Gizlilik Artırıcı Teknolojiler – PETs Nedir ve Ne İşe Yarar? 

Küresel alanda verinin değeri arttıkça, iş dünyası da hassas bilgilerini korumak ve gizliliklerini artırmak konusunda bilinçlenmeye başladı. ABD ve Avrupa başta olmak üzere dünyanın birçok bölgesinde tüketici hakları ve gizliliğini korumaya yönelik düzenlemelerin hayata geçirilmesine ek olarak gizlilik artırıcı teknolojilerin (Kısa adı PETs olan Privacy enhancing technologies) yükselişi, şüphesiz ki bürokratik adımlardan bağımsız şekilde yaşandı.

Tüketici gizliliğini ihlal eden birçok gelişmenin yaşandığı dijital ortamda, internet kullanıcıları kişisel bilgilerinin önemini, bu bilgilerin korunması açısından kime güvenmeleri gerektiği ve gizlilik ile güvenliklerini sağlamak için veri merkezli bir yaklaşımı benimsemeyi öğrendi. Pew Araştırma Merkezi tarafından geçtiğimiz yıl yapılan bir ankete göre, tüketicilerin %79’u şirketlerin şahsi bilgilerini nasıl kullandıkları yönünde endişe taşıdıklarını ifade etti. Tüketicilerin %52’si ise şahsi bilgilerinin toplanacağı ve kullanılacağı endişesi ile bir ürün veya hizmeti kullanmaktan vazgeçtiklerini belirtti.

Gizlilik artırıcı teknolojiler nedir? 

Şirketler, tüketiciler tarafında yükselen endişeleri azaltmak için sadece müşterilerle olan doğrudan etkileşimlerinde değil, ancak B2B (business-to-business / işletmeden işletmeye) bağlamında çalışmalar yapıyor. Gizliliğe yönelik endişelerin tüketici ile şirketler arasında oluşturduğu etkileşim, gizlilik artırıcı teknolojiler alanındaki ilgi ve gelişimin artmasını sağladı. PETs, verinin kullanım ömrü boyunca erişilebilir olmasını, korunmasını ve artırılmasını sağlayan teknolojileri temsil ediyor. Gizlilik ve güvenliğe veri merkezli yaklaşım sunarak, PETs hassas verilerin işlenme sürecinde güvende olmasını mümkün kılıyor.

PETs, kullanım esnasında verinin korunmasını sağlayan teknolojilerin yanı sıra, araştırma veya analitik çalışmalar yapıldığı esnada gizlilik ile güvenliğin artırılmasını mümkün kılan teknolojileri temsil ediyor. Bu tekholojiler homomorf (benzer biçimli) şifreleme, özel küme kesişimi, güvenli çoklu parti hesaplama, ayrışan gizlilik ve güvenilir uygulama çevreleeri olarak ifade ediliyor. Her bir PET, kullanım biçimlerine göre beraber uygulanmalarını sağlayan kesişim noktaları içeriyor.

En çok kullanılan gizlilik artıran teknolojilerin en güvenliden en az güvenlik sunan türleri sırasıyla şunlar: Homomorf Şifreleme (HE), Güvenli Çok Partili Hesaplama (SMPC), Ayrışan Gizlilik ve Güvenli Uygulama Çevreleri (TEE).

Kullanım biçimi ve uygulamanın kendisine göre sunulan güvenlik seviyesi değişse de, PETs genel anlamda temsil ettikleri güvenlik teknolojisinin seviyesi ile doğru orantılı gizlilik ve güvenlik artırımı sağlıyor. Homomorf şifreleme en güçlü güvenlik seviyesini, aynı zamanda en çok gizlilik artırıcı PET olarak kabul ediliyor. Güvenli uygulama çevreleri (TEE) ise gizliliğin en az seviyede artırılmasını sağlayan yöntemi oluşturuyor. Doğal olarak her zaman en yüksek güvenliği sunan yöntem tercih edilmek istense de, PETs söz konusu olduğunda her bir çözüm belirli bir duruma göre seçilmek zorunda.

İlginizi Çekebilir: Rainbow Table Saldırısı Nedir ve Nasıl Uygulanır? Nasıl Önlenir?

