Kriptoloji.net

Kript Çarkı

3m1r — Mon, 26 Dec 2011 22:17:16 +0000

Kript Çarkı – Demo Görüntüsü
Detaylar: # Çubuk verilen key değerine göre ilk çarkta döndürülecek. (Key değeri harflerin sayısal değerine göre değerlendirelecektir.)
# İlk sözcükler birinci çarka şifreli bir şekilde süzdürülerek geçecektir.
# İkinci çarkta, birinci çarkatan gelen şifreli kelimeleri harflerin sayısal moduna göre yeni permütasyonlar yaratarak şifreli mesaj yazdırılıp üçüncü çarkta anlamsız bir şekilde yer alacaktır.

Şimdilik detaylar bunlar. Dahada geliştirebilirim

İstanbul Şehir Üniversitesi Kriptoloji Dersleri

Cetin Kaya KOC — Fri, 24 Jun 2011 16:41:55 +0000

Kendi Bilgilerimizi Nasıl Şifreleriz & Başkalarının Şifrelerini Nasıl Kırarız
Kriptoloji, bildiğimiz 3 bin yıllık tarihi boyunca, askerlerin, diplomatlarin, ve gizli örgütlerin kendi aralarında güvenli haberleşmesini sağladı. Bütün tarihi kriptoloji algoritmalari (bir tanesi hariç) bugün elimizdeki bilgisayar sistemleriyle kolaylıkla (dakikalar içinde) kırabilmektedir.

Ancak, Internetin yaygınlaşması ve birbirinden kıtalararası uzaklıklarda olan insanların güvenli haberleşme ihtiyacı belirmeye başlayınca, diğer bütün bilgisayar bilimleri gibi kriptoloji bilimi de, çok büyük gelişmelere uğradı.

Asker ve diplomatlar kadar, bugün birbirinden uzakta olan bilim ve iş adamları, Internet üzerinden alişveriş yapan sıradan tüketiciler, farkında olmasalar bile, modern kriptolojinin onlara sağladığı olanaklar nedeniyle daha güvenliler.

Bu ders içinde, tarihi kriptoloji algoritmalarindan başlayarak, modern kriptolojik metotlara kadar uzanan spektrumdan örnekler verip, kendi bilgilerimizi nasil şifreleyeceğimizi veya baskalarının şifreli bilgilerini, şifre kırma (kripto analiz) metotlarıyla nasıl açacağımızı özetleyeceğiz.

Dersin Öğretim Üyesi: Çetin Kaya Koç

27 Haziran – 1 Temmuz 2011

5 günlük program:

Pazartesi, Salı, Çarsamba, Cuma: Türkçe dersler;

Perşembe: İngilizce dersler

Dersler

Dersler uygulamalı olup, katılımcıların derste öğrendikleri kriptografik metotları Mathematica isimli ileri programlama metodu ile kolay ve hızlı bir şekilde programlamaları sağlanacaktır.

Kontenjan: 20 kişi

Başvuru ve uygulama:

Web sitesi üzerinden başvuru formunu doldurarak başvuru yapabilirsiniz. Gerekli görülürse öğrenciler mülakata davet edilecektir. Programa katılabilmek için temel bilgisayar kullanımı ve matematik bilgisi gereklidir. Bazı dersler İngilizce sunulacağından orta ve üstü düzeyde İngilizce bilgisi olan öğrenciler tercih edilecektir.

Derslerin sonundaki sınavda en yüksek notu alan bir öğrenciye iPad hediye edilecektir.

3m1r Online Base64 Encode / Decode

3m1r — Sun, 15 May 2011 17:31:31 +0000

“Base64 ikili verilerin (İngilizce: binary data) sadece ASCII karakterlerini kullanan ortamlarda iletilmesine ve saklanmasına olanak tanıyan bir kodlama şemasıdır.”

Uygulamanın temel mantığı bu verilerin şifrelemesini sağlamak ve şifrelenen veriyi çözmek için yazılmıştır.
Uygulama UT8 dil desteği eklenmiş bulunmaktadır. Tr karekterli base64 ile şifrelenmiş verilerinizi rahatça çözebilmeniz için eklenmiştir.
Uygulamanın çalışabilmesi için bilgisayarınız da Microsoft Silverlight yüklü olması gerekmektedir.
Online Encode – Decode işlemleri haricinde bilgisayarınızda uygulamayı kurabilirsiniz (uygulamayı sağ tıklayıp).
Uygulama tamamen eğitim amaçlıdır.

