2. Elektronik İmza (e-imza) 2
Internet ve Güvenlik
Internet ile birlikte global bir haberleşme ağının içine girmiş
olduk.
Global ağın oluşmasıyla bazı problemler ortaya çıktı:
İnkar Edilebilme: Mesajı gönderip/göndermediğini
inkar edebilme
Doğrulama : Mesajı gönderenin kimliğinden
emin olamama
Bütünlük : Mesajların içeriğinin değiştirilebilmesi
Gizlilik : Mesajların içeriklerinin görülebilmesi
3. Elektronik İmza (e-imza) 3
Islak İmza
Elektronik olmayan ortamlarda, bu sorunların çoğunun
üstesinden “ıslak imza” ile gelmeye çalışıyoruz.
İmza, bir güven sağlıyor !
Çünkü imza,
Üzerindeki dokümanla bütünleşiyor
Kendimize özel bir stil içeriyor (bizi temsil ediyor)
Temel özellikleri ile bu stil hiç değişmiyor
Üzerinde bulunduğu dokümanda;
İmzalayanın kendi isteği ile onayını (inkar edememeyi)
İmzalayanın “o kişi” olduğunun tanılanmasını (doğrulamayı)
Dokümanın içeriğinin değişmediğini (bütünlüğünü)
garanti ediyor
4. Elektronik İmza (e-imza) 4
Güvenli Elektronik İmza (e-imza)
Elektronik İmza :
“Bir elektronik veriye eklenen ve göndereni emsalsiz (unique)
şekilde tanımlayan bir sayısal kod”
Elektronik imza ile,
İmzalayanın kendi isteği ile onayını (inkar edememe)
İmzalayanın “o kişi” olduğunun tanılanmasını (kimlik
doğrulama)
Dökümanın içeriğinin değişmediğini (bütünlük)
garanti ediyor
Verinin gizliliği ise bir kriptolama işlemi ile sağlanıyor, e-imza
ile değil (gizlilik).
5. Elektronik İmza (e-imza) 5
Hukuki olarak Elektronik İmza Kanunu
Elektronik İmza (5070 sayılı kanun):
“Başka bir elektronik veriye eklenen veya elektronik veriyle
mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla
kullanılan elektronik veri veya bilgi”
MADDE 5.- Güvenli elektronik imza, elle atılan imza ile
aynı hukukî sonucu doğurur.
MADDE 22.- 22.4.1926 tarihli ve 818 sayılı Borçlar
Kanununun 14 üncü maddesinin birinci fıkrasına aşağıdaki
cümle eklenmiştir.
“Güvenli elektronik imza elle atılan imza ile aynı ispat
gücünü haizdir.”
6. Elektronik İmza (e-imza) 6
“Elektronik İmza Kanunu” Ne Sağlıyor?
“Güvenli elektronik imza”, “ıslak imza” ile aynı
hukuki etki ve sonuçları doğuracak
Güvenli elektronik ile imzalanmış belgeler aksi ispat
edilene kadar hukuk alanında kesin delil sayılacak,
Güvenli elektronik imza’nın olmazsa olmaz unsuru
olan “nitelikli elektronik sertifika” yalnızca bu
kanuna tabi “Elektronik Sertifika Hizmet
Sağlayıcıları” tarafından temin edilebilecek.
7. Elektronik İmza (e-imza) 7
Elektronik İmza ve Elektronik Sertifika
e-imza için iki adet anahtar (asimetrik anahtarlar)
gerekmektedir :
• Kapalı (Gizli) anahtar : Yalnızca kişinin
kendisinde
• Açık anahtar : Herkesin ulaşabileceği bir
yerde
Açık anahtar “güvenilir bir kurum” tarafından kişiye
özel oluşturuluyor ve “elektronik sertifika” üzerinde
saklanıyor ve dağıtılıyor.
8. Elektronik İmza (e-imza) 8
Hash (Özet)
Çok büyük boyutlu dokümanlarda “fingerprint” olarak
adlandırılan sabit uzunluklu, kriptografik tek yönlü
fonksiyon mesaj özeti üretilir.
