ݺߣ

ݺߣShare a Scribd company logo

[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunkol - Kriptografik Hesaplamaların Buluta Güvenli Tevdisi

OWASP Turkiye
OWASP Turkiye

Mehmet Sabır Kiraz & Osmanbey Uzunkol - Kriptografik Hesaplamaların Buluta Güvenli Tevdisi OWASP-TR Mobil Güvenlik Çalıştayı 2015 (14 Ekim 2015)

1 of 21
Downloaded 13 times
Kriptografik Hesaplamaların Buluta Güvenli Tevdisi Mehmet Sabır Kiraz & Osmanbey Uzunkol Matematiksel ve Hesaplamalı Bilimler, TÜBİTAK BİLGEM 14 Ekim 2015 OWASP Mobil Güvenlik Çalıştayı Supported by a project funded by EU FP7 Cocirculation Scheme with TÜBİTAK (114C027)
2 Güvenli Hesaplama Problemleri •  Kim veriye sahip? •  Kim veriye ulaşabilir? Servis Sağlayıcı Veri Merkezi Sistem Admini 3. Kişilere Güven Riski Kabul Etmektir!
3 Veri Akışı ve Güvenliği - Veri Sahibi - Kullanıcı Web Sunucu Bulut Servis Sağlayıcı … Depolama Servis Sağlayıcı Uygulamalar -  Kimlik Doğrulama -  Güvenli Haberleşme Veri Şifreleme Veritabanı & Dosya) … Güvenlik Sağlayıcı
4 Güvenlik Riskleri: Kime Güvenmeli? Ne Yanlış Gidebilir? •  Uygulamalar hatalı, bozulmuş, ya da kötü niyetli olabilir (Bulut tarafında Güven) •  Bulut Platformu hatalı, bozulmuş, ya da kötü niyetli olabilir (Buluta Güven) §  hesaplama ve depolama sunucuları dahil •  Bulut çalışanları kötü niyetli olabilir (Buluta Güven) •  Kötü niyetli Bulut kullanıcıları veya ağ saldırganları (Bulut tarafından sağlanan Güven)
5 Ne Sağlamalı? •  Gizlilik – Saklanan Veri •  Bütünlük – Depolanan Veri – Bulutta yapılan hesaplamalar
6 Saldırgan Yeteneği: İçeriden Saldırı •  İstemci tarafı –  Parola, kripto anahtarları •  Bulut tarafı –  İstemci hareketleri loglanabilir –  Şifresiz verileri okunanabilir –  Ağ iletişimi monitör edilebilir –  Neden? •  İstemci verilerini öğrenme •  İstemci davranışlarını analiz etme •  Verileri kullan ya da sat
7 Hesaplamaların Tevdisi: Hesaplama Kaynağı-olarak-Servis Motivasyon: Kaynak kısıtlı bir cihazın hesaplamaları Buluta tevdisi! 1. Koşul: Hesaplama mevcuttan daha hızlı olmalıdır 2. Koşul: Doğrulama hesaplamadan daha masraflı olmamalıdır 𝑥 𝑦= 𝑓( 𝑥)
8 Hesaplamaların Tevdisi 3. Koşul: Bulutun saldırgan olduğu varsayılır! 𝑥 𝑦= 𝑓( 𝑥) En Umut Verici Pratik Çözümler: •  Yao’nun bozuk devreleri (Fairplay SCAPI, FastGC vb.) •  Parçalı Homomorfik Şifreleme (örn, ElGamal, Paillier) •  Dağıtık Şifreleme (Threshold Şifreleme), •  Sıfır Bilgi İspatları, •  Kör Transfer gibi algoritmalarla beraber.
9 Özel Durum: Hesaplamaların Tevdisi Asimetrik şifrelemelerin tevdisi: Üs alma 𝑥 𝑦= 𝑓( 𝑥)
10 xy mod N RSA, ElGamal, Eliptik Eğriler, Eşleme Tabanlı Sistemler, ... Neden Üs Almak Gerekmektedir? •  Şifreleme •  İmzalama •  Kimlik Doğrulama •  Anahtar Oluşturma •  Güvenli Hesaplama
11 Zor Problem #1: Çarpanlarına Ayırma Problemi RSA Şifreleme ve İmzalama için Üs Alma Verilen M, e ve N olduğuna göre c ≡ Me (mod N) Kolay Asal sayı p, q N = pq Zor
12 Üs Alma •  Diffie-Hellman Anahtar Anlaşma Protokolleri •  ECDSA •  Açık Anahtar Altyapısız Sistemler Zor Problem #2: Ayrık Logaritma Problemi Kolay y = gx mod p Zor x = logg y (Z’de kolay, Zp‘de zor) Verilen: g, x, p Verilen: g, y, p
13 Sim Kartlar ve Güvenlik 1.  Mobil telefonlar için de facto güvenli varsayılan kısım 2.  NFC teknolojisiyle beraber ödeme bilgilerinin (payment credentials) saklandığı yer 3.  OTA teknolojisiyle beraber eklenebilirlik özelliğe sahip (Custom Java Software) 4.  Güvenli Anahtar deposu olarak SIM (Kálmán, 2007) 5.  Saldırılar...
14 Örnek Çözüm: TAISYS Bankacılık Çözümü Kaynak:http://www.taisys.com/solution
15 Kriptografik Hesaplarin Dogrulanabilir ve Güvenli Tevdisi 1. Sunucu 2. Sunucu 1.  İki sunuculu çözüm 2.  Sunucular birbiriyle anlaşamazlar 3.  Daha verimli yöntemler 4.  İki sunucudan kaynaklanan problemler ... Gizlilik Problemi Maskeleme ve Girdi Maskeleme ve Girdi
16 Kriptografik Hesaplarin Dogrulanabilir ve Güvenli Tevdisi TEK SUNUCU Gizlilik Maskeleme ve Girdi KURAL: Maskeleme + Maske Kaldırma << Üs Alma
17 Tevdi Algoritması 1. Hesaplatmak istediğimiz değer gz değeri olsun 2. Varsayım: g değeri açık, z değeri gizli 3. c değeri ise önceden belirlenecek doğrulama değeri olsun
18 Tevdi Algoritması
19 Modüler Üs Alma ÜS ALMA VE MODÜLER CARPMA
20 -  Kontrolsüz güvenlik, güvenlik değildir! -  Kripto Anahtarları sadece sende ise kontrol sendedir! İdeal Güvenlik
21 Teşekkürler ?mehmet.kiraz@tubitak.gov.tr osmanbey.uzunkol@tubitak.gov.tr