Uygulamaya ulaşmak için tıklayınız.

3m1r

Mobil Güvenlik

3m1r — Wed, 13 Apr 2011 07:05:15 +0000

Günümüzde cep telefonları, mesaj atmak ve konuşmak gibi basit iletişim aracı olarak kullanılmaktan öteye giderek medya, oyun, İnternet ve doküman yönetimi için kullanılan cihazlara dönüştü. Akıllı cep telefonları denilen bu cihazların çeşidi ile beraber sayıları da arttı ve bu artış hızla devam ediyor. Şu anda piyasada bulunan cep telefonlarında kullanılan işletim sistemlerinin çoğu iPhone OS, Android ve RIM OS gibi gelişmiş mobil işletim sistemlerinden oluşuyor.

iPhone OS, Apple firmasının geliştirdiği iPhone ve iPad gibi cihazların da kullandığı işletim sistemidir. Android, içinde işletim sistemi ve değişik amaçlı hazır uygulamalar bulunduran, mobil cihazlar için geliştirilmiş Linux temelli işletim sistemidir. RIM OS, RIM tarafından geliştirilmiş işletim sistemidir. Bu işletim sistemlerinin kullanımı ile beraber sayısal ortamda karşılaşılan güvenlik problemleri mobil dünyada da kendini göstermeye başladı. Virüsler ve kullanıcıların bilgilerini çalan, telefonun çeşitli özelliklerini kullanıcının haberi olmaksızın kullanan programlar, mobil dünyadaki en önemli güvenlik problemlerini oluşturuyor.

Virüsler ile ilgili genel duruma bakıldığında bilgisayar virüslerinin sayısı yarım milyar, mobil virüs sayısı da 1227 dolayında ve bu virüsler her geçen yıl katlanarak artıyor. Cep telefonları arasında yayılan virüsler, kullanıcıdan habersiz, telefonda bulunan iletişim bilgilerini de kullanarak mesajlar yollayabiliyor ya da telefonda kayıtlı bulunan banka bilgileri ya da şifreleri gibi önemli bilgileri mesaj yoluyla çalabiliyor, hatta telefonda bulunan kayıtlı bilgileri silebiliyor. Kullanıcının haberi olmadan günde 10 tane uluslararası telefon numarası arayarak bedeli yüksek faturalara neden olabiliyor. Diğer yandan bu gibi olaylarda aynen kişisel bilgisayarlarda olduğu gibi cep telefonu üzerinden yasal olmayan işlemlerin yapılmasına da olanak tanıyor. Cep telefonlarında virüslere karşı koruma sağlamak için şu gibi basit önlemler alınmalı, Bluetooth sürekli açık olmamalı, Bluetooth şifreleri kırılması zor güçlü şifreler olmalı. Bilinmeyen, güvenliğinden emin olunmayan sitelere girilmemeli.

Telefonlara kurulan uygulamalardan gelen tehlikelere bakıldığında, kaynağı bilinen ve güvenilen uygulamalar dışında kaynağı çok da tanınmayan birçok uygulama bulunmaktadır. Kullanıcıların, uygulamaları telefonlarına kurmadan önce dikkat etmeleri gereken bazı hususlar var. Telefona bir uygulama kurarken uygulamanın yetkili bir otorite tarafından kontrol edilmiş olmasına veya uygulama üreticisine dikkat edilmeli. Örneğin, Apple marketinde (App Store) bulunan uygulamalar, markete koyulmadan önce uygulamanın belirtilen işlevi dışında herhangi bir aktivitesi olup olmadığı, kullanıcı bilgilerini çalmaya yönelik ya da yetkisiz olarak telefon özelliklerinin kullanıp kullanmadığı gibi kontrolleri yapıyor. Eğer uygulamada herhangi bir art niyet yoksa markette yayınlanıyor. Apple bu uygulamasıyla biraz daha güvenilir uygulamalar sunmakla beraber Android markette durum bundan farklı. Market uygulamaları, herhangi bir kontrole tabi tutulmadan yayınlanıyor. Android işletim sistemi, bir uygulamanın telefonda hangi kaynaklara eriştiği ve kullandığı, tükettiği bellek miktarı gibi bilgileri detaylı olarak kullanıcıya gösterebiliyor. Bu yüzden uygulamanın güvenliği ile ilgili durum kullanıcının kontrolündedir.

