TOPIC:

Kriptografik özet fonksiyonları bilgi güvenliği kavramlarının uygulanmasında önemli bir yere sahiptir. Bu çalışmada kriptografik özet ve çeşitleri ayrıntılı olarak incelenecektir. Ayrıca benzer dosyaların ayırt edilmesi için kullanılan içerik tetiklemeli özet kavramı anlatılacaktır.

Kriptografik Özet ve Benzer Dosyaların Ayırt Edilmesi

Kriptolojide tek yönlü ve çift yönlü olmak üzere iki tür şifreleme yöntemi mevcuttur. Çift yönlü şifrelemede içinde ister anahtar kullanılsın ister kullanılmasın şifrelenmiş veriden geriye dönüş mümkündür. Anahtar ise şifreleme yaparken kullanılan sadece şifreleyen ve çözen kişinin bildiği bilgidir. Aşağıda çift yönlü şifrelemeye verilebilecek basit bir örnek bulunmaktadır.

Adli Bilişim --> Çgol Dlolülö
Tek yönlü şifrelemede ise şifrelenmiş veriden orijinal metne dönmek mümkün değildir. Buna örnek verilebilecek bir yöntem ise verilen bir bilgideki harflerin alfabedeki sıralarını toplamak olabilir.

Adli Bilişim --> Adli=1+5+15+11 = 32, Bilişim=2+11+15+11+23+11+16=89 --> 32+89=121
Adli Bilişim kelimesinin tek yönlü bir yöntem ile şifrelenmiş hali 121’dir. Elde edilen 121 şifrelenmiş bilgi sonucundan geriye dönerek “Adli Bilişim” verisini elde etmek mümkün değildir. Kriptografik özet fonksiyonu uzunluğu belli olmayan bir girdi için sabit uzunlukta bir çıktı oluşturan ve girdideki en ufak bir değişikliğin çıktının neredeyse tamamen değişmesine yol açtığı tek yönlü şifreleme yöntemidir. Kriptolojide özet işleminin girdisine mesaj denir ve “M” ile sembolize edilir. Çıktısına hash (özet) denir ve “H” ile sembolize edilir. Farklı kaynaklarda ise digest olarak geçmektedir ve “D” ile de gösterilmektedir.

Birçok özet algoritması Merkle-Damgard hesaplama yöntemini kullanır. Hesaplama yöntemi aşağıdaki şekildeki gibidir.

ekil1.png
Şekil 1. Özet işlemi ilk adım

Bu işlem 512 bitlik parçalara ayrılan verinin her parçasına uygulanır.

ekil2.png
Şekil 2. Özet işlemi ötelemeli hesaplama adımları

Kriptografik özetin özellikleri

Kriptografik özet yönteminin en önemli özellikleri şu şekildedir.

Kriptolojik özet fonksiyonu tek yönlü bir şifreleme yöntemidir.

Tüm girdiler için aynı uzunlukta özet değeri üretilir. Bu uzunluk değeri MD5 için 125 bit iken SHA1 için 160 bittir.

Mesaj içerisindeki ufak bir değişiklik özet değerinin neredeyse tamamen değişmesine yol açar.

Pratikte aynı özet değerine sahip farklı iki mesaj bulunamaz. İki farklı mesajın aynı özet değerine sahip olması olasılığı çok düşüktür. Teoride aynı özet değerine sahip iki farklı mesaj vardır ama bunu hesaplayarak bulmak günümüz olanakları ile mümkün değildir.

Bu özelliklerin görülebileceği örnek bir gösterim aşağıda bulunmaktadır.

ekil3.png
Şekil 3. SHA1 kriptografik özet algoritması ile farklı verilerin özetleri

Yukarıda SHA1 algoritması ile kriptografik özeti alınan 5 farklı veri görülmektedir. Yukarıdaki şekilden de görülebileceği gibi mesajın uzunluğundan bağımsız olarak özet değerleri hep aynı uzunluktadır. Ayrıca mesajlar birbirine ne kadar yakın olursa olsun özet değerleri arasında hiç bir ilişki yoktur. Bu durum da mesajda değişiklikler yaparak istenen bir özet değerine doğru yaklaşma tamamen aynısı haline getirmeyi imkânsız kılmaktadır.

Kriptografik özet çeşitleri

Klasik kriptografik özet: Yukarıda özelliklerinden ayrıntılı olarak bahsedilen özet yöntemidir. Özet fonksiyonu, verilen bir mesaj (veri) için çeşitli algoritmalara göre sabit uzunluklu bir özet değeri üretir. Mesaj içerisindeki ufak bir değişiklik bile özetin neredeyse tamamen değişmesine sebep olur. Bu şekilde bir özet değeri verinin değişip değişmediğinin anlaşılmasında kullanılmaktadır. Fakat bu yöntem benzer verilerin varlığının anlaşılmasına olanak vermemektedir.

Parçalı özet: İlk olarak Nicholas Harbour tarafından, 2002 yılında geliştirilen “dcfldd” adlı disk kopyalama aracı ile birlikte ortaya atılmıştır. Geliştirilen bu aracın amacı, bütünlükten emin olmak için sektör düzeyinde kopyalama yapmaktı. Yazılan program verilen veriyi sabit uzunlukta bloklara bölüyor ve her bloğun ayrı özet değerini hesaplıyordu.

Günümüzde dijital adli analiz ile uğraşanların en büyük problemlerinden biri de çok büyük veriler ile uğraşmak zorunda olmalarıdır. Dijital olarak tutulan verilerin geometrik olarak arttığı günümüzde disk kapasitelerinin çok artması ile dijital adli analiz çalışmalarında verilerin kopyalarının alınmasından, incelenmesine, özet değerlerinin hesaplanmasına kadar tüm adımlar çok fazla zaman almaya başlamıştır. Bu sebeple verileri parçalayarak işleme ihtiyacı doğmuştur. Parçalı özet yöntemi parçalanan verinin her bir parçası için klasik kriptografik özet değerlerinin hesaplanmasına dayanmaktadır.

İçerik tetiklemeli parçalı özet: İlk olarak Jesse Kornblum tarafından ortaya atılmış olan içerik tetiklemeli parçalı özet Dr. Andrew Tridgell tarafından geliştirilen spam mail algılayıcı spamsum algoritmasına dayanmaktadır. İçerik tetiklemeli parçalı özet, klasik kriptografik özet segmentlerine dayanmaktadır. Ne kadar çok ortak özet segmentine sahip olduklarına bakılarak dosyaların benzerliklerinin karşılaştırılmasını sağlamaktadır.

İçerik tetiklemeli parçalı özet, parçalı özete benzemektedir. Parçalı özet yönteminde veri eşit bloklara bölünmekte ve bu blokların özetleri hesaplanmaktadır. İçerik tetiklemeli parçalı özet yönteminde ise veri tanımlanan tetikleyici içerikten itibaren belirli uzunlukta verinin özet değerleri hesaplanarak ve bu özet dizisi bir araya getirilerek bir özet imzası oluşturulmasına dayanır. Bu imza değeri sayesinde veride değişiklik, ekleme veya silme yapılsa bile imza değerleri karşılaştırılarak birbirine benzer verilerin, dosyaların anlaşılması sağlanabilir. Hatta iki ayrı verinin özet imzaları karşılaştırılarak benzerlik oranları yüzde olarak hesaplanabilmektedir.

Benzer dosyaların ayırt edilmesi

Kornblum tarafından geliştirilen içerik tetiklemeli özet yöntemine dayanmaktadır. Daha sonra yayınlanan makalelerde fuzzy hash olarak da ifade edilmiştir. Geliştirilen bu yöntemde Nicholas Harbour tarafından geliştirilen parçalı özete (piecewise hash) benzemektedir. Fakat veri parçalara ayrılırken eşit parçalar halinde değil de belirli bir içerikten başlayacak şekilde parçalanmıştır. Aynı zamanda parçalama ve özet alma işlemlerinde de Rolling hash yöntemi kullanılmıştır. Birleştirilen özet segmentleri ile elde edilen imza, benzer içeriklerin algılanmasına olanak sağlamaktadır.

Aşağıda içerik tetiklemeli parçalı özet (CTPH) alma işlemi ve benzer dosyaların ayırt edilmesi gösterilmektedir. Örnekte tetikleyici içerik “i” olarak seçilmiştir.

ekil4.png
Şekil 4. Verilen dosyanın CTPH'nın hesaplanması

ekil5.png
Şekil 5. Değiştirilmiş olan dosya için CTPH değerinin hesaplanması

ekil6.png
Şekil 6. Değiştirilen dosyanın CTPH değerlerinin karşılaştırılması ile anlaşılması

Klasik kriptografik özet yöntemi birçok alanda kullanılmaktadır. Yaygın kullanım amaçlarından birisi de listede aramadır. Listede arama işleminde oluşturulan bir beyaz liste veya kara listede incelenen dosyanın bulunup bulunmadığına bakılır. Örneğin çocuk pornografisine dair bir suç unsuru aranırken daha önce elde edilen suç unsurlarının özetlerinin saklandığı bir liste kara liste olarak tutulur. Bir delilde suç unsuru aranırken tüm dosyaların özet değerleri kara listedeki değerler ile karşılaştırılır. Fakat örnekte anlatılan listede arama yönteminde dosyada yapılan bir karakterlik bir değişiklik bile özet değerinin neredeyse tamamen değişmesine neden olduğu birbirine benzer dosyaları ayırt etmekte işe yaramamaktadır. Kornblum tarafından parçalı özet ve Rolling hash kavramlarını birleştirerek içerik tetiklemeli özet algoritması geliştirmiş ve benzer dosyaları ayırt etmeyi ve benzerlik oranlarını hesaplamayı hedeflemiştir.