Verilerinizi Gerçekten Sildiniz mi?

 

Kullanışlı güvenlik deyince akla hemen gelen konular var: Parolaların hatırlanma zorluğu, PKI gibi güvenlik teknolojilerinin karmaşıklığı, antivirüs ve benzeri yazılımların performans etkileri vb. Bugün hemen hergün belki de yanlış olarak kullandığımız ve kullanışlı güvenlik kavramı içerisinde çok da düşünmediğimiz bir konu hem de gayet önemli bir konuda bir kaç söz söylemek istiyorum.

Simson Garfinkel ve Abhi Shelat 2002 yılında yazdıkları makalede ve Kevin Mitnick The Art of Deception (Aldatma Sanatı) kitabında bahsettikleri güvenlik problemi şu: ikinci el satın alınan veya çöp karıştırırken bulunan hard disk ve benzeri veri depolama aygıtlarının üzerinde silinmesi unutulan veya silinmiş zannedilen hassas bilgilerin varlığı. 

Garfinkel ikinci el olarak aldığı harddisklerde hangi bilgilerin olduğuna ilişkin bir liste vererek bu problemin ne kadar ciddi olduğunu  önce bizleri ikna ediyor. Daha sonra bu problemin sebebini açıklıyor. Sebep bize oldukça tanıdık: Bilgisayar kullanımının oda dolusu devasa mainframe yapılardan günümüz kişisel ve mobil cihazlara zamanla kayması esnasında bazı önemli noktaların yazılım geliştiriciler tarafından atlanmış olması. Garfinkel MS-DOS’daki FORMAT komutunun kullanılmasının gerçekte sadece dosya sisteminden ilgili dosyaya erişim bilgisinin silinmesi anlamına geldiğini ve iddiaların aksine bunun bilinçli bir tercih olamayacağını söylüyor. Sonrası ise malum, basit bir yanlışı düzeltmek zaman geçtikçe çok daha zor bir hale geliyor.

Makalenin computer forensik  taraflarına girmeyeceğim. Kullanışlılık adına yapılan hata ise bariz: FORMAT komutu çalıştırıldığında  kullanıcının karşısına çıkan aşağıdaki uyarı mesajının yanlış anlamalara sebep vermesi (işlemin oldukça uzun sürmesi de yanlış anlamalara kuvvet veriyor). 

“ALL DATA ON NON-REMOVABLE DISK DRIVE C: WILL BE LOST”

Böyle bir mesajı okuyan bir kişinin verilerin gerçekten de silindiğinin düşünmesi kadar doğal birşey olamaz herhalde. Tabii 2009 yılına geldiğimizde biraz da konu üzerinde ilgili yazılı ve görsel basının durmasının ardından biraz daha bilinç oluşmuş durumda.

Bu bilinçle birlikte işletim sistemlerinde bilhassa Windows’da bu konuda gözle görülür bir iyileştirme sanırım henüz yok. Halbuki yapılacak olan işlem belli: verileri gerçekten silmek için üzerine birkaç kez yeni veri yazmak. Gerçi verilerin üzerine birkaç kez tekrar veri yazmanın nihai çözüm olmadığı biliniyor (bkz: Secure Deletion of Data from Magnetic and Solid-State Memory) ama bu yönde doğru bir adım olacak bu işlem elbetteki.

Garfinkel başka bir yazısında (bkz: Security and Usability: Designing Secure Systems that People Can Use, Chapter 15) Mac işletim sisteminde nasıl bu yönde doğru adımlar atıldığını fakat kullanışlı bir arayüz geliştirilmesi konusunda yanlışlıkların da olduğunu anlatıyor. Mesela bu işlem için kullanılması gereken tanımlamanın Güvenli Çöp Boşaltma (Secure Emptry Trash) gibi ne anlama geldiği anlaşılmaz bir ifade değil de İmha Makinesi (Shredder) olması gerektiğini belirtiyor.

Ben de bu kağıt kırpma makineleri ne işe yarar diye düşünüp duruyordum. Halbuki yaşamsal öneminin olduğunu en azından bazı ortamlarda şu an anlamış bulunmaktayım.

Not: Böyle yazınızın başkaları tarafından saklandığı ve yayınlandığı ortamlarda ise verinizi gerçekten silme gibi bir imkanınız kesinlikle yok. Bu durum ve beraberinde getirebileceği olası problemler ise ayrı bir yazı konusu.

SSL uyarıları

Merhaba,

Her hafta TOBB ETÜ’de yapmaya çalıştığımız okuma grubunda bu haftayı SSL uyarılarının etkinliğini inceleyen bir makaleye ayırdık. Bruce Schneier bu çalışmayı “bildiğimizi kanıtlayan araştırma” olarak özetlemiş. Evet gerçekten de SSL uyarılarının genelde dikkate alınmadığını, insanların bu uyarıları rahatsızlık olarak gördüklerini vs. uzun uzun anlatmaya gerek yok. Peki makalede kayda değer neler var?

Öncelikle satır aralarında Firefox 3 geliştiricilerinin ilk başta kullanıcıların SSL uyarılarını atlayabilmesi için 11 adımdan geçer bir sistem kurduklarını fakat biraz da IE’a geçiş olur korkusuyla bunu nasıl 4 aşamaya indirdikleri gibi ilginç bilgiler bulunuyor.

Ama daha önemlisi yazarların daha etkin SSL uyarıları geliştirme yönünde başarısız olduklarını deneylerle kanıtladıkları bilgisini okuyorsunuz. Varılan sonuç SSL uyarıları yerine güvensiz bağlantılara hiç bir şekilde izin vermeyen bir sistem kurulmasının gerekliliği. Herhalde böyle bir şey en çok Verisign gibi CA’leri sevindirir. Yoksa üniversite web e-posta sunucusu vs.’ye böyle bir sertifika yüklemesi gereken büyük bir çoğunluk bu öneriye burun kıvıracakladır. Haklılar ama kararı onlar vermiyor maalesef. Nedense bu sonuç cümlesini okuyunca web tarayıcısı olarak sadece IE olmamasının ne kadar da iyi bir şey olduğunu hissettim. İyi ki varsın Firefox ve diğerleri.

Kendi önerilerinin başarısız olduğunu gösteren çalışmaların iyi güvenlik konferanslarında yayınlanması bir ilk değil. Bu durumun makale sahiplerinin kim olduklarıyla ilişkili olduğunu söylemek biraz kolaya kaçmak olabilir. Makaleyi okurken geçenlerde katıldığım SOUPS 2009 tutorial’inde  Roy Maxion‘un üzerinde ısrarla durduğu bir konuyu hatırladım. Roy bazı güvenlik uzmanlarının kullanışlılık deneyleriyle ilgili verilen bilgiyi sıkıcı bulabildiklerini hayretle aktarmıştı. Kullanışlı Güvenlik konusunda ilerlemenin ancak tekrar edilebilir deneyler yoluyla mümkün olduğunu ve yapılan deneylerin ayrıntılarının bilinmemesinin bu alanda mesnetsiz iddialar dışında elle tutulur bir şey olmaması sonucunu doğuracağına ben de inanıyorum. 

Titiz bir deney sonrasında gerekli ayrıntıda bir anlatım ve analiz bu makalede de kendini hissettiriyor. Yine de makale özünde iddia edilen kendi SSL uyarılarının mevcut uyarılardan daha iyi olduğu savının biraz havada kaldığını düşündüğümü de ekleyeyim.

Son olarak yapılan deneylerde 10-20 dolar gibi paralar dağıtılması ile katılımcıların %69′unun Hindistan doğumlu olması arasında nasıl bir ilişki olduğunun makalenin ilginç sonraki çalışmalarından biri olabileceğini bir şekilde Lorrie’ye iletmeyi siz değerli okuyuculara bırakıyorum demek isterim.

Kullanışlı Güvenlik Konferansı

Uzun zamandır geçen ay katıldığım SOUPS 2009 konferansı ile ilgili bir şeyler yazmak istiyordum. Kısmet bugüne imiş.

Güvenlik teknolojisinin hızla ilerlemesine rağmen güvenlik problemleri azalmıyor aksine artıyor. Bunun önemli bir sebebi varolan güvenlik teknolojilerinin kullanışlılığının düşük olması. Başka bir ifadeyle teknoloji geliştirilirken insan unsurunun ihmal edilmesi. Bu konuda çok şeyler yazılabilir hatta daha önce birkaç yazımızda bu konuya değindik. Fakat bugün ben yukarıdaki tespit ile başlamış ve bu sene beşinci düzenlenen konferans ile ilgili yazacağım.

Konferans Google sponsorluğunda ve evsahipliğinde yapıldı. O yüzden hem konferans ücreti düşüktü hem de bize iyi baktılar orda  Google kafeteryalarında her saat  açık büfe yiyecek içecek bulunuyor. Seneye Microsoft evsahipliğinde Redmond, WA’da olacak SOUPS 2010. Makale (veya poster) göndermeyi şiddetle öneririm konuyla ilgili olanlara.

Konferansın açılış konuşmasını Google’da yönetici olarak çalışan Eric Sachs yaptı. Endüstrinin bu konuya olan yoğun ilgisinin bir başka kanıtı idi sanki konuşması. OpenID (tüm İnternette tek bir sayısal kimlik kullanımı)projesinin büyük şirketlerce sürüklenmeye çalışıldığını ve böyle bir sistemin kullanışlı olması için yapılan çalışmalar vs. konularının gündemde olduğunu öğrendik sayesinde.

Poster oturumunda daha önce IFIPTM konferansında sunduğumuz çalışmayı anlattık. Çok güzel yorumlar aldık. Paul Van Oorschot bilhassa ilgilendi çalışmamızla.

Programdaki konuşmaların hepsinden bahsedemeyeceğim. Fakat iki sunumdan kısaca bahsetmek istiyorum. 

Carnegie Mellon üniversitesinden SOUPS konferanslarının da genel başkanı Lorrie Cranor‘un grubunun bir çalışması phishing (olta saldırıları) üzerine idi.  Tabii bu konu eski, ne yapmışlar diye burun kıvırdığınızı tahmin ediyorum. Ama bu saldırılar hala yapılıyor (bana gelen maillerden öyle tahmin ediyorum). Makaledeki ana fikir yani insanların tam ihtiyaç duyduğu anda (gelen olta saldırısı e-postasındaki linke tıkladığı anda) eğitilmesi fikri bana oldukça orjinal geldi. Ayrıntılar makalede.

Bir diğer çalışmada Video CAPTCHA fikri sunuldu. Kullanışlı güvenlik konferansında böyle kullanışsız çözümlerin kabul edilmiş olması beni bu konuda daha çok şeyler yapılması gerektiği konusunda heyecanlandırdı açıkçası.

Bu konuda şu an mümkün mertebe fazla okuma yapmaya çalışıyorum. Ülkemiz içinde oldukça yeni bir konu. Bu konuda bir ders vermek çok faydalı olabilir. Bu fikri hayata geçirmek üzere öncelikle şu dökümanı inceledim. Okunması gereken daha onlarca makale var pek tabii ki.

(Bir de usable security’ye karşılık olarak kullanışlı güvenlik mi kullanılabilir güvenlik mi demeliyiz karar veremiyorum. Sözlükten tekrar baktım iki anlama da geliyor)

802.11 Ağlarında Servis Engelleyici Saldırılar ve Karşı Koyma Yolları

Bir çok araştırmacı gibi Larry Peterson da yazmış olduğu bilgisayar ağları kitabında güvenlik konusunda ucu açık problemlerden en önemlilerinden birinin servis engelleyici saldırılar (ing: denial of service attacks) olduğunu belirtmekte. Telsiz yerel alan ağlar kapsamında bu konudaki çalışmaları İngilizce olarak yayınlanmış makalemizde özetlemeye ve bir güvenlik modeli içerisinde tüm yönleriyle ele almaya çalıştık. İlgili olanlara duyurulur.

Bastır Şamata

2005 yılında SHA-1 standardında ortaya çıkarılan güvenlik açıklarından sonra NIST’in SHA-3 adını vereceği yeni özet fonksiyonu (hash function) için açmış olduğu yarışma için gönderimler tamamlandı. Türkiye’den iki katılım var: Shamata ve Sarmal. Yarışma sürecini takip etmek için bu siteyi kullanabilirsiniz. İlk turu atlayanların 2009′un 2. çeyreğinde duyurulacağı ve 2012′nin 2. çeyreğinde ise kazananın açıklanacağı bilgisinin yer aldığı yarışma takvimi ise burada.

İnternet enerji krizini çözer mi?

 

Andrew Odlyzko son yazılarından birinde İnternet’in enerji krizindeki rolünü tartışıyor. Yazısının başında en az 1839′dan bu yana haberleşme ve ulaşımın birbirinin yerine geçebileceğini söyleyenlerin olduğunu fakat her seferinde bu görüşlerin yanlış olduğunun daha sonrasında anlaşıldığını aktarıyor ve bu yanılgının “Beraber büyüme“ diye nitelendirdiği olgunun anlaşılmamış olması ile açıklıyor. Odlyzko daha sonra tarihte ulaşım sektörünün gelişmesinin kullanılan enerjinin devamlı olarak ucuzlaması ile mümkün hale geldiğini fakat günümüz şartlarının ise daha farklı olduğunu söylüyor. Sonuç olarak, önümüzdeki dönemde İnternet’in ulaşımın yerine geçebileceğini ama bunun trafik sıkışıklığından rahatsız olmamız veya telekonferans yapmayı çok sevmemizden dolayı değil de ulaşım maliyetlerinin çok yükselmesinden dolayı olacağını tahmin ediyor.

Güvenlik Şirketi Çalışanları İçin Güzel Bir Haber

Bir bilişim güvenliği şirketinde halkla ilişkiler veya müşteri hizmetleri biriminde çalışıyorsunuz, şirketinizin geliştirmiş olduğu en son üründe ortaya çıkan güvenlik açıkları sebebiyle devamlı şikayet telefonları alıyorsunuz ve ne yapacağınızı bilemez bir haldesiniz. Size çok güzel bir haberimiz var, artık müşterilere ikna edici cevaplar vermek, mantıklı bir özür beyanında bulunmak veya durumun hiç de anlatıldığı gibi kötü olmadığını anlatmak  çok kolay. Tek yapacağınız bu web sayfasını ziyaret etmek. Bir kaç özrün türkçesini aşağıya listeliyorum:

• Hiçbir şey %100 güvenli değildir.
• Biz ürünümüzün yeteri kadar güvenli olduğunu düşünüyoruz.
• Sizin daha iyisini yapabileceğinizi görmek isteriz.
• Biz Schneier’in kitabını (da) okuduk.
• Bahsettiğiniz açığın başkaları tarafından da düşünülmüş olması imkansız.
• Hangi tür insan bu tip açıkları arar?
• Siz bir paranoyaksınız.
• Avukatlarımız sizinle (o kişiyle) bağlantıya geçecek.
• Bu bahsettiğiniz müşterilerimizin istediği bir özellik.
• Hiç kimse mükemmel değildir.

10 soruda Açık Anahtar Altyapısı

Açık Anahtar Altyapı (AAA) Teknolojisi günlük hayatımıza girmeye başladı (Link1 ve Link2). Her yeni teknolojide olduğu gibi bu projelerin başarısı için de teknik detayların mümkün olduğu ölçüde son kullanıcıdan saklanması önemli. Ama karar vericilerin, yöneticilerin ve işin teknik tarafında olanların temel bazı bilgilerle donanmış olması gerekiyor. AAA bilgisini ölçmek isteyenler için hazırladığımız aşağıdaki küçük test umarım bu açıdan faydalı olur.

AÇIK ANAHTAR ALTYAPISI

TEST SORULARI

 

1.)      Açık Anahtar Altyapısı (AAA) ile ilgili aşağıdakilerden hangisi doğrudur?

a.) AAA sadece açık anahtar şifrelemesinin güvenli çalışması için gereklidir.

b.) AAA sadece sayısal imzanın güvenli çalışması için gereklidir.

c.) AAA hem açık anahtar şifrelemesinin hem sayısal imzanın güvenli çalışması

     için gereklidir.

d.) AAA olmazsa açık anahtar şifrelemesi klasik şifreleme gibi çalışır.

e.) Hem imza hem şifre kullanıldığı durumlarda AAA’ya ihtiyaç kalmaz.

 

2.)      Sayısal imza aşağıdaki işlevlerden hangisi veya hangilerine sahiptir?

a.) Mesaj göndereni tanıma     

b.) Mesaj bütünlüğü     

c.) İnkar-edememe     

d.) Hiçbiri     

e.) Hepsi

 

3.)      Sayısal imza, Elektronik İmza ve Islak imza ile ilgili olarak aşağıdakilerden hangisi

          doğrudur?

a.) Islak imzanın tarayıcıdan geçirilerek sayısal forma dönüştürülmesi ile sayısal imza

     üretilebilir.

b.) Islak imzanın tarayıcıdan geçirilerek sayısal forma dönüştürülmesi ile elektronik imza

     üretilebilir.

c.) Bu üçü arasında en güvenilir olanı ıslak imzadır.

d.) Bu üçü arasında en güvenilir olanı sayısal imzadır.

e.) Bu üçü arasında en güvenilir olanı elektronik imzadır.

 

4.)    Ayşe’nin Bora’ya sayısal imzalı bir mesaj göndermesi ve Bora’nın bu mesajı doğrulaması sırasında aşağıdaki anahtarlardan sırası ile hangileri kullanılır?

a.) Bora’nın açık anahtarı – Bora’nın gizli anahtarı

b.) Ayşe’nin açık anahtarı – Ayşe’nin gizli anahtarı

c.) Bora’nın gizli anahtarı – Bora’nın açık anahtarı

d.) Ayşe’nin gizli anahtarı – Ayşe’nin açık anahtarı

e.) Bora’nın açık anahtarı – Bora’nın açık anahtarı

 

5.)    Ayşe’nin Bora’ya şifreli bir mesaj göndermesi ve Bora’nın bu mesajı çözmesi sırasında aşağıdaki anahtarlardan sırası ile hangileri kullanılır?

a.) Bora’nın açık anahtarı – Bora’nın gizli anahtarı

b.) Ayşe’nin açık anahtarı – Ayşe’nin gizli anahtarı

c.) Bora’nın gizli anahtarı – Bora’nın açık anahtarı

d.) Ayşe’nin gizli anahtarı – Ayşe’nin açık anahtarı

e.) Bora’nın açık anahtarı – Bora’nın açık anahtarı

 

6.)    Sayısal İmzanın doğrulanması işleminde aşağıdakilerden hangisi kullanılmaz?

a.) Özet algoritması           

b.) İmza            

c.) İmza doğrulama algoritması            

d.) Açık anahtar        

e.) Gizli anahtar

 

7.)    Sayısal İmzanın güvenliği için aşağıdakilerden hangisi gerekli değildir?

a.) Açık Anahtar Altyapısı

b.) İmzalayan kişinin gizli anahtarının gizliliği

c.) İmzayı onaylayan kişinin gizli anahtarının gizliliği

d.) İmzalayan kişi ile açık anahtarı arasında güvenli bir bağ

e.) Sayısal imza algoritmasının güvenli çalışması

 

8.)    Sayısal sertifikalar ne işe yarar?

a.) Sayısal imzanın doğru çalışıp çalışmadığının kontrolünü sağlar.

b.) Sayısal imza doğrulamasında kullanılan açık anahtar ile anahtar sahibi arasında güvenli

     bir bağ oluşturulmasını sağlar.

c.) Ehliyet, nüfus cüzdanı gibi kimlik belgelerinin yerine kullanılır.

d.) Sertifika otoritesinin imzaları doğrulamasına olanak verir.

e.) Sertifika otoritesinin açık anahtarı yerine kullanılır.

 

9.)    Telekomünikasyon kurumunun sayısal imza ile ilgili görevi nedir?

a.) İkincil düzenleme ve denetleme görevi

b.) Kök sertifikasyon makamı olma görevi

c.) Güvenlik uygulamalarının geliştirilmesi görevi

d.) Sayısal sertifikaların dağıtılması görevi

e.) Hepsi

 

10.)    Sayısal imza ile ilgili aşağıdakilerden hangisi veya hangileri yanlıştır?

I.       Önümüzdeki birkaç yıl içerisinde ıslak imzanın yerini alması beklenmektedir.

II.      E-oylama gibi yeni uygulamalarda kullanılması mümkündür.

III.    Sayısal imzaya geçilmesi ile iş süreçlerinin iyileşmesi sağlanabilecektir.

a.) Sadece I    

b.) Sadece II           

c.) Sadece III          

d.) I ve III              

e.) I, II ve III

 

İnsan, Bilgisayar, Kedi ve Köpek

Bugün sizlere ”birgün bir insan, bir bilgisayar, bir kedi ve bir köpek giderlerken…” diye başlayan bir fıkra anlatacaktım ama onun yerine BİTOGET’lerden bahsedeceğim. BİTOGET (Bilgisayar ve İnsanları Ayırt Eden Tamamen Otomatik Genel Turing Testi), İEİ (İnsan Etkileşimi İspatı), CAPTCHA veya HIP kısaltmaları hep aynı mekanizmadan bahsediyor: hani son zamanlarda bir siteye giriş yaparken karşılaştığımız ve resimdeki karakterleri tekrar girmemizi isteyen güvenlik testleri var ya. Bu testlerin amacı küçük bilgisayar programları vasıtasıyla ayrı makinelerden de yapılabilen servis engelleyici saldırıları engellemek. Başka ifadesiyle ancak karşı taraftakinin bilgisayar değil de insan olduğunu anladıktan sonra istenileni yapmak amaç. Böylelikle kötü niyetli saldırıların otomatik araçlar ile fazla iş yükü oluşturarak sitemizi kullanıcılara hizmet veremez hale getirmesini engellemek.

Konunun pek çok yönü var elbet. Mesela kullanışlılık-güvenlik ikilemi boyutunu en güzel şu blogdaki bilgiler doğruluyor. Burada basit BİTOGET’lerin nasıl kolay kırılabildiği, kırılamayanların ise nasıl da okunamaz hale geldiği örneklerle anlatılmış. Örneklerde en iyi BİTOGET google’ınki gibi.

CAPTCHA kısaltmasını türeterek bu kavramın popüler hale gelmesini sağlayan Luis von Ahn demiş ki BİTOGET’lerin kırılması veya kırılamaması iki olasılık da bize fayda sağlar. Kırılabilmesi yapay zeka alanında bir gelişmeye yani insanın yapabildiği bir şeyin bilgisayarlarla da yapılabilmesine başlanılması anlamına geliyor. Kırılamaması ise etkin güvenlik mekanizmaları kurabilmemize olanak sağlıyor.

Karakter tanıma tabanlı BİTOGET’ler en yoğun kullanılanlar. Luis von Ahn’ın söylediği genel anlamda doğru ama gittikçe okuması imkansız hale gelen karakterlerle uğraşırken son kullanıcının “vay be, yapay zeka ne kadar gelişmiş!” diye düşünmediği de kesin. 

Alternatif BİTOGET’ler var mı var. Mesela Asirra ismi verilen yeni bir BİTOGET tasarımı insanların bilgisayarlara göre çok daha kolay kedi ve köpek resimlerini ayırt edebilmesinden hareketle petfinder.com sitesinin veri tabanındaki 3 milyon kedi ve köpek resmini kullanan bir sistem öneriyor.

Kullanıcılardan basit matematiksel ve mantıksal işlemler yapmasını isteyen yazı tabanlı alternatifler de yok değil. Ama tüm bu alternatifler ile karakter tanımalı BİTOGET’leri ayıran temel fark “otomatik” ibaresinde gizli. Yani bu alternatif sistemler tamamen otomatize edilememekte ve sistemin güvenliği veri tabanının büyüklüğü ile sınırlı kalmakta. 3 milyon kedi ve köpek bir kere birisi tarafından ayırt edildi mi artık bu bilginin bilgisayar programları ile kullanılamaması için hiç bir sebep yok. Önerilen yazı tabanlı sistemde çok daha fazla (150 milyonun üstünde) soru var. Dolayısıyla bu şekilde insan tarafından çözülerek kırılabilmesi çok daha zor. Lakin burdaki sıkıntı soruların ingilizce olması ve Türkçe sitelerde kullanılma zorluğu. Acaba yazı tabanlı Türkçe BİTOGET var mı? merak etmekteyim.

Elektronik Para ve Microsoft

Elektronik Para kavramı 1980′lı yıllarda ortaya atılmış bir kavram. Amacı bildiğimiz kağıt paraların özelliklerine haiz elektronik ortamlarda kullanılabilecek mekanizmaları kurmak. Tabii para konu olunca güvenlik de en önemli gereksinim oluyor. Güvenliği sağlama adına da bol miktarda kriptografiden yararlanılıyor.

Bildiğimiz paralar fiziksel bir nesne olduğu için kalpazanlık yapmadan sahte para üretmek mümkün değil, dijital dünyaya gelindiğinde ise sadece 0 ve 1′lerden oluşan elektronik paranın kopyasının çıkarılmasını engellemek mümkün değil. Önlemek mümkün değilse öyleyse biz de tespit eder ve cezalandırırız yaklaşımı da elektronik para konusunda aynen uygulanamıyor.

Çünkü kağıt paraların elektronik ortama aktarmaya çalıştığımız bir özelliği daha var. Her ne kadar üzerinde seri numarası vs. olsa da bizim ATM makinesinden çekdiğimiz para kimlik bilgimiz ile eşlenmez ve harcamalarımızı tamamen anonim olarak yapabiliriz. Para kullanımının kredi kartına göre böyle bir avantajı var. Hiç düşünmüş müydünüz?

Aynı şeyi elektronik para için nasıl yapacağız hem banka veya elektronik parayı basan yani imzalayan her kim ise bu parayı verirken kişinin kim olduğuna bakmayacak hem de bu parayı o kişi iki kere kullanınca cezalandırabilecek. İşte bu aşamada kriptografinin gücü devreye giriyor. Kör imzalar dediğimiz yapıları kullanarak bu iki birbirine zıt gibi görünen gereksinimi karşılayabilen ilk kişi 1988 yılında David Chaum olmuştur.

Bütün bunları niye anlattım? Şu an yukarıda anlattığım özellikte elektronik para kullanımı yaygın değil hatta yok belki de. Bunun pek çok sebebi olduğu gibi kriptografici paranoyasının kriptografinin günlük hayatımıza girmesini engellemesi paradoksuyla da açıklayanlar var. 

Yazı oldukça ilginç. Ama belki de en ilginç olan bilgi Microsoft’un Windows 95′e entegre etmek için teklif ettiği 100 milyon doların (Bill Gates’i bir kere daha takdir edelim) reddedilmiş olması. Eğer o zaman Chaum teklifi reddetmese idi belki hala elektronik para kullanıyor olmayacaktık ama çok daha güvenli işletim sistemlerine sahip olacağımız kesindi. Netice de elektronik para kullanılabilecek bir işletim sistemi mecburen güvenli olacaktı (burada güvenliğin zor ama yeteri kadar kaynak ayrılırsa aşılabilir bir problem olduğuna bir gönderme var).

Her neyse son olarak en son haberlere göre Chaum’un öğrencisi olan (Chaum’un önce Brands’ın buluşunu anlamadığı daha sonrada bu ikisinin kavga ettikleri falan anlatılır) ve elektronik para konusunda çok daha aşmış buluşlara sahip Brands’ın patentlerini Microsoft satın almış. Acaba niye? (İpucu: Brands’ın buluşlarının elektronik para ötesi kullanım alanları var.)