Dogrudan uctan uca sifrelemenin kendisini kiramaz. Ama dolayli olarak bazi kosullarda sifrelemeyi kirmadan iletisimi okuyabilir. Simdi matematiksel acidan once bakalim su konuya.
Modern uctan uca sifreleme gunumuz bilgisayarlari icin pratik olarak cozulemeyen matematiksel problemlere dayaniyor. Buyuk asal sayilar ve moduler aritmetik, eliptik egri kriptografisi, ayrik logaritma problemi, guvenli anahtar degisimi algoritmalari...
MITM saldirgnai trafigi ele gecirse bile yalnizca sunlari gorur:
Alice - 8F A3 91 D7 C2 ...
Bob - 3A 17 E4 8B 5F ...
Yani anlamsiz gorunen sifreli veri. Eger anahtarlari bilmiyorsa, bu veriyi cozmesi pratikte mumkun degil.
"Peki MITM ne konuda ise yarayabiliyor?" dersek; Burada mesele sifreyi cozmek degil, anahtar degisimini manipule etmek.
Ornegin Alice, Bob ile konustugunu sanir, MITM araya girer, Alice'e kendi acik anahtarini verir ve "Ben Bob'um" der. Bob'a da kendi acik anahtarini verir ve "Ben Alice'im" der.
Yani MITM: Alice'ten gelen mesaji cozer, okur veya degistirir. Bob'a yeniden sifreleyerek yollar. Sifreleme kirilmamistir, anahtar dogrulamasi kandirilmistir.
Bu yuzden modern sistemlerde kimlik dogrulama, parmak izi kontrolu, sertifika dogrulamasi, dijital imzalar gibi koruma yontemleri kullanilir. Ornegin WhatsApp'ta bir kisinin guvenlik numarasi degisirse uyari cikmasinin sebebi budur.
AES-256 veya modern ECC'yi matematiksel olarak kirmak, bugun icin bilinen yontemlerle pratik olarak imkansiz. Evrenin yasindan daha uzun sure hesaplama gerekebilir.
Uygulamayi kirmak daha gercekcidir. Yani: Telefona zararli yazilim bulastirmak, klavye girdilerini calmak, bellekteki anahtarlari almak, sunucuyu ele gecirmek, kullaniciyi kandirmak; Bunlar sifrelemeyi degil, sistemi kirar.
Kriptografide soyle meshur bir soz var: "Kriptografiyi degil, kullaniciyi kir."
