Sizlere LastPass adlı çevrimiçi şifre saklama hizmetini incelerken rastgele keşfettiğim, çok yenilikçi bulduğum bir ürünü tanıtmak istiyorum. Yubikey, Yubico adlı bir şirketin ürettiği, USB bellek boyutlarında, fakat daha ince ve görünüşünden işlevi pek anlaşılmayan, üzerinde bir düğme olan, yenilikçi bir cihaz. Amaç, son zamanlarda hızla gelişen web 2.0 dönemi ve sonrasında, İnternet'in bugününde önemli bir yer işgal eden, gittikçe de daha fazla hayatımıza girecek olan "Cloud Computing" (bazıları "bulut hesaplama" olarak çevirmiş, ama tam olarak kastedileni karşıladığına emin olamadım) kapsamında değerlendirilen web hizmetlerinin güvenlik sorununu çözmek.

Peki bu sorun nedir? Kısaca tanımlayacak olursak, gittikçe daha fazla elektronik ortamda işlem yapar hale geliyoruz ve haberlerde de sıkça duyduğunuz gibi İnternet üzerinde hesapları çalınan, kandırılan, dolandırılan, kimliği taklit edilen, vs. bir çok kişi mevcut. Bu tür suçlar elektronik ortama geçilmeden önce gerçekleştirilmesi daha zor olan, fiziki güç ve olanak gerektiren, daha yerel şeylerdi ve kullanıcıların suçlulara karşı daha kolay korunabilmesi sağlanabiliyor, insanlar "kendi gözleriyle görmeden" inanmayabiliyor ve güvenmeyebiliyordu. Ama artık dünyanın her yerinden işlem yapabileceğiniz, kolay, erişilebilir, hızlı, ama bir o kadar da dünyanın her yerinden gelebilecek saldırılara açık, tehlikeli, görünmez bir teknolojiye sahibiz. Bu teknolojinin nimetlerinden sonuna kadar yararlanabilmemiz bu güvenlik sorunlarını çözmemizle mümkün olabilecek.

İşte Yubikey de burada devreye giriyor ve sizin için ek bir güvenlik etmeni oluyor. Güvenlikte iki-etmenli kimlik doğrulama (Two-factor authentication) denilen bir ilkeye göre, bu sistemi daha güvenli hale getirmek için tasarlanmış. Yubikey, bilgisayara USB portu üzerinden bağlanan ve aslında bir "klavye" olan bir cihaz. İnternet'te kullandığınız hesaplara giriş yaparken ikinci bir şifre de bu cihaz üzerinde üretiliyor ve sisteme, kullanıcının cihaz üzerindeki ufak bir düğmeye dokunmasıyla giriliyor. Böylece yeterince uzunlukta bir şifre kolayca girilebiliyor ve kullanılabiliyor. Bu uzunluk tabii ki güvenliği artırıyor. Aynı zamanda bu şifrenin üretilmesi de sistemdeki virüs, trojan ve keylogger gibi zararlı uygulamalara karşı önlem olarak tek-kullanımlı şifre (One-time password) yöntemiyle yapılıyor. Sonuç olarak kullanıcıların kolay ve hızlı kullanabileceği, ucuza mal edilebilecek, basit, taşınabilir, ara zararlı unsurlara karşı güvenlik sağlayan, zaten kullandığımız kullanıcı adı/şifre sistemlerine ikinci bir etmen getiren bir ürün çıkıyor. 

Şimdi de bu ürünün hikayesine ve yayılma öyküsüne bir bakalım. Ürünün en önemli yönü "görünmeyen" ve "kullanılamayan" bir klavye olması. Zaten yenilikçilik ve yaratıcılık da burada yatıyor. Cihazı yapanlar İsveçli bir şirketin (Yubico ve önceleri Cypak) kurucuları: Stina Ehrensvärd ve Jakob Ehrensvärd. Cihazın tasarımcıları daha önceleri, daha zor kullanılan ve kullanıcının sistemine yüklenmesi gereken ek bir yazılım ile çalışan bir cihaz tasarlamışlar, bu cihazı bir bankaya sunmuşlar ve tahmin edebileceğiniz nedenlerle kullanışsız bulunmuş. Daha sonra bir gün bu cihazı basitçe, sisteme bir klavye olarak tanıtarak bu sorunları çözebileceklerini farketmişler ve ortaya Yubikey çıkmış. Hepimiz klavye ve fare kullanıyoruz, sisteme tanıtmamız gerekmiyor, sürücüsü bütün işletim sistemlerine entegre şekilde geliyor ve bütün uygulamalarla sorunsuz çalışıyor. Niye aynı şeyi bir "USB cihaz" üzerinde kullanamayalım? Cihaz, kendini sisteme bir "klavye" olarak tanıtıyor ve şifreyi oluşturan tuş kodlarını sistemin anlayacağı şekilde gönderiyor. Bu ürünün web üzerindeki güvenliği (aslında masaüstü uygulamalarınızda da ikinci etmen olarak rahatlıkla kullanabilirsiniz, bunun için ya uygulamanın İnternet üzerinden Yubico sunucularına bağlanarak doğrulama yapması gerekiyor ya da cihazınızı statik şifre üretecek şekilde ayarlamanız) çok artırabileceğini düşünen tasarımcılarımız, bu ürünü üretmek için bu şirketi kuruyor ve tamamen donanımın satışı üzerinden kazanmayı, ürün seri üretileceği ve eğer yeterince yayılırsa maliyetler çok az olacağı için de ucuza satmayı planlıyorlar. Ürünün bağlı olduğu sunucu yazılımları, APIleri ve masaüstünde ürünü ayarlamak için kullanacağınız yazılımlar tamamen açık kaynak, aslında ürünün çalışma prensibi ve detayları da iyi belgelendirilmiş (Tabii ki hemen piyasada basit bir kopyası türemiş ve Umikey adıyla satılıyor). RSA 2008 konferansında cihaz, güvenlik uzmanlarına tanıtılmış ve burada cihazı edinen ve aynı benim düşündüğüm gibi çok yenilikçi bir ürün olarak gören Steve Gibson ile Leo Laporte düzenli olarak yaptıkları Security Now! podcast'inde bu konuyu ele almışlar. Daha sonra ürün çeşitli yazılarda tanıtılmış. 

Bugün Yubico'nun sitesinde ürün 25 $ fiyatla satılıyor ve bazı iyileştirmeler yapılmış olan 2.0 sürümü mevcut. Çalışma yöntemlerini ve belgeleri sitede bulabilirsiniz, ayrıca güvenlik değerlendirmeleri de var. Eğer yeterince iyi tanıtım yapılabilir ve web hizmeti veren kişilerin ve kuruluşların ilgisi bu ürüne çekilebilirse amaçlananlara ulaşılabileceğini ve web üzerindeki güvenliğin artırılabileceğini düşünüyorum. Şimdilik sadece LastPass, MashedLife, PassPack ve Clipperz gibi çevrimiçi şifre saklama siteleri üzerinden kullanılabilir. (Şu anda sadece LastPass, MashedLife ve Yubico'nun sitesindeki KeyGenius destekliyor, Clipperz açık kaynak olduğu için eklenebilir, PassPack ise bu desteği eklemeyi düşünüyor diye tahmin ediyorum.) Daha sonra da bu hizmetleri incelemeyi ve sistemin güvenlik özelliklerini anlatan ve tanıtan bir yazı yazmayı düşünüyorum.