Clear Sky Science
Kanıta dayalı, jargonu hafif açıklamalar

Clear Sky Science · tr

Sıfır-güven ağları için dinamik politikaları ve çift anonimliği destekleyen çok-yetkili öznitelik halka imzası

· Dizine geri dön

Neden dijital güven yeniden düşünülmeli

İş ve özel hayatımızın giderek daha fazlası buluta taşındıkça, şirket ağlarının güvenli “iç”i ile tehlikeli “dış”ı ayrımı eskisi kadar geçerli olmuyor. Modern “sıfır-güven” güvenliği, her cihazdan ve kullanıcıdan gelen her isteğin sürekli olarak doğrulanması gerektiğini varsayar. Bu makale, kim olduğunuzu veya hassas ayrıntıları açığa çıkarmadan ne yapmaya yetkili olduğunuzu kanıtlamanın yeni bir yolunu tanıtıyor—böylece dijital sistemler güvenli kalırken gizliliği daha iyi koruyabilir.

Kimlik kartlarından esnek dijital rozetlere

Geleneksel güvenlik sistemleri genellikle kullanıcı adları, parolalar veya statik dijital sertifikalar gibi sabit kimlik bilgilerine dayanır. Daha yeni bir yaklaşım ise bir kişinin yönetici olması, finans departmanında çalışması veya bir hastanenin personeline ait olması gibi özniteliklere dayanarak kimin neye erişebileceğini belirlemektir. Öznitelik tabanlı imzalar, bir kişinin ancak öznitelikleri bir kuralı karşılıyorsa—örneğin “Yönetici VE Finans” veya “Doktor YA Hemşire”—dijital bir mesajı imzalamasına izin verir. Ancak mevcut şemalar genellikle katıdır: erişim kuralları değiştiğinde kullanıcıların yeni anahtarlar alması gerekir ve hem imzalayanı hem de kullandığı belirli öznitelikleri tamamen gizli tutmak zordur.

Merkeziyetsizlik ve anonimlik neden bu kadar zor

Aynı zamanda, merkezi kimlik sağlayıcılarından bireysel kullanıcılara kontrolü kaydıran merkezi olmayan kimlik (DID) sistemleri yükseliyor. Bu sistemlerde İK, sağlık veya finans departmanları gibi farklı kuruluşlar kendi dijital rozetlerini veya özniteliklerini verebilir. Bir sıfır-güven dünyasında bir ağ geçidi, günden güne bu rozetlerden farklı kombinasyonlar isteyebilir. Mevcut araçlar bununla başa çıkmakta zorlanıyor: birçoğu birden çok yetkilinin özniteliklerini esnek şekilde karıştıramıyor, bazıları hangi özniteliklerin kullanıldığını açığa çıkarıyor ve güçlü gizlilik gerektiğinde diğerleri telefonlar ve daha sınırlı cihazlar için çok yavaş veya ağır hale geliyor.

Figure 1
Şekil 1.

Kendinizi ele vermeden imzalamanın yeni yolu

Yazarlar, çok-yetkili öznitelik halka imzası adlı yeni bir dijital imza türü öneriyor. “Çok-yetkili”, birçok bağımsız kuruluşun her defasında koordinasyon gerektirmeden öznitelik anahtarları dağıtabilmesi anlamına gelir. “Halka imza” ise bir mesajın bir gruptaki bir kişi tarafından imzalandığı izlenimini verir, ancak üçüncü bir şahsın kimin olduğunu söylemesi imkânsızdır. Bu şemada bir kullanıcı, elinde zaten bulunan öznitelik anahtarlarını yerel olarak birleştirerek doğrulayıcının rastgele seçtiği herhangi bir kuralı anında karşılayabilir—örneğin bugün “finansta çalışan çalışan” ve yarın “güvenlik ekibi üyesi YA iç denetçi”—ve yeni anahtarlar almak için düzenleyici yetkililere geri dönmesine gerek kalmaz.

Hem imzalayanı hem de öznitelikleri gizlemek

Merkezi yenilik, yazarların çift anonimlik olarak adlandırdığı şeydir. Gerçek imzalayanın olası imzalayanlar grubunun içinde gizlenmesiyle kalmaz; kullanılan özniteliklerin tam alt kümesi de saklanır. Doğrulayıcı sadece “bu gruptan birisi politikayı karşıladı” bilgisini öğrenir, bunun kim olduğunu veya hangi rozetlere dayandığını öğrenmez. Bu, dikkatle birleştirilmiş anahtarlar ve verimlilik için optimize edilmiş Çin SM9 standardı üzerine kurulu kriptografik işlemlerle sağlanır. Yazarlar, yaygın kullanılan güvenlik varsayımları altında saldırganların imza sahtekarlığı yapamayacağını veya imzalayanın kimliğini ya da özniteliklerini ortaya çıkaramayacağını, hatta saldırı sırasında adaptif olarak anahtar ve imza talep edebilseler bile, resmi matematiksel kanıtlarla gösterirler.

Figure 2
Şekil 2.

Gerçek dünyadaki ağlar için gizliliği hızlandırmak

Teorinin ötesinde, makale yeni şemanın iyi bilinen SM9 tabanlı halka imza sistemleriyle karşılaştırıldığında ne kadar hızlı çalıştığını değerlendirir. Yazarlar bilgisayarın gerçekleştirmesi gereken ağır işlemlerin sayısını analiz eder ve ardından tüm şemaları açık kaynaklı bir kriptografi kütüphanesi kullanarak uygular. Testler, büyük olası imzalayan gruplarında, yöntemlerinin imzalama sırasında belirli pahalı işlemleri yaklaşık yüzde 30 oranında azalttığını gösteriyor. Pratik olarak, bir halka binin üzerinde kullanıcı içerdiğinde, imza üretimi standart bir referansa göre üç kattan fazla daha hızlı ve en iyi yakın zamandaki alternatife göre yaklaşık bir buçuk kat daha hızlı olurken, sunucu tarafındaki doğrulama hızı karşılaştırılabilir seviyede kalıyor.

Daha güvenli dijital sistemler için ne anlama geliyor

Günlük kullanıcılar için bu çalışma, kim olduğunuzu veya hangi rolünüzü ya da üyeliklerinizi kullandığınızı açığa çıkarmadan bir şeyi yapmaya yetkili olduğunuzu kanıtlayabileceğiniz giriş ve erişim sistemlerine işaret ediyor. Sıfır-güven ağları ve DID tabanlı hizmetler inşa eden kuruluşlar için önerilen şema, birden çok departman veya şirketin kendi özniteliklerini vermesine izin verirken ağ geçitlerinin politikaları esnekçe tanımlayıp güncellemesine olanak sağlar. Mevcut imzalar hâlâ kullanıcı grubunun büyüklüğüyle birlikte büyüse de yazarlar, ağlar ölçeklendikçe imza boyutunu sabit tutmaya yönelik gelecekteki çalışmaları özetliyor. Genel olarak, şema bizi güçlü gizlilik ve güçlü erişim denetiminin birbirine rakip olmaktan ziyade birbirini güçlendirdiği tasarım gereği güvenli dijital altyapıya daha da yaklaştırıyor.

Atıf: Chen, J., Zhou, X., Fu, W. et al. A multi-authority attribute ring signature supporting dynamic policies and dual anonymity for zero-trust networks. Sci Rep 16, 9441 (2026). https://doi.org/10.1038/s41598-026-40089-2

Anahtar kelimeler: merkezi olmayan kimlik, sıfır güven güvenliği, anonim doğrulama, halka imzaları, öznitelik tabanlı kriptografi