e imza
TRANSCRIPT
Elektronik İmza (e-imza) 2
Internet ve Güvenlik
Internet ile birlikte global bir haberleşme ağının içine girmiş olduk.Global ağın oluşmasıyla bazı problemler ortaya çıktı:
İnkar Edilebilme: Mesajı gönderip/göndermediğini inkar edebilme
Doğrulama : Mesajı gönderenin kimliğinden emin olamama
Bütünlük : Mesajların içeriğinin değiştirilebilmesi Gizlilik : Mesajların içeriklerinin görülebilmesi
Elektronik İmza (e-imza) 3
Islak İmza
Elektronik olmayan ortamlarda, bu sorunların çoğunun üstesinden “ıslak imza” ile gelmeye çalışıyoruz.
İmza, bir güven sağlıyor !
Çünkü imza, Üzerindeki dokümanla bütünleşiyor Kendimize özel bir stil içeriyor (bizi temsil ediyor) Temel özellikleri ile bu stil hiç değişmiyor Üzerinde bulunduğu dokümanda;
İmzalayanın kendi isteği ile onayını (inkar edememeyi) İmzalayanın “o kişi” olduğunun tanılanmasını (doğrulamayı) Dokümanın içeriğinin değişmediğini (bütünlüğünü)garanti ediyor
Elektronik İmza (e-imza) 4
Güvenli Elektronik İmza (e-imza)
Elektronik İmza :“Bir elektronik veriye eklenen ve göndereni emsalsiz (unique)
şekilde tanımlayan bir sayısal kod”Elektronik imza ile,
İmzalayanın kendi isteği ile onayını (inkar edememe) İmzalayanın “o kişi” olduğunun tanılanmasını (kimlik
doğrulama) Dökümanın içeriğinin değişmediğini (bütünlük)
garanti ediyor
Verinin gizliliği ise bir kriptolama işlemi ile sağlanıyor, e-imza ile değil (gizlilik).
Elektronik İmza (e-imza) 5
Hukuki olarak Elektronik İmza Kanunu
Elektronik İmza (5070 sayılı kanun):“Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri veya bilgi”
MADDE 5.- Güvenli elektronik imza, elle atılan imza ile aynı hukukî sonucu doğurur.
MADDE 22.- 22.4.1926 tarihli ve 818 sayılı Borçlar Kanununun 14 üncü maddesinin birinci fıkrasına aşağıdaki cümle eklenmiştir.“Güvenli elektronik imza elle atılan imza ile aynı ispat gücünü haizdir.”
Elektronik İmza (e-imza) 6
“Elektronik İmza Kanunu” Ne Sağlıyor?
“Güvenli elektronik imza”, “ıslak imza” ile aynı
hukuki etki ve sonuçları doğuracak
Güvenli elektronik ile imzalanmış belgeler aksi ispat
edilene kadar hukuk alanında kesin delil sayılacak,
Güvenli elektronik imza’nın olmazsa olmaz unsuru
olan “nitelikli elektronik sertifika” yalnızca bu
kanuna tabi “Elektronik Sertifika Hizmet
Sağlayıcıları” tarafından temin edilebilecek.
Elektronik İmza (e-imza) 7
Elektronik İmza ve Elektronik Sertifika
e-imza için iki adet anahtar (asimetrik anahtarlar) gerekmektedir :
• Kapalı (Gizli) anahtar : Yalnızca kişinin kendisinde
• Açık anahtar : Herkesin ulaşabileceği bir yerde
Açık anahtar “güvenilir bir kurum” tarafından kişiye özel oluşturuluyor ve “elektronik sertifika” üzerinde saklanıyor ve dağıtılıyor.
Elektronik İmza (e-imza) 8
Hash (Özet)
Çok büyük boyutlu dokümanlarda “fingerprint” olarak adlandırılan sabit uzunluklu, kriptografik tek yönlü fonksiyon mesaj özeti üretilir.
Çok büyük boyutlu dokümanları şifrelemek uzun süreceği için dokümanın özeti çıkartılır
Bu üretilen sabit uzunluklu özet, imzalama için
kullanılır.
Elektronik İmza (e-imza) 9
E-imzada kullanılan algoritma ve parametreler
İmza oluşturma ve doğrulama verileri, aşağıda belirtilen algoritma ve parametrelere uygun olarak;
RSA için en az 1024 bit veya DSA için en az 1024 bit veya DSA Eliptik Eğrisi için en az 160 bit
Özetleme Algoritması (Hash) olarak; RIPEMD-160 veya SHA-1
Elektronik İmza (e-imza) 10
Elektronik Sertifikalar
Asimetrik anahtarların bütünlüğünü korumak için kurulan bir yöntemdir.
Kullanıcı kimliği ile kullanıcıya ait açık anahtar arasında ilişki kuran bir yapıdır.
Anahtarlar Güvenilir Üçüncü Taraf tarafından imzalanırlar: CA (SM: Sertifikasyon Makamı)
Anahtarların nasıl kullanılacağı ile ilgili bilgiler de içerebilir.
