Sayısal imza sertifikalarında güven mekanizması (2)
İşletim sistemleri yüklenmek istenen bir yazılımın kaynağını sorgulamak için, yazılımla birlikte gelen imzayı teyit eder. Yazılımın tümü bir hash fonksiyonundan geçirilerek, üretilen hash değeri ile yazılımla birlikte gelen imzanın yazılım kaynağı olan şirketin veya grubunun açık anahtarı ile deşifre edildikten sonraki eşitliği imzanın teyidi anlamına gelir. Buradaki en önemli adım aslında yazılım kaynağının açık anahtarına olan güvendir. Anahtarın teyidi, anahtarla birlikte gelen ve bir kök sertifika üreticisinin sağladığı sertifikanın varlığına bağlıdır. Yazılım kaynağı ya yüzlerce kök sertifika üreticilerinden birinden veya binlerce diğer sertifika üreticilerinden birinden kendine bir açık anahtar edinmiştir. İşletim sistemi sertifika üreticisinin sunduğu açık anahtarı bu sertifika varlığının ile teyit eder.
Geçen haftaki yazımda özetlediğim gibi sertifikaya güven bir 0-1 güven sistemidir. İşletim sistemi sertifikaları “çok güvendiklerim”, “biraz daha az güvendiklerim” ve “en az güvendiklerim” diye ayırmaz. Birkaç işlem sonucunda ya tam güvenir veya hiç güvenmez. Bu şu anda var olan ve faydasını sorgulamamız gereken bir özellik.
Sosyal medya sistemlerinde, arkadaşlarımız, arkadaşlarımızın arkadaşları ve herkes diye adlandırdığımız gruplama sistemleri (circles) aslında burada çok yardımcı olabilir. Bir resmi paylaştığımızda bunun herkese veya tanımadığımız insanlara (arkadaşlarımızın arkadaşlarına) ulaşmasını kontrol edebilmeyi sertifika sistemlerinde de kurabilmek iyi olur.
Var olan sertifika sistemi böyle bir doğrulama sistemi için gereken altyapıyı sunuyor. Sertifika bir veri yapısı. Üzerinde yaratacağımız yeni alanlara (veya şu anda kullanılmayan bazı alanlara) koyacağımız işaretlerle circles sistemini uygulamamız söz konusu olabilir. Böylece sertifikalar statik değil de dinamik data yapılar haline gelir. Bu kullanılan alanların varlığıyla en çok güvendiğimiz sertifikaların sunduğu yazılımları hemen kabul ederken, ikinci derece güvendiğimiz yazılımları başka mekanizmalardan (örneğin malware analizi) geçirmek isteyebiliriz. Böyle bir özellik oldukça esnek, hızlı cevap veren ve daha güvenilir bir sertifika altyapısı sistemi yaratır.