Android uygulama izinleri

Kullanıcı Android markette ya da İnternette başka kaynaklarda bulduğu her uygulamaya güvenmemeli, uygulamanın kendinden habersiz olarak bilgilerini çalabileceğini, telefon özelliklerini kullanarak arama yapma ya da arama engelleme, mesaj atma, İnternete bağlanma gibi kötü niyetli aktivitelerde bulunabileceğini farkında olmalıdır.

Virüsler ve kötü niyetli hazırlanmış programlar dışında bir de webden gelen tehlikeler akıllı cep telefonlarını etkilemeye başladı. Örneğin Android işletim sistemi kullanan telefonda tesbit edilmiş SD karttan bilgi çalınmasıyla ilgili bir açıklık var: Bir web sayfası açıldığında SD kart altında depolanır. Eğer sayfada SD karttan dosyaları istenen yere gönderebilecek bir javascript kodu varsa kullanıcıya da herhangi bir uyarı gösterilmeden bilgiler başarıyla çalınır. Android 2.3 (Gingerbread) ile bu açıklığa SD kart varsayılan ayarlarda şifrelenerek çözüm getirilmiştir. Açıklık bulunan sürümleri kullanan cihazlarda,

1.Web tarayıcısında javascript çalışmasını engellemek,

2.Başka bir web tarayıcı kullanmak. Örneğin Opera,

3.SD kartı “unmount” ile sistemden kullanımını kaldırmak

bu saldırıyı engellemek için yapılacak çözümler arasında. Saldırı Android’e özel bir açıklık olmayıp diğer akıllı işletim sistemleri (RIM, iPhone OS vb.) üzerinde de gerçeklenebilir. Genel kapsamda telefonlarda olabilecek bu gibi durumlardan korunma yöntemleri şu şekilde genelleştirilebilir:

1.Kullanılan işletim sisteminin, Web tarayıcı ve Adobe flash gibi uygulamaların mevcut güncellemeleri yapılmalı,

2.Çok kritik sayılabilecek bilgiler telefonda saklanmamalı.

3.Şifreleme uygulamalarıyla saklanan bilgiler kriptolu olarak korunmalı.

4.Kullanıcının izin verdiği uygulamaların veri transferi yapmasını sağlayan ve log tutan uygulamalar kullanılmalı.

Akıllı cep telefonlarında güvenlik problemleri giderek kendisini gösterecek gibi gözüküyor. Bu güvenlik problemleri sonucunda mağdur olmamak için kullanıcıya düşen, bir gelişmiş bilgisayarda görülebilecek güvenlik tehlikelerinin bu akıllı cihazlarda da olabileceğini anlayarak kullanımındaki güvenlik farkındalığını oluşturmak olmalıdır.

Kaynaklar
[1] http://thomascannon.net/blog/2010/11/android-data-stealing-vulnerability/

[2] http://www.esecurityplanet.com/views/article.php/3901686/Top-20-Android-Security-Apps.htm

[3] http://www.esecurityplanet.com/views/article.php/3890346/iPhone-Security-Apps-Buying-Guide.htm

[4] http://developer.android.com/guide/topics/security/security.html

[5] http://www.veracode.com/blog/2010/12/mobile-app-top-10-list/

[6] http://news.cnet.com/8301-27080_3-10424759-245.html

Ana Kaynak: Yusuf ÇERİ, TÜBİTAK-UEKAE

Şifreler Kitabı

3m1r — Mon, 21 Feb 2011 19:31:07 +0000

Tarih boyunca dillerin, toplumların ve sembollerin gizemini gözler önüne seren bu kitapta şifreleri oluşturmanın ve kırmanın gizemli dünyasına girecek ve bu şifrelerin hem insanlığın gelişimine hem de insanların kötü emellerinin maskelenmesine nasıl katkıda bulunduğunu göreceksiniz.

