PKI (Açık Anahtar Altyapısı) nedir? — Bilgi Güvenliği Sözlüğü

Kriptografi & Veri

PKI (Açık Anahtar Altyapısı)

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Tarayıcınızdaki o küçük kilit simgesinin arkasında, milyonlarca sertifikayı düzenleyen ve internetteki güvenin tamamını ayakta tutan görünmez bir altyapı vardır: işte bu PKI'dır.

Anlatım

NEDİR? PKI (Public Key Infrastructure / Açık Anahtar Altyapısı), dijital sertifikaların ve şifreleme anahtarlarının güvenli bir biçimde oluşturulması, dağıtılması, saklanması, doğrulanması ve iptal edilmesini sağlayan politikalar, donanım, yazılım ve süreçlerin bütünüdür. Temel amacı şudur: "Bu açık anahtar gerçekten bu kişiye/kuruma mı ait?" sorusunu güvenilir biçimde cevaplamak. PKI, asimetrik şifrelemeyi (açık/özel anahtar çifti) gerçek dünyadaki kimliklere bağlayarak kimlik doğrulama, gizlilik, bütünlük ve inkâr edilemezlik sağlar. NASIL ÇALIŞIR? PKI'nın çalışması güven zinciri (chain of trust) üzerine kuruludur: 1) Anahtar çifti üretimi: Kullanıcı veya sunucu bir açık anahtar (public key) ve bir özel anahtar (private key) çifti oluşturur. Özel anahtar asla paylaşılmaz. 2) Sertifika talebi (CSR): Açık anahtar ve kimlik bilgileri bir Sertifika İmza Talebi (CSR) içinde bir Sertifika Otoritesine (CA) gönderilir. 3) Doğrulama ve imzalama: CA, başvuranın kimliğini doğrular (örneğin alan adı sahipliği) ve açık anahtarı kimlikle birleştiren bir X.509 dijital sertifikası üretip kendi özel anahtarıyla imzalar. 4) Güven zinciri: Son varlık (end-entity) sertifikasını ara CA'lar, onları da bir Kök CA (Root CA) imzalar. İşletim sistemleri ve tarayıcılar güvenilen Kök CA'ları bir "güven deposunda" (trust store) tutar. 5) Doğrulama: Bir tarafla iletişimde, karşı tarafın sertifikası güven deposundaki köke kadar zincirleme doğrulanır; geçerlilik tarihi ve iptal durumu (CRL veya OCSP) kontrol edilir. 6) İptal: Anahtar ele geçirildiğinde sertifika, CRL (Certificate Revocation List) veya OCSP üzerinden iptal edilerek artık güvenilmez ilan edilir. NEDEN ÖNEMLİ / İŞ YERİNDE PKI, modern kurumsal güvenliğin omurgasıdır. HTTPS/TLS ile web sitelerinin kimliğini doğrular, e-postaları imzalar/şifreler (S/MIME), kod imzalama ile yazılımın değiştirilmediğini garanti eder, VPN ve Wi-Fi'da (802.1X) cihaz kimlik doğrulaması yapar ve akıllı kart/kurumsal SSO çözümlerini güçlendirir. İş yerinde sıklıkla dahili bir kurumsal CA (örneğin Active Directory Certificate Services) ile çalışanlara, sunuculara ve cihazlara sertifika dağıtılır. DİKKAT / İYİ UYGULAMA PKI'nın en zayıf halkası özel anahtarın korunmasıdır; özel anahtar HSM (Donanımsal Güvenlik Modülü) veya güvenli anahtar deposunda saklanmalıdır. Kök CA mümkünse çevrimdışı (offline) tutulmalı, gündelik imzalama ara CA'lara devredilmelidir. Sertifika geçerlilik süreleri izlenmeli (süresi dolan sertifika kesintiye yol açar), iptal mekanizması (OCSP/CRL) aktif olmalı ve zayıf algoritmalar (örneğin SHA-1, kısa RSA anahtarları) kullanılmamalıdır.

📌 Senaryolar

📌 Örnek 1: Bir e-ticaret sitesi HTTPS açmak için Let's Encrypt gibi bir CA'dan TLS sertifikası alır.
  Açıklama: Sunucu bir anahtar çifti üretip CSR'ı CA'ya gönderir. CA, alan adının sahipliğini doğrular (örneğin DNS veya HTTP doğrulaması) ve sertifikayı imzalar. Tarayıcı siteye bağlandığında sertifikayı güven deposundaki köke kadar doğrular; geçerliyse kilit simgesi görünür ve trafik şifrelenir.

📌 Örnek 2: Bir kurum çalışanlarına dahili CA ile akıllı kart sertifikası dağıtarak parolasız oturum açma sağlar.
  Açıklama: Active Directory Certificate Services her çalışana kimlik sertifikası verir; çalışan kartını okutup PIN girdiğinde özel anahtarla kimlik doğrulanır. Parola sızıntısı riski ortadan kalkar ve kimlik avı (phishing) saldırıları büyük ölçüde etkisizleşir.

📌 Örnek 3: Bir yazılım firması dağıttığı kurulum dosyasını kod imzalama sertifikasıyla imzalar.
  Açıklama: Geliştirici dosyayı özel anahtarıyla imzalar; kullanıcı indirdiğinde işletim sistemi imzayı CA güven zinciriyle doğrular. Böylece dosyanın yayıncıdan beri değiştirilmediği (bütünlük) ve kaynağın doğruluğu kanıtlanır; "Bilinmeyen yayıncı" uyarısı çıkmaz.

Özet

• PKI, dijital sertifika ve anahtarların güvenli yönetimi için kurulan politika, süreç ve teknolojiler bütünüdür. • Sertifika Otoritesi (CA) açık anahtarı kimlikle birleştirip imzalar; güven Kök CA'ya kadar zincirleme doğrulanır. • HTTPS/TLS, e-posta imzalama (S/MIME), kod imzalama ve cihaz kimlik doğrulaması PKI üzerine kuruludur. • Özel anahtarın korunması (HSM), iptal mekanizması (CRL/OCSP) ve sertifika ömrü takibi kritik iyi uygulamalardır.

✅ Mini-Test (3)

1.PKI'da bir açık anahtarı belirli bir kimliğe bağlayan ve sertifikayı imzalayan bileşen hangisidir?

2.PKI'da iptal edilmiş (artık güvenilmeyen) sertifikaların durumunu kontrol etmek için aşağıdakilerden hangisi kullanılır?

3.PKI'da özel anahtar (private key), karşı tarafın sertifikayı doğrulayabilmesi için açık anahtarla birlikte paylaşılır.

← Tüm sözlük terimleri · Farkındalık eğitimi