Merge pull request 'Yeni Rehberler' (#77) from AA/guvenlik:master into master
Reviewed-on: oyd/guvenlik#77remotes/1693056193957007826/master
@ -1,17 +1,61 @@ |
||||
# Fiziki Güvenlik |
||||
|
||||
Bir cihazın güvenliği sadece yazılımsal değil aynı zamanda donanımsal koşullara da bağlıdır. Teknik olarak cihazınıza uzaktan gelebilecek tehlikelere karşı tedbir alsanız bile cihazınıza fiziken erişimi olan bir saldırganın çok daha etkili ve görünmez saldırılarına maruz kalmanız işten bile değildir. Bu tip saldırılara karşı alınabilecek tedbirler yine fiziki olmaktadır. |
||||
Bir cihazın güvenliği sadece yazılımsal değil aynı zamanda donanımsal koşullara da bağlıdır. Teknik olarak cihazınıza uzaktan gelebilecek tehlikelere karşı tedbir alsanız bile cihazınıza fiziken erişimi olan bir saldırganın, çok daha etkili ve görünmez saldırılarına maruz kalmanız işten bile değildir. Bu tip saldırılara karşı alınabilecek tedbirler yine fiziki olmaktadır. |
||||
|
||||
Kimi basit davranış değişiklikleri ile genel olarak kendinizi zor bir hedef haline getirebilirsiniz. |
||||
Fiziki erişimi ile gerçekleştirilebilecek saldırılar, basit bir web araması ile elde edilebilecek bilgilerden ulus devlet seviyesinde kaynakları gerektiren yöntemlere uzanmaktadır. Bu bakımdan fiziki erişim ile yapılabilecek saldırılar sadece filmlerde görülebilecek cinsten zorlukta değildir. |
||||
|
||||
Fiziki saldırılara karşı alınabilecek tedbirler hem teknik hem de beşeri olmaktadır. Basit davranış değişiklikleri ile cihazlarınızın fiziki güvenliğini çok daha iyi hale getirebilir, teknik tedbirlerle cihazlarınızı çok daha zorlu hedefler kılabilirsiniz. |
||||
|
||||
## Cihazlarınızı yanınızdan ayırmayın |
||||
|
||||
Cihazlarınıza erişilmediğinin en önemli delili gözünüzü üzerlerinden ayırmamanız olur. |
||||
Cihazlarınıza kimsenin dokunmadığından emin olmanın en ucuz ve en kesin yolu cihazlarınızdan gözünüzü ayırmamaktır. Her ne kadar basit bir tavsiye gibi görünse de cihazlarımızı terk ettiğimiz zamanlar değerlendirildiğinde pek çok kişinin dikkat etmesi gerektiği ortaya çıkacaktır. |
||||
|
||||
Elbette tüm cihazlarınızı **sürekli** üzerinizde taşımak tehdit modelinize bağlı olarak anlamlı olabileceği gibi gereksiz bir yük de yaratabilir. Bu bakımdan iki koşulun değerlendirilmesinin önemi ortaya çıkmaktadır. |
||||
|
||||
* Cihazlarınızı bıraktığınız/kullandığınız ortamın fiziki güvenliği |
||||
|
||||
* Cihazlarınızın müdahaleye dayanıklılığı |
||||
|
||||
Bu iki koşulu size tehlike oluşturabilecek saldırıların imkanları ile kıyaslayarak anlamlı bir modelleme yapmanız mümkündür. Şayet cihazınızı pek de tanımadığınız insanlarla birlikte çalıştığınız işyerinizde bırakıyorsanız cihazlarınız için pek çok yönden endişe edebilirsiniz. Söz konusu alan kamera ile izleniyor ve görüntüleri tutan kişilere güvenebilirseniz riskiniz azalabilir. Evinizde bıraktığınız bilgisayarınız görece daha güvende olacaktır. Şayet evinizi veya bilgisayarınızı koruyacak bir alarm sisteminiz varsa daha az risk içinde sayılırsınız. |
||||
|
||||
## Cihazlarınızı gözetim altında tutun |
||||
|
||||
TODO |
||||
Şayet cihazlarınızı taşıyamıyor veya taşımak istemiyorsanız, cihazlarınızı sürekli gözetim altında bulundurmayı değerlendirebilirsiniz. Bu cihazlarınıza yapılacak bir müdahaleyi engellemeyecek olsa da saldırganı caydırabilir, sizden habersiz müdahale edemeyecek olduğundan dolayı vazgeçirebilir veya durumun farkında olmayan bir saldırganı kayıt altına alabilir. Her halukarda kayıt sisteminizin de güvenliğini düşünmeniz ve gözetim sisteminizin sizi olası durumlarda uyaracağından emin olmanız gerekir. Şayet hiç bakmadığınız bir kamera kaydı bir girişimi kaydetse bile çok işinize yaramayacaktır. |
||||
|
||||
Bu amaçla tasarlanmış ilginç projelerden biri olarak [Guardian Project](https://guardianproject.info/) tarafından geliştirilen [Haven](https://github.com/guardianproject/haven/releases) dikkate değerdir. Bir android telefonu güvenli bir gözetim aracına çevirmeye yarayan Haven, cihazın sensörleri ve kamerası ile izlediği alandaki değişiklikleri kaydedip kullanıcısına Signal ve TOR üzerinden haber verebilmekte. |
||||
|
||||
## Cihazlarınızı girişimlere dayanıklı hale getirin |
||||
|
||||
TODO |
||||
Cihazlarınızı fiziki müdahalelere karşı dayanıklı hale getirmek hem donanımsal/yazılımsal tedbirleri hem de cihazınıza müdahale etmeyi ortaya çıkaracak fiziki tedbirleri kapsamaktadır. |
||||
|
||||
### Yazılımsal/Donanımsal tedbirler |
||||
|
||||
Cihazınızın /boot sektörünü ve tüm açılış aşamalarını kriptografik araçlarla kontrol altına alarak bir saldırganın bu süreci bozmasını engelleyebilirsiniz. Bu pek çok basit ve gelişmiş saldırıyı durdurma potansiyeline sahip bir tedbir olmakla kimi zaman özel donanım ve emek gerektirmektedir. |
||||
|
||||
* [Boot sektörünü şifrelemek](cihaz_guvenligi/sifreli_boot.md) |
||||
|
||||
* [Libreboot ve GPG ile boot güvenliği](cihaz_guvenligi/libreboot_grub.md) |
||||
|
||||
* [Boot sektörünü USB bellek üzerinde taşımak](cihaz_guvenligi/usb_grub.md) |
||||
|
||||
* [Cihaz Şifreleme](cihaz_guvenligi/cihaz_sifreleme.md) |
||||
|
||||
* [Yubikey ile GPG anahtarı Güvenliği]() |
||||
|
||||
### Fiziki güvenlik tedbirleri |
||||
|
||||
Cihazınıza fiziken girişimde bulunmak genellikle bir biçimde cihazınızın açılmasını gerektirebilir. Bu cihazın donanımlarına bir ekleme yapmak veya ram ve sabit sürücü gibi donanımların çıkarılarak/değiştirilerek müdahale edilmesini ifade edebilir. Bir saldırganın yapacağı değişikliklerin ifşa olacağını fark etmesi hem caydırıcı hem de genel olarak güven verici bir önlemdir. |
||||
|
||||
* [Simli Oje ve Entropi ile Fiziki Güvenlik](oje.md) |
||||
|
||||
* [Haven ile ortam izlemesi](haven.md) |
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
|
@ -0,0 +1,3 @@ |
||||
# Haven ile Güvenli Ortam İzlemesi |
||||
|
||||
[Bu sayfaya katkı verebilirsiniz.](https://git.oyd.org.tr/oyd/guvenlik) |
@ -0,0 +1,3 @@ |
||||
# Simli Oje ve Entropi ile Fiziki Cihaz Güvenliği |
||||
|
||||
[Bu sayfaya katkı verebilirsiniz.](https://git.oyd.org.tr/oyd/guvenlik) |
@ -0,0 +1,243 @@ |
||||
# Harici Bellekleri Şifrelemek |
||||
|
||||
Harici bellekler ortaya çıktıkları ilk günlerden itibaren giderek hayatımızda daha fazla yer edindiler. Öncelikle görece taşınabilir sabit sürücülerden başlayan taşınabilir kayıt ortamları, [NAND](https://en.wikipedia.org/wiki/NAND_flash_memory) hafıza aygıtlarının yani bugün usb bellek olarak bilinen donanımların yaygınlaşması ile veri taşımanın en pratik yöntemi haline geldiler. |
||||
|
||||
Hem fiyatların azalması hem de kapasitenin geometrik artışı usb bellekleri ve usb harici harddiskleri çok cazip araçlar haline getirmekte. Lakin pek çok önemli verinin taşındığı, saklandığı bu donanımların hayatımıza getirdiği en büyük tehlike yine bu kadar tutulmaları ile aynı olan taşınabilirlikleri. USB hafıza aygıtları; kolaylıkla unutulabilmekte, çalınabilmekte ve gerekirse bir saldırgan tarafından rahatça kurcalanabilmekte. Bu sebepten taşınabilir veri depolama aygıtlarının da şifrelenerek güvenli kılınması gerekli. |
||||
|
||||
## Planlama |
||||
|
||||
Öncelikle usb belleğiniz ile ne yapmak istediğinizi belirlemeniz gerekli. Keza şifrelenmiş verilere belirli işletim sistemlerinde erişmeniz tercih edeceğiniz yönteme göre mümkün olmayabilir. Bu bakımdan cihazınızın dosya sistemini şekillendirmeden önce küçük bir planlama ileride sorun yaşamanızı engelleyecektir. |
||||
|
||||
* Şayet cihazınız ile güvenlik bakımından endişe duymadığınzı film, müzik gibi veriler taşımak niyetiniz var ve bu bölüme kötücül niyetle bir dosya koyulmasından endişe etmiyorsanız belki cihazınızı hiç şifrelememeniz daha kolay bir seçenek olabilir. |
||||
|
||||
* Şayet bir cihazda hem şifreli hem şifresiz veri taşımak istiyorsanız cihazın kurulumundan önce bunu sağlayacak seçenekleri değerlendirmelisiniz. |
||||
|
||||
* Şayet cihazın tamamını şifrelemek ve her türlü erişime engellemek niyetindeyseniz şifrelemeyi bütün alana uygulamak doğru tercih olacaktır. |
||||
|
||||
## Cihazın tamamını şifrelemek |
||||
|
||||
Taşınabilir bellekleri şifrelemek için pek çok seçenek bulunmakta. Bu araçlardan hangisini seçeceğiniz; yazılımın özgürlüğüne, kullanım kolaylığına ve yaygınlığına, geçtiği güvenlik testlerine bağlıdır. |
||||
|
||||
### LUKS |
||||
|
||||
Şifreleme araçları arasında pek azı LUKS kadar bir işletim sisteminde entegre ve sorunsuz çalışmaktadır. [LUKS(Linux Unified Key Setup)](https://en.wikipedia.org/wiki/Linux_Unified_Key_Setup) her GNU/Linux işletim sistemi ile birleşik olarak gelen bir şifreleme aracıdır. |
||||
|
||||
LUKS ile tüm bilgisayarınızın sabit sürücüsünü şifreleyebileceğiniz gibi harici depolama aygıtlarını da bilgisayarınızda kullanmak üzere şifreleyebilirsiniz. Bunun için hem grafik arayüz araçları hem de uçbirim araçlarını kullanabilirsiniz. |
||||
|
||||
#### Gnome-Disks ile LUKS |
||||
|
||||
Gnome-disk yazılımı bilgisayarınızda kurulu dağıtıma göre "Disks" veya "Diskler" adı altında bulunabilir. Her halukarda yazılımı başlatmak için bir uç birime aşağıdaki komutu yazabilirsiniz. |
||||
|
||||
`gnome-disk` |
||||
|
||||
Şayet sisteminizde kurulu değil ise aşağıdaki komutlarla gerekli paketleeri kurabilirsiniz. |
||||
|
||||
`sudo apt-get install cryptsetup gnome-disk-utility` |
||||
|
||||
![alt-text](luks_usb/gd_anaekran.png) |
||||
|
||||
Sol tarafta cihazınıza takılı olan depolama aygıtları listelenecektir. Bu listeden hangi cihazın şifrelemeye niyetlendiğiniz donanım olduğunu seçmelisiniz. Bunu donanım adının taktığınız cihazla aynı olmasından veya çıkardığınız zaman bu listeden eksilmesinden anlayabilirsiniz. Daha emin hareket etmek isterseniz bir uçbirimden aşağıdaki komutu çalıştırıp listeden gerekli bilgiyi alabilirsiniz. |
||||
|
||||
`lsblk` |
||||
|
||||
Uçbirim size aşağıdakine benzer bir tablo döndürecektir. /Boot, / swap ve benzeri bölümlerin bulunduğu cihaz sisteminizdeki hdd olacağından buna **kesinlikle** dokunmamanız önemli. Aşağıdaki tabloya göre `sdb` donanımı hem kapasitesi hem de ismi ile hedefimiz olan donanım olarak görünmekte. |
||||
|
||||
``` |
||||
sda 8:0 0 223,6G 0 disk |
||||
├─sda1 8:1 0 512M 0 part /boot/efi |
||||
├─sda2 8:2 0 1K 0 part |
||||
├─sda5 8:5 0 731M 0 part /boot |
||||
└─sda6 8:6 0 222,4G 0 part |
||||
└─sda6_crypt 253:0 0 222,3G 0 crypt |
||||
├─vgxubuntu-root 253:1 0 221,4G 0 lvm / |
||||
└─vgxubuntu-swap_1 253:2 0 976M 0 lvm [SWAP] |
||||
sdb 8:16 1 7,3G 0 disk |
||||
└─sdb1 8:17 1 7,3G 0 part |
||||
``` |
||||
|
||||
Şayet usb aygıtınızı daha önce kullandı iseniz, hem olası sistem arızalarını gidermek hem de aygıt üzerinde kalmış olabilecek verileri yok etmek adına cihazınızı formatlayıp/silmeniz gerekebilir. Bu işlem biraz vakit alacaktır. |
||||
|
||||
**ÖNEMLİ NOT:**NAND hafıza içeren usb bellekler, [SSD](https://en.wikipedia.org/wiki/Solid-state_drive) hafıza aygıtları bir ön işlemci içermekle birlikte [silme emrine uymayabilmektedir.](https://www.usenix.org/legacy/events/fast11/tech/full_papers/Wei.pdf) bu duruma karşı yapılabilecek en iyi silme yöntemi "0" yerine rastgele veri yazmaktır. Gerekli talimatlar için rehberin son bölümüne bakın. |
||||
|
||||
Sağ üst köşeden menüyü açıp "diski biçimlendir" seçeneğini seçin. |
||||
|
||||
![alt-text](luks_usb/gd_menu.png) |
||||
|
||||
Karşınıza gelecek bölümden aşağıdaki ayarları seçip "biçimlendir" düğmesine basın. |
||||
|
||||
![alt-text](luks_usb/gd_format.png) |
||||
|
||||
Gnome Disks size işlemi onaylamak isteyip istemediğinizi soracaktır. Bu noktada **doğru aygıt** ile işlem yaptığınızdan emin olun. |