İlk insan topluluklarının geliştirdiği karmaşık şifrelerden günümüzün dijital şifreleme sistemlerine kadar her türden şifrenin kullanım yönteminin incelendiği kitapta yer alan bazı şifreler şunlar:

Hiyeroglifler – Mors Alfabesi – İlk Petroglifler – Para Birimi ve Sahte Paralar – Bayrak İşaretleri – Hayvanların İzini Sürmek – Çivi Yazısı – Dini Semboller – Alfabeler – Sayı Sistemleri – Phaistos Diski – Maya Bilmecesi – Da Vinci Şifresi – Zodyak’ın Mirası – Kafiyeli Cockney Argosu – Askeri Haritalar – Graffiti – Takvimler – DNA – Farmasonlar – Vitray Pencereler – Doğada Yaşamın İşaretleri – Armacılık – Dünya Dışı Varlıklar – İlk Bilgisayarlar – Müziğin Tanımlanması – Bilinçdışı – Enigma

Kitaptan bazı karaler:

Editör: Paul Lunde
Çeviri: Duygu Akın
NTV Yayınları / Araştırma-İnceleme Dizisi
Satın almak için.

WikiLeaks & AES 256

Cetin Kaya KOC — Sat, 15 Jan 2011 19:20:06 +0000

Bu konuda bir yazı da ben yazmış olayım! Biliyorsunuz, Julian Assange, ABD ve başka birkaç ülke hükümetine hitaben, “eğer beni tutuklar veya Wikileaks operasyonunu engellemeye çalışırsanız, insurance.aes256 isimli dosyanın şifreleme anahtarını bıraktığım arkadaşlarım bu anahtarı yayınlayacaklar ve sizi çok daha fazla mutsuz edecek birtakım dosyalar ortaya çıkacak”, diye bir bildiri yayınlamıştı. Bir anlamda bu WikiLeaks’in devamlılık sigortası anlamında isimlendirilmiş olan bu şifreli dosya şimdi birçok sunucuda duruyor. Dosya, Julian Assange’nin dediği gibi, şifreyle kapatılmış bir dosya. İçeriğini öğrenmek için, anahtar yardımıyla şifreyi açmak (decrypt) etmek gerekiyor. Anahtarı bilince, açmak için saniyeler yeterli. Veya, becerebiliyorsanız, anahtarı siz bulmaya çalışırsınız! Yani, şifreyi kırarsınız.
Olayın siyasi, sosyal, veya kültürel yanlarını bir kenara bırakıp, kriptolojik yanından bahsedeyim. Dosyanın ismi, şifreleme algoritmasının AES 256 olduğunu ima ediyor. WikiLeaks’ın bu algoritmayı kullandığını bilemiyoruz. Elimizde olan, sadece 1.4 GB büyüklüğünde şifreli bir doküman. Başka bir algoritma da kullanılmış olabilir. AES 256 algoritmasının kullanıldığını varsayalım.
AES algoritması bir uluslararası standart. 2000 yılında iki Belçikalı kriptolog (Vincent Rijmen & Joan Daemen) tarafından tasarlandı ve ABD standartlar enstitüsünün (NIST) açtığı bir dizi uluslararası konferans sonucunda, kriptoloji konusundan çalışan bilim adamları tarafından sunulanların en iyisi olarak seçilerek Mayıs 2002’de standart olarak yayınlandı. AES algoritması anahtar uzunluğu 128, 192 veya 256 bit olabiliyor. Eğer Julian Assange, 256-bit anahtar kullanmışsa, mümkün olan anahtarların sayısı 2^256, yani 10^77. Hiç de küçümsenecek bir sayı değil, 1’in önünde 77 tane sıfır var, yani yüz quadrillion (10^15) quintillon (10^30) quintillon (10^30). Eğer anahtarı biliyorsanız, dosyayı beyaz MacBook’unuzda açmak için gereken zaman yaklaşık 9 saniye. Eğer anahtarı bilmiyorsanız, 10^77 anahtar arasından aramanız gerekiyor. Bunun için bir trillion (10^12) MacBook’un 10^50 yıl (yüz bin quadrillion quintillion yıl) hiç durmadan çalışması gerekiyor. Bu çok uzun bir süre. Bildiğimiz kainatın yaşı 10^14 yıl (yüz trillion yıl). Yani, Julian Assange’den korkan hükümetler kendilerini şimdilik “garanti”de hissedebilirler. Bir hackerin dosyayı açma ihtimali yok.
Ancak unutulmaması gereken bir konu, kriptoloji biliminin (veya sanatının) sürprizlerle dolu bir tarihçeye sahip olduğu! 1977 yılında Scientific American’da yayınlanan bir şifreyi kırmak için öngörülen zaman 40 quadrillion yıl iken bu şifre 1993-1994 yıllarında 600 kadar bilgisayar mühendisinin 1600 kadar bilgisayarı yaklaşık 6 ay çalıştırması sonucunda kırıldı! Bu başarının arkasında hem gelişen bilgisayar teknolojisi (daha hızlı bilgisayarlar) ve hem de insan yaratıcılığı (daha iyi algoritmalar) var.

