Tag

Şifreleme

Browsing

Apple’ın iMessage’ı, bir milyardan fazla kullanıcının çeşitli bölgeler üzerinden birbirleriyle etkileşime geçtiği, dünyanın en tanınan bağlantı servislerinden biri. Lakin bu birebir vakitte onu güvenlik tehditlerine karşı en kıymetli amaç haline getiriyor ve kuantum bilgisayarların rastgele bir sanal saldırıyı gerçekleştirmesine daha birkaç yıl olsa da Apple muhtemelen bu türlü bir olay gerçekleşmeden evvel hazır olmak istiyor. Bu nedenle iMessage’ın güvenlik katmanı kuantum sonrası kriptografiye yükseltildi ve iOS 17.4, iPadOS 17.4, macOS 14.4 ve watchOS 10.4’te kullanıma sunulacak.

Apple’a nazaran kuantum bilgisayarlar bugün iMessage’ın mevcut uçtan uca şifrelemesini kolay kolay tehdit edebilir

Apple son blog yazısında, kuantum seviyesinde işlemeye gereksinim duymadan, iMessage için PQ3 ismi verilen ve hizmeti en sofistike siber akınlara karşı koruyacak kuantum sonrası bir kriptografik protokol geliştirdiğini belirtiyor. Teknoloji devi ayrıyeten bu protokolün piyasadaki öteki tüm iletileşme uygulamalarını geride bıraktığına inanıyor.

“Bugün iMessage tarihindeki en değerli kriptografik güvenlik yükseltmesini, uçtan uca inançlı iletileşme teknolojisini geliştiren, çığır açan kuantum sonrası kriptografik bir protokol olan PQ3’ün tanıtımıyla duyuruyoruz. Uzlaşmaya sağlam şifreleme ve son derece karmaşık kuantum taarruzlarına karşı bile kapsamlı savunmalarla PQ3, Düzey 3 güvenlik dediğimiz düzeye ulaşan birinci iletileşme protokolüdür ve yaygın olarak kullanılan başka tüm iletileşme uygulamalarındakileri aşan protokol müdafaaları sağlar. Bildiğimiz kadarıyla PQ3, dünyadaki tüm ölçekli iletileşme protokolleri ortasında en güçlü güvenlik özelliklerine sahip.”

Mevcut iletileşme hizmetleri, bir çift genel ve özel anahtar aracılığıyla şifreleme kullanır. Açık anahtar gönderilen iletileri şifrelerken, alıcı bir bildirinin şifresini çözmek için özel anahtarı kullanır ve tüm süreç olması gerektiği üzere burnumuzun tabanında gerçekleşir. Bu kriptografi metodu şifrelemeyi kırmak için farklı matematik işlevleri kullanır. Bir bilgisayar korsanının iletilerin şifresini çözme yeteneği, kuantum bilgisayarların başarabileceği ham bilgi süreç gücü ile eşleştirilmiş kriptografik şifrede yatmaktadır.

Yetenekli bir kuantum bilgisayarı bu matematiksel sorunları farklı biçimlerde çözebilir ve bu da iMessage’ın mevcut durumunu tehdit eder. Neyse ki Apple, PQ3’ün bu yıl içinde desteklenen tüm konuşmalarda mevcut kriptografi protokolünün yerini büsbütün alacağını belirtiyor, lakin kullanıcıların bu gelişmiş güvenlik katmanına hak kazanmak için aygıtlarının en son yazılım güncellemesini çalıştırdığından emin olmaları gerekiyor.

Apple iMessage’ın kuantum bilgisayar seviyesindeki tehditlere karşı inançta olmasını nasıl sağlayacak?

Yukarıda da belirtildiği üzere kuantum bilgisayarlara daha yıllar var, lakin Apple’ın teorisine nazaran iMessage’ın şifrelemesini kırmak isteyen makus niyetli rastgele bir saldırgan bugün bilgi toplamaya başlayabilir ve kuantum bilgisayarlar daha erişilebilir hale geldiğinde bu bilgilerin şifresini çözebilir. Gelecekteki ataklara karşı korunmak için Apple, iMessage için mevcut şifreleme algoritması olan Eliptik-Eğri şifreleme ile kuantum sonrası şifrelemeyi birleştiren PQ3 protokolü ile şifreleme anahtarlarının değişmeye devam etmesi gerektiğini belirtiyor.

