|
|
#1
22 April 2009, 11:01
|
||||
|
||||
Digital imzalar
Dijital imza dendiğinde herkesin aklına başka başka şeyler geldiğinin farkına varmış bulunuyorum.
Hem dijital imzanın herkesçe anlaşılır bir tanımını yapmak, hem de bu arada dijital imzanın nasıl elde edildiğini ve ne gibi amaçlarla kullanılabileceğini anlatmak istiyorum. Bu bağlamda tartışılabilecek şeylerden biri ağ yayıncılığının özellikleri ve ağ yayınlarında suçlanacak kişinin saptanması. Elbette ben değil, hukukçular tartışmalı. TARİHÇE ======= Bilgisayarla ilgili işlemler sırasında kullanıcının kim olduğunu kanıtlaması için herkesin bir kullanıcı adı ve bir parolası olması istenir. Bunun nedeni, bilgisayarın bir gözü, kulağı olmaması; dolayısıyla kendisini kullananı tanımasının mümkün olmamasıdır. Olsa bile; ki artık vardır; kulağın duyduğuyla insanları istenen kesinlikte birbirinden ayırdetmek mümkün olamamakta, gözün gördüğünü ise bilgisayar yeterince işleyerek tanıma amaçlı kullanmaktan yoksun bulunmaktadır. Kısaca söylersek, bilgisayarın kulağı duymakla birlikte bu insanı tanımaya yetmemekte, öte yandan gözü görse de, neyi tanıyacağını bilememektedir. Aslında birincisi bizler için de geçerlidir, ama ikincisi belli koşullar altında bizlerin yapabildiği birşey iken, bunu bilgisayara yaptırmayı henüz başaramamışızdır. İyi düşünürseniz, belli koşullar sözcüğüyle neyi kastettiğimi hemen bulursunuz. Beş yıldır görmediğiniz bir arkadaşınız yüzünden ameliyat geçirmiş, bu nedenle sakal ve bıyık bırakmış, saç stilini değiştirmiş, bu arada epey de zayıflamış olabilir; onu tanıyamayabilirsiniz. Öte yandan, sadece bir kez görüştüğünüzde tanıştığınız bir kişiyi ertesi gün farklı bir giysi ile tanıyamamanız da gayet mümkündür. Görsel tanımanın temelinde beynimiz (pattern recognition) desen tanıma diyebileceğimiz bir yöntem kullanmaktadır. Bilgisayarlara bunu verimli olarak yaptırmanın yolu henüz bulunamamıştır. Bu nedenle, parmak izi tanıma yöntemi çıkana dek ad / parola ikilisi en güvenilir yöntem olarak kalmıştır. Bir diğer yöntem de, iris tanımadır. İris tanımanın tek başına kullanılması güçtür; üstelik kişinin gözünü bir yere dayamasını gerektirdiğinden, pek de kullanışlı değildir. Bu açıdan parmak izinin de durumu pek parlak değildir, çünkü algılayıcı kirlenmekte, parmak izinin taklidiyle algılayıcı kandırılabilmekte vs, vs dir. Dolayısıyla, döneriz yine ad / parolaya. Aslında, insan beynini okumanın yolu bulunmadığı sürece de paroladan daha güvenilir bir yöntem bulunabileceği düşünülmemektedir. Fakat parolaların çok önemli bir sorunu vardır. Girildiği yerden değerlendirildiği yere giderken, veya doğrulayabilmek için kopyasının saklandığı yerden çalınabilirler. Bu nedenle, adların değil ama, parolaların oldukları gibi saklanmaları hiç güvenli olmaz. Kodlanarak saklanırlar. Doğrulama sırasında girilen veri de kodlanır, iki kodlanmış veri birbiriyle karşılaştırılır. Tutarsa, kodlanmamış verilerin eşit olduğu anlaşılır, parola doğrulanır. Saklanmakta olan kodlanmış veri çalınsa bile, parolanın bulunamaması için kodlamanın çok özel yöntemlere dayanması gerekir. Bu yöntemlerden en önemlisi sindirme (digest) algoritmasıdır. Parola 5 harf de olsa, 13 harf de olsa, daima 32 tane nybble (dört bit) haline çevrilir. Çevirimde kullanılan sindirme tekniği matematiksel bir dizi işlemden oluşur. Öyle ki, aynı işlemleri tersine yürütmek olanaksızdır. Rastgele atımlar veya tarama yoluyla aynı kodlanmış veriyi elde etmek zorunda kalınır, ki bu da yıllar sürebilir. 1) Parola tahminini gir, 2) Sindirme algoritmasından geçir, 3) Elde ettiğini kodlanmışla karşılaştır. 4) Uymadıysa tahmini sakla ki bir daha aynı tahmini kullanmayasın 5) Yeni, daha önceden kullanılmamış bir tahmin yap 6) (1) e dön, devam et diye basitçe özetlenebilecek bu deneme yanılma yöntemiyle tam 2^128 in 2^3 den 2^16 ya kadarki değişik kombinezonlarının toplamları kadar tahminde bulunulması gerekir. Aslında kodlama çok basit bir işlemdir, parolayla ilgisi olmayan, çeşitli sabit verilerle parolanın birbirine belli bir mantık çerçevesinde harmanlanmasıyla yürür. Paroladaki karakterler, bu harmanın nasıl yürüyeceğini belirleyen unsurlardır. Dolayısıyla, parola aynı olmadıkça, kodlanmış halinin aynı olması olasılığı da yukarıdaki kadar azdır. Normalde bir hırsızın bu kadar vakti asla olmayacak, dolayısıyla kapıyı kırması gerekecektir. Bunu kapının önündeyken yapabilir elbette, ama kendisinden yüzlerce, binlerce km uzaktaki bir bilgisayarın içine girmeye niyet ettiyse, önünde kırılacak bir kapı da yoktur. Üstelik, çoğu zaman birkaç denemeden sonra girmeye çalıştığı bilgisayar onu farkedecek biçimde programlanmıştır; başarısız olur. İMZAYA GEÇİŞ (Digital Signature) ============ Parolanın imzayla ne ilişkisi var derseniz, matematiksel altyapının aynı olduğunu söylemekle yetineceğim. Görünürdeki fark ise şöyledir: parola, kendinden uzun, sabit basamaklı bir sayıyla temsile zorlanırken, imzalar asılı daha kısa, sabit basamaklı bir sayıyla temsil ederler. Aşağı yukarı her dijital veri topluluğunun dijital imzayla temsili mümkündür. Tek harflik bir yazının da, 1 Mb lık bir resim dosyasının da istenen sabit boyda bir dijital imzası olabilir. Parolaların kodlamasında olduğu üzere; aynı boyda ama içeriği farklı iki asılın aynı imzaya sahip olması olasılığı olağanüstü düşük bir olasılıktır. Dijital imzayla ne elde edilmek istenmektedir? Bununla, örneğin, benim bu elektronik postamın yazı bölümünü kodlayabilirsiniz. Varsayalım 16 basamaklı bir sayı ile yazımı temsil etmeye karar verdiniz ve bu sayıyı dosyamdan ayrı olarak, dosyamın içeriğini temsil etmek üzere bir yerde sakladınız. Eğer bu sitenin yöneticisi veya bir başkası yazımda en ufak bir değişiklik yaparsa, dosyanın yeni hali imza ile karşılaştırıldığında bu eylemi ortaya çıkar. Kimin değişikliği yaptığından ayrı olarak, en azından artık o yazının benim yazım olmaktan çıktığı kesin olarak belirlenmiş olur. Anti-Virus programları bu dijital imzalardan dosyalara yapışan virusları saptamakta ipucu olarak veya viruslardan etkilenerek bozunmuş dosyaları belirlemek amacıyla kullanmaktadırlar. Benzer bir bilgi, iletişim sırasında dosya içeriğinin zarar görüp görmediğini anlamak için iletişim paketlerinin peşine yapıştırılmaktadır. Gönderen gönderdiğinin bir özetini yolladığında; karşı taraf o özetle, almış olduğu ana gövdeden kendi çıkarttığı özeti karşılaştırarak, iletinin sağlam alınıp alınmadığını kontrol edebilmektedir. Sindirme olmaksızın yapılmakla birlikte, bu yöntem amaç açısından yeterince yararlıdır. YASAL KAYGILAR: TELİF HAKKI VE İÇERİĞİN BOZUNMASI / DEĞİŞTİRİLMESİ İLE İLİŞKİ ============== İnternetin sağladığı dünya çapındaki iletişim kolaylığından dolayı birçok suçun daha kolay işlenmesine uygun bir vasat ortaya çıkmıştır. Henüz tartışılmadığı halde, iletişime aracı olan altyapıdaki aktarma noktalarında iletilen verilere müdahale dahi mümkündür. Yani, siz ’iktidara destek olmak için yürüyelim’ diye bir mesaj yolladığınız halde, mesaj ’iktidarı yıkmak üzere yürüyelim’ e çevriliverir ve siz ancak iş işten geçtikten sonra haberdar olursunuz. Örneğin, bir şiir yazdığınızı ve bunu bir sitede yayınladığınızı düşünelim. Kötü niyetli bir kişi de şiirinizin bir sözcüğü veya bir satırını değiştirmiş olsun. Her an, her saniye şiiri kontrol edecek haliniz yok ya; beş gün sonra fark ettiniz. O arada şiiri yüzbinlerce kişi okudu, kopyaladı, arkadaşlarına dağıttı diyelim. Şiiri şikayet eden de çıkabilir elbette. Şikayet üzerine işlem yapıldı ve sitede şiirin değişmiş hali bulundu, hakkınızda o haliyle ilgili işlem yapılacaktır. Ağzınızla kuş tutsanız, size ait olduğunu ama aslının öyle olmadığını kanıtlamanız mümkün olamayacaktır. Buna çok benzer bir durum askeri haberleşmelerde ortaya çıkmaktadır. Gizli yapılması gereken haberleşmelerin içeriği bir bütün olarak kodlandığı halde, içeriğin de bütünlüğü ve bozunmazlığı güvenceye alınmak zorundadır. Bu nedenle, gönderen ve gönderilenin imzaları yanında yazının da imzası hem ayrı ayrı, hem de birarada kodlanarak yollanma yoluna gidilmektedir. Çoğunlukla bunların herbiri için de farklı yöntemler kullanılır, ki çözümleri daha zorlaşsın. Dolayısıyla, haklar, suçlar ve iletişimin sağlığı açısından 1. Her iletişim parçacığının içeriği, 2. Telif hakkı sahibinin kimliği, 3. Yayınlayanın kimliği, 4. İletenin kimliği, 5. Hedeflenen alıcının kimliği, gibi unsurların tümünün dijital imzayla korunma altına alınmasında yarar vardır. Böylece tüm soru işaretleri ortadan kalkar. Bu arada virus bulaşmalarının çoğunun da önüne geçilebilir. Güvenli iletişim (secure communications) dediğimiz zaman, bu unsurları taşıyan iletişimden söz ediyoruz demektir. Bunun biraz daha zayıf uygulandığı bir durumu yazılımcıların kullandığı paylaşım sitelerinde görürsünüz. İndirilen ve yüklenen dosyaların bütünlüklerinin kontrol edilmesi için boy, zaman, içerik özetlerinden oluşan imzalar kullanılır. NASIL YAPILACAK =============== Bu algoritmaları kullanmaya olanak sağlayan yazılım altyapı paketleri mevcuttur. Açık kaynak kodlu ve ücretsiz olanları da vardır. Halka açık olmayan siteler bunları üyelerinin indirmesi ve kullanmalarını isteyebilirler. Örneğin, THS gibi yasal açıdan sorumluluklar konusunda titiz siteler üyelerinin iletilerini bu yolla işaretlenmiş olarak alıp saklayabilir, yayına öyle koyabilir. Tek yapılacak şey, gelen iletilerin imzalanması önkoşulunu koymak, geldiklerinde imzalarını kontrol etmek, indirilen iletilere de imza koyarak, imzaların indirence kontrolunu sağlayacak olanaklar vermektir. YASAL AÇIDAN FARKLILIKLAR: KATILIMCI AĞ YAYINCILIĞI ========================= Buna rağmen ağ yayıncılığının sözlü, yazılı, görsel yayıncılıktan ayrı değerlendirilmesi zorunludur. Nedeni açıktır: ağ yayıncılığı yayıncının belirlediği sabitleştirilmiş bir ortam üzerinde sunulmamaktadır. Yani, en kısa ifadesiyle bir ’yazı işleri sorumlusu’ olamaz, içerik üzerinde tam tasarruf hakkı olduğu varsayılamaz. Sadece kendi ürettiği içerik üzerinde tam tasarruf hakkı olabilir, dolayısıyla sadece ondan sorumlu tutulabilir. O halde, bunları birbirinden kesin olarak ayıracak yöntemlere ihtiyaç vardır. Bu durumu, içeriğinin bir kısmını okurların oluşturduğu ve yazı işleri sorumlusunun okurların yazıp çizdiklerine müdahale edemediği bir gazeteye benzetmemiz gerekir. Ağ yayıncılığının can alıcı özelliği budur ve bunun güdük edilerek önceki yayın ortamlarına benzemesine yol açmak isteyenelere izin verilmemesi gerekir. Nasıl TV yayıncılığı gelişirken denetim mekanizmalarının bazıları yayından sonraya taşınarak RTÜK gibi bir yapı geliştirildi ise; ağ yayıncılığı için de yeni kurallar getirilmelidir. Örneğin, imzalı yayınlar şart koşularak bir ortam oluşturulmalı ve böyle bir ortamda THS gibi sitelerin yazıların yasal sorumluluklarıyla ilgilenme gereği ortadan kaldırılmalıdır. Örneğin, 301 e konu bir yazı yayına konmuş olsa bile, bunun site yönetimi veya site sahipleriyle bir ilişkisi olmayacaktır. Yayına koyan kişi onu yayından kaldırmak veya içeriğini sakıncasından arındırmakla yükümlü olmalıdır. Yönetim müdahale edemeyecektir, ama yazının kaynağı bellidir, sorumluluk da onun olacaktır. Bunu yayınladığı için site sahibi veya yönetiminin sorumluluğu çok daha kısıtlı olmalı; olsa olsa yazı sahibi ve yazı hakkında yasal yaptırım kararı alındıktan ve siteye bildirimde bulunulduktan sonra yazıyı kaldırmakla yükümlü tutulmaları yoluna gidilmelidir. Aksi AĞ YAYINCISININ BİREY İLETİŞİM ÖZGÜRLÜĞÜNÜ KEYFİ OLARAK KISITLAMASI anlamını taşır. Bu yönde düzenlemeler mevcut olmadığı için ABD dahil her ülkede birçok ağ yayıncısı üyelik ilke ve kuralları yayınlayarak kendi yayın ortamını kendi kendine kısıtlamak yoluna gitmekte, böylece felsefi bir hataya düşmektedirler. Ancak, bu konuda giderek yasal çerçevenin en azından ABD de oluşmakta olduğunu görüyoruz. Gidiş, ’KATILIMLI AĞ YAYINCILIĞI’ gibi bir kavramın tanımlanmasına doğrudur. Çünkü, birçok ağ yayıncısı katılımcılarının özgürlüklerini kendisi kısıtlama yoluna gittiği haller için açılan davaları kaybetmektedir. Bu konuda en sık rastlanan davalar büyük şirketleri eleştiren, alaya alan yazılarla ilgilidir. Örneğin; LR şirketi ürünlerinin hangi açılardan ne kadar kalitesiz olduğuna ilişkin bir yazıyı kaldırması için, bir ağ yayıncısına, şirket avukatınca ihtar gönderilmekte; yayıncının yazıyı kaldırmasından sonra, yazı sahibi, ağ yayıncısını dava etmekte; ve davayı kazanabilmektedir. Elbette, iletişim özgürlüğüne engel olma suçu ticari şöhreti haksız yere zedelemekten çok daha ağır bir suçtur. Üstelik, ağ yayıncısı bu eylemi duyulduğunda, bütün müşterilerini bu yola başvurmayanlar lehine kaybetme tehlikesiyle karşı karşıya kalmaktadır. Sadece bu tür yaklaşımlara maruz kalanların çokluğundan istifade amacıyla açılmış, şikayet siteleri bulunmaktadır. Her nedense bu siteler aleyhine dava açılmamaktadır! (Aslında, bunun nedeni büyük şirketlerin böylece kendileri hakkındaki şikayetleri topluca izleyebilmeleri ve çok gerekmedikçe dava açma yoluna başvurmamalarıdır. Neredeyse sonsuz sayıda yere yazılan şikayetleri izlemeye çalışmaktansa, bu daha kolay olmaktadır; bu nedenle bu gibi siteleri fazla baltalamamak işlerine gelmektedir.) Birçok anti-kapitalist görüşlü insan interneti bu nedenle ’ilahi adaletin tecellisi’ olarak görmektedir, çünkü ağ yayıncılığı kapital büyüklüğünden çok katılımcılığın, yani insan sayısının, öne çıktığı; nispeten daha demokratik bir yayıncılık ortamı sağlamıştır. Eskiden sesini duyuramayan kitleler bu yolla seslerini yükseltebilmekte, organize olabilmektedir. Özellikle tüketici şikayetlerine büyük gazete ve televizyonlarda hiç yer verilmezken, internette kol gezebilmektedir. Tek başına bu bile ağ yayıncılığın kendine özgü kurallara bağlanarak korunmasının önemini göstermeye yeter. Yargı kararları şöyle özetlenebilir: eğer yayının tanımlanmış bir suçu içerdiği düşünülüyor ise; buna ilişkin dava açılıp sonuçlandırılmadan, suçun işlendiğine karar verilmiş gibi tasarrufta bulunmak mümkün değildir, bu yargının yetkisini çalmak anlamına gelir; ve aynı zamanda, iletişim ortamı sunduğunu ilan yoluyla yürütülen hizmetin özüne aykırı olarak, yayıncının içerik sahibinin iletişim haklarına tecavüzü anlamını taşır. Buna katılsak da, iletişim özgürlüğünün suça vasat sağlayacak ve suçlunun saptanmasını güçleştirecek yönde gelişmesine de izin vermememiz gerekir. Sağlıklı gelişmeyi sağlamak için suçlunun saptanmasını kolaylaştıracak yöntemleri devreye sokmamız gerekir; ve bunu sağlayacak araçlar pekala mevcuttur. Dijital imzalar bunun bir yoludur. Saygılarımla, Alıntıdır.. 
|
Normal
