Şifreleme Temelleri

Tehditler ve Korunma

👤 Güvenlik Uzmanı★ 3/3⏱ 14 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Bir kafedeki halka açık Wi-Fi'da, şifrelenmemiş bir bağlantı üzerinden gönderdiğiniz parola, aynı ağdaki herkes tarafından düz metin olarak okunabilir. İşte tam bu yüzden tarayıcınızdaki o küçük kilit simgesi (HTTPS) ve verilerin şifrelenmesi, modern bilgi güvenliğinin görünmez ama vazgeçilmez kalkanıdır.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste şifrelemenin (encryption) temellerini ele alıyoruz: bir veriyi yalnızca yetkili tarafların okuyabileceği biçime nasıl çevirdiğimizi, simetrik ve asimetrik şifreleme arasındaki farkı, verinin aktarımda (in transit) ve durağan (at rest) hâllerinde nasıl korunduğunu öğreneceğiz. Şifreleme, parolalarımızı, müşteri kayıtlarımızı, e-postalarımızı ve dizüstü bilgisayarlarımızı koruyan en temel teknik kontroldür. Soldaki interaktif sahnede (secEncryptionFlow3D) bir açık metnin (plaintext) anahtarla nasıl şifreli metne (ciphertext) dönüştüğünü, anahtarın doğru ya da yanlış olmasının sonucu nasıl değiştirdiğini ve verinin gönderici ile alıcı arasında nasıl güvenle aktığını deneyerek incele.