||||
|
||||
![alt-text](luks_usb/gd_onay.png) |
||||
|
||||
Onayınız ardından anasayfaya dönülecek ve size bir ilerleme çubuğu gösterilecektir. Bu işlemin sonuçlanmasının ardından boş bir bellek elde edeceksiniz. |
||||
|
||||
![alt-text](luks_usb/gd_surec.png) |
||||
|
||||
Biçimlendirme işleminin bitmesinin ardından LUKS bölümünün kurulumuna geçilebilir. + simgeleri ile gösterilen düğmeyi tıkladıktan sonra bölüm oluşturma ekranı karşınıza gelecektir. |
||||
|
||||
![alt-text](luks_usb/gd_bolumlendir.png) |
||||
|
||||
Tüm alanı seçip "sonraki" düğmesi ile ilerleyin. |
||||
|
||||
![alt-text](luks_usb/gd_bolumlendir2.png) |
||||
|
||||
Karşınıza gelen ekrandan yeni biriminize bir isim verip ekran görüntüsündeki gibi ayarları yaparak sonraki tuşu ile ilerleyin. |
||||
|
||||
![alt-text](luks_usb/gd_bolumlendir3.png) |
||||
|
||||
Bu noktada Gnome Disks size parolanızı soracaktır. Bu parola doğrudan şifrelediğiniz verilerin güvenliği olduğundan kullandığınız [parolanın güvenli olmasına](beseri_guvenlik/parolalar.md) özen göstermelisiniz. Yazılımın sunduğu **güvenlik ölçer çok güvenilir değildir**. Bir [Zarola](https://zarola.oyd.org.tr) size güvenlik ve hatırlanabilirlik açısından en iyi sonucu verecektir. |
||||
|
||||
"Oluştur" düğmesine tıklamanız ile Gnome Disks LUKS bölümünüz oluşturmaya başlayacaktır. İşlem bittiğinde anaekranda aşağıdaki görüntü ile karşılacaksınız. Bu noktadan sonra harici depolama aygıtınız kullanıma hazırdır! |
||||
|
||||
![alt-text](luks_usb/gd_bitti.png) |
||||
|
||||
Şayet özellikle değiştirmedi iseniz GNU/Linux cihazınız bu belleği cihazınıza taktığınızda otomatik olarak LUKS bölümünü algılayacak ve açabilmek için size parola soracaktır. Parolayı girmeniz ile birlikte normal bir usb bellek gibi cihazınıza erişebilirsiniz. |
||||
|
||||
#### Uçbirim ile LUKS |
||||
|
||||
Gnome Disks kullanmak istemiyor veya kullanamıyor iseniz aynı işlemleri uçbirimden de yapmanız mümkündür. Bunun için aşağıdaki adımları takip edebilirsiniz. |
||||
|
||||
[Buraya katkı verebilirsiniz](https://git.oyd.org.tr) |
||||
|
||||
### Veracrypt |
||||
|
||||
[Veracrypt](https://en.wikipedia.org/wiki/VeraCrypt), Truecrypt yazılımının devamı olan özgür bir şifreleme aracıdır. [Truecrypt esrarlı ortadan kayboluşu](https://en.wikipedia.org/wiki/TrueCrypt#End_of_life_and_license_version_3.1) ardından özgür bir yazılım olarak hayatına başlayan Veracrypt, tam disk şifreleme, dosya, dizin ve dosya sistemi şifrelemede ender olan bir özellik olarak [inkar edilebilir şifreleme](https://en.wikipedia.org/wiki/Deniable_encryption) imkanı sunmakta. Bu bakımdan kendi başına bir rehber gerektirmekte. |
||||
|
||||
[Buraya katkı verebilirsiniz](https://git.oyd.org.tr) |
||||
|
||||
## Cihazın bir bölümünü şifrelemek |
||||
|
||||
USB belleğinizin tamamını şifrelemek çoğu zaman bu belleğe güvenli şekilde sadece kendi cihazlarınızdan erişebileceğiniz anlamına gelmekte. Şayet belleğinizi başka amaçlarla da kullanmak istiyorsanız bir tercihiniz cihazınızı kısmen şifreleyip bir kısmını erişilebilir tutmaktan geçebilir. |
||||
|
||||
### LUKS ile kısmi şifreleme |
||||
|
||||
USB belleğinizi iki ayrı bölüme ayırarak bir kısmını LUKS ile şifreleyip bir kısmını açık bırakmak mümkündür. Bu belleğinizin bir kısmını olağan dosya aktarımları için kullanılabilir kılarken aynı aygıtı güvenli şekilde veri bulundurmak için de kullanabileceğiniz anlamına gelir. |
||||
|
||||
**NOT:**Şifresiz bölümün birinci bölümde olması gereklidir. Aksi halde Microsoft Windows cihazlar aygıtı tanımayacaktır. |
||||
|
||||
Tüm belleğin LUKS ile şifrelendiği şekilde cihazınızı biçimlendirdikten sonra. Bölüm oluşturma aşamasında, LUKS bölümü oluşturmadan önce cihazı iki bölüme bölmek gereklidir. Bunun için biçimsiz sürücüde bölüm oluşturmak içn + simgesine basıp bölümlendirme menüsüne gelin. |
||||
|
||||
Şifresiz önbölüm için tercih ettiğiniz miktarı belirleyip "ileri" tıklayın. |
||||
|
||||
![alt-text](luks_usb/gd_iki.png) |
||||
|
||||
Karşınıza gelen bölümden, şayet tüm cihazlarla uyumluluk istiyorsanız FAT, 4GB ve daha büyük dosyalar depolayacaksanız NTFS seçin. |
||||
|
||||
![alt-text](luks_usb/gd_iki1.png) |
||||
|
||||
İşlemin tamamlanması sonunda önbölüm ve biçimlendirilmemiş "boş alan" olan iki bölüm oluşacaktır. |
||||
|
||||
![alt-text](luks_usb/gd_iki2.png) |
||||
|
||||
Boş alanı seçip + simgesine basın ve bölüm oluşturma ekranına gelin. |
||||
|
||||
![alt-text](luks_usb/gd_bolumlendir.png) |
||||
|
||||
Tüm alanı seçip "sonraki" düğmesi ile ilerleyin. |
||||
|
||||
![alt-text](luks_usb/gd_bolumlendir2.png) |
||||
|
||||
Karşınıza gelen ekrandan yeni biriminize bir isim verip ekran görüntüsündeki gibi ayarları yaparak sonraki tuşu ile ilerleyin. |
||||
|
||||
![alt-text](luks_usb/gd_bolumlendir3.png) |
||||
|
||||
Bu noktada Gnome Disks size parolanızı soracaktır. Bu parola doğrudan şifrelediğiniz verilerin güvenliği olduğundan kullandığınız [parolanın güvenli olmasına](beseri_guvenlik/parolalar.md) özen göstermelisiniz. Yazılımın sunduğu **güvenlik ölçer çok güvenilir değildir**. Bir [Zarola](https://zarola.oyd.org.tr) size güvenlik ve hatırlanabilirlik açısından en iyi sonucu verecektir. |
||||
|
||||
![alt-text](luks_usb/gd_bolumlendir3.png) |
||||
|
||||
"Oluştur" düğmesine tıklamanız ile Gnome Disks LUKS bölümünüz oluşturmaya başlayacaktır. İşlem bittiğinde anaekranda aşağıdaki görüntü ile karşılacaksınız. Bu noktadan sonra harici depolama aygıtınız kullanıma hazırdır! |
||||
|
||||
![alt-text](luks_usb/gd_bitti2.png) |
||||
|
||||
Şayet özellikle değiştirmedi iseniz GNU/Linux cihazınız bu belleği cihazınıza taktığınızda otomatik olarak LUKS bölümünü algılayacak ve açabilmek için size parola soracaktır. Parolayı girmeniz ile birlikte normal bir usb bellek gibi cihazınıza erişebilirsiniz. |
||||
|
||||
### Sirikali ile dizin şifreleme |
||||
|
||||
[Sirikali](https://mhogomchungu.github.io/sirikali/) GNU/Linux işletim sistemleri için yazılmış çeşitli dosya sistemi şifreleme imkanlarını bir arada sunan bir önyüzdür. Bu araç ile uçbirim karmaşasına girmeden cryfs, gocryptfs, encfs gibi araçları kullanmak mümkün. Sirikali ve tüm şifreleme araçlarını kurmak için aşağıdaki komutu bir uçbirimde çalıştırabilirsiniz. |
||||
|
||||
Debian tabanlı işletim sistemlerinde: |
||||
|
||||
`sudo apt-get install sirikali encfs cryfs gocryptfs` |
||||
|
||||
RPM tabanlı işletim sistemlerinde (Fedora, Redhat, Centos): |
||||
|
||||
`sudo yum install sirikali encfs cryfs gocrypt` |
||||
|
||||
Kurulumun ardından Sirikali'yi çalıştırdığınızda aşağıdaki gibi basit bir ekran sizi karşılayacaktır. |
||||
|
||||
![alt-text](luks_usb/siri_anaekran.png) |
||||
|
||||
Şifreli bir dosya dizini oluşturmak için "Create Volume" düğmesine tıklayıp çıkan şifreleme araçlarından birini seçmelisiniz. Şifreleme araçları farklı özellikler sunmakla tercihinizi aşağıdaki bilgilere göre yapabilirsiniz: |
||||
|
||||
* CryFS: Görece yeni bir yazılım olmakla birlikte sunduğu özellikler bakımında önem arz ediyor. CryFS dizinde bulunan dosyaları sabit bloklar şeklinde şifrelemekte ve bu sayede dosya düzeni ve üstveriye ilişkin bilgi sızdırmamakta. Bu özellik nedeni ile diğer tercihlere göre daha yavaş çalışması söz konusu. |
||||
|
||||
* gocryptfs: CryFS'nin aksine dizin yapısını ve dosyaları koruyarak şifrelemekte. Bu sayede şifrelenne dizinin birebir bir kopyası oluşturulmakta. Aynı zamanda reverse(ters) mod sahibi olduğu için belirli dizinlerin yedeklenmesinde faydalı olmakta. gocryptfs dosyaların boyutları, oluşturulma zamanları ve dizin hiyerarşisi hakkında üstveriyi korumamakta. |
||||
|
||||
* Encfs: Köklü bir geçmişi olmasına rağmen 2014'te fark edilen açıklarından dolayı kullanılması artık önerilmemekte. |
||||
|
||||
Kullanmak istediğiniz yazılımı seçtikten sonra karşınıza gelen ekranda; şifreli dizinizin ismini, bulunmasını istediğiniz dizini (bu kapsamda usb belleğiniz), yetkilendirmek için kullanacağınız yöntemi (key: parola için) ve parolanızı belirledikten sonra "create" düğmesine basarak dizininizi oluşturabilirsiniz. |
||||
|
||||
![alt-text](luks_usb/siri_olustur.png) |
||||
|
||||
![alt-text](luks_usb/siri_olustur2.png) |
||||
|
||||
Bir süre sonra SiriKali ana ekranında aşağıdaki şekilde oluşturulmuş dizininizi ve şu anda yüklendiği alanı göreceksiniz. |
||||
|
||||
![alt-text](luks_usb/siri_olustur3.png) |
||||
|
||||
Bağlanan bölümü çıkarmak için satıda sağ tıklayıp "unmount" seçeneğini seçin. Listeden bölümünüz eksilecektir. |
||||
|
||||
SiriKali otomatik olarak ev dizininizin altında .SiriKali isminde bir noktaya yeni bölümünüzü bağlamaktadır. Bu standart noktayı ayarlardan değiştirebilir veya bağlama sırasında başka bir dizin seçebilirsiniz. |
||||
|
||||
USB belleğinizde kurulum sırasında verdiğiniz isimle yeni bir dizin oluştuğunu ve içinde saçma sapan dosyalar bulunduğunu görebilirsiniz. Bu sizin şifreli dosyalarınızın bulunduğu dizindir ve dosyalarınıza erişebilmek için SiriKali'ye bu dizini göstermeniz gerekecektir. Ana ekrandan "mount volume" seçeneğini seçerek işleme başlayın. |
||||
|
||||
![alt-text](luks_usb/siri_anaekran1.png) |
||||
|
||||
Karşınıza çıkan ekrandan "mount path" bölümüne şifresi çözülecek dosyalarınızın nerede görünmesini istediğinizi belirtin ve parolanızı girerek "open" düğmesi ile bölümü açın. |
||||
|
||||
![alt-text](luks_usb/siri_bagla.png) |
||||
|
||||
SiriKali'nin kriptografik işlemi yapması bir süre alabilir. |
||||
|
||||
![alt-text](luks_usb/siri_bagla2.png) |
||||
|
||||
İşlemin bitmesi ile bağlanan dizini açarak karşınıza çıkaracaktır. İşiniz bittiğinde bölümü Sirikali'den çıkarak verilerinizi tekrar şifreli alanın güvenliğine alabilirsiniz. |
||||
|
||||
## İşletim sistemi uyumluluğu |
||||
|
||||
Şifreleme araçları, özellikle özgür ve güvenilir olanlar, ne yazık ki haklı olarak GNU/Linux işletim sistemlerinde bulunmakta ve sadece LUKS gibi çok ender yazılımlar her dağıtımda standart olarak gelmekte. Bu sebepten neredeyse her şifreleme yazılımının bir şekilde kullanılan bilgisayarlara haricen kurulması gerekmekte. |
||||
|
||||
Buna istisna olarak Veracrypt ve [Cryptomator](https://cryptomator.org/) verilebilecekse de çoğu zaman bu yazılımların bir mobil versiyonu usb bellek üzerinde bulundurulmak ve takılan cihazda çalıştırılarak deşifre işleminin gerçekleştirilmesi gerekmekte. Bu hem takılan cihazın yetkisine bağlı olarak işe yaramayabilir hem de bir binary dosyayı USB bellekte sağdan sola taşıyarak güvenlik sorunu yaratılmasına neden olur. |
||||
|
||||
Aynı zamanda güvenilir olmayan cihazlarda hem parolanızı girmek hem de şifreli dosyalarınızı açmak onların güvenliğini ciddi oranda zedeleyecektir. Bu neden ile USB belleğinizde bulunan şifreli dosyalarınızı güvenmediğiniz cihazlarda açmanız önerilmez. |
||||
|
||||
## SSD'ye rastgele veri yazmak |
||||
|
||||
Bir şifreli alan yaratmadan önce bellek üzerine rastgele veri yazmak iki açıdan faydalıdır. |
||||
|
||||
1. Cihazda eskiden kalmış olabilecek verileri imha etmek ve ileride inceleme ile ortaya çıkmasına engel olmak için sadece 0 yazmaktan çok daha etkilidir. |
||||
|
||||
2. LUKS gibi tüm diski kaplayan şifreleme araçlarında şifreli alanın nerede başlayıp nerede bittiğini saklayarak olası bir saldırganın işini zorlaştırır. |
||||
|
||||
Bu işlemi gerçekleştirmek için ne yazık ki uçbirim kullanmanız gerekmekte. Aşağıdaki komut ile uzun sürecek olsa da belleklerinize rastgele veri yazabilirsiniz. |
||||
|
||||
**ÖNEMLi NOT:** Kullanılan aracın adı "dd" idir ve açılımı **Disk Destroyer** idir. Disk yokedicisi adındaki bir yazılımı kullanırken verilerinizi kalıcı olarak kaybedebileceğinizi öngörerek çok dikkatli davranmanız önerilir. |
||||
|
||||
`dd if=/dev/urandom of=/dev/(cihaz adı) bs=4096 status=progress` |
||||
|
||||
## Sıkça Sorulan Sorular |
||||
|
||||
1. Bir marka çok güvedd if=/dev/urandom of=/dev/sdX bs=4096 status=progress |
||||
nli, üç harfli algoritmalı usb bellekler satıyor, bunlar güvenli mi? |
||||
|
||||
Bu tip cihazlar her zaman cihaz üzerindeki bir donanıma bağlı olarak şifreleme yaparlar. Bu kimi tehdit modelleri için yeterli olsa bile bilmediğiniz bir donanıma ve muhtemelen zayıf bir parolanın güvenliğine kalırsınız. Şayet şifreleme sizin için küçük bir önlem ise ve usb belleğinize koşulsuz şartsız her cihazda ulaşmak istiyorsanız bu yolu kullanabilir çok önemli dosyalarınızı ayrıca şifreleyebilirsiniz. |
||||
|
||||
2. Parmakizi ile çalışan bellekler gördüm bunlara ne demeli? |
||||
|
||||
Biyometrik veriler ile şifreleme güvenliği ne yazık ki kabul edilemez. Bu hem biyometrik verilerin düşük güvenlik seviyesinden kaynaklanır hem de bir saldırganın sizi kolaylıkla parmakiziniz için zorlaması veya kandırması mümkündür. Yukarıdaki önerimiz bu durum için de geçerlidir. |
||||
|
||||
3. Şifreleme USB belleğimi eskitir mi? |
||||
|
||||
Hem evet hem hayır. Şifreli cihazın kurulumu sırasında silme, rastgele veri yazmak gibi işlemler özellikle SSD cihazlar üzerinde eskime yaratabilir. Bu işlemleri sıklıkla tekrar etmediğiniz sürece gözle görülebilir bir sorun yaşamamanız gerekir. Özellikle çağdaş kaliteli cihazların hatrı sayılır ilerlemesi ile belki de bunu hiç endişe olarak taşımamalısınız. |
After Width: | Height: | Size: 64 KiB |
After Width: | Height: | Size: 24 KiB |
After Width: | Height: | Size: 12 KiB |
After Width: | Height: | Size: 12 KiB |
After Width: | Height: | Size: 24 KiB |
After Width: | Height: | Size: 16 KiB |
After Width: | Height: | Size: 13 KiB |
After Width: | Height: | Size: 12 KiB |
After Width: | Height: | Size: 23 KiB |
After Width: | Height: | Size: 14 KiB |
After Width: | Height: | Size: 17 KiB |
After Width: | Height: | Size: 24 KiB |
After Width: | Height: | Size: 17 KiB |
After Width: | Height: | Size: 15 KiB |
After Width: | Height: | Size: 12 KiB |
After Width: | Height: | Size: 23 KiB |
After Width: | Height: | Size: 14 KiB |
After Width: | Height: | Size: 17 KiB |
After Width: | Height: | Size: 14 KiB |
After Width: | Height: | Size: 17 KiB |
After Width: | Height: | Size: 27 KiB |
After Width: | Height: | Size: 22 KiB |
After Width: | Height: | Size: 26 KiB |
After Width: | Height: | Size: 23 KiB |
After Width: | Height: | Size: 20 KiB |
@ -0,0 +1,3 @@ |
||||
# Boot Sektörünü Harici USB Bellekte Taşımak |
||||
|
||||
[Bu sayfaya katkı verebilirsiniz.](https://git.oyd.org.tr/oyd/guvenlik) |
@ -0,0 +1,3 @@ |
||||
# Uzak Sunucuda Dosya Şifreleme |
||||
|
||||
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr) |
@ -0,0 +1,41 @@ |
||||
# GnuPG veya GPG Nedir? |
||||
|
||||
GPG özgür bir kriptografik araçtır. GPG ile [asimetrik](https://en.wikipedia.org/wiki/Public-key_cryptography) ve [simetrik](https://en.wikipedia.org/wiki/Symmetric-key_algorithm) araçları kullanarak şifreleme, imzalama, kimlik doğrulama ve güven ağı oluşturmak gibi işlemlerin yapılması mümkündür. |
||||
|
||||
Günümüzde GPG GNU/Linux işletim sistemlerinin paket dağıtımlarının güvenliğini sağlamaktan, e-posta şifrelemeye ve [yakın zamanın en önemli bilgilerinin](https://en.wikipedia.org/wiki/Edward_Snowden) ortaya çıkmasında kullanılmaktadır. |
||||
|
||||
## PGP'nin tarihi |
||||
|
||||
Bugün özgür yazılımlar arasında bulunan ve çoğunlukla GPG olarak adlandırılan yazılım hayatına Phil Zimmermann'ın yazdığı Pretty Good Privacy (PGP) adıyla başladı. PGP muhtemelen özgür yazılım ve özgür bilgi alanındaki en ilham verici hikayelerden birine sahip. |
||||
|
||||
PGP hayatında 1991'de ilk sürümünün o zamanların yaygın İnternet iletişim platformu olan [Usenet'lere](https://en.wikipedia.org/wiki/Usenet) yüklenmesi ile başladı. Özellikle sonradan sorun olacak ABD yasaları 40 bit genişliğinin üzerindeki anahtarlarla çalışan yazılımların ithalatını yasaklamakta olduğundan Zimmermann'ın isteği üzerine çeşitli arkadaşları aracılığı ile kim zaman ankesörlü telefonlar ve [akustik eşleyiciler](https://en.wikipedia.org/wiki/Acoustic_coupler) aracılığı ile dağıtımı sağlanmıştır. |
||||
|
||||
Yazılım özgür olmamakla birlikte Zimmerman ticari olmayan kullanımları için bir ücret talep etmemiş ve PGP'nin kaynak kodunu da yazılımla birlikte dağıtmıştır. Yazılımın dağıtılması beklendiği üzere ABD hükümetinin dikkatini çekmiş ve Zimmermann ABD askeri ihracat yasasına muhalefetten dava edilmiştir. Aynı zamanda PGP'nin kullandığı [RSA](https://en.wikipedia.org/wiki/RSA) algoritmasının lisans haklarına sahip şirket de konuya dahil olmuştur. |
||||
|
||||
Zimmermann'ın PGP'nin yayılması ve insanlarca özgürce kullanılabilmesi için ortaya attığı fikir ise takdire değerdir. Her ne kadar kriptografik aracın ihracatı kanunun engeline takılıyor olsa da ABD anayasasının fikir özgürlüğü hükmü kişilerin yayınladıkları kitapları mutlak suretle korumaktadır. Bu kapsamda Zimmermann [OCR](https://en.wikipedia.org/wiki/Optical_character_recognition) uyumlu bir yazı tipi ile birlikte [PGP'nin tüm kaynak kodunu](https://html.duckduckgo.com/html?q=PGP%20Source%20Code%20and%20Internals.) MIT yayınevinden yayınlamıştır. Bu sayede kitap anayasal koruma altında dağıtılmış ve dileyenler kitabın cildini ayırarak tarama yardımı ile PGP'ye erişme imkanı sağlamıştır. |
||||
|
||||
PGP'nin Zimmermann tarafından şirketleştirilmesi üzerine [Özgür Yazılım Vakfı](https://fsf.org) öncülüğünde [GnuPG](https://en.wikipedia.org/wiki/GNU_Privacy_Guard#History) adı ile özgür bir yazılım olarak OpenPGP standardına uygun şekilde geliştirilmeye başlanmıştır. |
||||
|
||||
## GPG kullanmak |
||||
|
||||
GPG genel olarak kullanılması zor görülen bir yazılımdır. Bu görüş yazılımın neredeyse 30 yıllık geçmişinde teknik çevrelerce kullanılmasından gelmekte ise de son yıllarda özellikle mahremiyet endişesinin yükselişte olduğu günümüzde son kullanıcı için fazlasıyla kullanışlı yazılımlar geliştirilmiştir. Bu bakımdan artık GPG sadece siyah beyaz uçbirimde çalışan bir yazılım olmaktan çıkmış ve her seviyeden bilgisayar kullanıcısının kolaylıkla kullanabileceği bir hal almıştır. |
||||
|
||||
Elbette GPG kullanıcılarını küçük çocuklar gibi gören ve onların iyiliğini(!) onların adına ve çoğu zaman onlara rağmen düşünen diğer güvenlik vadeden yazılımlar gibi değildir. GPG kullanıcıların kendilerine ve çevrelerine olan güvenine dayanır. [Bu bakımdan GPG gücü ve hali ile sorumluluğu koşulsuz şartsız kullanıcılara verir.](https://oyd.org.tr/en/articles/defense-of-gpg/) |
||||
|
||||
Bu rehber ile GPG kullanımını herkes için kolaylaştırmak ve anlaşılabilir kılmak amaçlanmıştır. Bunu yaparken GPG'nin kullanıcıya aktardığı güç korunmaya çalışılmıştır. Bu bakımdan kullanıcının güvenlik ve sorumluklarını sınırlandıran uygulamalara yer verilmemiştir. |
||||
|
||||
Her seviyeden kullanıcı için kullanım tavsiye ve rehberlerimize göz atabilirsiniz: |
||||
|
||||
* [Kolay GPG anahtar üretimi](gpg-anahtar-uretimi.md) |
||||
|
||||
* [Gelişmiş GPG anahtar üretimi](gpg_gelismis_anahtar_uretimi.md) |
||||
|
||||
* [GPG anahtarını güvenle saklamak](anahtar-saklama.md) |
||||
|
||||
* [GPG anahtarının kağıt yedeğini almak](paperbackup.md) |
||||
|
||||
* [GPG ile uçbirimde işlemler](ucbirim_gpg.md) |
||||
|
||||
* [GPG ile graik arayüzde işlemler](gui_gpg.md) |
||||
|
||||
* [GPG ile e-posta şifreleme](yazisma_guvenligi/openpg.md) |
@ -0,0 +1,394 @@ |
||||
# İleri Anahtar Üretimi |
||||
|
||||
GPG, RSA algoritmasına dayalı asimetrik şifreleme kullanmaktadır. RSA anahtar çiftinin uzun dönem kullanılması ve hali ile saklanması gereklidir. Bu bakımdan hem üretimi hem de saklanması bakımından dikkat gösterilmesi gereklidir. Özellikle şifreleme ihtiyacınız mahremiyet beklentisini aşıp güvenlik gerektiren durumlara yönelik ise anahtar üretimi gibi kritik bir aşamayı olabilecek en az etmen ve şüphe ile yürütmek gerekmektedir. |
||||
|
||||
## Güvenli ortam |
||||
|
||||
Anahtarın üretimi sırasında kullanılan bilgisayar çok önemli bir girdinin kaynağıdır. Entropi, yani cihazınızda anahtar üretimi sırasında kullanılacak rastgeleliğin kalitesi bilgisayarınız ve işletim sisteminize bağlıdır. Aynı zamanda bilgisayarınızda kötücül bir yazılımın çalışmaması veya bilmediğiniz bir açığın söz konusu olması durumunu da göz önünde bulundurmanız faydalı olabilir. Sonuç olarak tehdit modeliniz bu tip sorunları kapsamıyor olsa bile bir kere üretip belki hayatınız boyunca kullanacağınız bir anahtarı çok kolay tedbirler altında üretmenin bir zararı da yoktur. |
||||
|
||||
Şayet bu amaçla rastgele bir konumdan nakit ödeme ile bir bilgisayar alıp tüm ağ araçlarını söküp asla İnternet'e bağlamamayı gerektirecek bir tehdit modeliniz yok ise yapabileceğiniz en kolay ve etkili yöntem bir USB bellek üzerinden [Tails](https://tails.boum.org) başlatarak anahtarınızı bu işletim sistemi üzerinde üretmeniz olacaktır. |
||||
|
||||
[Tails rehberinin yazılmasına katkı verebilirsiniz](https://git.oyd.org.tr/oyd/guvenlik/issues/46) |
||||
|
||||
Bir diğer seçenek ise anahtarınızı bir güvenlik donanımı olan [Gnupg akıllı kart](https://www.floss-shop.de/en/security-privacy/smartcards/13/openpgp-smart-card-v3.3?number=654010) veya [Yubikey](https://www.yubico.com/products/) üzerinde üretmektir. Bu yöntemin faydası güvenlik donanımından başka bilgisayarın hiç bir sistemi anahtarla temas etmemiş olacaktır. Tüm kriptografik işlemler bu cihaz üzerinde güvenli olarak gerçekleşeceğinden birden fazla cihazda güvenli şekilde anahtarınızı kullanmak da kolaylaşmaktadır. Akıllı kart üzerinde anahtar oluşturmanın kötü tarafı ise yedekleme imkanınızın olmamasıdır. Şayet kartınızı kaybeder veya bir sebepten bozarsanız anahtarınız sonsuza kadar şifrelediğiniz verilerle birlikte kaybolacaktır. Akıllı kart kullanmak ama yedek de almak istiyorsanız anahtarınızı bilgisayarda üretip ardından akıllı karta yüklemeniz de mümkündür. |
||||
|
||||
[Akıllı kart ve Yubikey rehberi yazarak bu rehbere katkı verebilirsiniz](https://git.oyd.org.tr/oyd/guvenlik/issues/59) |
||||
|
||||
## Anahtarı Planlamak |
||||
|
||||
### Anahtar işlevleri |
||||
|
||||
Bir GPG anahtarı 4 temel işlev taşıyabilir. Bunlar; sertifika, şifreleme, imzalama, yetkilendirmedir. |
||||
|
||||
* Sertifika: Başka anahtarları imzalamak için gereken işlevdir. |
||||
* Şifreleme: Anahtar ile şifreleme yapmak için gereken işlevdir. |
||||
* İmzalama : Mesaj veya dosyaların bütünlüğünü ve aitliğini kanıtlamak için gereken imzanın atılabilmesi için gereken işlevdir. |
||||
* Yetkilendirme: SSH ve benzeri sistemlerde kimlik kanıtlayarak yetkilendirme almak için gereken işlevdir. |
||||
|
||||
GPG anahtarları bir tane ana anahtar ve çeşitli sayıdaki alt anahtardan oluşur. Sertifika yetkisi ana anahtara ait olmakla birlikte şifreleme, imzalama ve yetkilendirme yetkileri ana anahtara veya alt anahtarlara verilebilmektedir. |
||||
|
||||
### Sertifika yetkisinin önemi |
||||
|
||||
Anahtar sayısı ve yetkilerini değerlendirirken sertifika yetkisi önemlidir. GPG bir şifreleme yazılımı olduğu kadar kimlik yönetimi de sağlamaktadır. Sertifika yetkisi GPG kullanıcısının diğer kullanıcıların anahtarlarını imzalayarak [güven ağı](https://en.wikipedia.org/wiki/Web_of_trust) oluşturulmasını sağlamakta ve alt anahtarlara duyulan güveni de getirmektedir. Bu bakımdan alt anahtarların ifşa olması gibi olumsuz bir durumda ana anahtarın korunabilmiş olması yeni alt anahtarların eski güven ağı kaybedilmeden tekrar oluşturulmasına imkan sağlamaktadır. |
||||
|
||||
Günlük kullanımda sertifika yetkisi özellikle gerekli değildir. Keza alt anahtarlara ait olan şifreleme imzalama ve yetkilendirme işlevleri GPG'nin günlük kullanımı için yeterlidir. Ancak bir başka GPG anahtarının imzalanması, yeni bir alt anahtar oluşturulması veya tarihi geçen bir anahtarın yenilenmesi gibi sıklıkla gerekmeyen durumlarda ana anahtar gerekli olmaktadır. Bu bakımdan ana anahtarı güvenle saklanacağı bir ortama alıp, çalınma ve ifşa olma tehlikesi taşıyan cihazlarda sadece alt anahtarları bulundurarak belirli bir güvenlik elde etmek mümkündür. Bu uygulamanın kötü tarafı ise tüm anahtarlarınızın bir akıllı karta alamayacak olmanız ve her sertifika işlemi için anahtarınızı güvenli alandan çıkarmanın zahmetine katlanmaktır. |
||||
|
||||
### Anahtar boyutu |
||||
|
||||
Anahtarınızın boyutu doğrudan sağlayacağı güvenlik ile ilişkilidir. GPG'nin kullandığı RSA algoritmasında 1024 ile 4096 bit arasında bir anahtar seçmeniz mümkündür. Bugün Türkiye'de kanuna bağlı olarak kullanılan e-imza sertifikaları RSA2048 bit idir. RSA1024 ise artık güvenli kabul edilmemektedir. Anahtarınızın büyüklüğü geleceğe dönük olarak güvenli sayılacağı ömrü de uzatacağından en büyük anahtar genişliğini seçmeniz kesinlikle tavsiye edilir. Anahtar boyutuna ilişkin temel endişe kriptografik işlemlerin işlemci gücü bakımından giderek zorlaşmasıdır. Günümüzde en kötü akıllı mobil cihazın bile işlemci gücü 4096 bit anahtar boyutları ile makul sürelerde işlem yapma imkanı sağladığından bu endişe güncelliğini temel kullanımlar açısından görece yitirmiş durumdadır. |
||||
|
||||
### Anahtar algoritması |
||||
|
||||
GPG'nin güncel versiyonu olan 2.0.19 artık tarihi olarak kullanılan RSA algoritmasının yanında [Elliptic-curve cryptography (ECC)](https://en.wikipedia.org/wiki/Elliptic-curve_cryptography) de desteklemeye başlamıştır. ECC, RSA ile karşılaştırılabilir güvenlik seviyeleri için daha kısa anahtarlar oluşturulmasına imkan sağlamaktadır. [Kuantum bilgisayarlar](https://en.wikipedia.org/wiki/Elliptic-curve_cryptography#Quantum_computing_attacks) ve [arkakapı](https://en.wikipedia.org/wiki/Elliptic-curve_cryptography#Backdoors) endişeleri taşımakla birlikte pratik ve daha kolay yönetilebilir anahtarlara ihtiyaç duyulması durumunda en yüksek anahtar genişliğinde tercih edilmesi düşünülebilir. |
||||
|
||||
### Anahtar yapısı |
||||
|
||||
Şayet GPG'den standart bir anahtar üretmesi istenir ise aşağıdaki gibi bir anahtar oluşturacaktır. |
||||
|
||||
├─Ana anahtar (sertifika ve imzalama) |
||||
└─Alt anahtar (şifreleme) |
||||
|
||||
Bu anahtar ana anahtar ile imzalama işlemini yapacağından neredeyse her işlemde ana anahtarın da sistemde bulunması ve kullanılabiliyor olması gereklidir. GPG'nn böyle bir tercihte bulunmasının iki nedeni vardır. Öncelikle sertifika ve imza işlemleri temelde benzerdir ve ikisi de güven ilişkisi yaratır. Bu bakımdan iki benzer işlemi tek anahtarın görmesi anlamlıdır. İkinci olarak temel işlemleri yapmak için gereken en az anahtar miktarı bu şekilde elde edildiği için anahtar boyutu da küçük olmaktadır. |
||||
|
||||
Fakat tehdit modelinize bağlı olarak daha güvenlik işlevi gösterebilecek bir düzen oluşturmak mümkündür. Sertifika yetkisinin anahtara sağladığı güven ilişkisini günlük kullanımdan yalıtarak alt anahtarların; vadesini, güvenini ve döngüsünü güvenli şekilde yönetmek mümkündür. Şöyle ki; |
||||
|
||||
* Şifreleme anahtarınız çalınan dizüstü bilgisayarınız ile birlikte açığa çıkarsa geçmişe dönük olarak tüm iletişim ve şifreli dosyalarınızın açılması mümkündür. |
||||
|
||||
* İmza anahtarınız benzer bir talihi paylaşırsa bir salırgan bu anahtarı kullanarak sizi taklit edebilir; kullandığınız amaca bağlı olarak size ait görünen metin, dosya ve kod yaratabilir. |
||||
|
||||
* yetkilendirme anahtarınızın ortaya çıkması bu anahtara bağlı olarak giriş yaptığınız tüm sistemlerin ele geçirilmesi anlamına gelebilir. |
||||
|
||||
Bu neden ile GPG'nin kalıcı anahtar modelini biraz kullanım pürüzü yaratacak da olsa elle [geçici(ephemeral)](https://cryptography.fandom.com/wiki/Ephemeral_key) anahtar modeline çevirebilirsiniz. Bu yöntem bir bakııma [OTR](yazisma_guvenligi/otr.md) ve [OMEMO](yazisma_guvenligi/omemo.md) sistemlerinde kullanılan yönteme benzemekle fark olarak her mesajda değil sizin belirleyeceğiniz daha uzun aralıklarda değişim yapmanızı gerektirir. |
||||
|
||||
Basitçe ifade etmek gerekirse; |
||||
|
||||
1. Ana anahtara sadece sertifika yetkisi verilir. |
||||
2. 3 alt anahtara şifreleme, imzalama, yetkilendirme işlevleri verilir. |
||||
3. Ana anahtara 3 yıl gibi uzun bir vade süresi verilir. |
||||
4. Alt anahtarlara 3 ay gibi görece kısa bir vade süresi verilir. |
||||
5. Ana anahtar anahtarlardan ayrılır ve offline olarak güvenli saklanır. |
||||
6. Alt anahtarlar cihazlara aktarılır ve kullanılır. Gerekli görüldükçe veya belirlenen süreler ile değiştirilir. Değişim ana anahtarla yapılır ve imzalanarak güven ağına dahil edilir. |
||||
|
||||
Bu çabaya katlanmak her kullanıcının kendi durumuna göre karar vermesi gereken bir tercih. Keza sizin güvenlik ihtiyaçlarınız için bu durum aşırı olabilir ve sürekli GPG ile uğraşmak canınızı sıkabilir. Geçmişe dönük olarak şifreli verilerinizi sürekli olarak yeniden şifrelemek veya yokoluşa terk etmek sorun yaratabilir. Sizinle iletişime geçen kişiler sürekli olarak anahtarınızın yeni versiyonunu edinmekten sıkılabilir. |
||||
|
||||
Bu süreci işletebilmek için ne yazık ki anahtarınızı baştan buna uygun olarak üretmeniz gerekmektedir. Anahtarlara verilen işlevler daha sonra değiştirilememektedir. Bu rehberde yukarıdaki amacı gösterebilecek bir anahtarın üretim ve kullanım süreci işlenecektir. |
||||
|
||||
## Güvenli Anahtar Üretimi |
||||
|
||||
Anahtar üretimi için güvenli ortamınızı elde ettikten sonra bir uçbirim açarak anahtar üretim sürecine başlayabilirsiniz. |
||||
|
||||
GPG'nin uzman modunu çağırarak anahtar üretim sürecine başlayın. |
||||
|
||||
`gpg --full-gen-key --expert` |
||||
|
||||
Karşınıza aşağıdaki seçenekler çıkacaktır. |
||||
|
||||
``` |
||||
gpg (GnuPG) 2.2.19; Copyright (C) 2019 Free Software Foundation, Inc. |
||||
This is free software: you are free to change and redistribute it. |
||||
There is NO WARRANTY, to the extent permitted by law. |
||||
|
||||
Lütfen istediğiniz anahtarı seçiniz: |
||||
(1) RSA ve RSA (varsayılan) |
||||
(2) DSA ve Elgamal |
||||
(3) DSA (yalnız imzalamak için) |
||||
(4) RSA (sadece imzalamak için) |
||||
(7) DSA (yeteneklerini belirtin) |
||||
(8) RSA (yeteneklerini belirtin) |
||||
(9) ECC and ECC |
||||
(10) ECC (sign only) |
||||
(11) ECC (set your own capabilities) |
||||
(13) Existing key |
||||
(14) Existing key from card |
||||
Seçiminiz? |
||||
|
||||
|
||||
``` |
||||
Bu noktada RSA veya ECC algoritmaları arasındaki kararı vermiş olmanız gereklidir. Rehber RSA algoritmasını geçmişi ve kuantum endişeleri nedeni ile tercih edecektir. 8 tuşuna basıp "enter" ile devam edin. |
||||
|
||||
``` |
||||
bir RSA anahtarı için olası eylemler: İmzalama Onayla Şifrele Kimlik kanıtla |
||||
Şimdilik mümkün eylemler: İmzalama Onayla Şifrele |
||||
|
||||
(1) İmzalama yeteneğini açar/kapar |
||||
(2) Şifreleme yeteneğini açar/kapar |
||||
(3) Kimlik kanıtlama yeteneğini açar/kapar |
||||
(0) Bitti |
||||
|
||||
Seçiminiz? |
||||
|
||||
``` |
||||
|
||||
Bu aşamada ana anahtarınızı ürettiğiniz için amacımıza bağlı olarak sadece Onaylama (sertifika) yetkisinin *mümkün eylemler* arasında kalmasının sağlanması gerekli. Bunun için sırası ile 1-enter-2-enter tuşlayarak imzalama ve şifreleme yetkisini anahtardan ayırabilirsiniz. Bu aşamadan sonra aşağıdaki noktaya vardığınızda 0 tuşlayıp "enter" ile işlemi tamamlayabilirsiniz. |
||||
|
||||
``` |
||||
bir RSA anahtarı için olası eylemler: İmzalama Onayla Şifrele Kimlik kanıtla |
||||
Şimdilik mümkün eylemler: Onayla |
||||
|
||||
(1) İmzalama yeteneğini açar/kapar |
||||
(2) Şifreleme yeteneğini açar/kapar |
||||
(3) Kimlik kanıtlama yeteneğini açar/kapar |
||||
(0) Bitti |
||||
|
||||
Seçiminiz? |
||||
``` |
||||
|
||||
GPG sizden anahtar boyutunuzu girmenizi isteyecektir. En yüksek güvenliği sağlayan anahtar genişliği olan 4096 sayısını girerek "enter" tuşlayın. |
||||
|
||||
``` |
||||
RSA anahtarları 1024 bit ile 4096 bit arasında olmalı. |
||||
İstediğiniz anahtar uzunluğu nedir? (3072) 4096 |
||||
``` |
||||
|
||||
Bu aşamadan sonra anahtarınızın geçerlilik süresini belirlemeniz istenecektir. Bu süre tercihi size kalmış olmakla birlikte ana anahtarınızın geçerliliğini yıl düzeyinde yapmanız kolaylık sağlayacaktır. Süreyi belirlemek için istediğiniz miktarı ardından birimi belirten harf ile girip "enter" tuşlayın. |
||||
|
||||
``` |
||||
İstenen anahtar uzunluğu: 4096 bit |
||||
Lütfen anahtarın ne kadar süreyle geçerli olacağını belirtin. |
||||
0 = anahtar süresiz geçerli |
||||
<n> = anahtar n gün geçerli |
||||
<n>w = anahtar n hafta geçerli |
||||
<n>m = anahtar n ay geçerli |
||||
<n>y = anahtar n yıl geçerli |
||||
Anahtar ne kadar geçerli olacak? (0) 3y |
||||
``` |
||||
|
||||
GPG'nin süreyi doğrulamak için sorduğu soruya evet anlamında "y" veya "e" tuşlayarak devam edebilirsiniz. |
||||
|
||||
``` |
||||
Anahtarın geçerliliği Cum 25 Ağu 2023 09:45:04 +03 de bitecek. |
||||
Bu doğru mu? (e/H ya da y/N) y |
||||
``` |
||||
|
||||
Bu aşamadan sonra GPG size adınız ve e-posta adresinizi soracaktır. Doğal olarak burada doğru cevap vermek zorunda değilsiniz. Bir rumuz ve geçersiz bir e-posta adresi kullanabilirsiniz. Lakin bu durumda anahtarınız ile sosyal çevrenizde bir güven anahtarı oluşturmanızı zorlaştıracağı gibi size e-posta şifrelemek isteyen insanlara da bir külfet getirecektir. Kararı kullanım amacınıza göre belirleyebilirsiniz. |
||||
|
||||
``` |
||||
GnuPG anahtarınızı betimlemek için bir kullanıcı kimliği oluşturmaya ihtiyaç duyuyor. |
||||
|
||||
Adınız ve Soyadınız: Claude Shannon |
||||
E-posta adresiniz: entropyrulez@bell.com |
||||
Önbilgi: |
||||
``` |
||||
|
||||
Karşınıza çıkacak doğrulamayı denetledikten sonra tamam anlamında "t" tuşlayarak devam edebilirsiniz. |
||||
|
||||
``` |
||||
Seçtiğiniz KULLANICI-KİMLİĞİ: |
||||
"Claude Shannon <entropyrulez@bell.com>" |
||||
|
||||
(A)dı ve Soyadı, (Y)orum, (E)posta alanlarını değiştir ya da (T)amam/Çı(k)? |
||||
```` |
||||
|
||||
GPG size parolanızı soracaktır. Burada bir [**Zarola**](https://zarola.oyd.org.tr) kullanmanız hararetle tavsiye edilir. Anahtarınızın güvenliği bu parolaya doğrudan bağlı olduğundan bu parolanın unutmayacağınız şekilde olması ve yeterince entropi içermesini sağlamanın en kolay yolu Zarola yönteminden geçmektedir. |
||||
|
||||
Bu aşamadan sonra cihazınız anakartınızın köşelerinde kalmış entropi için çırpınıp size anahtarınızı üretecektir. Bu süreç `/dev/random` aygıtınızda kalan entropi miktarı ve yenilenme hızına bağlı olarak yavaş olabilir. Bilgisayarınız ile bir şeyler yaparak bu süreci hızlandırabilirsiniz. Anahtarınız hazır olduğunda GPG sizi aşağıdaki çıktı ile karşılayacaktır. |
||||
|
||||
`` |
||||
(A)dı ve Soyadı, (Y)orum, (E)posta alanlarını değiştir ya da (T)amam/Çı(k)? t |
||||
Bir miktar rasgele bayt üretilmesi gerekiyor. İlk üretim sırasında biraz |
||||
hareket (klavyeyi kullanmak, fareyi hareket ettirmek, disklerden yararlanmak) |
||||
iyi olacaktır; bu yeterli rasgele bayt kazanmak için rasgele sayı |
||||
üretecine yardımcı olur. |
||||
gpg: anahtar 6CD5E60735205895 son derece güvenli olarak imlendi. |
||||
gpg: revocation certificate stored as '/home/alper/.gnupg/openpgp-revocs.d/A09D0D53E6BEEF6A971F64036CD5E60735205895.rev' |
||||
genel ve gizli anahtar üretildi ve imzalandı. |
||||
|
||||
pub rsa4096 2020-08-25 [C] [son kullanma tarihi: 2023-08-25] |
||||
A09D0D53E6BEEF6A971F64036CD5E60735205895 |
||||
uid Claude Shannon <entropyrulez@bell.com> |
||||
``` |
||||
|
||||
Şayet `gpg --list-secret-keys` komutunu çağırırsanız yeni anahtarınızı ve detaylarını görecek olmalısınız. |
||||
|
||||
``` |
||||
sec rsa4096 2020-08-25 [C] [son kullanma tarihi: 2023-08-25] |
||||
A09D0D53E6BEEF6A971F64036CD5E60735205895 |
||||
uid [ son derece ] Claude Shannon <entropyrulez@bell.com> |
||||
``` |
||||
|
||||
Artık alt anahtarların üretimine geçmek ve kullanılabilir bir anahtar oluşturmaya başlamak mümkündür. Aşağıdaki komut ile anahtarınızı düzenlemeye başlayabilirsiniz. |
||||
|
||||
`gpg --edit-key --expert [key ID veya e-posta]` |
||||
|
||||
Komut sizi aşağıdaki gibi bir çıktı ile karşılayacak ve promt'ta bekleyecektir. |
||||
|
||||
``` |
||||
gpg (GnuPG) 2.2.19; Copyright (C) 2019 Free Software Foundation, Inc. |
||||
This is free software: you are free to change and redistribute it. |
||||
There is NO WARRANTY, to the extent permitted by law. |
||||
|
||||
Gizli anahtar mevcut. |
||||
|
||||
sec rsa4096/6CD5E60735205895 |
||||
oluşturuldu: 2020-08-25 son kullanma tarihi: 2023-08-25 kullanımı: C |
||||
güvencesi: son derece geçerliliği: son derece |
||||
[ son derece ] (1). Claude Shannon <entropyrulez@bell.com> |
||||
|
||||
gpg> |
||||
``` |
||||
|
||||
`help` yazarak bu aşamada yapabileceğiniz işlemler hakkında bilgi alabilirsiniz. |
||||
|
||||
``` |
||||
gpg> help |
||||
quit bu menüden çık |
||||
save kaydet ve çık |
||||
help bunu gösterir |
||||
fpr parmakizini gösterir |
||||
grip show the keygrip |
||||
list anahtarı ve kullanıcı kimliğini gösterir |
||||
uid N kullanıcı kimliğini seçer |
||||
key N yardımcı anahtarını |
||||
check imzaları sınar |
||||
sign seçilen kullanıcı kimliği imzalar [* ilgili komutlar için aşağıya bakın] |
||||
lsign kullanıcı kimlikleri yerel olarak imzalar |
||||
tsign seçili kullanıcı kimlikleri bir güvence imzasıyla imzalar |
||||
nrsign seçili kullanıcı kimlikleri yürürlükten kaldırılamayan bir imzayla imzalar |
||||
adduid bir kullanıcı kimliği ekler |
||||
addphoto bir foto kimliği ekler |
||||
deluid seçili kullanıcı kimlikleri siler |
||||
addkey bir yardımcı anahtar ekler |
||||
addcardkey bir akıllı karta bir anahtar ekler |
||||
keytocard bir akıllı karttan bir anahtarı taşır |
||||
bkuptocard bir akıllı karttan bir yedekleme anahtarını taşır |
||||
delkey seçili yardımcı anahtarları siler |
||||
addrevoker bir yürürlükten kaldırma anahtarı ekler |
||||
delsig seçili kullanıcı kimliklerden imzaları siler |
||||
expire anahtar için ya da seçili yardımcı anahtarlar için zamanaşımı tarihini değiştirir |
||||
primary seçili kullanıcı kimliğini asıl olarak imler |
||||
pref tercihleri listeler (uzman) |
||||
showpref tercihleri listeler (ayrıntılı) |
||||
setpref Seçili kullanıcı kimlikler için tercih listesini belirler |
||||
keyserver seçili kullanıcı kimlikler için tercih edilen anahtar sunucu adresini belirler |
||||
notation seçili kullanıcı kimlikleri için bir simgelem belirler |
||||
passwd anahtar parolasını değiştirir |
||||
trust sahibiningüvencesini değiştirir |
||||
revsig Seçili tüm kullanıcı kimliklerdeki imzaları yürürlükten kaldırır |
||||
revuid Seçili tüm kullanıcı kimlikleri yürürlükten kaldırır |
||||
revkey anahtarı ya da seçili yardımcı anahtarları yürürlükten kaldırır |
||||
enable anahtarı kullanıma sokar |
||||
disable anahtarı iptal eder |
||||
showphoto seçili foto kimlikleri gösterir |
||||
clean kullanışsız kullanıcı kimlikleri sıkıştırır ve kullanışsız imzaları anahtardan kaldırır |
||||
minimize kullanışsız kullanıcı kimlikleri sıkıştırır ve tüm imzaları anahtardan kaldırır |
||||
|
||||
* The 'sign' command may be prefixed with an 'l' for local signatures (lsign), |
||||
a 't' for trust signatures (tsign), an 'nr' for non-revocable signatures |
||||
(nrsign), or any combination thereof (ltsign, tnrsign, etc.). |
||||
``` |
||||
|
||||
`addkey` komutu ile anahtara alt anahtarlar eklemeye başlayabilirsiniz. Alt anahtar ekleme süreci ana anahtarın üretimi ile tamamen aynıdır. Yukarıdaki adımları tekrar ederek son noktada bir ana anahtar ve 3 belirli işlevi taşıyan alt anahtar üretmiş olmanız gereklidir. |
||||
|
||||
``` |
||||
sec rsa4096/6CD5E60735205895 |
||||
oluşturuldu: 2020-08-25 son kullanma tarihi: 2023-08-25 kullanımı: C |
||||
güvencesi: son derece geçerliliği: son derece |
||||
ssb rsa4096/9D0FFCD0DE126F3D |
||||
oluşturuldu: 2020-08-25 son kullanma tarihi: 2021-08-25 kullanımı: E |
||||
ssb rsa4096/3F7DB977B818DDB4 |
||||
oluşturuldu: 2020-08-25 son kullanma tarihi: 2021-08-25 kullanımı: S |
||||
ssb rsa4096/841A8F682342D15B |
||||
oluşturuldu: 2020-08-25 son kullanma tarihi: 2021-08-25 kullanımı: A |
||||
[ son derece ] (1). Claude Shannon <entropyrulez@bell.com> |
||||
``` |
||||
|
||||
Yukarıdaki gibi veya arzu ettiğiniz sonucu elde ettikten sonra `save` komutu ile değişiklikleri kaydedip çıkabilirsiniz. Artık anahtarınızın aşağıdaki gibi görünüyor olması gereklidir. |
||||
|
||||
``` |
||||
sec rsa4096 2020-08-25 [C] [son kullanma tarihi: 2023-08-25] |
||||
A09D0D53E6BEEF6A971F64036CD5E60735205895 |
||||
uid [ son derece ] Claude Shannon <entropyrulez@bell.com> |
||||
ssb rsa4096 2020-08-25 [E] [son kullanma tarihi: 2021-08-25] |
||||
ssb rsa4096 2020-08-25 [S] [son kullanma tarihi: 2021-08-25] |
||||
ssb rsa4096 2020-08-25 [A] [son kullanma tarihi: 2021-08-25] |
||||
``` |
||||
|
||||
**ÇOK ÖNEMLİ NOT:** Bu noktada anahtarınızın yedeğini güvenli şekilde almanız **hayati** öneme sahiptir. Bunun için rehberdeki [Anahtar Yönetimi](anahtar-saklama.md) ve [Paperbackup ile kağıt yedek](paperbackup.md) rehberlerinden yardım alabilirsiniz. |
||||
|
||||
## Ana anahtarın ayrılması |
||||
|
||||
Ana anahtarı alt anahtarlardan ayırmanın GPG'de belirgin bir yolu bulunmamakta. Bu amacı gerçekleştirmek için biraz dolambaçlı bir yol kullanmak gerekiyor. |
||||
|
||||
**ÖNEMLİ NOT:** Bu bölümde anahtar üzerinde geri döndürülemez işlemler yapılacağından ve işlemlerin bir kısmı yedekten anahtar almayı gerekli kıldığından tüm anahtarınızın yedeğni aldığınızdan emin olun. |
||||
|
||||
Öncelikle anahtarınızın alt anahtarlarını dışarı çıkartmanız gerekmekte. Bu aşamada anahtarın UID'sini belirtmeniz gerekmekte keza e-posta ile bu işlem gerçekleşmiyor. |
||||
|
||||
`gpg --armor --export-secret-subkeys [anahtar ID] > [kayıtdizini]` |
||||
|
||||
Bu işlemin ardından anahtarınızı silin. |
||||
|
||||
`gpg --delete-secret-keys [anahtar ID veya e-posta]` |
||||
|
||||
GPG israrla bu anahtarı silmek isteyip istemediğinizi sorgulayacaktır. Endişesi konusunda haklı olmakla birlikte kararlılığınızı gösterip tüm sorularına olumlu cevap verin. |
||||
|
||||
``` |
||||
gpg (GnuPG) 2.2.19; Copyright (C) 2019 Free Software Foundation, Inc. |
||||
This is free software: you are free to change and redistribute it. |
||||
There is NO WARRANTY, to the extent permitted by law. |
||||
|
||||
|
||||
sec rsa4096/6CD5E60735205895 2020-08-25 Claude Shannon <entropyrulez@bell.com> |
||||
|
||||
Bu anahtar, anahtar zincirinden silinsin mi? (e/H ya da y/N) y |
||||
Bu bir gizli anahtar! - gerçekten silinecek mi? (e/H veya y/N) y |
||||
``` |
||||
|
||||
Bu aşamadan sonra anahtarlığınızda sadece "pub" ile işaretli umumi anahtarınız kalmış olacaktır. |
||||
|
||||
``` |
||||
pub rsa4096 2020-08-25 [C] [son kullanma tarihi: 2023-08-25] |
||||
A09D0D53E6BEEF6A971F64036CD5E60735205895 |
||||
uid [ son derece ] Claude Shannon <entropyrulez@bell.com> |
||||
sub rsa4096 2020-08-25 [E] [son kullanma tarihi: 2021-08-25] |
||||
sub rsa4096 2020-08-25 [S] [son kullanma tarihi: 2021-08-25] |
||||
sub rsa4096 2020-08-25 [A] [son kullanma tarihi: 2021-08-25] |
||||
``` |
||||
|
||||
Artık yedeğini aldığınız alt anahtarları geri yükleyerek ana anahtarınızı içermeyen kullanım anahtarınızı tamamlayabilirsiniz. |
||||
|
||||
`gpg --import [yedek dizini]` |
||||
|
||||
GPG parolanızı soracak ve doğru girmeniz ardından alt anahtarları ekleyecektir. |
||||
|
||||
``` |
||||
gpg: anahtar 6CD5E60735205895: "Claude Shannon <entropyrulez@bell.com>" değişmedi |
||||
gpg: To migrate 'secring.gpg', with each smartcard, run: gpg --card-status |
||||
gpg: anahtar 6CD5E60735205895: gizli anahtar alındı |
||||
gpg: İşlenmiş toplam miktar: 1 |
||||
gpg: değişmedi: 1 |
||||
gpg: gizli anahtarlar okundu: 1 |
||||
gpg: gizli anahtarlar indirildi: 1 |
||||
``` |
||||
|
||||
`gpg --list-secret-keys` ile gizli anahtarlarınızı listelerseniz aşağıdaki gibi ana anahtarınızın sec# şekline işaretli olduğundan eksik olduğunu görebilirsiniz. |
||||
|
||||
``` |
||||
|
||||
sec# rsa4096 2020-08-25 [C] [son kullanma tarihi: 2023-08-25] |
||||
A09D0D53E6BEEF6A971F64036CD5E60735205895 |
||||
uid [ son derece ] Claude Shannon <entropyrulez@bell.com> |
||||
ssb rsa4096 2020-08-25 [E] [son kullanma tarihi: 2021-08-25] |
||||
ssb rsa4096 2020-08-25 [S] [son kullanma tarihi: 2021-08-25] |
||||
ssb rsa4096 2020-08-25 [A] [son kullanma tarihi: 2021-08-25] |
||||
|
||||
``` |
||||
|
||||
Artık cihazlarınızda kullanacağınız sıyrılmış alt anahtarlarınızı dışarı çıkarıp aktarabilirsiniz. |
||||
|
||||
`gpg --export-secret-keys --armor [anahtar ID veye e-posta]` |
||||
|
||||
## Anahtarları akıllı karta aktarmak |
||||
|
||||
Ürettiğiniz anahtarlarınızı daha güvenli kullanmak isterseniz bir Gnupg akıllı karta veya Yubikey gibi bir donanıma aktarabilirsiniz. Bu konuda yardıma ihtiyaç duyarsanız rehberlerimize danışabilirsiniz. |
||||
|
||||
[Yubikey rehberi yazarak katkıda bulunabilirsiniz] |
||||
|
||||
[GnuPG akıllı kart rehberi yazarak katkıda bulunabilirsiniz] |
||||
|
||||
## Kaynaklar |
||||
|
||||
- [Getting Started with GNU Privacy Guard ](https://spin.atomicobject.com/2013/09/25/gpg-gnu-privacy-guard/) |
||||
|
||||
- [GPG Tutorial](https://futureboy.us/pgp.html#GettingStarted) |
||||
|
||||
- [EFF GPG Guide](https://ssd.eff.org/en/module/how-use-pgp-linux) |
@ -0,0 +1,134 @@ |
||||
# Kleopatra ile GPG İşlemleri |
||||
|
||||
[Kleopatra](https://kde.org/applications/en/utilities/org.kde.kleopatra) tüm işletim sistemleri ile kullanılabilir bir GPG önyüzüdür. [Kolay GPG anahtar üretimi](gpg-anahtar-uretimi.md) rehberinde kullanılan bu yazılım aynı zamanda GPG ile yapılabilen kimi kriptografik işlemleri de kullanıcılarına sunmaktadır. |
||||
|
||||
Kleopatra'yı yüklemek için aşağıdaki komutları kullanabilir veya dağıtımınızın grafik yükleyicisini kullanabilirsiniz; |
||||
|
||||
Debian/Ubuntu (APT): `sudo apt-get install kleopatra` |
||||
|
||||
Red Hat/Fedora (RPM): `sudo yum install kleopatra` |
||||
|
||||
Microsoft Windows : [Gpg4win](https://www.gpg4win.org/download.html) |
||||
|
||||
![alt-text](gui_gpg/kleopatra1.png "Kleopatra ana ekranı") |
||||
|
||||
## Şifreleme ve İmzalama |
||||
|
||||
Kleopatranın ana ekranından `İmzala/Şifrele ve/veya Doğrula` düğmesi veya `Dosya/İmzala/şifrele ve/veya Doğrula` sekmesi üzerinden şifreleme ve/veya imzalama işlemine başlayabilirsiniz. Kleopatra size öncelikli olarak hangi dosyaya işlem yapmak istediğinizi soracaktır ve ardından size seçenekleri gösterecektir. |
||||
|
||||
![alt-text](gui_gpg/sifrele_imzala.png) |
||||
|
||||
Bu bölüm üç temel bölüme ayrılmıştır: |
||||
|
||||
* İmzalama |
||||
|
||||
- Dosyayı imzalamak için ilk bölümdeki kutunun seçilmesi ve sahip olunan özel anahtarlardan birinin yanda bulunan menüden seçilmesi gereklidir. Önünüzdeki pencereden sadece imzalama seçeneği seçili olur ise şifreleme yapılmadan sadece dosyaya ilişkin bir imza dosyası oluşturulacak ve aynı dizine .sig uzantısı ile kaydedilecektir. |
||||
|
||||
* Şifreleme |
||||
|
||||
- Dosyayı asimetrik şifrelemek için "Başkası içn şifrele" seçeneği seçilerek buraya umumi anahtarlar arasında bulunan bir anahtarın ismi veya e-posta adresi girilmeldir. Şayet bu aşamada "Benim için şifrele" seçeneğini seçer iseniz şifrelenen dosyayı daha sonra tekrar açmanız mümkün olur. Aksi takdirde şifrelenen dosya bir daha sadece şifrelenen kişi tarafından açılabilecekir. |
||||
|
||||
- Şayet şifrelemeyi bir parola ile simetrik olarak yapmak isterseniz "Parola ile şifreleme" kutusunu seçerek ilerlemeniz mümkündür. Şayet hem üst bölümde asimetrik şifrelemeyi hemde parola ile şifrelemeyi seçerseniz dosya her iki türlü de açılabilecektir. |
||||
|
||||
* Çıktı (Dosya/Dizin seçimi) |
||||
|
||||
- Çıktı Kleopatranın size ilk aşamada sorduğu dosyadır. |
||||
|
||||
## Anahtar yönetimi |
||||
|
||||
Kleopatra ana ekranında cihazda bulunan tüm GPG anahtarlarını listeler. Bu listenin kapsamını arama barının sağ tarafındaki menüden değiştirebilirsiniz. |
||||
|
||||
Anahtar yönetimine ilişkin ayarlara erişmek için ilgili anahtara çift tıklayın veya sağ tıklayıp menün en altındaki "ayrıntılar" sekmesini seçin. |
||||
|
||||
![alt-text](gui_gpg/detaylar.png) |
||||
|
||||
### Anahtar imzalama |
||||
|
||||
Anahtarı, kendinize ait bir anahtar ile imzalamak için görülen e-posta adresine sağ tıklayıp "onayla" seçeneğini seçin. Alternatif olarak bu işlemi ana menüde yine ilgili anahtarın üstüne sağ tıklayıp "onayla" seçeneğini seçerek de gerçekleştirebilirsiniz. Seçiminizi yaptıktan sonra karşınıza imza sayfası çıkacaktır. |
||||
|
||||
![alt-text](gui_gpg/imza1.png) |
||||
|
||||
İmza sayfasından "next" düğmesi ile devam edip imza seçeneklerinin listeleneceği bölüme geçebilirsiniz. |
||||
|
||||
![alt-text](gui_gpg/imza2.png) |
||||
|
||||
Bu bölümde iki tercihiniz bulunmakta: |
||||
|
||||
* Sadece benim için onayla: Cihazınızın yerel güven veri tabanına bu anahtarın güvenlilir olduğunu kaydedecektir. Bu güven ilişkisi bu anahtara sahip olan başkaları tarafından görülmeyecektir. |
||||
|
||||
* Görebilen herkes için onayla: Bu seçenek anahtarı kriptografik olarak imzalayacak ve anahtarın sizdeki kopyasını elde eden herkes tarafından doğrulanabilecektir. Şayet "sunucuya gönder" seçeneğini seçer iseniz imzalanmış anahtarı sunucuya yükleyerek bu güven ilişkisini tüm dünya ile paylaşabilirsiniz. |
||||
|
||||
**ÖNEMLİ NOT:**Sunucuya gönderilen bilgiler daha sonra silinemez sadece geri alınabilir. İmzanızı sunucu ile paylaşırsanız duyduğunuz güveni ve ilişkiyi herkes ile paylaşmış olursunuz. Bu imzayı daha sonra geri alabilirsiniz ama imzanın bir zamanlar var olduğu her zaman sunucuda kayıtlı kalır. |
||||
|
||||
### E-posta adresi ekleme |
||||
|
||||
Her yeni e-posta ile yeni bir anahtar oluşturmanız gerekmemekte. Bu sebeple yeni edindiğiniz bir e-posta adresinin bu anahtar ile kullanılabileceğini belirtmek için anahtarınızın kimlikleri arasında yeni bir e-posta adresi ekleyebilirsiniz. Bunun için "E-posta adresi ekle" düğmesine tıklayın. Karşınıza gelen sayfaya e-posta adresini girip ekleme işlemini tamamlayabilirsiniz. |
||||
|
||||
![alt-text](gui_gpg/add1.png) |
||||
|
||||
Tercihen bir yorum veya farklı bir isim girmek için "gelişmiş" seçenekleri açıp ekleme işlemini bu şekilde de yapabilirsiniz. |
||||
|
||||
![alt-text](gui_gpg/add2.png) |
||||
|
||||
### Parola değiştirme |
||||
|
||||
Anahtarınızın parolasını kötü bir çeviri ile "Parola metnini değiştir" düğmesi aracılığı ile değiştirebilirsiniz. Bu düğmeyi tıklamanız üzere Kleopatra size şu anda kullandığınız parolayı soracak ve ardından yenisini girmenizi isteyecektir. |
||||
|
||||
![alt-text](gui_gpg/parola.png) |
||||
|
||||
### İptal sertifikası oluşturma |
||||
|
||||
Anahtarınızın kontorlünü bir gün parolasını unutmanız veya anahtar dosyasını kaybetmeniz gibi bir sebeple yitirmeniz durumuna karşı bir iptal sertifikası oluşturabilirsiniz. İptal sertifikası bir anahtar gibi sunucuya yüklendiğinde ilgili olduğu anahtarı kullanılmaz olarak işaretlemeye yarar. Kısa bir anahtara benzeyen bu dosyayı kötü günlere karşı üretip bir kenara koymanız önerilir. Bunun için [kağıt yedek](paperbackup.md) rehberindeki yöntem önerilir. |
||||
|
||||
Anahtarınıza ilişkin iptal sertifikasını "iptal sertifikası oluştur" düğmesine tıklayıp kaydedilmesini istediğiniz ismi açılan pencerede belirleyerek oluşturabilirsiniz. |
||||
|
||||
![alt-text](gui_gpg/iptal.png) |
||||
|
||||
### Anahtarın vadesini değiştirmek |
||||
|
||||
GPG anahtarları belirli bir süre sonra kullanılmaz olarak işaretlenebilirler. Bu anahtarın kontrolünü kaybetmeniz durumunda yenileme işlemini yapamamanız sonucunda gerçekleşir. Bu süreyi dilediğiniz gibi ayarlayabilirsiniz. Bir veya iki yıl uygun bir süre olarak öngörülebilir. |
||||
|
||||
Ayarı yapmak için "bitiş tarihi" sütünunun yanındaki düğmeyi kullanarak açılan takvimden yeni tarih belirleyebilirsiniz. |
||||
|
||||
![alt-text](gui_gpg/vade.png) |
||||
|
||||
![alt-text](gui_gpg/takvim.png) |
||||
|
||||
### İmzaları incelemek |
||||
|
||||
GPG anahtarları başka kullanıcıların anahtarları imzalanarak güven ağı oluşturulur. Bu imzaları görerek anahtara imza atan diğer anahtarları incelemek için "Certification" düğmesini tıklayarak ilgili bölümü açmanız mümkündür. |
||||
|
||||
![alt-text](gui_gpg/sertifika.png) |
||||
|
||||
## Umumi anahtarı dışa çıkartmak |
||||
|
||||
Kleopatra ana menüsünde bir anahtarın üzerine sağ tıklayı "Dışa aktar" seçeneğini seçerek umumi anahtarı bir dosyaya kaydetmek mümkündür. Bu sayede anahtar şifreleme yapmak üzere dağıtılabilir ve e-posta gibi iletişim araçları ile paylaşılabilir. |
||||
|
||||
![alt-text](gui_gpg/menu.png) |
||||
|
||||
## Özel anahtarı dışarı çıkartmak |
||||
|
||||
Umumi anahtar gibi özel anahtar da aynı menüden "Gizli anahtarı dışa aktar" seçeneği ile bir dosyaya kaydedilebilir. Kleopatra sizden bu işlemi gerçekleştirmek için anahtarın parolasını talep edecektir. |
||||
|
||||
![alt-text](gui_gpg/parola.png) |
||||
|
||||
**ÖNEMLİ NOT:**Özel anahtar güvenliğiniz için çok önemlidir. Bu anahtarı ele geçiren bir kişi sizi taklit edebilir ve şifrelediğiniz dosyaları açabilir. Bu sebeple bu anahtarı kimse ile paylaşmamalı ve anahtar dosyalarını çok dikkatli saklamalısınız. |
||||
|
||||
## Sunucuya anahtar göndermek |
||||
|
||||
Hem kendi umumi anahtarınızı hem de diğer umumi anahtarları, anahtar sunucularına göndermeniz mümkündür. Bunu bir anahtarı imzaladığınızda veya anahtarınızda değişiklik yaptığınızda değişikliklerinizi ilan etmek için yapmalısınız. Bir anahtarın üstüne sağ tıkladıktan sonra açılan menüden "sunucuya gönder" seçeneği ile işlemi gerçekleştirebilirsiniz. |
||||
|
||||
Kleopatra haklı olarak aşağıdaki uyarıyı karşınıza çıkaracaktır. Uyarıyı dikkate alarak hareket etmeniz tavsiye edilir. |
||||
|
||||
![alt-text](gui_gpg/uyari.png) |
||||
![alt-text](gui_gpg/onay.png) |
||||
|
||||
## Sunucuda anahtar aramak |
||||
|
||||
Kleopatra ile bir e-postaya ait anahtarı anahtar sunucularında arayabilirsiniz. Bunun için Kleopatra'da Dosya menüsünden "sunucuda ara" seçeneğini seçip karşınıza gelen ekrande isim veya e-posta adresi ile arama yapıp dilediğiniz anahtarı "içeri aktar" düğmesi ile indirebilirsiniz. |
||||
|
||||
![alt-text](gui_gpg/arama.png) |
||||
|
||||
Kleopatra herkese açık sunuculardan indireceğiniz bir anahtarın ismi yazan kişiye veya e-postaya ait olmadığına dair haklı bir uyarıyı size gösterecektir. Bu uyarıya uygun olarak anahtarlarınızı belirtilen şekillerde doğrulamanız veya imza kontrolü yapmanız önerilir. |
||||
|
||||
![alt-text](gui_gpg/uyari1.png) |
After Width: | Height: | Size: 8.0 KiB |
After Width: | Height: | Size: 24 KiB |
After Width: | Height: | Size: 16 KiB |
After Width: | Height: | Size: 46 KiB |
After Width: | Height: | Size: 29 KiB |
After Width: | Height: | Size: 39 KiB |
After Width: | Height: | Size: 52 KiB |
After Width: | Height: | Size: 144 KiB |
After Width: | Height: | Size: 37 KiB |
After Width: | Height: | Size: 13 KiB |
After Width: | Height: | Size: 23 KiB |
After Width: | Height: | Size: 21 KiB |
After Width: | Height: | Size: 47 KiB |
After Width: | Height: | Size: 29 KiB |
After Width: | Height: | Size: 31 KiB |
After Width: | Height: | Size: 31 KiB |
After Width: | Height: | Size: 51 KiB |
@ -0,0 +1,97 @@ |
||||
## GPG ile uçbirimde işlemler |
||||
|
||||
GPG temel olarak komut satırında çalışan bir yazılımdır. Bu bakımdan grafik arayüzler tarafından sunulmayan pek çok faydalı özelliği uçbirim aracılığı ile kullanmak ve kimi zaman grafik arayüzlerin sunduğu işlevleri daha kolay yerine getirmek mümkündür. Pek çok kullanıcı için uçbirim korkutucu olabilmektedir. Lakin her Gnu/Linux cihazda bir uçbirim ve GPG kurulu olduğu düşünüldüğünde GPG'nin evrensel kullanımı uçbirimde toplanmaktadır. |
||||
|
||||
GPG'nin man sayfası çok kalabalıktır. Bu rehberde son kullanıcıya lazım olabilecek temel ve orta seviyedeki işlevler ipuçları ile birlikte sunulacaktır. Şayet GPG ile ilgili daha çok şey öğrenmek istenirse aşağıdaki komut ile man sayfasının okunması veya pratik olarak yardım sayfasının çağrılması mümkündür. |
||||
|
||||
`man gpg` ve `gpg --help` |
||||
|
||||
## Şifreleme ve İmzalama |
||||
|
||||
[Uçbirim aracılığı ile e-posta](yazilim_guvenligi/ucbirim_eposta.md) şifreleme, imzalama ve deşifre rehberine bu başlıktaki detaylar için başvurulabilir. |
||||
|
||||
## Simetrik şifreleme |
||||
|
||||
GPG sadece RSA ve ECC gibi asimetrik şifreleme algoritmalarını değil aynı zamanda AES gibi simetrik şifreleme imkanlarını da sunmaktadır. Bu şifreleme yönteminde bir parola hem şifreleme hem deşifre için kullanıldığından özel bir anahtar yönetimine ihtiyaç duyulmaz ve kimi zaman kullanımı tercih edilebilir. |
||||
|
||||
Bir mesajı veya dosyayı simetrik olarak şifrelemek için aşağıdaki komutları kullanabilirsiniz: |
||||
|
||||
`gpg --symmetric --armor` veya `gpg -ca` |
||||
|
||||
Bir dosyayı şifrelemek isterseniz aşağıdaki komutu girebilirsiniz. GPG şifrelenmiş dosyayı .asc uzantısı ile aynı yere kaydedecektir: |
||||
|
||||
`gpg --symmetric --armor [dosya dizini]` |
||||
|
||||
Şifrelediğiniz veriyi aynı zamanda bir anahtarınız var ise imzalayarak sizden geldiğine ve bütünlüğüne kanıt oluşturabilirsiniz. |
||||
|
||||
`gpg --symmetric --sign --armor` veya `gpg -csa` |
||||
|
||||
## İmzalama |
||||
|
||||
GPG birden fazla şekilde imzalama yapabilmektedir. Her imzalama tipi iletim ve gereken karakter bakımından farklılık arz ettiğinden kullanıcının beklentisine göre tercih yapması mümkündür. |
||||
|
||||
### Clear-sign |
||||
|
||||
Clear-sign veya açık imza imzalanan içeriğin okunabilmesine imkan sağlamaktadır. Bu sayede mesajınız gözle okunabilirken dileyen biri altında bulunan imza bloğu ile birlikte mesajınızın doğruluğunu denetleyebilmektedir. Bu şekilde bir mesaja imza atmak isterseniz aşağıdaki komutu girip mesajınızı yazın ve `ctrl + D` komutu ile sonlandırın. |
||||
|
||||
`gpg --clear-sign` |
||||
|
||||
### Embeded-sign |
||||
|
||||
Embeded veya gömülü imza, mesaj ve imza bloğunun tek bir base64 bloğunda kodlanması ile ortaya çıkar. Bu mesaj şifreli olmamakla birlikte okunabilmesi için yine de çözülmesi gereklidir. Bu şekilde bir imza elde etmek için aşağıdaki komutu girip mesajınızı yazın ve `ctrl + D` komutu ile sonlandırın. |
||||
|
||||
`gpg --sign --armor` |
||||
|
||||
### Detached-sign |
||||
|
||||
Detached veya ayrık imza, imzalanan veri ile imza bloğunun ayrı dosyalar olması anlamına gelmektedir. Çoğunlukla dijital verilerin doğruluğunu göstermek için kullanır. Dosyanın yanında aynı isimde .sig uzantılı imza dosyası da gelir. Bu tip bir imza oluşturmak için aşağıdaki komutu kullanabilirsiniz. GPG imza dosyasını imzalanan dosyanın yanına .sig uzantısı ile ekleyecektir. |
||||
|
||||
`gpg --detached-sign [dosya dizini]` |
||||
|
||||
Şayet imzayı metin olarak aktarmayı düşünüyorsanız `--armor` paramteresini ekleyerek base64 kodlama ile aynı işlemi gerçekleştirebilirsiniz. |
||||
|
||||
`gpg --detached-sign --armor [dosya dizini]` |
||||
|
||||
## İmza denetleme |
||||
|
||||
GPG ile imzalanmış bir metni doğrulamak için aşağıdaki komutu kullanıp mesajı yapıştırdıktan sonra `ctrl + D` komutu ile işlemi tamamlayabilirsiniz. |
||||
|
||||
`gpg --verify` |
||||
|
||||
Şayet bir dosyaya ait .sig uzantlı imzayı denetleyecekseniz ve dosya ile imza dosyasının adı aynı ise aşağıdaki komutu kullanabilirsiniz. |
||||
|
||||
`gpg --verify [imza dosyası.sig]` |
||||
|
||||
## Umumi anahtarları listeleme |
||||
|
||||
GPG kullanımı iletişime geçeceğiniz kişilerin umumi anahtarlarını da bulundurmanızı gerektirmekte. Bu anahtarlar bir firhist gibi cihazınızda tutulmaktadır. Bunları listelemek için aşağıdaki komutu kullanabilirsiniz. |
||||
|
||||
`gpg --list-keys` |
||||
|
||||
Anahtarlığınızdaki belirli bir anahtarı arıyor iseniz aşağıdaki şekilde arama yapabilirsiniz. |
||||
|
||||
`gpg --list-keys [anahtar ID veya e-posta]` |
||||
|
||||
## Özel anahtarları listeleme |
||||
|
||||
Şayet size ait özel anahtarlarınızı listelemek isterseniz aşağıdaki komutu kullanabilirsiniz. |
||||
|
||||
`gpg --list-secret-keys` |
||||
|
||||
## İmzaları listeleme |
||||
|
||||
## Anahtar imzalarını kontrol etme |
||||
|
||||
## Umumi anahtar dışa çıkartma |
||||
|
||||
## Sunucuda anahtar arama |
||||
|
||||
## Sunucuya anahtar gönderme |
||||
|
||||
## Anahtarları güncelleme |
||||
|
||||
## Anahtar içe aktarma |
||||
|
||||
## Anahtar düzenleme |
||||
|
||||
## Anahtar imzalama |
@ -0,0 +1,72 @@ |
||||
# Kmail ile GPG Şifreli E-posta |
||||
|
||||
Kmail GNU/Linux dağıtımlarında yaygın olarak kullanılan KDE masaüstü ortamının e-posta istemcisidir. KDE'nin diğer e-posta istemcilerine göre avantajı herhangi bir eklenti veya ayar gerektirmeden GPG desteği vermesi. Bu bakımdan GPG şifreli imzalamaya bilgisayar üzerinden giriş yapmanın en kolay yolu sayılabilir. |
||||
|
||||
## Kmail kurulumu |
||||
|
||||
Kmail'i bilgisayarnıza işletim sisteminizin paket yöneticisinden kolaylıkla kurabilirsiniz. Şayet KDE masaüstü ortamını kullanmıyorsanız KDE'ye özel bir takım bağımlılıkları da indirmeniz ve kurmanız gerekeceğinden kurulum boyutunuz bir miktar büyüyebilir. |
||||
|
||||
Bilgisayarınıza Kmail kurulumu yapmak için: |
||||
|
||||
Debian tabanlı dağıtımlarda |
||||
|
||||
`sudo apt-get install kmail` |
||||
|
||||
RPM tabanlı dağıtımlarda (fedora, centos) |
||||
|
||||
`sudo yum install kmail` |
||||
|
||||
Kurulum tamamlandıktan sonra Kmail cihazınızda çalışmaya hazır olacaktır. |
||||
|
||||
## Kmail Sihirbazı |
||||
|
||||
Kmail ilk açılışta kurulum sihirbazı başlatacaktır. Bu sihirbaz ile yeni bir e-posta hesabı ekler iken bu hesaba ilişkin bir GPG kurulumu da yapılacaktır. Kuruluma e-posta hesabınızın bilgilerini girmek ile başlayabilirsiniz. Şayet e-posta sağlayıcınız Mozilla veri tabanında bulunursa otomatik olarak ayarları yapılacaktır. |
||||
|
||||
![alt-text](kmail/kmail_wizard.png) |
||||
|
||||
Şayet işletim sisteminizde hali hazırda girdiğiniz e-posta adresine ait bir GPG anahtarı var ise Kmail otomatik olarak bunu bulacak ve size ilişkilendirilmek üzere gösterecektir. |
||||
|
||||
![alt-text](kmail/kmail_wizard1.png) |
||||
|
||||
Bir GPG anahtarınız yok ise Kmail size bir anahtar oluşturmayı veya var olan bir anahtarı içe aktarmayı önerecektir. |
||||
|
||||
![alt-text](kmail/kmail_wizard_gen.png) |
||||
![alt-text](kmail/kmail_wizard_gen1.png) |
||||
|
||||
Bir parola belirleyip anahtar kurulumunuzu "next" tuşu ile ilerleyerek başlatabilirsiniz. GPG anahtarınızın güvenliği bu parolaya bağlı olacağı ve e-postalarınızı okumak için bu parolayı belirli aralıklarla girmeniz gerekeceğinden hem güvenli hem de hatırlanabilir bir parolaya ihtiyacınız bulunmakta. Kmail bu noktada bir parola gücü ölçeri bulunduruyor olsa da bu parolanızın güvenliği konusunda çok kısıtlı bir görev görebilir. GPG parolası olarak [**Zarola**](https://zarola.oyd.org.tr) kullanmanız hararetle tavsiye edilir. |
||||
|
||||
**ÖNEMLİ NOT:** Şayet bu anahtarı kullanmaya ve saklamaya hazır değilseniz veya sadece bir deneme yapıyorsanız paroladan sonra gelen "publish this key on public key server" tıkını kaldırmanız önerilir. Keza sunucuya yüklenen GPG anahtarları bir daha silinemez sadece iptal edilebilir. Bu konuda detaylı bilgi almak için [GPG rehberine](yazisma_guvenligi/gpg/gpg.md) danışabilirsiniz. |
||||
|
||||
Ayarlarınızı tamamladıktan ve anahtarınızı belirledikten sonra Kmail sunucu ayarlarınızın bulunamamış olması durumunda yapmanız için aşağıdak seçenekler sunacaktır. Buradan Generic IMAP veya POP3 tercih edileblir. |
||||
|
||||
![alt-text](kmail/kmail_wizard2.png) |
||||
|
||||
Sunucu adresleri girildikten sonra "next" düğmesi ile devam edebilirsiniz. |
||||
|
||||
![alt-text](kmail/kmail_wizard3.png) |
||||
|
||||
Her şey yolunda giderse kurulumunuz başarılı olarak tamamlanacak ve Kmail'in anasayfasına dönebileceksiniz. |
||||
|
||||
![alt-text](kmail/kmail_wizard4.png) |
||||
|
||||
## Kmail ile şifreli e-posta atmak |
||||
|
||||
Kmail kurulumu tamamlandıktan sonra GPG ile e-posta atmaya ve almaya hazırsınız demektir. Bunun için yeni bir eposta açın. |
||||
|
||||
![alt-text](kmail/new.png) |
||||
|
||||
![alt-text](kmail/new1.png) |
||||
|
||||
Karşınıza gelecek yeni mesaj ekranında şifreleme hali hazırda açık olacaktır. Şayet GPG anahtarlığınızda ilişkilendirilmiş bir e-posta adresini alıcı olarak girerseniz otomatik olarak Kmail e-postayı şifreleme seçeneğini de açacaktır. |
||||
|
||||
![alt-text](kmail/new3.png) |
||||
|
||||
Şayet GPG anahtarı yönetimi konusunda yardım ihtiyacınız var ise yine bir KDE yazılımı olan [Kleopatra ile GPG işlemleri](yazilim_guvenligi/gpg/gui_gpg.md) rehberinden yardım alabilirsiniz. |
||||
|
||||
Gönder demeniz ile birlikte e-postanız şifrelenip imzalanarak karşı tarafa gönderilecektir. |
||||
|
||||
## Şifreli e-postayı açmak |
||||
|
||||
Kmail şifreli gelen e-postaları otomatik olarak deşifre etmeyi önerecektir. "Decrypt" seçeneğini seçmeniz üzerine Kmail parolanızı size soracak ve ardından e-postayı deşifre edecektir. |
||||
|
||||
![alt-text](kmail/gelen.png) |
After Width: | Height: | Size: 17 KiB |
After Width: | Height: | Size: 47 KiB |
After Width: | Height: | Size: 67 KiB |
After Width: | Height: | Size: 35 KiB |
After Width: | Height: | Size: 30 KiB |
After Width: | Height: | Size: 20 KiB |
After Width: | Height: | Size: 68 KiB |
After Width: | Height: | Size: 68 KiB |
After Width: | Height: | Size: 15 KiB |
After Width: | Height: | Size: 35 KiB |
After Width: | Height: | Size: 43 KiB |
@ -0,0 +1,107 @@ |
||||
# Mailvelope ile Webmail Üzerinde Şifreleme |
||||
|
||||
Mailvelope özgür bir tarayıcı eklentisi olarak webmail olarak tarayıcı üzerinde kullanılan e-posta hizmetleri ile GPG şifreli e-postalaşmaya imkan sağlar. Mailvelope kullanarak e-posta kullanım alışkanlıklarınızda fazla değişikliğe gitmeden güvenli yazışma yapmaya kolaylıkla başlayabilirsiniz. |
||||
|
||||
Her halukarda şifreli e-posta kullanmanın görece en güvensiz yolunun bir tarayıcı eklentisi kullanmak olduğunu belirtmek gereklidir. Bu yöntem ile sizin ile iletişiminiz arasında fazlasıyla yazılıma güven duymanız gerekmektedir. Tarayıcınız, eklenti ve kullandığı diğer sistemler diğer şifreleme yöntemlerine göre daha geniş bir saldırı alanına sahiptir. Bu bakımdan basitçe mahremiyetinizi korumaktan fazlasına ihtiyacınız var ama görece sorunsuz bir şifreleme istiyorsanız [Thunderbird ve Enigmail](thunderbird_enigmail.md) ile şifrelemeyi tercih edebilirsiniz. |
||||
|
||||
## Mailvelope kurulumu |
||||
|
||||
Başlangıç olarak Mailvelope'u tarayıcınıza bir eklenti olarak kurmalısınız. Bunun için tarayıcınızın sağladığı eklenti yöneticisinden arama yaparak ilgili bağlantı aracılığı ile kurulumu kolaylıkla gerçekleştirebilirsiniz. |
||||
|
||||
![alt-text](mailvelope/kurulum.png) |
||||
|
||||
Kurulumun ardından Mailvelope sizi şifreleme için gerekli kurulumu tamamlamak üzere menüsüne yönlendirecek sayfayı açacaktır. "Let's start" düğmesi ile ayarları yapmaya başlayabilirsiniz. |
||||
|
||||
![alt-text](mailvelope/yonlendirme.png) |
||||
|
||||
Açılan ilk sayfa sizi anahtar üretmek veya var olan anahtarınızı içe aktarmak için gerekli iki temel ayarı içermektedir. Şayet bir anahtarınız yok ise burada hızlıca üretebilir veya [Kolay GPG anahtarı üretimi](gpg/gpg-anahtar-uretimi.md) ile daha gelişmiş seçeneklerle [İleri GPG anahtarı üretimi](gpg/gpg_gelismis_anahtar_uretimi.md) rehberlerimizden faydalanıp ürettiğiniz anahtarı daha sonra Mailvelope'a aktarabilirsiniz. |
||||
|
||||
Bir GPG anahtarınız olduğu varsayımı ile bu anahtarı içe aktarmak için `Import Key` düğmesine tıklayarak anahtar yönetimine gidin. |
||||
|
||||
![alt-text](mailvelope/iceaktar.png) |
||||
|
||||
Açılan anahtar yönetimi sayfasında hem umumi hem özel anahtarların yüklenmesi mümkündür. Bu aşamada kendi özel anahtarımızı yükleyeceğimiz için `Add file` seçeneğini seçip anahtar dosyasını bulunduğu dizinden seçin. Gelen başlıktan doğru anahtarı yüklediğinize emin olup "confirm" düğmesine tıklayarak onaylayın. |
||||
|
||||
![alt-text](mailvelope/anahtar_dogrula.png) |
||||
|
||||
Anahtarın başarılı şekilde içe aktarılması durumunda Mailvelope sizi bir başlıkla bilgilendirecektir. |
||||
|
||||
![alt-text](mailvelope/iceaktar_onay.png) |
||||
|
||||
Bu noktadan sonra Mailvelop'da bir özel anahtarınız bulunmakla size gelen şifreli e-postaları açmaya hazırsınız. |
||||
|
||||
## E-posta alan adının yetkilendirilmesi |
||||
|
||||
Mailvelope hangi alan adlarında çalışacağına dair izin istemektedir. şayet önceden e-posta hizmet sağlayıcı olarak Mailvelope tarafından tanınan e-postalardan birini kullanmıyorsanız (ör: Riseup) e-postanıza tarayıcınızdan gidiğinizde Mailvelope'ı bu alan adına yetkilendirmeniz gereklidir. |
||||
|
||||
Bunu yapmanın en kolay yolu e-postanıza girip Mailvelope eklenti simgesine tıklayıp "Authorize this domain" tuşu ile alan adını yetkilendirmektir. |
||||
|
||||
![alt-text](mailvelope/alan_yetki.png) |
||||
|
||||
![alt-text](mailvelope/alan.png) |
||||
|
||||
## Gelen şifreli e-postayı açmak |
||||
|
||||
Size gelen şifreli e-postaları Mailvelope bu aşamadan sonra otomatik olarak algılayacaktır. Gelen bir e-postayı açtığınızda Mailvelope şifreli veriyi görecek ve size bu mesajı görmek isteyip istemediğinizi soracaktır. "Show message" düğmesi ile mesajı görüntülemeyi seçin ve ardından gerekiyor ise anahtarınızın parolasını girin. |
||||
|
||||
![alt-text](mailvelope/mesaj.png) |
||||
|
||||
![alt-text](mailvelope/recv.png) |
||||
|
||||
## Şifreli e-posta göndermek |
||||
|
||||
### Yazışılacak kişinin umumi anahtarını bulmak |
||||
|
||||
İlk e-postanızı aldıktan sonra sıra şifreli olarak cevap vermekte. Bunu yapmadan önce yazışmak istediğiniz kişiye ait umumi anahtarı Mailvelope'a göstermeniz gereklidir. Mailvelope otomatik anahtar tanıma seçeneklerine sahip olmadığından bunu her kişi için en az bir kere tekrar etmeniz gerekli. |
