. is the maximum in the window, this is assumed to be a 5.Use the three frequency bands and the embedding peak. locations defined in the embedding process: low, middle, 5.The spikes located in very low and in very high and high. frequencies are not considered. 6.In each band, if a > b then bit = 0 else bit = 1. 6.The watermark is embedded in middle frequency range. 7.For an image of size 256x256 about 400 points are generally recovered. Ganic et al. [10] proposed DWT-SVD based 8.This is quite a large number and the watermark is watermarking algorithm. Embedding and extraction always well-hidden. algorithms are as follows: 9.If an attacker wants to destroy the watermark, he should modify or delete all these coefficients, resulting in a big loss of image quality. Embedding: 10.The next step is to check all the existing quadruplets of 1.Using DWT, decompose the cover image into four four collinear points, to compute their Cross Ratios and subbands: LL, LH, HL, and HH. compare them with those characterizing the watermark. 2.Apply SVD to each subband image: A k U a 6 k VakT k a 11.If the secret key in known, it is possible to determine which are the correct values of Cross Ratios and which is 3.Apply SVD to the visual watermark: W U W 6 W VW T the exact concatenation order among those selected. 4.Modify the singular values in each subband: O*k i O D k O wi , i=1,…,n k i Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 166

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION 5.Construct the watermarked image: A *k U a 6 *k VakT k a ¦ s * (m, n).s(m, n) m,n S Extraction: ¦ (s * (m, n)) m,n 2 1.Decompose the watermarked cover image into four subbands: LL, HL, LH, and HH. 2.Apply SVD to each subband image: III. ATTACKS ON WATERMARKED IMAGE A*k U a 6 *k VakT k a A watermark should be robust against attacks. We can 3.Extract the singular values from each subband: classify attacks in several ways. Direct or indirect attacks: Ok wi (O*k Oik ) / D k , i 1,..., n i 1. Direct attacks attempt to remove, obscure, or render the watermarks undetectable in the content. 4.Construct the four visual watermarks using the singular 2. Indirect attacks leave the watermark undamaged, but vectors: Wk U W 6 W VW k T seek to undermine the validity of the scheme that uses the watermark as its basis. Chae et al. [14] proposed robust embedding in wavelet coefficients. Algorithm is as follows: Another attack classification scheme is based on the attack type: Geometric attacks and statistical attacks: 1.Decompose by one level the host and signature images 1. Common signal processing: The watermark should be using the DHWT. This results in four bands, which are detected after signal processing attacks such as digital-to- usually referred to as the LL, LH, HL and HH bands. analog, analog-to-digital conversion, resampling, gaussian 2.Each signature image coefficient is expanded into 2x2 noise, histogram equalization, etc. block as follow: 2. Common geometric distortions: Rotation, resizing, 3.Each coefficient value is linearly scaled to a 24 bit cropping and scaling are the most common attacks in this representation. class. 4.Let A, B, C represent, respectively, the most significant byte, the middle byte, and the least significant byte in a 24 bit representation. Three 24- bit numbers, A’,B’,C’, are IV. EVALUATION IN WATERMARKING generated with their most significant bytes set to A, B and Measurement of image and video quality is a C, respectively, and with their two least significant bytes challenging problem in many applications from lossy set to zero. compression to printing attacks. The quality measures can 5.The host image coefficients are also linearly scaled be classified into two groups: subjective and objective. within each band to a 24 bit representation. The minimum There are a number of objective measures. We mention and maximum values in each band will be used in the some of these measures [107]. inverse transformation below. 6.The scaled host image coefficients are now added to the The Mean Square Error (MSE): MSE is an old, proven expanded signature transform to form a new fused measure of control and quality the MSE is defined as transform. Let h(m,n) be the (m,n)th wavelet coefficient follows: of the host image, and let s(m,n) be the (m,n)th signature coefficient after forming the expanded blocks as described in the above. Note that after expansion each of MSE ¦ ( f (i, j ) F (i, j )) 2 , the bands in the signature wavelet transform is of the N2 same dimension as the host image bands. The fused (m,n)th coefficient is the computed as: where f (i,j) is the original image that contains NxN pixels, and F (i, j) is the watermarked image. w(m, n) D .h(m, n) s (m, n) The Peak-signal-to Noise Ratio (PSNR): The PSNR is most commonly used as a measure of quality of 7.Where the scale factor determines the relative reconstruction in image watermarking. It is a ratio percentage of the host and signature image components in between the maximum value of a signal and the the new image. magnitude of background noise. It is most easily defined 8.The fused transform coefficients in each band are scaled via the mean squared error. back to the levels of the host image transform coefficients § 255 · , using the minimum and maximum coefficient values in PSNR 20 u log 10 ¨ ¸ © RMSE ¹ step 3. 9.An inverse transform is now computed to give the watermarked image. where RMSE is the square root of MSE. 10.In detection following similarity formula used: Measure of Singular Value Decomposition (M-SVD): M- SVD is a new measure which expresses the quality of Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 167

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION watermarked images. It is based on the Singular Value REFERENCES Decomposition (SVD). M-SVD is a bivariate measure [1] E. Elbasi, A. M. Eskicioglu, “A DWT-Based Robust Semi- Blind Image Watermarking Algorithm Using Two Bands”, that computes the distance between the singular values of IS&T/SPIE’s 18th Annual Symposium on Electronic Imaging, the original image and watermarked image blocks. Security, Steganography, and Watermarking of Multimedia ª n º Contents VIII Conference, San Jose, CA, January 15–19, 2006. Di SQRT «¦ ( si s 'i ) 2 » , [2] P. Tao and A. M. Eskicioglu, “A Robust Multiple ¬i 1 ¼ Watermarking Scheme in the DWT Domain,” Optics East 2004 Symposium, Internet Multimedia Management Systems V where si are the singular values of the original block, si Conference, Philadelphia, PA, October 25-28, 2004, pp. 133- are the singular values of the distorted block, and n is the 144. block size. If the image size is k, we have (k/n) x (k/n) [3] P. Chan, M. R. Lyu and R. T. Chin, "Copyright Protection on the Web: A Hybrid Digital Video Watermarking Scheme,” blocks. Proceedings 13th International World Wide Web Conference, The numerical measure is derived from the graphical New York, May 17-22, 2004, pp.354-355. measure. It computes the global error expressed as a [4] C. Hsu, J. Wu, “DCT-Based Watermarking for Video”, IEEE Transaction on Consumer Electronics, Vol. 44, No. 1, February single numerical value depending on the distortion type: 1998, pp. 206-216 [5] I. J. Cox, J. Kilian, T. Leighton and T. Shamoon, “Secure Spread Spectrum Watermarking for Multimedia,” IEEE ( k / n )u( k / n ) ¦ (| D Transactions on Image Processing, 6(12), December 1997, i Dmid |) pp.1673-1687. M SVD i 1 , [6] A. Piva, M. Barni, F. Bartolini, V. Cappellini, “DCT-based ( k / n) u ( k / n) Watermark Recovering without Resorting to the Uncorrupted Original Image,” Proceedings of International Conference on Image Processing, Washington, DC, October 26 - 29, 1997, pp. where Dmid represents the mid point of the sorted D i’s, k 26-29. is the image size, and n is the block size. [7] R. Dugad, K. Ratakonda and N. Ahuja, “A New Wavelet-Based Scheme for Watermarking Images,” Proceedings of 1998 Similarity Ratio (SR): Defined by SR = S/(S+D), where S International Conference on Image Processing (ICIP 1998), Vol. 2, Chicago, IL, October 4-7, 1998, pp. 419-423. denotes the number of matching pixel values in compared [8] W. Zhu, Z. Xiong and Y.-Q. Zhang, “Multiresolution images, and D denotes the number of different pixel Watermarking for Images and Video,” IEEE Transactions on values in compared images. The Similarity Ratio is used Circuits and Systems for Video Technology, 9(4), June 1999, in evaluation of non-blind watermark extraction. pp. 545-550. [9] J. Kusyk and A. M. Eskicioglu, “A Semi-blind Logo Watermarking Scheme for Color Images by Comparison and Modification by Comparison and Modification of DFT V. CONCLUSION Coefficients Optics East 2005, Multimedia Systems and Applications VIII Conference, Boston, MA, October 23-26, Digital watermarking has received increasing 2005. attention in recent years. Distribution of movies, music, [10] E.Ganic, A.M. Eskicioglu, “Robust DWT-SVD domain image and images is now faster and easier via computer watermarking: embedding data in all frequencies”, International Multimedia Conference, Proceedings of the 2004 workshop on technology, especially on the Internet. Hence, the content Multimedia and security table of contents, Magdeburg, owners (e.g., movie studios and recording companies) are Germany. concerned about illegal copying of their content. [11] Ersin Elbasi, “Multimedia Security: Digital Image and Video Watermarking and cryptography are two standard Watermarking”, Doctorate Thesis, 2007, The City University of New York. multimedia security methods. However, cryptography is [12] G. Doerr, J. Dugelay, “A Guide Tour of Video Watermarking”, not an effective method because it does not provide Signal Processing: Image Communication 18 (2003), pp. 263- permanent protection for the multimedia content after 282. delivery to consumers. The most important properties of a [13] R. Caldelli, M. Barni, F. Bartolini, A. Piva: Geometric-Invariant Robust Watermarking through Constellation Matching in the watermarking system: Frequency Domain. ICIP 2000. [14] J. J. Chae, B. S. Manjunath, “A Robust Embedded Data from x Robustness Wavelet Coefficients”, SPIE International Conference on Storage and Retrieval for Image and Video Databases VI,1998. x Invisibility x Data capacity x Security There are several issues in video watermarking that makes processing difficult. Such as: x Large amount of frames x Similarity between frames x Temporal attacks (frame dropping, frame averaging, frame swapping etc.) Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 168

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Encryption with First Order Splines Alla LEVINA, Yuri DEMJANOVICH Abstract—The aim of this paper is to construct new cryptog- Let us suppose that a sequence is raphy algorithm. Proposed algorithm bases on wavelet decom- a plaintext; here quantity of elements which are ciphered, positions for the spaces of first order splines. The algorithm is is the ordered set. simple in practice and analysis; processes of enciphering and deciphering have explicit mathematical structures. On each round one node with the number is taken out from the mesh, where is number of the round. Process of Keywords Index Terms—First order splines, mesh, formulas of decom- enciphering based on formulas of decomposition from wavelet position and reconstruction from wavelet theory. theory; as a result we get sequence , and after rounds we obtain the ciphertext. On deciphering the plaintext I. I NTRODUCTION restores with the help of formulas of reconstruction from wavelet theory. Well-known piecewise linear continuous functions (first order splines) had been used in mathematics since Euler. Spline theory had been developed in the middle of the XXth III. P ROCESS OF ENCIPHERING century. The term spline were introduced in mathematics by Let us describe in more details process of enciphering. In Isaac Schoenberg (1946). Splines were the tool of theoretical the process of encryption rounds are made. On first round investigations till 1960. Since 1960 splines had become also we get plaintext , and also we know key the tool for computer simulations of different situations in For the convenience of record of formulas we shall consider science, engineering and techniques. nonnegative integers , . Proposed paper discusses an application of splines to con- The first round: struction of cryptography algorithms. Using of splines and 1) Let eject node from primary mesh . their wavelet decompositions lead to rather wide variety of the 2) Received mesh defines as its nodes will be equal: keys defined by mesh, order of ejection of nodes and number of rounds. The offered algorithms can be also applied to the if (1) key transfer. At present research on using wavelet decomposition of splines of second, third and upper order continues, if (2) algorithm based on wavelet decomposition of splines of second The node will be defined as degree is presented in work [1, 2]. 3) Let us write down and count formulas of decomposition The paper is organized as follows, in section II basic for splines of first degree: concepts of algorithm are presented, sections III and IV presents processes of enciphering and deciphering, and section if (3) V demonstrates the work of the discussed algorithm in the case if (4) of the block size equal to 256 bits. II. BASIC CONCEPTS (5) Presented algorithm is relative to class of block ciphers, process of enciphering and deciphering consists of identical 4) At the end we make a shift of sequence as follows: rounds. We discuss mesh as the ordered set of real numbers such that : Formulas (3)-(6) are written down using the nota- Let be a key; here is a mesh, is an tion of a new mesh On first round sequences order of ejection of nodes from the mesh and is number of and have been got. round. All rounds except -th round go by analogy with the first, Let us suppose that the mesh is periodic with the period we take out from the mesh node with number and so count formulas of decomposition for splines of the first degree. The order of nodes that will be removed from the mesh K-th round: is where is the number of round of enciphering; on each round only one node is removed from 1) By analogy with previous rounds we have: the mesh and is the number of casually chosen node if (6) St. Petersburg State University, Math and Mechanics department, Russia. Email: alla levina239@yahoo.com if (7) Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 169

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION V. D EMONSTRATION OF THE WORK OF ALGORITHM (8) Presented algorithm is a parametrized algorithm in that it On th round shift is not made. Sequence can operate on block sizes of 128, 192, 256 or 512 bits. Now and have been received. will be presented the work of the algorithm with the block As a result after rounds we have got two sequences size of 256 bits. If block size equal to 32 bytes then 30 rounds are specified and we will have 33 nodes in the mesh. Sequence is the ci- A plaintext is a sequence and key is phertext. where IV. P ROCESS OF DECIPHERING Elements of plaintext held in the matrix . Process of decryption goes by analogy with process of Number of columns — , and 4 rows. For encryption, the same key and formulas of reconstruction block equal 32 bytes will be 4x8 matrix. are used. We know number of rounds so the sequence can be divided in two sequences: We know the primary mesh and the order of nodes removal so we can receive meshes as it has been described in process of enciphering. On each round we are taking out from the mesh only one node with the number where is the number Nodes of primary mesh held in matrix : of round, and we are receiving mesh For deciphering we need the reverse order, i.e. on first round we need the mesh on second and on th — - bytes. The first round: Process of the encrypting. 1) We take the mesh Process of encrypting consists of four operation: 2) We write down and count formulas of reconstruction for – Getting of mesh, which will be using on this round. the splines of first degree: – Getting of new elements. if (9) – Shift of the elements. – Creating of matrix if (10) On each round number of elements in matrix will be decrease on one element, for staying matrix four-by- (11) eight matrix, we will add 0 on each round, as it will be presented below. 3) We make a shift as follows: Also on each round we will get element and we will put it in the matrix , matrix is also four-by-eight matrix. In the beginning We have got the sequence K-th round: 1) We take the mesh , 2) (12) (13) Elements we will put in the matrix from the position div N, mod N , numeration (14) of rows and columns in starts from 0,0 . Shift is not made on th round. On first round we get matrix mesh and number of node Thus, after rounds the initial text has been restored. Process of enciphering on th round: Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 170

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION 1) We get mesh : 2) We calculate In new designations: 2) We get matrix 3) Shift is not made. 4) We calculate and put in the matrix element 3) Shift of the elements: Ciphertext is Let us write matrix in new designations: Process of the decripting. 4) We count and put down in the matrix element We have the matrix and the key so we know the number of rounds we know block length If we know the block length we can get from the matrix matrix and th round: 1) We get mesh : We know the primary mesh so we can count and put it in the matrix Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 171

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION matrix is -by- , in this case 32-by-30 Count: where Process of dechiphering consists of two operations: Let us write matrix : – Counting of elements. – Shift of the elements. Process of deciphering on -th round: 1) We take elements of th column of the matrix Let us write elements of matrix in new designations: Count: 2) Shift is not made on last round. The plaintext has been restored. VI. C ONCLUSION Let us write : The offered algorithm is well protected against attacks, process of enciphering and deciphering ﬂows quickly. Also one of the advantages of the given algorithm is that it can be used both as block and as a stream algorithm. In the future it is planned to analyze the application of this cryptoalgorithm in different areas. 2) Let make a shift of : ACKNOWLEDGMENT This work was supported (partly) with RFFI grants 07-01- 00269 and 07-01-00451. R EFERENCES [1] Demjanovish Y. K., Levina A. B. On wavelet decomposition of linear spaces over arbitary ﬁeld and some applications Mathematical modeling 2008 T. 20 (on russian) [2] Demjanovish Y. K., Levina A. B. Wavelet decomposition and decoding St. Petersburg, Methods of calculations 22. Spb: St. Petersburg University, 2008. p. 56-64 (on russian) Let us write it in new designations: [3] Demjanovish Y. K., Minmal splines and splaches Vestnic of StPetersburg University . Number 1. 2008, 2 p. 8-22 (on russian) [4] Demjanovish Y. K., Makarov A. A. Kalibrovochnye parities for nonpoli- nomial splines St.Petersburg, problems of mathematical analyze 34, 2006 p. 29-54 (on russian) [5] Demjanovish Y. K., Splaches and minimal splines St. Petersburg, 2003. p. 200. (on russian) th round: 1) From the matrix we are taking 1-th row Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 172