Çok büyük boyutlu dokümanları şifrelemek uzun
süreceği için dokümanın özeti çıkartılır
Bu üretilen sabit uzunluklu özet, imzalama için
kullanılır.
9. Elektronik İmza (e-imza) 9
E-imzada kullanılan algoritma ve parametreler
İmza oluşturma ve doğrulama verileri, aşağıda belirtilen
algoritma ve parametrelere uygun olarak;
RSA için en az 1024 bit veya
DSA için en az 1024 bit veya
DSA Eliptik Eğrisi için en az 160 bit
Özetleme Algoritması (Hash) olarak;
RIPEMD-160 veya
SHA-1
10. Elektronik İmza (e-imza) 10
Elektronik Sertifikalar
Asimetrik anahtarların bütünlüğünü korumak için
kurulan bir yöntemdir.
Kullanıcı kimliği ile kullanıcıya ait açık anahtar
arasında ilişki kuran bir yapıdır.
Anahtarlar Güvenilir Üçüncü Taraf tarafından
imzalanırlar: CA (SM: Sertifikasyon Makamı)
Anahtarların nasıl kullanılacağı ile ilgili bilgiler de
içerebilir.
TKA
Açık Anahtar
Son Kullanma Tarihi
Diğer Bilgiler
SM İmzası
12. Elektronik İmza (e-imza) 12
Nitelikli Elektronik Sertifika
Sertifikanın “nitelikli elektronik sertifika” olduğuna dair ibarenin,
Sertifika hizmet sağlayıcısının kimlik bilgileri ve kurulduğu ülke
adının,
İmza sahibinin teşhis edilebileceği kimlik bilgilerinin,
Elektronik imza oluşturma verisine karşılık gelen imza doğrulama
verisinin,
Sertifikanın geçerlilik süresinin başlangıç ve bitiş tarihlerinin,
Sertifikanın seri numarasının,
Sertifika sahibi diğer bir kişi adına hareket ediyorsa bu yetkilisine
ilişkin bilginin,
Sertifika sahibi talep ederse mesleki ve diğer kişisel bilgilerinin
Varsa sertifikanın kullanım şartları ve kullanılacağı işlemlerdeki
maddi sınırlamalara ilişkin bilgilerin,
Sertifika Hizmet Sağlayıcısının sertifikada yer alan bilgileri
doğrulayan güvenli elektronik imzasının olması zorunludur
13. Elektronik İmza (e-imza) 13
Elektronik İmza - Kurumlar
Türkiye’de elektronik imza düzenleyici kurumu
Bilgi Teknolojileri ve İletişim Kurumu’dur.
Bu kurum Elektronik Sertifika Hizmet
Sağlayıcılarının (ESHS) başvurularını kabul eder,
inceler,uygunluğuna karar verir ve denetler.
14. Elektronik İmza (e-imza) 14
İş Modeli
Kurumlar
Bireyler
• Elektronik Sertifika
Hizmet Sağlayıcısı
• E-Sertika kullanan uygulamalar
• Müşterilere e-sertifika dağıtma
• Aynı e-sertifikaları farklı kurumlarda
kullanabilme
• Elektronik ortamda “güvenli kimlik”
sahibi olma
15. Elektronik İmza (e-imza) 15
Elektronik Sertifika Hizmet Sağlayıcıları
Sertifika, zaman damgası ve elektronik imzalarla ilgili
hizmetleri sağlayan gerçek veya tüzel kişilerdir
ESHS ler, Telekomünikasyon Kurumu’na yapılan
başvurulardan sonra yapılan incelemeler sonucu
faaliyete geçecektir
2 ay inceleme, eksiklik durumunda 1 ay ek süre
Şu an 3 firma ve 1 kurum hizmet vermektedir
16. Elektronik İmza (e-imza) 16
Sertifika Almak İçin Neler Gerekir?