Recommended

[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Sertel Şıracı - Mobil Uygulama Güven...
OWASP Turkiye
[OWASP-TR Uygulama Güvenliği Günü 2016] Özkan Boztaş - SSL Protokolüne Karşı ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Özkan Boztaş - SSL Protokolüne Karşı ...[OWASP-TR Uygulama Güvenliği Günü 2016] Özkan Boztaş - SSL Protokolüne Karşı ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Özkan Boztaş - SSL Protokolüne Karşı ...
OWASP Turkiye
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Ahmet Can Kan - Attacking Mobile App...
OWASP Turkiye
Inter conf published
Inter conf publishedInter conf published
Inter conf published
Ed Whittaker
Fsktes
FsktesFsktes
Fsktes
mali304
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Yalçın Çakmak - Social Media Apps Fo...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Yalçın Çakmak - Social Media Apps Fo...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Yalçın Çakmak - Social Media Apps Fo...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Yalçın Çakmak - Social Media Apps Fo...
OWASP Turkiye
Final leukapheresis
Final leukapheresisFinal leukapheresis
Final leukapheresis
DrSurjit Singh
Cerro P. La Radiologia Convenzionale del Tubo Digerente - Studio della deglut...
Cerro P. La Radiologia Convenzionale del Tubo Digerente - Studio della deglut...Cerro P. La Radiologia Convenzionale del Tubo Digerente - Studio della deglut...
Cerro P. La Radiologia Convenzionale del Tubo Digerente - Studio della deglut...
Gianfranco Tammaro
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
OWASP Turkiye
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...
OWASP Turkiye
Tringali A. La CPRE. ASMaD 2016
Tringali A. La CPRE. ASMaD 2016Tringali A. La CPRE. ASMaD 2016
Tringali A. La CPRE. ASMaD 2016
Gianfranco Tammaro
ETRM Reporting and Market Risk
ETRM Reporting and Market RiskETRM Reporting and Market Risk
ETRM Reporting and Market Risk
Wongyu Choe
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...
OWASP Turkiye
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
OWASP Turkiye
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
OWASP Turkiye
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
OWASP Turkiye
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
OWASP Turkiye

