Design and development of practical and secure E-mail system

Abstract

Açık anahtar tabanlı kriptografi algoritmalarını kullanan sistemler anahtar dağıtım ve yönetim işlerini genellikle açık anahtar altyapıları (PKI) ile yaparlar. Bu tezde bu yaklaşımın sorunlarından bahsedilmiştir ve anahtar dağıtım ve yönetimini kendine özgü bir şekilde yapan bir e-posta sistemi önerilmiştir. Bu e-posta sistemi `Pratik ve Güvenli E-posta` (`PGE`) olarak adlandırılmıştır. PGE açık anahtar altyapılarından farklı olarak anahtar dağıtımında sertifikalandırma yöntemini kullanmaz. PGE sisteminde bütün kullanıcıların güvendiği merkezi bir otorite (sunucu) anahtar dağıtımını üstlenir. Anahtar yönetimi de bu otorite tarafından yerine getirilir. PGE sisteminin kullanıcılarına bakan kısmı kullanıcı e-posta programlandır. Bu programlar normal bir e-posta programının özelliklerine sahiptir ve kullanıcılarının açık anahtar tabanlı kriptografi algoritmalarını kullanarak, kendi aralarında şifreli ve/veya imzalı e-posta göndermelerini de sağlar. PGE nesneye dayalı analiz ve tasarım (OOAD) aşamalarına uyularak gerçeklenmiştir. PGE'nin gerçeklenmesinde Java programlama dili kullanılmıştır. PGE sisteminde, son kullanıcıların kendi açık anahtarlarını açık anahtar deposuna koyabilmeleri, depodan silebilmeleri, yenileyebilmeleri ve başka kullanıcıların açık anahtarlarını depodan alabilmeleri için güvenli protokoller tasarlanmıştır. PGE sisteminin anahtar dağıtım ve yönetim mekanizması, PKI tabanlı sistemlerde olduğu gibi kullanıcıların e-posta adreslerinin kontrolsüz dolaşımına izin vermez. PGE'de sertifika iptali ve onun getirdiği problemlere rastlanmaz. PGE'nin güven mekanizması ortalama kullanıcıların kolayca kullanabilecekleri kadar basit ve düzgündür. Bütün bu özellikler PGE sistemini `pratik` yapmaktadır. PGE şifreleme, imzalama ve doğrulayarak kayıt yapma gibi özellikleri desteklediği için yeterince `güvenli` bir e- posta sistemidir.vm PGE sisteminin ilk sürümü organizasyon içi e-posta değişimini sağlayacaktır. PGE uygulaması, şirket ve üniversite gibi kuruluşların hiç bir ücret ödemeden kullanmalarına izin vermektedir.

Key distribution and management in applications that use public key cryptosystems generally rely on Public Key Infrastructures (PKI). In this thesis, the disadvantages of this approach are discussed and an e-mail system that performs public key distribution and management in a unique way is proposed. The name of this system is `Practical and Secure E-Mail System` (`PractiSES`). PractiSES does not use the certification mechanisms of PKIs. A central authority, which is trusted by all users, takes the responsibility of key distribution and management in PractiSES. PractiSES Client is an e-mail application that is designed for end users. On top of regular e-mail client features, PractiSES Client can also be used to exchange e-mails among users in encrypted and/or signed fashion. PractiSES is designed according to the phases of `Object Oriented Analyses and Design (OOAD)`. It is implemented using Java programming language. In PractiSES, there are several secure protocols developed for initializing users, removing and updating public keys of the users and obtaining the others' public keys. Key management and distribution features of PractiSES do not let the e-mail addresses move around in an uncontrolled fashion - this is one of the problems of PKI based systems. Moreover, certificate revocation problem does not exist in PractiSES. The trust mechanism of PractiSES is simple and straightforward so that an average user can easily use. Those characteristics of PractiSES make it `practical`. On the other hand, PractiSES supports enough security features, such as authentic registration, encryption and digital signatures. The first version of PractiSES will be for closed-group e-mail exchange. PractiSES will be a free application that can be used without any warranty by companies and universities.