ESHS, nitelikli elektronik sertifika vereceği
kişilerin kimliğini; nüfus cüzdanı, pasaport,sürücü
belgesi gibi fotoğraflı ve geçerli resmi belgelere
göre tespit eder. Nitelikli elektronik sertifika
verilecek kişi kimlik tespiti esnasında bizzat hazır
bulunur.
ESHS, nitelikli elektronik sertifika verilecek kişinin
kimliğinin birinci fıkra hükümlerine göre önceden
tespit edilmiş olduğu hallerde veya kurumsal
başvurularda kimlik tespiti için bizzat hazır
bulunma şartını aramayabilir.
17. Elektronik İmza (e-imza) 17
Nasıl Sertifika Alınır?
Başvuru Sahibi/
Sertifika Sahibi
Kayıt Hizmeti
Sertifika Oluşturma
Hizmeti
Dağıtım Hizmeti
Yetkili Taraf
İptal Yönetim Hizmeti
İptal Durum Kaydı Hiz.
Sertifika
Sahibi
Cihaz
Sunum
Hizmeti
Güvenen Taraf
Sertifika İstemi
Güvenli İmza Oluşturma Aracı
İptal Raporu
İptal Durum Bilgisi
Sertifika,ESHS
Kural ve
Koşulları
İptal Raporu
Sertifika,ESHS
Kural ve
Koşulları
18. Elektronik İmza (e-imza) 18
Nitelikli Elektronik Sertifikanın İptal Edilmesi
Talepler, asgari olarak telefonla ve kesintisiz
yapılır
Kayıp,çalınma ve sertifika bilgilerinin değişiminde
yapılır
Elektronik sertifika, geçerlilik süresi sonuna kadar
iptal durum kayıtlarında yer alır
ESHS, nitelikli elektronik sertifikalara ilişkin iptal
durum kaydını kesintisiz olarak kamu erişimine
açık tutar (CRL)
19. Elektronik İmza (e-imza) 19
Elektronik İmza Yöntemleri
Merkezi olarak imzalama;
İmzalama işlemlerinin bir merkezin kontrolünde bir
cihaz vasıtasıyla, herkes için tek bir yerden
gerçekleştirildiği durum.
Usb token, smartcard vb güvenlik standartlarına sahip
cihazlarla imzalama;
İstemci tarafında ilgili dokumanlar ufak cihazlar
sayesinde imzalanır.
20. Elektronik İmza (e-imza) 20
Elektronik İmza Oluşturma Araçları
İmza oluşturma verisini tutan yazılım/donanım aracı
Özellikleri :
İmza oluşturma verisi araç dışına çıkartılamaz
İmzalama işlemi araç içinde gerçekleşir
Kullanılması zorunludur
Standartları tebliğ ile belirlenmiştir (EAL 4+)
Aracın hiçbir yedeği ya da kopyası üretilemez
21. Elektronik İmza (e-imza) 21
Tanılama Yöntemleri
1999 ABD Savunma Bakanlığı Tanılama Teknolojileri
22. Elektronik İmza (e-imza) 22
Elektronik İmza Kullanımında Dikkat!!!
Sertifikada kısıtlamalara uyulması
Sertifikanın geçerlilik süresi, CRL, OCSP
Sertifikanın nitelikli sertifika şartlarını taşıması
Standartlara uygun cihaz ve yazılım kullanmak
İmza oluşturma araçlarını başkasına kullandırmamak
İmza oluşturma aracına erişim şifresini başkasına
vermemek,kullandırmamak
Sonuç :
"Her birey kendi kişiliğinin ve mülkiyetinin mutlak
efendisidir.“ John Locke
23. Elektronik İmza (e-imza) 23
Elektronik Sertifikalar - Depolama
Tercihen LDAP protokol destekli olan yerlerde
saklanır
Kurum içinde tutulması hat açısından idealdir
Kurum içerisinde bir Kayıt Makamı (RA) kurulabilir
24. Elektronik İmza (e-imza) 24
Elektronik İmza Senaryosu
İMZALAMA
ALGORİTMASI
ONAYLAMA
ALGORİTMASI
Mesajın
İmzası
+
=?
