Etiketlenmiş ‘TÜBİTAK’

E-Ticarette Bilgi Güvenliği Terimleri

Kasım 18th, 2009

web-security

E-Ticaret projelerine hayat verirken en önemli unsurlardan bir tanesi olarak  ”Güvenlik” kabul edilir. Altyapı kurulurken kredi kartı bilgilerinden tutun da işlem yapan kişinin verdiği kişisel bilgilere (TC kimlik numarası, adres, telefon, vs.) kadar tüm bilgilerin malı satan ile malı satın alan taraflar arasında kalması, 3. kişilerce bu bilgilerin çalınmaması için her türlü önlemin eksiksiz şekilde alınması şarttır. Bu kaygılar ile “doğru ve güvenilir” bir güvenlik altyapısı kurgularken bir takım terimler ve tanımlar ile karşılaşabilirsiniz. TÜBİTAK-BİLTEN bu tür terimleri ve ne anlam ifade ettiklerini güzel bir şekilde derlemiş:

Açık anahtar (Public key): Açık anahtarlı bir kriptografik yöntem (algoritma) kullanan bir kullanıcının kendisine ait olan iki anahtarından kamuya açık olanı.

Açık anahtar altyapısı-AAA (Public key infrastructure-PKI ): Bilgi iletişiminde açık anahtarlı kriptografinin yaygın ve güvenli olarak kullanılabilmesini sağlamaya yarayan ve birbirleriyle eşgüdüm içinde çalışan anahtar üretimi, anahtar yönetimi, onay kurumu, sayısal noterlik, zaman damgası gibi hizmetlerin tümü.

Açık anahtarlı kriptografi (Public key cryptography): Her kullanıcıya, sürekli kullanım için biri açık diğeri gizli iki anahtarın verildiği şifreleme/şifre çözme yöntemlerinin tümü. Asimetrik kriptografi ya da çift anahtarlı kriptografi adını da alır.

Açık bilgisayar ağı (Open computer network): İsteyen herhangi bir bilgisayar kullanıcısının bağlanabileceği ve diğer kişilerle bilgisayar üzerinden iletişim kurabileceği, herkese açık elektronik iletişim ortamı. Örnek: Internet.

Anahtar (Key): Şifreleme ve şifre çözme sırasında kullanılan sayı dizisi.

Anahtar üretimi (Key generation): Açık anahtarlı kriptografide, her kullanıcının açık/gizli anahtar çiftinin, kullanılan kriptografik yönteme bağlı matematiksel işlemlerle hazırlanması

Anahtar yönetimi (Key management): Açık anahtarlı kriptografide her kullanıcıya farklı anahtar çiftleri verilmesi, kullanıcıların açık anahtarlarının herkesin ulaşımına açık olarak saklanması ve kullanıcıların gizli anahtarlarının mutlak gizliliğinin sağlanmasından sorumlu düzen

Anahtarı bulan kurum-ABK (Key recovery agency-KRA): Yasal erişime yardımcı olmak amacıyla kurulan ve yargının gerektirdiği durumlarda, zan altındaki kişinin gizli anahtarının matematiksel yöntemlerle elde edilmesini sağlayan kurum. Gizli anahtarını kaybeden herhangi bir kişi de, kimliğini belgeleyerek ABK’ye başvurursa anahtarını yeniden elde edebilir

Basit bölüm (Simple segment): Hiçbir sınıflandırmaya ihtiyacı olmayan bölüm. (Anlamı sabit ve açık olan bölüm)

Basit veri eleman (Simple data element): Tek bir değer taşıyan veri elemanı.

Bilgi bütünlüğü (Message integrity): Bilginin saklanması veya açık/kapalı iletişim ağlarından iletimi sırasında içerik açısından herhangi bir değişime uğratılmamış olması, özgün halinde korunması

Bilgi güvenliği (Information security): Bilginin, i) kime ait olduğu belirlenmiş, ii) bütünlüğü korunarak, ve iii) gizliliği sağlanmış olarak iletimi ve saklanması.

Bölüm adı (Segment name): Doğal dilde bir ya da daha çok sözcük ile veri bölümü kavramının tanımlanması.

Bölüm kodu (Segment code): Bölüm rehberinde tanımlandığı şekilde, her bölümü tek olarak gösteren kod.

Bölüm rehberi (Segment directory): Tanımlandırılmış, isimlendirilmiş bölümler listesi.

Çift anahtarlı kriptografi (Double key cryptography): Açık anahtarlı kriptografi veya asimetrik kriptografi.

