1

Secure Socket Layer (SSL) Nedir?

2

Ali Pekfesat

internet BB

Batmaz BankInternet Şubesi

Mehmet Peksaf

Açık metin HTTP trafiği

Ali Pekfesat

internet

Batmaz BankInternet Şubesi

Mehmet Peksaf

Müşteri No : 6980871Şifre : aliveli4950

Müşteri No : 6980871Şifre : aliveli4950

Müşteri No : 6980871Şifre : aliveli4950

3

Verinin güvenliksiz bir ortam olan internette bir yerden bir

yere taşınması sorununa bir çözüm olması için SSL ortaya

atılmıştır.

SSL, güvenli olmayan bir ortamda verinin göndericiden

alıcıya güvenli bir şekilde iletimini sağlamak amacı ile hem

herkese açık bir anahtar şifrelemesini hem de özel anahtar

şifrelemesini aynı anda kullanabilen bir yapıda

tasarlanmıştır.

SSL’i ilk ortaya atan Netscape firmasıdır. Daha sonra IETF

tarafından bir güvenlik standardı olarak kabul edilmiş ve

Netscape’ten devralınmıştır.

Veriyi sunan Web Server, Sertifika otoritesi tarafından

imzalanmış özel ve herkese açık bir anahtara sahiptir.

Bu anahtar değerleri verinin alıcı tarafından sunucudan

güvenli bir şekilde alınmasını sağlar.

4

SSL’İN KULLANIM AMACI

5

1. Sunucu ile istemci arasında bir bağ oluşturmak,

2. Şifreleme ve sıkıştırma kurallarını belirlemek,

3. Tarafları asıllamak,

4. Oturum için gerekli anahtarları oluşturmaktır.

SSL teknolojisi, veri iletimi esnasında Hashing metodunu

kullanır.

Hashing metodolojisi ile sunucu, veriden tek bir hash

değeri yollar.

İstemci bu veri paketini aldığında, aynı hash fonksiyonunu

kulla narak, gelen bu paketten bir hash değeri üretir.

İstemci ile sunucu, aralarında bağlantı sağlarken, aynı

hash fonksiyonunu kullanmak için anlaşırlar. İstemcinin

üretmiş olduğu bu hash değeri, sunucunun yolladığı hash

değeri ile aynı olmak zorundadır. Eğer aynı değilse veri

değişmiştir.

6

SSL, web sunucusunda tanımlanmış olan digital imzaları

kullanır.

Böylece web sunucusunun yayınlamış olduğu dijital imza

sayesinde, browserdan web sunucusuna erişen istemci,

gerçekten alışverişte bulunacağı firma ile bir bağlantının

kurulduğundan emin olur.

7

Sertifika otoritesi, bahsi geçen sertifikayı sunucu firmaya

verirken, öncesinde bir kimlik denetiminde bulunur.

Güvenilir bir firma olduğuna kanaat getirdiğinde, sunucu

firmaya sertifika verir. Sertifika Otoritesinin vermiş olduğu

bu sertifika, sunucu firmanın güvenilir ve onaylanmış bir

firma olduğunu belgeler.

Sertifika otoriteleri, Verisign gibi firmalardır.

8

Sertfikanın Edinilmesi

Sunucuya İstemciden bir SSL isteği geldiğinde, İstemcinin web

browserı, sunucu ile irtibata geçer. Ve sunucu, İstemciye

Sertifika Otoritesi tarafından kendisine verilmiş olan sertifikayı

yollar.

Sonuçta, sertifika, bir dijital imzadan ibarettir.

İstemci, sunucunun yollamış olduğu bu sertifikayı aldığında, bu

sertifikadan sunucunun firma kimlik bilgilerini ve herkese açık

anahtar bilgisini okuyabilir.

İstemci, sertifika otoritesinin herkese açık anahtarı ile sayısal

imzayı çözer ve otoritenin ürettiği hash değerini bulur.

9

Sertfikanın Onaylanması

Daha sonra sertifika içinden kendisi de bir hash değeri üretir.

Bu iki hash değerinin aynı olması gerekmektedir.

Eğer aynı ise, web sunucusu, Sertifika Otoritesi tarafından

onaylanmıştır ve İstemcinin gerçekten iletişime geçmek

istediği bir firma demektir.

10

Böylelikle sunucu ve İstemci arasında bir SSL “güvenli”

bağlantı kurulumu gerçeklenmiş olur ve bu bağlantı

esnasında giden gelen paketler şifrelendiği için üçüncü

kişiler, sunucu ile İstemci arasında gidip gelen veri

paketlerini okuyamaz.

Eğer üçüncü şahıslar, veri okumaya başlayabilirse, bundan

anında hem sunucunun hem de İstemcinin haberi olur ve

bağlantı hemen kesilir.

11

SSL ile, hem sunucu İstemciye kendini tanıtır hem de İstemci

sunucuya kendini tanıtır. Böylelikle iki taraflı bir güven ilişkisi

kurulmuştur.

İstemci ile sunucu arasında iki taraflı bir el sıkışması yapılır.

(HandShake).

Bu el sıkışma anlaşması, İstemci sunucuya ilk ulaştığı anda

yapılır.

12

EL SIKIŞMA AŞAMALARI 1. İstemci, sunucuya ilk ulaştığında el sıkışma başlar ve her

iki taraf, güvenlik amacı ile kullanılacak olan şifreleme

fonksiyonu üzerinde anlaşır.

