Disk şifreleme, bilgisayar veya depolama cihazındaki verilerin şifrelenerek korunmasını sağlayan bir güvenlik önlemidir. Bu işlem, bilgisayarın sabit diski veya taşınabilir depolama cihazları gibi depolama birimlerinde bulunan verileri şifreleyerek, yetkisiz erişimlere karşı koruma sağlar. Şifreleme, verilerin çalınması veya kaybolması durumunda, bu verilere sadece doğru şifreye sahip olanların erişebilmesini sağlar. Ayrıca kişisel kullanımda ya da kurum içerisinde disk şifreleme yapılmadan önce veri yedekleme yapılması önerilir.
Kurumların Neden Kullanması Gerekir?
Disk şifrelemenin kurumlarda ve şahsi bilgisayarlarda kullanılmasının genel amacı sabit diskte ve taşınabilir cihazlarda veri güvenliğini sağlamaktır. Ayrıca kurumlarda Uyumluluk ve Düzenleyici gereksinimleri de disk şifrelemeyi kurumlara mecbur kılmaktadır. Aşağıda yer alan mevzuat ve uyumlarda disk şifreleme ile ilgili maddeleri ve standartlara ulaşabilirsiniz. Kurumunuzun verdiği hizmete göre uymanız gereken standart ve mevzuat değişiklik gösterecektir.
- Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği 3.3.2. Taşınabilir Bilgisayar Güvenliği, Tedbir 3.3.2.4 Disk Şifreleme
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Fiziksel Ortam Aktarımı- Ek-A-8.3.3.
- PCI DSS v3.2.1 Madde 3.4.1 (a,b,c)
- Stanford University Information Security Standart End User Computing Whole Disk Encyption
- Center of Internet Security-CIS Control 3. Data Protection 3.9. Encrypt Data on Removable Media
- FIPS 140-3 (Federal Information Processing Standards Publication)
Disk Şifrelemeden Önce Yapılması Gerekenler Nelerdir?
Kişisel kullanımda ya da kurumsal disk şifreleme çözümlerinde disk şifreleme yapılmadan önce veri yedekleme yapılmalıdır. Veri yedekleme işlemi yedeklemek istediğiniz veri boyutuna göre değişlik gösterecektir.
Disk şifreleme yapılmadan önce şifreleme türü, kullanılan işletim sistemi ve şifreleme tipi gibi seçenekleri belirleyip daha sonrasında kurumsal çözümler için ihtiyaç durumunda kurtarma prosedürünün hazırlanması gerekmektedir. Bununla birlikte disk şifrelemenin hangi türde yapılacağı yaygınlaştırma stratejisinin belirlenmesi ve şifrelemenin yazılımsal veya donanım destekli olarak mı yapılacağı belirlenmelidir.
Disk Şifrelemede Teknik Detaylar Nelerdir?
İşletim Sistemi ve Yazılım
Disk şifreleme yaparken kullanacağınız yazılımın işletim sisteminize uyumlu olması gerekmektedir. Bazı kurumlarda birden fazla işletim sistemi kullanılması kullanıcıları birden fazla platforma uyumlu disk şifreleme yazılımlarını itmektedir. Birden fazla platforma (İşletim sistemine) uyumlu yazılımlar genellikle güvenlik yazılımı ürünlerinde bulunmaktadır.
- BitLocker (Windows): Microsoft’un Windows işletim sistemi için sunduğu bir disk şifreleme çözümüdür. BitLocker, Windows Professional ve Enterprise sürümlerinde bulunur.
- FileVault (macOS): Apple’ın macOS işletim sistemi için sunduğu disk şifreleme çözümüdür. FileVault, macOS’un güvenlik özelliklerinden biridir.
- VeraCrypt (Çok platformlu): Ücretsiz ve açık kaynaklı bir disk şifreleme yazılımıdır. Windows, macOS ve Linux gibi çeşitli platformlarda kullanılabilir. TrueCrypt projesinin devamıdır.
- LUKS (Linux): Linux sistemlerinde kullanılan disk şifreleme standardıdır. LUKS, genellikle disk bölümlerini şifrelemek için kullanılır ve birçok Linux dağıtımında bulunur.