Anlatım

ŞİFRELEME NEDİR VE NEDEN ÖNEMLİDİR? Şifreleme, okunabilir bir veriyi (açık metin / plaintext) bir matematiksel algoritma ve bir anahtar (key) kullanarak okunamaz hâle (şifreli metin / ciphertext) çevirme işlemidir. Doğru anahtara sahip olan taraf bu işlemi tersine çevirerek (şifre çözme / decryption) veriyi tekrar okuyabilir. Amaç gizliliği (confidentiality) sağlamaktır: veri yanlış ellere geçse bile, anahtar olmadan anlamsız bir karakter yığınıdır. Neden önemli? Bir saldırgan ağ trafiğinizi dinleyebilir, bir dizüstü bilgisayar çalınabilir, bir yedek disk kaybolabilir. Şifreleme bu durumlarda son savunma hattıdır. ISO/IEC 27001:2022 Annex A bölümünde kriptografinin kullanımı A.8.24 "Use of cryptography" (Kriptografinin kullanımı) kontrolü altında ele alınır; kurumun bir kriptografi politikası tanımlaması ve anahtar yönetimini düzenlemesi beklenir. KVKK açısından da kişisel verilerin şifrelenmesi, KVK Kurumu'nun yayımladığı idari ve teknik tedbirler arasında doğrudan sayılan bir önlemdir (KVKK md.12 "uygun teknik ve idari tedbirler"). ÖNEMLİ AYRIM: ŞİFRELEME ≠ HASH (ÖZET) Çok karıştırılan bir nokta: Şifreleme GERİ DÖNDÜRÜLEBİLİR (anahtarla çözülür); hash (özetleme, ör. SHA-256) tek yönlüdür ve geri döndürülemez. Parolalar veritabanında ŞİFRELENMEZ, HASH'lenir (tercihen bcrypt/Argon2 gibi tuzlu/yavaş algoritmalarla). Yani parola için "şifrelendi" demek teknik olarak yanlıştır. 1) SİMETRİK ŞİFRELEME (Tek Anahtar) Şifreleme ve şifre çözme için AYNI gizli anahtar kullanılır. • Algoritma örneği: AES (Advanced Encryption Standard), günümüzün altın standardı. AES-256, 256-bit anahtar kullanır ve dünya çapında devlet/banka düzeyinde kabul görür. • Avantaj: Çok hızlıdır; büyük veri yığınlarını (dosyalar, disk, veritabanı) şifrelemek için idealdir. • Zorluk: Anahtarın iki taraf arasında GÜVENLE paylaşılması gerekir. Anahtarı düz metin e-postayla göndermek tüm güvenliği yok eder. Nerede kullanılır: Disk şifreleme (BitLocker, FileVault), dosya/yedek şifreleme, VPN tüneli içeriği. 2) ASİMETRİK ŞİFRELEME (Açık Anahtar / Public Key) Birbiriyle matematiksel olarak ilişkili İKİ anahtar kullanılır: bir AÇIK ANAHTAR (public key) ve bir ÖZEL ANAHTAR (private key). • Açık anahtarla şifrelenen veri YALNIZCA ilgili özel anahtarla çözülebilir (ve tersi imza için geçerlidir). • Açık anahtar herkese dağıtılabilir; özel anahtar ASLA paylaşılmaz, gizli tutulur. • Algoritma örneği: RSA, ECC (Eliptik Eğri Kriptografisi). • Avantaj: Anahtar paylaşım sorununu çözer — karşı tarafla önceden gizli anahtar paylaşmadan güvenli iletişim kurulabilir. Dijital imza ve kimlik doğrulamayı mümkün kılar. • Zorluk: Simetrik şifrelemeye göre çok daha yavaştır; bu yüzden genelde büyük veriyi doğrudan şifrelemek için değil, küçük verileri (ör. bir simetrik oturum anahtarı) güvenle paylaşmak için kullanılır. GERÇEK HAYATTAKİ HİBRİT YAKLAŞIM: TLS/HTTPS, asimetrik şifrelemeyi sadece bir simetrik oturum anahtarını güvenle değiş tokuş etmek için kullanır; ardından asıl trafik hızlı simetrik şifrelemeyle (AES) korunur. Her iki yöntemin en iyi yanını birleştirir. 3) VERİNİN İKİ HÂLİ: AKTARIMDA ve DURAĞAN • AKTARIMDA ŞİFRELEME (Encryption in Transit): Veri bir ağ üzerinde HAREKET EDERKEN korunur. En yaygın örnek HTTPS'in altındaki TLS protokolüdür. E-posta için TLS, uzaktan erişim için VPN, dosya transferi için SFTP/FTPS bu kapsamdadır. İşaret: Tarayıcıdaki kilit simgesi ve adres çubuğunda "https://". YAPILMASI GEREKEN: Hassas veriyi her zaman HTTPS/TLS üzerinden gönder; "http://" (kilitsiz) bağlantıdan parola/kart bilgisi girme. • DURAĞAN ŞİFRELEME (Encryption at Rest): Veri bir diskte, veritabanında, USB bellekte veya yedekte BEKLERKEN korunur. Bir dizüstü çalınsa bile disk şifreliyse (BitLocker/FileVault) veriler okunamaz. YAPILMASI GEREKEN: Kurumsal dizüstü/telefonlarda disk şifrelemeyi etkin tut; hassas dosyaları şifresiz USB'ye kopyalama. 4) ANAHTAR YÖNETİMİ (Kriptografinin Aşil Topuğu) Şifreleme ancak anahtar güvende olduğu sürece güçlüdür. "Şifreli" bir disk, anahtarı bir yapışkan notta yazılıysa korumasızdır. YAPILMASI GEREKEN: • Anahtarları/parolaları güvenli bir kasada (şifre yöneticisi, donanım güvenlik modülü/HSM, anahtar kasası) sakla. • Şifreleme anahtarını şifrelediği veriyle aynı yerde tutma. • Anahtar kaybolursa veriye de erişilemez — kurtarma anahtarlarını güvenli biçimde yedekle. YAPILMAMASI GEREKENLER (Don't): • Kendi şifreleme algoritmanı yazma ("roll your own crypto"); kanıtlanmış standart algoritmaları (AES, RSA, TLS) kullan. • Eski/kırılmış algoritmalara güvenme: MD5 ve SHA-1 hash'leri ve eski SSL/erken TLS sürümleri güvensiz kabul edilir. • Anahtarı e-posta/sohbet/kaynak koduna gömme. KVKK ve UYUMLULUK BAĞLANTISI Kişisel veri içeren ortamların şifrelenmesi, KVKK kapsamında veri ihlali riskini azaltan temel bir tedbirdir. Bir ihlal yaşandığında, verinin güçlü biçimde şifreli olması (ve anahtarın ele geçmemiş olması) hem zararı sınırlar hem de denetimde kurumun gerekli özeni gösterdiğinin kanıtıdır. ISO 27001 A.8.24 ve A.5.31 (yasal/sözleşmesel gereklilikler) bu beklentiyi resmîleştirir. ÖZETLE: Şifreleme, veriyi anahtar olmadan okunamaz kılar. Simetrik (tek anahtar, hızlı) büyük veri için; asimetrik (açık/özel anahtar çifti) güvenli anahtar paylaşımı ve imza için kullanılır; modern sistemler ikisini birlikte kullanır. Veriyi hem aktarımda (TLS/HTTPS) hem durağan (disk şifreleme) korumalı, anahtarları titizlikle yönetmelisiniz. Bir çalışan olarak en önemli görevleriniz: HTTPS olmayan bağlantılarda hassas veri girmemek, kurumsal cihazlarda disk şifrelemeyi açık tutmak ve anahtar/parolaları asla açıkta bırakmamaktır.