Doküman (Document): Bir verinin üzerine kayıt edildiği, insan ya da makine tarafından okunabilen, (değişmez) veri taşıyıcı.

Elektronik kimlik belgesi-EKB (Digital certificate): Onay kurumunun hazırladığı ve sayısal olarak imzaladığı, hangi açık anahtarın hangi kişiye ait olduğunu gösteren belge.

Elektronik veri değişimi-EVD (Electronic data interchange-EDI): Standart bir formda yazılmış olan bilgilerin bilgisayarlar arasında aktarımı ve otomatik olarak yorumlanıp işlenebilmesi.

Elektronik Veri Değişimi (Electronic Data Interchange): Standart bir yapıda bilgisayardan – bilgisayara veri (ticari) transferi.

Erişim (Access): Herhangi bir sistemi kullanmaya başlama, örneğin bir elektronik ticaret sistemine bilgisayar üzerinden bağlanarak iletişim kurma.

EVD kurumu (EDI association): Bir ülkede EVD kullanımını düzenleyen kuruluş, örneğin, ABD’deki EDIA, Avustralya’daki EDICA, Kanada’daki EDICC veya Yeni Zelanda’daki EDIANZ

EVD servis sunucusu (EDI server): Bir EVD servisinin merkezinde olan bilgisayar sistemi.

Gizli -özel,kişisel- anahtar (Private key): Açık anahtarlı kriptografi kullanan bir kullanıcının, kendisine ait olan iki anahtarından gizli tutulanı.

Gizlilik (Privacy): İletişim kuran iki taraf arasındaki yazışmaların üçüncü kişilerden gizli tutulması, veya bir kişiye ait bilgilerin kendisi dışında herkesten gizli tutulması.

Güvenilir üçüncü kuruluş, kurum veya kişi-GÜK (Trusted third party-TTP): Bir çeşit onay kurumu. Onay kurumlarının yaptığı gibi kişilerin kimliğini güvenli olarak belirleyip, elektronik kimlik belgelerini hazırlamaya ve anahtar yönetimini sağlamaya ek olarak, kişilerin gizli anahtarlarını çok güvenli bir ortamda saklayan ve gerektiğinde yargı kararıyla yetkili makamlara veren kuruluş.

Kanal (Channel): Bilginin bir kullanıcıdan diğerine iletimi için gereken fiziksel iletişim ortamı, örneğin, bilgisayar bağlantısı, telefon kablosu, radyolink ve uydu üzerinden diğer kullanıcıya ulaşan bağlantının tümü

Kapalı bilgisayar ağı (Closed computer network): Kullanıcılarından biri olmak için belirli koşulların sağlanması gerektiği, herkese açık olmayan bilgisayar ağları. Örnek: Bankalar ve bankamatikler arasındaki bağlantı.

Kimlik belirleme (Authentication): Herhangi bir servisi almak isteyen birinin, gerçekten de kendi iddia ettiği kişi olduğunun belirlenmesi.

Kod (Code): (a) Bilginin kısaltılarak kayıt edildiği ya da tanımlandığı karakter dizisi (b) Bilgisayarın tanıyacağı formda özel semboller kullanılarak bilginin gösterilmesi ya da tanımlanması.

Kriptografik algoritma (Cryptographic algorithm): Şifreleme / şifre çözmede kullanılan belirli bir yöntemin ayrıntılı içeriği, bu içeriğin matematiksel adımları.

Kriptoloji (Cryptology): Güvenli bilgi iletişimi ve/veya saklanması için sifreleme ve sifre çözme yöntemleri türeten, geliştiren, inceleyen bilim dalı.

Mesaj çizeneği (Message diagram): Bir mesaj içindeki bölüm dizisinin grafiksel gösterimi.

Mesaj kodu (Message code): Mesaj tipini tanımlayan ve tek olan alfabetik referans (isim).

Mesaj rehberi (Message directory): İsimlendirilmiş, tanımlandırılmış ve tarif edilmiş mesaj tiplerinin listesi.

Mesaj tipi (Message type): Belirlenmış işlem tipi için ihtiyaçları kapsayan, tanımlanmış ve planlanmış veri kümesi (seti).

Mesaj (Message): Bilgiyi taşımak üzere planlanmış sıralı (düzenli) karakter serisi

Onay kurumu-OK (Certifying authority-CA): Kişilerin kimliğini güvenli olarak belirleyip elektronik kimlik belgelerini hazırlayan ve anahtar yönetimini sağlayan kuruluş.

