[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunkol - Kriptografik Hesaplamaların Buluta Güvenli Tevdisi
1. Kriptografik Hesaplamaların
Buluta Güvenli Tevdisi
Mehmet Sabır Kiraz & Osmanbey Uzunkol
Matematiksel ve Hesaplamalı Bilimler, TÜBİTAK BİLGEM
14 Ekim 2015
OWASP Mobil Güvenlik Çalıştayı
Supported by a project funded by EU FP7 Cocirculation Scheme with TÜBİTAK (114C027)
2. 2
Güvenli Hesaplama Problemleri
• Kim veriye sahip? • Kim veriye ulaşabilir?
Servis Sağlayıcı Veri Merkezi Sistem Admini
3. Kişilere Güven Riski Kabul Etmektir!
3. 3
Veri Akışı ve Güvenliği
- Veri Sahibi
- Kullanıcı
Web
Sunucu
Bulut Servis Sağlayıcı
…
Depolama Servis Sağlayıcı
Uygulamalar
- Kimlik Doğrulama
- Güvenli Haberleşme
Veri Şifreleme
Veritabanı & Dosya)
…
Güvenlik Sağlayıcı
4. 4
Güvenlik Riskleri: Kime Güvenmeli? Ne Yanlış Gidebilir?
• Uygulamalar hatalı, bozulmuş, ya da kötü niyetli
olabilir (Bulut tarafında Güven)
• Bulut Platformu hatalı, bozulmuş, ya da kötü niyetli
olabilir (Buluta Güven)
§ hesaplama ve depolama sunucuları dahil
• Bulut çalışanları kötü niyetli olabilir (Buluta Güven)
• Kötü niyetli Bulut kullanıcıları veya ağ saldırganları
(Bulut tarafından sağlanan Güven)
10. 10
xy mod N RSA, ElGamal,
Eliptik Eğriler,
Eşleme Tabanlı
Sistemler, ...
Neden Üs Almak Gerekmektedir?
• Şifreleme
• İmzalama
• Kimlik Doğrulama
• Anahtar Oluşturma
• Güvenli Hesaplama
11. 11
Zor Problem #1: Çarpanlarına Ayırma Problemi
RSA Şifreleme ve İmzalama için Üs Alma
Verilen M, e ve N olduğuna göre c ≡ Me (mod N)
Kolay
Asal sayı p, q N = pq
Zor
12. 12
Üs Alma
• Diffie-Hellman Anahtar Anlaşma Protokolleri
• ECDSA
• Açık Anahtar Altyapısız Sistemler
Zor Problem #2: Ayrık Logaritma Problemi
Kolay
y = gx mod p
Zor
x = logg y
(Z’de kolay, Zp‘de zor)
Verilen: g, x, p
Verilen: g, y, p
13. 13
Sim Kartlar ve Güvenlik
1. Mobil telefonlar için de facto güvenli
varsayılan kısım
2. NFC teknolojisiyle beraber ödeme
bilgilerinin (payment credentials)
saklandığı yer
3. OTA teknolojisiyle beraber
eklenebilirlik özelliğe sahip (Custom
Java Software)
4. Güvenli Anahtar deposu olarak SIM
(Kálmán, 2007)
5. Saldırılar...
15. 15
Kriptografik Hesaplarin Dogrulanabilir ve Güvenli
Tevdisi
1. Sunucu 2. Sunucu
1. İki sunuculu çözüm
2. Sunucular birbiriyle
anlaşamazlar
3. Daha verimli yöntemler
4. İki sunucudan kaynaklanan
problemler ...
Gizlilik
Problemi
Maskeleme
ve Girdi
Maskeleme ve
Girdi