Bekir Kemal Ataman's Macworld Türkiye Articles Page

Elektronik iletisim okulu kösesi --13-- Subat 1998

INTERNET'TE ALIS-VERIS

Plastik alis-verisin incelikleri

Bir çoklarimiz için kredi kartiyla alis-veris kavrami, kredi karti bilgilerinin mekanik ya da elektronik bir alet yardimiyla aktarildigi ödeme makbuzlarini imzalamaktan ibaret. Peki ya kredi kartiniz çalinirsa? Hemen ilgili bankayi arayip kartinizi iptal ettirmeniz gerektigini biliyor musunuz? Bu tür bir bildirimde bulunmadiginiz takdirde, sizin imzaniz taklit edilerek yapilan alis-verislerden sorumlu oldugunuzdan haberiniz var mi? Belki de sirf bu yüzden fotograsi bir kredi karti kullanmayi tercih ediyorsunuz.

Bunun yeterli bir güvenlik oldugunu düsünüyorsaniz yaniliyorsunuz. Çünkü kredi kartiyla alis-veris yapmak için illa da bir seyleri imzalamaniz gerekmiyor. Bir çok durumda, mektupla hatta telefonla verilen siparislerde dahi kredi karti bilgileri verilerek alis-veris yapmak mümkün. Bu bilgiler ise sizin disinizda, kart ile alis-veris yaptiginiz bütün saticilar tarafindan da biliniyor.

Diyelim ki bu saticilardan birisi dolandirici ya da hiç degilse bir dolandiriciyla iliskisi var. Bu kisi sizin kredi karti bilgilerinizi kullanarak telefonla alis-veris yapiyor ve tabii faturasi da size gönderiliyor. Eger her ay faturanizi ayrintili olarak inceleme aliskanligina sahip degilseniz, belki de çok uzun süredir baskalarinin faturalarini ödüyorsunuz. Diyelim ki faturanizda bu tür bir alis-veris kaydi farkettiniz. Yapacaginiz ilk is vakit geçirmeden bankanizi arayip durumu bildirmek olmali. Ikinci is ise... Iste onu bilmiyorum. Çok sükür su ana kadar basima böyle bir is gelmedi. Dolayisiyla, fatura bilgilerine itiraz edip düzelttirmenin ne kadar belali ya da kolay bir is oldugu konusunda bir fikrim yok.

Esegi saglam kaziga baglamak

Bunda baslica etmen sanirim bir kisim önlemleri bastan almam. Öncelikle, vitrininde kullandigim kredi kartinin amblemini görmedigim hiç bir yerde (kendileri teklif etse dahi) kart kullanmiyorum. Çünkü biliyorum ki amblemin bulundugu satis yerleri kart sahibi firma tarafindan kontrol altinda tutuluyor. (Yine de Türkiye'de vitrininde amblem oldugu halde baska dükkanlardan ödünç aldiklari aletlerle satis yapanlara da sahit oldum. Sanirim amblem dagitilirken birileri gevsek davraniyor. Bu tür yerlerden kartla alis-veris yapmamayi tercih ediyorum.) Yurt disinda, bu kontrol satilan ürün ya da hizmetin kalitesini de kapsiyor. Dolayisiyla, aldiginiz ürün ya da hizmetle ilgili bir sorunla karsilasirsaniz kredi kartinizi aldiginiz kurulus aleyhinde de yasal yollara basvurabiliyorsunuz. Ama Türkiye'de bu imkan maalesef yok.

Telefon ya da mektupla alis-veris yaparken ise saticinin amblemini görme imkanim yok. Dolayisiyla bu tür yerleri seçerken öncelikle verdikleri ilana bakiyorum. Bu tür firmalar, kredi kurulusunun onayiyla kartin amblemini ilanlarinda kullanabiliyorlar. Yurt disinda bu tür siparis alma yetkisi her firmaya verilmiyor. Ikincisi kredi karti bilgilerini, imzami içeren bir mektupla ya da hiç degilse faksla gönderiyorum.

