8’inci e-Safe Kişisel Verileri Koruma Zirvesi’nde konuşan Ankara Üniversitesi, Öğretim Görevlisi / Adli Bilişim ve Siber Suç Uzmanı Hamza Aytaç Doğanay, ‘Merkeziyetsiz Kimlik Yönetimi (DID – Decentralized Identifiers) ve Veri Mahremiyeti’ konusunda bir sunum gerçekleştirdi.
Hamza Aytaç Doğanay, sistemin hack’lenmesi durumunda tüm kullanıcıların kimlik bilgilerinin tehlikeye girebileceğini ifade etti. Ayrıca, tüm erişim bilgilerinin tek bir noktada toplanmasının, sistemi saldırganlar açısından cazip bir hedef haline getirdiğini belirtti.
Hamza Aytaç Doğanay, sözlerine şu şekilde devam etti: ”Sizlere merkeziyetsiz kimlik yönetimi, decentralized identifiers ve veri mahremiyeti ilişkisinden bahsedeceğim. Burada, bu kavramın, bu kavramların temeli olan ve birbiriyle genellikle karıştırılan iki kavramla başlamak istiyorum. Bunlardan birincisi identification, yani kimlik tanımlama aslında. Translate çeviri programlarına baktığımız zaman, iki kelimeyi de, iki tanımı da authentication’a; identification’ı da kimlik doğrulama olarak çeviriyor. Fakat aynı şeyler değiller. Identification dediğimiz, ‘Kimsiniz?’ sorusuna cevap veren, soruları aldığımız doğrulama yöntemi aslında kimlik tanımlama, bir tanımlama yöntemi. Authentication dediğimiz konu ise, ‘Bu gerçekten siz misiniz?’ Yani tanımladığınız, beyan ettiğiniz kişinin siz olup olmadığını, sizin sahip olduğunuz özel şifrelerle, parolalarla doğrulayabileceğimiz hususların doğrulamanın yapıldığı aşama oluyor. Identification’ı biraz daha açacak olursak, örneklendirecek olursak sistem şunu soruyor daha doğrusu kullanıcı şunu iddia ediyor: ‘Ben sizlere tanımlayayım’ şeklinde bir iddiası oluyor. Buraya baktığımız zaman, aslında e-postamızı açarken kullanıcı adını girmemiz, bankamatiğe kartımızı takmamız ya da ofise girerken, bizi yeni gören bir güvenlik görevlisine ismimizi ve görevimizi söyleyip kendimizi tanıtmamız bir identification oluyor. Kimlik tanımlama, kimliğimizi beyan etme oluyor aslında. Authentication ise bunun bir sonraki adımında, ‘Gerçekten siz misiniz?’ Bunun sonuna gidecek olursak; işte şifre kullanma, parola kullanma, TFA, MFA gibi çok faktörlü doğrulamaları kullanma gibi authentication adımı burada geliyor. Güvenlik görevlisine kendimizi tanıttık, şu departmanda çalıştığımızı söyledik, görevimizi söyledik ve bunun akabinde de kimliğimizi gösterme kısmımız authentication oluyor. Aslında burada kimlik doğrulama türlerine baktığımız zaman yani authentication türlerine baktığımız zaman parola tabanlı, sertifika tabanlı, biyometrik şifreler tabanlı… Bugünkü çok güzel sunumlarda da örnekleri verildi detaylı bir şekilde. Biyometrik verilerle kimlik doğrulama gibi, authentication gibi birçok sistemi var ve bu sistemlerin neredeyse tamamı günümüzde merkezi bir sistem tarafından sağlanıyor.”
Hamza Aytaç Doğanay, konuşmasının devamında şu değerlendirmede bulundu: ”Merkezi sistemler nasıl sağlanıyor diye baktığımızda, bu bir authentication server, yani kimlik doğrulama sunucumuz var. Alacağımız hizmete, ulaşacağımız sunucuya ulaşmak için kimliğimizi bu sunucu üzerinden doğrulatıyoruz. Az önce saydığımız bazda ve diğer bilgilerimiz de, ulaşacağımız diğer bilgiler de aslında tek merkezde, tek sunucuda duruyor. Bunun en büyük örneği zaten e-devlet yapısı. Burada da aynı şekilde, tek merkezde bir sunucumuz var. Bununla birlikte işte Facebook, Instagram gibi diğer data center’lar, veri merkezleri gibi yerlerde aslında tek merkezden yönetilen; hem kişisel verilerin tek merkezde bulunduğu, hem doğrulamanın tek merkezden yapıldığı sistemlerle hâlen yönetiliyor.”
VİDEO: 994
BAŞLIK: Merkeziyetsiz Kimlik mi, Tek Sunucu Güvencesi mi?
KONUŞMACI: Hamza Aytaç Doğanay – Ankara Üniversitesi, Öğretim Görevlisi / Adli Bilişim ve Siber Suç Uzmanı
ETKİNLİK: 8. e-Safe Kişisel Verileri Koruma Zirvesi
TARİH: 30 Nisan 2025, Çarşamba
YER: Kişisel Verileri Koruma Kurumu (KVKK) Konferans Salonu – Ankara