2. İstemci, sunucunun kimliğini denetler.

3. İstemci, sunucudan almış olduğu dijital imzadan bir

anahtar oluşturur ve bunu sunucuya yollar.

4. Sunucu bu anahtarı alıp, kontrol eder.

5. Eğer istenirse, sunucu da tarayıcıdan bir kimlik denetimi

isteyebilir.

13

El sıkışma başladığında, İstemci sunucudan kimlik bilgilerini

ister. Bunun üzerine sunucu, İstemciye sertifikasını yollar.

İstemci aldığı bu bilgiler eşliğinde simetrik bir anahtar

oluşturur. Daha sonra sunucunun herkese açık anahtarı ile,

bu bulduğu anahtarı şifreler. Ve bu değeri sunucuya yollar.

Kendi özel anahtarını kullanarak, sunucu, İstemcinin

yolladığı bu şifrelenmiş anahtarı çözer.

14

SSL’DE KULLANILAN ŞİFRELEME SİSTEMLERİ

a. Hash Tekniği ile Şifreleme: Veri trafiği esnasında, verinin

değişmediğini ve bütünlüğünün korunduğunu anlamak için

kullanılır.

b. Anahtar Değişim Tekniği ile Şifreleme: İstemci ve

sunucunun, el sıkışma sonrasında , veriyi şifrelemek amacı

ile kullandıkları simetrik anahtarı birbirine nasıl

ulaştıracağını belirlemek için kullanılır.

c. Simetrik Veri Şifreleme: Veri şifrelenmesinde kullanılacak

olan RC2 gibi bir veri şifreleme tekniğidir.

15

İstemci ve sunucunun Web üzerinden oturum

açıp veri alışverişinde bulunma işlemleri, OSI

modelinin Uygulama katmanında, şifreleme

işlemleri de Sunuş katmanında yapılır.

16

İstemci Sunucu

TCP / IP

SSL Kayıt

SSL Tokalaşma

Uygulama

TCP / IP

SSL Kayıt

SSL Tokalaşma

Uygulama

S S L

17

İstemciSunucu

İstemci, sunucuya bağlandığında aralarında bir el sıkışma protokolü kurumu başlatılır. Bu bağlamda, İstemci ve sunucu hangi şifreleme tekniğini kullanacakları konusunda anlaşırlar.

1

Öncelikle Web sunucu, bir Sertifika Otoritesinin kendisine tahsis etmiş

olduğu sertifikayı yüklemiş olması gerekmektedir.

Böylelikle, Sertifika Otoritesi, sunucuyu

onayladığını, istemcilere garanti

etmiş olur.

18

İstemci Sunucu

Sunucu, istemciye, kendisine Sertifika Otoritesi tarafından verilmiş olan sertifikayı yollar.

İstemci, sunucunun kendine yollamış olduğu sertifikayı kullanarak sunucunun kimlik denetimini yapar.

2

19

İstemci Sunucu

İstemci, bu kimlik denetiminden sonra, eğer geçerli bir sertifika aldı ise; bu sertifika bilgisinden, simetrik şifreleme anahtarını yaratır ve bunu sunucuya yollar. Bu şifreleme anahtarı, sunucu ve İstemci arasındaki verinin şifrelenmesi için kullanılacaktır.

3

20

İstemci Sunucu

Sunucu, İstemciye veri yollarken, bu şifre anahtarı ile veriyi şifreler, veri için bir hash değeri üretir. Şifrelenmiş veri ve hash değeri istemciye yollanır.

4

21

İstemci Sunucu

İstemci veriyi alır, bir hash değeri üretir. Veriyi ve hash değerini simetrik anahtar ile şifreler, sunucuya yollar.Sunucu aldığı bu şifrelenmiş veriyi ve hash değerini çözer. Veri için yeni bir hash değeri üretir. İki hash değerini karşılaştırır. Aynı ise, iletişime devam edilir.

Bu adımlar, İstemci ve sunucu arasındaki veri trafiği boyunca devam eder.

5

SSL teknolojisi, 40 bit, 56 bit ve 128 bit veriyi destekler. Ama

daha güvenli olması için tercih edilen 128 bitlik veri alışverişidir.

22

Bir SSL Sertifikasının görünümü:Bir Netscape istemcisi ile, güvenli bölgenin detayları alınıyor.

LKD SSL sunucusunun sertifikası....

This Certificate belongs to: This Certificate was issued by: www.linux.org.tr LKD Root Certificate Authority webmaster@linux.org.tr bgg@linux.org.tr Bilgi Guvenligi Grubu Bilgi Guvenligi Grubu Linux Kullanicilari Dernegi Linux Kullanicilari Dernegi (LKD) Ankara, TR, TR Ankara, TR

Serial Number: 01This Certificate is valid from Tue Sep 12, 2000 to Wed Sep 12, 2001Certificate Fingerprint: BF:F1:06:75:DE:56:F4:77:82:C1:FD:34:A5:40:2B:62

SSL Sertifika Örneği

Kobicini Yazılımı SSL 128 bit şifreleme sistemini

kullanmaktadır.

Avantajları:

Mevcut donanım yapısıyla entegre çalışabilir.

Anahtar büyüklüğü arttırılarak güvenlik seviyesi arttırılabilir.

Küresel anlamda yaygın olarak kullanılmaktadır.

23