Bunu yapmadan önce ise, kredi karti kurulusunda kayitli adresimden baska bir adrese ürün ya da hizmet teslim edip edemeyeceklerini soruyorum. Çünkü güvenilir firmalar, hem kendilerini hem kredi karti sahibini korumak için, siparisin teslim edilecegi adres ile kredi karti kurulusunda kayitli adres farkli ise satis yapmiyorlar.

Internet'teki gevsek zeminler

Internet üzerinde alis-veris? Iste onu hiç yapmiyorum, en azindan simdilik. Çünkü, gerek e-posta gerek herhangi bir web sayfasi araciligiyla gönderilen kredi karti bilgileri, iki baglanti noktasi arasinda ne kadar ara istasyon varsa hepsinde durdurulup ele geçirilebiliyor veya degistirilebiliyor. Isin kötüsü, internet üzerindeki trafigin isleyis sekline bagli olarak, bu ara istasyonlar her seferinde farkli farkli olabiliyor. Daha da kötüsü, satici olarak karsimiza çikan kisi ya da kurulusun kendisi dolandirici olabiliyor. Ya da satici gerçek olsa dahi bu bilgileri depoladigi bilgisayar, yeterli güvenlik önlemi alinmamissa, hacker'larca ziyaret edilip bütün müsterilerin bilgileri ele geçiriliyor.

Dolayisiyla, gerçek saticilarin kullandiklari server'larin güvenli olduguna emin olmak gerekiyor. Bir çok kurulus öncelikle kendilerini korumak için server'larini bir kisim firewall'lar arkasina kuruyorlar ve "secure" (güvenli) yazilimlar kullaniyorlar. Yine de pek çok durumda bu konuda hiç bir garanti yok. Macintosh üzerinde çalisan bir kisim yazilimlar bu konuda oldukça iddiali, ama ne yazik ki hepsi degil. Geçen sene güvenlik sistemini kirmayi basarana 13.000$ ödül vermeyi vaat eden bu tür bir iddia (oldukça uzun bir süre dayanmasina karsin) çürütüldü ve Mac üzerinde çalisan bir sistemin dahi hack edilebilecegi ispatlandi. Bu olaydan sonra yazilimlardaki açiklar kapatilip ayni yarisma tekrar açildi ve su ana kadar ses-seda çikmadi ama yine de bu isin kesin bir garantisi yok.

Peki internet böylesine devasa ve dünya çapinda bir pazarken ve sundugu ticaret imkanlarinda hiç bir sinir öngörülmezken, bütün bu isler böylesine güvensiz bir ortamda mi gerçeklestirilecek? Böylesine bir riske girmeyi kaç potansiyel müsteri göze alacak? Saticilar bütün beklentilerini saf müsteriler üzerine mi kuracak? Tabii ki hayir. Böylesine büyük bir pazari gözden çikarmayi hiç kimse göze alamaz.

Peki çözüm? Onlar da gelistirilmekte olan sifreleme yöntemlerinde gizli. Güvenli bir siber alis-verisin nasil yapilabilecegini anlayabilmek için öncelikle bu sifreleme yöntemlerinin nasil isledigine bakmak gerekiyor.

Casusçuluk oynamaktan öteye

Sifrelemenin iki temel türü var: Simetrik ve asimetrik. Simetrik sifreleme basit olani. Bu tür bir yöntemde gönderici de alici da ayni anahtari kullaniyorlar. Bunun en basit seklini orta okuldayken arkadaslarimla birbirimize sifreli mesaj göndermek için kullanirdik ve kullandigimiz yöntem de bire birdi. Yani her harfi baska bir harse kodlardik. Burada kullandigimiz yöntemlerin en ilkeli her harfi bir sonraki harse kodlamak olurdu. Mesela BEKIR KEMAL ATAMAN için CFLJS LFNBM BUBNBO yazardik Bir baska yöntem ise her harfe karsilik gelecek farkli harserden olusan bir kodlama tablosu kullanmak olurdu. Bu anahtar her iki tarafta da olurdu ve bunun baskalari tarafindan ele geçirilmemesi için büyük bir özen gösterirdik. Tabii bir paragrasik bir metni çözmek için bile her harfin karsiligini anahtar tabloda bulup gerçek karsiligini bulmak epeyce zamanimizi alirdi.