Ancak Apple’ın PQ3 standardının aktifliğini ölçmenin net bir yolu yok çünkü bu yeni protokolü test edebilecek kolay erişilebilir bir kuantum bilgisayarı bulunmuyor. Tahminen birkaç yıl içinde yararlarına şahit olabiliriz, fakat şimdilik Apple’ın kelamına güvenmekten diğer seçeneğimiz yok. PQ3 standardına derinlemesine bir bakış atmak istiyorsanız, aşağıdaki kaynak linkine tıklayarak şirketin araştırma makalesine göz atmanızı öneririz.

Haber Kaynağı: Apple

Windows‘un Pro, Enterprise ve Education sürümlerinde bulunan BitLocker, 4 dolarlık Raspberry Pi Pico ile 43 saniyede kırıldı.

Windows işletim sistemindeki Bitlocker şifrelemesi, 128 bit blokları ile çalışan AES (Advanced Encryption Standard) şifreleme algoritmasını kullanarak sistem evraklarını ve ferdî dataları itimat altına alarak data güvenliğini sağlayan bir teknoloji. Bu özellik fazladan güvenliğe gereksinimi olan kullanıcılar için belgelerini inançla şifrelemesine ve mümkün akınlara karşı korunmasına yardımcı oluyor. Lakin yapılan son çalışmalara nazaran düşük maliyetli bir donanım kullanılarak Bitlocker kolaylıkla kırılabiliyor.

YouTube’da bir görüntü yayınlayan güvenlik araştırmacısı Stacksmashing, hackerların sırf 43 saniyede ve 4 dolarlık bir Raspberry Pi Pico kullanarak Windows PC’lerden BitLocker şifreleme anahtarını çıkarabileceğini gösterdi. Araştırmacının tabirine nazaran, hedeflenen ataklar BitLocker‘ın şifrelemesine direkt donanıma erişerek ve bilgisayarın TPM (Güvenilir Platform Modülü) üzerinde depolanan şifreleme anahtarlarını LPC veriyolu aracılığıyla çıkararak atlayabilir.

Saldırı, çağdaş dizüstü bilgisayarlar ve masaüstü bilgisayarlarda kullanılan TPM (Güvenilir Platform Modülleri) ile donatılmış aygıtlarda bulunan bir tasarım yanlışı nedeniyle mümkün oldu. Araştırmacı tarafından açıklandığı üzere, BitLocker bazen VMK (Volume Master Key) ve PCR (Platform Configuration Register) üzere anahtar bilgileri depolamak için harici TPM çipleri kullanıyor. Lakin, CPU ve harici TPM arasındaki irtibat sınırları (LPC veriyolu) başlangıçta şifrelenmemiş durumda olduğu için bu trafik izlenebiliyor ve şifreleme anahtarı çıkartılabiliyor.

Stacksmashing, BitLocker şifrelemesi kullanan on yıllık bir laptopa kavramsal bir atak gerçekleştirdi. Daha sonra, Raspberry Pi Pico‘yu TPM‘den ham ikili kodu okuyacak halde programladı. Son olarak bu süreç içerisinde elde edinilen VMK (Volume Master Key) ile sürücüyü çözmek için Dislocker‘ı kullandı.

Dikkate kıymet bir nokta, BitLocker şifrelemesinin atlatılmasıyla ilgili duyduğumuz birinci olayın bu olmadığı. Geçen yıl siber güvenlik araştırmacısı Guillaume Quéré, BitLocker tam hacim şifreleme sisteminin kullanıcıların harici TPM yongası ile CPU ortasındaki trafiğin bir SPI (Serial Peripheral Interface) bilgi yolu üzerinden data sızdırabileceğini gösterdi. Lakin Microsoft, BitLocker şifrelemesinin aşılmasının uzun ve zahmetli bir süreç olduğunu ve donanıma uzun vadeli erişim gerektirdiğini iddia etti.

Son gelişmer BitLocker‘ın daha evvel düşünüldüğünden çok daha kolay bir halde kırılabileceğini gösterdi ve mevcut şifreleme sistemleri hakkında kıymetli sorular ortaya çıkardı. Microsoft‘un BitLocker şifreleme sistemini büsbütün ortadan kaldırıp kaldırmayacağı bilmiyoruz. Lakin uzun vadede güvenlik gruplarının, potansiyel güvenlik açıklarını daha âlâ tanımlama ve giderme konusunda çok efor sarf etmeleri gerekiyor. Böylelikle kullanıcılar daha fazla problemle müsabakadan tedbir alınmış olur.