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION SEA Şifreleme Algoritması Kullanarak Güvenli Kablosuz Algılayıcı Ağ Haberleşmesinin Gerçekleştirilmesi Cüneyt BAYILMIŞ, Murat ÇAKIROĞLU çözümlerinin KAA’larda do÷rudan kullanÕlmasÕnÕ Özet— Kablosuz AlgÕlayÕcÕ A÷ (KAA)’larÕn sÕnÕrlÕ kaynaklara güçleútirmektedir. ECC, RSA, AES, T-DES, RC5 gibi popüler sahip olmasÕ ve herkese açÕk olan kablosuz iletiúim ortamÕ úifreleme algoritmalarÕnÕn gerektirdi÷i iúlem yükünün oldukça üzerinden haberleúmesi etkin güvenlik çözümlerinin fazla olmasÕ, bu algoritmalarÕn saklama ve iúlem yapma geliútirilmesini zorlaútÕrmaktadÕr. Güvenilir iletiúimin en önemli gereksinimi olan úifreleme/úifre çözme prosedürlerinin genellikle kabiliyeti sÕnÕrlÕ olan kablosuz algÕlayÕcÕ dü÷ümleri üzerinde çok karmaúÕk ve iúlem yükünün oldukça fazla olmasÕ popüler gerçeklenmesini zorlaútÕrmaktadÕr. AyrÕca kullanÕlan úifreleme úifreleme algoritmalarÕnÕn KAA’larda kullanÕlabilirli÷ini algoritmasÕnÕn dü÷ümlerin iúlem yükünün ve iletilen paket güçleútirmektedir. Bu sebeple KAA’larda kullanÕlan úifreleme boyutlarÕnÕn artmasÕna yol açmasÕ beraberinde enerji algoritmalarÕndan mümkün olan en az iúlem yükü ile en uygun tüketimlerinin de önemli ölçüde artmasÕna ve dü÷ümlerin güvenlik seviyesini sa÷lamasÕ beklenmektedir. Bu çalÕúmada, yaúam sürelerinin azalmasÕna neden olmaktadÕr. Bu sebeple blok tabanlÕ yeni bir úifreleme algoritmasÕ olan Ölçeklenebilir ùifreleme AlgoritmasÕ (Scalable Encryption Algorithm, SEA) KAA’larda kullanÕlan úifreleme algoritmalarÕndan mümkün kullanÕlarak KAA’larda güvenli iletiúimin gerçekleútirilmesi olan en az iúlem yüküyle istenilen güvenlik gereksinimlerini amaçlanmaktadÕr. MICAz dü÷ümleri üzerinde gerçeklemesi karúÕlamasÕ beklenmektedir. SÕnÕrlÕ komut setine ve iúlem yapÕlan SEA algoritmasÕnÕn baúarÕmÕ bellek gereksinimi, çalÕúma yapma kabiliyetine sahip iúlemciler için geliútirilmiú, basit zamanÕ, güvenlik ve esneklik kriterleri açÕsÕndan ele alÕnmakta ve úifreleme rutinleri içeren fakat do÷rusal/farksal kriptanaliz elde edilen sonuçlar Skipjack algoritmasÕ ile tekniklerine karúÕ dayanÕklÕ olan SEA (Scalable Encryption karúÕlaútÕrÕlmaktadÕr. Algorithm-Ölçeklenebilir ùifreleme AlgoritmasÕ) úifreleme Anahtar Kelimeler—Kablosuz AlgÕlayÕcÕ A÷lar, Güvenlik, SEA algoritmasÕ [6-7], bu özellikleri sebebiyle KAA’larÕn güvenlik gereksinimlerini karúÕlayabilecek niteliktedir. I. GøRøù Bu çalÕúmada, KAA’larÕn düúük maliyetli olarak güvenli haberleúme ihtiyaçlarÕnÕ karúÕlayabilmek amacÕyla SEA K ablosuz AlgÕlayÕcÕ A÷ (KAA)’lar, bakÕm gerektirmeden uzun yÕllar çalÕúabilmeleri ve çok çeúitli alanlarda kullanÕlabilmeleri sebebiyle hem endüstriyel úifreleme algoritmasÕnÕn kablosuz algÕlayÕcÕ dü÷ümleri üzerinde gerçeklemesi yapÕlmÕú ve gerçeklemeden elde edilen performans de÷erleri sunulmuútur. uygulamalarda hem de akademik çalÕúmalarda çok popüler bir alan haline gelmiútir. KAA’larÕ meydana getiren dü÷ümler, Bu makalenin literatüre temel katkÕlarÕ úunlardÕr; genellikle iki adet standart pil ile beslenen, veri saklama/iúlem x KAA’larda SEA úifreleme algoritmasÕ kullanÕlarak kapasitesi sÕnÕrlÕ olan ve kÕsa mesafeli kablosuz ortam güvenli iletiúimin düúük maliyetle üzerinden haberleúen tümdevrelerdir [1]. KaynaklarÕ sÕnÕrlÕ gerçekleútirilmesi, olan bu dü÷ümlerin, ço÷u uygulama için dÕú ortamda x SEA úifreleme algoritmasÕnÕn gerçeklemesinin bulunmasÕ ve kablosuz olarak haberleúmesi KAA’larÕn çeúitli idealleútirilmiú benzetim ortamlarÕ yerine MICAz saldÕrÕlara maruz kalma riskini arttÕrmaktadÕr. Bu sebeple kablosuz algÕlayÕcÕ a÷ platformu üzerinde güvenli÷in en önemli tasarÕm ölçütü oldu÷u askeri ve tÕbbi yapÕlmasÕ. uygulamalar baúta olmak üzere birçok uygulama alanÕnda kablosuz algÕlayÕcÕ a÷larÕn veri gizlili÷i, bütünlü÷ü, tazeli÷i ve Makalenin geri kalan kÕsÕmlarÕ úu úekilde düzenlenmiútir: kimlik do÷rulamasÕ gibi hayati güvenlik gereksinimlerini Bölüm 2’de KAA güvenli÷i hakkÕnda bilgi verilmektedir. 3. karúÕlamasÕ gerekmektedir [2-5]. Bölümde SEA úifreleme algoritmasÕnÕn özellikleri KAA’larÕn kÕsÕtlÕ donanÕmsal kaynaklara sahip olmasÕ, açÕklanmakta, Bölüm 4’de SEA algoritmasÕnÕn bilgisayar a÷larÕnda kullanÕlan geleneksel güvenlik gerçeklemesinde kullanÕlan deney düzene÷i ve araçlar tanÕtÕlmaktadÕr. Bölüm 5’de ise gerçeklemeden elde edilen Cuneyt BayÕlmÕú ve Murat ÇAKIROöLU, Sakarya Üniversitesi, Teknik sonuçlar sunulmakta ve son bölümde makale E÷itim Fakültesi, Bilgisayar Sistemleri Ö÷retmenli÷i, Esentepe Kampusü, sonuçlandÕrÕlmaktadÕr. Sakarya, Tel:2642956456, Fax:2642956421 e-mail: {cbayilmis, muratc}@sakarya.edu.tr Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 173

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION II. KABLOSUZ ALGILAYICI AöLARDA GÜVENLøK x Hello Flood saldÕrÕsÕ x Sybil saldÕrÕsÕ Askeri ve tÕbbi uygulamalar, do÷al felaketlerin tespiti, bina x Solucan deli÷i saldÕrÕsÕ (Wormholes) x ÇÕkÕú deli÷i saldÕrÕsÕ (Sinkholes) güvenlik sistemleri v.b. birçok alanda kullanÕlmakta olan x YanlÕú yönlendirme saldÕrÕsÕ (Misdirection) KAA’larÕn çeúitli türdeki saldÕrÕlara karúÕ güvenilir bir úekilde x Seçmeli iletim saldÕrÕsÕ (Selective forwarding) Uygulama çalÕúabilmesi son derece hayati önem arz etmektedir. Ancak, KatmanÕ düúük maliyetin sa÷lanabilmesi için donanÕmsal kaynaklarÕ Yönlendirme x Veri ba÷Õ bo÷ma saldÕrÕlarÕ(Jamming) sÕnÕrlÕ olan dü÷ümlerin tercih edilmesi, geleneksel güvenlik KatmanÕ tekniklerinin KAA’larda kullanÕlmasÕnÕ zorlaútÕrmaktadÕr. Veri Ba÷Õ Bununla birlikte, algÕlayÕcÕ dü÷ümlerinin ço÷u uygulama için KatmanÕ x Bo÷ma saldÕrÕlarÕ(Jamming) dÕú ortamda bulunmasÕ ve paylaúÕmlÕ olan kablosuz ortam x Kurcalama saldÕrÕlarÕ(Tampering) Fiziksel üzerinden haberleúmesi saldÕrganlarÕn iúini kolaylaútÕrmakta Katman ve KAA’larÕn güvenlik açÕsÕndan di÷er a÷lara nazaran daha ùekil 1. KAA katmanlarÕnÕ etkileyen DoS saldÕrÕ türleri fazla risk taúÕmasÕna sebep olmaktadÕr. KAA’larda güvenlik 3 temel perspektifte incelenebilir [2]: YukarÕda bahsedilen saldÕrÕlarÕn birço÷unun vermiú oldu÷u zararlar veri gizlili÷i, bütünlü÷ü ve tazeli÷inin sa÷lanmasÕnÕn x KAA’larÕn güvenli÷ini kÕsÕtlayan unsurlar, yanÕnda iletiúimin kimlik denetimi ile gerçekleútirilmesi x KAA güvenlik gereksinimleri, sayesinde en aza indirilebilir. Bu sebeple güvenli iletiúimde, x KAA güvenli÷ini tehdit eden saldÕrÕlar ve savunma dü÷ümlerin bir úifreleme yöntemiyle paketleri úifrelemesi, yöntemleri. bütünlü÷ünü kontrol etmesi ve kimlik denetimini gerçekleútirmesi gerekmektedir. Literatürde sunulan güvenlik çözümlerinden SPIN [8] ve INSENS [9] protokolleri RC5, A. KAA Güvenli÷ini KÕsÕtlayan Unsurlar TinySec güvenlik paketi [10] Skipjack ve 802.15.4 standardÕ KAA’lar, geleneksel a÷lara oranla daha fazla sÕnÕrlamaya AES úifreleme algoritmalarÕnÕ kullanmaktadÕr. Bu çalÕúmada sahip özel bir a÷ hüviyetindedir. SÕnÕrlÕ donanÕmsal kaynaklar, yeni bir úifreleme algoritmasÕ olan SEA’nÕn algÕlayÕcÕ güvenli olmayan iletiúim kanalÕ, dü÷ümlerin uzun süreler dü÷ümleri üzerinde gerçeklemesi üzerinde durulmaktadÕr. Bu boyunca gözetimsiz çalÕúmasÕ gibi sebepler, geleneksel sebeple bir sonraki bölümde SEA algoritmasÕ ayrÕntÕlÕ olarak güvenlik tekniklerinin do÷rudan KAA’larda kullanÕlmasÕnÕ incelenmektedir. zorlaútÕrmaktadÕr. Güvenli bir a÷ tasarÕmÕ gerçekleútirebilmek için bu sÕnÕrlamalarÕ dikkate almak gerekmektedir. III. ÖLÇEKLENEBøLøR ùøFRELEME ALGORøTMASI (SCALABLE ENCRYPTION ALGORITHM, SEA) B. KAA Güvenlik Gereksinimleri KAA’lar, geleneksel bilgisayar a÷larÕnÕn ihtiyaç duydu÷u SEA, bellek büyüklü÷ü ve iúlem gücü gibi sÕnÕrlÕ güvenlik gereksinimlerine ek olarak sadece kendine has olan kaynaklara sahip gömülü sistemlere yönelik geliútirilmiú, bir güvenlik gereksinimlerine de sahiptir. Bu özel gereksinimlerin úifreleme algoritmasÕdÕr [6-7]. Simetrik blok úifreleme birço÷u KAA’larÕn dÕú ortamda olmalarÕndan yaklaúÕmÕna dayanan SEA’nÕn tasarÕm kriterleri küçük bellek kaynaklanmaktadÕr. alanÕ, küçük kod büyüklü÷ü ve sÕnÕrlÕ komut setidir. Bu sebeple sadece, ÖZEL VEYA, bit/kelime rotasyonlarÕ, mod 2b KAA güvenli iletiúim gereksinimleri özetle úunlardÕr: toplama ve s-box gibi bit operasyonlarÕnÕ kullanÕr. x Veri gizlili÷i (Data Confidentiality) Oldukça esnek bir yapÕya sahip olan SEA, SEAn,b úeklinde x Veri bütünlü÷ü( Data Integrity) ifade edilmektedir ve farklÕ metin, anahtar/kelime uzunluklarÕ x Veri tazeli÷i (Data Freshness) üzerinde çalÕúabilmektedir. AyrÕca, de÷iúken tur sayÕlarÕyla x Kimlik do÷rulama (Authentication) Feistel yapÕsÕna dayanan SEA, aúa÷Õdaki parametreler ile x Kendi kendini örgütleme (Self Organization) tanÕmlanmaktadÕr: x Zaman eúlemesi ( Time Synchronization) , x n: ham metin ve anahtar büyüklü÷ü x Güvenli konum belirleme (Secure Localization) x b:kelime büyüklü÷ü n C. SaldÕrlar ve Savunma Önlemleri x nb : Feistel dallanmasÕ baúÕna kelime sayÕsÕ 2b KAA’lar yapÕsÕ gere÷i birçok türdeki saldÕrÕlara karúÕ açÕktÕr. Özellikle farklÕ katmanlardaki fonksiyonlarÕn iúleyiúini x nr: ùifreleme tur sayÕsÕ bozmayÕ hedefleyen Hizmet Engelleme (Denial of Service- SEA algoritmasÕnÕn gerçeklemesinde n ve b parametreleri DoS) SaldÕrÕlarÕ KAA güvenli÷i için önemli bir tehdit hedef iúlemcinin özelli÷ine uygun olarak seçilebilir. Ancak unsurudur. ùekil 1’de KAA katmanlarÕnÕ etkileyen DoS anahtar ve ham metin büyüklü÷ü 48, 96, …, 192 bit gibi 6’nÕn SaldÕrÕlarÕ görülmektedir. DoS saldÕrÕlarÕ dÕúÕnda trafik analiz, katlarÕ olmasÕ gerekmektedir. Bir di÷er önemli nokta ise dü÷üm kopyalama (node replication), gizlili÷in ortadan uygun bir güvenlik düzeyinin sa÷lanabilmesi için kelime kaldÕrÕlmasÕ (attacks against privacy) gibi birçok saldÕrÕ türü uzunlu÷unun b8 ve tur sayÕsÕnÕn en az KAA için önemli tehditlerdendir [4-5]. 3n nr= 2.( n b [ b / 2 ]) olmasÕ gerekmektedir. ùekil-2’de 4 Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 174

