..::Kriptolojiye Giriş::..

Blok şifreleyici durumunda permütasyon, gizli anahtar ile üretilmektedir ve anahtar uzayı tüm olası permütasyonları kapsayamayabilir.
• Vigenere. Bu şifreleyici, anahtar ve mesajı birleştirmek için saat aritmetiğini kullanır. OTP (One-Time-Pad) ile Vigenere arasındaki fark, Vigenere'de belirgin olarak bir mesaj için kısa anahtarı pekçok defa yeniden kullanırız.
Vigenere şifreleyicilerine saldırı yöntemleri Kasiski tesi, raslantı indeksi vs.dir. Bunlar, (anahtar genişliğine bağlı olarak) çok kısa mesajları bile kırabilen etkili yöntemlere ulaştırır.
• Hill şifreleyicisi. Hill şifreleyicisi matrisleri saat aritmetiğinde kullanır, ve bilinen düz-metin saldırılarına karşı oldukça şüphe uyandırmaktadır.

Kriptografik Hash Fonksiyonları
• SHA-1 (Secure Hash Algorithm) (also SHS, Secure Hash Standard): Bu, ABD Hükümeti tarafından yayımlanan bir kriptografik hash algoritmasıdır. Keyfi uzunluktaki bir diziden 160 bir hash değeri üretir. Pekçok insan bunun çok iyi olduğunu düşünmektedir.
Resmi standart metni http://www.itl.nist.gov/div897/pubs/fip180-1.htm de bulunabilir.
• Tiger, Anderson ve Biham tarafından geliştirilen yeni bir hash algoritmasıdır. ftp.funet.fi:/pub/crypt/hash/tiger adresinden ulaşılabilir.
• RIPEMD-160, MD4 ve MD5 in yerini alması amacıyla tasarlanmıiş bir hash algoritmasıdır. 20 baytlık (160 bitlik) bir özet üretir. 90Mhz lik bir Pentium üzerinden 40 Mb/s lik bir hızla çalıştığı bildirilmiştir. RIPEMD-160'ın web sitesi: http://www.esat.kuleuven.ac.be/~bosselae/ripemd160.html
• MD5 (Message Digest Algorithm 5), RSA Laboratories de üretilmiş bir kriptografik hash algoritmasıdır. Keyfi uzunluktaki bir diziyi 128 bitlik değere karıştırabilir (hash).
MD5'in atası MD4 kırılmıştır, ve MD5'in güvenliği hakkında bazı endişeler mevcuttur. Örneğin, "anahtarlanmış MD5" in kırıldığı bildirilmiştir. Ve ayrıca, birkaç milyon dolar tutarındaki özel-amaçlı bir makina ile verilen hash değerine uyan bir düz-metnin birkaç haftada bulunabildiği de bildirilmiştir.
Bu problemlere karşın, MD5 hala yaygın olarak kullanılmakta ve hash-fonksiyonlarının kriptografik-olmayan uygulamaları için makul düzeyde bir güvenlik sağlamaktadır.
• MD2, MD4: Bunlar RSA DATA Security 'nin geliştirdiği eski hash algoritmalarıdır. Bilinen kusurları vardır (Hans Dobbertin, FSE'96, LNCS 1039), ve kullanımları tavsiye edilmemektedir.

Rasgele Sayı Üreteçleri
Kriptografik sistemler herhangi bir saldırgan tarafından tahmin edilemeyecek kriptografik olarak güçlü (sahte / pseudo) rasgele sayılara ihtiyaç duyar. Rasgele sayılar tipik olarak dönemlik anahtarlar üretmek için kullanılır, ve bunların kalitesi sonuçta ortaya çıkacak sistemlerin kalitesi açısından kritik bir değere sahiptir. Rasgele sayı üreteçlerinin önemi kolaylıkla gözden kaçırılabilir ve sistemin en zayıf noktası haline gelir.
Bazı cihazların özel amaçlı donanım gürültü üreteçleri olabilir. Bir diyot veya transistörün sızıntı devresiden(leak current) elde edilen gürültü, ses girişlerinin (audio input) en az önemli bitleri (least significant bits), kesmeler (interrupts) arasındaki zaman, vs. hepsi de uygun bir kriptografik karıştırma (hash) fonksiyonu ile işlendiklerinde iyi birer rasgelelik kaynağı olurlar. Mümkün oldukça gerçek çevresel gürültüleri kullanmak iyi bir fikirdir.
 
