Açık bilim, açık erişim, açık devlet, açık veri, açık teknoloji gibi kavramları uzmanlarıyla konuşacağımız Sertel Şıracı ile Açık Kürsü program serimizin onuncu bölümünde kriptoloji konusunda uzman bir isim olan Prof. Çetin Kaya Koç konuğumuz oldu. Kendisi aşağıdaki başlıklarda sorularımızı yanıtladı.
- Kriptoloji Nedir? Nasıl Bir Bilim Dalıdır?
- Kriptolojinin Tarihçesi
- Bilgi Güvenliği ile Kriptoloji İlişkisi
- Verilerin Açık Halden Kapalı Hale Getirilmesi için Hangi Teknikler Kullanılır?
- Veri Gizleme Yöntemleri Neden Gerekli?
- Açık Veri ile Kriptoloji İlişkisi
Yeni bölümümüzü 10 Mayıs 20:00’dan itibaren Youtube’da izleyebilir veya podcast kanallarımızdan (Spotify, Apple Podcast, Google Podcast, Deezer, SoundCloud vb.) dinleyebilir, metin deşifresini videomuzun altında bulabilirsiniz.
Yeni bölümlerde görüşmek üzere. Lütfen sosyal ağlarda AVTED’i takip etmeyi unutmayın ve geri bildirimlerinizi bizimle paylaşmaktan çekinmeyin.
Sertel Şıracı: Herkese merhaba! Açık Veri ve Teknoloji Derneği’nin Açık Kürsü Programına hoş geldiniz. Bildiğiniz gibi her programımızda açık veri ile ilgili bir konuyu ele almaya çalışıyoruz. Bugün de bir başka konuyu ele alıyor olacağız ve kriptoloji konuşacağız. Tabii konu kriptoloji olunca da konunun önemli isimlerinden biri bizimle birlikte; Çetin Kaya Koç. Hocam hoş geldiniz!
Çetin Kaya Koç: Merhabalar hoş bulduk!
S. Şıracı: Hocam giriş kısmını uzatmadan sorumuz ile başlamak istiyorum. Kriptoloji nedir ve nasıl bir bilim dalıdır diye sormak istiyorum sizlere.
Ç. Kaya Koç: Tarihsel olarak ilk başta güvenlikten daha çok privacy- confidentiality yani dataya erişmeyi engelleyen bir matematiksel metot olarak başladı. Yazıyla aşağı yukarı aynı zamanlara tekabül eden bayağı eski bir tarihi var. Yazının da bir çeşit şifreleme olduğunu düşünebiliriz. Yazı da söz de tarih boyunca şifrelendi fakat ne şehirlerde. insanlık tarihi boyunca ne yazık ki bunun ilk 4 bin yılı çok fazla heyecanlı olmadı.
Bugünden geriye doğru baktığımızda 3 tane en önemli safha var. Birincisi 1948’e kadar olan klasik kriptografi, 1948 ile 1974 arasında olan modern kriptografi, 74’ten sonra başlayan public kriptografi. Aslında yavaş yavaş 2008’den itibaren yeni bir sfhaya daha giriyoruz ama böyle tarihsel safhaları genellikle geriye doğru bakarak analiz etmekte fayda var. Tarihin içinde yaşarken çok fazla analiz yapamayabiliriz.
Kriptoloji, bilimin adı, kriptografi algoritmaları bulmanın, araştırmanın özelliklerini anlamanın adı, kripto analiz bunların güvenliği ile ilgili argümanları ortaya çıkarmanın, güvenliklerini araştırmanın, mümkünse kırmanın adıdır. Elektrik mühendisleri, matematikçiler, bilgisayar mühendisleri, bilgisayar bilimleri konusunda çalışan arkadaşların çalışma konularıdır bunlar.
S. Şıracı: Biz sıklıkla bilgiyi güvenle birlikte anlıyoruz. Az önce cümle içerisinde de konusu geçti. Bilgi güvenliği ile ilişkisi nedir hocam? Biraz daha anlatabilir misiniz?
Ç. Kaya Koç: Genelde güvenliği için gerekli matematiksel araçların kaynağı kriptografi. Kriptografi derken kriptolojiyi kastediyorum. Genelde iki terim eş anlamlı kullanılıyor. Tabii ortada bir veri olması lazım bu veri söz gibi yani ses gibi de olabilir video olabilir ama ortada bir veri var ve biz bu veriye erişimi kısıtlamak istiyoruz. Bu verinin kaynağına emin olmak istiyoruz, bu verinin transmisyon sırasında değiştirilmediğine emin olmak istiyoruz. Bütün bunlar veri güvenliği demektir. Veri güvenliği daha geniş bir problemin adı, kriptografi onun problemlerinden bir kısmını çözüyor, hepsini çözmüyor. Şimdi araçların böyle bir takım protokoller seviyesinde kullanılmasıyla çok daha karmaşık problemleri çözebilir.
S. Şıracı: Son yıllarda gittikçe önemin de arttığını görüyoruz. Dijitalleşmenin belki getirdiği de sonuçlardan birisi. Bu noktada işin içerisine siber güvenliği de koyduğumuz da bizim için teknolojinin getirmiş oldukları nelerdir?
Ç. Kaya Koç: Teknoloji tüketicinin hayatına 1990larda girdi. Elektronik ticaretin güvenli olması gerekiyordu. Tüketicilerin adres, telefon, gibi bilgilerinin kredi kartı bilgileri, hesap bilgilerinin güvenli bir şekilde iletilmesi gerekiyordu. Karşı tarafa tarafa güveniyorduk. Yani e-ticaret yapan firmaya güveniyoruz. Biz buradayız o orada ama aradaki insanlara güvenmiyoruz. Aradaki bütün faktörlere güvenemiyoruz. Tüm bilgiler kablosuz hatlardan geçiyor. Kablolu hat veya şuradan buradan geçse bile bu kolaylıkla ulaşılabiliyor ve şifrelenmiyordu. Onu şifrelemenin yollarını bulduk.1995 yılı bu metotların geliştirilmesi, provisiorların da yukarı aynı zamanda geliştirilmesi o günden beri etkiliyor ama gittikçe tüketiciden transparan bir şekilde oluyor bunlar. artık. Tüketici kullanıcı, bilgisayar kullanıcısı, telefon kullanıcısı çok fazla farkında değil. Arka planda biz bir sürü çalışmalar yapıyoruz. Bazen bunları kanun gerektiriyor. Hükümetler veya devletler grubu kanunlar çıkarıyor. İşte bir tanesi meşhur Kişisel Verileri Koruma Kanunu. Firmaların bu kanunlara uyması lazım. Dolayısıyla değişiyor, altyapı değişiyor, sürekli yenileniyor ama tüketici bunun çok fazla farkında değil. Aslında bunu kullanan çoğu bunların farkında değil. Fakat olması da gerekmez yani aynı şekilde komünikasyon teknolojisiyle ilgili bir sürü gelişmelerin farkında olmuyoruz. Bizi sadece hız ilgilendiriyor. Video yavaşladığı zaman rahatsız oluyorsunuz. Şu anda Amerika’da herkes o hız için uğraşıyor artık bundan sonra haberleşmelerimiz videolu olacak, telefonun yavaş yavaş emekliye ayrılacağını görüyoruz. Elimizin altındaki networkun bunu taşıyabileceğinden çok emin değiliz.
Hayatınızı başka türlü çok fazla etkilediğine emin değilim kriptografinin. Zaten kriptografi konusu bilgisayar bilimleri içerisinde yüzde 5 lik bir konudur. Database, networking konuları daha önemlidir. Tabii bir kısmımız da kripto paraya çok merak saldı. Bu konu 2008’den belli yavaş yavaş çok fazla yayıldı diyebilirim. O da başka bir konu bu konuyu pek ilgilendirmiyor. Bana bu konuyla ilgili o kadar fazla soru geldi ki artık ben de bu konuya çalışıyorum.
S. Şıracı: İşin ekonomik, parasal boyutu ayrı ama çok nitelikli projeler söz konusu. Görünen o ki kriptoloji teknolojileri hayatımızı değiştirecek gibi. Peki hocam burada tabii bir yandan da aslında konumuz açık veri esasen ve açıkta olan bir veri söz konusu ve biz bu açıktaki veriyi kapalı hale getirmeye çalışıyoruz. Bu veriyi kapalı hale getirmek için kullandığımız bazı teknikler var. Işte bunlar da aslında sizin çalışma alanlarınıza giriyor. Buradaki genel olarak teknikleri nasıl sınıflandırabiliriz herkesin anlayabileceği bir şekilde ifade edersek?
Ç. Kaya Koç: Şifreliyoruz ama şifrelemek için bir anahtar kullanmamız gerekiyor. Anahtar dert oluyor bize anahtarı kaybettiğimiz zaman olmuyor. Mesela evinizin anahtarını kaybedebiliyorsunuz ve arka pencereden de girilemiyorsa eğer durum vahim. Hatta bazı kapıları çilingirler de açamıyor, kapıyı söküp götürmek gerekiyor falan. Şifreleme de öyle, şifreleme demek bir derttir arasında. Şifrelemek zorunda değilseniz şifrelemeyin. Şifrelemeniz gerekiyorsa o zaman anahtarı çok iyi korumanız, üretmeniz, yönetmeniz gerekecek.
Sadece şifreleme değil başka problemler de var tabii. Mesela şifrelemesen bile değişmediğine emin olmak istiyorum. Bu probleme integrity problemi deniyor. Şifreliyorum çünkü privacy istiyorum ama şifrelemem gerekmezse o zaman integrity sağlamam gerekiyor ya da kaynağı authenticate etmem gerekiyor. Bu mesaj gerçekten o kaynaktan geldi mi? Bu mesajı gerçekten de Savunma Bakanlığı mı yayınladı yoksa birtakım destek formasyonlarına karşı kaşıya çok kritik durumlar söz konusu olabilir. Bu üç problemin üçü de bir anlamda kapatmadır, kapatılmadır. Yani üçü için de gerekli matematiksel veya algı üretmek için araçlar vardır. Işte şifrelemek için şifreleme algoritmaları vardır, integrity sağlamak için authentication kodları vardır. İşte efendim authenticationı sadece sağlamak için dijital imzalar var. Bunların hepsi ayrı ayrı teknikler ve her birisinin özel bir yeri var.
Bu konuları içeren çok fazla da dersler bulunuyor. Ben de Yıldız Teknik Üniversitesinde yüksek lisans veya doktora öğrencilerine bu dersleri veriyorum. Kriptografi matematik ve bilgisayar bilimleri arasında olduğu için köprü olmak gerekiyor. Çünkü her bir bilgisayar mühendisinin matematiksel metot ve işlemleri bilmesine gerek yoktur. O yüzden böyle benim gibi insanlar bir araya gelip anlaşılabilir, programlanabilir, prototip edilebilir bir hale getiriyoruz.
S. Şıracı: Görüyoruz ki burada bir ihtiyaç da var ama az insan da var. Peki biz burada veri neden gizleme ihtiyacı duyoruz? Bunun felsefesi açısından da soruyorum. Bu ihtiyaç nereden kaynaklandı ve günümüzde hala bunu çözmek için eski yöntemleri kullanmaya devam ediyoruz?
Ç. Kaya Koç: Yöntemler çok eski değil, 1948- 1974 hatta 2008-deki son teknoloji söz konusu ama niye yapmamız gerekiyor? Birincisi aradaki kişilerin ulaşmasını istemiyoruz. Bunun için yapmamız gerekiyor. İşte efendim şirketle ilgili birtakım finansal bilgilerdir bunlar ya da projeksiyondur ya da stratejiler içeriyordur. Bunların bilinmesini istemeyen çok kişi var. Kişisel mahremiyet konusu vardır. Silinmesi doğru değil. Aynı şekilde şirketin de mahremiyeti söz konusu, devletlerin mahremiyeti çok daha şiddetli, çok daha yüksek. Ilk başta kriptografiyi kim kullandı? Devletler kullandı. Hem diplomasi amacıyla hem savaş amacıyla. Savaş sırasında kriptografi çok gelişiyor, zaten modern kriptoloji. Hem Birinci Dünya Savaşı’nda hem de İkinci Dünya Savaşındaki ihtiyaçlardan doğdu.
Hareket edebilmenizi istemiyoruz yani hareketlerimizin bilinmesini istemiyoruz. Veya hareketleri öğrenmek istiyoruz o zaman kripto analiz yapmamız gerekiyor. Yani sizin komünikasyona ulaşmanız yetmez ve şifrelenmiş. Hem saldırmak için hem savunmak için iki tarafta kriptografiye ihtiyac duyuyor. Çok açık bir felsefi problem bu. Mesela çok çok daha eskiden kritografinin ilk kullanma alanlarından bir tanesi de bu gizli derneklerin, Illuminati’ler, Masonlar’ın bilgilerini saklamaları içindi..Insanoğlu her zaman bir şey kurmak istiyor. Bilgiyi korumak istiyor, erişilmesini istemiyor, onun erişilmesi onun için çok kritik zararlar doğurabilir.
S. Şıracı: Kriptografi bir yandan da son zamanlarda çok fazla blok zinciri konularını konuştuğumuzda bir yerde şeffaflık koyuyoruz esasen. Yani yan yana almaya da başladık. Şimdi konumuz tam açık veri olunca açık verinin konulardan bir tanesi de bu şeffaflığı sağlayabiliyor olmak. Bu noktada siz açık veri ile kriptografiyi yan yana koyduğunuzda nasıl değerlendirirsiniz?
Ç. Kaya Koç: Aslında o bağlantıyı siz söylediniz. Bu blok zincir sağlıyor o bağlantıyı. Blok zincirin amacı şifreleme daha doğrusu datayı saklama amacı yoktur. Sadece datanın geçerli olduğunun ispatını tutar o kadar. Yani bu çok faydalıdır çünkü geçmişe doğru,datanın değişmemiş olması onun için çok önemli bir değer arz ediyor. Ben aynı şekilde mesele paranın da nasıl sahtesi olmamalı ise datanın da sahtesi olmamalı. Çünkü onun geçerli olmasının tek yönü onun gerçekten authienthic ve değiştirilememiş olmasıdır. Yani en büyük değer odur. O yüzden bu blok zincir size onu sağlıyorsa çok iyi o yüzden bu blok sizlerin özel bir önemi var.
2008 öncelerinde bu konu gündeme gelmişti. Dijital noter diye bir kavram çıkmıştır. Silikon Vadisi’nde tartışılıyordu bu konular. Stuart Haber adlı çalışan bir arkadaş vardı o başlattı ama yani her şey çok erkendi. Bazen böyle erken ötmemek gerekiyor horoz olarak kafanızı kesiyorlar. Bir faydası olmuyor, bir sürü şey yapıyorsunuz. Talepler yetersiz, ikincisi böyle bir ihtiyaç henüz belirlenmemiş de. Bundan işte bir bundan bir 10 sene sonra 2015 de gerçekten böyle bir ihtiyaç var. O zaman o ihtiyacın çözümü de geldi ; Blok zincir. Blok zincir gibi teknolojiler olmak zorunda. Çünkü hepimizin güvenlikte iyi ortamda pure to pure, çoğunluk kötü olmaya karar vermezse hepimizin güveneceği bir ortam sağlıyor bize. Bir şeyi dijital olarak saklamak istiyorsak varlığını emin olmak istiyorsanız o ya onun bir kopyasını koyuyoruz her zaman geriye dönüp bu geçerli mi diye bakabilirsiniz. Açık data ile bağlantı buradan kuruluyor. İçerisinde bakın hash fonksiyonları ve dijital imzalar var, başka da bir şey yok. Bu iki tane teknoloji de şifrelemez sadece datanın integrity v authenticate sağlar.
S. Şıracı: Evet şu anda aslında hepimiz ihtiyacı olan bir konuyu da yerine getirmiş oluyor. Değiştirilemez hale getirilmesi ispat edilebilir hale getirilmesi kendi alanım açısından söylemem gerekirse önemli sorunlardan bir tanesi.
Ç. Kaya Koç: Bakın ben size hukuki bir problemden bahsedeyim. Diyelim ki güvenlik kuvvetleri bir miktar datayı ele geçirdi. Kötü amaçlı bir data mesela. Şimdi o elde edildiği anda onun authhenticate kaydedip blok zincire yazılması çok bir faydası var. Çünkü daha sonra da mahkemede insan kendini şöyle savunabilir; polis değiştirdi, güvenlik kuvvetleri datamı değiştirdi. İçerisine başka şeyler koydu. Bana ait olmayan şeyler var. Bunu çözmenin yolu çok basit. O bulunduğu saniyede onu sen authhenticate edersin, onu bir kopyasını bulup yazarsın blok zincire isteyen istediği zaman veri kaydedebilir. Bilmesine gerek yok ama bilmesi gereken verify edebilir bu gerçektir diye.
Hepimizin güvendiği bir şeyler olması lazım. Yani bir çeşit bir meydanda mesela Taksim Meydanı’nda siyah tahtalar var, tebeşir var ama yazdığınız silinmiyor. Bir şey yazarsanız oraya başkası da siz de silemiyorsunuz. Ama böyle bir şey olsa bunu benim yazdığım 10 sene sonra da belli olacak. Hem bundan ben sorumluyum ve fayda da sağlayabilirim. Biri bir söz söyler ve kimin söylediği çok tartışılır. Herkes ben söyledim der. Ben 10 senedir bunu diyorum. Nereden bileyim senin 10 senedir onu söylediğini? . Orada bir kopyası olmasının çok faydası olacak.
S. Şıracı: Çok kıymetli çözümler bakalım umarız devletler yapabilir.
Ç. Kaya Koç: Devlete ihtiyaç yok bunu sen ben de yapabiliriz. Yani bir block chain başlatmak o kadar zor bir iş değil. Var olanı da kullanabilirsiniz sadece kullandığınız için de para verirsiniz hatta onları kullanmak daha iyi olabilir. Çünkü nasılsa onlar korunuyor. Yani nasılsa birileri sürekli onları maintain ediyor ve bunun karşılığı siz 3 5 dolar verip buradan bir tane bloku elde etmenizde büyük bir fayda var.
S. Şıracı: Çok teşekkürler hocam verdiğiniz cevaplar, değerlendirmeleriniz için. Var mıdır eklemek istediğiniz bir konu?
Ç. Kaya Koç: Yani şunu diyebilirim, biraz kendi yaptığım şeyden bahsedeyim eğitim açısından. Ben Tübitak’ın bir ödülünü aldım ve Tübitak benim kriptografi konusunda Türkiye’ye öğretmemi istiyor. O yüzden bilgisayar bilimleri ve kriptoloji youtube kanalı yarattım kendi adımla. Orada herkes için ya da yüksek lisans, doktora öğrencileri için iki farklı ders bulunuyor, bilgisayar bilimleri ve kriptoloji seminerleri de var. Oradaki dersleri izlemelerini öneririm arkadaşlara. Gidin bakın ve talepte bulunun bana. Bana e mail yazın, böyle şeyler duymak istiyoruz deyin. Ben de onları oraya koymaya devam edeyim, bu kadar. S. Şıracı: Harikasınız hocam. Gerçekten açık bilgi, bilginin açık hale getirilmesi konusunda çok da güzel bir örnek. Bu almış olduğunuz görev için sizi tebrik ediyoruz. Zaman ayırdığınız için bilgileri bizle paylaştığınız için çok teşekkür ediyoruz.
Değerli dinleyenlerimiz bugünkü programımızın da sonuna gelmiş olduk. Haftaya bir başka konuda tekrar sizlerle birlikte olacağız. teşekkürler.