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION SEA algoritmasÕnÕn yapÕsÕ görülmektedir. bilgisayara aktarmaktadÕr. Bilgisayarda merkezi dü÷ümden gelen bilgiyi göstermektedir. Bu düzenek ile ùifrelenmemiú (Ham) Metin ùifreleme AnahtarÕ dü÷ümlerin SEA algoritmasÕnÕ kullanarak úifreleme, úifre (48, 96,… 192 bit) (48, 96,… 192 bit) çözme ve kimlik do÷rulama iúlemlerini gerçek uygulamalarda baúarÕlÕ bir úekilde gerçekleútirebildi÷i kontrol edilmektedir. büyüklü÷üne göre tur sayÕsÕ 25, 46, … .88 KullanÕlan anahtar (48, 96, … 192 bit) 1. Tur Kablosuz øletiúim 2. Tur Anahtar Cetveli Merkezi AlgÕlayÕcÕ Dü÷üm Dü÷üm Son Tur Dizüstü Bilgisayar ùifrelenmiú Metin (48, 96,… 192 bit) ùekil 2. Ölçeklenebilir úifreleme algori IV. SEA ALGORøTMASININ G SEA algoritmasÕnÕn gerçeklemesi, popüler bir ticari ürünü olan MICA dü÷ümleri üzerinde TinyOS [11] iúlet gerçekleútirilmiútir. MICAz, 128 KB içeren ve 16 MHz hÕzÕnda ça mikrodenetleyiciye sahiptir. Kablos CC2420 alÕcÕ/verici tüm devresini yÕcÕ a÷ deney düzene÷i hÕzÕnda gerçekleútirebilmektedir. SEA algoritmasÕnÕn en önemli öze SONUCU VE DEöERLENDøRME iúlemci büyüklüklerinde ve farklÕ alarÕnÕn baúarÕmÕnÕn ölçülmesinde, büyüklüklerinde çalÕútÕrÕlabilmesidir. me/úifre çözme iúlemlerinde harcanan /ham metin büyüklü÷ü 96 bit ve kelim mi, bant geniúli÷i, güvenlik (kÕrÕlma seçilmiútir. (SEA96,8). esneklik, standartlaútÕrÕlabilme, ølk olarak C dilinde yazmÕú oldu÷um uygunluk kriterleri göz önüne diline uyarladÕ÷ÕmÕz SEA algoritmasÕn Bu çalÕúmada SEA úifreleme baúarÕmÕnÕn ölçülmesinde kullanÕlan ar de÷erlendirmesi aúa÷Õdaki kriterlere x AlgÕlayÕcÕ dü÷ümlerinin TinyOS iúletim sistemi göre yapÕlmaktadÕr. üzerinde gerçeklenen SEA algoritmasÕnÕ kullanarak x Bellek gereksinimi, güvenli iletiúim gerçekleútirebildi÷ini analiz etmek x ÇalÕúma zamanÕ ve bant geniúli÷i için kablosuz algÕlayÕcÕ a÷ düzene÷i (ùekil-3). x Güvenlik ve esneklik x SEA algoritmasÕnÕn algÕlayÕcÕ dü÷ümlerin belle÷inde ùifreleme algoritmalarÕnÕn hedeflenen cihaz ve ortamlara kapladÕ÷Õ alan, dü÷ümlerin úifreleme/úifre çözme olan yüksek ba÷ÕmlÕlÕ÷Õndan dolayÕ de÷erlendirilmesi ve iúlemlerinde harcadÕ÷Õ süre ve SEA’nÕn birbirleriyle karúÕlaútÕrÕlmasÕ oldukça zordur. Buna ra÷men sa÷layabildi÷i bant geniúli÷i ölçütlerinin elde fikir vermesi açÕsÕndan SEA úifreleme algoritmasÕ, TinySec edilmesi için AVR Studio 4 [ 13] ve AVR GCC [14] güvenlik paketi içerisinde kullanÕlan Skipjack úifreleme yazÕlÕmlarÕ kullanÕlmÕútÕr. algoritmasÕ ile karúÕlaútÕrÕlmaktadÕr. Her iki algoritmanÕn C dilinde yazmÕú oldu÷umuz versiyonlarÕ AVR Studio 4 ve ùekil 3’de SEA algoritmasÕnÕn gerçekleútirildi÷i bir AVR GCC araçlarÕ yardÕmÕyla derlenerek benzetilmiú ve dizüstü bilgisayar, bir merkezi dü÷üm ve bir kablosuz ihtiyaç duyduklarÕ bellek miktarlarÕ, úifreleme/úifre çözme algÕlayÕcÕ dü÷ümden oluúan KAA deney düzene÷i süreleri ve bant geniúlikleri elde edilmiútir. görülmektedir. AlgÕlayÕcÕ dü÷üm merkezi dü÷üm ile 200 paket/s hÕzÕnda úifrelenmiú veri iletiúimi A. Bellek Gereksinimi gerçekleútirmektedir. Merkezi dü÷üm ise almÕú oldu÷u ùekil 4’de SEA ve Skipjack algoritmalarÕnÕn úifreleme ve úifreli veriyi çözerek USB ba÷lantÕsÕ üzerinden úifre çözme iúlemleri için ihtiyaç duydu÷u bellek miktarlarÕ Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 175

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION görülmektedir. SEA, kod belle÷inde 1598 bayt yer kaplarken geniúliklerini sa÷lamaktadÕr. ùekilden görüldü÷ü gibi SEA veri belle÷inde sadece 25 bayt’lÕk bir alan tutmaktadÕr. algoritmasÕ, Skipjack algoritmasÕndan yaklaúÕk 2,3 kat daha az Skipjack algoritmasÕ kod bellekte 1884 bayt, veri bellekte ise bant geniúli÷i sa÷lamaktadÕr (SEA: 12454 bit/s, 274 baylÕk alan kaplamaktadÕr. Her iki algoritmanÕn ihtiyaç Skipjack:28828 bit/s). duydu÷u kod bellek miktarlarÕ birbirine yakÕnken SEA, Skipjack algoritmasÕna oranla yaklaúÕk olarak 11 kat daha az 35000 veri bellek alanÕ kullanmaktadÕr. SEA’nÕn oldukça düúük veri 30000 belle÷ine ihtiyaç duymasÕ, temelinin basit bit operasyonlarÕna dayanmasÕndan kaynaklanmaktadÕr. Bant Geniúli÷i (bit/sn) 25000 20000 2000 SEA 1800 15000 Skipjack 1600 10000 Bellek MiktarÕ (Bayt) 1400 1200 5000 1000 0 800 SEA Skipjack Algoritmalar 600 400 ùekil 6. SEA ve Skipjack algoritmalarÕnÕn kullandÕklarÕ bant 200 geniúlikleri (úifreleme ve úifre çözme iúlemleri için aynÕ bant 0 geniúli÷ini kullanmaktadÕrlar) Kod Bellek Veri Bellek Bellek Türü C. Güvenlik ve Esneklik ùekil 4. SEA ve Skipjack algoritmalarÕnÕn bellek Skipjack, çalÕúma zamanÕ ve bant geniúli÷i açÕsÕndan gereksinimleri SEA’ya oranla daha verimli olmasÕna ra÷men sa÷layabildi÷i B. ÇalÕúma ZamanÕ ve Bant geniúli÷i güvenlik seviyesi açÕsÕndan daha gerilerdedir. Skipjack algoritmasÕnÕn 31 turlu indirgenmiú versiyonu ve 32 turlu tam ùekil 5’de SEA ve Skipjack algoritmalarÕnÕn çalÕúma versiyonlarÕnÕn kÕrÕlabilece÷i literatürde gösterilmektedir zamanlarÕ görülmektedir. SEA algoritmasÕnÕn úifreleme/úifre [15,16]. Bunun yanÕnda SEA algoritmasÕ için herhangi bir çözme süresi (7708 us), Skipjack algoritmasÕnÕn kriptanaliz çalÕúmasÕ henüz bulunmamaktadÕr. AyrÕca SEA’nÕn úifreleme/úifre çözme süresinden (2220 us) yaklaúÕk olarak parametreye ba÷lÕ olarak yapÕlandÕrÕlabilmesi istenilen 3,5 kat daha fazladÕr. Bu SEA ve Skipjack úifreleme güvenlik seviyesinin ayarlanabilmesine imkân tanÕmaktadÕr. algoritmalarÕnÕn kullanmÕú olduklarÕ anahtar/ham metin büyüklü÷ü, algoritmalarÕna ait kural tablolarÕ ve tur sayÕlarÕnÕn VI. SONUÇ farklÕlÕklarÕndan kaynaklanmaktadÕr. Örne÷in SEA bu çalÕúma için 96 bit anahtar ve ham metin kullanÕrken, Skipjack 80 bit Bu çalÕúmada MICAz dü÷ümlerden oluúan temel bir anahtar ve 64 bit ham metin kullanmaktadÕr. Bir baúka fark kablosuz algÕlayÕcÕ a÷ üzerinde SEA úifreleme algoritmasÕ olarak da SEA’nÕn bu çalÕúma için 93 tur Skipjack’in ise 32 kullanarak güvenli iletiúim gerçekleútirilmiú ve SEA úifreleme tur ile úifreleme rutinlerini gerçekleútirmesidir. algoritmasÕnÕn KAA’lar için uygunlu÷u bellek kullanÕmÕ, 9000 çalÕúma zamanÕ, bant geniúli÷i, güvenlik ve esneklik kriterleri 8000 SEA açÕsÕndan de÷erlendirilmiútir. SEA’nÕn baúarÕmÕnÕn Skipjack kÕyaslanmasÕnda KAA uygulamalarÕnda popüler olarak tercih 7000 ÇalÕúma ZamanÕ (uSn) 6000 edilen Skipjack algoritmasÕ kullanÕlmÕútÕr. Her iki algoritmanÕn baúarÕm de÷erlendirmesi aynÕ koúullarda 5000 gerçekleútirilmiútir. 4000 Deneysel sonuçlar incelendi÷inde SEA algoritmasÕnÕn 3000 Skipjack algoritmasÕndan daha az bellek gereksinimine ihtiyaç 2000 duydu÷u görülmektedir. Ancak SEA’nÕn úifreleme ve úifre 1000 çözme süresi Skipjack algoritmasÕna oranla daha fazla ve 0 ùifreleme ùifre Çözme sa÷layabildi÷i bant geniúli÷i daha düúüktür. Bunun temel ùifreleme/ùifre Çözme øúlemi sebebi SEA’nÕn daha fazla tur ile úifreleme iúlemlerini gerçekleútirmesidir. Bununla beraber Skipjack’in ùekil 5. SEA ve Skipjack algoritmalarÕnÕn úifreleme/úifre kriptanalizinin yapÕlmasÕ ve SEA’ya karúÕ henüz bir saldÕrÕnÕn çözme iúlemleri için harcadÕklarÕ zaman gerçekleútirilmemesi güvenlik açÕsÕndan SEA’yÕ daha avantajlÕ kÕlmaktadÕr. AyrÕca SEA’nÕn farklÕ kelime ùekil 6’da SEA ve Skipjack algoritmalarÕnÕn uzunluklarÕna sahip iúlemcilere (8 bit, 32 bit vb.) uygun olarak sa÷layabildikleri bant geniúlikleri görülmektedir. Her iki yapÕlandÕrÕlabilmesi, anahtar ve ham metin büyüklüklerinin algoritma úifreleme ve úifre çözme iúlemlerinde aynÕ bant Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 176

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION de÷iútirilebilmesi farklÕ türdeki kablosuz algÕlayÕcÕ a÷ platformlarÕnda kolaylÕkla kullanÕlabilmesini mümkün kÕlmaktadÕr. TEùEKKÜR Yazarlar Doç.Dr. øsmail ERTÜRK Bey’e MICAz kablosuz algÕlayÕcÕ dü÷ümleri sa÷ladÕ÷Õ için teúekkür etmektedirler KAYNAKLAR [1] I. F. Akyildiz , W. Su, Y. Sankarasubramaniam, E. Cayirci, “Wireless Sensor Networks: Survey”, Computer Networks, vol. 38, 2002, pp. 393– 422. [2] A. Perrig, J. Stankovic., D. Wagner, “Security in Wireless Sensor Networks”, Communication of the ACM, vol. 47, 2004pp. 53–57. [3] N. BandÕrmalÕ, C. BayÕlmÕú, I. Ertürk, “Kablosuz AlgÕlayÕcÕ A÷larda Güvenlik”, Ulusal Teknik E÷itim, Mühendislik ve E÷itim Bilimleri Genç AraútÕrmacÕlar Sempozyumu, UMES’07, 2007, pp. 37–40. [4] M. ÇakÕro÷lu, A.T. Özcerit, “Denial of Service Attack Resistant MAC Protocol Design for Wireless Sensor Networks”, J. Fac. Eng. Arch. Gazi Univ, vol. 22, no 4, 2007, pp. 697-707. [5] M. ÇakÕro÷lu, A.T. Özcerit, Ö. Çetin, H. Ekiz., “MAC Layer DoS Attacks in Wireless Sensor Networks: A Survey”, Proc. of the ICWN’06, 2006. [6] F. -X. Standaert, G. Piret, N. Gershenfeld, J.-J. Quisquater., “SEA: A Scalable Encryption Algorithm for Small Embedded Applications”, CARDIS 2006, Lecture Notes in Computer Science, vol. 3928, April 2006, pp. 222-236. [7] F. Macé, F.-X. Standaert, J.-J. Quisquater, “FPGA Implementation(s) of a Scalable Encryption Algorithm”, IEEE Transactions on Very Large Scale Integration (VLSI) Systems, vol. 16, no.2, Nov. 2007, pp. 212 – 216. [8] A. Perrig, R. Szewczyk, J. D. Tygar, V. Wen, and D. Culler, “SPINS:Security Protocols for Sensor Networks”, Wireless Networks, vol. 8, 2002, 521-534. [9] J. Deng, R. Han, S. Mishra, “INSENS: Intrusion-tolerant routing in wireless Sensor NetworkS”. Technical Report CU CS-939-02, Department of Computer Science, University of Colorado, November 2002. [10] C. Karlof, N. Sastry and D. Wagner , “TinySec: Link Layer Security for Tiny Devices” , [Online], Available: www.cs.berkeley.edu/~nks/tinysec/ [11] TinyOS KullanÕmÕ [Online] http://docs.tinyos.net/index.php/Using_TinyOS [12] M. Tektaú, F. Baba, E.M. ÇalÕúkan, “ùifreleme AlgoritmalarÕnÕn SÕnÕflandÕrÕlmasÕ ve Bir Kredi KartÕ UygulamasÕ”, Third International Advanced Technologies Symposium, Ankara, 2003. [13] Atmel Corporation. Avr studio 4.12, build 498. Available from: http://www.atmel.com/dyn/products/tools_card.asp?tool_id=2725. [14] AVR-GCC, Ücretsiz AVR C ve Assembler Derleyicisi, http://gcc.gnu.org/ [15] E. Biham, A. Bikyukov, A. Shamir, “'Cryptanalysis of Skipjack reduced to 31 rounds using impossible differentials”, Proc. of Eurocrypt’ 99, 1999, pp. 12-23 [16] R. Chung-Wei Phan, “Cryptanalysis of full Skipjack block cipher”, Electronics Letters, Vol. 38, No. 2, January 2002. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 177