- Symantec Endpoint Encryption (Çok Platformlu): Kurumsal düzeyde disk şifreleme çözümleri sunan Symantec’in ürünüdür. Windows, macOS ve Linux platformlarını destekler.
- McAfee Endpoint Encryption (Çok Platformlu): McAfee firmasının sunduğu bir disk şifreleme çözümüdür. Birden fazla işletim sistemini destekler.
- Check Point Full Disk Encryption (Windows ve macOS): Check Point firmasının sunduğu disk şifreleme çözümüdür. Windows ve macOS platformlarını destekler.
- Sophos SafeGuard (Çok Platformlu): Sophos’un disk şifreleme ve dosya şifreleme çözümüdür. Windows, macOS, Linux, iOS ve Android platformlarını destekler.
Yukarıda yer alan yazılımlar farklı işletim sistemlerini desteklemektedir. Kullanıcı ihtiyaçlarına göre farklı özelliklere sahiptirler. Disk şifreleme yazılımı seçerken, kullanılacak platform, özellikler, yönetim kolaylığı ve uyumluluk gibi faktörleri dikkate almak önemlidir.
Şifreleme Algoritmaları
Disk şifreleme yazılımları, genellikle güvenli bir şekilde verileri şifreleyerek sabit disk üzerindeki bilgileri korur. Şifreleme yazılımlarında kullanılan algoritmalar genellikle hız, performans ve güvenlik özelliklerine göre değişiklik gösterirler. Aşağıda en yaygın kullanılan şifreleme algoritmalarını bulabilirsiniz.
- AES (Advanced Encryption Standard): AES, güvenli ve hızlı bir şifreleme algoritmasıdır. Bit seviyelerine bağlı olarak 128, 192 veya 256 bit anahtar uzunluklarıyla kullanılabilir. BitLocker (Windows işletim sistemi tarafından sağlanır) ve VeraCrypt gibi yazılımlar AES’yi destekler.
- Twofish: Twofish, özellikle açık kaynak disk şifreleme yazılımı VeraCrypt tarafından kullanılan bir başka güçlü şifreleme algoritmasıdır.
- Serpent: VeraCrypt ayrıca Serpent şifreleme algoritmasını da destekler. Serpent, güvenlik odaklı bir şifreleme algoritmasıdır.
- Blowfish: Blowfish, birçok şifreleme yazılımında kullanılan eski ancak hala güvenli bir simetrik anahtarlı şifreleme algoritmasıdır.
- SHA-256 (Secure Hash Algorithm 256-bit): SHA-256, genellikle bir karma algoritması olarak kullanılır ve hash fonksiyonu olarak disk şifreleme yazılımlarında güvenlik amacıyla kullanılır.
Anahtar Yönetimi
Güvenlik, anahtar yönetimi ile doğrudan ilişkilidir. Disk şifreleme, genellikle anahtar tabanlı bir sistemdir. Anahtarlar, verileri şifreler ve şifreyi çözer. Güvenli bir anahtar yönetimi stratejisi, anahtar değişimini, anahtar güncellemelerini ve güçlü anahtar oluşturulmasını içerir.
- Şifre Tabanlı Anahtar Yönetimi: Kullanıcı tarafından belirlenen bir şifre veya parola kullanılarak anahtar oluşturulur. Kullanıcı, şifreyi hatırlamak ve doğru bir şekilde girmek zorundadır. Ancak, güçlü bir şifre seçimi önemlidir.
- Anahtar Dosyası (Keyfile) Tabanlı Anahtar Yönetimi: Anahtar oluşturulurken kullanıcıya bir anahtar dosyası verilir. Bu dosya, disk şifreleme sistemi tarafından tanınan bir biçimde özel olarak oluşturulmuş bir dosyadır. Kullanıcı, bu dosyayı sistemle birlikte kullanmalıdır.
- Donanım Tabanlı Anahtar Yönetimi: Bazı disk şifreleme sistemleri, özel bir donanım parçasını (örneğin, TPM – Trusted Platform Module) anahtar yönetimi için kullanabilir. Bu donanım, güvenli anahtar depolama ve şifreleme işlemleri için özel olarak tasarlanmıştır.
