Günümüzde mail trafiğinin önemi gittikçe artmaktadır. Gerek kurumsal alanda gerekse bireysel alanda işlerin pek çoğu artık yazılı kültüre dayanmaktadır . Böylesi bir öneme sahip olan mail trafiğinin güvenliğini artırmak için biz sistem yöneticilerine düşen görevler de artmaktadır . Bu yazıda yöneticilerimizden birinin isteği üzerine araştırdığım, güvenli mail trafiği oluşturmak için sertifikaların nasıl kullanılacağını anlatacağım.
Kısaca Dijital İmza Nedir?
Bugün yazılı dökümanlarda kullandığınız imzalar gibi, e-mail veya elektronik datanın yazarının/diğer imzalayıcılarının tanımlanması için dijital platformda kullanılan imzalardır. Dijital imzalar, Dijital Sertifikalar kullanılarak yaratılır ve onaylanır. Bugün, hukuk kurumları dijital imzaların yazılı olanlar gibi yasal bağlayıcı ve uluslararası kabul edilir olması için hukuki altyapıyı hazırlamaktadır. Bilgiyi imzalamak ve güvenli bir işlem gerçekleştirmek için kendi özel Dijital Sertifikanıza ihtiyacınız vardır.
Dijital imzalar aşağıda belirtilen önemli fonksiyonları sağlarlar:
- Tanılama
- Gizlilik & data bütünlüğü
- İnkar-edememe
- Gizlilik & data bütünlüğü
- İnkar-edememe
5070 Sayili Elektronik İmza Kanunu madde 4’e göre Güvenli elektronik imza;
- Münhasıran imza sahibine bağlı olan,
- Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan,
- Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan,
- İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan,
dijital bir anahtardır.
- Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan,
- Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan,
- İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan,
dijital bir anahtardır.
23 Ocak 2004 tarih ve 25355 sayılı Resmi Gazetede yayınlanan ilgili mevzuatı aşağıdaki linkten takip edebilirsiniz: http://www.dijital-imza.com/mevzuat/kanun.htm
Makalenin bu kısmında dijital bir anahtarı kullanarak karşı taraf için kimliğimizi ispatlamayı, ve aynı anahtarı kullanarak maillerimizi encryptleyerek göndermeyi göreceğiz.
Öncelikle bu anahtarı verecek, herkes tarafından güvenilir sertifika dağıtan CA (Certification Authority) 'lere ihtiyaç duyulur. Ticari olarak bu işi yapan firmalardan kullanım amacına uygun sertifikalar ücret karşılığı alınabilir.
Lokal kullanım için Windows 2000/2003 sunucu ailesi işletim sistemleri CA servisi sağlayabilir.
Yalnız lokal CA kullanmanız durumunda sertifkanızın güvenilirliği sadece lokaliniz için geçerli olacaktır.
Bu sebep ile Web sitelerinin SSL sertifikaları, mail için kullanılan Secure Email sertifikaları Ticari CA (Commercial CA)'lerden alınmalıdır.
Bu yazıdaki uygulamada bir mail hesabı için sertifika talep edeceğiz.
Sertifika alabileceğiniz CA sitelerine örnek olarak
web adresleri verilebilir.
Global Sign web adresini kullanarak devam edeceğiz.
Sol üst linkte Certificates – Client Certificates bölümünden talep sayfasına girerek; aşamaları talip edeceğiz.
Kişisel Sertifikamızı talep ediyoruz
Karşımıza çıkan ekranda istekte bulunulan sertifika için prosedür gereği hangi aşamalardan geçileceği belirtiliyor.
Step1: İşletim sistemimizin globalsign’a güvenip güvenmediğinin kontrolü yapılır;
Step2: Sertifikayı kullanmak istediğimiz mail hesabını yazılır;
Step3: Yazdığımız mail hesabına gelen mail’i kontrol edip, linke tıklanır;
Step4: Aşama 2 de yazdığımız password girilir;
Step5: Kişisel bilgilerimiz girilir;
Step6: Anlaşmayı kabul ederiz;
Step7: Mailimize gelen son link ile, yükleme yapacağımız yere yönlendiriliriz;
Step8: Sertifikayı install ederiz.