Arkadaslar süper bi doküman içindeki linKler de çok iyi.Değişik yapmadan aynen atıyorum ilgilenen arkadaşlar için eşsiz bi kaynak.Okudukça okuyasım geliyor...

Parola Güvenliği ve Şifreleme
Bugün en önemli güvenlik özelliklerinden biri parolalardır. Hem sizin hem de tüm kullanıcılarınız için, güvenli, tahmin edilemeyen parolalara sahip olmak önemli bir konudur. Yakın zamanlı Linux dağıtımlarının çoğu, kolay tahmin edilebilir bir parola belirlemenizi engelleyen passwd programları ile birlikte gelir. passwd programınızın güncel ve bu özelliklere sahip olduğundan emin olun.
Şifrelemenin derinlemesine tartışılması bu belgenin konusu ötesindedir, ama bir giriş yapılabilir. Şifreleme gerçekten yararlıdır, hatta bu zaman ve çağda gereklidir de. Şifrelemenin bir çok yöntemi vardır ve her biri kendi özellikler kümesini birlikte getirir.
Bir çok Unix (ve Linux bir istisna değil), parolalarınızı şifrelemek için çoğunlukla tek yönlü, DES (Data Encryption Standard - Veri Şifreleme Standardı) adında bir algoritma kullanır. Şifrelenmiş parola (tipik olarak) /etc/passwd veya (daha az sıklıkla) /etc/shadow dosyasının içinde tutulur. Sisteme giriş yapmaya kalktığınızda, girmiş olduğunuz parola tekrar şifrelenir, ve parola dosyalarının içindeki ile karşılaştırılır. Eğer uyarsa, o zaman aynı parola olmalı demektir, ve erişime izin verilir. DES aslında iki yönlü bir şifreleme algoritmasıdır (doğru anahtar olduğunda, bir mesajı şifreleyebilir veya şifreli bir mesajın şifresini çözebilirsiniz). Bununla beraber, DES'in Unixler üzerindeki değişik biçimi tek yönlüdür. Bunun anlamı, /etc/passwd (veya /etc/shadow) dosyasının içindeki şifrelenmiş parolaya bakarak, şifreleme algoritmasını tersine çevirmek yoluyla parolayı bulmak mümkün olmamalıdır.
"Crack" veya "John the Ripper" (Bkz. "Crack" ve "John the Ripper" programlarında olduğu gibi kaba kuvvet saldırıları, parolanızı yeterince rastgele değilse bulabilir. PAM modülleri (aşağıda), parolalarınız ile birlikte başka bir şifreleme algoritmasının kullanılmasına izin verir (MD5 vb.). Crack programını kendi lehinizde de kullanabilirsiniz. Kendi parola veritabanınızı, güvensiz parolalara karşı Crack programını çalıştırarak düzenli olarak denetlemeyi düşünün. Güvensiz parolaya sahip kullanıcıyla iletişim kurarak, parolasını değiştirmesini isteyebilirsiniz.
İyi bir şifrenin nasıl seçildiği hakkında bilgi almak için http://consult.cern.ch/writeup/security/security_3.html adresine gidebilirsiniz.
1.6.1. PGP ve Açık Anahtarlı Şifreliyazım
Açık anahtarlı şifreliyazım, örneğin PGP'de kullanılan gibi, bir anahtarı şifreleme, diğer bir anahtarı da şifre çözme için kullanır. Geleneksel şifreleme tekniklerinde, şifreleme ve şifre çözme için aynı anahtar kullanılır. Bu anahtarın, her iki tarafta da bulunması, dolayısıyla bir şekilde bir tarafdan diğer tarafa güvenli şekilde aktarılmış olması gerekir.
Şifreleme anahtarının güvenli aktarımını kolaylaştırmak için, açık anahtarlı şifreleme iki ayrı anahtar kullanır: bir açık anahtar ve bir de özel anahtar. Herkesin açık anahtarı diğerlerine şifreleme yapabilmesi amacıyla "açık"tır, ama herkes özel anahtarını, doğru açık anahtarla yapılmış şifreyi açabilmek için diğerlerinden gizli tutar.
Hem açık anahtarın hem de gizli anahtar şifreliyazımın bazı avantajları vardır. İkisi arasındaki farklar hakkında bilgi edinmek için the the RSA Cryptography FAQ (RSA Şifreliyazım SSS) belgesine göz atabilirsiniz.
PGP (Pretty Good Privacy, Oldukça İyi -Kişisel- Gizlilik) Linux'ta iyi desteklenir. 2.6.2 ve 5.0 sürümlerinin iyi çalıştığı biliniyor. İyi bir PGP tanıtımı ve nasıl kullanıldığı ile ilgili bilgiyi PGP SSS içermektedir: http://www.pgp.com/service/export/faq/55faq.cgi
Ülkeniz için uygun sürümü kullandığınızdan emin olun. ABD Hükümetinin dışsatım sınırlamalarından dolayı, güçlü şifrelemenin elektronik yollarla ülke dışına aktarılması yasaktır.
ABD dışsatım denetimleri, artık ITAR tarafından değil, EAR (Export Administration Regulations - Dışsatım Yönetim Düzenlemeleri) tarafından idare edilmektedir.
Ayrıca, Linux üzerinde PGP yapılandırmasını adım adım anlatan bir rehber http://mercury.chem.pitt.edu/~angel...7/article7.html adresinde bulunmaktadır. Bu rehber PGP'nin uluslararası sürümleri için yazılmıştır, ama ABD sürümü için de uyarlanabilir. Bunun yanısıra Linux'un son sürümleri için bir yamaya ihtiyacınız olabilir. Bu yamaya ftp://metalab.unc.edu/pub/Linux/apps/crypto adresinden ulaşabilirsiniz.
PGP'nin ücretsiz ve açık kaynak şekliyle yeniden hayata geçirme amacını taşıyan bir proje var. GnuPG, PGP'nin yerini alacak tamamlanmış ve ücretsiz bir yazılım. IDEA veya RSA'yı kullanmadığı için sınırlandırma olmaksızın kullanılabilir. GnuPG aşağı yukarı OpenPGP ile uyumlu. Daha fazla bilgi için GNU Gizlilik Nöbetçisi ana sayfasına bakabilirsiniz: http://www.gnupg.org/.
Şifreliyazım ile ilgili daha fazla bilgi RSA şifreliyazım SSS'ında bulunabilir: http://www.rsa.com/rsalabs/newfaq/. Burda, "Diffie-Hellman", "Açık-Anahtarlı Şifreliyazım", "Sayısal Sertifika" vb. konular hakkında bilgi bulabilirsiniz.