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Genetik Algoritma Kullanarak Görüntü Kaynaştırma Tabanlı Görünür Damgalama Veysel ASLANTAŞ, Rifat KURBAN kaynak resimlerden elde edilmiú geniúletilmiú bilgileri ihtiva Özet— Geliúen teknolojiyle beraber sayÕsal bilginin güvenli÷i etmektedir [5,6]. oldukça önem kazanmÕútÕr. Görüntü damgalama, sahiplik ve telif SayÕsal damgalamanÕn önemli uygulamalarÕndan birisi de haklarÕnÕn korunmasÕ gibi pek çok alanda kullanÕlan bir özellikle web ortamÕnda bilgilerin kötüye kullanÕmÕnÕ tekniktir. Bu çalÕúmada, Genetik algoritma kullanarak dalgacÕk domeninde görüntü kaynaútÕrma tabanlÕ bir görünür damgalama engelleme amaçlÕ olarak bir dokümanÕn kayna÷ÕnÕn yöntemi önerilmiútir. FarklÕ barÕndÕrÕcÕ resim ve damga üzerinde tanÕmlanmasÕ için görünür sahiplik bilgisinin ifade edilmesidir gerçekleútirilen simülasyonlarda önerilen yöntemin hem sayÕsal [7]. Genelde görünür damga bir metin veya logo biçimindeki hem de görsel olarak iyi sonuçlar verdi÷i görülmüútür. ikincil bir resimdir. Görünür damgalama, barÕndÕrÕcÕ resim ile damga resminin bir alamda birleútirilmesi yani kaynaútÕrÕlmasÕ Anahtar kelimeler— Görünür damgalama, Görüntü iúlemi olarak da düúünülebilir. Di÷er bir ifadeyle, görüntü kaynaútÕrma, AyrÕk dalgacÕk dönüúümü, Genetik algoritma kaynaútÕrma alanÕndaki yaklaúÕmlar, görünür damgalama alanÕna geniúletilerek uyarlanabilir. Görünür damgalamada Abstract— Due to the developments in technology, security of olmasÕ gereken özellikler úu úekilde sÕralanabilir: the digital data is becoming more important. Image x damgalanmÕú resim barÕndÕrÕcÕ resimden watermarking techniques can be used for ownership claim and olabildi÷ince bilgi ihtiva ederken damganÕn copyright protection. In this paper, an image fusion based visible karakteristi÷i de açÕkça görülebilmelidir, watermarking method using Genetic algorithm in wavelet x görünür damgalama yöntemi, gözlemcide yanÕltÕcÕ domain is proposed. In the simulations which were realized on different host and watermark images, the numerical and visual bozulmalar ve tutarsÕzlÕklar meydana getirmemelidir, results of the proposed method are satisfactory. x damga gürültüye ve çeúitli ataklara karúÕ dayanÕklÕ olmalÕ ve damganÕn yok edilebilmesi olabildi÷ince Keywords— Visible watermarking, Image fusion, Discrete zor olmalÕdÕr [8]. wavelet transform, Genetic algorithm Görünür damgalama alanÕndaki ilk çalÕúmalar IBM sayÕsal kütüphane organizasyonu tarafÕndan Vatikan I. GøRøù kütüphanesindeki sayÕsallaútÕrÕlmÕú belgelerin iúaretlenmesi ø nternet ve iletiúim teknolojilerindeki ilerlemelerle beraber sayÕsal bilginin güvenli÷i de oldukça önem kazanmÕútÕr. Bu amaçla görüntü, ses ve video gibi çoklu ortam verileri için amacÕyla yapÕlmÕútÕr [9]. DamganÕn dayanÕklÕlÕ÷Õ ölçeklenerek orijinal resimlerin parlaklÕk bileúenlerine gömme iúlemi gerçekleútirilmiútir. Blok tabanlÕ ayrÕk kosinüs dönüúümü sahiplik, telif haklarÕ ve bilgi korsanlÕ÷Õ gibi alanlarda (AKD) domeninde doku, kenar ve parlaklÕk bilgisine dayalÕ kullanÕlabilecek pek çok sayÕsal damgalama yöntemi çeúitli çalÕúmalar gerçekleútirilmiútir [10]. Di÷er taraftan ayrÕk geliútirilmiútir. Damgalama yöntemleri görünür ve görünmez dalgacÕk dönüúümü (ADD) ile yapÕlan çalÕúmalarda dalgacÕk yaklaúÕmlar olarak sÕnÕflandÕrÕlabilir. Görünür yöntemler katsayÕlarÕ sÕnÕflandÕrÕlarak belli oranlarda birleútirilmiútir sahipli÷in logolar vasÕtasÕyla açÕkça iddia edilebilmesini [7,8]. sa÷larken, görünmez yöntemler bu haklarÕn saklÕ bir úekilde Bu çalÕúmada, ADD ile dalgacÕk dönüúümü yapÕlan korunmasÕnÕ sa÷larlar [1-4]. barÕndÕrÕcÕ resim ile damga lineer bir kaynaútÕrma kuralÕ ile Görüntü kaynaútÕrma, farklÕ algÕlayÕcÕlardan veya geometrik birleútirilerek damgalanmÕú resim elde edilmektedir. Bu iúlem parametreleri de÷iútirilmiú bir algÕlayÕcÕdan elde edilen sÕrasÕnda her alt bant için gerekli olan birleútirme a÷ÕrlÕklarÕ görüntülerin birleútirilmesine denir. Medikal görüntüleme, Genetik Algoritma (GA) kullanÕlarak optimal olarak uzaktan algÕlama ve sÕnÕrlÕ görüú derinli÷inin artÕrÕlmasÕ gibi belirlenmektedir. KatsayÕlarÕn kalitesinin belirlenebilmesi için uygulamalarda kullanÕlmaktadÕr. Pek çok görüntünün veya korelasyon tabanlÕ bir metrik önerilmiútir. Böylece barÕndÕrÕcÕ görüntü özelli÷inin birleútirilerek tek bir görüntü elde edilmesi resim ve damganÕn içeri÷inden ba÷ÕmsÕz optimal bir yöntem iúlemi olarak da tanÕmlanmaktadÕr. Elde edilen sonuç resim, elde edilmiútir. ÇalÕúmanÕn devamÕ úu úekilde organize edilmiútir: 2. V. Aslantaú (e-posta: aslantas@erciyes.edu.tr, tel: +903524374901 32602) bölümde geliútirilen yöntem, 3. bölümde ise gerçekleútirilen ve R. Kurban, Erciyes Üniversitesi Mühendislik Fakültesi Bilgisayar simülasyon çalÕúmalarÕ ve sonuçlarÕ verilmiútir. Son bölümde Mühendisli÷i bölümünde görev yapmaktadÕrlar. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 178

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION elde edilen sonuçlar de÷erlendirilmiútir. YFAA w AA YBAA (1 w AA ) YD AA II. GÖRÜNÜR DAMGALAMA YFAY w AY YBAY (1 w AY ) YD AY (1) YA YF wYA YB (1 wYA ) YD YA YA A. DalgacÕk Domeninde Görüntü Birleútirme TabanlÕ Görünür Damgalama YY YF wYY YB (1 wYY ) YD YY YY DalgacÕk dönüúümü verinin çoklu çözünürlüklü bir gösterimidir ve görüntünün daha düúük çözünürlüklü A÷ÕrlÕk katsayÕlarÕ (w) 0.5’den büyük oldu÷u durumlarda versiyonlarÕnÕ ihtiva etmektedir. AyrÕk dalgacÕk dönüúümü damgalanmÕú resimde barÕndÕrÕcÕ resim daha baskÕnken, (ADD) iúlemi iúaretin bir grup alçak-geçiren ve yüksek- 0.5’den küçük de÷erlerde damga daha baskÕn olmaktadÕr. Bu geçiren filtreden geçirilmesiyle elde edilir. Yüksek-geçiren yöntemde w katsayÕlarÕnÕn uygun bir úekilde belirlenmesi filtre ana dalgacÕk fonksiyonunu ve alçak-geçiren filtre ise gerekmektedir. ölçekleme fonksiyonunu ifade eder. 2 boyutlu bir verinin Optimizasyon için, basit yapÕsÕ ve uygulama kolaylÕ÷Õ ile ön dekomposizyon iúleminde filtreler önce yatay daha sonra plana çÕkan ve literatürde çok fazla uygulama alanÕna sahip dikey olarak uygulanÕr. Böylece, bir yaklaúÕm görüntüsü Genetik algoritma tercih edilmiútir. (AA), üç tane de detay görüntüsü (AY, YA, YY) elde edilir. B. Genetik Algoritma Bu iteratif iúlemler boyunca her bir iterasyonda iúaretin belli Temel bir Genetik Algoritma (GA) [11] beú bileúenden bir frekans bölgesindeki kÕsmÕ iúaretin kalan kÕsmÕdÕr (AA alt rastgele sayÕ üreteci, uygunluk bandÕ) ve istenirse sürekli olarak da e seleksiyon, çaprazlama ve mutasyon dekompoze edilebilir. . ùekil 2’de temel GA’nÕn bileúenleri ùekil 1. Görünür damgalama yöntem ùekil 1’de görünür damgalama y görülmektedir. DalgacÕk domeninde yapÕlÕrken, ilk adÕmda barÕndÕrÕcÕ res (XD) ADD'leri hesaplanmaktadÕr. Eld kaynaútÕrma kuralÕna göre birleút hesaplanarak damgalanmÕú resim (XF) elde edilir. Görüntü kaynaútÕrmada oldu÷u gibi, çoklu-çözünürlüklü görünür damgalama yaklaúÕmlarÕnÕn temel dayana÷Õ insan görme sisteminin yerel karúÕtlÕk de÷iúimlerine olan duyarlÕlÕ÷Õ gerçe÷idir [7,8]. Görüntü kaynaútÕrma ve görünür damgalama arasÕndaki fark birleútirme iúlemi sÕrasÕnda ortaya çÕkar. Görüntü kaynaútÕrmada kaynak resimler aynÕ sahneye ait farklÕ algÕlayÕcÕlardan veya parametreleri de÷iúmiú bir ùekil 2. Temel GA’nÕn bileúenleri. algÕlayÕcÕdan elde edilen görüntülerdir. Görünür damgalamada ise kaynak resimler barÕndÕrÕcÕ resim ve damgadÕr. Görünür BaúlangÕç popülasyonu, algoritmanÕn baúlamasÕndan önce damgalamada, barÕndÕrÕcÕ resim damgadan daha önemlidir. rastgele sayÕ üreteci tarafÕndan üretilen sayÕ vektörleri f DolayÕsÕyla damgalanmÕú resimde barÕndÕrÕcÕ resim damgaya kümesidir. Her bir vektör optimizasyon problemi tarafÕndan f oranla daha baskÕn olmalÕdÕr. adreslenen bir muhtemel çözümü ifade eder. De÷erlendirme Lineer a÷ÕrlÕklÕ birleútirme yönteminde her bant için a÷ÕrlÕk birimi her bir birey için bir uygunluk de÷eri hesaplar. katsayÕlarÕ (w) belirlenmektedir. Bu de÷erler 0 ile 1 Uygunluk de÷eri çözümün kalitesini ölçen bir de÷erdir. aralÕ÷ÕndadÕr. Bu iúlem, Denklem (1)’de verildi÷i gibi Genetik operatörlerin amacÕ daha kaliteli çözümleri bulmaktÕr. gerçekleútirilir: Seleksiyon operatörü do÷al seleksiyon fonksiyonu icra eder. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 179

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Bireyleri temsil eden vektörler di÷er vektörler ile birlikte X F w AA X B de÷erlendirilerek uygunluk de÷erine ba÷lÕ bir olasÕlÕk ile X ÇD (5) (1 w AA ) gelecek nesiller için seçilirler. Çaprazlama operatörü rastgele olarak birey çiftleri seçer. En basit çaprazlama operatörü ebeveyn bireyin rastgele bir noktasÕndan kesilerek di÷er Denklem (4) ile elde edilen korelasyon katsayÕsÕ [-1,1] ebeveyn bireyin kuyru÷u ile yer de÷iútirilmesiyle aralÕ÷Õnda bir de÷erdir. 1 olmasÕ durumunda maksimum gerçekleútirilir. Çaprazlama operatörünün iúlem miktarÕ benzerlik ifade edilir. DolayÕsÕyla, Denklem (3)’de verilen çaprazlama oranÕ tarafÕndan belirlenir. Mutasyon operatörü f ifade de÷er olarak büyüdükçe elde edilen çözümün kalitesi de rastgele bireyi temsil eden vektördeki sayÕlarÕ de÷iútirir. artacaktÕr. Mutasyon miktarÕnÕ mutasyon oranÕ parametresi belirler. AlgoritmanÕn bir çevirimi de÷erlendirme, seleksiyon, çaprazlama ve mutasyon operatörlerinin uygulanmasÕyla III. SøMÜLASYON SONUÇLARI tamamlanÕr. AlgoritmanÕn her bir döngüsünde yeni bir çözüm Simülasyon çalÕúmalarÕ iki farklÕ 256x256 boyutlarÕnda 8- nesli oluúturulur [12]. bit gri seviye barÕndÕrÕcÕ resim ve damga üzerinde gerçekleútirilmiútir. BarÕndÕrÕcÕ resimler ve damgalar sÕrasÕyla ùekil 3 ve 4’de görülmektedir. ølk simülasyonda barÕndÕrÕcÕ C. Genetik Algoritma Kullanarak Görünür Damgalama resim olarak ùekil 3(a), damga olarak ise ùekil 4(a) DalgacÕk uzayÕnda görüntü kaynaútÕrma tabanlÕ görünür damgalamada w katsayÕlarÕnÕn belirlenebilmesi için bu katsayÕlarÕ ihtiva eden bir baúlangÕç popülasyonu kullanÕlarak bu katsayÕlar optimize burada en büyük problem, elde kalitesinin nasÕl ölçülece÷idir. G çalÕúabilmesi için popülasyondaki her b de÷erinin bilinmesi gerekir. Popülas Denklem (2)’deki vektör úeklinde ifade wi [ w AA w AY wYA wYY ] (b) Õ resimler: (a) Lena, (b) Kameraman. Çözümlerin kalitesini hesaplamada t damgalanmÕú resmin barÕndÕrÕcÕ res maksimize ederken, damgalanmÕú damganÕn orijinal damgaya olan ben etmektir. Bu amacÕ gerçekleútirebilme önerilen kalite ifadesinden yararlanÕlmÕ k K ( X F , X B ) K ( X ÇD , X D ) K verilen iki veri arasÕndaki korelasyon katsayÕsÕnÕ, XÇD ise damgalanmÕú resimden çÕkartÕlan damgayÕ ifade etmektedir. Korelasyon katsayÕlarÕ Denklem (4) kullanÕlarak (a) (b) hesaplanmÕútÕr: ùekil 4. Damgalar: (a) Erciyes Üniversitesi logosu, (b) Erciyesspor logosu. ¦¦ ( A m n mn A )( Bmn B ) kullanÕlmÕútÕr. Di÷erinde ise barÕndÕrÕcÕ resim olarak ùekil 3(b), damga olarak ùekil 4(b) kullanÕlmÕútÕr. K ( A, B) Giriú resimlerinin ayrÕk dalgacÕk dönüúümünün § ·§ · (4) ¨ ¨ © ¦¦ ( A m n mn A ) 2 ¸¨ ¸¨ ¹© ¦¦ ( B m n mn B )) 2 ¸ ¸ ¹ hesaplanmasÕnda Daubechies 1 filtre ailesi kullanÕlarak 1 seviye dekompozisyon yapÕlmÕútÕr. Uygulamada w a÷ÕrlÕk katsayÕlarÕnÕn optimize edilmesi için A ve B , sÕrasÕyla A ve B’nin ortalamalarÕnÕ ifade etmektedir. kullanÕlan GA’ya ait kontrol parametreleri Tablo 1’de DamgalanmÕú resimden, damgayÕ elde edebilmek için takip verilmiútir. eden denklem kullanÕlmÕútÕr: TABLO 1. GA KONTROL PARAMETRELERø. Veri tipi Reel sayÕ vektörü Popülasyon boyutu 32 Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 180