Sayısal imza (Digital signature): Elektronik ortamdaki yazışmalara eklenen, yazıyı gönderenin kimliğini ve gönderilen yazının iletim sırasında bozulmadığını kanıtlamaya yarayan bölüm. Sayısal imza, yazının içeriğine ve imzalayanın gizli anahtarına bağlı bir kriptografik yöntemle atıldığı için, sayısal imzanın doğrulanmasında, imzayı atanın açık anahtarı kullanılır.

Sayısal noter (Digital notary): Bilgisayar ağlarında iletilen bilgileri tarafların isteği ile saklayıp, kendisine başvurulduğunda belgeleyebilen kuruluş.

Tek anahtarlı kriptografi (Single key cryptography): Şifreleme ve şifre çözme için aynı anahtarı kullanan kriptografik yöntemlerin tümü. Simetrik kriptografi veya gizli anahtarlı kriptografi adını da alır. Kullanılan gizli anahtarı mesajı gönderen ve alan kişilerin paylaşması gerektiği için, tek anahtarlı kriptografinin güvenilirliği, her kullanıcı çiftine ayrı bir anahtar verilebilmesine bağlıdır. Bu durumda, bir kullanıcı, haberleşeceği herkes için farklı bir anahtar kullanmak zorundadır; bu ise önemli bir anahtar dağıtımı problemine yolaçar. Çift anahtarlı kriptografi , bu sorunu ortadan kaldırmıştır.

UN/EDIFACT: Mesaj rehberinde belirlendiği düzende sıralı bölümler kümesi.

Veri Elemanı Adı (Data element name): Doğal dilde bir ya da daha çok sözcük ile veri elemanı kavramının tanımlanması.

Veri elemanı Niteliği (Data element attribute): Veri elemanının tanımlanmış özelliği

Veri elemanı rehberi (Data element directory): Tanımlanmiş, isimlendirilmiş veri elemanı niteliklerinin, uygun veri elemanı değerinin nasıl simgeleneceğine ilişkin spesificasyonları içeren liste.

Veri elemanı: Verinin, tanımlamak, değer göstermek için özellikleri belirlenmiş bir birimi.

Veri (Data): Bilginin, iletişim, yorum, ya da işlem için uygun olarak formülize edilmiş şekilde gösterilmesi

Yasal erişim (Lawful access): Devletin, açık anahtarlı bir kriptografik algoritma kullananların gizli anahtarlarına, yasaların gerektirdiği durumlarda ve yargı kararıyla ulaşabilme yetkisi.

Zaman damgası (Time stamp): Bilgisayar ağlarında iletilen mesajlara eklenen ve mesajın yazıldığı zamanı güvenli olarak belgeleyen damga.

Yorum yapılmamış »

Kategori: e-ticaret

Etiketler:

Genelge 2008/17 Özgür Yazılım ve PARDUS

Kasım 26th, 2008

25 yılı aşkın bir geçmişi olan özgür yazılım ve 15 yılı aşkın süredir geliştirilmekte olan Linux, bilişim dünyasını gittikçe daha fazla etkilemektedir.

TÜBİTAK (Türkiye Bilimsel ve Teknolojik Araştırma Kurumu) UEKAE (Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü) bünyesinde 2003 yılından bu yana yürütülmekte olan “Pardus Projesi” de Türkiye’nin önde gelen özgür yazılım girişimidir. Yaygın bir işletim sistemi ve sürdürülebilir bir organizason oluşturmak yanında üst düzeyde teknolojik inovasyon hedefi de güden Pardus, bireylere olduğu kadar kurumlara da son derece cazip bilişim çözümleri sunuyor. Geçtiğimiz aylarda yayımlanan 2008/17 sayılı başbakanlık genelgesi kamu kurum ve kuruluşlarında kullanılan yazılımların lisanslı olması gerektiğini birkez daha vurguluyor ve bu konuda izlenecek süreci tarif ediyor.

Genelge 2008/17′nin hemen tüm kamu kurum ve kuruluşlarını yazılım stoklarını gözden geçirmeye sevk ettiği şu günlerde özgür yazılıma ve Pardus’a daha yakından bir bakış ile bilişim sistemlerimiz için yepyeni olanakların ortaya çıkmasına yol açabilirsiniz.

PARDUS ve Özgür Yazılım
Pardus, TÜBİTAK UEKAE bünyesinde geliştirilen, Linux temelli, özgür yazılım lisansı ile dağıtılan ulusal işletim sistemidir.