Internet üzerinde kullanilan sifreleme yöntemleri de bu esas üzerine kurulu. Su farkla ki, bilgisayarlarin anladigi bitler (0 ve 1'ler) tek bir bitle degil çok daha fazla sayida bitle kodlaniyor. Kullanim alani ise iki türlü. Birincisi, anahtar karsi tarafta da olmak kaydiyla göndereceginiz bilgiyi sifrelemek ve alicinin bu sifreyi çözerek gönderdiginiz bilgiye ulasmasi için.

Ikincisi göndereceginiz bilginin yolda herhangi bir sekilde degistirilmedigini garanti altina almak için. Bunun için göndereceginiz (ama gizli kalmasi sart olmayan) bilgiyi sifreliyorsunuz ve sifrelenmemis haliyle beraber gönderiyorsunuz. Alici ise gönderdiginiz bilgiyi okuyor, ayni anahtarla sifreliyor ve kendi elde ettigi sifrelenmis bilgi ile sizin gönderdiginiz sifrelenmis bilgiyi karsilastiriyor. Aralarinda herhangi bir farklilik varsa, gönderilen bilginin yolda degistirilmis olduguna hükmediyor.

Sifrelere ters takla attirmak

Asimetrik sifreleme ise daha ilginç bir teknoloji. Bunda ayni sifrenin iki farkli anahtari var ve iki farkli amaçla kullaniliyor. Bu anahtarlarin biri genel, digeri ise özel. Söyle ki, sifre sahibi genel anahtari tanidigi herkese dagitiyor, hatta bazen (varsa) kendi web sitesinde yayinliyor. Özel anahtari ise kendi gönderdigi mesajlari sayisal olarak imzalamak için kullaniyor. Bu kisi tarafindan imzalanan mesaji alan kisi, daha önceden elde ettigi genel anahtari kullanarak sifreyi çözüyor. Böylece, gelen mesajin gerçekten söz konusu sahis tarafindan gönderildigine emin oluyor.

Buraya kadar pek ilginç bir yok diye düsünebilirsiniz; dogru! Asil ilginçlik bundan sonra basliyor zaten. Ayni genel anahtari kullanarak sifre sahibine göndereceginiz mesaji sifrelediginizde, bunu yalnizca özel anahtara sahip olan kisi açabiliyor. Yani ayni genel ve özel anahtarlar, mesajin gidis yönüne ve kim tarafindan sifrelendigine bagli olarak farkli islev tasiyor.

Burada dikkat edilmesi gereken konu, gizli kalmasi gereken bilginin yalnizca orijinal (ve gizli olmayan) mesajin alicisi ve genel anahtara sahip kisi tarafindan sifrelenebilmesi. Her iki taraftan da gizli bilgi transferi yapilmasi gerekiyorsa, her iki tarafta da karsilikli olarak birer genel ve özel anahtar olmasi gerekiyor.

Bu durumda, ilk mesaji gönderen kisi önce kendi özel anahtarini kullanarak mesaji sayisal olarak imzaliyor, sonra karsi tarafin genel anahtarini kullanarak mesajin baskasi tarafindan okunamamasini sagliyor. Alici ise önce kendi özel anahtarini kullanarak baskalarinin görme imkani olmayan mesajin sifresini çözüyor. Sonra da karsi tarafin genel anahtarini kullanarak mesajin gerçekten o kisi tarafindan yazildigina emin oluyor.

Yukarida simetrik sifrelemeden söz ederken her bir bit'in çok sayida bit ile sifrelendigini ve böylece güvenlik derecesinin arttirildigindan söz etmistim. Bu teknolojinin su anda herkesin kullanimina açik olan kismi, her bit'in 40 bit'le kodlanmasi üzerine kurulu. Rivayete göre bu 40 bitlik teknolojiyle kodlanmis bir sifre, 10.000$'lik bir bilgisayarla yarim saatte çözülebiliyor.

Bunun daha gelistirilmis hali olan 128 bitlik sifreleme teknolojisi çok daha güvenli ve örnegin yaygin olarak kullanilan web tarayici yazilim firmasi Netscape'te mevcut. Ancak ABD hükümetinin sifreleme tenolojilerinin ihraci üzerine koydugu sinirlamalar nedeniyle, ABD disindaki ülkelerde yalnizca onayli finans kuruluslarina verilebiliyor.