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Jenerasyon sayÕsÕ 100 Mutasyon oranÕ 0.1 Çaprazlama oranÕ 0.8 Elde edilen kaynaútÕrma katsayÕlarÕ ise Tablo 2’de verilmiútir. Tablodaki sonuçlar incelendi÷inde, GA’nÕn amaç fonksiyonunu optimize etmek için farklÕ alt bantlar için farklÕ katsayÕlar hesapladÕ÷Õ görülmüútür. Di÷er taraftan katsayÕlarÕn barÕndÕrÕcÕ resim ve damganÕn içeri÷ine göre de÷iúti÷i de görülmektedir. TABLO 2. SøMÜLASYON SONUCUNDA GA øLE ELDE EDøLEN KAYNAùTIRMA KATSAYILARI. (a) (b) ùekil 5. DamgalanmÕú resimler w AA w AY wYA wYY ùekil 3(a) – 4(a) 0.9170 0.9512 0.9077 0.9450 ùekil 3(b) – 4(b) 0.9247 0.8900 0.9184 0.8541 Gerçekleútirilen simülasyonlar sonucunda elde edilen korelasyon katsayÕlarÕ Tablo 3’de ve görülece÷i üzere optimizasyon algor resim ile damgalanmÕú resmin benz artÕrmakta hem de çÕkartÕlmÕú damga benzerli÷ini ( K ( X ÇD , X D ) ) artÕrmay taraftan, önerilen yöntem iki benzerli de çalÕúmaktadÕr. Çünkü barÕndÕrÕcÕ (b) resim benzerli÷ini maksimum l 6. ÇÕkartÕlan damgalar damgalanmÕú resim ile barÕndÕrÕcÕ durumda damga hiç gömülmez ve di÷ IV. SONUÇ küçük çÕkar. Dikkat edilirse elde edile damga ile orijinal damganÕn gacÕk domeninde lineer görüntü maksimumdur. Algoritma önce bu kÕsm görünür damgalama problemine sonra olabildi÷ince barÕndÕrÕcÕ resim i . KaynaútÕrma katsayÕlarÕnÕn optimum benzerli÷ini maksimize etmektedir. G e GA kullanÕlmÕútÕr. Önerilen yöntem elde edilen ile vazgeçilen arasÕnd llanÕúlÕdÕr. Elde edilen damgalanmÕú konusudur. GA bu iúlemi baúarÕyla ger rÕcÕ resme oldukça yüksek oranda üzerindeki damga çÕkartÕlabilecek TABLO 3. SøMÜLASYON SONUCUNDA GA øLE Õ resimden daha az baskÕn olarak KATSAYILARI. elde edilen katsayÕlarÕn kullanÕmÕnda ùekil 3(a) – 4(a) K(X F , X B ) 0.9872 hem sayÕsal hem de görsel olarak iyi sonuçlar elde edilmiútir. K ( X ÇD , X D ) 0.9958 øleriki çalÕúmalarda yöntemin literatürdeki görünür damgalama yöntemleri ile ayrÕntÕlÕ bir karúÕlaútÕrmasÕ ùekil 3(b) – 4(b) K(X F , X B ) 0.9919 gerçekleútirilebilir. Di÷er taraftan kullanÕlan ayrÕk dalgacÕk K ( X ÇD , X D ) 0.9963 dönüúümünün dekompozisyon seviyesinin ve kullanÕlan dalgacÕk filtre ailesinin sonuç üzerine etkileri incelebilir ve GA ile elde edilen damgalanmÕú resimler ùekil 5’de görünür damgalamada kullanÕlabilecek farklÕ performans verilmiútir. Resimlerden görülece÷i üzere GA ile elde edilen metrikleri geliútirilebilir. damgalanmÕú resimde damganÕn görünürlü÷ü kaybedilmeden barÕndÕrÕcÕ resmin baskÕnlÕ÷Õ korunmuútur. Örne÷in ùekil KAYNAKLAR 5(b)’de logonun kameramanÕn koyu renk elbisesi üzerine [1] S.P. Mohanty, P. Guturu, E. Kougianos, N. Pati, "A novel invisible color image watermarking sceme using image adaptive watermark creation gelen kÕsÕmlarÕnda bile algoritmanÕn belirledi÷i katsayÕlar and robust insertion-extraction", Proc. of the 8. IEEE International sayesinde damga bozulmadan gömülmüú ve görsel olarak ayÕrt Symposium on Multimedia, 2006. etmek mümkün hale gelmiútir. ùekil 6’da damgalanmÕú [2] L. Ruizhen, T. Tieniu, “Survey of watermarking for digital images,” Journal of China Institute of Communications, vol. 21, pp39-48, 2000. resimlerden çÕkartÕlan damgalar görülmektedir. ùekillerden de [3] W. Huang, J. Gou, "An Image Fusion-Based Multi-Watermarking görülece÷i üzere elde edilen damgalar orijinal damgalara Algorithm", Proceedings of the 2006 IEEE International Conference on görsel olarak oldukça benzemektedir. Networking, Sensing and Control, 266- 269, 2006. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 181

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION [4] D. Zhang; S. Qu; B. Kang; "A New Digital Image Hiding Approach Using Multi-Image Fusion", International Workshop on Knowledge Discovery and Data Mining, 553-557, 2008. [5] V. Aslantas, A. Bulatov, R. Kurban, "Multi-focus image fusion using a fuzzy criterion function", 6th International Symposium on Intelligent And Manufacturing Systems (IMS 2008), 14-17 October 2008. [6] S. Nikolov, et al., “Wavelets for image fusion,” in Wavelets in Singal and Image Analysis, A.A. Petrosian and EG. Meyer (eds.), 2001 Kluwer Academic Publishers,pp. 213-241. [7] Y. Hu, J. Huang, S. Kwong, Y.K. Chan, "Image Fusion Based Visible Watermarking Using Dual-Tree Complex Wavelet Transform", LNCS 2939, Digital Watermarking, 86-100, 2004. [8] Y. Hu, S. Kwong, "An image fusion based visible watermarking algorithm", Proceedings of the 2003 International Symposium on Circuits and Systems, 794-797, 2003. [9] G.W. Braudaway, K.A. Margerlein, F.C. Mintzer, “Protecting publicavailable images with a visible image watermark”, Proc. SPIE Conf. on Optical Security and Counterfeit Deterrence Techniques. vol. SPIE 2659, pp. 126–132, 1996. [10] M.S. Kankanhalli, Rajmohan, K.R. Ramakrishnan, “Adaptive visible watermarking of images”, IEEE Int. Conf. on Multimedia Computing and Systems. vol.1, pp. 568–573,1999. [11] J.H. Holland, “Adaptation in natural and artificial system: an introductory analysis with applications to biology, control and artificial intelligence” Cambridge, MA: MIT Press; 1992. [12] V. Aslantas, “A singular-value decomposition-based image watermarking using genetic algorithm”, AEU - International Journal of Electronics and Communications, Volume 62, Issue 5, 386-394, 2008. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 182

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Threshold Cryptography Based on Blakley Secret Sharing İlker Nadi BOZKURT, Kamer KAYA, Ali Aydın SELÇUK, Ahmet M. GÜLOĞLU Keywords Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 183

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Alternative Approach to Maurer’s Universal Statistical Test Ali DOĞANAKSOY, Cihangir TEZCAN Keywords Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 187

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Extended Results for Independence and Sensitivity of NIST Randomness Tests Ali DOĞANAKSOY, Barış EGE, Köksal MUŞ Keywords Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 190

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Variant Constructions for TMTO based on Random Mapping Statistics Nurdan SARAN, Ali DOĞANAKSOY Keywords Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 195

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Provable Electronic Marketplace Bidding Auction Protocol with Bid Privacy Wenbo SHI, Injoo JANG, Hyeong Seon YOO assumptions for three-party in Jaiswal’s scheme. Abstract—In this paper, we proposed a provable electronic Sealed-bid security is inherent weakness, because it isn’t marketplace bidding auction protocol. The proposed protocol easy to avoid auctioneer opening bids especially in two party’s tries to reduce DOS attack and avoids replay data attack by protocol. In Chang’s protocol, there isn’t a deliberate providing ticket token and deal sequence number to the supplier. It utilizes efficient LPN-based authentication method to mechanism which can avoid opening bid before bidding phase accomplish lightweight authentication. And it publishes an is closed. It provides an auctioneer opportunity to collude with interpolating polynomial for sharing the data of determination a certain bidder and leak updated information about bids to the process and avoids collusion between a customer and a certain bidder, so the anonymity of bidders depends on auctioneers [6]. supplier. Also it relaxes trust assumptions for three-party. In Liaw’s protocol, the third party also can leak the information According to comparison and analysis with other protocols, our to a bidder whom he intends to collude with, so the anonymity proposed protocol shows good security and less computation cost. of bidders depends on the third party [7]. In the proposed Keywords Index Terms—Anonymity, Electronic auction protocol, nobody else but the bidder himself can open bids before bidding phase is closed. It guarantees identity non-disclosure independently. I. INTRODUCTION I N 2002, Collins et al. presented a multi-agent marketplace, MAGNET (Multi-Agent Negotiation Test-bed) for electronic business-to-business market [1]. As business value II. PROPOSED SCHEME The proposed protocol has following phases: planning, and criticality of electronic transactions increase, it becomes bidding, auction close and winner determination (Fig. 1). ever more important to examine the security risks present and For convenience, we assume there are n1 customers (C), n2 take steps to avoid them. So Jaiswal et al. proposed security suppliers (S) and one market (M) in our auction scheme. A protocol to improve MAGNET in 2004, which consider certification authority (CA) is needed in key pre-distribution security problem into real-world networks [2]. But the long-term key process. CA chooses and publishes large prime improved protocol still has some weaknesses: vulnerable to the number p1, p2 such that p1-1 and p2-1 have large prime factors. replay data attack, DOS (denial-of-service) attack, anonymity Let q1, q2 are prime divisor of p1-1 and p2-1 separately, g1 and g2 disclosure weakness, collusion between a customer and a are generator with order q1, q2 in GF(p1) and GF(p2) separately. certain supplier. Let Si be the identity of a supplier, Ci be the identity of a The proposed protocol adopts conference key concept [3] customer. and ticket token in supplier group. Also market generates deal CA assigns secret key xi1 Z*q1 and computes public key y sequence number (dsn) and random number (r) for suppliers i1=g1 xi1 mod p1 for each C and M, where 1<i1 n1+1 [3]. CA who have download requests for quotes (RFQ). It utilizes assigns secret key xi2 Z*q2 and computes public key y i2=g2 xi2 efficient LPN-based authentication method to accomplish mod p2 for each S and M, where 1<i2 n2+1. CA assigns two lightweight authentication [4,5]. When auction is closed, symmetric key xi3 R{0,1}k, yi3 R{0,1}k, for each S and M, market constructs a simple interpolating polynomial for sharing where 1<i3 n2+1. Then, CA gives those secret keys to M,each the data of determination process in supplier group who have C and S in a secure way. taken part in this auction. Sharing the data of determination process can avoid collusion between a customer and a certain A. Planning supplier. Furthermore, we relax the assumption about collusion Ci sends M1=SKc(RFQ) a RFQ message which is signed by between customer agent and supplier agents and trust Ci’s secret key SKc to M for publishing. After receiving RFQ message, M verifies and publishes RFQ. M constructs ticket token polynomial by steps below: Wenbo Shi is with the School of Computer science and Engineering, Inha University, Incheon, Korea. 1). Randomly chooses integer r and ticket token T Z*q2 and Injoo Jang is with the School of Computer science and Engineering, Inha gets timestamp t from the system and computes A=gr mod p, University, Incheon, Korea. B=r*T+H(t||A)* xm2 mod q2 , where H() is a one-way hash Hyeong Seon Yoo is with the School of Computer science and Engineering, Inha University, Incheon, Korea. function. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 200

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION M C. Auction close When the auction is closed, M authenticates each S’s agent M1 by steps below: C S P b Publish M2 1. Si chooses a blinding vector a1 randomly a1 R{0,1}k, and Download sends {dsn, Si, a1, T1} to M, where T1 denotes a valid 1 timestamp. Publish M4 M3 2. After receiving {dsn, Si, a1, b1}, M checks T1 and chooses 2 challenge b1 randomly b1 R{0,1}k, publishes (dsn, Si, a1, LPN b1, T2), where T2 denotes a valid timestamp. 3. Si gets b1 from publish board, then computes response z1= Si Pass ? M5 a1·x b1·y v, and sends { dsn, Si, z1, T3}, where v denotes a Publish M6 noise bit, T3 denotes a valid timestamp. Publish M7 4. After receiving { dsn, Si, z1, T3}, M checks T3 and publishes 3 D Download (dsn, Si, z1) and accepts the round if a1·x b1·y=z1. After that, M announces whether Si’s agent passes the authentication or not. If passed, Si’s agent send M5= SSks (dsn, r, 4 M8 xi3 yi ka). After receiving it, M publishes M6 =dsn, r, xi yi Publish M9 Download ka. S can check and verify whether their messages were actually received and displayed by M. M publish M7 =RFQ#, Fig. 1. The proposed protocol EPkc((dsn1,r1,ka1),…(dsni, ri, kai),…(dsnn,rn,kan)), where EPkc () is encrypted by Ci’s public key yi1. According to the message 2). Computes secret key shared with each S as: kmi2= yi2r mod published by M, Ci will download corresponding M3 from the p2 , where 1 i2 n2 publish/subscribe system, and decrypt the data block and get all 3). Constructs ticket token polynomial f(x) for publishing. valid bid information. Having authenticated S group twice, M n2 can make sure that each participant is legitimate S. f ( x) (x k mi2 ) T mod p2 i2 1 D. Winner determination x n cn 1 x n 1 ...... c1 x c0 mod p2 (1) Ci sends message about winner information M8=SSkc (RFQ#, Where cn-1,c n-2,……c1,c0 Z*q2 rwinder) to M. After M receiving Ci’s message, M checks 4). Publishes M2=A, B, t, cn-1, c n-2,…c1, c0. whether the winner contained in legitimate S list (dsn1,r1,ka1),…(dsni, ri, kai),…(dsnn,rn,kan). If the winner is B. Bidding contained, M publishes the winner information on board for If Si is interested in this auction, Si will do such steps: notifying S. If there is a controversy about winner, M will 1). Gets A, B, t, cn-1, c n-2,…c1, c0 from M’s publish board. choose a large prime number p and a primitive element g for 2). Checks whether t is a valid data or not. GF(p), where GF(p) is the set of integers {0,1, … ,p í 1} with 3). Computes the secret key shared with M as: arithmetic operations defined modulo p. And M generates a x ki2 m =A i2 mod p2 (2) symmetric session key K, K Z*q. Then M uses the signature 4). Gets T by computing f(kmi2) datum of S who have taken part in current auction to construct a f (ki2 m ) ( ki2 m ) n cn 1 ( ki2 m ) n 1 ...... c1 (ki2 m ) c0 mod p2 derivation function F(x) and conceals K in it. After that, M T mod p2 (3) publish the coefficient c’n-1, c’ n-2,…c’1, c’0 of the F(x), where 5. Verify T by computing H(t||A) and check the equation: SSksi (kai, ri) are S’s signature data (i=1,2,…,n). M encrypts bid g B { AT *ym 2 H (t || A) mod p2 (4) data of determination process and publish M9=RFQ#, Ek(bid determination process). After getting T, Si use T to download RFQ. When Si n downloads the RFQ, M generates dsn and r to Si. After getting F ( x) ( x h ) K mod p i 1 i dsn and r from M, Si generates a bid-message comprising of x cn 1 x n 1 ...... c1 x c0 mod p (5) n RFQ number (RFQ#), dsn and r, symmetric auction-session S Sksi ( kai , ri ) mod p 1 key (ka), bid data (bid), where ka is generated by Si himself. Where hi g (6) Then Si signs, hashes and encrypts message and sends M3 to c’n-1, c’ n-2,……c’1, c’0 Z*q market. Where M3=[RFQ#,dsn,H(r,dsn),Eka (SSks(bid)) ,H(r, Eka (SSks (bid)))], SSks (bid) is a bid data block signed by Si’s secret III. SECURITY ANALYSIS key Sks, Eka (SSks(bid)) is a data block encrypted by ka. After Theorem 1. Assume no man can modify publish message receiving messages came from S, M publishes all M4=(RFQ#, except M. After M publish A=gr mod p, B=r*T+H(t||A)* xm2 (dsn, M3, H(M3))) on publish board. mod q2 , t, coefficients cn-1, c n-2,…c1, c0 Z*q2 of ticket token function (1), no man can get ticket token T besides S group. Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 201

