Kriptoqrafiya

Eniqma maşınıİkinci dünya müharibəsində şifrələnmə üçün istifadə olunan maşın

Kriptoqrafiyayunanca Κρυπτός (gizli) və Γραφος (yazı) sözlərindən yaranmışdır.[1]

Müasir kriptoqrafiyanın predmeti informasiyanı bədniyyətlinin müəyyən əməllərindən mühafizə etmək üçün istifadə edilən informasiya çevirmələridir. Kriptoqrafiya konfidensiallığı, bütövlüyə nəzarəti, autentikasiyanı və müəlliflikdən imtinanın qeyri-mümkünlüyünü təmin etmək üçün tətbiq edilir.

Şifrləmə proseduru adətən müəyyən kriptoqrafik alqoritmdən və açardan istifadəni nəzərdə tutur. Kriptoqrafik alqoritm – məlumatların çevrilməsinin müəyyən üsuludur. Açar isə çevirmə üsulunu konkretləşdirir. Müasir kriptoqrafiya o prinsipdən çıxış edir ki, kriptoqrafik çevirmənin məxfiliyi yalnız açarın məxfi saxlanması ilə təmin edilməlidir.

Kriptoqrafiyanın yaşını heç kim bilmir, lakin kriptoqrafiya — "gizli yazı" mənasına görə də güman etmək olar ki, yazı ilə həmyaşdır, onunla bir vaxtda meydana gəlmişdir. Yazı təxminən e.ə. 3300-cü ildə Şumerdə, e.ə. 3000-ci ildə Misirdə, e.ə. 2000-ci ildə Çində yaranmışdır. Qədim Misir əlyazmalarında dini mətnlər və tibbi reseptlər qeyri-standart heroqliflərlə şifrlənirdi. Qədim sivilizasiyaların günümüzə gəlib çatmış tarixi sənədlərində şifrlənmiş məktubun tərtib edilməsi sistemləri və üsulları haqqında məlumatlar var.

İlk kriptosistemlər artıq bizim eranın əvvəlində meydana çıxır. Məsələn, məşhur Roma sərkərdəsi Yuli Sezar (e.ə. 100–44-cü illər) öz yazışmalarında indi onun adını daşıyan şifrdən istifadə edirdi.

Şifrləmənin simmetrik və asimmetrik adlanan iki əsas üsulu var:

Simmetrik şifrləmə

[redaktə | mənbəni redaktə et]

Simmetrik şifrləmə üsulunda eyni açar (gizli saxlanılan) həm məlumatı şifrləmək, həm də deşifrləmək üçün istifadə olunur. Olduqca effektiv (sürətli və etibarlı) simmetrik şifrləmə metodları var. Simmetrik şifrləmə alqoritmlərindən DES, 3-DES, IDEA, FEAL, Skipcack, RC2, RC4, RC5, CAST, Blowfish kimi blok şifrləri və bir sıra axın şifrləri (RC4, A5) daha geniş istifadə olunur.

Əsas nöqsanı: məxfi açar həm göndərənə, həm də alana məlum olmalıdır. Bu bir tərəfdən məxfi açarların tam məxfi kanalla göndərilməsi problemini yaradır. Digər tərəfdən alan tərəf şifrlənmiş və deşifrlənmiş məlumatın varlığı əsasında bu məlumatı konkret göndərəndən almasını sübut edə bilməz. Çünki belə məlumatı o özü də yarada bilər.

Asimmetrik şifrləmə

[redaktə | mənbəni redaktə et]

Asimmetrik kriptoqrafiyada iki açardan istifadə olunur. Onlardan biri açıq açar (sahibinin ünvanı ilə birlikdə nəşr oluna bilər) şifrləmə üçün istifadə olunur, digəri gizli açar (yalnız alana məlum) deşifrləmə üçün istifadə olunur. Rəqəmsal imza alqoritmlərində gizli açar şifrləmə, açıq açar isə deşifrləmə üçün istifadə edilir. Açıq açara görə uyğun gizli açarın tapılması çox böyük həcmdə hesablamalar tələb edir, hesablama texnikasının hazırkı inkişaf səviyyəsində bu məsələ qeyri-mümkün hesab edilir. Asimmetrik şifrləmə alqoritmlərinə misal olaraq RSA, ElGamal, Şnorr və s. alqoritmlərini göstərmək olar.

