GPG ile Şifreli Mesajlaşma ve Dijital İmza

By Şefik İlkin Serengil On Apr 21, 2025

Özellikle kriptografiyle uğraşanlar ya da teknolojiye hakim kişiler arasında, iletişim bilgilerine GPG anahtarlarını eklediklerini hiç fark ettiniz mi? Uzun bir süredir bunun çok havalı bir şey olduğunu düşünüyordum.

Son zamanlarda üzerinde çalıştığım kurumsal bir proje, GPG’ye olan takdirimi daha da artırdı. Bu proje, bankalara SFTP üzerinden dosya gönderip almayı içeriyordu ve bu da dosyaların GPG ile şifrelenmesini ve şifresinin çözülmesini gerektiriyordu. Bu süreç, bana GPG’nin nasıl çalıştığını ve neden bu kadar güçlü bir araç olduğunu uygulamalı olarak anlamamı sağladı.

Bu yazıda o deneyimi paylacağım. GPG’nin ne olduğunu, PGP’den nasıl farklılaştığını ve en önemlisi nasıl kullanabileceğini anlatacağım. İster dosyalarını güvenli hale getirmek, ister iletişimlerini korumak, ister sadece bir kriptografi ustası gibi hissetmek iste, GPG bilmeye değer bir araç—ve açık anahtarını paylaşmak belki de yapabileceğin en havalı şey olabilir.

Arka Plan

GPG (GNU Privacy Guard), verileri şifrelemek ve dijital olarak imzalamak için kullanılan açık anahtarlı bir kriptografi aracıdır. PGP (Pretty Good Privacy) ile aynı prensiplere dayanır ve onun açık kaynaklı alternatifidir.

GPG, verileri güvenli bir şekilde iletmek için simetrik ve asimetrik şifrelemenin gücünü birleştirir. İşte nasıl çalıştığını basitleştirilmiş bir şekilde anlatan bir açıklama:

1. Adım: Rastgele Bir Simetrik Anahtar Oluşturulur

Bir mesajı veya dosyayı şifrelediğinizde, GPG önce rastgele bir simetrik anahtar üretir. Bu anahtar, içeriği AES gibi hızlı ve güvenli bir simetrik şifreleme algoritmasıyla şifrelemek için kullanılır.

2. Adım: Simetrik Anahtar, Alıcının Açık Anahtarıyla Şifrelenir

Daha sonra GPG, simetrik anahtarın kendisini alıcının açık anahtarıyla şifreler. Bu adım sayesinde yalnızca karşılık gelen özel anahtara sahip olan alıcı, simetrik anahtarı çözüp içeriğe ulaşabilir.

3. Adım: Şifrelenmiş Mesaj ve Anahtar Gönderilir

Şifrelenmiş içerik ve şifrelenmiş simetrik anahtar bir araya getirilir ve alıcıya gönderilir.

4. Adım: Alıcı, Simetrik Anahtarı Çözer

Alıcı, özel anahtarını kullanarak şifrelenmiş simetrik anahtarı çözer. Özel anahtar yalnızca alıcıya ait olduğundan, bu anahtara başkası erişemez.

5. Adım: Simetrik Anahtar, İçeriği Çözmek İçin Kullanılır

Simetrik anahtar çözüldükten sonra, alıcı bu anahtarı kullanarak içerikteki gerçek veriyi şifreli halinden çözer ve orijinal mesaj ya da dosyaya ulaşır.

GPG Neden Güvenli ve Verimlidir?

GPG ile her veri şifrelemede yeni bir simetrik anahtar oluşturulur. Bu rastgelelik, aynı mesajı defalarca şifreleseniz bile her seferinde farklı şifreli çıktılar elde edilmesini sağlar.

AES gibi simetrik şifreleme algoritmaları, asimetrik algoritmalara göre çok daha hızlıdır. Bu hibrit yaklaşım, hem güvenliği hem de verimliliği bir arada sunar.