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION manipulate message sent by S to M. But the attacker cannot Proof. Because M has computed each S’s secret key kmi2 as the modify any information, because S can check the message on solution of the ticket token polynomial function f(x), where board each round. Due to the publish system, the attacker kmi2= yi2r mod p2, 1 i2 n2. Furthermore, only legal S can cannot manipulate the challenges published by M. According compute kmi2= yi2r mod p2, where kmi2 = k i2m. So legal S can to what is mentioned above, the attacker doesn’t have any have the valid kmi2 that satisfies f(kmi2)=T mod p2 for getting T. opportunity to disturb the authentication process. Situation 1. If one attacker wants to obtain r from A=gr mod p, he will face the difficulty of solving the intractable discrete Theorem 4. Assume M publish message correctly, where logarithm problem. message are coefficients c’n-1, c’ n-2,…c’1, c’0 Z*q of function Situation 2. If one attacker wants to obtain T from F(x) and Ek(bid determination process), then M can make sure B=r*T+H(t||A)* xm2 mod q2, because there are two unknown that S who have taken part in this auction can check fair deal. parameters r and xm2, still he must solve the intractable discrete logarithm problem. Proof. Because M computes each S’s signature data SSksi (kai, ri) Situation 3. If one attacker wants to compute T from the as the solution hi (see equation (6)) of the polynomial function function f(x), he should know the valid kmi2 that satisfies F(x), where SSksi (kai, ri) is S’s signature data (i=1,2,….n). So f(kmi2)=T mod p2. It means that the attacker must solve the only legal S who have taken part in this auction session have intractable discrete logarithm problem. the valid hi that satisfies f(hi)=K mod p for computing K from the function. After getting K, each legal S can decrypt data Theorem 2. Assume M received S’s message M3 safely. M can block Ek(bid determination process) and check the fair deal. make sure that M3 comes from legal S group. After M publish Situation 1. If an attacker want to compute K from the M4 on board, S can make sure that M receive RFQ very well. coefficients of function(5), he should know the valid hi that satisfies f(hi)=K mod p. It means that the attacker must solve the Proof. S open RFQ# and dsn information for temporary identity intractable discrete logarithm problem. Therefore, the attacker in M3. We make sure that the key ka larger than 160 bits and certainly cannot reconstruct the F(x) to get the session key K therefore is able to withstand the exhaustive key search attack from there n points (1, Fi(1)), (2, Fi(2)),……,and (n, Fi (n)) on data block Eka(SSks(bid)) [8]. Because M cannot decrypt the only. data block Eka(SSks(bid)), and M has recorded r as r’ in planning phase, market can just verify whether information dsn and data IV. SECURITY ANALYSIS block Eka(SSks(bid)) are valid by computing hash(r,dsn) ?= In this section, we discuss Chang’s protocol (a), Liaw’s hash(r’,dsn) and hash(r,Eka(SSks(bid))) ?= hash(r’,Eka(SSks(bid))). protocol (b) and proposed protocol (c) [6, 7]. The comparisons Because an attack cannot get valid r to forge hash(r,dsn) and of computation operations of the initial phase and bidding hash(r,Eka(SSks(bid))). After verifying the data block, M can phase among those protocols are shown in TABLE I. Assume make sure whether M3 come from legal S or not. After M length of the prime number p is 1024 bits in Diffie-Hellman and published M4=(RFQ#, (dsn, M3, hash(M3))) on board, S can public key encryption, symmetric key length is 128 bits (for verify whether M receive their message M3 correctly by AES), hash function digest is 160 bits (for SHA-1), public key computing hash(M3)?= hash(M3’). certification is 1024 bits, signature length is 320 bits (for DSA).Because operation of RSA’s computation can be Theorem 3. Assume M finished the communication with S by summarized as a modular exponentiation operation, and the LPN authentication method. Mutual authentication has computation cost of a modular exponentiation computation is achieved between M and each S. about O(|n|) times that of a modular multiplication computation where |n| denotes bit length of n. So compared with a modular Proof. The hardness of the computational LPN problem has multiplication computation in Zn*, the computation time been shown to be NP-complete [4]. Our LPN-based consumed by hashing operations, symmetric encryptions or authentication method adopted HB+ computing prototype. decryptions can be neglected. And symmetric cryptosystem is Even though Gilbert proposed that HB+ is not secure against a 1000 times faster than asymmetric cryptosystem and hash man-in-the-middle attack [5], because our auction scheme function is 10 times faster than symmetric cryptosystem [9]. inherits the idea of publish system, we can make sure that the process of authentication is secure and sets up mutual V. CONCLUSIONS authentication. As mentioned above, the current paper proposed an The condition when HB+ protocol attack happen is that the electronic marketplace bidding auction protocol whose security attacker can manipulate challenges sent by M to a S during the is based on the well-known Discrete Logarithm assumption. It authentication message exchanges. In our LPN-based satisfies security requirements of an electronic auction, such as authentication process, M utilizes publish system to show anonymity, non-repudiation, verifiability etc. And the proposed messages which S have sent. So S can check and verify whether scheme relaxes trust assumptions for three-party in Jaiswal’s their messages were actually received and displayed by market. scheme. According to discussion and analysis with Chang et We assume that there is an attacker in the middle, and he can Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 202

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION al.’s protocol and Liaw et al.’s protocol, our proposed protocol shows better security in anonymity, fairness and reliance on the third party. Therefore, the advantages of our proposed bidding auction protocol are difficulty collusion. TABLE I. NUMBER OF OPERATIONS FOR PHASES Phase a b c Initiation phase 4 HF 5 HF 2HF 2 SKE 0 0 2 SKD 0 0 2 PKE 3 PKE 1 PKE 2 PKD 3 PKD 1 PKD 4 ME 0 6ME 2R 5R 3R Bidding phase 0 0 4 HF 2 SKE 0 1 SKE 2 SKD 0 0 1 PKE 5 PKE 1 PKE 1 PKD 5 PKD 0 0 0 1MM PKE: Public Key Encryption; PKD: Public K SKE: Symmetric Key Encryption; SKD: Sy HF: Hash Function; ME: Modular Exponen R: generate a random number; MM: Modula REFERENCES [1] J. Collins, W. Ketter and M. Gini, “A multi contracting tasks with temporal and precede Journal of Electronic Commerce, vol.7, no. [2] A.Jaiswal, Y. kim and M. Gini, “design an multi-agent marketplace,” Electronic Applications, vol.3, no.4, pp.355-368,2004 [3] E.K. Ryu, J.-Y. Im and K.Y. Yoo, “Securit key distribution system,” Applied Mathema 833-839,2005 [4] O.Regev, “On Lattices, Learning with error Cryptography,” 37th ACM symposium 84-93,2005 [5] H. Gilbert, M. Robshaw, H. Silbert, “An a provable secure lightweight authentication Archive, Report 2005/237, 2005 [6] Chang, Y.F. and Chang ,C.C, “Enhanced with freewheeling bids”, 20th Internation Information Networking and Applications, [7] Horng-Twu Liaw, Wen-Shenq Juang and online bidding auction protocol with both security and efficiency,” Applied Mathematics and Computation, 174(2), 1487-1497, 2006 [8] National Institute of Standards and Technology (NIST), Digital signature standard. Federal Information Processing Standards Publication, FIPS PUB 186, p. 20, 1994 [9] Chun-I Fan, Yung-Cheng Chan and Zhi-Kai Zhang, “Robust remote authentication scheme with smart cards,” Computers & Security , 24(8) , 619-628, 2005 Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 203

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION A Strong Two-Way Authentication Method for Low Capacity Solutions Gökhan DALKILIÇ, H. Şen ÇAKIR, M. Hilal ÖZCANHAN certification technologies opt to use their own local certificate Abstract— One of the widely known challenge - response authorities. This puts the whole operation in jeopardy, since authentication methods is the two–way authentication. First two- hacking intermediary certificate authorities and public-keys are way authentication methods were limited by those days’ capacity of among today’s new hobbies. In addition, the cost of premises and processing power and had limited security. The later protocols and standards on the other hand were too broad and resource user protection of such certificate servers do not match the efforts demanding because they aimed at addressing all of the security spent in the design of the authentication tool. Designing a more demands of the “future”- as seen in those times. With the appropriate authentication method and spending less on servers availability of new techniques and new tools at low costs, a finer would be a much better solution. granularity on the security of low capacity, low cost environments One vulnerability of public certificate authentication is that has become possible with good cost/performance ratios. Of course people rarely question the validity of the certificate of their these solutions need careful design and functional definition, before being used in small designs. Our alternative two-way authentication transaction partners. The awareness of questioning the validity of is a step towards giving more meaning to the parameters suitable the public certificate of an applicant is reduced to a just “click for low cost solutions, instead of using public-keys or certificates ok” action by many users. Such care free applications cannot be and still have a key exchange protocol as secure as others. accepted as secure. We attempt to address these issues by providing a low cost Keywords Index Terms— authentication, mutual-authentication, low-cost alternative to the public-keys and certificates in two-way devices, security. authentication, robust enough to make two-way authentication more cost effective in advanced systems and more affordable in low cost, low capacity solutions. I. INTRODUCTION T o pay respect to Diffie Hellman let us remind ourselves that they were the fathers of two-way authentication. Even though the first Diffie Hellman authentication[1] was susceptible II. PRESENT SOLUTIONS AND CONFORMITY TO STANDARDS The flaws of Diffie Hellman key exchange; conversation in to a man-in-the-middle attack, some considerable time passed clear text and the full reliance on a stranger’s identity have been until this vulnerability was tackled and remedied for. tackled by many. Oakley key exchange[2] is one of the most Up to present day, cryptographers are still working on two- famous of them all. However, it is commonly accepted that it is way authentication to make it stronger against all known attacks. computationally very intensive and requires a lot of resources. Of To this end today’s popular public-key and public certificate course, there are other work adding extra security to the original tools are utilized. But these tools are known to cost in terms of Diffie Hellman key exchange, but there is a need for some ownership, processing, storing and protection. Relying on standards to provide a common ground for the basic criteria that abundant resources in applications is nothing but seeking a everybody should accomplish to claim that their two-way forceful solution to counter-measure the vulnerabilities of two- authentication method is secure. The standard in this area is the way authentication. To give an example, designers are pushing X.509 standard[3] which is discussed below. the use of public certificates for authentication in small scale devices and even in wireless solutions. To exaggerate the abuse A. The X.509 Standard of resources, the certificates are required in every step until the Standardization authorities trying to put some standards to whole transaction finishes. one-way, two-way and three way authentication protocols have Every network and hardware expert knows that passing come up with a standard for two-way authentication, too. This is certificates attached to each and every step of the transaction is a the X.509 Strong Two-Way Authentication standard and must be costly act in terms of network traffic and processing power. To studied here, to prove that our proposed alternative is in cut the costs of the network load, some institutions using conformity with the standards and does not open up new flaws by over simplifying some parameters or steps. Manuscript received November 10, 2008. Date of paper submission November The X 509 Strong Two-Way Authentication standard – shown 10, 2008. in Fig. 1 - asks the initiator A to use a time stamp, a nonce , the Gökhan DalkÕlÕç is with the Computer Engineering Department, Dokuz Eylul ID of the responder, sign all of these in a new entry and pass the University, Izmir, 35160 TR (e-mail: dalkilic@cs.deu.edu.tr). H. ùen ÇakÕr is with the Computer Engineering Department, Dokuz Eylul proposed session key Kab encrypted with the public key of the University, Izmir, 35160 TR (e-mail: sen@cs.deu.edu.tr). responder B. Similarly the responder has to send its own M. Hilal Özcanhan is with the Computer Engineering Department, Dokuz timestamp, nonce and ID. B also has to sign the nonce and its ID Eylul University, Izmir, 35160 TR (e-mail: hozcanhan@cs.deu.edu.tr). Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 204

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION and send it to A, together with its own secret encrypted with A’s of the responder are preserved. However, the ID of the initiator public key. The standard is well balanced in terms of doing the will also be added for denying DoS attacks and for informing B same computations and exchanging similar parameters, by the about whose secret tables (which secrete to share ) to use. Then, partners. However, there are a few points worth pointing out three of these four parameters will be hashed together with a here. The first point is although the ID of the responder is secret shared by both parties and will be sent for B to compare present, the ID of the initiator is missing in the challenge. the clear text with the hashed version. The computation of the That piece of information is needed for two reasons: To be ------------------------------------------------------------------------ sure that the first message indeed arrived from the initiator and 1. A Î B {tA, rA, IDA, IDB, h(rA, IDA, IDB, secretAx )} 2. B Î A {tB, rB, IDB, IDA, h(rB, rA, secretAx), E(K) , Ks)} ---------------------------------------------------------------------------- Notation : AÎB: { tA, rA, IDB, sgnData, E [ PUb, Kab]} tA , t B : timestamp of A and B, optionally expiration time also incl. rA , rB : nonce, pseudo-random number of A and B. BÎA: { tB, rB, IDA, sgnData, E [ PUa, Kba]} IDA , IDB : Identity of A and B. Notation : secretAx : shared secret , comes from Table A tA , tB : timestamp of A and B, optionally expiration time also incl. PUa , PUb : Public-key of A and B. rA , rB : nonce, pseudo-random number of A and B. IDA , IDB : Identity of A and B. K) , Ks : Calculated encryption key and secret parameter of B sent to A. sgnData : signature of A or B over parameters (tX , rX , IDX) ------------------------------------------------------------------------ PUa , PUb : Public-key of A and B. Fig. 2. The alternative Two-Way Authentication proposed. Kab , Kba : Secret parameter of A sent to B and B to A. -------------------------------------------------------------------------------------------------- secret secretAx used in the challenge will be explained below. Fig. 1. The X.509 Strong Two-Way Authentication standard. ¤ Copyrighted, Cryptography and Network Security [4] , by William Stallings. In the response there are six parameters as opposed to the five of X.509. Again the timestamp, the nonce and the ID of the to protect the responder from DoS attacks[4]. The signature of challenger are preserved. However, the ID of the responder will values and the encryption-decryption processes involve intensive be added for preventing DoS attacks and for informing A about computations and assumes that both parties have the necessary whose secret tables to use. Again the clear text parameters, capacity to do the calculations fast. Another point is the excluding timestamp, will be hashed together with the same assumption that each side has the public-key of the other secret secretAx and will be sent to A to compare the clear text beforehand[4]. It is obvious that even if the two sides are total with the hashed result. Then there is an additional parameter strangers to each other, there is a mediator -the certificate where the session key is passed in encrypted form. Let us now authority- that authenticates the two sides to each other. But the study the details of the exchanged parameters, because compared question arises “Do we really need certificates, signatures or to X.509 standards some parameters have additional roles, some public-keys in low cost-low capacity solutions to make an parameters are missing and there are unexplained shared secrets. exchange secure?”. We don’t because the low cost solutions A. The ID Parameters: IDA and IDB cannot make the computations of certificates easily. The ID parameters have always been the weak point of B. Can certificates, public- keys and signatures be replaced by challenge-response authentications. Our suggestion, this value is other secure parameters and algorithms in low cost solutions? strengthened for both by the inclusion of a unique serial number We may rephrase the question as “Can low capacity solutions (S/NX), by concatenating the IP address (IPX) with S/NX (1). with shared secrets exchange secure session keys too, without the need for certificates?” The answer is “Yes, they can.” With the IDA { IPA || S/NA ; IDB { IPB || S/NB (1) advances in integrated devices and the drop in their prices, new technologies make it possible to have the secure secrets needed Obviously, there will be an additional security in identities for two-way authentication. When used properly, these because they have become unique and dynamic. Thus, when a technological devices can match the security of the expensive party changes its address, it can be traced and a peculiar IP certificates and public-keys, as we will show shortly. address for a device may mean a masquerade attack and thus ring A note of caution before indulging in details though: In the some alarms. X.509 standard, the parameters are used to calculate the session The Serial Numbers S/NA and S/NB are coming from a secure key and provide additional security. However, the parameters can memory location[5,6]. Another property is to help the exchange be used to calculate the key to encrypt the session key before partners match the serial number of its reciprocal to the secret exchanging it, if that “interim” key is secure than the tables A and B of the same reciprocal, which will be used during authentication is as secure as the others. the key exchange. In other words, every device has a unique pre- lasered Table A and a re-writeable Table B. Fig. 3 shows the features of a commercial product[5] where the product has a III. THE PARAMETERS OF THE PROPOSED TWO-WAY unique, factory-lasered 64-bit serial number used as an input to a AUTHENTICATION hashing engine. More information on that technology and tables is given in section V. Let us for now accept that we can have a First of all, the parameters of the proposed two-way key unique and dynamic ID for our partners A and B. In Fig. 3 only a exchange will be outlined. Our proposed two-way authentication one-way authentication commercial product is depicted for is shown in Fig. 2. Here also five parameters are passed, in the simplicity but the same device can be used for two-way challenge. Let us remember that the motive is to add more authentication; since B has what A contains, on a piece of paper meaning to the parameters. The timestamp, the nonce and the ID Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 205