📌 Senaryolar

📌 Senaryo 1 (Aktarımda şifreleme — HTTPS): Bir tedarikçi portalına giriş yaparken adres çubuğunda "http://" (kilit yok) yazdığını ve tarayıcının 'Bu site güvenli değil' uyarısı verdiğini fark ettin.
  Doğru davranış: Bu bağlantıdan kullanıcı adı/parola veya hassas veri GİRME. Adresin "https://" olduğundan ve kilit simgesinin bulunduğundan emin ol; emin değilsen BT/güvenlik ekibine bildir ve resmî/doğru URL'yi teyit et.
  Sonuç/Neden: HTTP trafiği şifresizdir; aynı ağdaki bir saldırgan (ör. halka açık Wi-Fi) parolanı düz metin olarak okuyabilir. HTTPS (TLS) verinin aktarımda şifrelenmesini sağlar. ISO 27001 A.8.24 kapsamında aktarımda kriptografi kullanımı beklenir.

📌 Senaryo 2 (Durağan şifreleme — çalınan dizüstü): Kurumsal dizüstü bilgisayarın metroda çalındı. İçinde müşteri sözleşmeleri ve e-postalar vardı.
  Doğru davranış: Olayı derhal BT/güvenlik ekibine bildir. Eğer disk şifreleme (BitLocker/FileVault) etkinse ve oturum açma parolası güçlüyse, diskteki veriler hırsız için okunamaz hâldedir.
  Sonuç/Neden: Durağan şifreleme (encryption at rest), fiziksel hırsızlığı bir veri ihlaline dönüşmekten alıkoyar. Şifreli olmayan bir disk ise sökülüp başka bilgisayara takılarak kolayca okunabilir — bu KVKK kapsamında bildirim gerektiren bir veri ihlali olurdu. Bu yüzden disk şifreleme her zaman açık tutulmalıdır.

📌 Senaryo 3 (Simetrik anahtar paylaşımı): Bir iş arkadaşın AES ile şifrelediği bir ZIP dosyasını sana e-postayla gönderdi ve aynı e-postanın bir alt satırına dosyanın açma parolasını (anahtarı) yazdı.
  Doğru davranış: Parolayı e-postayla göndermenin yanlış olduğunu nazikçe belirt. Anahtar, dosyadan AYRI bir kanaldan (telefon, kurumsal şifre yöneticisi gibi güvenli kasa) paylaşılmalıdır.
  Sonuç/Neden: Simetrik şifrelemede güvenlik tamamen gizli anahtara bağlıdır. Anahtarı şifreli dosyayla aynı e-postada göndermek, kilitli bir kutuyu anahtarı üstüne bantlayarak postalamak gibidir — e-postayı ele geçiren herkes dosyayı açar. Anahtar yönetimi (ISO 27001 A.8.24) bu nedenle kritiktir.

📌 Senaryo 4 (Asimetrik / hibrit anlama — kilit simgesi): Yöneticin 'Banka sitesinde nasıl oluyor da hiç anahtar paylaşmadan güvenli bağlanabiliyoruz?' diye soruyor.
  Doğru davranış: TLS/HTTPS'in asimetrik şifreleme kullandığını açıkla: banka açık anahtarını sertifikasıyla yayınlar; tarayıcın bununla bir simetrik oturum anahtarını güvenle paylaşır; sonra asıl trafik hızlı simetrik şifreyle (AES) korunur. Önceden gizli bir anahtar paylaşmaya gerek yoktur.
  Sonuç/Neden: Asimetrik şifreleme (açık/özel anahtar çifti), anahtar paylaşım problemini çözer ve sertifikalarla kimlik doğrulamayı sağlar. Modern sistemler asimetrik + simetrik 'hibrit' yaklaşımı kullanır: güvenlik (asimetrik) ve hız (simetrik) bir arada.