SSL, S-HTTP, HTTPS ve S/MIME
Kullanıcılar sık sık çeşitli güvenlik ve şifreleme protokolleri arasındakı farkları, ve nasıl kullanıldıklarını sorar. Bu bir şifreleme belgesi olmamakla birlikte her bir protokolün ne olduğunu ve daha fazla bilginin nerde bulunabileceğini açıklamak iyi bir fikir olabilir.
• SSL: - SSL, veya Secure Sockets Layer (Güvenli Soket Katmanı), Netscape tarafından İnternet üzerinde güvenlik sağlamak amacıyla geliştirilen bir şifreleme yöntemidir. SSL veri aktarım katmanında işlev görür, güvenli bir şifreli veri kanalı oluşturduğu için bir çok veri tipini şifreleyebilir. Bu en yaygın olarak, Communicator güvenli bir WWW sitesine bağlandığı, ve güvenli bir belgeyi görüntülemek istediğinde görülür. SSL, Netscape Communications şirketinin diğer veri şifrelemelerinin olduğu kadar, Communicator'ın da güvenli iletişim temellerini oluşturur. Daha fazla bilgi için http://www.consensus.com/security/ssl-talk-faq.html adresine bakabilirsiniz. Netscape'in güvenlikle ilgili hayata geçirdiği diğer örnekler, ve bu protokoller için iyi bir başlangıç noktası da http://home.netscape.com/info/security-doc.html adresinde bulunabilir.
• S-HTTP: - S-HTTP, İnternet üzerinde güvenlik servislerini sağlayan bir diğer protokoldür. Tasarlanma amacı gizlilik, kimlik doğrulama, bütünlük, ve inkar edememe (kendisinden başkası olduğunu söyleyememe) olan S-HTTP, aynı zamanda birden çok anahtar-yönetimi mekanizmasını ve şifreleme algoritmasını, taraflar arasındaki aktarımda yer alan seçenek kararlaştırılması yoluyla destekler. S-HTTP, kendisini hayata geçirmiş olan belirli yazılımlarla sınırlıdır, ve her bir mesajı ayrı ayrı şifreler (RSA Şifreliyazım SSS, Sayfa 138)
•S/MIME: - S/MIME, veya Güvenli Çokamaçlı İnternet Mektup Uzantısı (Secure Multipurpose Internet Mail Extension), elektronik mektup ve İnternet üzerindeki diğer mesajları şifrelemek için kullanılan bir şifremele standardıdır. RSA tarafından geliştirilen açık bir standarttır, dolayısıyla bir gün Linux üzerinde görme olasılığımız yüksektir. S/MIME ile ilgili daha fazla bilgi http://home.netscape.com/assist/sec...e/overview.html adresinde bulunabilir
 
