• encryption yontemlerinden gunumuzde en kabul goreni.. decrypt edecek tarafin encrypt edecek olana milletin almasinda sakinca bulunmayan public key yollamasi ve sozkonusu public key ile yapilan encryption'in da sadece decrypt edecek tarafta bulunan private key ile acilabilmesi esasina dayanir..
  • (bkz: pgp)
  • temelinde moduler aritmetik ve asal sayilar bulunan yöntem.
  • (bkz: gpg)
  • (bkz: asymmetric encryption)
  • (bkz: pki)
  • (bkz: elgamal)
  • (bkz: eliptik eğri şifrelemesi)
  • visa ile bankalar arasindaki iletisimde public-private key kullanimi, olaya salt matematiksel bakildiginda kriptografik acidan facia sayilabilecek bir fark arz eder.
    mastercard aynı yöntemi izliyor mu, animsamiyorum; ama büyük bir olasilikla izliyordur.

    visa, bankalara kendi private key'ini vererek, onlara gönderdigi mesajlari yine kendisine ait public key ile sifrelemektedir. bankalar da visa'dan gelen sifreli mesajlari visa'ya ait private key ile acmaktadir.
    buradaki temel mantik sudur:
    visa tüm bankalar icin birer public key'i elinde tutup her banka icin gidecek mesajlari o bankaya ait public key ile sifrelemek derdinden kurtulmustur. burada visa hem key'lerin expiry date'lerinden kaynaklanan operasyonel key management derdinden, hem de binlerce bankanin her biri icin ayri bir public key kullanmasindan kaynaklanan basta performans sikintilari olmak üzere olasi sorunlardan kurtulmus oluyor.

    ha peki bu dogru bir sey mi; kriptografik acidan kesinlikle dogru bir sey degil.
    ama bir de real world constraints diyebilecegimiz bir durum var. visa burada is akisi acisindan (hayir, sarhosken yada suursuz bir aninda degil, gayet bilinci yerindeyken) bir karar veriyor, ve "haci biz bu private key'i sana veriyoruz, ama sen baskasiyla paylasma bunu" diyerek isin kriptografik yönünden kaynaklanan güvenligin önemli bir kisimini isin operasyonel kismina yüklemis oluyor.

    amatör bir matematikci olarak icim kan aglasa da, profesyonel bir programci olarak visa'nin omzuna sefkatli bir bicimde elimi koyarak "üzülme haci, anliyorum seni" demek zorunda hissediyorum kendimi.

    öte yandan, gerek visa gerek mastercard'in müsteri güvenligi acisindan aldigi diger önlemleri düsündügümde, "yurdumda dogrudan database üstündeki verileri sifreleyen ve cözen simetrik sifreleme anahtarini subelerdeki tüm bilgisayarlarin üstünde bir dll icinde acik halde tutan kimi bankalarin umarsizliginin, gamsizliginin, damsizliginin yaninda o kadar da büyük sikinti degil" diyorum private key'lerin bu sekilde semi-public hale getirilmesi icin.
    ki zamaninda bu durum icin üst düzey bir yöneticiye kendimi tutamayip "yok artik amk, saka yapiyosunuz" demisligim vardir inanamayip...* varin siz düsünün bu ülkede para bile bu kadar yalandan bir güvenlik cemberindeyse can güvenligimiz ve özgürlügümüz ne haldedir..
hesabın var mı? giriş yap