📌 Senaryo 5 (Parola: şifreleme değil, hash): Bir yazılım ekibinden biri 'Kullanıcı parolalarını veritabanında AES ile şifreliyoruz, güvende' diyor.
  Doğru davranış: Parolaların ŞİFRELENMEMESİ, tek yönlü ve yavaş bir algoritmayla (bcrypt/Argon2 gibi, tuz/salt ile) HASH'lenmesi gerektiğini belirt; güvenlik/geliştirme politikasının bunu gerektirdiğini hatırlat.
  Sonuç/Neden: Şifreleme geri döndürülebilir — anahtar ele geçerse tüm parolalar çözülür. Hash tek yönlüdür: veritabanı sızsa bile parolalar geri çevrilemez. 'Parolayı şifreliyoruz' yaygın ama tehlikeli bir kavram karışıklığıdır; doğru kontrol güçlü, tuzlu hash'lemedir.

Özet

• Şifreleme, veriyi anahtarla okunamaz hâle (ciphertext) çevirip gizliliği sağlar; doğru anahtarla geri çözülür. • Simetrik (AES) tek anahtar kullanır, hızlıdır; büyük veri/disk için idealdir ama anahtarın güvenli paylaşımı gerekir. • Asimetrik (RSA/ECC) açık+özel anahtar çifti kullanır; anahtar paylaşımı ve imza sorununu çözer. TLS/HTTPS ikisini hibrit kullanır. • Veriyi hem AKTARIMDA (TLS/HTTPS, VPN) hem DURAĞAN (BitLocker/FileVault disk şifreleme) koru. • Parolalar şifrelenmez, HASH'lenir (bcrypt/Argon2 + salt); şifreleme ≠ hash. • Anahtar yönetimi kritiktir: anahtarı veriyle aynı yerde/e-postada tutma; kanıtlanmış standartları kullan (kendi kripton'unu yazma).

✅ Mini-Test (5)

1.Şifreleme ve şifre çözme için AYNI gizli anahtarın kullanıldığı yönteme ne ad verilir?

2.Tarayıcının adres çubuğundaki 'https://' ve kilit simgesi öncelikle neyi garanti eder?

3.Asimetrik şifrelemede açık anahtar (public key) herkesle paylaşılabilir, ancak özel anahtar (private key) gizli tutulmalıdır.

4.Bir dizüstü bilgisayar çalındığında içindeki verilerin okunmasını engelleyen şifreleme türü hangisidir?

5.Kullanıcı parolaları bir veritabanında nasıl saklanmalıdır?

🧩 Uygulama Soruları (5)

1.Otel lobisindeki halka açık, parolasız Wi-Fi'ya bağlandın ve kurumsal e-postana erişmen gerekiyor. En güvenli yaklaşım hangisidir?

2.Bir müşteri listesi içeren dosyayı iş ortağına güvenle göndermek için onu AES ile şifreledin. Şifre çözme anahtarını (parolayı) nasıl iletmelisin?

3.Bir alışveriş sitesinde ödeme yaparken adres çubuğunda 'http://' (kilit simgesi yok) görüyorsan kart bilgilerini girmemelisin.

4.Bir geliştirici ekip üyesi, 'kendi yazdığımız özel şifreleme algoritmasını kullanalım, kimse bilmediği için daha güvenli olur' diyor. En doğru yanıt nedir?

5.BT ekibi tüm kurumsal dizüstülerde 'disk şifrelemeyi (BitLocker/FileVault) etkinleştirin' diye duyuru yaptı. Bunu yapmanın temel güvenlik faydası nedir?

← Uzaktan Çalışma ve VPN Güvenli Mobil Cihaz ve BYOD Güvenliği →

← Tüm modüllere dön · Güvenlik Sözlüğü