http://www.cs.ucsb.edu/~koc/index.html

National Security Agency

3m1r — Wed, 03 Nov 2010 23:48:28 +0000

Kasım 1952′de dönemin ABD Başkanı Harry S. Truman’ın bir genelgesiyle kurulmuş ve dünya çapında iletişim istihbaratı görevi verilen kurumun varlığı uzun bir süre gizli tutulan bir istihbarat birimidir NSA.
Harry S. Truman hakkında kısa bir özgeçmiş; Hiroşima ve Nagazaki’ye atom bombası atılması kararını veren. İsrail devletinin kurulmasına destek veren. Nato örgütünü kuran, soğuk savaşı başlatan adamdır.

Temel misyonları:

Birlik, beraberlik, sadakat, gizlilik özelliklerine sahip olmak.

Kendilerinden olmayanları kuruma yerleştirmemek.

7/24 çalma-çırpma-değiştirme özelliğine sahip olmak.

Yerli yabancı farketmeksizin elektronik ortamı dikizlemek.

Yerli yabancı farketmeksizin bireyler arası haberleşmeleri ele geçirmek.

Elektronik ortamda ABD nin üstün olduğunu bireylere kabullendirmek.

Şifrelenmiş verileri ifşa etmek.

Çözülmeyen şifreleme algoritmalarını çözebilme özelliklerine sahip olmak.

Sadece kaba kuvvet (brute force) için milyondolarlık makinalar hazırlama özelliklerine sahip olmak.

Devlet başkanlarını, bakanlıklarını, üst seviye yöneticilerini, dinleyip- izleme yetkilerini kendilerine veren.

Yasaları, gizliliği takmaksızın bir başka devlet-kurum ve kuruluşlarından bilgi sızdırma gibi temel özelliklerine sahip olan istihbarat kurumudur.

Örnekler çoğaltılabilir bir diğer isimleri Echelondur. Örnekleri sizde yazabilirsiniz?

04.11 2010 3m1r

One-Time Pad – Vernam Cipher

3m1r — Mon, 11 Oct 2010 16:31:05 +0000

One-time pad belirli usullerle karıştırılmış harflerden oluşturulan tek kullanımlık şifreleme yöntemidir. Bir diğer adı ise Vernam şifreleme yöntemidir.

Tarihi:
Gilbert Sandford Vernam (1890-7 Şubat 1960) AT & T Bell Labs da çalışan bir mühendisti. 1917 de 1. Dünya Savaşı sırasında Gilbert Vernam ‘a Almanların çözemeyeceği bir şifreleme metodu icat etmekle görevlendirilmişti ve bunun sonucu olarak önce akış şifrelemeyi icat etmiş ve sonrasında Joseph Mauborgne ile mükemmel şifreleme tekniği olan one-time pad (tek kullanımlık bloknot) şifreleme metodunu bulmuşlardır.[1] Akabininde teletype makinasıyla beraber kullanılmaya başlamıştır.

Güvenliği:
Pad’lar rastgele üretilmelidir. Eğer belli bir sisteme göre gidilirse saldırgan tarafından kırılma riski yüksektir.
Pad’lar tek seferlik kullanılmalıdır.