TKA
Açık Anahtar
Son Kullanma Tarihi
Diğer Bilgiler
SM İmzası
Elektronik İmza (e-imza) 12
Nitelikli Elektronik Sertifika
Sertifikanın “nitelikli elektronik sertifika” olduğuna dair ibarenin, Sertifika hizmet sağlayıcısının kimlik bilgileri ve kurulduğu ülke
adının, İmza sahibinin teşhis edilebileceği kimlik bilgilerinin, Elektronik imza oluşturma verisine karşılık gelen imza doğrulama
verisinin, Sertifikanın geçerlilik süresinin başlangıç ve bitiş tarihlerinin, Sertifikanın seri numarasının, Sertifika sahibi diğer bir kişi adına hareket ediyorsa bu yetkilisine
ilişkin bilginin, Sertifika sahibi talep ederse mesleki ve diğer kişisel bilgilerinin Varsa sertifikanın kullanım şartları ve kullanılacağı işlemlerdeki
maddi sınırlamalara ilişkin bilgilerin, Sertifika Hizmet Sağlayıcısının sertifikada yer alan bilgileri
doğrulayan güvenli elektronik imzasının olması zorunludur
Elektronik İmza (e-imza) 13
Elektronik İmza - Kurumlar
Türkiye’de elektronik imza düzenleyici kurumu Bilgi Teknolojileri ve İletişim Kurumu’dur.
Bu kurum Elektronik Sertifika Hizmet Sağlayıcılarının (ESHS) başvurularını kabul eder, inceler,uygunluğuna karar verir ve denetler.
Elektronik İmza (e-imza) 14
İş Modeli
Kurumlar
Bireyler
• Elektronik Sertifika Hizmet Sağlayıcısı
• E-Sertika kullanan uygulamalar
• Müşterilere e-sertifika dağıtma
• Aynı e-sertifikaları farklı kurumlarda kullanabilme
• Elektronik ortamda “güvenli kimlik” sahibi olma
Elektronik İmza (e-imza) 15
Elektronik Sertifika Hizmet Sağlayıcıları
Sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan gerçek veya tüzel kişilerdir
ESHS ler, Telekomünikasyon Kurumu’na yapılan başvurulardan sonra yapılan incelemeler sonucu faaliyete geçecektir
2 ay inceleme, eksiklik durumunda 1 ay ek süre Şu an 3 firma ve 1 kurum hizmet vermektedir
Elektronik İmza (e-imza) 16
Sertifika Almak İçin Neler Gerekir?
ESHS, nitelikli elektronik sertifika vereceği kişilerin kimliğini; nüfus cüzdanı, pasaport,sürücü belgesi gibi fotoğraflı ve geçerli resmi belgelere göre tespit eder. Nitelikli elektronik sertifika verilecek kişi kimlik tespiti esnasında bizzat hazır bulunur.
ESHS, nitelikli elektronik sertifika verilecek kişinin kimliğinin birinci fıkra hükümlerine göre önceden tespit edilmiş olduğu hallerde veya kurumsal başvurularda kimlik tespiti için bizzat hazır bulunma şartını aramayabilir.
Elektronik İmza (e-imza) 17
Nasıl Sertifika Alınır?
Başvuru Sahibi/ Sertifika Sahibi
Kayıt Hizmeti
Sertifika Oluşturma Hizmeti
Dağıtım Hizmeti
Yetkili Taraf
İptal Yönetim Hizmeti
İptal Durum Kaydı Hiz.
Sertifika Sahibi Cihaz SunumHizmeti
Güvenen Taraf
Sertifika İstemi
Güvenli İmza Oluşturma Aracı
İptal Raporu
İptal Durum Bilgisi
Sertifika,ESHS Kural ve
Koşulları
İptal Raporu
Sertifika,ESHS Kural ve
Koşulları
Elektronik İmza (e-imza) 18
Nitelikli Elektronik Sertifikanın İptal Edilmesi
Talepler, asgari olarak telefonla ve kesintisiz yapılır
Kayıp,çalınma ve sertifika bilgilerinin değişiminde yapılır
Elektronik sertifika, geçerlilik süresi sonuna kadar iptal durum kayıtlarında yer alır
ESHS, nitelikli elektronik sertifikalara ilişkin iptal durum kaydını kesintisiz olarak kamu erişimine açık tutar (CRL)
Elektronik İmza (e-imza) 19
Elektronik İmza Yöntemleri
Merkezi olarak imzalama;İmzalama işlemlerinin bir merkezin kontrolünde bir cihaz vasıtasıyla, herkes için tek bir yerden gerçekleştirildiği durum.
Usb token, smartcard vb güvenlik standartlarına sahip cihazlarla imzalama;İstemci tarafında ilgili dokumanlar ufak cihazlar sayesinde imzalanır.