Homomorf şifreleme 

Şifrelemenin “kutsal kasesi” olarak kabul edilen homomorf şifreleme, hesaplamanın şifreli veya şifreli metin ortamında gerçekleştirilmesini sağlıyor. Akademik alanda 30 yılı aşkın bir süredir geliştirilmekte olan homomorf şifreleme, elde edilen teknolojik ilerlemeler sayesinde ticari uygulamalarda kullanılması çok daha pratik bir güvenlik çözümü haline geldi.

Homomorf şifreleme, şifre metni/şifrelenmiş ortamda iki ilkel faaliyetin gerçekleştirilmesini sağlıyor. İlki, iki homomorfik şifrelenmiş değerin birlikte çoğaltılması; ikincisi ise iki homomorfik şifrelenmiş değerin deşifre edildiği veya toplandıkları zaman anlamlı bir değer verecek şekilde birbirine eklenmesi. Homomorfik şifreleme, iki şifrelenmiş değerin birbirine eklenerek anlamlı bir sonuç verdiği tek yöntemi temsil ediyor.

Homomorfik şifrelemenin bu iki özelliğini yerine getirebilmek için iki basit çeşidi kullanılıyor. Tam homomorfik şifreleme, şifrelenmiş ortamda şifrelenmiş değerlerin toplanması ve çoğaltılmasını sağlıyor. Kısmi homomorfik şifreleme ise şifreli metin alanında çoğaltım sağlıyor. Etkin ve oldukça pratik olan homomorfik şifreleme yöntemleri şirketlerin temel faaliyetlerini gerçekleştirmelerini sağlayan algoritmalar oluşturmalarına izin veriyor. Bunlar arasında şifreli araştırmalar ve şifreli ortamda yapay zeka (AI) ile makine öğrenimi hesaplamaları yapmak gösterilebilir.

Homomorfik şifreleme, özel küme kesişimi yöntemi kullanılarak iki veri setinden üst üste binen unsurların güvenli bir şekilde hesaplanmasını da sağlıyor. Homomorfik şifreleme algoritmalarının uygulanması ile bu algoritmaların geliştirilmesi için kullanılan yazılımların matematiksel hesaplamaları hızlandırmak için donanımlarla sınırlı kullanmadığının da altı çizilmeli. Yine de, HE yöntemi GPU (grafik işlemci birimi) veya FPGA (alanda programlanabilir kapı dizisi) gibi özel donanım türlerinde geliştirmeler için kullanılabiliyor.

Homomorfik şifreleme, şirketler tarafından başlıca aşağıdaki alanlarda kullanılıyor:

– Güvenli ve birleştirilmiş veri analizi:

Şirketler bu sayede şifreli verilerinin AI tarafından analiz edilmesini sağlarken, analistler arka plandaki bilgiler açığa vurmadan analitik hesaplamalar yapabilir.

– Güvenli veri bağlantısı:

Çok sayıdaki şirket ortak analiz veya soruşturmalarda şifreli veri girdisi sağlayabilir.

– Güvenli araştırma:

Şirketler kendilerine ait şifrelenmiş sorgularını, sorgularına ait detayı gizli tutarak bir diğer organizasyonun veri tabanına gönderebilir.

– Gizlilik esaslı makine öğrenimi:

AI modelleri şifrelenebilir ve modelin doğruluğu bozulmadan güvenliği sağlanabilir.

İlginizi Çekebilir: Siber Saldırı Sayısında Artışa Neden Olan 4 Önemli Faktör

Güvenli çok partili hesaplama 

SMPC veya MPC olarak kısaltılan çoklu parti güvenli hesaplama yöntemi, birden çok tarafın bireysel girdilerini gizli tutarken toplu hesaplama yapabilmesine izin veren birtakım teknikleri de temsil ediyor. Homomorfik şifreleme gibi 30 yıldan fazladır hayatta olan SMPC, 1980’li yılların ortasından bu yana akademi dünyasında kullanılıyor. Akademik alandaki gelişmelerin yanı sıra özel teknoloji şirketlerinin sunduğu yenilikler, SMPC yönteminin bugün pratik bir şekilde kullanılmasını sağlıyor.

Ayrışık gizlilik

Siber güvenlik tehditlerine yönelik bilgileri paylaşanlar için ileri seviye bir güvenlik gerekli olduğu zaman ayrışık gizlilik devreye giriyor.