Linux IP Güvenliği'nin (IPSec) Hayata Geçirilmesi
CIPE ve diğer veri şifreleme biçimlerinin yanında, IPSEC'in de Linux için bir kaç hayata geçirilme örneği vardır. IPSEC, IP ağ düzeyinde şifreliyazımsal-güvenli iletişimler yaratmak, ve kimlik doğrulama, bütünlük, erişim denetimi ve gizlilik sağlayabilmek amacıyla IETF tarafından gösterilen bir çabadır. IPSEC ve İnternet taslağı üzerinde daha fazla bilgiye http://www.ietf.org/html.charters/ipsec-charter.html adresinden ulaşabilir, ayrıca anahtar yönetimini içeren diğer protokollere, ve bir IPSEC mektuplaşma (haberleşme) listesi ve arşivlerine ulaşabilirsiniz.
Arizona Üniversitesi'nde geliştirilen, Linux için x-çekirdek (x-kernel) uygulaması, x-çekirdek adı verilen ağ protokollerinin hayata geçirilmesi için nesne tabanlı bir iskelet kullanır. Bununla ilgili bilgi http://www.cs.arizona.edu/xkernel/hpcc-blue/linux.html adresinde bulunabilir. En basit anlatımla, x-çekirdek, mesajların çekirdek düzeyinde aktarılması yöntemidir, ki bu hayata geçirilmesini kolaylaştırır.
IPSEC'in ücretsiz bir diğer uygulaması da Linux FreeS/WAN IPSEC'tir. WWW sayfalarında belirtildiğine göre,

"Bu servisler, güvenmediğiniz ağların içinde güvenli tüneller
oluşturmanızı sağlar. Güvenilmeyen ağdan geçen herşey IPSEC ağ
geçidi tarafından şifrelenir ve diğer uçtaki ağ geçidinde şifresi
çözülür.
Sonuç bir Sanal Özel Ağ, yani VPN'dir (Virtual Private Network).
Bu, bir takım farklı sitelerdeki güvensiz İnternet ile birbirine
bağlı bulununan makineler içerdiği halde, etkin anlamda özel bir
ağdır."

