Veri Koruma ve Güvenlik

    

VII

Tanimlama ve Varlik Kimlik Dogrulama

    

VII.II

Sifreler

    
   
 

Unix Sifrelerinin Özellikleri

Eksikliklerinin yaninda, incelemeye degecek bazi hos özellikleri de vardir. Bunlar:

  • (okuma yazma korumali) Bir sifre dosyasinin içinde saklamak yerine, sifrelenmis (encrypted) sifreler yalnizca yazma korumali (veya okuma ve yazma korumali, asagidaki soruya bakiniz) bir dosyanin içinde saklanir.
  • Sözlük saldirilarinin etkisini azaltmak için, her bir sifre, baslangiç girisinin üstünde, sistem saatinden alinan 12 bitlik karakter dizisi (tuz (salt)) ile arttirilir.
  • DES tuz ile degistirilmis haliyle uygulanir, böylece az bir kaynak ile standard DES çiplerini kullanarak yapilmaya çalisilan saldirilar engellenir.
  • DES fonksiyonunu 25 kere tekrarlamak, çok sayida sifrelerin denenmesini içeren saldirilarin yavaslamasini saglar.

Sifreleri dogrulamak için, eger sunucu basitçe sifreleri dogrudan sakliyorsa, sifre listesi çok dikkatli bir sekilde korunmasi gerekir. Bunun yaninda, çogunlukla sistemler yedek aldiklari için, eger yedekler sistemin kendisi gibi korunmazsa, saldirgan sifre listesini yedeklerden elde edebilir. Bundan dolayi, Unix gerçek sifre listesini tutmaz. DES i sifrelemek (encryption) için kullanmak yerine, Unix onu tek yönlü fonksiyon olarak çalistirir, yazilan sifreyi giris olarak alir ve gerçek sifrenin hash inin çikis ile ayni olup olmadigini kontrol eder.

Unix in kullandigi tuzlama (salting) teknigi asagida anlatildigi gibidir. Sifreye sahip olan her bir kullanici için, sistem rasgele bir sayi seçer (tuz degeri) ve onu sifre dosyasinin içinde düz metin olarak saklar. Sistemde saklanan hash degeri tuz ve sifre degerlerinin kombinasyonlarinin hashidir. Dogrulamak için, hesaplanan hash girilen sifre ile saklanan tuzun hashidir. Bu basit teknik kisisel sifreleri tahmin etmeyi zorlastirmaz çünkü tuz degerlerini, sifre dosyasini ele geçiren saldirganlar düz metin olarak elde ederler. Bununla beraber her bir sifre için farkli bir tuz kullanildigi için, bir kere hash islemi gerçeklestirerek, sifre dosyasindaki herhangi bir sifreye uyup uymadigini kontrol etmek saldirgan için imkansiz hale gelir.

 

    

VII.II.III S

[+] Soru

[-] Soru

Baslangiçta, standart Unix sistemleri sifre dosyalarini herkes tarafindan ulasilabilir yapmislardi, çünkü düz metin sifreler yerine, sifrenin kendisi gibi kullanilamayacak, her bir sifrenin tek yönlü hash ini sakliyorlardi. Bir çok sistem su anda degistirildi ve sifre dosyalari ayrica okuma korumali yapildi. Bu degisikligin sebebi nedir ( ipucu: çevrim disi sözlük saldirilarini hatirlayin) ?

    

VII.II.IV S

[+] Soru

[-] Soru

Yeni versiyon Unix in tek yönlü hash algoritmasini (örnegin SHA-1) kullandigini varsayalim. Figür 1 i DES yerine SHA-1 olacak sekilde degistirebilirmiyiz?

    
   
       
 
« önceki oturum [1] [2] [3] [4] [5] sonraki oturum »
   
       
 
« önceki bölümden devam et sonraki bölümden devam et »
  bölüm indeksi