UEKAE, TÜBİTAK’ın 35 yıla varan geçmişi ve 600′ün üzerinde araştırmacı personeli ile bilgi ve ağ güvenliği, ileri elektronik, kriptografi ve kriptoloji alanlarında çip, bileşen, cihaz, yazılım ve sistem üretimi konusunda uzmanlaşmış araştırma enstitüsüdür. Başta ulusal güvenlik kuruluşları olmak üzere kamu ve özel kesimden pek çok kuruma ürün ve hizmetlerini sunan, bunun yanında başta NATO ülkeleri olmak üzere teknoloji ihraç eden UEKAE, bilgi güvenliği konusunda Türkiye’nin en yetkin merkezidir.

Linux, 1993 yılında Finlandiya’lı bir üniversite öğrencisi olan Linus Torvalds tarafından geliştirilmeye başlanan işletim sistemi çekirdeğidir. Torvalds, bu yazılımın fikri mükiyetini gizli tutarak korumak yerine paylaşarak güçlendirme yolunu seçmiş, bu sayede Linux son derece hızla gelişmiş ve hayli yüksek bir güvenilirlik ve olgunluk seviyesine ulaşmıştır. Özellikle GNU (GNU is Not Unix) hareketi tarafından geliştirilen araçların eklenmesi, Linux’u deneysel bir proje olmaktan çıkarıp üretim ortamında kullanılabilecek bir ürün haline getirmiştir. Halen dünya sunucu pazarının %20′ini Linux işleten bilgisayarların oluşturduğu raporlanmaktadır. Fortune 500 gibi listelerde yeralan hemen tüm şirketler, kimi bilişim işlevleriiçin Linux çalıştıran bilgisayarlara güvenmektedirler. Özellikle gömülü cihazlar (video kaydedici, kablo kod çözücü, modem, ağ cihazları, vb.) pazarında önümüzdeki yıllarda Linux’un lider duruma geleceği tahmin edilmektedir.
Özgür Yazılım, fikri mülkiyetin özgürce dağıtımı ve yeniden üretilmesine izin veren bir yazılım lisanslama yöntemidir. En yaygın kullanılan özgür yazılım lisansı olan GNU GPL (General Public License = Genel Kamu Lisansı) gereğince kullanıcı, yazılımı özgürce ve sınırsızca
- çalıştırabilir,
- kopyalayabilir ve dağıtabilir,
- nasıl çalıştığını inceleyebilir ve değiştirebilir,
- değiştirdiği hali ile yeniden dağıtabilir.

Bu özgürlüklerin kullanılması için yazılımın yalnızca bilgisayarda çalışabilen ikili (binary) halinin dağıtılması yetmez, insanların okuyup anlayabileceği kaynak kodunun da erişilebilir olması gereklidir. Bu nedenle özgür yazılımlar aynı zamanda da Açık Kaynak (Open Source) olmak durumundadırlar. Linux ve GNU araçlarının, buna ek olarak binlerce uygulama programının GPL lisansı ile özgürce dağıtılması ile, Pardus’un da aralarında bulunduğu, Linux dağıtımlarının kolaylıkla geliştirilmesi mümkün olabilmektedir.

Özgür yazılımın kapalı kaynak kodlu yazılımlara göre birçok üstünlüğü bulunuyor. Bunların baında güvenlik geliyor. Açık kaynak kodlu yazılımlar, doğası gereği geliştirilme sürecinden kullanılma aşamasına kadar on binlerce göz tarafından denetleniyor. Kötü niyetli bir programcı ya da kuruluş tarafından yerleştirilebilecek bir kod parçasının böyle bir ortamda gizlenmesi mümkün değil! Ayrıca, kaynağın açık olması nedeniyle olası güvenlik açıkları hızla yamanabiliyor. Linux platformunun bir diğer üstünlüğü ise, bu ortamda virüs, truva atı, solucan, casus yazıım gibi tehlikelerin yok denecek kadar az olması…
Kaynak kodunun isteğe ve gereksinime göre özgürce değiştirilip yeni amaçlara hizmet edecek şekilde uyarlanması da yazılıma benzersiz bir esneklik kazandırıyor. Küresel Linux camiasıyla birlikte üretilen işletim sistemi, gerek lisanslama yöntemi ve gerekse bakım ve yönetim kolaylığı ile toplam sahip olma maliyetinde önemli tasarruf sağlıyor.

Kurumlar Pardus kullanmalı. Çünkü Pardus…

… Yasaldır. Kullanıcıya her türlü kullanım,çoğaltım ve dağıtım haklarını veren GNU GPL lisansı ile dağıtılan bir özgür yazılımdır. İnternetten indireceğiniz tek bir CD imajı ile yüzlerce ve binlerce bilgisayarınızda Pardus kurabilir ve çalıştırabilirsiniz. Pardus, Genelge 2008/17 gereksinimleri ile tam uyumludur.