Bilgisayarınıza indirmek isterseniz, http://www.xs4all.nl/~freeswan/, adresinden ulaşabilirsiniz. Bu belge yazıldığı sırada [19] sürüm 1.0 henüz çıkmıştı.
Diğer şifreleme biçimleri gibi, bu da dışsatım sınırlamaları nedeniyle çekirdek ile birlikte dağıtılmıyor
ssh (Güvenli Kabuk) and stelnet
ssh ve stelnet uzak sistemlere giriş yapabilmenizi, ve şifreli bir bağlantı kurabilmenizi sağlayan programlar grubudur.
openssh ise rlogin, rsh ve rcp'nin yerine geçen güvenli bir programlar grubudur. Kullanıcıların kimliğini doğrulamak için ve iki bilgisayar arasındaki iletişimi şifrelemek için açık anahtarlı şifreliyazım tekniğini kullanır. Uzaktaki bir bilgisayara güvenli şekilde giriş yapmak veya bilgisayarlar arasında veri kopyalama yapmak, ama bu sırada gelebilecek ortadaki-adam (oturum kaçırma) ve DNS taklit saldırılarını engellemek amacıyla kullanılabilir. Bağlantılarınız arasındaki verilerı sıkıştırır, ve bilgisayarlar arasındaki X11 iletişimini güvenli hale getirir.
Şu anda bir çok ssh uygulaması mevcut. Data Fellows tarafından hayata geçirilen özgün ticari sürümü http://www.datafellows.com adresinde bulunabilir.
Mükemmel Openssh uygulamasında, Data Fellows ssh'sinin önceki sürümlerinden biri taban oluşturmuş, ve patentli veya tescilli herhangi bir parça bulunmaması için tamamen yeniden bir çalışma yapılmıştır. BSD lisansı altında ücretsiz olarak dağıtılmaktadır: http://www.openssh.com.
ssh'yi sıfırdan yeniden yazmak amacıyla, "psst..." adıyla başlatılan bir açık kaynak kodlu bir proje daha mevcut. Daha fazla bilgi için: http://www.net.lut.ac.uk/psst/
ssh'yi Windows iş istasyonunuzdan Linux ssh sunucunuza bağlanmak amacıyla da kullanabilirsiniz. Ücretsiz olarak dağıtılan bir çok Windows istemcisi de mevcut, bunlardan birine http://guardian.htu.tuwien.ac.at/therapy/ssh/ adresinden ulaşabilirsiniz. Data Fellows'un ticari bir uygulamasına ise aşağıdaki adresten ulaşılabiliyor olmalı: http://www.datafellows.com.
SSLeay, Netscape'in Güvenli Soket Katmanı protokol uygulamasının, Eric Young tarafından yazılan ücretsiz bir sürümü. Güvenli telnet gibi bazı uygulamalar, Apache için bir modül, bir takım veritabanları, ve DES, IDEA, ve Blowfish algoritmaları SSLeay'in içinde bulunabilir.
Bu kütüphaneyi kullanarak, telnet bağlantısı üzerinde şifreleme yapan güvenli bir telnet uygulaması oluşturuldu. SSH'nin tersine, stelnet SSL'yi, Netscape tarafından geliştirilen Güvenli Soket Katmanı'nı kullanıyor. Güvenli telnet ve Güvenli FTP hakkında bilgiyi SSLeay SSS'ından başlayarak bulabilirsiniz: http://www.psy.uq.oz.au/~ftp/Crypto/.
Bir diğer güvenli telnet/ftp uygulaması ise SRP. WWW sayfalarından:
"SRP projesi, dünya çapında ücretsiz kullanım için güvenli İnternet
yazılımı geliştiriyor. Tamamen güvenli bir Telnet ve FTP dağıtımından
başlayarak, ağ üzerindeki zayıf kimlik doğrulama sistemlerini
değiştirmeyi, bunu yaparken de güvenlik uğruna kullanıcı-dostluğunu
kurban etmemeyi amaçlıyoruz.
Güvenlik, öntanımlı olmalı, bir seçenek değil!"

PAM - Takılabilir Kimlik Doğrulama Modülleri
Red Hat Linux dağıtımlarının yeni sürümleri, "PAM" adı verilen birleşmiş bir kimlik doğrulama tasarımı ile birlikte geliyor. PAM, kimlik doğrulama yöntem ve gereksinimlerinizi çalışma kesilmeksizin değiştirmenize izin veriyor, ve ikililerinizin yeniden derlenmesine gerek bırakmaksızın bütün yerel kimlik doğrulama yöntemlerinizi çevreliyor. PAM yapılandırması, bu belgenin konusu dışında, bununla birlikte daha fazla bilgi için PAM sitesini şöyle bir gözden geçirmeyi ihmal etmeyin: http://www.kernel.org/pub/linux/libs/pam/index.html.
PAM ile yapabileceklerinizden sadece bir kaçı:
• Parolalarınız için DES'ten başka bir şifreleme kullanma (Böylelikle kaba kuvvet saldırılarını daha da zorlaştırma)
• Tüm kullanıcılarınızın üzerinde, kaynak sınırlandırmaları koyabilme, böylelikle servis-reddi saldırılarını engelleme (işlem sayısı, bellek miktarı vb.)
• Çalışma kesilmeksizin gölge parolaya geçiş olanağı (aşağıya bakın)
• Belirli kullanıcıların, sadece belirli zamanlarda ve belirli yerlerden giriş yapmalarına izin verme
Sisteminizi bir kaç saat içinde kurduktan ve yapılandırdıktan sonra, bir çok saldırıyı gerçekleşmeden durdurabilirsiniz. Örneğin, kullanıcıların ev dizinlerindeki .rhosts dosyalarının kullanımını engellemek için, sistem genelinde /etc/pam.d/rlogin dosyasına aşağıdaki satırları ekleyerek PAM'i kullanabilirsiniz:

#
# Kullanıcılar için rsh/rlogin/rexec kullanımını yasakla
#
login auth required pam_rhosts_auth.so no_rhosts
 
Şifreliyazımsal IP Sarma (CIPE)
Bu yazılımın birincil amacı (gizlice dinleme, trafik çözümlemesi ve araya sahte mesaj sokmaya karşı), İnternet gibi güvensiz paket ağı boyunca oluşturulan alt ağ bağlantılarını güvenli hale getirmede bir kolaylık sağlamaktır.
CIPE veriyi ağ düzeyinde şifreler. Bilgisayarlar arasında ağ üzerinde seyahat eden paketler şifrelenir. Şifreleme motoru, paketleri alan ve gönderen sürücüye yakın bir yerdedir.
Bu, verileri soket düzeyinde bağlantılara göre şifreleyen SSH'den farklıdır. Farklı bilgisayarda çalışan programlar arası mantıksal bağlantılar şifrelenir.
CIPE, Sanal Özel Ağ yaratmak amacıyla tünellemede kullanılabilir. Düşük-düzey şifrelemenin, uygulama yazılımında değişiklik yapmaksızın VPN'de bağlı iki ağ arasında şeffaf şekilde çalıştırılabilme getirisi vardır.
CIPE belgesinden özet:

IPSEC standartları, (diğer şeyler arasında) şifrelenmiş VPN'ler
oluşturmak için kullanılabilecek protokoller kümesini tanımlar.
Bununla birlikte, IPSEC, bir çok seçeneği olan ağır ve karışık
bir protokol kümesidr, protokolün bütün olarak hayata geçirilebildiği
durumlar nadirdir ve bazı konular (anahtar idaresi gibi) tam olarak
çözülmemiş durumdadır. CIPE, değiştirgelenebilen bir çok şeyin
(kullanılan asıl şifreleme algoritmasının seçimi gibi) kurulum
zamanındaki sabit bir seçim olduğu daha basit bir yaklaşım kullanır.
Bu esnekliği kısıtlar, ama daha basit (ve dolayısıyla daha etkili,
böcek ayıklamasını kolaylaştıran) bir uygulama olanağı sağlar.