- FIDO (Fast Identity Online) Tabanlı Anahtar Yönetimi: FIDO protokolü, özellikle güvenli kimlik doğrulama amacıyla kullanılan bir standardı ifade eder. Disk şifreleme sistemlerinde de bu protokol kullanılarak anahtar yönetimi sağlanabilir.
- Anahtar Değişimi ve Yenileme: Disk şifreleme sistemleri, belirli bir süre sonra veya belirli olaylardan sonra (örneğin, şifre değişikliği) anahtarları değiştirebilir. Bu, sistem güvenliğini artırmak için önemlidir.
- Merkezi Anahtar Yönetimi: Büyük ölçekli kuruluşlar, anahtar yönetimini merkezi bir konumdan kontrol etmek için özel çözümler kullanabilir. Bu, anahtarların güvenli bir şekilde yönetilmesini ve dağıtılmasını sağlar.
Her bir yönetim metodunun avantajları ve dezavantajları vardır. Seçilecek olan yöntem, uygulamanın güvenlik gereksinimleri, kullanılabilirlik beklentileri ve organizasyonel ihtiyaçlara bağlı olarak değişebilir.
Donanım Tabanlı Anahtar Yönetimi
Bazı disk şifreleme sistemleri, özel bir donanım parçasını (örneğin, TPM – Trusted Platform Module) anahtar yönetimi için kullanabilir. Bu donanım, güvenli anahtar depolama ve şifreleme işlemleri için özel olarak tasarlanmıştır.
Trusted Platform Module (TPM), bilgisayar güvenliğini sağlamak üzere tasarlanmış bir donanım modülüdür. TPM’nin temel işlevleri arasında anahtar yönetimi, donanım tabanlı güvenli depolama, güvenli başlangıç (secure boot), ölçülebilirlik, güvenli rastgele sayı üretimi, güvenli anahtar takasları ve özel anahtar kullanım kontrolleri bulunur. TPM, özel anahtarları güvenli bir şekilde oluşturabilir ve saklayabilir. Bu anahtarlar genellikle şifreleme ve dijital imza gibi güvenlik işlemlerinde kullanılır. TPM’nin donanım tabanlı güvenli depolama özelliği sayesinde, bu anahtarlar fiziksel olarak güvenli bir çip içinde saklanır. Böylece, kötü amaçlı yazılımlar veya dış tehditlere karşı daha dirençli bir güvenlik sağlanır.
Güvenli başlangıç süreci, TPM’nin bilgisayarın başlangıcında işletim sistemi ve diğer önyükleme süreçlerinin bütünlüğünü korumasını sağlar. TPM, bu aşamada ölçülebilirlik özelliğini kullanarak, bilgisayarın her aşamasının ölçümlerini alır ve bu ölçümleri güvenli bir şekilde saklar.TPM, güvenli rastgele sayılar üretebilir ve güvenli anahtar takaslarını gerçekleştirebilir. Bu özellikler, kriptografik işlemler sırasında kullanılır ve güvenli iletişimi sağlar. Ayrıca, TPM, özel anahtarların kullanımını kontrol eder, bu da özellikle belirli bilgisayarlar veya uygulamalar tarafından kullanılmak üzere sınırlamalar getirilebileceği anlamına gelir.
Donanım Tabanlı Disk Şifrelemenin Kullanıcılara Sağladığı Avantajlar Nelerdir?
- TPM, anahtarları donanım tabanlı güvenli bir modülde sakladığı için, anahtarların güvenliği daha yüksektir. TPM olmadan yapılan disk şifrelemelerde, anahtarlar genellikle yazılım tabanlıdır ve saldırılara daha açık olabilir.
- TPM, fiziksel saldırılara karşı dirençli bir donanım modülü sağlar.
- Güvenli önyükleme (Secure Boot) süreçlerini destekleyerek işletim sisteminin güvenli bir şekilde başlatılmasına yardımcı olur.
- TPM rastgele sayılar üretebilir, bu da şifreleme anahtarlarının güvenli bir şekilde oluşturulmasına katkıda bulunur. Oluşturulan rastgele sayılar şifreleme anahtarının daha güvenlikli olmasını sağlar.
- Genellikle uzaktan yönetim ve güvenlik politikalarının uygulanmasında daha fazla esneklik sağlar.
Tam Disk Şifreleme (FDE) & Dosya Tabanlı Şifreleme (FBE) & Encrypt File System (EFS ) Nedir?