Tüm aşamalar sonunda bizim için hazırlanan sertifikayı sistemimize yükleyebiliriz.
Install edilmiş sertifikayı görmek ve herkes tarafından güvenilir sertifika dağıtan CA (Certification Authority) ler arasında bizim tercih ettiğimiz CA (Certification Authority), yer alıyor mu kontrol edelim;
Sertifikalar
Güvenilen CA (Certification Authority) listesi
Bu sertifikayı başka makinada kullanmak ya da yedeklemek isterseniz, export edebiliriz. Bilindiği üzere Dijital sertifika iki anahtardan oluşuyor; Public Key ve Private Key'dir. Veriyi encrypt hale dönüştüren public key, encrypt edilmiş veriyi açan public key dir. Uygulamamıza Private Key’ i de export ederek yedekleme işlemini başlatıyoruz.
Eğer birileri size özel bu private key'i ele geçirirse, encrypt hale dönüştürülmüş verileri açma olasılığını engellemek amacıyla bu sertifikayı kendine yükleyememesi için password verilmesi ve kimseye söylenmemesi gerekir.
Güvenlik amacıyla sertifikayı ele geçirebilecek kişler için parola zorunluluğu bulunmaktadır.
Yedekleme işlemini de böylece tamamlamış oluyoruz.
Zaten yüklü olan sertifikamızı Microsoft Outlook programında nasıl kullanacağımıza bakalım.. .
Tools – Options açılan pencerede Security sekmesine gelirsek yüklü olan sertifikayı outlook programımızın zaten kullanmaya hazır olduğunu, ya da import edebileceğimiz yeri görebiliyoruz. Karşı tarafa attığımız maillerde dijital kimliğimizi de göndermek istiyorsak “Add digital signature to outgoing messages” kutucuğunu işaretleyebiliriz
Gönderdiğiniz maillerde kırmızı kurdele eklentimiz geliyor ve karşı tarafta kendi kimliğimiz ispatlanmış oluyor.
Maili alan kişi, sertifikalı mail atan kişinin sertifikayı aldığı siteye güveniyorsa, o an için iletişim kurabiliyorsa ve kişinin bilgileri doğrulanıyorsa kurdele kırmızı olacaktır; herhangi bir gereklilik eksikse kurdelemiz renksiz olacaktır.
Maili okumadan önce kurdeleye tıklayarak, kullanıcının, sertifika dağıtan server ın ve sertifikanın bilgilerini görebiliriz.
Encryptli mailleşme olabilmesi için öncelikli olarak tarafların birbirlerine public keylerini göndermeleri gerekmektedir. Public Key ler dijital imzalarımızla karşı tarafa ulaşıyor, Uygulamamızda Türker’ den Volkan’ a ve Volkan’dan da Türker’e karşılıklı olarak mailleşme olduğundan ve public key ler paylaşıldığından (Volkan’ın public key i Türker’ de; Türker’in public key i de Volkan da) olduğu için artık encryptli mailleşebiliriz. Sonuç olarak İlgili programımızın security sekmesinde “Encrypt contents and attachments for outgoing messages” kutucuğunu doldurarak tüm içerik ve eklerin encyrptlenmesini sağlayabiliriz.
Maili alan kişi artık kırmızı kurdelenin yanında asma kilit işaretini de görmektedir. Kırmızı kurdelede söylediklerimize ek olarak bu maili açabilmemiz için private key imizi hiç bir zaman kaybetmemiz gerekiyor. Diğer bilgiler için ilgili simgelere tıklamamız gerekiyor.
Hem yasanın gerekliliklerini yerine getirmiş :), kimliğimizi ispatlamış tüm bunlara ek olarak maillerimizi mail sahibinden başka hiçkimsenin okuyamaz hale gitirmiş olduk.