…Güvenlidir. Virüs, truva atı gibi kötü amaçlı yazılımlar Pardus’ta çalışmaz. Sistem bakım ve destek yükünüz kat kat azalacak, kötü amaçlı yazılımların neden olduğu iş gücü kaybı ortadan kalkacaktır. Pardus teknolojilerini kullanarak tüm bilgisayarlarınızı uzaktan yönetmek ve kullanıcı yetknliklerini sınırlı tutmak mümkündür.

…Hesaplıdır. Pardus’u kurmak ve işletmek diğer işletim sistemi alternatiflerine göre son derece hesaplıdır. Pardus ile mevcut ve eski donanımlarınızdan uzun yıllar faydalanabilirsiniz. Pardus’a geçiş yapıyorsanız yatırımınızın geri dönüşü (ROI) hayli yüksek oranda olacak ve hızla kendisini amorti edecektir. Toplam sahip olma maliyeti (TCO) açısından %70′lere varan tasarruf sağlanabilecektir.

…Yenilikçidir. Küresel özgür yazılım camiasının bilgi birikimini yansıttığı ve açık kaynak kodlu olarak, paylaşımcı bir şekilde geliştirildiği için Pardus ile inovasyon olanaklarınız son derece geniştir. Gerek kurum içi ve gerekse tedarikçileriniz tarafından Pardus teknolojileri üzerine hızla geliştirme yaparak özgül sorunlarınıza orijinal çözümler oluşturabilirsiniz.

…Özgürdür. Pardus’un açık kaynak kodlu oluşu ve veri yapılarında açık standartları kullanması sayesinde bilgilerinizin sahibi siz olursunuz.  Teknoloji ya da tedarikçi bağımlılığı gibi endişeleriniz olmaz. Fikri mülkiyet hukuku açısından da güvendesiniz.

Bireyler Pardus kullanmalı. Çünkü Pardus…

…Özgürdür. Lisansı sizi kısıtlamaz, üreticiyi sizden korumak için değil sizin haklarınızı korumak için tasarlanmıştır.

…Türkçe sever. Çekinmeden Türk alfabesinin tüm harflerini kullanabilirsiniz. Yazım ve sözlük denetimi yapar, sizi güzel bir Türkçe kullanmaya teşvik eder.

…Virüslere geçit vermez. İnternet’ten gelen her dosyayı kontrolden geçirmekle ya da virüs bulaşmış bilgisayarınızı temizlemekle zaman kaybetmezsiniz.

…Hızlı kurulur. 30 dakikada yüklenir. Tek kurulum işlemiyle bilgisayarınıza ofis yazılımı, internet gezgini, sohbet programı gibi gerekli bütün programlar da yüklenir.

…Kolay kullanılır. Grafik arayüzleri, menüleri, ikonları ile aklınıza ve güdülerinize hitap eder. Kullanmak için bilgisayar öğrenmek, ikinci bir dil bilmek ya da uzun eğitimlerden geçmek gerekmez.

…Tamdır. Bir masaüstü kullanıcısının gereksinim duyacağı her türlü yazılım kurulum CD’si içinde mevcuttur. İnternet araçları, ofis paketi, her türlü resim, müzik, film için oynatıcı ve düzenleyiciler, oyunlar, aklınıza ne gelirse…

…Özelleştirilebilir. Sistemi,kendi beğeninize göre özgürce değiştirebilisiniz, hem görünüş, hem de davranış açısından. Tek sınır, hayal gücünüzdür.

…Şeffaftır. Kaynak kodlarını kendi ihtiyaçlarınıza göre değiştirebilir, kendi dağıtımınızı üretebilirsiniz. Ne yaptığını ve ne yapmadığını kaynak koduna bakarak bilirsiniz.

…Çok dil bilir. Ayrı ayrı CD’ler ile tekrar yükleme yapmadan, iki dokunuşla Türkçe’den İngilizce’ye dönüşür. Herhangi başka bir dilin desteğini eklemek de son derece kolaydır.

…Eğlencelidir. Kaptan masaüstü, PiSi ve ÇOMAR ile bilgisayar kullanmanın keyfini, tam türkçe desteği ile bilgisayarınızı kendi dilinizde kullanmanın kolaylığını yaşarsınız.

Pardus projesi üzerine genel olarak bilgilenmek, ürünleri indirmek, Pardus Göç Ortağı ve diğer logo programları hakkında ayrıntılı bilgi için

www.pardus.org.tr

Yorum yapılmamış »

Kategori: teknoloji

Etiketler: