Tag Archives: güvenlik

Feb 19 2015
3 Comments
Gizlilik, Güvenlik

Lenovo ve Superfish

Her geçen gün iletişim gizliliğinin nasıl da incecik bir çizgide olduğunu, özel hayatınıza konu olacak her şeye bir çırpıda üçüncü şahısları da ortak edebileceği yüzümüze çarpıyor. 2013 yılı sonuna doğru LG televizyonlarının USB bellek üzerindeki dosya isimlerini kendi sunucularında kayıt altına aldığı ortaya çıkmış, ardından LG yeni bir yama yayınlayarak bunu durduracaklarını ve özür dilediklerini duyurmuşlardı. Bu senenin başında ise Samsung SmartTV’lerin oda içerisindeki konuşmaları ses kayıt özelliği üzerinden topladığı ve üçüncü partilerle paylaştığı ortaya çıktı. Tabi ki sizin onayınızla. Herkes 233 sayfalık sözleşmeyi okuduğu için bundan haberdardı değil mi? Şimdi ise bunlara bir yenisi eklendi. Lenovo. Lenovo konusunu tam olarak anlayabilmek için kök sertifikanın ne olduğuna kısaca bir bakalım.

Kök sertifikalar, tarayıcılar ve diğer uygulamalar veya servisler tarafından kullanılır ve çeşitli türlerde olan şifreleme metodlarını doğrulamak için açık anahtar kriptografisinin temel parçalarından bir tanesidir. Örneğin, ne zaman bir https üzerinden bağlantı gerçekleştirseniz bu kök sertifikalar sizlerin gerçekten o websitesine bağlandığınızın doğrulamasını gerçekleştirir. Bununla birlikte, kök sertifikalara sahip olan kullanıcı, bu sertifikaların sahibine de güvendiğini kabul etmiş sayılır. Bir bankacılık işlemi için https ile müşterisi olduğunuz bankaya eriştiğinizi düşünün:

  • Tarayıcınız bankaya ait websitesine “hadi gizli konuşalım” diyecektir.
  • Websitesi ise tarayıcınıza “tamam gizli konuşalım, bu benim açık anahahtarım, böylece iletişimimizi şifreyebiliriz” diye yanıt verecektir.
  • Tarayıcınız açık anahtar ile iletişimin şifresini çözerek imza ile birlikte açık anahtarı da kontrol edecektir. İşte tam da bu noktada, kök sertifika ile imzanın şifresi çözülecektir. Böylece, doğrulama sağlanarak tarayıcınız imzanın güvenilir bir kaynaktan olduğunu, açık anahtarın bu websitesi üzerinden geldiğini ve gerçekten de banka ile iletişimde olduğuna karar verecektir.
  • Bundan sonra iletişime konu olacak her şey açık anahtar ile şifrelenerek devam edecektir.

Bilgisayarınızda belirli sayıda ve sadece güvenilir kaynaklardan elde edilmiş kök sertifikaların bulunmasının nedeni de budur. Öte yandan, Lenovo ürünlerinde yüklü olarak gelen ve müşterilerine alış-veriş yaparken muhtemel ilgili çekici ürünleri göstermesi amacıyla yüklenmiş VisualDiscovery / Superfish uygulaması beraberinde bir kök sertifika ile gelmektedir. Yukarıdaki bahsettiğimiz örneği ve süreci de dikkate alırsak, tarayıcınız bu kök sertifikayı güvenilir bir kaynak olarak yorumlayabilir, bu sertifika sahibi ise şifreli iletişime konu olan her şeyi man-in-the-middle yaklaşımıyla dinleyebilir ve manipüle edebilir.

Lenovo’nun yapmış olduğu açıklamaya göre Ocak ayında bu uygulamanın sunucu taraflı etkileşimleri kapatılmış ve artık Lenovo ürünlerinde bu uygulama aktif olmadığını belirtmişlerdir. Bir diğer şey de, Ocak ayından itibaren bu uygulama önyüklü olarak gelmesi durdurulmuştur. Son olarak, gelecekte bu uygulamaya yer vermeyi düşünmedikleriin söylemişlerdir. Bunlara ek olarak, SuperFish uygulamasının kullanıcıların davranışlarını profillemediğini, kullanıcılara ait özel bilgilerinin tutulmadığını, kullanıcıların takip edilmediğini, her oturumunun bağımsız olduğunu ve hatta kullanıcının ne olduğunu bilmediğini aktarmışlardır.

Lenovo’nun açıklamalarına rağmen bu durum o kadar da basite indirgenecek bir şey değildir. Her şeyden önce, bu uygulama güvenli bağlantıların (SSL/TSL) kurulması sırasında tarayıcı ve diğer uygulamalar (e-posta, voip vs.) için güvenilir bir kaynak ve imza olarak yorumlanabilir. Tarayıcı ile sunucu arasındaki iletişimin dinlenmesini engellemek yerine SuperFish uygulaması şifreli iletişime konu olan tüm verileri şifresiz bir veriymiş gibi toplayabilir. Veya SuperFish’ ait kök sertifikanın anahtar sahibi (sahipleri) man-in-the-middle ile sizlerin örneğimizdeki gibi bankacılık işleriminiz sırasındaki iletişimi dinleyebilir veya araya girerek mesajları manipüle edebilir.

original

Resimde de görüldüğü üzere (Kaynak: Lenovo Forums) Internet bankacılığı için giriş yapmak isteyen bir Lenovo kullanıcısı güvenli bağlantısında SuperFish’e kök sertfikasının kullanıldığını görmektedir. Aşağıdaki listede ise SuperFish içeren Lenovo ürünlerinin listesi bulunmaktadır.

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
  • Y Series: Y430P, Y40-70, Y50-70
  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70
  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
  • E Series: E10-30

Açıkçası, ortada bir sorun olduğu gerçeğini kimse gözardı edemez. SuperFish uygulamasının neden bir kök sertifikaya ihtiyaç duyduğuna dair kafalardaki soru işaretlerini giderecek bir açıklama yok. Kullanıcılara göre uygulamanın sistemden kaldırılması ile sertifikanın ortadan kalkmadığına dair bildirimler mevcut. Lenovo’nun açıklamaları ilk okunduğunda sonuçta SuperFish’in aktif olmadığı, dolayısıyla şifreli iletişime ait verilerin alınmasının pek de mümkün olmayacağı düşüncesi yerleşiyor. Fakat, tarayıcı kök sertifikayı kullanıyor ve imzanın güvenilir bir kaynaktan geldiğini söylüyor. Ayrıca, Lenovo SuperFish’e böyle bir yetkiyi verirken de gayet bilinçliydi. Ortaya çıktığında ise bu bilinçten uzak açıklamar yapmaktadır.

Sonuç mu? Sonuç şu; gizliliğiniz sadece hükûmetlere, partilere, şirketlere ve örgütlere, satın aldığınız veya kullandığınız servislere emanet edilemez. Bizim adımıza konuşamazlar ve bizim yerimize karar veremezler. Elbette kimse size zorla Lenovo aldırmıyor. Ama Lenovo da ürünü satarken böyle bir şeyin varlığından bahsetmiyor. Bu kadar büyük ve kullanıcı güveni kazanmış şirket transparan olamıyor.

Tagged , , , , , , , , , ,
Mar 05 2014
40 Comments
Rehber

Tarayıcılar ve Eklentiler

E-postalar üzerinden de bu sorular devamlı sorulduğu için kısa bir rehber hazırladım. Umarım işinizi görür.

İlk olarak belirtmeliyim ki bu rehberin %100 anonimlik veya güvenlik sağladığı yanılgısına kapılmak veya burada yazan tarayıcı ve eklentileri kullanarak gizliliğin sağlandığı, anonim kalındığı ve güvenli olunduğu kullanıcıyı büyük riskler içine çekebilir. Bu kavramların içi iyi bir şekilde doldurulmadığı sürece, bir tarayıcıdan veya eklentiden bir şeyler beklemek hata olur. Buraya kadar her şey anlaşıldıysa bana sıkça sorulan sorulara geçelim.

Hangi tarayıcıları kullanıyorum?

Neden Firefox Aurora ve Tor Browser kullanıyorum?

Öncelikle bu iki tarayıcıyı şu şekilde ayıralım: Firefox Aurora benim anonimliğe ihtiyaç duymadan, güdenlik işlerimi yüksek bir güvenlik sağlayarak gerçekleştirdiğim, eklenti desteği yüksek, stabil ve hızlı bir tarayıcıdır. Diğer yandan Tor Browser, anonim kalmamı sağlayan ve bunu en iyi şekilde yapan, benimle ilgili, gerçek kimliğime veya trafiğime ait en düşük bilgiyi sızdıran (İSS trafiğinizi şifreli bile görse %100 anonimlik diye bir şey yoktur!) bir tarayıcı olup, anonimliğe ihtiyaç duyduğum zamanlarda kullandığım diğer tarayıcıdır. İki tarayıcının kullanım amaçlarını ayırdıktan sonra diyeceğim bir diğer şey de, evet Firefox Aurora veya Google Chrome veya Opera veya başka bir tarayıcı da Tor ağı üzerinden Internete çıkabilir. Fakat, anonimlik açısından bakarsak Firefox’un Tor ağı üzerinden Internete çıkması sizinle ilgili belirleyici bir bilgi sızdırır. Kaldı ki çeşitli ayarları (useragent vs) değiştirseniz dahi sizinle ilgili bilgi toplayan servisler Tor Browser’dan farklı bir tarayıcı kullandığınızı parmak izleri (fingerprinting) üzerinden görebilir.

Hangi eklentileri kullanıyorum?

Tor Browser; HTTPS-Everywhere, Tor Button ve NoScript eklentileri ile birlikte gelmektedir. Bunun dışında başka bir eklenti kurmaya gerek yoktur. Diğer yandan, kurulacak eklentilerin anonimlik derecesini etkileme olasılığı da mevcuttur. Tor Browser’ı olduğu haliyle korumak en iyisidir.

Firefox Aurora için kullandığım eklentileri ve özelliklerini sıralayarak ilerleyeyim.

Adblock Edge, Adblock Plus’ın forklanmış halidir. Kendi tanımında da yazdığı üzere farkı; Plus  –muhtemelen– maddi kazanç sağlamak için bazı reklamlara (acceptable ads) izin vermektedir, Edge’de ise izin yoktur.

Tarayıcı üzerinden şifreli ve gizli mesajlaşmak ve sohbet (OTR) için –şimdilik– en iyi eklenti. Ayrıca, grup özelliğine sahip olduğu için birden fazla kişi ile bir grupta toplu yazışma yapabilirsiniz. Bilinmesi gereken en temel şey, Cryptocat kullanırken IP adresiniz gizlenmiyor ve bu yüzden takip edilebilme olasılığınız vardır. Tor ağı üzerinden Cryptocat kullanarak bunu da aşabilirsiniz. Bunun için custom server’dan Tor Hidden Service’i seçebilirsiniz.

Eğer tarayıcı üzerinde bir proxy yönetimi ihtiyacı duyuyorsam bunun için kullandığım tek eklenti. Proxy yönetimi ile kastettiğim gerektiğinde örneğin Tor, i2p gibi proxyler veya sahip olduğum shell hesabı ile ssh tünel için kullanmaktır.

Birçok website https yapısına sahip olsa bile ziyaretçileri http üzerinden karşılamaktadır. Bu eklenti ise güvenli olmayan http bağlantısını –eğer website sahipse– https olarak yeniden yazar ve kullanıcıları şifreli bir bağlantı ile karşılamaya zorlar. Olmazsa olmazdır. Bunun örneğini çok yakınlarda bir Youtube videosuna yapılan URL tabanlı engeli aşmada ne kadar işe yaradığını görmüştük. Fakat tek sıkıntı, hala ve ısrarlar birçok website https kullanmamakta ve SSL sertifikası için para ödememektedir. Ayrıca, tavsiye olarak SSL Oberservation özelliğini aktif edin. Bu sizlere eğer bir man-in-the-middle saldırısı varsa bilgi verecek ve eklentinin daha iyi geliştirilmesi için EFF‘ye anonim rapor gönderecektir.

Tarayıcı üzerinden OpenPGP şifreli e-posta göndermek için -bence- en iyi eklenti. Grafik arayüzü, hazır gelen servisler (Gmail, Yahoo vs.), anahtar yönetimi ile son kullanıcıya yönelik ve bu işi de en basit şekilde yerine getiriyor. Artık günümüzde şifreli e-posta göndermek bir zorunluluk olduğu için denenmesinde fayda var.

Websiteleri üzerinde gelen JavaScript, Java, Flash, Silverlight ve diğer çalıştırılabilir eklentilerin kontrolünü ve iznini kullanıcıya bırakarak bu eklentilerden gelebilecek veri toplama ve saldırıları engeller. Hatırlarsanız, Freedom Hosting baskını sonrası zararlı bir JavaScript bulunduğundan Tor Browser’ın bundan etkilendiği –kısa süre içinde bu durum düzeltildi– sözedilmişti.

Bunu kısaca şöyle anlatayım; bir websiteye herhangi bir makaleyi okumak için girdiniz, bu site üzerinde sunulan içerik olarak bir Youtube videosu da var, bu videoyu izlemeseniz dahi tarayıcınız Youtube’dan gelen isteği yanıtladı, ayrıca bir de Analytics mevcut. Böylelikle Google, Analytics ve Youtube ile sizin girdiğiniz siteyi ve okumak istediğiniz makaleyi, bu site üzerinde ne kadar vakit harcadığınızı öğrenerek sizin profilinizi çıkarmaktadır. RequestPolicy ise bu websitelerden gelen istekleri otomatik olarak engelliyor. Yönetim işini kullanıcıya bırakıyor. Diğer yandan XSS veya CSRF gibi saldırıları da bu şekilde engellemektedir. NoScript ile birlikte müthiş bir ikili oluşturur.

Uzun zamandır Cookieless Cookies, yani çerezsiz çerezler (tercüme benim) nedir, bir sayfayı çerezler ve JavaScript kapalı, VPN üzerinden ziyaret ettiğiniz zaman bile bu yöntemle takip edilebildiğinizi anlatmak istiyordum. Nasip bu yazıya oldu. Kısaca Etag (entity tag) kavramını açıklayayım. Etag, http’nin parçası olan bir protokol olup, bir URL’de gelen içeriklerin (gif, jpeg, js vs.) değişip değişmediğini doğrular ve her içeriğe özgü bir etag (checksum, sağlama toplamı) atar. Eğer URL’deki içerik değişmişse yeni bir etag atanır. Bir örnek vereyim; bir sayfaya girdiniz, sayfada bir jpeg var. Bu jpeg’in kendine ait bir etag’ı mevcut. Tarayıcı jpeg’i açtığı ve etag’ı öğrendiği zaman sunucuya doğrulama için bilgi gönderir. Sunucu jpeg’de bir değişklik olup olmadığını kontrol eder. Eğer yoksa jpeg’i yeniden almaya gerek kalmaz ve böylece gereksiz veri akışından kurtulunur. Ziyaretçilerin takibi ise bu yöntemle olmaktadır. Çünkü sunucu her tarayıcıya has bir etag verecek ve veritabanından da bunu kontrol edecektir. Bunu aşmada Self-Destructing Cookies’in yanısıra Secret Agent eklentisi de işe yaramaktadır. Tarayıcının useragent’ını düzenli olarak değiştirerek devamlı farklı etag’ların oluşturulmasını sağlar ve bunlar üzerinden gerçekleştirilecek takibi aşmaya çalışır. Whitelist’e sahip, böylece güvendiğiniz websitelerini buraya ekleyebilir ve sorunsuz kullanabilirsiniz.

Otomatik olarak kullanılmayan çerezleri temizleyen bir eklenti. Ayrıca bir whitelist’e de sahip. Buraya güvendiğiniz websiteleri girerek diğer sitelerden gelen çerezlerin belirli bir zaman aralığında otomatik ve kalıcı olarak silinmesini sağlayabilirsiniz. Böylelikle farkında olmadan çerezler tarafından gözetlenmenin de önüne geçersiniz.

Bir imajın sahte olup olmadığını anlamanın en iyi yolu bu eklentiden geçiyor. Örneğin Twitter’da paylaşılan bir fotoğrafın o ana ait olup olmadığını merak ettiniz. Bu eklenti ile fotoğrafa sağ tıklayarak TinEye’ın devasa veritabanında aratabilir, daha önce kullanılmışsa hangi sitelerde ve ne zaman kullanıldığını görebilirsiniz. Dezenformasyona karşı ilaç gibi gelecektir.

WebPG’de tıpkı Mailvelope gibi GnuPG/PGP şifreli e-postalar göndermenizi sağlayan gayet kullanışlı bir eklenti. Bazı web arayüzleri ile sıkıntıları giderilebilmiş değil ama basit bir kullanıma sahip. Sisteminizde ekli olan size ve arkadaşlarınıza sahip tüm anahtarları otomatik olarak alıyor. Denemeye kesinlikle değer.

Vim kullanmaktan büyük keyif aldığım bir editör. Kısayolları çok sevdiğim için ve bunları da bir tarayıcı üzerinde fareye ihtiyaç duymadan rahat bir şekilde kullanabilmek için en iyi eklenti Vimperator. Gerçi, VimFx ve Vimium ve Pentadactyl gibi uygulamalar da mevcut. Hepsi de aynı işi yapıyor.

Tüm bunlar gizliliğim, anonimliğim veya güvenliğim için yeterli midir?

Hayır! Öncelikle gizlilik, anonimlik ve güvenlik gibi kavramlar doğru anlaşılmalıdır. Anlaşılmadığı takdirde kullandığınız araçlar elinizde bir çöpe dönüşür. Bu yüzden tekrar ve tekrar tavsiye olarak gizlilik, anonimlik gibi kavramların içini iyi doldurmak ve bu konularda bolca araştırma yapmak gerekiyor.

Tagged , , , , , , , , , , , , , , , , , , , , , , , ,
Aug 28 2013
6 Comments
Rehber

PGP Kullanın

Bir uygulamayı nasıl kullanabileceğinize dair rehberler hazırlanırken, hazırlayan kişi -kaçınsa da- kendisi nasıl kullanıyorsa öyle anlatır. Bu bir hata değildir, bunda yanlış bir şey yoktur. Az bildiği anlamına da gelmez. Aynı şekilde alışkanlıklarının dışına çıkması onu anlatacağı şeyde hata yapmaya da götürebilir.

Böyle bir giriş yaptıktan sonra PGP üzerine hazırlanan bu rehberin, yazan kişinin kullanım çerçevesinde ilerleyeceği için “eksik” olduğu düşünülen noktalar aslında bilerek boş bırakılmıştır. Adım adım ilerleyecek olursak:

  1. PGP, e-posta ve dosyaların güvenliği için bir kriptolama ve doğrulama (matematiksel kısmı için aramaya inanın) aracıdır. Sizlere gönderdiğiniz dosyanın ya da e-postanın şifrelenmesini ve başkaları tarafından okunmamasını (ya da sadece gönderdiğiniz kişi tarafından okunabilmesini), gönderen kişinin kimliğini doğrulamayı ve gönderilen dosya ya da e-postanın yapısının bozulmadan size ulaşmasını (ya da bozulup bozulmadığını anlamanızı) sağlar.
  2. Kullandığınız e-posta sağlayıcı ne kadar güvenli olursa olsun e-posta mahremiyeti artık ayaklar altına alındığı için gönderdiğiniz e-postaları bu yöntemle göndermeniz güvenliğinizi kat kat arttıracak, e-posta içeriğiniz üçüncü şahıslar tarafından okunamayacaktır.
  3. PGP anahtarları oluşturmak için açık kaynak veya ticari yazılımlar mevcuttur. GNU/Linux kullanan biri olarak sadece GPG; GnuPrivacyGuard ve Terminal üzerinden gideceğim. O yüzden açık bir terminaliniz olursa hemen başlayabilirsiniz. Çünkü her şeyi onun üzerinde yapacağız. “#” komut, “>” ise terminal çıktısıdır.

Dağıtımınızın ne olduğunu bilmediğim ve bilemeyeceğim için paket yöneticinizden gnupg‘nin kurulu olup olmadığına bir bakın. Eğer kurulu değilse kurun. Her şeyin artık hazır olduğunu varsayarak;

# gpg --gen-key
> Please select what kind of key you want:
> (1) RSA and RSA (default)
> (2) DSA and Elgamal
> (3) DSA (sign only)
> (4) RSA (sign only)

Burada sizlere ne tür bir kriptolama yöntemi kullandığınız soruluyor. Varsayılan olan 1’i seçip (1 ve enter) yolumuza devam ediyoruz.

> RSA keys may be between 1024 and 4096 bits long.
> What keysize do you want? (2048)

Anahtarınız ne kadar güçlü olacak burada belirleyeceğiz. En büyük olanı iyidir diyoruz. 4096 yazın ve devam edin.

> Please specify how long the key should be valid.
> 0 = key does not expire
> = key expires in n days
> w = key expires in n weeks
> m = key expires in n months
> y = key expires in n years
> Key is valid for? (0)

Burada anahtarınızın ömrünü biçeceğiz. Bir nevi son kullanım tarihi. Sınırsız olmasını pek tavsiye etmiyorum. 3-5 gün sonra dolması da bana mantıklı gelen bir şey değil (eğer paylaşmayacaksanız). İdeal olarak 1-2 sene seçilebilir. 1y ya da 2y yazarak devam edebilirsiniz.

> GnuPG needs to construct a user ID to identify your key.
> Real name:
> Email address:
> Comment:
> Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?

Adınız veyahut takma adınız, kullanacağız e-posta adresiniz, anahtarla ilgili -varsa- yorumunuz (bu daha çok neden kullandığınız, ne işi yaradığı ile ilgili olabilir), son olarak O yazarak devam ediyoruz. Karşınıza şifre belirlemeniz için bir pencere açılacak. Buraya büyük, küçük harf, rakam ve işaretler kullanarak en az 10 karakterlik bir şifre yazıyorsunuz. İleride unutmayacağınız fakat güçlü bir şifre yazmanız sizin yararınıza olacaktır.

Anahtarın oluşturulabilmesi için rastgele bytes’a ihtiyaç olacak. Bu yüzden film açın, tarayıcınızda sitelere girin, metin editörüne bir şeyler yazın. Anahtarın oluşması biraz zaman alacaktır. Oluştuğunda ise:

> gpg: key ******** marked as ultimately trusted
> public and secret key created and signed

Şeklinde bir çıktı alacaksınız. ******** (rakam ve harflerden oluşan 8 hane) sizin anahtarınızın ID’si olmaktadır. Bu ID ayrıca 40 hanelik fingerprint’in son 8 hanesidir.

Sıra geldi oluşturduğumuz anahtarımızı nasıl kullanabilir, paylaşabiliriz, yedekleyebilir ve silebiliriz kısmına. Diyelim ki elinizde önemli bir dosya var ve kimsenin açık kurcalamasını istemiyorsunuz:

# gpg -e ******** dosya.txt

Dosyanızın kriptolanmış hali olan dosya..txt.gpg‘nin oluştuğunu göreceksiniz. Açmak isterseniz:

# gpg -d dosya.txt.gpg
# gpg --output dosya.txt --decrypt dosya.txt.gpg

Anahtarınızı paylaşmanızın iki yolu var. Biri anahtarınızı dışa aktarıp (ASCII-armored) göndermek, bir diğeri de anahtar sunucularına yollamak. ASCII-armored için:

# gpg --output anahtarım.asc --export -a ********

Böyle e-postanız üzerinden anahtarım.asc‘yi arkadaşlarınıza gönderebilirsiniz. Herhangi bir sunucuya göndermek için:

# gpg --send-key ********

Böylece arkadaşlarınız paylaştığınız anahtarınızı kullanarak sizlere kriptolanmış e-posta veya dosya gönderebilecekler. Şimdi size gönderilen bir anahtarı nasıl aktarabileceğinize bakalım:

# gpg --import arkadaşımınamahtarı.asc

Arkadaşınız eğer anahtarını sunuculardan birine göndermiş ve siz sadece ID’sini biliyorsanız:

# gpg --recv-key ********

Size gönderilen bir anahtarı doğrulamak isterseniz muhakkak fingerprint’ini karşılaştırın.

