e imza

e-imza Bilişim İletişim ve Bilgi Güvenliği

http://www.e-imza.com.tr

Elektronik İmza

Elektronik İmza (e-imza) 2

Internet ve Güvenlik

Internet ile birlikte global bir haberleşme ağının içine girmiş olduk.Global ağın oluşmasıyla bazı problemler ortaya çıktı:

İnkar Edilebilme: Mesajı gönderip/göndermediğini inkar edebilme

Doğrulama : Mesajı gönderenin kimliğinden emin olamama

Bütünlük : Mesajların içeriğinin değiştirilebilmesi Gizlilik : Mesajların içeriklerinin görülebilmesi


Islak İmza

Elektronik olmayan ortamlarda, bu sorunların çoğunun üstesinden “ıslak imza” ile gelmeye çalışıyoruz.

İmza, bir güven sağlıyor !

Çünkü imza, Üzerindeki dokümanla bütünleşiyor Kendimize özel bir stil içeriyor (bizi temsil ediyor) Temel özellikleri ile bu stil hiç değişmiyor Üzerinde bulunduğu dokümanda;

İmzalayanın kendi isteği ile onayını (inkar edememeyi) İmzalayanın “o kişi” olduğunun tanılanmasını (doğrulamayı) Dokümanın içeriğinin değişmediğini (bütünlüğünü)garanti ediyor


Güvenli Elektronik İmza (e-imza)

Elektronik İmza :“Bir elektronik veriye eklenen ve göndereni emsalsiz (unique)

şekilde tanımlayan bir sayısal kod”Elektronik imza ile,

İmzalayanın kendi isteği ile onayını (inkar edememe) İmzalayanın “o kişi” olduğunun tanılanmasını (kimlik

doğrulama) Dökümanın içeriğinin değişmediğini (bütünlük)

garanti ediyor

Verinin gizliliği ise bir kriptolama işlemi ile sağlanıyor, e-imza ile değil (gizlilik).


Hukuki olarak Elektronik İmza Kanunu

Elektronik İmza (5070 sayılı kanun):“Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri veya bilgi”

MADDE 5.- Güvenli elektronik imza, elle atılan imza ile aynı hukukî sonucu doğurur.

MADDE 22.- 22.4.1926 tarihli ve 818 sayılı Borçlar Kanununun 14 üncü maddesinin birinci fıkrasına aşağıdaki cümle eklenmiştir.“Güvenli elektronik imza elle atılan imza ile aynı ispat gücünü haizdir.”


“Elektronik İmza Kanunu” Ne Sağlıyor?

“Güvenli elektronik imza”, “ıslak imza” ile aynı

hukuki etki ve sonuçları doğuracak

Güvenli elektronik ile imzalanmış belgeler aksi ispat

edilene kadar hukuk alanında kesin delil sayılacak,

Güvenli elektronik imza’nın olmazsa olmaz unsuru

olan “nitelikli elektronik sertifika” yalnızca bu

kanuna tabi “Elektronik Sertifika Hizmet

Sağlayıcıları” tarafından temin edilebilecek.


Elektronik İmza ve Elektronik Sertifika

e-imza için iki adet anahtar (asimetrik anahtarlar) gerekmektedir :

• Kapalı (Gizli) anahtar : Yalnızca kişinin kendisinde

• Açık anahtar : Herkesin ulaşabileceği bir yerde

Açık anahtar “güvenilir bir kurum” tarafından kişiye özel oluşturuluyor ve “elektronik sertifika” üzerinde saklanıyor ve dağıtılıyor.


Hash (Özet)

Çok büyük boyutlu dokümanlarda “fingerprint” olarak adlandırılan sabit uzunluklu, kriptografik tek yönlü fonksiyon mesaj özeti üretilir.

Çok büyük boyutlu dokümanları şifrelemek uzun süreceği için dokümanın özeti çıkartılır

Bu üretilen sabit uzunluklu özet, imzalama için

kullanılır.


E-imzada kullanılan algoritma ve parametreler

İmza oluşturma ve doğrulama verileri, aşağıda belirtilen algoritma ve parametrelere uygun olarak;

RSA için en az 1024 bit veya DSA için en az 1024 bit veya DSA Eliptik Eğrisi için en az 160 bit

Özetleme Algoritması (Hash) olarak; RIPEMD-160 veya SHA-1


Elektronik Sertifikalar

Asimetrik anahtarların bütünlüğünü korumak için kurulan bir yöntemdir.

Kullanıcı kimliği ile kullanıcıya ait açık anahtar arasında ilişki kuran bir yapıdır.

Anahtarlar Güvenilir Üçüncü Taraf tarafından imzalanırlar: CA (SM: Sertifikasyon Makamı)

Anahtarların nasıl kullanılacağı ile ilgili bilgiler de içerebilir.