Açık/özel anahtar kullanımı sayesinde yalnızca hedef alıcı, simetrik anahtarı çözebilir ve bu da sürecin tamamını güvence altına alır.

Simetrik ve asimetrik şifrelemenin bu şekilde bir araya gelmesi, hem performans hem de güvenlik açısından dengeli bir yapı sunar. Bu da GPG’yi güvenli iletişim ve dosya paylaşımı için ideal bir araç haline getirir.

GPG Anahtarlarınızı Oluşturmak

Dosyaları şifrelemeye veya şifresini çözmeye başlamadan önce, kendi GPG anahtarlarınızı oluşturmanız gerekir. Bu işlem, biri açık (public), diğeri özel (private) olmak üzere bir anahtar çifti yaratmayı içerir. Açık anahtar başkalarıyla paylaştığınız anahtardır; özel anahtar ise sizde kalır ve sizin açık anahtarınızla şifrelenmiş mesajları veya dosyaları çözmek için kullanılır.

Öncelikle, sisteminizde GPG yüklü olduğundan emin olun. Aşağıdaki komutları kullanarak GPG’yi yükleyebilirsiniz:



sudo apt update
sudo apt install gnupg

sudo apt update

sudo apt install gnupg

Anahtar oluşturma sürecini başlatmak için aşağıdaki komutu çalıştırın:



gpg --full-generate-key

gpg --full-generate-key

Bu komut sizi kurulum süreci boyunca yönlendirecektir. Aşağıdaki bilgileri girmeniz istenecek:

🔑 Anahtar Türü (Key type): Varsayılan seçeneği, yani genellikle “RSA and RSA” olanı seçin. Bu seçenek hem imzalama hem de şifreleme için RSA algoritmasını kullanır.

🔐 Anahtar Boyutu (Key size): Bir anahtar boyutu belirtin. Önerilen 3072-bit RSA anahtarıdır. Bu uzunluk, 128-bit AES anahtarına denktir ve 2030 sonrasına kadar güvenli olduğu düşünülmektedir.

⏳ Geçerlilik Süresi (Expiration date): Süresiz geçerli olması için bu değeri 0 olarak ayarlayın. Dilerseniz belirli bir süre de tanımlayabilirsiniz.

👤 Kullanıcı Kimliği (User ID): Adınızı ve e-posta adresinizi girin. Bu bilgiler, anahtarı listelerken onun kimliğini tanımlamak için kullanılır.

🔒 Parola (Passphrase): Özel anahtarınızı korumak için güçlü bir parola belirleyin. Bu parola, anahtarınızı izinsiz kullanıma karşı korur.

Anahtarınız oluşturulduktan sonra, aşağıdaki komutu kullanarak onu listeleyebilirsiniz:



# list public keys
gpg --list-keys
 
# list private keys
gpg --list-secret-keys

# list public keys

gpg --list-keys

# list private keys

gpg --list-secret-keys

Açık ve özel anahtar çiftinizi aşağıdaki komutları kullanarak dışa aktarabilirsiniz:



# açık anahtarımı dışa aktar
gpg --armor --export serengil@gmail.com > serengil-pub.asc

# özel anahtarımı dışa aktar
gpg --armor --export-secret-keys serengil@gmail.com > serengil-priv.asc

# açık anahtarımı dışa aktar

gpg --armor --export serengil@gmail.com > serengil-pub.asc

# özel anahtarımı dışa aktar

gpg --armor --export-secret-keys serengil@gmail.com > serengil-priv.asc

–armor seçeneği, anahtarın metin tabanlı formatta kaydedilmesini sağlar; bu da güvenli şekilde saklamayı kolaylaştırır. Ayrıca, özel anahtarı dışa aktarırken sizden parolanız istenir.

Özel anahtarınız, açık anahtarınızla şifrelenmiş mesajları ve dosyaları çözmek için kritik öneme sahiptir. Bu anahtarı güvende tutmak ve kimseyle paylaşmamak çok önemlidir. Özel anahtarınızı kaybetmeniz, şifreli dosyalara erişiminizi kaybetmeniz anlamına gelir; paylaşmanız ise güvenliğinizi tehlikeye atar.