Mesajın
İmzası
Göndericinin Açık
Anahtarı
Açık ve
İmzalı Mesaj
Açık Mesaj Açık Mesaj
Göndericinin Özel
Anahtarı
25. Elektronik İmza (e-imza) 25
Mesaj Özeti
Özetli Elektronik İmza Senaryosu
İMZALAMA
ALGORİTMASI
ONAYLAMA
ALGORİTMASI
Gizli
Anahtar
Özetin
İmzası
Özetleme
Algoritmas
ı
Mesaj Özeti
+
Özetleme
Algoritması
Açık
Anahtar
=?
Özetin
İmzası
Açık
Mesaj
Açık Mesaj
Açık Mesaj
26. Elektronik İmza (e-imza) 26
Link Analizi
CRL ~50 KB
2000 sertifika içerikli
OCSP
Her biri 6 kilobits hat kaynağı tüketir
1024 bit veya 170 Base64 karakterdir
27. Elektronik İmza (e-imza) 27
Link Analizi – Varsayım
CA (SM : Sertifika Makamı)
1 milyon abone
1000 ISP üzerinden 1 milyon güvenen parti
Sertifika ömürleri 1 yıl
1 milyon abone 500 dağıtım noktasına tanımlı
Her yıl %10 abone iptal ediliyor
Yoğun saatlerde güvenen parti 0.01 sn de sertifika
doğruluyor
28. Elektronik İmza (e-imza) 28
Link Analizi – OCSP
Güvenen taraf ve ISP arası averaj kaynak
tüketimi : 6kb * 0.01 per sec = 60b/s.
Her ISP her saat 36000 talebi Internet Backbone
a taşıyor
ISP-Internet BackBone hat tüketimi 1,000 *
60b/s = 60kb/s. Gerekli 256 kb/s
CA data link : 1000 * 60kb/s = 60Mb/s
Gerekli: 180Mb/s
29. Elektronik İmza (e-imza) 29
Link Analizi – CRL
Güvenen taraf ve ISP arası averaj kaynak
tüketimi : 50kb * 0.01 per sec = 500b/s.
36000 talep, vurma oranı (cache hit) 0.986
ISP data-link : 1,000 * 500 * (1 - 0.986) b/s.= 7
kb/s. Gerekli : 32 Kb/s
CA data-link: 1000 * 7 kb/s = 7 Mb/s
Gerekli: 21 Mb/s
30. Elektronik İmza (e-imza) 30
ALTYAPI
CRL sertifikaları belirli
sürede indirilebilir.
İmzalama Elektronik
Sertifikaları
tutulabilir
Elektronik Sertifika
Hizmetlerini sunar
CRL yayınlar
OCSP ye izin verir
….
İstemci tarafında
imzalamaya
olanak sağlar
İmza kontrollerini
yapmaya olanak
sağlar
…
31. Elektronik İmza (e-imza) 31
Elektronik İmza Genel İş Akışı
Elektronik imza proje ekibinin kurulması ve proje sorumlusunun
belirlenmesi
Elektronik İmza kullanılacak yerlerin belirlenmesi (doküman
tipleri, form alanları vs)
Elektronik İmza kullanacak kişilerin belirlenmesi,yetkilendirilmesi
Elektronik imza kullanım prensiplerinin belirlenmesi
CRL,OCSP için link(hat) analizi,tasarımı
Elektronik İmza Oluşturma-Saklama Araçlarının seçimi
Elektronik imza için gerekli apilerin temini
Nitelikli Elektronik imzaların temini(en son aşamada da olabilir)
Geliştirme & Entegrasyon (Kodlama)
Test
32. Elektronik İmza (e-imza) 32
Teşekkür Ederiz
E-imza Bilişim İletişim ve Bilgi Güvenliği Hizmetleri Ltd. Şti.
info@e-imza.com.tr