Türkiye’nin PKI Altyapısı Nasıl Olmalı?(*)

PKI son birkac senenin favori uygulamalarından biri oldu. Aslına bakarsanız kavram olarak PKI kavramı eski bir kavram. Temelleri Public Key Cryptography (Açık Anahtar Tabanlı Şifreleme) ile aynı yıllara, yani 1970’lerin sonuna, dayanır. Amaç, Diffie ve Hellman’ın temellerini attığı bu modern şifreleme sisteminin en büyük sorunlarından biri olan açık anahtarların kimlik doğrulamalı bir şekilde dağıtımını çözmektir. Herkesçe bilinmesinde bir sakınca olmayan bu açık anahtarlar bir şekilde kişilere dağıtılmalı ancak açık anahtarlar ile sahipleri arasında da güvenilir bir bağ yaratılmalıdır.

Sayısal sertifikalar ortaya atılan ilk çözümlerden biridir. Bu sistemde güvenli bir Sertifika Otoritesi (CA – Certificate Authority) kişilerin açık anahtarları ile kimlikleri arasındaki bağıntıya kefil olarak kendi dijital imzaları ile sertifika yaratır. CA’nın imzasını doğrulayan ve ona güvenen herhangi bir kullanıcı da istediği kişinin açık anahtarını öğrenir. Çok kolay gibi gözüken bu sistemde organizasyonel ve yönetimsel olgular ön plana cıkmaktadır. Kimlerin hangi koşullar altında güvenilir CA olabileceği, CA’ların sertifika üretimi sırasında izleyeceği prosedür ve çevrim-dışı (off-line) kurallar, sertifika iptali ile ilgili kural ve uygulamalar bu tür olgulara örnek olarak verilebilir. PKI, dijital sertikaların kullanımı ile ilgili bütün oluşumların bir araya toplanmış hali olarak tanımlanabilir.

PKI sistemlerinin topolojik yapısı sistemdeki çeşitli sayıdaki CA’lar arasındaki entegrasyonun ne şekilde olacağı ile doğrudan ilgilidir. Hiyerarşik PKI yapılarında alt seviye CA’lar üst seviye CA’lar tarafından birbirlerine bağlanır. Hiyerarşik yapının alternatifi ise alt seviye CA’ların birbirleri için çapraz sertifika (cross certificate) üretmesidir. Hiyerarşik yapıda bir kural koyucunun gözetiminde, çapraz sertifika yapısında ise sistem kendi iç dinamikleri ile bir bütün haline gelmektedir.

Olayın ticari boyutu daha farklıdır. Dünya çapında kendini “güven merkezi” (trust center) ilan eden bazı PKI sağlayıcısı şirketler sertifikaları kendi bünyelerinde üretmek isteğindedirler. Doğasında dağıtık olması gereken PKI uygulamaları, bu gibi şirketler tarafından merkezi bir hale getirilmeye calışılmaktadır. Bu tür bir yaklaşımın en iyi yanı CA’ların entegrasyonu için ekstra bir çabanın gerekmemesidir. Bu yaklaşım organizasyon açısından çok büyük artılar getirmekle beraber bir çok soru işaretini de peşinden sürüklemektedir. Kısaca bu sorunlara değinelim.

1) Bu tür bir merkeziyetçi yapıda merkezdeki PKI sağlayıcısı şirkete hayat boyu bağlılık vardır. PKI sahibi, istediği zaman PKI’sını kendi bünyesine almak veya PKI sağlayıcısını değiştirmek lüksüne sahip değildir. Çünkü üretilen sertifikalar sağlayıcı şirketin anahtarı ile üretilmiştir ve sağlayıcı değişikliği tüm sertifikaları yeniden üretmek anlamına gelir.

2) PKI sahibi şirket PKI sağlayıcısına her sertifika başına yıllık ücret ödemek zorundadır.

3) Sonuçta bu bir güvenlik uygulamasıdır. Bu tür bir PKI sağlayıcısı kullanarak PKI sahibi kendi sertifika üretme yetkisini PKI sağlayıcısına devretmektedir. O yüzden PKI sağlayıcısının güvenliğinden de zincirleme olarak sorumluluğu vardır.