Her ne kadar homomorfik şifreleme gibi yöntemler şirketlerin verilerini korusa da şifrelenmiş veri analizlerinin gerçekleştirildiği bazı durumlarda hassas bilgiler ortaya çıkabilir. Örnek olarak, tamamen şifrelenmiş veri üzerinden eğitilmiş olsalar da AI ve ML (makine öğrenimi) modelleri kendilerini eğiten veri hakkında ipuçları sunabilir. Ayrışık gizlilik gibi yöntemler, veri analizlerinin son safhalarında yaşanabilecek nadir sızıntıların önlenmesini sağlar.

İki öncü teknoloji şirketi Google ve Apple, günümüzde ayrışık gizlilik teknolojisi ile müşterilerinin gizliliğini ihlal etmeden onlar hakkında veri topluyor. Ayrışık gizlilik, öğrenilmiş modellerinin değiştirilmesini, böylece her bir veri parçası girdisinin nihai modele çok fazla katkıda bulunmamasını sağlar. Başka bir deyişle, ayrışık gizlilik şifrelemeden çok bilgiyi örterek korunmasını sağlar. Bunu yaparken verinin istatistik özelliklerini veya modellerini değiştirerek, rakip şirketlerin orijinal veriyi oluşturacak verilere erişmesini engeller.

Birçok PET teknolojisi gibi geliştirilme süreci devam eden ayrışık gizlilik, pratik uygulanabilirliği açısından halen bazı engeller içeriyor. En temel sorun, kademeli farklılık gösteren özel modellerin kademesiz özel modellere kıyasla çok daha düşük doğruluğa sahip olması. Genel ifade ile bir modelin kademeli gizlilik garantisi ne kadar güçlü ise modelin kalitesi o kadar düşüyor. Veri tabanlarını gerçek zamanlı korumak zorunda olan şirketler için ayrışık gizlilik gibi yöntemlerin gizlilik ile paylaşım kapasitelerini dengeleyecek şekilde daha fazla geliştirilmesi gerekiyor.

Güvenli Uygulama Çevreleri (TEE)

TEE, ‘güvenlik şeridi odaklı’ bir güvenlik yaklaşımını temsil ediyor. TEE yöntemlerinde güvenlik şeridi çok dar oluyor ve bu şerit, sadece bir ağın sınırlarında kurulmak yerine donanım işlemcisinde yer alıyor. Tüm güvenlik şeridi modellerinde olduğu gibi eğer şeridi ihlal edebilirseniz içinde tutulan veriye erişim sağlayabilirsiniz. Güvenlik şeridinin içindeki tüm veriler deşifre olduğu için TEE yöntemleri çok hızlı hesaplama kapasitesi sunar, bunu yaparken de güvenlik ve gizlilik faktörlerini aşağı çeker. Güvenlik seviyesi ve gizlilik sınırlamaları düşük şartlar altında TEE yöntemi tercih edilir.

TEE yönteminin en çok öne çıktığı ticari kullanımı Intel SGX (yazılım koruma uzantıları) olarak belirdi. Donanım ve uygulamalara yönelik en geniş çaplı saldırıları temsil eden Meltdown ve Spectre gibi tehditler, TEE yönteminde süregelen güvenlik sıkıntılarını hatırlatan konulardan biri. TEE ve bağlantılı oldukları uygulamalar donanımlara yönelik olduğu için farklı donanım TEE yöntemleri arasında uygulama taşınabilirliğini sağlamak adına uygulama programlama arayüzü (API) ayırma katmanları geliştiriliyor.

Kamu kurumlarından özel sektör şirketlerine kadar tüketicilerin gizlilik ve güvenlik talebini en doğru şekilde karşılamaya çalışan ve bundan sorumlu olan organizasyonlar, TEE teknolojilerini çok iyi anlamak zorunda. Her bir yöntem halen geliştirilme aşamasında olduğu gibi kendi halen çok pratik değiller ve belli şartlar altında tam koruma sağlamaları için entegre edilmeleri gerekiyor. Bu yüzden güvenlik uzmanlarının TEE teknolojileri alanında şirketin faaliyetleri ve yeteneklerine göre en iyi tercihi yapması gerekiyor.

Kaynak Rapor: Cyber Information Sharing: Building Collective Security