Başkalarının Açık Anahtarlarını Yüklemek

Başka birine şifreli dosya veya mesaj gönderebilmek için, onların açık anahtarına ihtiyacınız vardır. Onların açık anahtarını aldıktan sonra, bu anahtarı GPG anahtar kümenize (keyring) aktarabilir ve onları şifrelemek için kullanabilirsiniz.

Bu deney için Dr. Tanja Lange‘nin açık anahtarını klonladım. Siz de denemenizde benim açık anahtarımı klonlayabilirsiniz.

Terminalde açık anahtar dosyası ile aynı dizinde çalışırken şu komutu çalıştırmanız gerekiyor:



gpg --import tanja-2020.asc

gpg --import tanja-2020.asc

Başarıyla anahtarın içe aktarıldığını doğrulayan bir çıktı görmelisiniz:



gpg: key 82865C3243CECE97: public key "Tanja Lange <tanja@hyperelliptic.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1

gpg: key 82865C3243CECE97: public key "Tanja Lange <[email protected]>" imported

gpg: Total number processed: 1

gpg: imported: 1

Anahtarı içe aktardıktan sonra, onu doğrulamak iyi bir uygulamadır:



gpg --list-keys

gpg --list-keys

Bu, az önce içe aktardığınız benim açık anahtarımı ve Lange’nin açık anahtarını gösterecektir.



/home/sefik/.gnupg/pubring.kbx
------------------------------
pub   rsa3072 2024-12-19 [SC]
      ECA0B32A46F96AA70CEEFD7C30F6E6D21EE91C2F
uid           [ultimate] Sefik Serengil <serengil@gmail.com>
sub   rsa3072 2024-12-19 [E]
 
pub   rsa4096 2020-02-09 [SC]
      A0DD00F5AEFA6086FEEF178E82865C3243CECE97
uid           [ unknown] Tanja Lange <tanja@hyperelliptic.org>
sub   rsa4096 2020-02-09 [E]

/home/sefik/.gnupg/pubring.kbx

------------------------------

pub rsa3072 2024-12-19 [SC]

ECA0B32A46F96AA70CEEFD7C30F6E6D21EE91C2F

uid [ultimate] Sefik Serengil <serengil@gmail.com>

sub rsa3072 2024-12-19 [E]

pub rsa4096 2020-02-09 [SC]

A0DD00F5AEFA6086FEEF178E82865C3243CECE97

uid [ unknown] Tanja Lange <tanja@hyperelliptic.org>

sub rsa4096 2020-02-09 [E]

Başkasının Açık Anahtarı İle Şifrelemek

Bu kişiye şifreli bir dosya veya mesaj göndermeniz gerektiğinde, onların açık anahtarını kullanacaksınız. Örneğin, Dr. Lange için message.txt dosyasını şifrelemek için:



# create a plain message
echo "Dear Dr. Lange, I have been following your research for a long time, and you influenced me a lot. Wanted to share my respect. Regards." > message.txt
 
# encrypt message
gpg --armor --output message.gpg --encrypt --recipient tanja@hyperelliptic.org message.txt

# create a plain message

echo "Dear Dr. Lange, I have been following your research for a long time, and you influenced me a lot. Wanted to share my respect. Regards." > message.txt

# encrypt message

gpg --armor --output message.gpg --encrypt --recipient tanja@hyperelliptic.org message.txt

Bu komut, yalnızca Dr. Lange’nin özel anahtarını kullanarak şifresini çözebileceği message.gpg adlı şifreli bir dosya oluşturur.