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION supplied by the manufacturer. The principle is still the same: A device with a unique serial number hinting at unique static and dynamic secrets, that it shares with B. Fig. 4. A typical commercial application of a secret number as an input to a hashing engine, in an authentication process. Copyright Courtesy of Dallas Maxim Semiconductor [7]. Table B will be unrevealed shortly. pointerA# Table A pointerB# Table B Fig. 3. A typical commercial application of a serial number in an authentication secretA0 secretB0 1 1 process. Copyright Courtesy of Dallas Maxim Semiconductor [5]. secretA1 secretB1 2 2 secretA2 secretB2 B. The Timestamps and Nonces tA, tB and rA ,rB 3 3 secretA3 secretB3 These parameters are the same as those used in the X.509 4 4 secretA4 secretB4 standard. There are no alternative or additional properties of 5 5 timestamps. The use of the nonces is the same but there is an 6 secretA5 6 secretB5 additional role for each of the nonce values. These additional secretA6 secretB6 roles and the regular usage will be explained in the section where 7 7 secretA7 secretB7 the mechanism of the key exchange is outlined. 8 8 C. Instead of Signatures, The Secret(s) of A Fig. 5. The static and dynamic secret tables of A. Parameters utilized in the X.509 standard are agreed upon beforehand, that is parties share some information before they Of course, the manufacturer supplies the unique Table A start the exchange. They know that the last parameter passed is during delivery; thus only the responder should have a prior copy encrypted with a public-key. The most important issue is the of the secrets. In our alternative we will not just use Table A’s strength of the public-key encryption. We claim that if the secrets but other inputs as well to make a hash, e.g. an entry from encryption key K) used in our design is as secure as the public- Table B. That mechanism and Table B is explained below, in key of the X.509 standard, than our alternative authentication is detail. also as secure. Furthermore, in X.509 there is only one private The hash of the two parties’ IDs together with the first secret key, in ours there are many secrets leading to many keys. entry of Table A looks very similar to the signed data of the X.509 standard. But our alternative is cheaper in every respect. In Fig. 4 there is another commercial product[7,8] where an internal 8 byte secret is input together with other parameters into D. Instead of Public Keys: Table A & Table B of party A. a hashing engine, namely a SHA-1engine[5,7,9,10,11]. This Looking back at our proposed key exchange shown in Fig. 2 example shows that it is possible to have a secret inherent in a the key K) that is used to encrypt the session key is in the heart low cost system, which can be used together with the other of our design. While in other key exchanges the session key is secrets as an input to a hashing function. The hash function is co-generated, in our design the session key is generated by the sometimes accepted as a raw version of a signature. The responder B. The key that encrypts the session key; K) is co- important issue here is to make sure that the secrets stored in the generated instead. Let us see the inputs to K). In the previous device can be trusted. This is tackled later in section V. Secret section, we had introduced a shared secret from a table while protection requires that the internal secret never leaves the calculating the hash of the challenge parameters. So we already system. The best security is to keep the secret inside the have Table A of Fig. 5 with eight secrets, written once and only processor while using it to hash the inputs. For our purposes we read internally. At the very beginning of the key exchange, when assume that today’s manufacturers guarantee to provide us with the two parties have just initialized, A starts using the first entry many secrets of satisfactory lengths inside a low capacity device; in Table A; that is secretA0 to calculate the hash in the challenge. i.e. eight different 64 bit secrets. Therefore, we can imagine Moreover, A points to a secret from Table B using its nonce rA in having a table of eight different unique static secrets. Let this be the challenge. B uses the secret secretBx pointed by A as one of the the Table A of Fig. 5. inputs to calculate K). How B calculates the value of x in secretBx Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 206

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION is left to the explanation of the exchange mechanism in section IV. THE EXCHANGE MECHANISM IV. Our proposed two-way authentication alternative (Fig. 2) does not look much different than the X.509 standard which means we SecretBx have not deviated far from the standard. However, some 20 128 Hashing Byte bit parameters have additional meaning and uses. S/N , constants Engine Output key Truncation A. The Challenge SecretAx Let us start by studying the challenge. The first parameter, the time stamp tA is the same as that in the X.509 standard. Fig. 6. Calculation of key K). ------------------------------------------------------------------------- A Î B {tA, rA, IDA, IDB, h(rA, IDA, IDB, secretAx)} Some commercial eeproms and secure microcontrollers also ------------------------------------------------------------------------- supply a memory page that can be filled by the user. Thus, the Fig. 7. The challenge of the proposed key exchange. user can create more secrets in another protected table, over just one wire (called 1-wire [9,10]). This technology is explained It consists of an optional generation and expiration time. Thus briefly in section IV. In our case, let us assume that Table B of a delayed delivery of the first message can be detected and a Fig. 5 is the table we created. B uses this shared secret, e.g. retransmit request can be made by B. secretB6, some constants, secretA0 as input to the same SHA-1 The second parameter, the unique random number- nonce rA- function and truncates the 20 byte outcome to desired key length however has three roles instead of two. The commonly known of 128 bits, as shown in Fig.6. Since a SHA-1 engine is already role is to help detect replay attacks. B must compare nonce rA used to hash the challenge parameters, why not use the same with the previous nonces and reject any challenges with the same hashing engine SHA-1for calculating K) . Obtaining K) by using nonce. Thus nonces are not discarded but stored for later manufacturer made static and user defined secrets, remove any comparisons. The second role of nonce rA is a challenge to party doubts on the static secrets. Since K) is calculated by using the B to show both, that it has received this fresh nonce rA eight by eight secret tables many would think that the value of untampered and will send a response proving it has the shared K) is limited to a possibility of 64. That is not true. The outcome secret, secretAx. This will be explained in the response section. of the SHA-1 engine is 20 bytes and K) is obtained by truncating Additionally, as a third role nonce rA is a pointer to the secretBx , this value, which makes K) more random. By making the one of the parameters used to calculate K). Since the nonce is a truncation method complicated a huge number of K) values can large random number, the pointer to secretBx is calculated as be obtained. One simple way may be, looking at the last digit of follows (2), for an eight entry table: the nonce rA. E.g. if it is 0: take the right-most 128 bits of the SHA-1 outcome; if it is 1: take the leftmost 128 and if it is 2: x = (lastdigit of nonce rA) mod 8 ; therefore 0 x 7 (2) take the mid 128bits. Even this simple trick yields a 3x128 possible values of K). Assuming that the last digit of nonce rA is 3, in the challenge, Also observe that K) is never passed on the communication party A is telling party B to use the secret at location 3 of Table line, a property of the session key Ks in the other key exchanges. B in Fig. 6– which happens to be secretB2. B uses this value to Therefore there is no loss of property in our suggested calculate K) and uses K) it to encrypt Ks as explained in the alternative. The explanation of how the entries from Tables A previous section. and B are chosen when the old one expires is left to section IV The initiator A, also sends its identity IDA – authenticated with below, when the mechanism is elaborated on. its serial number, as an additional parameter compared to the X.509 standard. This parameter is absent in X.509 because A E. The session key signs some parameters with its private key. B can only open it by The key Ks that is the heart of other designs is a relaxed issue using A’s public key; hence thinking it must have definitely in our case. It is simply generated keeping in mind all the come from A. But this requires B to know the public key of A recommendations given by cryptographers. Its length, uniqueness and make a computation to strip the signed information out of the and other properties are left to the choice of the solution owner. signature and compare with that sent in clear text. We believe But since there is a SHA-1 engine in our example[5,7]; maybe a that this can clog low capacity devices, in case of a DoS attack. SHA-2 in a more expensive solution, this same hash function can Our suggestion is to send the initiators identity IDA in clear text, be used to calculate Ks. Any preferred entries from tables A and for B to be able to drop the call quickly, in case of an unexpected B, together with the serial number, a random number (seed) and challenger. any other entries in the rest of the secure memory can be the The authentication of A’s identity and the integrity check of input to the hash engine. The 20 byte output can be truncated in the clear data are done in the next parameter. Identities are any preferred way to obtain a 128 bit key Ks. The vital point is hashed together with the nonce rA and secretA0. And this is very that this new session key Ks is encrypted using K) before being similar to the signing process, in the X.509 standard. The hash sent to A. Commercial devices with an embedded AES has the secretA0 as an input, which is never passed to B. Including encryption engine and a SHA-1 hashing engine are common A’s nonce in the hash makes sure that if rA was tampered on the today. Therefore, Ks can be encrypted using K) with an AES way it will be detected by B, because the result of the hash will engine and sent to A in the response. not match the clear text values that A has sent. Finally, IDB is necessary for B to check quickly if itself is the Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 207

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION intended address. If not, it simply drops the call. x == (lastdigit of nonce rB) mod 8 ; therefore 0 x 7 (3) The last point to mention is the missing parameter of X.509, in our alternative. In standard X.509, party A both starts off an Assuming the last digit of nonce rB is 6, in the response, B is exchange and at the same time forces a session key Ks in one go. telling party A that when the time expires and A has to make a It was mentioned before too that using public-keys as a means new challenge, the secret at location 6 of Table A in Fig. 6 has to for exchanging secrets overwhelms low cost, low capacity be used– which happens to be secretA5. Thus, nonce rB is a solutions. But more critical than that; accepting a secret and the forecast to A about the next secret to be used in the next identity of a caller in the same step can be a flaw. Because again challenge. a malicious attacker can clog B. The final session key should be The parameters IDB and IDA were explained in detail before. settled only in the second step, when parties really prove one to The only difference is their order, in the response. This is only a the other. After that parties can decide to share other secrets or matter of syntax. more keys thereafter. Finally, B computes K) as described in section III using the secret secretBx dictated by A’s nonce rA (as explained in the B. The Response above section) and generates a session key Ks. B then encrypts Ks The responder namely B, upon receiving the call from A, using a pre-decided algorithm, i.e. AES , and sends Ks to A, in an looks at the timestamp tA. If the message is old, it drops the call encrypted form. immediately and hopes that if it were a real call the sender syncs A has both secrets secretAx and secretBx . secretAx dictated by B its time and makes a new call; after a random amount of time. in B’s nonce rB, and secretBx dictated by A itself. Thus calculates Similarly, a check is run for the nonce rA. If it is the same as the K) , as well. After calculating K) A decrypts the encrypted last message’s nonce, again the call is dropped. message and recovers the session key Ks. That ends the two-way Next B checks the identity of the caller. B must have an idea authentication process and the exchange of a secret session key. about the IP address and the serial number of A. Assume that B Observe that no numbers about K) is sent to each other, but is has a table of serial numbers. B now identifies which secret obtained by either party, from their tables and through some tables A and B are to be used. If A is an expected caller B goes calculation. on to the next check which is the destination address. If B understands that the challenge is for itself, it goes to the final step of checking; otherwise again the call is dropped. V. TECHNOLOGY OF OUR SECURE SECRETS In the final step of checking, if it is the first contact with A after an initialization (more on this in section VI) B knows that A In this section the reliability of random number generators, is using secretA0 and calculates the hash which has four inputs. If static and dynamic secrets, hashing and encrypting engines the result of this hash is a match to the clear text data then A is supplied by manufacturers will be discussed. Although it is not indeed the party making the challenge and the challenge is new. the scope of this paper to detail on these technologies an effort Furthermore it is guaranteed that the contents of the challenge will be made to persuade the reader that our reliance on these have not been tampered with, on the way. technological capabilities is sound. ------------------------------------------------------------------------- The first concern is how secure the secrets recorded on the B Î A {tB, rB, IDB, IDA, h(rB, rA, secretAx), E(K) , Ks)} devices are, at the time of manufacturing. Manufacturers claim ------------------------------------------------------------------------- that they can prove their products contain encrypted information Fig. 8. The response of the proposed key exchange. that only the issuing authority could have created[5,7], plus once written these secrets cannot be read from outside the device but After making these checks B responds by sending its own only used as an input to the internal hashing engines. To fend off timestamp for party A (Fig. 8) to decide if the response is old or side-channel attacks, advanced tamper detection, special NV not. Expiration time was sent by A and can be verified by SRAM memories and electromagnetic radiation control resending it. Time synchronization will not be taken up here, but technologies are used [7]. it is expected that if too many calls are dropped, the parties are Another issue is the 1-wire property of commercial devices expected to do a time sync. [5,7,9,10]. To reach the encrypted code space of a product only The next parameter nonce rB however also has three roles in one wire is used and the whole of the circuitry need not be our alternative. The first one is a check for A to see if the powered on. Manufacturers submit proof that tampering response is a replay or not. The second role is its presence in the detection, encrypted memory and MAC authentication before hash for the parameters to be passed, to authenticate their read and write operations are well up to the security standards[7]. integrity. Here B calculates the hash of its nonce r B, A’s nonce rA The third concern is whether the secrets are unique and only and the secret secretA0. B sends this hash value to A to prove that supplied to the buyer. This can be compared to the trust toward indeed it has received the fresh nonce of A, finished all checking certificate authorities. Major manufacturers of security and has the secret secretA0 apriori, as expected. This authenticates technologies build their industry on the trust they supply to their that the responder is indeed B and gives A the chance to test if markets, therefore they are the secret authorities of their field. nonce rB has been tampered with. Another issue is the quality of the hashing/encryption engines Thirdly, nonce rB is a pointer to the next secretAx for A, to use inside the devices[5,7,8,9]. Manufacturers claim that they in the next key exchange challenge. Since nonce rB is a large guarantee both the uniqueness of the random numbers generated random number, the pointer is calculated as follows (3): –an essential aspect of authentication, and the conformity of hashing function and encryption algorithm of their products to Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 208

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION standards [5,8,9]. In short, all inputs and engines involved in an initialization can be utilized. Even the first key exchange after authentication process can be on embedded on a secure device. any initialization state can be discarded and the key at the end of The technologies using public-keys and certificates have costs the second key exchange process can be accepted as the valid incurring from annual fees, processing power and fast connection key. to third parties. Our alternative, on the other hand has no such costs. VIII. CONCLUSION The offered method is for two-way authentication in limited VI. HOW SECURE IS OUR ALTERNATIVE capacity devices, in order to replace public-keys or certificates. The proposed alternative has to be strong against known As two parties know each other a key K) can be shared. To attacks. In terms of a key exchange authentication our alternative increase the security of the key, the key has a lifetime. Each party doesn’t have a security flaw. It is as strong as the hardware is. has the same two distinct set of secrets. One is unique and Therefore, the only vulnerability may lie in hardware side inherent in the hardware and the other set is co-defined by both channel attacks[6]. To address this type of attack, some parties. Generated session key is encrypted by using K) which is information about the efforts of the manufactures were given in the output of the SHA-1 function. section V, but that is not all. More information about the The inputs of the SHA-1 which finally yields to K) are the definition of side channel attacks and suggested remedies are serial numbers, the nonces, addresses and the secrets from both given in the references[6], the evaluation of these side channel sides. K) is never transferred between the two sides and it makes attacks will not be discussed any further here because they are the algorithm as secure as public-key cryptosystems. the topic of a different argument. The originality and thus the security of our alternative lies not REFERENCES in the generation of the session key to be exchanged, but in the [1] W. Diffie and M. Hellman, "New Directions in Cryptography," IEEE Trans. composition of a key that will be used to encrypt the session key. on Information Theory, Vol. IT-22, November 1976, pp. 644-654. [2] H. Orman, “The OAKLEY Key Determination Protocol”, RFC2412, No matter how strong our key might be the strength of our November 1998. alternative depends on the encryption algorithm used to encrypt [3] C. Adams, S. Farrell, "Internet X.509 Public Key Infrastructure: Certificate the session key. Once that algorithm is compromised or gets old, Management Protocols", RFC 2510, March 1999. [4] Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone “Handbook of a new algorithm has to be employed in the key exchange Applied Cryptography”, CRC Press, 1996, Ch.12 pp511-512. process[8]. That is to say; we recommend to use AES instead of [5] Dallas Semiconductor of Maxim Integrated Products Inc., Application Note DES or 3DES for the encryption algorithm but it is quite possible 1770, Securing Electronic Transactions Using SHA-1 Secure Hash that some day AES will be declared weak. So our authentication Algorithm [6] Dallas Semiconductor of Maxim Integrated Products Inc., Application Note is as strong as AES and no more. The same argument is true for 3824, “Security in Embedded Systems”. the SHA-1 hashing engine used. New products are coming out [7] Dallas Semiconductor of Maxim Integrated Products Inc., Application Note with SHA-512 engines, but for the time being they are not low 3675, “Protecting the R&D Investment—Two-Way Authentication and Secure Soft-Feature Settings”. cost. [8] Dallas Semiconductor of Maxim Integrated Products Inc., Application Note As for DoS attacks, if the attacker intercepts the identity of A Application Note 152, “SHA iButton Secrets and Challenges”. in the challenge and resends the challenge to B, he will not be [9] Dallas Semiconductor of Maxim Integrated Products Inc., Application Note Application Note 190, “Challenge and Response with 1-Wire SHA able to clog B. Because, B uses the nonce or the IP address of A devices”. to drop the challenge. However, if the attacker spoofs the IP of [10] Texas Instruments, SLUS696A–June 2006–Revised February 2007, “SHA- A, as well as tampering with the timestamp and the nonce B 1/HMAC Based Security and Authentication IC with SDQ Interface”. [11] Texas Instruments, SLUA389A–July 2006–Revised October 2006, “How to discovers the attack after examining the hash value in the Implement SHA-1/HMAC Authentication for bq26100”. challenge. Just one hash calculation is not expected to clog B. VII. FUTURE WORK There are a few things that need to be done in the future. First of all instead of eight member secret tables, 64 or more secrets should become available[8]. Furthermore, the secrets can be 128 bit instead of 64 bits. But these are related with the chip manufacturers. Our future work may be related to making better use of the timestamp parameters, i.e. making them intelligent like we did for the nonces. It is possible to add more security by studying the timestamps as natural numbers as well. One more future work is about the initialization of the two parties. It may appear as a problem if one of the parties initializes during or before the key exchange starts. How will one know that the other has initialized. This needs a full consideration because it can turn into a security flaw. But with some work a special timestamp or a new special parameter hinting toward an Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 209