Əsas nöqsanı sürətin aşağı olmasıdır. Buna görə onlar simmetrik metodlarla birgə işlədilir. Məsələn, açarların göndərilməsi məsələsini həll etmək üçün əvvəlcə məlumat təsadüfi açarla simmetrik metodla şifrlənir, sonra həmin təsadüfi açarı alan tərəfin açıq asimmetrik açarı ilə şifrləyirlər, bundan sonra məlumat və şifrlənmiş açar şəbəkə ilə ötürülür.

Asimmetrik metodlardan istifadə etdikdə, (istifadəçi, açıq açar) cütünün həqiqiliyinə zəmanət tələb olunur. Bu məsələnin həlli üçün rəqəmsal sertifikatdan istifadə edilir. Rəqəmsal sertifikat xüsusi sertifikasiya mərkəzləri tərəfindən verilir. Rəqəmsal sertifikatda aşağıdakı verilənlər olur: sertifikatın seriya nömrəsi; sertifikatın sahibinin adı; sertifikatın sahibinin açıq açarı; sertifikatın fəaliyyət müddəti; elektron imza alqoritminin identifikatoru; sertifikasiya mərkəzinin adı və s. Sertifikat onu verən sertifikasiya mərkəzinin rəqəmsal imzası ilə təsdiq edilir.

Bütövlüyə nəzarət üçün kriptoqrafik heş-funksiyalar istifadə edilir. Heş-funksiya adətən müəyyən alqoritm şəklində realizə edilir, belə alqoritm ixtiyari uzunluqlu məlumat üçün uzunluğu sabit heş-kod hesablamağa imkan verir. Praktikada 128 bit və daha artıq uzunluqda heş-kod generasiya edən heş-funksiyalardan istifadə edilir.

Heş-funksiyanın xassələri elədir ki, onun köməyi ilə alınan heş-kod məlumatla "möhkəm" bağlı olur. Məlumatın hətta bir biti dəyişdikdə belə heş-kodun bitlərinin yarısı dəyişir. Heş-funksiyaya misal olaraq MD2, MD4, MD5, RIPEMD, SHA1 və s. alqoritmlərini göstərmək olar.

Misal. ‘1234567890’ sətri üçün SHA1 heş-funksiya alqoritminin hesabladığı heş-kod 16-lıq say sistemində 01B307ACBA4F54F55AAFC33BB06BBBF6CA803E9A simvollar ardıcıllığıdır.

Kriptoqrafiyanın tətbiqi sahəsində dünya ölkələrinin təcrübəsi

[redaktə | mənbəni redaktə et]

Elektron Gizlilik İnformasiya Mərkəzi (Electronic Privacy Information Center, EPIC) 1998-ci ildə əksər dünya ölkələrində kriptoqrafiya sahəsində milli siyasət və qanunvericiliyin vəziyyəti barəsində hesabat hazırlamışdı. Bu hesabatda ölkələr qəbul etdikləri və həyata keçirdikləri kriptoqrafiyaya nəzarət siyasətinin xarakterindən asılı olaraq yaşıl, sarı və qırmızı rənglə şərti işarələnmiş üç qrupa bölünüb:

  • yaşıl qrup – kriptoqrafiyanın tətbiqini praktiki olaraq məhdudlaşdırmayan ölkələr;
  • sarı qrup – ölkə daxilində kriptoqrafiyanın tətbiqi və ikili təyinatlı proqram vasitələrinin ixracına müəyyən nəzarəti həyata keçirmək niyyətində olan ölkələr:
  • qırmızı qrup – kriptoqrafiyaya və ölkə daxilində onun tətbiqinə nəzarət edən ölkələr.

Hesabatın analizi göstərir ki, hazırda dünya ölkələrinin əksəriyyətində kriptoqrafiyanın tətbiqinə nəzarət yoxdur, informasiyanın kriptoqrafik mühafizəsi vasitələri hər hansı məhdudiyyət olmadan istehsal oluna, istifadə edilə və satıla bilər (yaşıl qrup). Kriptoqrafiya vasitələrinin tətbiqinə ciddi nəzarət edilən qırmızı qrupa Belarus, Çin, İsrail, Pakistan, RusiyaSinqapur daxildir. Yeni nəzarət tədbirlərinin tətbiqini nəzərdən keçirən ölkələr ABŞ, Hindistan və Cənubi Koreyadır. Bununla yanaşı, hazırda ABŞ müxtəlif ölkələrdə tətbiq edilən kriptoqrafik açarlara beynəlxalq nəzarətin həyata keçirilməsini və bu açarların Braziliya, Sinqapur və Cənubi Afrika Respublikası kimi ölkələrə verilməsini təklif edir. Kriptoqrafiya siyasətinin əsas prinsipləri İqtisadi Əməkdaşlıq və İnkişaf Təşkilatı (İƏİT) kriptoqrafik mühafizə vasitələrindən istifadəyə nəzarətin zəifləməsi ilə bağlı beynəlxalq səviyyədə müşahidə edilən tendensiyaya əsaslanaraq, 1997-ci ildə "Kriptoqrafiya sahəsində siyasətin əsas prinsipləri"ni qəbul etdi. Prinsiplər baxılan məsələdə dövlətin və fərdlərin maraqları arasında kompromis tapmağa yönəlmişdi. Hökumətlərə tövsiyə olunurdu ki, şəxsi həyatın toxunulmazlığı hüququna hörmətlə yanaşaraq, milli təhlükəsizlik və hüquq-mühafizə orqanlarının maraqlarını nəzərə alaraq, biznes əməliyyatlarını qorumaq üçün də kriptoqrafiyadan istifadəyə kömək etsinlər. Əsas prinsiplər aşağıdakıları əhatə edir:

  1. Kriptoqrafik metodlara etimad. Kriptoqrafik metodlar informasiya və kommunikasiya sistemlərinin istifadəsində etimad yaratmaq üçün etibarlı olmalıdır.
  2. Kriptoqrafik metodların seçilməsi. İstifadəçilərin qüvvədə olan qanuna uyğun hər hansı kriptoqrafik metodu seçmək hüququ olmalıdır.
  3. Kriptoqrafik metodların istifadəçilərin tələbatı əsasında işlənilməsi. Kriptoqrafik metodlar fərdlərin, biznes sektorunun və dövlətin ehtiyacları, tələbatı və məsuliyyəti əsasında inkişaf etdirilməlidir.
  4. Kriptoqrafik metodlar üçün standartlar. Milli və beynəlxalq səviyyədə kriptoqrafik metodlar üçün texniki standartlar, meyarlar və protokollar işlənilməli və qəbul edilməlidir.
  5. Şəxsi həyatın toxunulmazlığı və fərdi məlumatların qorunması. Milli kriptoqrafiya siyasətində və kriptoqrafik metodların reallaşdırılması və istifadəsində yazışmaların gizliliyi və fərdi məlumatların qorunması da daxil olmaqla, əsas insan hüquqlarına hörmət edilməlidir.
  6. Qanun əsasında giriş. Milli kriptoqrafiya siyasəti qanun əsasında açıq mətnə, kriptoqrafik açarlara və ya şifrlənmiş məlumatlara girişə icazə verə bilər. Belə siyasət bu Prinsiplərdə öz əksini tapan digər prinsiplərə mümkün dərəcədə uyğun olmalıdır.
  7. Məsuliyyət. Müqavilə və ya qanunvericiliklə müəyyən edilməsindən asılı olmayaraq, kriptoqrafik xidmətlər təklif edən, kriptoqrafik açarları saxlayan və ya istifadə edən şəxslərin və ya təşkilatların məsuliyyəti aydın şəkildə ifadə edilməlidir.
  8. Beynəlxalq əməkdaşlıq. Hökumətlər kriptoqrafiya siyasətlərini koordinasiya etmək üçün əməkdaşlıq etməlidirlər. Bu əməkdaşlığın bir hissəsi kimi, hökumətlər kriptoqrafiya siyasəti adından ticarətə əsassız maneələr yaradılmasının qarşısını almalı və ya maneələri aradan qaldırmalıdırlar.
  • Əliquliyev R.M., İmamverdiyev Y.N. Rəqəm imzası texnologiyası, Bakı, Elm, 2003. – 132 с.
  • Галатенко В.А. Основы информационной безопасности, Москва, 2004. – 264 с.
  • Əliquliyev R. M., İmamverdiyev Y. N. İnformasiya cəmiyyətində milli kriptoqrafiya siyasətinin formalaşdırılması problemləri / İnformasiya cəmiyyəti problemləri, 2015, №1. s.16–17.
  1. "Cert.az — Kriptoqrafiya". 2022-03-14 tarixində arxivləşdirilib. İstifadə tarixi: 2011-10-06.

Xarici keçidlər

[redaktə | mənbəni redaktə et]