||||
|
||||
Mailvelope eklenti sembolünden "keyring(anahtarlık)" simgesine tıklandığında anahtar yönetimine ulaşılır. Buradan "import" seçeneğine tıklayarak bir anahtar eklemek mümkündür. |
||||
|
||||
![alt-text](mailvelope/alan_yetki.png) |
||||
|
||||
![alt-text](mailvelope/iceaktar.png) |
||||
|
||||
Şayet kişi size anahtar dosyasını e-posta ekinde gönderdi veya siz bu anahtarı [başka yollardan](gpg/ucbirim_gpg.md) elde ettiyseniz ilgili dosyayı bu aşamada gösterip eklemeniz mümkündür. Aksi halde bir [anahtar sunucusunda](https://en.wikipedia.org/wiki/Key_server_(cryptographic)) arama yaparak anahtarı bulabilirsiniz. Bunun için "search" sekmesine gelip arama bölümüne girin. |
||||
|
||||
![alt-text](mailvelope/umumi_ara.png) |
||||
|
||||
Arama tuşuna basmanızla Mailvelope standart [Ubuntu anahtar sunucusunda](https://keyserver.ubuntu.com) aramaya yaparak sonuçlar size gösterecektir. Anahtar sunucularındaki anahtarların doğruluğunu belirleyen bir otorite olmadığından buradaki **anahtarların doğruluğuna şüphe ile yaklaşmalısınız**. Bir kişinin adı e-posta adresi ile herkes bir anahtar oluşturup sunuculara yükleme imkanına sahiptir. Bu neden ile anahtarı ilgili kişiden doğrulamalı veya [güven ağı](gpg/ucbirim_gpg.md) ile bu doğrulamayı sağlamalısınız. |
||||
|
||||
![alt-text](mailvelope/umumi.png) |
||||
|
||||
İlgili anahtarı bulduktan sonra anahtarın ID'si üzerine tıklayarak anahtarı görüntüleyebilirsiniz. Mailvelope otomatik olarak anahtarı algılayacak ve eklemeniz için size simge gösterecektir. |
||||
|
||||
![alt-text](mailvelope/sunucu.png) |
||||
|
||||
### E-posta şifrelemek ve göndermek |
||||
|
||||
Yazışacağınız kişinin e-postasına ait umumi anahtarını bulup ekledikten sonra o kişiye şifreli ve imzalı bir e-posta atmaya hazırsınız demektir. Bunun için normalde e-posta yazmak için ne yapıyorsanız onu yapın ve düzenleme sayfasına gelin. Bu aşamada yeni bir simgeyi fark etmeniz gereklidir. Bu simge ile Mailvelope size şifreli e-posta atma imkanı sağlamaktadır. |
||||
|
||||
![alt-text](mailvelope/simge.png) |
||||
|
||||
Simgeye tıklamanız üzerine Mailvelope yeni bir sayfa açarak size e-postanızı yazma imkanı tanıyacaktır. |
||||
|
||||
![alt-text](mailvelope/cevap.png) |
||||
|
||||
Mesajınızı ve göndermek istediğiniz kişinin e-posta adresini girdikten sonra "Encrypt" düğmesine basmanız üzerine Mailvelope mesajınızı şifreleyip imzalayacaktır. Bunun işlemi gerçekleştirmek için sizden parola istemesi muhtemeldir. Ardından mesaj alanına geri döndüğünüze şifreli mesajınızı göreceksiniz. |
||||
|
||||
![alt-text](mailvelope/parola.png) |
||||
|
||||
![alt-text](mailvelope/gonderi.png) |
||||
|
||||
Artık e-postanızı güven içinde gönderebilirsiniz. |
||||
|
||||
## Mailvelope ayarları |
||||
|
||||
Mailvelope güvenlik ve mahremiyetiniz açısından önemli olabilecek bir grup basit ayar sunmaktadır. Mailvelope'u uzun vadeli kullanmaya hazırlanmadan önce bu ayarları gözden geçirip değerlendirmeniz önerilir. |
||||
|
||||
Genel ayarlar altında "would you like to sign all emails?" ile giden tüm e-postalarınızı şifreleme seçeneğini açmanız önerilir. Bu sayede hem sizin GPG kullandığını bilmediğiniz biri size şifreli mesaj atabilir hem de e-postanın bütünlüğünü garanti altına alabilirsiniz. |
||||
|
||||
![alt-text](mailvelope/ayarlar_genel.png) |
||||
|
||||
Güvenlik ayarları birkaç temel güvenlik seçeneği içermekte. |
||||
|
||||
* Bunların arasında anahtarınızın parolasının hatırlanması ve hatırlanacak sürenin girileceği alan bulunmaktadır. Bu süreyi görece kısa tutmanız veya hiç kullanmamanız önerilir. Kullanım alışkanlıklarınıza göre bu süreyi dilediğiniz gibi ayarlayabilirsiniz. |
||||
|
||||
* En altta bulunan "OpenPGP settings" altındaki seçenek gönderilen iletilerde şifreleme için Mailvelope kullanıldığının belirtilmesine ilişkindir. Alıcınız veya diğer üçüncü kişi için bu bilginin bir önemi olmadığından ve sizin hakkınızda gereksiz bir bilgiyi üçüncü kişilere aktardığından bu seçeneğin işaretlenerek mahremiyetinizi koruyabilirsiniz. |
||||
|
||||
![alt-text](mailvelope/ayarlar_guvenlik.png) |
After Width: | Height: | Size: 20 KiB |
After Width: | Height: | Size: 40 KiB |
After Width: | Height: | Size: 24 KiB |
After Width: | Height: | Size: 150 KiB |
After Width: | Height: | Size: 154 KiB |
After Width: | Height: | Size: 58 KiB |
After Width: | Height: | Size: 159 KiB |
After Width: | Height: | Size: 127 KiB |
After Width: | Height: | Size: 20 KiB |
After Width: | Height: | Size: 137 KiB |
After Width: | Height: | Size: 36 KiB |
After Width: | Height: | Size: 100 KiB |
After Width: | Height: | Size: 44 KiB |
After Width: | Height: | Size: 10 KiB |
After Width: | Height: | Size: 96 KiB |
After Width: | Height: | Size: 46 KiB |
After Width: | Height: | Size: 27 KiB |
After Width: | Height: | Size: 120 KiB |
@ -0,0 +1,114 @@ |
||||
# Uçbirim ile E-posta Şifrelemek |
||||
|
||||
Şayet oldschool yöntemi benimsemek isterseniz e-posta şifrelemek adına, bu işlemi terminalden yapmaktan daha iyi bir yol bulamazsınız! GPG ilk ortaya çıktığında kullanımı terminalden bir mesajı şifrelemek göndermek üzere e-posta istemcisine yapıştırmak ve tekrar aynı yoldan deşifre etmekten geçiyordu. Günümüzde [Thunderbirg/Enigmail](thunderbird_enigmail.md) gibi yazışmayı çok kolaylaştıran arayüzler geliştirilmiş olsa da terminalden bu işlemi gerçekleştirebilmek hala temel düzeyde faydalı olabilmektedir. |
||||
|
||||
## E-postanızı yazın |
||||
|
||||
Öncelikle e-postanızı daha rahat ettiğiniz bir yerde yazmak isteyebilirsiniz. Bunun için tercihiniz olan bir metin editörünü seçebilir veya bir kelime istemci de kullanabilirsiniz. GPG sadece salt metin olarak çalışacağından formatlama detaylarının mesajınıza aktarılmayacağını hatırlatmalıyız. |
||||
|
||||
## Bir uçbirim açın |
||||
|
||||
Kullandığınız Gnu/Linux dağıtımında bulunan bir uçbirim penceresini, GPG anahtarınızın sahibi olan kullanıcı olarak açın. Bunun için grafik arayüzden faydalanabilir veya aşağıdaki tuş kombinasyonunu kullanabilirsiniz. |
||||
|
||||
`ctrl + alt + t` |
||||
|
||||
## GPG ile mesajınızı şifreleyin ve imzalayın |
||||
|
||||
Aşağıdaki komut ile GPG'yi mesaj şifreleme aşamasına geçirin. |
||||
|
||||
`gpg --encrypt --armour` veya `gpg -ea` |
||||
|
||||
Tercihen mesajınızı imzalamayı da seçebilirsiniz. Bu hem alıcınızın mesajın sizden geldiği konusunda emin olmasını sağlar hem de mesajın bütünlüğünü garanti eder. |
||||
|
||||
`gpg --encrypt --sign --armour` veya `gpg -esa` |
||||
|
||||
Mesajınızı sadece imzalayarak sizden geldiğini de kanıtlamak isteyebilirsiniz. Bu imkan GPG anahtarı olmayan birinin dahi mesajın size ait olduğunu doğrulamasına imkan sağlar. |
||||
|
||||
`gpg --clear-sign` |
||||
|
||||
Şayet sisteminizde varsayılan olan bir anahtar var ise GPG imzalama için kendiliğinden bu anahtarı kullanacaktır. Şayet sisteminizde olan başka bir anahtarı kullanmak isterseniz aşağıdaki ek komut ile anahtarınızı belirtin. |
||||
|
||||
`gpg --clear-sign -u (anahtar ID veya e-posta)` |
||||
|
||||
Dilediğiniz komutu çalıştırdığınızda aşağıdaki şekilde GPG sizden alıcının e-posta adresini veya kullanılacak anahtarın ID'sini isteyecektir. |
||||
|
||||
``` |
||||
gpg: using "xxxxxxxxxxxxxxxx" as default secret key for signing |
||||
You did not specify a user ID. (you may use "-r") |
||||
|
||||
Current recipients: |
||||
|
||||
Enter the user ID. End with an empty line: |
||||
|
||||
``` |
||||
Alıcınızın kullandığı anahtarda belirttiği e-posta adresini girip "enter" tuşuna basın ve başka bir alıcı yok ise tekrar gelen ekrande bir adres girmeden "enter" tuşlayın. |
||||
|
||||
Terminal sizi yanıp sönen imleci ile karşılayacaktır. Buraya mesajınızı yazın veya kopyalayın. Her şeyin yerinde göründüğünü düşündüğünüzde aşağıdaki tuş kombinasyonu ile işlemi tamamlayın. |
||||
|
||||
`ctrl + D` |
||||
|
||||
GPG size mesajınızın şifreli çıktısını verecektir. |
||||
|
||||
``` |
||||
-----BEGIN PGP MESSAGE----- |
||||
|
||||
hQIMA2YZNFxt9JB3AQ/7BW72H19P3yYliDyn5DOjxrTaQ0DZGLI3iRMXIb11JWEC |
||||
rCRvN8pokKeSa/8jcWFodWmsbj1hz5apFQho54HUuTRu3Q91QNgKOEXphiHGeEG8 |
||||
Io1EYV/xzeH0v/NzJsQprqeEcr1hdbN3IfDkVV6jE2XZckZ6plOFM+Ubxe2UhXiE |
||||
EFx8x6p6mO8tNESy/TBGlIk/6hhrXISMqSz1JKdsbiyUTYGzmcM0lz7UzidMtjhJ |
||||
npb8b0nRSfBNufavqFRNhqedkYc9+dDvILs8VH2KVSPJjtSrUOPuKgcBWcLDMFl7 |
||||
y94MaZwh3aIPOlEyVId8iCLO1XyzYRN8MWyyvsK7Z5O+Fs8sfmGTSBiKfzKP+7aU |
||||
Ine1cUjPXvh3DDHm9qPbSRGr/nr5W+Pt5TvEzNs2hiS4LuM9kQW2+FZYCMJgJXaE |
||||
DeRyx8RrPUJG8LnazZ4yFVNfQq8CBxcR+xjKDbtPtgiI9u2Cvoo/H1rQzOS+1/nQ |
||||
kq4xmdjrYTHLr0VXWWU+Zjy/qXNHYAvkwKXNwqJ58W+eQBQwc2GeYW79fo+cc2DV |
||||
7zv078sbodikV1uda7jQvHuDnSUa8nJPpoSjTWb+Fv/YAesQjgJlDjsqm/K3ElUq |
||||
UvcJOSf31P2PytfUxH8saI/sRe0ciX2PFSvhLBKygLtxzBOOkzFqh6UO9JzVv1rS |
||||
6QFIjHJTZebjytaMF/iGJnL99F7kaLUzdBJh7zpkT3Blj3Bldk2zo7lZOoJxHTGI |
||||
kfIJRWYPkP1qStTqu6EKr8NaJkbtM2SZ7uZgqXIxX+ncX4bLXsTj63y3jytVO/Q8 |
||||
yiMJva+8nK6mwu1dqN8zsPHwaaggH16JXlBwcwtdB9mze7OAmRfwirMWwnHtsc8S |
||||
zuRUHPdlXbjRuPzBJA8tChl4LvSdqivjlGq7XK+hcfmjmevc7DnaJznSR++Q52O/ |
||||
E16lKbQCmf/9c1l19f2HuNWHscxppLaeGqM7+5EFgj13riN08wKiMODBtJyH/vbP |
||||
nt3XamHevon7H0rsXse/0TY8BomEaaVlpn85MgGNVA0Zb3UxaZm++bWwBW/Kvpu3 |
||||
1LWPWZx4WmJwT+EA4nSF2HwxUWyy6FeQf2z+mfyEnbhxueFnig6f5hfm6OvIR4PJ |
||||
5LwHDXgcKCzvNUGFLLFf5ZR/6lLJZ7wFvlNvqdvNNTrkhqU5/qw5uJuA1F5jUYf7 |
||||
Rl5WGSLBJN0FWryW30SuFlNcQgU0xxyKwPSnrPRg3mPMumQ1LaOPO8SCzogklQM6 |
||||
jdktewFEJb5A4LR+Fh/MpwP5AiPwpl+CAMe3jZSiOhJzBjun/UJS2M8s1hIVTzSd |
||||
gLa/ewTVc6jkyGDmUpQMOQTumm7IIyX0HBhZBYtDBxq9lPStrCpNkgmPIblHLwtX |
||||
95krDh2WORbuYxlzlE8/R6KfhqCxPMMn4+eS401zeSv3Z/u+3ImHXZTAz/qf+rcl |
||||
vn7ufVp6IyzMHmQ742l1tpaX3PRq0V+AprSbupodAACzf+zrkJqiC08O6Bz7cX0c |
||||
WtrjYbxxnjdYPsuV3HGS380HSrdlp8LhMAHDpha5gT7Ge7FHdCk= |
||||
=ezWd |
||||
-----END PGP MESSAGE----- |
||||
|
||||
``` |
||||
|
||||
Bu noktadan sonra soz konusu çıktıyı alıp dilerseniz e-posta ile dilerseniz mektup ile mesajın şifrelendiği kişiye gönderebilirsiniz. |
||||
|
||||
**BONUS:** Şayet mesajınızı metin olarak yazdıysanız **pro** şekilde aşağıdaki komutla da doğrudan şifreleyebilirsiniz: |
||||
|
||||
`cat [metin yolu] | gpg -esa` |
||||
|
||||
Şayet mesajınızı Libreoffice ile yazdıysanız daha ilginç şekilde aşağıdaki komut ile doğrudan mesajınızı metin olarak şifreleyebilirsiniz: |
||||
|
||||
`soffice --cat [belge yolu] | gpg -esa` |
||||
|
||||
## Mesajınızı deşifre edin |
||||
|
||||
Yukarıdaki gibi bir mesajın alıcısı iseniz Terminalden bu mesajı deşifre etmeniz çok kolay. Tek yapmanız gereken aşağıdaki komutu girip ardından mesajı yapıştırmak. |
||||
|
||||
`gpg --decrypt` veya `gpg -d` |
||||
|
||||
Mesajı yapıştırdıktan sonra `ctrl + D` ile işlemi sonlandırabilirsiniz. GPG size parolanızı soracak ve ardından mesajınızı gösterecektir. |
||||
|
||||
``` |
||||
gpg: encrypted with 4096-bit RSA key, ID 6619345C6DF49077, created 2016-10-26 |
||||
"Alper Atmaca <xxxxxxxxxxxxxxxxxxxx>" |
||||
entropi ne süpergpg: Signature made Pzt 24 Ağu 2020 22:41:49 +03 |
||||
gpg: using RSA key 8F2E9434DDFF4613F6829D8B471A839AB4DD8E6D |
||||
gpg: Good signature from "Alper Atmaca <xxxxxxxxxxxxxxxx>" [ultimate] |
||||
gpg: aka "Alper Atmaca <xxxxx@riseup.net>" [ultimate] |
||||
gpg: aka "Alper Atmaca <xxxxxx@gmail.com>" [ultimate] |
||||
gpg: aka "Alper Atmaca <xxxxx@oyd.org.tr>" [ultimate] |
||||
gpg: aka "Alper Atmaca (alperatmaca@gmail.com) <alperatmaca@gmail.com>" [ultimate] |
||||
|
||||
``` |