4) Bu tür PKI sağlayıcıları genellikle cok uluslu gözüken şirketlerdir ama belirli bir ülkenin ağırlığı daha fazladır. Uluslararası bir PKI sağlayıcılığına soyunmak tüm potansiyel üye ülkelerin ve bu ülkelerdeki kuruluşların ortak güvenini gerektirir. Günümüzün ekonomik ve politik şartlarında bu ortak güvenin sağlanması hiç de kolay değildir.

5) Güvenin yanısıra hukuksal sorunlar da vardır. CA sertifikalara imzasını koyarak bir sorumluluk altına girmektedir. Bu sorunluluğun bir de hukuki dayatması olmalıdır. Bir ihtilaf durumunda zarar gördüğüne inanan bir kullanıcı (bu, sertifika sahibi olmayabilir de) hakkını arayabilmelidir. Ancak Türkiye dışındaki bir CA’nın Türk mahkemelerince yargılanabilmesi mümkün değildir.

Türkiye’deki durum nedir?

Türkiye’deki durumu anlatmadan önce bu yazının kapsamının “enterprise PKI” denilen kurum-içi ve dışa kapalı bir PKI olmadığını, Türkiye için ulusal bir PKI olduğunu belirtmekte fayda var.

Türkiye’de kurumlar ve şirketler özellikle SSL uygulamaları için ihtiyaç duydukları sertifikaları uluslararası CA’lardan temin etmektedirler. Bunun dışında bazı uluslararası PKI sağlayıcı şirketlerin de Türkiye’de temsilcilikleri vardır. Buradaki amaç, PKI sağlayıcısı mantığını Türkiye’de yaygınlaştırmaktır. Kurum ve şirketlerin PKI konusunda kurum-içi bir çözüm geliştirme konusundaki çekiniklikleri, PKI sağlayıcılarının da işine gelmekte, bunu temel alan bu sağlayıcılar, dünya ile bütünleşik, kurum ve şirkete organizasyonel açıdan minimum yük getirecek çözümler önerebilmektedirler. Kısacası burada “alan memnun, satan memnun” mantığı vardır. Ancak burada hesaba katılmayan, alan ve satan dışında kalan, ama sistemi kullanan bir de “diğerleri” vardır. Sertifikayı potansiyel olarak sistemi kullanan herkes doğrulayabilir ve bunu yaparken de CA’ya güvenmek zorundadır. Yani CA’lık, sertifika sahibi ile CA arasındaki güvenden çok öte bir güven gerektirir. Bir şirket dışa açık PKI’sını bir PKI sağlayıcısına hazirlatacaksa, bu sağlayıcıya sadece kendisinin değil, oluşturacağı PKI’yı kullanacak tüm kullanıcıların güveneceginden de emin olması gerekir. Maalesef gözardı edilen gerçek budur. Örneğin, tüm kullanıcıların Internet tarayıcı programlarla gelen CA’lara güveneceği beklenmektedir. Beklenmekten öte bu konuda kullanıcı adına kararlar alınmaktadır.

Sadece Türkiye’de değil tüm dünyada yapılan yanlıs bir uygulama da “deneme sertifikası” (Class 1 certificate) uygulamasıdır. Kullanıcıları sertifika kullanımına alıştırmak amacıyla yapılan bu uygulamalarda yanlış mesajlar verilmektedir. Kullanıcılar bu şekilde ücretsiz sertifikalarla sisteme entegre olduklarını sanmaktadırlar, ama bu konuda yanılmaktadırlar. Çünkü bu şekilde on-line üretilen sertifikalarda isim ve kimlik kontrolü yapılamamaktadır. Sertifika sahibi dilediği ismi kullanarak sertifikayı alabilir. Bazı CA’lar bu tür sertifikalarla isim kontrolu yapmadıklarını beyan etseler bile bu deklarasyonu beyanı ortalama bir Internet kullanıcısının anlamasını beklemek doğru değildir.

Ne yapmalı?

