ODTÜ Bilgi İşlem Daire Başkanlığı'ndaki sistemler üzerinde açık kodlu yazılımlar kullanılmasına özen gösterilmektedir. Aşağıda PKI çözüm araçları anlatılırken de genelde açık kodlu yazılımlardan bahsedilecektir.

Kompleks bir PKI çözümünde aşağıdaki araçlara ihtiyaç duyulmaktadır:

1. Şifreleme Kütüphanesi:

RSA, DSA, 3DES, SHA-1 gibi şifreleme yöntemlerini kullanabilecek bir kütüphaneye ihtiyaç vardır. Bunun yanında istemciler için, en azından güvenli sunucular için PKCS ve güvenli e-posta için S/MIME kodlamanın olması gerekmektedir.

Şifreleme kütüphanesinin birçok seçeneği bulunabilir. En çok kullanılanları OpenSSL ve Mozilla NSS/PSM'dir. Bu kütüphaneler aynı zamanda S/MIME formatı için uyumludur.

Bazı şifreleme kütüphanelerinin web adresleri şunlardır:

OpenSSL: http://www.openssl.org

Cryptlib: http://www.cs.auckland.ac.nz/~pgut001/cryptlib/index.html

Mozilla NSS/PSM: http://www.mozilla.org/projects/security/pki/nss

Catacomb: http://www.excessus.demon.co.uk/misc-hacks/#catacomb

Cryptix: http://www.cryptix.org/products/cryptix31/index.html

GnuPG: http://www.gnupg.org

2. Sertifika Otoritesi (CA):

X509v3 sertifikalarının yönetimi ve imzalanması için bir sertifika otoritesine ihtiyaç duyulmaktadır. Sertifika otoritesi, sertifikaları üretmek ve üretilen sertifikaları yönetmek için kullanılmaktadır. Ayrıca üretilen bu sertifikaların istemciler tarafından elde edilmesini sağlamaktadır.

OpenSSL, içerisinde basit bir CA uygulaması ile birlikte gelmektedir, ama CA için gerekli olan tüm bileşenleri içermez. OpenSSL üzerine geliştirilen ve pek çok CA'de kullanılan pyCA ve OpenCA yazılımları vardır. Bunlardan OpenCA daha kapsamlı bir yazılım olarak görülmekle birlikte, şu anda belgelemelerinde eksikler vardır. Bunlardan başka kurumsal olarak geliştirilen ancak serbest yazılım olarak belirli lisans anlaşmaları ile kullanımına izin verilen, IBM'e ait Jonah ve Leed Üniversitesi'ne ait LURCIS adı verilen uygulamalar da mevcuttur.

Bazı sertifika otorite yazılımlarının web adresleri şunlardır:

pyCA: http://www.pyca.de

Phyton ile yazılmıştır, apache, mod_ssl, openssl'i kullanmaktadır.

OpenCA: http://openca.sourceforge.net

Perl ile yazılmıştır, apache, mod_ssl, openssl, postgres/mysql kullanmaktadır. Halen geliştirilmekte olan bu yazılımda OpenLDAP desteği de bulunmaktadır.

Oscar: http://oscar.dstc.qut.edu.au

C++ ile yazılmıştır, ancak geliştirilmesi durmuştur.

Jonah: http://www.foobar.com/jonah

Jonah'ın açık kod olarak geçmesi ile ilgili bir takım olumsuzluklar vardır. Kurumsal olarak bazı uygulamaları bünyesinde bulundurmasından kaynaklı, tamamı açık kod olarak görülmemektedir.

IDX-PKI: http://idx-pki.idealx.org

PHP ve postgresql ile geliştirilmektedir, ancak başlangıç aşamasındadır.

3. Dizin Sunucusu:

Sertifika otoritesinin ve istemcilerin kullanabilmesi için bir dizin sunucuya ihtiyaç duyulur. Şu anda açık kodlu PKI yazılımlarının geliştirilmesi tam olarak tamamlanmış dizin sunucu destekleri vardır.

Açık kod olarak en iyi alternatif OpenLDAP olarak görülmektedir. OpenLDAP hem dizin sunuculuğu yapar, hem de istemci tarafında ihtiyaç duyulan yetkilendirme kütüphanelere sahiptir.