-----BEGIN PGP MESSAGE-----

hQIMAz3PgQH4JT+0AQ/+Mx/WlxGC0C0F/oTdp/fndAmuXWt/Wzog3Cf42tG8ryc9

KuUE37QcXJQ/7d1AXDbOvq6hmYL+QRgVet4BahfqfBibk4ZIwT9uj2eJgdrsi9Dd

nOsM4AXIwLAZc7uGO+yYYrEHSEEdRIz4RlXz7UpTIYAxylESXBi5ElL76dm6FsSM

qvD1lodZNFkcOdZ5J+PZLurpD7Fh+9MloKI51SlaDp40d1cREp3MPffXdk5ZWzYS

avtaBD2qVj7syVuqSSzF23qP7a+sZhdtXlg1YY81Ft0f3PD4VbWZwHOSmrGKqCTA

Mg/HI6/5Lq24+ovAdPYhxpjy32CgWUBLyNaq0GYh7jA+Vn7u7bXbMz3f1Mc4CMcy

k9h3tLBB/4NvwHMFCD6Xn4GpGBetkLTc8vLpR8PbpHEfrJ/kHl0TuBDxR3Pw+2VL

16c+2ziEKDZxz+93ypvoA93V+sY4Crox7aFv5up7a4TioSHYff+6IgtuQufX4F1L

HAEuT8XouCstf79XsrY+m/mx8Vf65hFist2jIzlSp9TkInJf3fvK0WpBZ9WFhuHb

/9gf4lFP7zV0QApb4aQsMzkIL1HxsizOp+bObdZTCHn8PsIPUaercUMu/pzkZaef

cnW1GrVyLztxc7wdbT9RuG9RnEAE+WtKBjeHO79x6lWzT61pIHFwbKFZ6hD1fKfS

sAGE8iUhOo7ZoFvojA11GzcM2HQqtSjQouLh2uBvAATvRcQGRlnUWY6smBU6DY07

46IPh+B4ccVBAEkaxXi9Kk+rBYJjNmpx2bqvLva60iV6wuktCo5tMOP5EXzKWLlz

XmIL3Pc5LAi2lhuMXY9fFpv35DLvI10CwZxOwpnHqgZ953vp9V/xWsbLWANjppOQ

c54xgMiI7SMHPr86/znV8DzlYSUOp0Ot8HgJ1QbsOeP6

=K5xQ

-----END PGP MESSAGE-----

Bu yapı ile, gönderdiğiniz dosya veya mesajları yalnızca alıcının okuyabileceğinden emin olarak güvenli bir şekilde başkalarıyla iletişim kurabilirsiniz.

İmza Eklemek

Önceki bölümde, Dr. Lange’nin açık anahtarıyla bir mesaj şifreledim. Ancak, Dr. Lange mesajın benden geldiğini nasıl doğrulayabilir? O, ancak ve sadece ben imzamı eklediğimde emin olabilir. Mesajı, onun açık anahtarıyla şifrelerim. Bu arada, mesajı özel anahtarım ile imzalamam gerekir. Sonrasında, Dr. Lange mesajı benim açık anahtarım ile doğrulayabilir. Unutmayın, benim açık anahtarım zaten herkese açıktır.



gpg --armor --output message.gpg --encrypt --sign --local-user serengil@gmail.com --recipient tanja@hyperelliptic.org message.txt

gpg --armor --output message.gpg --encrypt --sign --local-user serengil@gmail.com --recipient tanja@hyperelliptic.org message.txt

Şifreli Mesajın Açılması

Eğer biri size açık anahtarınızı kullanarak şifreli bir mesaj göndermişse, bu mesajı özel anahtarınızla çözebilirsiniz. İşte bunu adım adım nasıl yapacağınız:

Aşağıdaki komutu kullanarak dosyayı şifresini çözebilirsiniz:



gpg --output decrypted-message.txt --decrypt message.gpg

gpg --output decrypted-message.txt --decrypt message.gpg

Eğer özel anahtarınız bir parola ile korunuyorsa, şifre çözme komutunu çalıştırdıktan sonra GPG sizden parolanızı girmenizi isteyecektir. Parolanızı girerek işlemi tamamlayabilirsiniz.