3. ULUSLARARASI KATILIMLI 3rd INFORMATION SECURITY & BÝLGÝ GÜVENLÝÐÝ VE CRYPTOLOGY CONFERENCE KRÝPTOLOJÝ KONFERANSI WITH INTERNATIONAL PARTICIPATION Çoklu Etmen Sistemlerinde Rol Tabanlı Erişim Denetimi için Bir Yaklaşım Önerisi Fatih TEKBACAK, Tuğkan TUĞLULAR, Oğuz DİKENELLİ Bildiriler Kitabý 25•26•27 Aralýk December 2008 • Ankara / TÜRKİYE Proceedings 210

1 FNBDT 210 (Future Narrow Band Digital Terminal)’in IP Ağları Üzerinde Uygulaması O. DĠLLĠ, M.MERT, M. KOYUNCU, S.NAZLIBĠLEK ve N.AKÇAM FNBDT 210’un IP ağları üzerinden G.711 (64 kbps), Özet — Teknolojideki hızlı değişim her alanda olduğu gibi G.729 (8 kbps) gibi yüksek bant geniĢliği tahsisi yapan ses haberleşme sistemlerinde de yaşanmaktadır. Geliştirilen farklı kodeklerini kullanmaksızın, Stanag 4591 Standartına uyumlu sistemler veya cihazlar zaman kaybedilmeden kullanıma 2,4 kbps hızında MELP ses kodeğini kullanarak az bir bant sunulmaktadır. Söz konusu değişim genelde olumlu olmakla geniĢliği tahsisi yapması olarak belirtilebilir. birlikte bazen olumsuz sonuçlara yol açabilmektedir. Bu olumsuz IP dünyasında paket kayıpları fazla miktarda olabilmektedir. sonuçlardan bir tanesi, ISDN, PSTN ve IP tabanlı haberleşme cihazlarının birbirleriyle uçtan uca güvenli olarak haberleşme Fakat gerçek zamanlı uygulamalarda ses paketlerinin yapamamasıdır. Gelişmiş ülkeler tarafından söz konusu sıkıntının kaybolması ses haberleĢmesini ciddi ölçüde etkilemektedir. Bu farkına varılmış ve çözüm bulma gayretleri 20. Yüzyılın çalıĢma, IP altyapısında FNBDT 210 haberleĢme sonlarında başlanmıştır. Bu konuda en dikkat çekici çalışma, davranıĢlarının değiĢik durumlar altında gözlenmesi ABD tarafından başlatılan FNBDT 210 (Future Narrow Band maksadıyla yapılmıĢtır. IP ortamında FNBDT 210’un nasıl Digital Terminal) çalışmasıdır. Bu çalışma, farklı şebekelerde haberleşme yapan cihazların birbirleri ile emniyetli haberleşme davranacağı bilinmediğinden birtakım test verilerinin alınması yapabilmesini amaçlamıştır. gelecekte FNBDT 210 ile ilgili IP ağları üzerinde çıkabilecek olan sorunlara çözüm yolu sağlayacak ve referans Anahtar Kelimeler — FNBDT, Uçtan Uca Güvenli Haberleşme olabilecektir. Bu çalıĢma bu alanda yapılan ilk uygulama olması ile dikkat çekmektedir. Bu çalıĢma ile, çağrı kurma ve Abstract — Fast progress in technologies affects all the domains farklı modlarda haberleĢmede çok önemli yeni veriler elde as well as the communication systems. Different types of systems edilmiĢtir. Bu veriler, bu alanda yeni ve farklı çalıĢmalar or devices are developed and given to the services without losing time. Although these progresses, in general, have positive effects yapacaklara, ıĢık tutacak ve elde edilecek veriler ile sometimes they may cause some problems. One of these problems karĢılaĢtırılabilecektir. is that the different terminal devices based on ISDN, PSTN and IP cannot communicate end-to-end with each other in a seamless secure way. Some developed countries were become aware of the II. FNBDT 210 SĠNYALLEġMESĠ problem and started some studies at the end of the 20 century. The most important study on this problem was FNBDT FNBDT 210 Protokolü, ġekil 1’de görüldüğü gibi UDP 210(Future Narrow Band Digital Terminal) Project. The aim of protokolü üzerinde çalıĢmaktadır. Kriptolama iĢlemi Layer 6 the project was to achieve end-to-end secure communication of ve üzerinde yapılmaktadır. IP paketleri ve UDP paketleri different terminal devices communicating on different networks. kriptosuz gönderilmektedir. Bu sayede Layer 3 ve 4 kapsamında Header Compression yapılabilmektedir [1]. Index Terms— FNBDT, End-to-End Secure Communication. FNBDT 210 sinyalleĢmesi esas olarak bağlantı kurma ve I. GĠRĠġ kontrol sinyalleĢmelerinden oluĢmaktadır. Bağlantı Kurma SinyalleĢmesi, Yetenekler, Parametre/Sertifika, F(R) ve Kripto NBDT 210 protokolü, farklı Ģebekelerde haberleĢme yapan Fcihazların birbirleri ile emniyetli haberleĢme ihtiyacından Senkronizasyon (CryptoSync); Bağlantı Kontrol SinyalleĢmesi ise Ġhbar ĠĢlemleri (Notification), Mod DeğiĢtirme ve doğmuĢ bir protokoldür Protokolün çalıĢması için temel Senkronizasyonu Tekrar Kurma konularını içermektedir. olarak, FNBDT 210 destekli terminal cihazları ile Ģebekeler arasında altyapı dönüĢümü yapan IWF (Interworking Function-Gateway) birimlerine ihtiyaç vardır. FNBDT 210’un farklı network ağları üzerinde uygulama alanı bulunmaktadır. Bu çalıĢmanın IP Ağları üzerinden yapılmak istenmesinin nedenleri; IP Ağ uygulamalarının hem taktik hem de stratejik alanda çok yaygın olması, HaberleĢme alanında IP ağlarının gelecekte daha da yaygın olarak kullanılacak olması,

2 sertifikanın gönderilmesi Parametre/Sertifika mesajı ile olur. F(R) mesajı anahtar takımı ile ilgili bir takım bilgiler (anahtarın tip, uzunluğu vb.), F(R) uzunluğu ve F(R)’ın kendisini kapsayan bir mesajdır. F(R) mesajı iletilmeden önce mutlaka parametre/sertifika mesajı iletilmiĢ olmalıdır. FNBDT 210 bağlantısı kurmada diğer bir adım kripto senkronizasyon mesajlarının değiĢimidir. DeğiĢimi yapılan sertifika ve F(R) bilgileri ile trafik anahtarı oluĢturulmakta, bu anahtar ile test paketi Ģifrelenip Kripto Senkronizasyon Mesajı haline getirilmektedir. Bağlantı kurma sinyalleĢmesinden sonra kurulan bağlantının değiĢikliklere tabi tutulmasıyla ilgili bir takım sinyalleĢme ġekil 1. FNBDT/FNBDT 210 Protokol Altyapısı [2] tanımları mevcuttur. Bağlantı kontrol sinyalleĢmesinin FNBDT 210 sinyalleĢmesi, sekiz baytlık Start of Message maksadı; herhangi bir sebeple bağlantıyı sonlandırmak, mevcut (SOM) ile baĢlayıp sekiz baytlık End of Message (EOM) ile uygulamayı değiĢtirmek, diğer terminali ikaz etmek ve/veya sonlanmaktadır. kripto senkronizasyonunu baĢtan sağlamak olabilir. Bağlantı SOM ve EOM arasında gönderilen çerçeveler “çerçeve kontrol sinyalleĢmesinde dört farklı mesaj vardır. Bunlar Ġhbar grubu (superframe)” olarak tanımlanmaktadır. Her çerçeve (Notification), Mod DeğiĢim Ġsteği (Mode Change Request), grubu gönderme yönünde hata düzeltimi (FEC) ve çevrimsel Mod DeğiĢim Yanıtı (Mode Change Response) ve Kripto artıklık denetimi (CRC) ile korunan çerçevelerden meydana Senkronizasyon (CryptoSync) olabilir. gelmekte; FEC ile düzeltilemeyen hataların ortadan Mod değiĢtirme iĢlemi; talep ve buna verilen yanıt Ģeklinde kaldırılması içinse olumlu veya olumsuz onay verme iki türlüdür ve sadece her iki terminal de güvenli uygulama mekanizmaları (ACK ve NACK) kullanılmaktadır. trafiğinde iken mümkün olabilir. Her bir çerçeve, 1 çerçeve numarası, 13 mesaj, 4 FEC ve 2 Güvenli Ses için beĢ farklı çağrı mevcuttur. Bunlar [2]; CRC olmak üzere 20 bayttan oluĢmaktadır. Bu çerçevelerden Güvenli 2,4 kbps MELP kodlu Ses – Blank & Burst oluĢan ve Mesaj BaĢlangıcı (SOM) ile baĢlayıp Mesaj Sonu (DTX), (EOM) ile sonlanan her çerçeve grubu en az bir en çok 127 Güvenli 2,4 kbps MELP kodlu Ses – Blank & Burst adet çerçeveden oluĢmaktadır. (FCT), EOM alındığında öncelikle son alınan çerçevenin ESCAPE Güvenli MELP kodlu Ses –Burst w/o Blank (DTX), veya REPORT olup olmadığına bakılır, eğer değilse o ana Güvenli MELP kodlu Ses –Burst w/o Blank (FCT), kadar alınmıĢ çerçeveler için rapor hazırlanır ve gönderilir. Güvenli, GeliĢmiĢ Çoklu-Band Uyarımı (AMBE). ESCAPE mesajı band geniĢliği kullanımı, REPORT mesajı ise FNBDT 210’da Blank & Burst uygulamalı MELP ve Burst gelen çerçevelerin hata oran onayları ile ilgili kavramlardır. w/o Blank olmak üzere iki tip güvenli ses çağrısı Benzer Ģekilde FNBDT 210 sinyalleĢmesinde yapılabilmektedir. karĢılaĢılabilinecek mesaj türlerinden diğer bir tanesi RESET FNBDT 210 uyumlu bir terminalde, kripto mesajıdır ki bu mesaj gerekli durumlarda iletim katmanını senkronizasyonunun sürekliliği için belirli periyotlarla terminal yeniden senkron hale getirmek için kullanılır. RESET mesajı tarafından 2,4 kbps’de üretilen MELP kodlu ses bilgisinin çerçeve numaralarını sıfırlar ve bir SOM ve EOM arasında üzerine kripto senkronizasyon bilgisi yazılır. Bu iĢleme yalnızca bir RESET mesajı gönderilir. “B&B” (Blank and Burst) protokolü denilmekte ve bu FNBDT 210 sinyalleĢmesinde, bağlantı kurma uygulamada zaman zaman ses bilgisi silinerek yerine kripto sinyalleĢmesinin ilk adımı olarak terminaller birbirlerine bilgisi yazılmasından dolayı ses kalitesinde ufak çapta düĢüĢler Yetenekler Mesajını (Capabilities Message) yaĢanmaktadır. göndermektedirler. Bu mesaj sayesinde terminaller Blank & Burst çerçeve grubu 24 çerçeveden oluĢmasına birbirleriyle uyumlu olarak ne Ģekilde çalıĢabileceklerini (açık karĢın, Burst w/o Blank uygulaması 25 çerçeveden veya kapalı modlar) belirli bir esasa bağlamakta ve güvenli oluĢmaktadır. Dolayısıyla Burst w/o Blank uygulaması için modda haberleĢilecek ise uygun anahtar listesinin seçilmesi de gerekli kanal kapasitesi 2,4 kbps’den fazla (overhead) bu sayede mümkün olmaktadır. Yetenekler Mesajı olmaktadır. Aynı zamanda, MELP kodlanmıĢ ses bilgilerinin gönderildiği anda ilk mesaj zamanlayıcısı baĢlamakta, bu üzerine kripto senkronizasyon bilgisi yazılmadığı için ses zamanlayıcı karĢı taraftan FNBDT 210 uyumlu mesaj kalitesi B&B’ye göre daha iyidir. gelmemesi halinde bağlantının zaman aĢımına uğramasını Açık MELP ses çağrı hizmeti görüĢmesinde de ortaya çıkan temin etmektedir. Zaman aĢımı sonunda BoĢ Bağlantı haline yapı tıpkı B&B’de olduğu gibidir. Mesaj yine, biri SM dönülür. çerçevesi olmak üzere toplam 24 çerçeveden oluĢan çerçeve Ġlk mesajlaĢma sonunda eğer güvenli haberleĢme kararı gruplarıyla yapılır. Ancak burada kriptolama yapılmadığından verildiyse FNBDT 210 bağlantısı kurulabilmesi maksadıyla SM çerçevesinin baĢlık kısmından sonrası sıfır ile doldurularak trafik anahtarını oluĢturabilmek için karĢılıklı sertifikaların ve mesaj gönderilir. F(R)’ların değiĢ tokuĢ yapılması gerekmektedir. Bunlardan Ayrıca ister güvenli isterse açık olarak görüĢen tüm FNBDT

3 210 uyumlu terminallerin DTX ve FCT durumları Router-1, Router-2 ve Router-3 ile oluĢturulmuĢ 3 adet desteklemesi beklenmektedir. Bunlardan DTX; bir ses çağrısı yerel alan ağından (YAA) oluĢmaktadır. Bu uygulamada sırasında, terminalin kullanıcısı konuĢtuğu sürece çerçeve FNBDT 210 Terminali olarak FNBDT 210 Simulator gruplarının oluĢturularak gönderilmesi, kullanıcı sustuğunda programımız (yazılımını kendimizin geliĢtirmiĢ olduğu ise gönderme yapmanın kesilmesi prensibini; FCT ise; ses program) ve HaberleĢme ortamını test eden olarak FNBDT çağrısı sırasında terminalin kullanıcısının sustuğu sürede de 210 Test Tool (yazılımını kendimizin geliĢtirmiĢ olduğu çerçeve gruplarının oluĢturularak karĢı terminale iletilmesi program) programı kullanılmıĢtır. FNBDT 210 Test Tool yani MELP kodlayıcı biriminin sürekli çalıĢmasını ifade programımız sayesin

Iscturkey All Papers

0 comments

Notes on slide 1

Favorites, Groups & Events

Iscturkey All Papers - Presentation Transcript