Kisaca SSL (Secure Socket Layer = Güvenli baglanti katmani) olarak adlandirilan bu asimetrik sifreleme teknolojisi (ister 40 bit, ister 128 bit olsun), elektronik ticaret için büyük önem tasiyor. Bu nedenle daha güvenli olan 128 bit sifrelemenin de yakin bir tarihte serbest birakilmasi bekleniyor. Bunun olmama ihtimaline karsi (ya da bunu hizlandirmak için) bazi firmalar ayni teknolojinin pasifik ülkelerinde de gelistirilmesini saglamaya çalisiyorlar. Bu, özellikle dünya ölçeginde ürün ve hizmet satan firmalar için çok önemli.

Sifrelemenin elektronik ticaretteki yeri

Çünkü müsterinin, kredi karti bilgilerinin yolda baskalari tarafindan görülme riski ortadan kaldirilmadigi sürece, (benim gibi düsünen) pek çok kisi internet üzerinde alis-verise yanasmayacak.

Bu saglandiginda (veya 40 bitlik sifrelemeyi yeterince güvenli buldugunuz ya da elektronik ticareti ABD sinirlari içinde yaptiginiz takdirde) sistem en basit haliyle söyle isliyor: Satici kendi genel sifresini web sayfasinda yayinliyor. Bu saticinin sitesine baglanip ürün siparisi vermek istediginizde, siparis ve kredi karti bilgilerinizi bu genel sifreyle kodlayip e-posta ile saticiya gönderiyorsunuz. Saticinin web sunucusu ve sizin tarayiciniz SSL'i destekliyorsa ayni seyi web sayfasina bagliyken (e-posta'ya gerek kalmadan) de yapabiliyorsunuz.

Netscape tarayicilari (bildigim kadariyla yalniz Netscape'in web sunucularini kullanan sitelerde) bunu ekranin sol alt kösesinde bir simgeyle belirtiyor. Önceki sürümlerde bu bir anahtar ile gösteriliyordu. Son (4.0.X) sürümde ise bir kilit simgesi ile belirtiliyor. Güvenli bir siteye baglandiginizda kirik olan anahtar birlesiyor ya da açik olan kilit kapaniyor. Bu tür bir sitede kredi karti bilgilerinizi güvenli bir sekilde ekrandaki forma yazabiliyorsunuz. Zaten bu tür bir güvenligi olmayan bir sitede herhangi bir form doldurup göndermeye kalktiginizda (tarayicinin ilgili tercihlerinde bunu belirtmis olmaniz kaydiyla) program sizi uyariyor ve göndereceginiz bilgilerin baskalari tarafindan görülebilme ihtimali oldugunu bildiriyor.

Dolandiricilar ve tuzaklar

Karsi tarafin gerçekten umdugunuz satici ya da kisi olduguna emin olabildiginiz sürece mesele yok. Ancak, kötü niyetli herhangi birisi de, kendi sitesinde bir genel sifre yayinlayip, çok cazip fiyatli bir ürün ya da hizmet reklami verip saf alicilari tuzaga düsürebilir.

Bunun çözümü ise sertifikalarla bulunmus. Gerçek saticilar ve kisiler belirli merkezlerden sertifika alip yayinliyorlar ve ilan ettikleri sifrenin gerçekten kendilerine ait oldugunu teyit etme imkani sunuyorlar. Web sitesine baglanan ya da sayisal imzayla sifrelenmis mesaji alan kisi, sertifikayi veren kurulasa müracaat ederek aldigi bilgilerin dogrulugunu kontrol ediyor ve gelen bilgi ve sifrenin gerçekten söz konusu kisi ya da kurulusa ait olduguna emin oluyor.

Buraya kadar anlattiklarimdan daha da güvenli ve teorik olarak 1024 bit sifrelemeye esit oldugu söylenen bir teknoloji daha var. Kisaca SET (Secure Electronic Transaction = Güvenli elektronik ticaret) adiyla anilan bu teknolojiyi de gelecek ay ele alacagim.