Python ile GPG

Üretim hattında çalıştıracağınız bir uygulamada GPG kullanacaksanız shell komutları yerine python kütüphanesini kullanmanız daha rasyonel olacaktır.

Kütüphaneyi indirelim:



pip install python-gnupg

pip install python-gnupg

GPG objesi, terminal aracılığıyla içe aktarılan anahtarları otomatik olarak yükleyecektir. Eğer terminal üzerinden anahtarları zaten içe aktardıysanız, bu anahtarlar burada kullanılabilir olacaktır. Aksi takdirde, anahtarlar Python programı tarafından içe aktarılacaktır.



import gnupg
 
# Initialize the GPG instance
gpg = gnupg.GPG()
 
name, mail, key_file = ("Tanja Lange", "tanja@hyperelliptic.org", "tanja-2020.asc")
imported_users = [imported_key["uids"][0] for imported_key in gpg.list_keys()]
 
if f"{name} <{email}>" not in imported_users:
   with open(key_file, 'r') as key_file:
      gpg.import_keys(key_file.read())

import gnupg

# Initialize the GPG instance

gpg = gnupg.GPG()

name, mail, key_file = ("Tanja Lange", "[email protected]", "tanja-2020.asc")

imported_users = [imported_key["uids"][0] for imported_key in gpg.list_keys()]

if f"{name} <{email}>" not in imported_users:

with open(key_file, 'r') as key_file:

gpg.import_keys(key_file.read())

Başkasının açık anahtarı ile mesaj şifreleme:



message = "This is a secret message for Someone."
 
encrypted_data = gpg.encrypt(
    message,
    recipients=['tanja@hyperelliptic.org'],
    sign="serengil@gmail.com",
    always_trust=True  # Trust the recipient's key without manual confirmation
)
 
assert encrypted_data.ok is True
 
# Save the encrypted message to a file
with open('message.gpg', 'w') as encrypted_file:
    encrypted_file.write(str(encrypted_data))

message = "This is a secret message for Someone."

encrypted_data = gpg.encrypt(

message,

recipients=['[email protected]'],

sign="[email protected]",

always_trust=True # Trust the recipient's key without manual confirmation

)

assert encrypted_data.ok is True

# Save the encrypted message to a file

with open('message.gpg', 'w') as encrypted_file:

encrypted_file.write(str(encrypted_data))

Sizin açık anahtarınız ile şifrelenmiş bir mesajı açma:



with open('message.gpg', 'r') as encrypted_file:
    encrypted_message = encrypted_file.read()
 
decrypted_data = gpg.decrypt(
    encrypted_message, passphrase=MY_PASSPHRASE
)
 
assert decrypted_data.ok is True
assert decrypted_data.signature is True:
 
print(f"decrypted message is {decrypted_data.data.decode()}")
print(f"Signed by: {decrypted_data.username}")

with open('message.gpg', 'r') as encrypted_file:

encrypted_message = encrypted_file.read()

decrypted_data = gpg.decrypt(

encrypted_message, passphrase=MY_PASSPHRASE

)

assert decrypted_data.ok is True

assert decrypted_data.signature is True:

print(f"decrypted message is {decrypted_data.data.decode()}")

print(f"Signed by: {decrypted_data.username}")

Artıları ve Eksileri

Her ne kadar PGP’yi ana hatlarıyla biliyor olsam da girizgahta da bahsettiğim gibi GPG ile fiilen tanışmam iki ayrı banka gerçekleştirdiğimiz bir proje ile gerçekleşti. Bankaya gönderilecek para transferi işlemlerinin bir dosya ile bankanın sftp sunucusuna konulması gerekiyordu. Bunu yaparken bankaya ait açık anahtar ile dosyayı şifreliyor, kendi gizli anahtarımız ile de imzalamamız gerekiyordu. Banka, dosyayı aldıktan sonra kendi gizli anahtarı ile şifreli dosyayı açabiliyor bize ait açık anahtar ile de dosyanın imzasını doğrulayabiliyordu.

