Bedava USB Çubuk! Kim İstemez?

Yaklaşık 10-12 sene önce, TOBB Üniversitesinde öğretim üyesi olarak çalışmaya başladığım ilk yıllardı. Kullanılabilir Güvenlik (grafik parolalar) konusunda önerdiğim proje Tübitak tarafından desteklenmeye layık görülmüştü. Bu benim yürütücülüğünü yaptığım ilk projemdi ve oldukça motive bir şekilde konu ile ilgili önüme çıkan neredeyse her şeyi okuyordum. Bu okumalarımdan bir tanesi Peter Gutmann’ın Engineering Security isimli kitabıydı. Bu kitabın konuları itibariyle çok iyi organize olmadığını, bir şeyler öğretmekten çok, öğrenecek ne çok şey var duygusunu uyandırmakta başarılı olduğunu hatırlıyorum. Fakat, kitapta dikkatimi çeken ve hatırımda kalan konulardan bir tanesi şu oldu:

Kitapta ABD’de bir üniversitede yapılan bir kullanıcı çalışmasından bahsediliyordu. Üniversite’deki umuma açık bilgisayarlardan İnternet’e girişte güvenliği artırma için bedava dağıtılan bir USB çubuğun öğrenciler tarafından ne ölçüde talep gördüğüne dair istatistik ilginçti: % 0. Evet yanlış okumadınız, bedava bir donanım dağıtıyoruz ve bununla İnternet’e daha güvenli bağlanacaksınız diye sunulan bir imkanı kullanmak isteyen hiçbir öğrenci olmamıştı koca üniversite’de (aşağıdaki şekil yukarıda bahsedilen kitabın 177. sayfasından alınmıştır)

Sonraki yıllarda doğrudan Kimlik Doğrulama için değil ama Elektronik İmza amacıyla pek çok ülkede olduğu gibi ülkemizde de USB çubuk kullanımının (veya kullanmaya çalışmanın 😊) yaygınlaştığına şahit olduk. Ne zamanki bu çubukların kullanımı ile ilgili bir sıkıntı ile karşılaştım o zaman şu yukarıdaki istatistik aklıma geliyordu, % 0 diyordum kendi kendime. % 1 bile değil.

Sene 2020 oldu. Malum salgın günleri, kargo gönderimi vs. iyice sıkıntı. Azmettim. Tübitak Teydeb sisteminde uzun zamandır mevcut olan ama kargoyla göndermek daha kolayıma geldiği için kullanmaya teşebbüs etmediğim e-imza ile çevrimiçi proje değerlendirme raporu gönderimini bu sefer mutlaka deneyecek ve elbetteki başarılı olacaktım. Tüm sistemlerde ilk başta belli aksaklıklar olabilirdi değil mi ama zaman içerisinde otururdu her sistem. Ben denemeyeli mutlaka e-imza kurulumu daha kolaylaşmış olmalıydı. Hem de neticede Bilgisayar mühendisliği bölümünde profesör değil miydim? Ben kuramazsam kim kurabilirdi ki? Sabredersem, kullanıcı kılavuzunu dikkatli okursam, tekrar tekrar denersem bir şekilde bu işi becerebilirdim öyle değil mi? …

Maalesef yine umduğum gibi olmadı. En az 2 saatlik uğraşılarım yine sonuçsuz kalmıştı. E-imzayı kuramamıştım. Yine bana kargo yolu gözükmüştü.

Şimdi bana soruyorlar. Diyorlar ki mobil telefon ile ikinci faktör kimlik doğrulama yerine özel donanımsal çözümlere nasıl bakıyorsun? Ben de uzun uzun yukarıdaki gibi anlatamıyorum tabii. İşbu blog yazısını da bu sebeple yazdım. Artık diyebilirim ki ben bu konuda bir blog yazısı yazdım. Dilerseniz linkini vereyim.

Son yıllarda konu ile ilgili nasıl gelişmeler oldu? Biraz da bu konuda bildiklerimi aktarayım. U2F diye bir standart çıktı. Yubikey, vb. firmalar bir anlamda atılım yaptı tarayıcı desteği falan da gelince bu konuda. E-imza çubuklarının aksine bu tür daha kimlik doğrulama özelinde geliştirilmiş donanımların daha başarılı olacağını ben de otomatik olarak düşündüm. Konuyu biraz daha araştırınca çok yeni bir çalışma ile karşılaştım. Bu çalışmada kullanışlılık konularında yani bu USB cihazların kurulumu ve kullanımı konularında hala ciddi problemler olduğuna değiniliyor. Sayfa 6’daki bir paragrafın Türkçesi aşağıda. Artık ben ilave bir yorum yapmayayım.

“Test edilmiş işletim sistemlerinde, sadece bir anahtarı kaydetmek için gerekli adımların sayısı nedeniyle değil, aynı zamanda kullanıcıların hesaplarına erişimi kaybetmemek için farkında olmaları gereken durumlar sebebiyle, talimatlar olmadan hakim olunamayacak ölçüde kurulum sürecinin karmaşık olduğunu keşfettik.”

Bir de e-imza konusundaki bir gelişmeden bahsedeyim. Ülkemizde 5070 sayılı e-imza kanunu “münhasıran imza sahibine bağlı olan” şartını koyduğu için genel anlayış bu şartın ayrı bir fiziksel donanım (USB çubuk) ile sağlanması gerektiği yönünde şekillenmiş durumda. Avrupa Birliğindeki yeni çıkan eIDAS isimli yönetmelik ise artık güvenliğin sağlanması koşulu ile uzakta (bulutta) tutulan bir özel anahtar ile de yasal geçerliliği olan bir elektronik imzanın atılabilmesinin önünü açtı. Çok yakından incelemiş değilim ama USB çubuk, vb. donanımlar ile ilgili başta kullanılabilirlik olmak üzere yaşanmış farklı problemlerden dolayı ve e-imzanın yeteri kadar yaygınlaşamamış olmasından ötürü böyle bir açılım yapılmış olduğunu tahmin ediyorum. Ülkemizde de er veya geç bu gelişme uygulamaya yansıtılacaktır diye değerlendiriyorum.

Tüm bu söylediklerimi özetlemek gerekirse, özel donanımlar ile iki faktörlü doğrulamanın çok yaygınlaşacağını öngörmüyorum. Bu tür donanımların varlığına rağmen akıllı telefonlar yaygınlaşmadan önce ikinci faktör için SMS tek kullanımlık kodların çok büyük oranda tercih edilmesi de benim bu öngörümü destekliyor. Fakat SMS ile doğrulamanın güvenlik problemlerinin iyice ayyuka çıkması, akıllı telefonların yaygınlaşması ve neredeyse bu telefonlara sahip olmayan hiç kimsenin kalmaması gibi sebeplerden ötürü gelecekte mobil telefon uygulamaları ile bu önemli ihtiyacın karşılanması çok büyük oranda tercih edilecektir diye düşünüyorum. Tavsiyem, şirket olarak bireysel kullanım için ücretsiz olarak kullanıma açtığımız ve tamamen yerli ve milli bir çözüm olarak geliştirilen SecurifyID uygulamasını (Android ve iOS) kullanmanız. Sağlıcakla ve güvenli kalın.

Leave a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*