TKA

Açık Anahtar

Son Kullanma Tarihi

Diğer Bilgiler

SM İmzası


Ele

ktr

on

ik S

ert

ifik

a Ö

rneğ

i


Nitelikli Elektronik Sertifika

Sertifikanın “nitelikli elektronik sertifika” olduğuna dair ibarenin, Sertifika hizmet sağlayıcısının kimlik bilgileri ve kurulduğu ülke

adının, İmza sahibinin teşhis edilebileceği kimlik bilgilerinin, Elektronik imza oluşturma verisine karşılık gelen imza doğrulama

verisinin, Sertifikanın geçerlilik süresinin başlangıç ve bitiş tarihlerinin, Sertifikanın seri numarasının, Sertifika sahibi diğer bir kişi adına hareket ediyorsa bu yetkilisine

ilişkin bilginin, Sertifika sahibi talep ederse mesleki ve diğer kişisel bilgilerinin Varsa sertifikanın kullanım şartları ve kullanılacağı işlemlerdeki

maddi sınırlamalara ilişkin bilgilerin, Sertifika Hizmet Sağlayıcısının sertifikada yer alan bilgileri

doğrulayan güvenli elektronik imzasının olması zorunludur


Elektronik İmza - Kurumlar

Türkiye’de elektronik imza düzenleyici kurumu Bilgi Teknolojileri ve İletişim Kurumu’dur.

Bu kurum Elektronik Sertifika Hizmet Sağlayıcılarının (ESHS) başvurularını kabul eder, inceler,uygunluğuna karar verir ve denetler.


İş Modeli

Kurumlar

Bireyler

• Elektronik Sertifika Hizmet Sağlayıcısı

• E-Sertika kullanan uygulamalar

• Müşterilere e-sertifika dağıtma

• Aynı e-sertifikaları farklı kurumlarda kullanabilme

• Elektronik ortamda “güvenli kimlik” sahibi olma


Elektronik Sertifika Hizmet Sağlayıcıları

Sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan gerçek veya tüzel kişilerdir

ESHS ler, Telekomünikasyon Kurumu’na yapılan başvurulardan sonra yapılan incelemeler sonucu faaliyete geçecektir

2 ay inceleme, eksiklik durumunda 1 ay ek süre Şu an 3 firma ve 1 kurum hizmet vermektedir


Sertifika Almak İçin Neler Gerekir?

ESHS, nitelikli elektronik sertifika vereceği kişilerin kimliğini; nüfus cüzdanı, pasaport,sürücü belgesi gibi fotoğraflı ve geçerli resmi belgelere göre tespit eder. Nitelikli elektronik sertifika verilecek kişi kimlik tespiti esnasında bizzat hazır bulunur.

ESHS, nitelikli elektronik sertifika verilecek kişinin kimliğinin birinci fıkra hükümlerine göre önceden tespit edilmiş olduğu hallerde veya kurumsal başvurularda kimlik tespiti için bizzat hazır bulunma şartını aramayabilir.


Nasıl Sertifika Alınır?

Başvuru Sahibi/ Sertifika Sahibi

Kayıt Hizmeti

Sertifika Oluşturma Hizmeti

Dağıtım Hizmeti

Yetkili Taraf

İptal Yönetim Hizmeti

İptal Durum Kaydı Hiz.

Sertifika Sahibi Cihaz SunumHizmeti

Güvenen Taraf

Sertifika İstemi

Güvenli İmza Oluşturma Aracı

İptal Raporu

İptal Durum Bilgisi

Sertifika,ESHS Kural ve

Koşulları

İptal Raporu

Sertifika,ESHS Kural ve

Koşulları


Nitelikli Elektronik Sertifikanın İptal Edilmesi

Talepler, asgari olarak telefonla ve kesintisiz yapılır

Kayıp,çalınma ve sertifika bilgilerinin değişiminde yapılır

Elektronik sertifika, geçerlilik süresi sonuna kadar iptal durum kayıtlarında yer alır

ESHS, nitelikli elektronik sertifikalara ilişkin iptal durum kaydını kesintisiz olarak kamu erişimine açık tutar (CRL)


Elektronik İmza Yöntemleri

Merkezi olarak imzalama;İmzalama işlemlerinin bir merkezin kontrolünde bir cihaz vasıtasıyla, herkes için tek bir yerden gerçekleştirildiği durum.

Usb token, smartcard vb güvenlik standartlarına sahip cihazlarla imzalama;İstemci tarafında ilgili dokumanlar ufak cihazlar sayesinde imzalanır.