More Related Content

Viewers also liked (9)

[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
OWASP Turkiye
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...
OWASP Turkiye
Tringali A. La CPRE. ASMaD 2016
Tringali A. La CPRE. ASMaD 2016Tringali A. La CPRE. ASMaD 2016
Tringali A. La CPRE. ASMaD 2016
Gianfranco Tammaro
ETRM Reporting and Market Risk
ETRM Reporting and Market RiskETRM Reporting and Market Risk
ETRM Reporting and Market Risk
Wongyu Choe
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...
OWASP Turkiye
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
OWASP Turkiye
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
OWASP Turkiye
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
OWASP Turkiye
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
OWASP Turkiye
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
[OWASP-TR Uygulama Güvenliği Günü 2016] Özgür Alp - HTTP/2 ve Güvenlik
OWASP Turkiye
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...
[OWASP-TR Uygulama Güvenliği Günü 2016] Emre Kısa - HTTP Güvenlik Başlıkları ...
OWASP Turkiye
Tringali A. La CPRE. ASMaD 2016
Tringali A. La CPRE. ASMaD 2016Tringali A. La CPRE. ASMaD 2016
Tringali A. La CPRE. ASMaD 2016
Gianfranco Tammaro
ETRM Reporting and Market Risk
ETRM Reporting and Market RiskETRM Reporting and Market Risk
ETRM Reporting and Market Risk
Wongyu Choe
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Fatih Emiral - Android Uygulamalara ...
OWASP Turkiye
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Oğuzhan Topgül - iOS'da Zararlı Yazı...
OWASP Turkiye
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bahtiyar Bircan - PwnPhone: Cepteki ...
OWASP Turkiye
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Bakır Emre - Cebinizdeki Hırsız
OWASP Turkiye
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
[OWASP-TR Uygulama Güvenliği Günü 2016] Muhammet Dilmaç - Ruby on Rails Web F...
OWASP Turkiye

[OWASP-TR Mobil Güvenlik Çalıştayı 2015] Mehmet Sabır Kiraz & Osmanbey Uzunkol - Kriptografik Hesaplamaların Buluta Güvenli Tevdisi

  • 1. Kriptografik Hesaplamaların Buluta Güvenli Tevdisi Mehmet Sabır Kiraz & Osmanbey Uzunkol Matematiksel ve Hesaplamalı Bilimler, TÜBİTAK BİLGEM 14 Ekim 2015 OWASP Mobil Güvenlik Çalıştayı Supported by a project funded by EU FP7 Cocirculation Scheme with TÜBİTAK (114C027)
  • 2. 2 Güvenli Hesaplama Problemleri •  Kim veriye sahip? •  Kim veriye ulaşabilir? Servis Sağlayıcı Veri Merkezi Sistem Admini 3. Kişilere Güven Riski Kabul Etmektir!
  • 3. 3 Veri Akışı ve Güvenliği - Veri Sahibi - Kullanıcı Web Sunucu Bulut Servis Sağlayıcı … Depolama Servis Sağlayıcı Uygulamalar -  Kimlik Doğrulama -  Güvenli Haberleşme Veri Şifreleme Veritabanı & Dosya) … Güvenlik Sağlayıcı
  • 4. 4 Güvenlik Riskleri: Kime Güvenmeli? Ne Yanlış Gidebilir? •  Uygulamalar hatalı, bozulmuş, ya da kötü niyetli olabilir (Bulut tarafında Güven) •  Bulut Platformu hatalı, bozulmuş, ya da kötü niyetli olabilir (Buluta Güven) §  hesaplama ve depolama sunucuları dahil •  Bulut çalışanları kötü niyetli olabilir (Buluta Güven) •  Kötü niyetli Bulut kullanıcıları veya ağ saldırganları (Bulut tarafından sağlanan Güven)
  • 5. 5 Ne Sağlamalı? •  Gizlilik – Saklanan Veri •  Bütünlük – Depolanan Veri – Bulutta yapılan hesaplamalar
  • 6. 6 Saldırgan Yeteneği: İçeriden Saldırı •  İstemci tarafı –  Parola, kripto anahtarları •  Bulut tarafı –  İstemci hareketleri loglanabilir –  Şifresiz verileri okunanabilir –  Ağ iletişimi monitör edilebilir –  Neden? •  İstemci verilerini öğrenme •  İstemci davranışlarını analiz etme •  Verileri kullan ya da sat
  • 7. 7 Hesaplamaların Tevdisi: Hesaplama Kaynağı-olarak-Servis Motivasyon: Kaynak kısıtlı bir cihazın hesaplamaları Buluta tevdisi! 1. Koşul: Hesaplama mevcuttan daha hızlı olmalıdır 2. Koşul: Doğrulama hesaplamadan daha masraflı olmamalıdır 𝑥 𝑦= 𝑓( 𝑥)
  • 8. 8 Hesaplamaların Tevdisi 3. Koşul: Bulutun saldırgan olduğu varsayılır! 𝑥 𝑦= 𝑓( 𝑥) En Umut Verici Pratik Çözümler: •  Yao’nun bozuk devreleri (Fairplay SCAPI, FastGC vb.) •  Parçalı Homomorfik Şifreleme (örn, ElGamal, Paillier) •  Dağıtık Şifreleme (Threshold Şifreleme), •  Sıfır Bilgi İspatları, •  Kör Transfer gibi algoritmalarla beraber.
  • 9. 9 Özel Durum: Hesaplamaların Tevdisi Asimetrik şifrelemelerin tevdisi: Üs alma 𝑥 𝑦= 𝑓( 𝑥)
  • 10. 10 xy mod N RSA, ElGamal, Eliptik Eğriler, Eşleme Tabanlı Sistemler, ... Neden Üs Almak Gerekmektedir? •  Şifreleme •  İmzalama •  Kimlik Doğrulama •  Anahtar Oluşturma •  Güvenli Hesaplama
  • 11. 11 Zor Problem #1: Çarpanlarına Ayırma Problemi RSA Şifreleme ve İmzalama için Üs Alma Verilen M, e ve N olduğuna göre c ≡ Me (mod N) Kolay Asal sayı p, q N = pq Zor
  • 12. 12 Üs Alma •  Diffie-Hellman Anahtar Anlaşma Protokolleri •  ECDSA •  Açık Anahtar Altyapısız Sistemler Zor Problem #2: Ayrık Logaritma Problemi Kolay y = gx mod p Zor x = logg y (Z’de kolay, Zp‘de zor) Verilen: g, x, p Verilen: g, y, p
  • 13. 13 Sim Kartlar ve Güvenlik 1.  Mobil telefonlar için de facto güvenli varsayılan kısım 2.  NFC teknolojisiyle beraber ödeme bilgilerinin (payment credentials) saklandığı yer 3.  OTA teknolojisiyle beraber eklenebilirlik özelliğe sahip (Custom Java Software) 4.  Güvenli Anahtar deposu olarak SIM (Kálmán, 2007) 5.  Saldırılar...
  • 14. 14 Örnek Çözüm: TAISYS Bankacılık Çözümü Kaynak:http://www.taisys.com/solution
  • 15. 15 Kriptografik Hesaplarin Dogrulanabilir ve Güvenli Tevdisi 1. Sunucu 2. Sunucu 1.  İki sunuculu çözüm 2.  Sunucular birbiriyle anlaşamazlar 3.  Daha verimli yöntemler 4.  İki sunucudan kaynaklanan problemler ... Gizlilik Problemi Maskeleme ve Girdi Maskeleme ve Girdi
  • 16. 16 Kriptografik Hesaplarin Dogrulanabilir ve Güvenli Tevdisi TEK SUNUCU Gizlilik Maskeleme ve Girdi KURAL: Maskeleme + Maske Kaldırma << Üs Alma
  • 17. 17 Tevdi Algoritması 1. Hesaplatmak istediğimiz değer gz değeri olsun 2. Varsayım: g değeri açık, z değeri gizli 3. c değeri ise önceden belirlenecek doğrulama değeri olsun
  • 19. 19 Modüler Üs Alma ÜS ALMA VE MODÜLER CARPMA
  • 20. 20 -  Kontrolsüz güvenlik, güvenlik değildir! -  Kripto Anahtarları sadece sende ise kontrol sendedir! İdeal Güvenlik