Banka para transferi işlemini asenkron olarak gerçekleştirdikten sonra cevabı aynı sftp sunucusuna bir dosya bırakarak bizi haberdar ediyordu. Bunu yaparken cevap dosyasını bize ait açık anahtar ile şifreliyor ve kendilerine ait gizli anahtar ile imzalıyordu. Biz de kendimize ait gizli anahtar ile bu şifreli cevap dosyasını açıyor, bankaya ait açık anahtar ile de imzasını doğruluyorduk.

Bahsettiğim bu altyapı 2024 yılında İngiltere’de çokça büyük iki bankası tarafından halen kullanılmaktaydı.

Dolayısıyla, GPG kriptografi konusunda bir standard olduğu için kurumsal uygulamalarda yaygın olarak kullanılmaktadır

Öte yandan, GPG nihayetinde bir linux paketidir ve linux komut satırında komutlar çalıştırmayı gerektiğinden basit ve hafifsiklet olarak nitelendiremeyiz. Eğer python için hafifsiklet bir şey arıyorsanız dijital imzalar için LightDSA, veri şifreleme için de LightPHE uygulamalarına göz atmanızı tavsiye ederim. Anahtar değişimini ise Eliptik Eğri Diffie-Hellman yöntemiyle 2-3 satırda LightECC kullanarak gerçekleştirebilirsiniz.

Özet

Bu yazıda, GPG anahtarınızı e-posta adresinizle paylaşmanın sadece havalı bir uygulama olmakla kalmayıp, aynı zamanda güvenli iletişimi sağlamak için güçlü bir yöntem olduğunu keşfettik. Hem simetrik hem de asimetrik şifrelemeyi birleştirerek, GPG mesajlarınızı özel ve korumalı tutmak için sağlam bir yöntem sunar.

GPG ilk başta karmaşık görünebilir, ancak dijital etkileşimlerde gizlilik ve güvenliği ön planda tutan herkes için değerli bir araçtır. İster hassas bilgiler paylaşıyor olun, ister başkalarıyla işbirliği yapıyor olun, ya da sadece şifrelemeye yeni başlıyor olun, GPG’yi ve nasıl çalıştığını anlamak çevrimiçi gizliliğinizi korumada büyük fark yaratabilir.

O yüzden bir dahaki sefere e-posta adresinizi paylaştığınızda, GPG anahtarınızı da eklemeyi düşünün – bu sadece güvenliğinizi artırmakla kalmaz, aynı zamanda iletişimlerinize ek bir güven katmanı ekler. Sonuçta, gizliliğin giderek zor elde edildiği bir dünyada, güvenli olmak gerçekten havalıdır!

Referans

S. I. Serengil, A Gentle Introduction to GPG for Encrypted Message Exchange, 21.04.2025 tarihinde erişildi.

gpg pgp

1 Comment

RSA’nın Hegemonyasını Yıkmak: GPG’nin Yeni Varsayılanlarında Eliptik Eğri Kriptografisi – Bilişim IO 6 hours önce

[…] GPG’nin (GNU Privacy Guard) son sürümü, varsayılan olarak eliptik eğri tabanlı algoritmaları benimseyerek önemli bir değişikliğe gitmiştir—özellikle, şifreleme için ECDH (Eliptik Eğri Diffie-Hellman) ve imzalar için EdDSA (Edwards-eğrisi Dijital İmza Algoritması). Aslında, GPG sürüm 2.1’den beri eliptik eğri kriptografisini (ECC) desteklemekteydi, ancak 2.3 sürümüyle birlikte artık varsayılan olarak ECC anahtar çiftleri üretmeye başlamıştır. Bu değişiklik, RSA’nın hegemonyasının sonunu işaret etmektedir; çünkü eliptik eğri kriptografisi (ECC), çok daha yüksek verimlilikle aynı güvenlik seviyesini vaat etmektedir. […]

Yorum yaz