Sayısal imza sertifikalarında güven mekanizması (1)

Sayısal imzanın en yoğun kullanıldığı alan, yazılım dağıtımı (software distribution). Yeni bir yazılımı yüklemek istediğimizde veya var olan bir yazılıma bir ek veya güncelleştirme sırasında, işletim sistemi yazılımın veya eklerin kaynağını sorgular; bunun mekanizması sayısal imza. İşletim sistemi, daha önce kullanılan tüm yazılım kaynaklarının açık anahtarlarını bir dosyada bulundurur. Yeni yazılım veya ek, imzalı olarak geldiği için, işletim sistemi bu imzanın doğruluğunu imza kaynağının açık anahtarı ile sorgular ve teyit eder ve akabinde yazılımın yüklemesini sağlar.
Bu çok önemli bir mekanizma. Doğrulama yapılmazsa, Microsoft veya Adobe yazılımı yerine, virüs veya kötü amaçlı yazılımı yüklemiş oluruz. Bu güven mekanizması olmasaydı, hiçbir kaynağın yazılımını kullanmamız mümkün olmazdı.
Açık anahtarların bulunduğu dosyada yer alan tüm anahtarlara işletim sisteminin güveni tamdır; zaten açık anahtara güvenmediyse bu dosyaya koymaz. Bu bir 0-1 güven sistemi. Grinin tonları diye bir mekanizma yok. Bu kaynağa az güveneyim diye bir seçim hakkı olmuyor.
Hiç tanımadığımız bir kaynaktan bir yazılım aldığınızda, onun açık anahtarı henüz sizde olmayabilir. Yazılım veya ekle birlikte bir de bir sertifika ve içinde kaynağın açık anahtarı da gelir; işletim sistemi önce sertifikayı doğrular. Sertifikayı üreten otorite, sertifikaya kendi imzasını koyduğu için, işletim sistemi önce sertifika kaynağının imzasını sorgular, ardında yazılım kaynağının imzasını. Dediğim gibi tüm imza doğrulama mekanizmaları, 0-1 güven sistemi üzerine kurulu.
İşletim sistemlerinin güvendiği 100den fazla sertifika üreticisi (kök sertifika) var. Eğer yazılımla gelen sertifika bunların dışında ise, bunlardan birinin ürettiği sertifikayı sunmak zorundadır. Görüldüğü gibi açık anahtar altyapısı, üzerinde düşünülerek ve zaman içinde de tecrübe ile düzeltilerek kurulmuş olan bir mekanizma. Önemini ne kadar vurgulasak azdır.
0-1 güven sistemi hala altyapının önemli bir öğesi. On binlerce yazılım üreticileri, yüzlerce kök sertifika üreticileri ve binlerce diğer sertifika üreticileri ile birlikte çok karmaşık ve sertifika altyapısının tasarlanıp ilk defa uygulamaya konulduğu 20 sene öncesine göre çok farklı bir ekosistem var. 0-1 güven mekanizmasına yakından bakıp sorgulamamız gerekiyor.