Örnek:
Açık Mesaj: KRIPTOLOJI.NET

Rastgele Dizi: ZCJYVKDYCUSJQXCZQRUFLGHGXNATQSHMZIUITFYRMZZUYSVOURNTNSUATLWMNXNPCOMBYKXDXHICPOPDFBKDJ
EOHJGEESGLZROEDJFGWVJLLPTRFIPBKVYSOEVNWFBEDFBMPXZAJQCZUUOCIOBEOWGLKOXQPVRWPAXBMLXMESFP
ECGAIGJRKKXIYGDKOHSYNWPUXJSWMNXPLCVWZXJSHRFXSRSHGGVQESROEOXXITPESLKIZWTTLJOPHYZ
HUUKFJBWFUFWSSJWUNAYRWGUVTDZ

Şifreli Mesaj: KUSOPZPNMDGOK

One Time Pad Programı

3 form alanı ve 3 işlem menüsünden oluşmaktadır.

Programı indirmek için tıklayınız.

[1] Şadi Evren ŞEKER

11.10.2010 3m1r

Kriptoloji Bilgi Günü

3m1r — Mon, 20 Sep 2010 10:43:10 +0000

TÜBİTAK UEKAE, 13 Ekim 2010 tarihinde, Feza Gürsey Konferans Salonu’nda (Ankara), “Kriptoloji Bilgi Günü” etkinliğini düzenleyecektir.
Bu kapsamda, kriptolojide temel kavramlar, kriptoloji uygulamaları, kablosuz haberleşme ve ağlarda kriptoloji, kuantum kriptoloji ve biometrik sistemler & sayısal damgalama konularında sunuşlar yapılacaktır.

Kriptoloji Bilgi Günü’ne katılmak için kayıt yaptırmak gerekmektedir. Katılımcı sayısı sınırlı olacaktır.
Kriptoloji Bilgi Günü ile ilgili etkinlik programı önümüzdeki günlerde burada yayınlanacaktır.

Kriptoloji Bilgi Günü’nde sizleri aramızda görmekten mutluluk duyacağız. Ücretsiz olan etkinliğe katılım için kullanıcı adı ve parolanız ile Bilgi Güvenliği Kapısı’na giriş yaptıktan sonra Üye Menüsü’nde yer alan Etkinlik Katılım sayfasında kayıt onayını gerçekleştirmeniz yeterli olacaktır.

Elektronik İmza

3m1r — Tue, 07 Sep 2010 18:40:04 +0000

Elektronik imza, dosyalara (belge, ses, görüntü, exe vs.) eklenebilen güvenlik işaretçiklerine denilir. Bir dosyanın geçerli bir imzası yoksa bu dosyanın gerçek şahıs tarafından direk gönderildiği, üzerinde herhangi bir değişiklik yapılıp yapılmadığını belirlemek imkansızdır.
Bu bağlamda elektronik imzaya sahip olan bir dosyanın içeriğinin güvenirliğini de zararsız olup olmadığını belirlemek, tahmin yürütmek dosyayı inceleyen şahısa aittir.

Özellikleri
Kullanıcılara Kriptografik olarak belirtilen 3 temel özelliği kapsamaktadır.

Bütünlük

Bir verinin tamamı yada bir parçasının üzerinde hiçbir değişiklik olmadığının garanti edilmesi sürecidir.

Kimlik Doğrulama ve Onaylama

Veriyi gönderen kişinin gerçekten istenilen kişi olup olmadığını garanti edilebilmesi.

Reddedilmezlik

Kişinin yaptığı işleri veya işlediği suçları inkar etmesinin engellenmesi.

Faydaları
Islak imzaya eşdeğer nitelikte olduğu için, elektronik ortamda her türlü resmi işlemlerinin kağıt ortamına göre daha hızlı, güvenilir ve düşük maliyetini sağlamaktadır. Her türlü e-devlet, e-ticaret vs ortamlarında kullanılabilmektedir.
Uygulama Alanları
Her türlü kurumsal başvuru, sosyal güvenlik uygulamaları, vergi ödemeleri, e-bankacılık, e-ticaret, e-sözleşmeler…

Nasıl Alınır?
E-İmza oluşturmak için kullanılacak olan Nitelikli E-İmza Sertifikaları 5070 Sayılı E-İmza yasası uyarınca Telekominikasyon Kuruma bildirimini yapmış ve Türkiye’de bu NES’leri vermeye yetkili “Elektronik Sertifika Hizmet Sağlayıcı’lara (ESHS) yapılacak başvuru ile alınabilir.

İlgili bağlantı:
http://www.tk.gov.tr/eimza/eshs.htm

http://www.kamusm.gov.tr/tr/Urunler/Nes/

07.09.10 3m1r