Bazı dizin sunucu yazılımlarının web adresleri şunlardır:

OpenLDAP: http://www.openldap.org

Umich SLAPD: http://www.umich.edu/~dirsvcs/ldap

4. E-posta İstemcisi:

S/MIME formatında mesaj alan, gönderen, görüntüleyebilen ve oluşturabilen istemcilere ihtiyaç duyulmaktadır.

E-posta istemcisi, aslında PKI sisteminde kullanıcının doğrudan iletişimde olduğu kısım olması açısından oldukça önemlidir. E-posta istemcisi ile kullanıcı, seçeneklerini net bir biçimde görebilmeli, uygulayabilmeli ve sertifikaların eklenmesi, çıkarılması gibi işlemleri yapabilmelidir.

Birçok açık kodlu e-posta istemcileri bulunmaktadır. Ama bu istemcilerden birçoğu S/MIME yerine PGP destekli gelmektedirler.

MUTT güvenli iletişime uygun olarak geliştirilmiş olan bir e-posta istemcisidir. S/MIME desteği Mutt'un dağıtımıyla birlikte gelmez, ama yama olarak S/MIME desteği verildiğinde, sertifikalarla imzalama ve şifreleme yapılabildiği görülmüştür. Bunları yapabilmesine rağmen dizin sunucu ile Mutt konuşturulamamaktadır.

Bunun yanında PINE'nın kaynak kodunda yeni eklenen S/MIME dizini bulunmaktadır. Ancak araştırmalarda, verilen bu desteğin testlerinin çok kapsamlı olmadığı görülmüştür.

Günümüzde çokca kullanılan web tabanlı e-posta istemcileri bulunmaktadır. Bunlara SSL yardımı ile güvenli bir biçimde ulaşılabilmekte, ancak S/MIME desteği ile imzalı ve şifreli mesaj gönderilememektedir. Şu anda olmamasına rağmen, IMP ve WING adlı açık kod webmail programlarının bu konuda çalışması bulunmaktadır.

Görsel olarak iyi olan e-posta istemcilerinden bir tanesi Gnome projesinde geliştirilen Evolution'dır. Evolution, Mozilla NSS/PSM desteği ile kullanıldığı durumda oldukça başarılı S/MIME destekleyen bir istemci olmaktadır.

Netscape Communicator 4.x ve 7.x serisinde de S/MIME desteği bulunmaktadır. 4.x serisinde oldukça iyi olan bu destek 6.x serisinde Amerikan hükümeti ile ilgili olan bir nedenden dolayı kaldırılmış, 7.x serisinde yeniden kullanılmaya başlanmıştır.

Mozilla 0.9.7 serisinden sonra da S/MIME desteği bulunmaktadır.

Bazı e-posta istemci yazılımlarının web adresleri şunlardır:

Mutt: http://www.mutt.org, http://elmy.myip.org/mutt/smime.html

S/MIME desteği normalde yok, ama eklenebilir.

Pine: http://www.washington.edu/pine

S/MIME desteğinin olduğu söyleniyor, ancak uygulamada çok denenmediği belirtiliyor.

Balsa: http://www.balsa.net

S/MIME desteği yok, yalnız PGP/GPG desteği geliştiriliyor.

Evolution: http://www.gnome.org/gnome-office/evolution.shtml

S/MIME kullanarak Mozilla NSS/PSM ile uyumlu çalışıyor.

IMP: http://www.horde.org/imp

Web tabanlı e-posta istemcisi, arka tarafta IMAP kullanıyor, henüz S/MIME desteği yok.

Kmail: http://www.kde.org

PGP kullanabiliyor.

5. MTA:

PKI çözümünde son olarak SMTP mesaj trafiği için bir e-posta sunucusuna ihtiyaç duyulmaktadır.

* * *

Bütün yukarıda sayılan araçlar içerisinde kompleks bir PKI çözümü için genel olarak önerilen, şifreleme için OpenSSL, sertifika otoritesi yazılımı olarak OpenCA, dizin sunucu olarak OpenLDAP ve e-posta istemcisi olarak Evolution kullanılması kaynaklarda önerilmektedir.

ODTÜ Bilgi İşlem Daire Başkanlığı olarak sertifika otoriteliği araştırmasında, tavsiye edilen OpenCA üzerinde yoğunlaşmış çalışma yapılmaktadır.

Gelecek sayıda OpenCA yazılımının kurulumu ve yapılandırılması ile ilgili detaylı bilgi verilecektir.

Feyza ERYOL (TAŞKAZAN)