Tam Disk Şifreleme(Full Disk Encryption)
Tam Disk Şifreleme (FDE), bir bilgisayarın veya depolama cihazının tamamını şifreleyen bir güvenlik önlemidir. FDE, disk üzerindeki tüm verileri, dosyaları ve işletim sistemini korumak için kullanılır. Bu sistemde, bilgisayar veya depolama cihazına erişim sağlamadan önce bir şifre veya anahtar gerekir. Veri okuma ve yazma işlemleri şifreleme ve şifre çözme işlemleri aracılığıyla gerçekleşir. FDE, donanım veya yazılım düzeyinde uygulanabilir. Genellikle simetrik anahtarlı şifreleme algoritmaları kullanılarak gerçekleştirilir, örneğin, Advanced Encryption Standard (AES) gibi. FDE’nin avantajları arasında tam disk kapsamı, oturum açmadan önce veri koruması ve hızlı uygulama yer alır. Bu, bilgisayarın veya depolama cihazının çalınması veya kaybolması durumunda veri güvenliğini sağlamak için etkili bir çözümdür. Aşağıda yer alan görselde görüldüğü üzere FDE işlemi gerçekleştiren yazılımlar genellikle MBR ve BR (Ön yükleme alanları) bölümlerini şifrelemezler ancak teknolojinin gelişmesi ile bazı FDE yazılımları bit-to-bit diskin tüm alanları şifreleme yeteneklerine sahiptirler.
Dosya Tabanlı Şifreleme (File Based Encryption)
Dosya Tabanlı Şifreleme, sadece belirli dosyaları veya klasörleri şifrelemenizi sağlayan bir güvenlik önlemidir. Bu yöntemde, kullanıcı belirli dosyaları seçer ve bu dosyaları şifreler. Şifreleme işlemi genellikle bir şifre veya anahtar kullanılarak gerçekleştirilir. Dosya tabanlı şifreleme, belirli dosyaların hassas bilgiler içerdiği durumlarda tercih edilebilir. Bu yöntemde her dosya kendi şifreleme anahtarına sahip olabilir.
Dosya tabanlı şifreleme, genellikle kullanıcıların belirli dosyaları veya klasörleri koruma ihtiyacı olduğu durumlarda kullanılır ve genellikle işletim sistemi seviyesinde veya üçüncü taraf yazılımlar aracılığıyla uygulanabilir. Bu yöntemin avantajları arasında esneklik ve özelleştirilebilirlik yer alır, ancak tüm disk boyunca geniş bir koruma sağlama kapasitesi, FDE’ye kıyasla daha sınırlıdır.
Encrypt File System (EFS Nedir?)
EFS Windows 2000 işletim sisteminden bu yana kullanılıyor ve tüm sürümlerle uyumlu. EFS yöntemi, tüm sistemi şifrelemek yerine tek tek dosya veya klasörlerinizi şifreliyor. Kullanıcılar şifreleme yaparken manuel olarak dosyaları seçmek zorunda. EFS yöntemi TPM kullanmadığı için benzersiz anahtar işletim sisteminin kendisinde saklanıyor. Bu bakımdan izinsiz erişimlere açık olabiliyor. Ayrıca hangi kullanıcı EFS ile şifreleme yapmışsa, yine o kullanıcı dosyalara erişebiliyor. Yani kullanıcı tabanlı bir şifreleme yöntemi. Diğer kullanıcılar bundan etkilenmiyor ve şifrelenmemiş olarak verilerini kullanmaya devam ediyor.
EFS ile şifreleme yaptıktan sonra örneğin bir program, EFS korumalı bir dökümanı açarken geçici bir tampon dosya oluşturduğunda, bu tampon dosya şifrelenmemiş oluyor ve tüm veriler görülebiliyor. Bu bakımdan sızıntılar yaşanması da mümkün olabiliyor. Sonuca gelecek olursak EFS şifrelemesi nispeten biraz daha hızlı ve sistemi yavaşlatmıyor ancak BitLocker sistemi yavaşlatabiliyor. Yine de BitLocker daha güvenli olması ile öne çıkıyor. Elbette her iki yöntemi de aynı sistemde kullanmak mümkün.