Elektronik İmza Oluşturma Araçları

İmza oluşturma verisini tutan yazılım/donanım aracı Özellikleri :

İmza oluşturma verisi araç dışına çıkartılamaz İmzalama işlemi araç içinde gerçekleşir Kullanılması zorunludur Standartları tebliğ ile belirlenmiştir (EAL 4+) Aracın hiçbir yedeği ya da kopyası üretilemez


Tanılama Yöntemleri

1999 ABD Savunma Bakanlığı Tanılama Teknolojileri


Elektronik İmza Kullanımında Dikkat!!!

Sertifikada kısıtlamalara uyulması Sertifikanın geçerlilik süresi, CRL, OCSP Sertifikanın nitelikli sertifika şartlarını taşıması Standartlara uygun cihaz ve yazılım kullanmak İmza oluşturma araçlarını başkasına kullandırmamak İmza oluşturma aracına erişim şifresini başkasına

vermemek,kullandırmamak

Sonuç : "Her birey kendi kişiliğinin ve mülkiyetinin mutlak

efendisidir.“ John Locke


Elektronik Sertifikalar - Depolama

Tercihen LDAP protokol destekli olan yerlerde saklanır

Kurum içinde tutulması hat açısından idealdir Kurum içerisinde bir Kayıt Makamı (RA) kurulabilir


Elektronik İmza Senaryosu

İMZALAMA ALGORİTMASI

ONAYLAMA ALGORİTMASI

Mesajın İmzası

+=?

Mesajın İmzası

Göndericinin Açık Anahtarı

Açık ve İmzalı Mesaj

Açık Mesaj Açık Mesaj

Göndericinin ÖzelAnahtarı


Mesaj Özeti

Özetli Elektronik İmza Senaryosu

İMZALAMA ALGORİTMASI

ONAYLAMA ALGORİTMASI

Gizli Anahtar

Özetin İmzası

Özetleme Algoritmas

ı

Mesaj Özeti

+

Özetleme Algoritması

AçıkAnahtar

=?

Özetin İmzası

Açık Mesaj

Açık Mesaj

Açık Mesaj


Link Analizi

CRL ~50 KB 2000 sertifika içerikli

OCSP Her biri 6 kilobits hat kaynağı tüketir 1024 bit veya 170 Base64 karakterdir


Link Analizi – Varsayım

CA (SM : Sertifika Makamı) 1 milyon abone 1000 ISP üzerinden 1 milyon güvenen parti Sertifika ömürleri 1 yıl 1 milyon abone 500 dağıtım noktasına tanımlı Her yıl %10 abone iptal ediliyor Yoğun saatlerde güvenen parti 0.01 sn de sertifika

doğruluyor


Link Analizi – OCSP

Güvenen taraf ve ISP arası averaj kaynak tüketimi : 6kb * 0.01 per sec = 60b/s.

Her ISP her saat 36000 talebi Internet Backbone a taşıyor

ISP-Internet BackBone hat tüketimi 1,000 * 60b/s = 60kb/s. Gerekli 256 kb/s

CA data link : 1000 * 60kb/s = 60Mb/s Gerekli: 180Mb/s


Link Analizi – CRL

Güvenen taraf ve ISP arası averaj kaynak tüketimi : 50kb * 0.01 per sec = 500b/s.

36000 talep, vurma oranı (cache hit) 0.986 ISP data-link : 1,000 * 500 * (1 - 0.986) b/s.= 7

kb/s. Gerekli : 32 Kb/s CA data-link: 1000 * 7 kb/s = 7 Mb/s

Gerekli: 21 Mb/s


ALTYAPI

CRL sertifikaları belirli sürede indirilebilir.

İmzalama Elektronik Sertifikaları tutulabilir

Elektronik Sertifika Hizmetlerini sunar

CRL yayınlar OCSP ye izin verir …. İstemci tarafında

imzalamaya olanak sağlar

İmza kontrollerini yapmaya olanak sağlar

…


Elektronik İmza Genel İş Akışı

Elektronik imza proje ekibinin kurulması ve proje sorumlusunun belirlenmesi

Elektronik İmza kullanılacak yerlerin belirlenmesi (doküman tipleri, form alanları vs)

Elektronik İmza kullanacak kişilerin belirlenmesi,yetkilendirilmesi Elektronik imza kullanım prensiplerinin belirlenmesi CRL,OCSP için link(hat) analizi,tasarımı Elektronik İmza Oluşturma-Saklama Araçlarının seçimi Elektronik imza için gerekli apilerin temini Nitelikli Elektronik imzaların temini(en son aşamada da olabilir) Geliştirme & Entegrasyon (Kodlama) Test


Teşekkür Ederiz

E-imza Bilişim İletişim ve Bilgi Güvenliği Hizmetleri Ltd. Ş[email protected]

e imza

Technology