Yapılması gereken şey PKI ve sertifika kullanımını yaygınlaştırmak adına yapılan bu tür yanlış uygulamalardan bir an önce vazgeçmek ve sistemin gerektirdiği kuralları ve prosedürleri uygulayarak sistemi sağlıklı bir şekilde kurmaktır. O yüzden Türkiye’de CA olarak çalışacak yerli ve yabancı kuruluşların uyması gereken standartlar belirlenmeli ve bu tür kuruluşlar belirlenen standartlara uymaya zorlanmalıdır. CA olmanın noter olmak gibi bir sorumluluğu ve hukuki anlamı olduğu düşünülerek mutlaka bir denetim mercii oluşturulmalıdır.

Farkli CA’ların entegrasyonunu sağlayarak ulusal bir PKI oluşturmak için de düzenlemeler yapılmalıdır. Yukarıda bahsedilen denetim mercii bu konuda da görev üstlenebilir. Farklı CA’ların gerek hiyerarşik gerekse  çapraz sertifika yöntemi ile entegrasyonu mümkündür. Eğer hiyerarşik bir yapı gerekecekse denetim mercii bu hiyerarşinin kökü olabilir. Kişisel olarak her ne kadar hiyerarşik yapının geleneksel Türk yönetim anlayışına uygun olacağını düşündüysem de bu entegrasyonun CA’lar arası bir konsensus ile sağlanması fikri son zamanlarda bende daha ağır basmaya başladı.

Türkiye’de bir PKI altyapısı kurulması için gerekli gördüğüm aşamaları kısaca özetlemeye çalışacağım.

1) Konunun uzmanı kişilerden oluşturulacak bir komisyon kurulmalıdır.

2) CA olma normlarının belirlenmesi bu komisyonun ilk ele alması gereken konu olmalıdır.

3) Komisyonun belirleyeceği kuralların ve esasların bağlayıcılığı gerekli hukuksal düzenlemelerle sağlanmalıdır.

4) Bu esaslar dahilinde çalışacak şirket ve kurumlara yetki belgeleri yine bu komisyon tarafından yapılacak bir ön araştırma ile verilmelidir.

5) Komisyonun diğer bir görevi de Türkiye içi entegrasyon için kuralları belirlemek olmalıdır. Bunun için CA’larla ortak hareket edilmeli ve sistem içinde ortak bir görüş oluşturulmalıdır.

6) CA’ların periyodik denetimleri için ve olası şikayetleri değerlendirmek üzere bir denetim mekanizmasi oluşturulmalıdır. Bu mekanizma komisyonun bizzat kendisi olmamalı ama herkesin ortak güvenecegi bir kamu veya özel kuruluş bu işi üstlenmelidir.

İşin bir baska önemli tarafı da uluslararası entegrasyondur. Sadece Türkiye içinde kalacak bir PKI’nin başarılı olacağını düşünmek yanlıştır. Uluslararası entegrasyon, ulusal ve yabancı CA’ların uluslararası kurallar ve anlaşmalar çercevesinde birbirlerine çapraz sertifika vermeleri ile sağlanabilir. Uluslararası entegrasyon için öncelikle ulusal yapının topolojisinin belli olması gerekir. Hiyerarşik bir yapı seçilecekse o zaman kök CA’nın vereceği ve alacağı çapraz sertifikalarla entegrasyon sağlanır. Ancak ulusal yapı için çapraz sertifika modeli seçilmesi durumunda uluslararası entegrasyon için de her CA çapraz sertifikalar kullanmalıdır. Uluslararası çapraz sertifika üretirken veya alırken izlenilmesi gereken kurallar da komisyon tarafından belirlenmelidir.

(*) Aslında yazının başlığında fazlalık var. PKI (Public Key Insfrastructure – Açık Anahtar Altyapısı) kavram olarak zaten bir “altyapı”. Altyapının da altyapısı olur muymuş diyenler için yazının başında kısa bir açıklama yapmak istedim. “PKI altyapısı” deyimini hem yazının başlığında hem de yazının içinde kullanmayı uygun buldum, çünkü sadece PKI deyiminin bazı durumlarda vermesi gereken altyapı anlamını, aslen İngilizce kökenli bir kısaltma olduğu için, veremeyeceğini düşündüm.

Albert Levi

Yazıyla ilgili görüş ve yorumlarınızı yorum@teknoTurk.org ve levi@ece.orst.edu adreslerine yollayabilirsiniz.