# gpg --fingerprint ********

Aynı şekilde anahtarınızı imzalamanız da anahtarı kullanan kişilere anahtarın sahibi olduğunuzu söyler.

# gpg --sign-key ********

Çok önemli bir adım olarak anahtarınızı nasıl yedeklersiniz? Öncelikle anahtar(larınızı) listelemek için:

# gpg --list-keys

Açık anahtarınız; pub 4096R/ ve gizli anahtarınız; sub 4096R/ ‘den sonraki 8 karakterlik kısımdır. Açık anahtarınızı yedeklemek için;

# gpg -ao açıkanaharım.key --export ********

Gizli anahtarınızı yedeklemek için;

# gpg -ao gizlianahtarım.key --export-secret-keys ********

Silinirse geri yüklemek için;

# gpg --import açıkanahtarım.key
# gpg --import gizlianahtarım.key

Bu yedekleri usb diskinizde saklayabilir, cd’ye yazdırabilirsiniz. Önemli olan bunları kaybetmemek. Bununla birlikte, anahtarı iptal etmek (revoke) bilmemiz gereken başka bir şeydir. Bir anahtar neden iptal edilire gelirsek (bu bilginiz olsun kısmı):

  1. Şifrenizi unutmuşsunuzdur ve hatırlama ihtimaliniz yoktur.
  2. Anahtarınızı kaybetmişsinizdir ve geri yükleyemiyorsunuzdur.
  3. Birileri tarafından kullandığınız şifre bulunmuştur.

Her türlü kötü durumları bu konuda kafanızda canlandırabilirsiniz. Ama temel olarak bu üç neden kafanızın bir yerinde bulunsun. İptal edilmiş bir anahtar ile karşılaştığınızda hatırlarsınız.

Revoke anahtarı oluşturmak için:

# gpg --gen-revoke ********

Anahtarı aktarmak için:

# gpg --import revoke.asc

Eğer anahtarı bir sunucuya göndermişseniz revoke edilmiş anahtarı tekrar göndermeniz o anahtarın iptal edildiğini gösterecektir.

Son olarak, oluşturduğunuz anahtarı ve sahip olduğunuz anahtarları silmek isterseniz:

# gpg --delete-secret-key ********
# gpg --delete-key 'arkadaşım@epostası'

O kadar uğraştık, bir e-posta göndereceğim ama nasıl diyorsanız, diyelim ki göndereceğiniz kişinin anahtarı sizde mevcut ve bir metin editörü ile (ben vim kullanıyorum bana bakmayın) e-postada anlatmak istediklerinizi yazdınız;

# gpg -e -u 'BenimanahtarIDim' -r 'ArkadaşımınanahtarIDsi' eposta.txt

Eklentiye eposta.txt.gpg‘yi koyun ve gönderin. Arkadaşınız yukarıda bahsettiğimiz şekilde e-posta.pgp.txt’yi açacak ve e-postayı okuyacaktır. Ben biraz eski kafalı olduğum için bu şekilde yapıyorum. Kullandığınız e-posta istemcisi (Thunderbird, Claws vs) ya da web tabanlı e-posta istemciniz bunu otomatik yapıyor olabilir. Onu sizin keşfetmeniz gerekecek.

Tekrar tekrar söylemeye gerek yok ama ben gene söyleyeyim. Kullandığınız e-posta servisi ne kadar güvenilir olduğunu iddaa ederse etsin, siz PGP kullanın!

Tagged , , , , , , , , , , ,