Daha fazla bilgi http://www.inka.de/~bigred/devel/cipe.html adresinde bulunabilir.
Diğer şifreleme biçimleri gibi, dışsatım kısıtlamaları yüzünden çekirdek ile birlikte dağıtılmamaktadır.
1.6.7. Kerberos
Kerberos, MIT'teki (Massachusetts Teknoloji Enstitüsü) Athena Projesi tarafından geliştirilen bir kimlik doğrulama sistemidir. Kullanıcı sisteme giriş yaptığında, Kerberos kullanıcının kimliğini doğrular (bir parola kullanarak), ve kullanıcıya ağa dağılmış diğer sunucular ve bilgisayarlara kimliğini kanıtlamak için bir yol sağlar.
İşte bu kimlik doğrulama rlogin gibi programlar tarafından kullanılır (.rhosts dosyası yerine), ve kullanıcıya diğer bilgisayarlara parolasız girebilmesi için izin verilir. Bu kimlik doğrulama yöntemi posta sistemi tarafından da mektubun doğru kişiye dağıtıldığından emin olmak, ve gönderen kişinin iddia ettiği kişi olduğunu garanti altına almak amacıyla kullanılabilir.
Kerberos ve birlikte gelen diğer programlar, kullanıcıların başka birini "taklit" yoluyla sistemi yanıltmasını engeller. Ne yazık ki, Kerberos'u kurmak kökten değişiklik ister, bir çok standard programın yenileriyle değiştirilmesini gerektirir.
Kerberos hakkında daha fazla bilgi almak için the kerberos FAQ (SSS)'a, kodu almak içinse http://nii.isi.edu/info/kerberos/ adresine bakabilirsiniz.
[Kaynak: Stein, Jennifer G., Clifford Neuman, and Jeffrey L. Schiller. "Kerberos: An Authentication Service for Open Network Systems (Kerberos: Açık Ağ Sistemleri için Bir Kimlik Doğrulama Servisi") USENIX Konferans Tutanakları, Dallas, Texas, Winter 1998.]
Kerberos, bilgisayarınızın güvenliğini iyileştirmede ilk adımınız olmamalı. Oldukça kapsamlı olduğu gibi, örneğin SSH kadar yaygın olarak da kullanılmamaktadır.
1.6.8. Gölge Parolalar
Gölge parolalar, şifrelenmiş parola bilgilerinizi normal kullanıcılardan gizli tutmanın bir yoludur. Hem Red Hat hem de Debian Linux dağıtımlarının yeni sürümleri, gölge parolaları var sayılan yapılandırmada kullanıyor, fakat diğer sistemlerde, şifrelenmiş parolalar, herkesin okuyabileceği şekilde /etc/passwd dosyasında saklanıyor. Herhangi biri bunlar üzerinde parola-tahmin programları kullanarak ne olduklarını bulmaya çalışabilir. Gölge parolalar ise tam tersine /etc/shadow dosyasında saklanır, ve sadece yetkili kullanıcılar okuyabilir. Gölge parolalar, kullanılabilmek için, parola bilgisine erişime gereksinim duyan bütün yararlı programlar tarafından destekleniyor olmalıdır. PAM (yukarıda) de bir gölge modülünün takılmasına izin verir, ve çalıştırabilir dosyaların yeniden derlenmesini gerektirmez. Daha fazla bilgi için Shadow-Password HOWTO (Gölge-Parola NASIL) dosyasına başvurabilirsiniz: http://metalab.unc.edu/LDP/HOWTO/Sh...word-HOWTO.html. Yalnız oldukça eski olabilir ve PAM'ı zaten destekleyen dağıtımlar için gerek yoktur.
1.6.9. "Crack" ve "John the Ripper"
Herhangi bir nedenle passwd programı tahmini-zor parolalar seçmeye zorlayamıyorsa, bir parola-kırıcı program çalıştırmak, ve kullanıcılarınızn parolalarının güvenli olduğundan emin olmak isteyebilirsiniz.
Parola kıran programlar basit bir düşünceye dayanarak çalışır: Sözlükteki her sözcüğü, ve sözcüklerden türeyen ifadeleri dener. Önce bunları şifreler, daha sonra sistemdeki şifrelenmiş parola ile karşılaştırır. Eğer birbirini tutarsa, parolayı bulmuş olurlar.
En dikkate değer ikisi "Crack" ve "John the Ripper" olmak üzere ( http://www.openwall.com/john/) ortalarda dolaşan bir kaç program mevcuttur. Bu programlar çok fazla işlemci zamanı alırlar, fakat önce kendiniz çalıştırarak ve zayıf parolası olan kullanıcıları farkederek herhangi bir saldırganın bunları kullanarak sisteme girip giremeyeceğini öğrenebilirsiniz. Dikkat edilmesi gereken bir nokta, bir saldırganın bu programları kullanabilmesi için, önce başka bir delik kullanarak /etc/passwd dosyasını okumuş olması gerekir ve bu tür delikler düşündüğünüzden daha yaygındır.
Güvenlik, en güvensiz bilgisayar kadar güçlü olduğundan, belirtilmelidir ki, eğer ağınızda Windows makineler varsa L0phtCrack programına da bir göz atmak isteyebilirsiniz. L0phtCrack Windows için bir parola kırma uygulamasıdır: http://www.l0pht.com
1.6.10. CFS - Şifreliyazımsal Dosya Sistemi ve TCFS - Şeffaf Şifreliyazımsal Dosya Sistemi
CFS bütün dizin ağaçlarını şifrelemenin, ve kullanıcıların bu dizinlerde şifreli dosyalar saklayabilmesini sağlamanın bir yoludur. Yerel makinede çalışan bir NFS sunucusundan yararlanır. RPM dosyalarını, http://www.zedz.net/redhat/ adresinden, ve nasıl çalıştığı hakkında daha fazla bilgiyi ise ftp://ftp.research.att.com/dist/mab/ adresinden bulabilirsiniz.
TCFS, dosya sistemine daha fazla bütünlük katarak CFS'in geliştirilmiş halidir, böylece dosya sisteminin şifrelenmiş olduğu kullanıcılara şeffaf olur. Daha fazla bilgi: http://www.tcfs.it/.
Ayrıca tüm dosya sistemleri üzerinde de kullanılabilir. Dizin ağaçları üzerinde de çalışılabilir.
1.6.11. X11, SVGA ve Görüntü Güvenliği
1.6.11.1. X11
Saldırganların parolalarınızı yazarken çalmasını, ekranda okuduğunuz belge ve bilgileri okumasını, hatta root erişimi sağlama için bir delik kullanmasını engellemek amacıyla, çizgesel görüntünüzü güvenli hale getirmeniz önem taşır. Ağ üzerinde uzak X uygulamaları çalıştırmak da, koklayıcıların uzak sistemle olan tüm etkileşiminizi görmeleri açısından, tehlike dolu olabilir.
X bir takım erişim-denetim mekanizmalarına sahiptir. Bunların en basiti bilgisayar bazında olandır. Görüntünüze erişmesine izin verdiğiniz bilgisayarlar için xhost programını kullanırsınız. Bu kesinlikle çok güvenli değildir, çünkü biri makinenize erişim sağlarsa, xhost + saldırganın makinesi yaparak rahatlıkla girebilir. Ayrıca, güvensiz bir makineden erişime izin verirseniz, oradaki herhangi biri görüntünüzü bozabilir.
Giriş yapmak için xdm (X Display Manager, X Görüntü Yöneticisi) kullanırken, çok daha iyi bir erişim yönteminiz vardır: MIT-MAGIC-COOKIE-1. 128 bitlik bir kurabiye üretilir ve .Xauthority dosyanızda saklanır. Eğer uzak bir makineye görüntü erişim izni vermek isterseniz, xauth komutunu ve .Xauthority dosyanızdaki bilgiyi bunu sağlamak için kullanabilirsiniz. Remote-X-Apps mini-howto (Uzak-X-Uygulamaları Mini-NASIL) belgesine bir göz atabilirsiniz: http://metalab.unc.edu/LDP/HOWTO/mi...ote-X-Apps.html.
Güvenli X bağlatıları için ssh (bkz. ssh (Güvenli Kabuk) and stelnet ) da kullanabilirsiniz. Bunun son kullanıcıya şeffaf olması avantajı vardır, ve ağda şifrelenmemiş hiç bir veri akışının olmadığı anlamına gelir.
Ayrıca, X sunucunuzu '-nolisten tcp' seçeneği ile çalıştırarak, uzaktan erişimi tamamen kapatabilirsiniz. Bu, sunucunuza tcp soketleri üzerinden herhangi bir ağ bağlantısına engel olacaktır.
X güvenliği ile ilgili daha fazla bilgi için Xsecurity man sayfasına bir göz atın. En güvenilir yol, konsola giriş yapmak için xdm, üzerinde X programları çalıştırmak istediğiniz uzak sitelere gitmek içinse ssh kullanmaktır.
1.6.11.2. SVGA
SVGAlib programları, Linux makinenizin video donanımına erişmek için tipik olarak SUID-root'tur. Bu onları çok tehlikeli yapar. Eğer göçerlerse, kullanılır bir konsol almak için tipik olarak makinenizi yeniden başlatmak zorunda kalırsınız. SVGA programlarınızın düzgün olduğundan, en azından bir şekilde güvenilir olduğundan emin olun. Daha da iyisi, hiç çalıştırmayın.
1.6.11.3. GGI (Genel Çizgesel Arabirim Projesi)
Linux GGI projesi, Linux'ta video arabirimlerinden kaynaklanan bir takım problemleri çözmeyi deneyen bir projedir. CGI, bir parça video kodunu Linux çekirdeğine taşır, sonra video sistemine erişimi denetler. Bu, çekirdeğinizin iyi bir durumunun herhangi bir zamanda tekrar çağrılabileceği anlamına gelir. Verdikleri güvenli anahtar sayesinde, konsolunuzda çalışan bir Truva atı login programının olmadığından emin olabilirsiniz. http://synergy.caltech.edu/~ggi/
 