Elektronik İmza (e-imza) 20
Elektronik İmza Oluşturma Araçları
İmza oluşturma verisini tutan yazılım/donanım aracı Özellikleri :
İmza oluşturma verisi araç dışına çıkartılamaz İmzalama işlemi araç içinde gerçekleşir Kullanılması zorunludur Standartları tebliğ ile belirlenmiştir (EAL 4+) Aracın hiçbir yedeği ya da kopyası üretilemez
Elektronik İmza (e-imza) 22
Elektronik İmza Kullanımında Dikkat!!!
Sertifikada kısıtlamalara uyulması Sertifikanın geçerlilik süresi, CRL, OCSP Sertifikanın nitelikli sertifika şartlarını taşıması Standartlara uygun cihaz ve yazılım kullanmak İmza oluşturma araçlarını başkasına kullandırmamak İmza oluşturma aracına erişim şifresini başkasına
vermemek,kullandırmamak
Sonuç : "Her birey kendi kişiliğinin ve mülkiyetinin mutlak
efendisidir.“ John Locke
Elektronik İmza (e-imza) 23
Elektronik Sertifikalar - Depolama
Tercihen LDAP protokol destekli olan yerlerde saklanır
Kurum içinde tutulması hat açısından idealdir Kurum içerisinde bir Kayıt Makamı (RA) kurulabilir
Elektronik İmza (e-imza) 24
Elektronik İmza Senaryosu
İMZALAMA ALGORİTMASI
ONAYLAMA ALGORİTMASI
Mesajın İmzası
+=?
Mesajın İmzası
Göndericinin Açık Anahtarı
Açık ve İmzalı Mesaj
Açık Mesaj Açık Mesaj
Göndericinin ÖzelAnahtarı
Elektronik İmza (e-imza) 25
Mesaj Özeti
Özetli Elektronik İmza Senaryosu
İMZALAMA ALGORİTMASI
ONAYLAMA ALGORİTMASI
Gizli Anahtar
Özetin İmzası
Özetleme Algoritmas
ı
Mesaj Özeti
+
Özetleme Algoritması
AçıkAnahtar
=?
Özetin İmzası
Açık Mesaj
Açık Mesaj
Açık Mesaj
Elektronik İmza (e-imza) 26
Link Analizi
CRL ~50 KB 2000 sertifika içerikli
OCSP Her biri 6 kilobits hat kaynağı tüketir 1024 bit veya 170 Base64 karakterdir
Elektronik İmza (e-imza) 27
Link Analizi – Varsayım
CA (SM : Sertifika Makamı) 1 milyon abone 1000 ISP üzerinden 1 milyon güvenen parti Sertifika ömürleri 1 yıl 1 milyon abone 500 dağıtım noktasına tanımlı Her yıl %10 abone iptal ediliyor Yoğun saatlerde güvenen parti 0.01 sn de sertifika
doğruluyor
Elektronik İmza (e-imza) 28
Link Analizi – OCSP
Güvenen taraf ve ISP arası averaj kaynak tüketimi : 6kb * 0.01 per sec = 60b/s.
Her ISP her saat 36000 talebi Internet Backbone a taşıyor
ISP-Internet BackBone hat tüketimi 1,000 * 60b/s = 60kb/s. Gerekli 256 kb/s
CA data link : 1000 * 60kb/s = 60Mb/s Gerekli: 180Mb/s
Elektronik İmza (e-imza) 29
Link Analizi – CRL
Güvenen taraf ve ISP arası averaj kaynak tüketimi : 50kb * 0.01 per sec = 500b/s.
36000 talep, vurma oranı (cache hit) 0.986 ISP data-link : 1,000 * 500 * (1 - 0.986) b/s.= 7
kb/s. Gerekli : 32 Kb/s CA data-link: 1000 * 7 kb/s = 7 Mb/s
Gerekli: 21 Mb/s
Elektronik İmza (e-imza) 30
ALTYAPI
CRL sertifikaları belirli sürede indirilebilir.
İmzalama Elektronik Sertifikaları tutulabilir
Elektronik Sertifika Hizmetlerini sunar
CRL yayınlar OCSP ye izin verir …. İstemci tarafında
imzalamaya olanak sağlar
İmza kontrollerini yapmaya olanak sağlar
…
Elektronik İmza (e-imza) 31
Elektronik İmza Genel İş Akışı
Elektronik imza proje ekibinin kurulması ve proje sorumlusunun belirlenmesi
Elektronik İmza kullanılacak yerlerin belirlenmesi (doküman tipleri, form alanları vs)
Elektronik İmza kullanacak kişilerin belirlenmesi,yetkilendirilmesi Elektronik imza kullanım prensiplerinin belirlenmesi CRL,OCSP için link(hat) analizi,tasarımı Elektronik İmza Oluşturma-Saklama Araçlarının seçimi Elektronik imza için gerekli apilerin temini Nitelikli Elektronik imzaların temini(en son aşamada da olabilir) Geliştirme & Entegrasyon (Kodlama) Test
Elektronik İmza (e-imza) 32
Teşekkür Ederiz
E-imza Bilişim İletişim ve Bilgi Güvenliği Hizmetleri Ltd. Ş[email protected]