Kriptoloji olmadan algoritma olmaz algoritma olmadan da kriptoloji olmaz.O zaman nedir bu algortma??? İŞTE ALGORİTMA BUDUR
 
Kriptoloji le merak ettiğiniz bütün konular mevcut.Çok faydalı bi link.sabahtan beri okuyorum
===BURADA===
 
Kriptoloji olmadan algoritma olmaz algoritma olmadan da kriptoloji olmaz.O zaman nedir bu algortma???====İŞTE ALGORİTMA====
 
Abi Bi Sorum Var Bu Kriptoloji Ile Ilgili Abi Ne Ise Yarar Cok Kisa Bir Sekilde Soylermisin
Yani Anladim Sifreyle Ilgili Falanda Ne Yani Onu Anlamadim.
 
Veri güvennliğini sağlar İletişimin özel olmasını sağlar.3. kişilerin sana ve bilgilerine ulaşmasını engeller kısaca...
 
Bilgiler çok güzel gerçekten daha önce bu konu hakkında pek fazla bilgim yoktu ama septagh ve dark_angel arkadaşımızın yasptıkları bu güzel dökümanlar sayesinde baya bi bilgiye sahip oldum ikisine de teşekkürler.Tam arşivlik dökümanlar.
 
baba post 31, 33 link koymayı unutmuşun
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst