6. 6
Elektronik Sertifikanın Geçerlilik Kontrolleri
– Sertifika üzerindeki ESHS’nin imzası
– Sertifika geçerlilik süresi
– Sertifika kullanım amacı
– Sertifika iptal durum kontrolü
ESHS
Web
Sunucu
Dizin
Sunucu
OCSP
Yanıtlayıcı
Sertifika
İptal
Listesi
(SİL)
İMZA
DOĞRULAMA
UYGULAMASI
İMZA
OLUŞTURMA
UYGULAMASI
Sertifika iptal
durum kontrolü
Elektronik
imzalı
veri
Sertifika iptal
durum kontrolü
Çevrim içi Sertifika
Durum Protokolü
(Online Certificate
Status Protocol)
OCSP
7. 7
• İptal olmuş sertifika bilgilerinin duyurulması amacıyla
oluşturulmuş sertifikayı iptal eden kuruluşun imzasını taşıyan
elektronik dosya
• Herkesin erişimine açıktır. Erişim adresi sertifika içeriğinde
mevcuttur.
• Belli aralıklarla oluşturulur ve yayınlanır.
• Belli bir geçerlilik süresi vardır.
• Aşağıdaki biçimlerde yayınlanır.
–HTTP
–LDAP Dizin Sunucu
–FTP
KSM SİL
Yayın aralığı: 24 saat
Ancak her yeni iptalde
yenileniyor
KSM SİL
Geçerlilik
süresi: 36 saat
X.509 Sertifika İptal Listesi (SİL)
12. 12
Elektronik İmzaya Zaman Bilgisinin Eklenmesi
İmza zamanı olarak aşağıdakilerden birisi belirlenebilir:
1. Kullanıcı makinasındaki sistem saati veya kurumdaki bir sunucudan
alınan saat bilgisi imza dosyasına imzalı özellik olarak eklenebilir.
Ancak bu yöntem imza zamanının belirlenmesinde güvenilir kabul
edilmemektedir.
2. Zaman damgası (Time Stamp)
•İmzanın zaman damgası alındığı tarihten önce oluşturulduğu
ispatlanır.
•Zaman damgası imza dosyasına sonradan eklenir.
•Kullanıcı imzayı oluşturduktan hemen sonra kullanıcı uygulaması zaman
damgası alabilir.
•Kullanıcı imzalı belgeyi alıcı tarafa gönderdikten sonra alıcı tarafın
uygulaması zaman damgası alabilir.
13. 13
Elektronik İmzaya Zaman Damgası Eklenmesi
ESHS
Zaman
Damgası
Sunucusu
İmzanın Özet
Değeri
ZD’nin İmzası
İmzanın Özet
Değeri
Zaman Bilgisi
Zaman Damgası
Elektronik imza
Özetleme
algoritması
ETSI 101 733
Elektronik imza
Merhaba
İmza
sahibinin
sertifikası
GÜVENİLİR
ZAMAN KAYNAĞI
14. lk mza Do rulamaİ İ ğlk mza Do rulamaİ İ ğ
lemleriİşlemleriİş
15. 15
İlk İmza Doğrulama İşlemi
• İmza oluşturulduktan ertelenme süresi (grace period)
kadar zaman geçtikten sonra gerçekleştirilir.
• İmza oluşturulup, alıcıya gönderildikten sonra alıcı
tarafından gerçekleştirilebilir.
• İmza sahibinin sertifikasının ve güven zincirindeki tüm
ESHS sertifikalarının geçerlilik kontrolleri yapılmalıdır.
• ESHS’ye ait diğer sertifikaların (OCSP/SİL İmzalama,
Zaman Damgası) geçerlilik kontrolleri yapılmalıdır.
• SİL veya OCSP cevaplarının geçerlilik kontrolü
yapılmalıdır.
• Zaman damgasının geçerlilik kontrolü yapılmalıdır.
• Doğrulama verileri toplanmalıdır.
16. 16
İlk İmza Doğrulama İşlemi
• İlk imza doğrulama sırasında toplanan “doğrulama
verileri” aşağıdaki verilerdir:
– Kullanıcı sertifikası
– Kullanıcı sertifikasını imzalayan ESHS sertifikası ve sertifika
güven zincirindeki diğer ESHS sertifikaları
– Kullanıcı sertifikası ile ilgili SİL veya OCSP cevabı
– Sertifika güven zincirindeki ESHS sertifikaları ile ilgili SİL
veya OCSP cevapları
– SİL veya OCSP cevabını imzalayan ESHS sertifikası
– Zaman damgası
– Zaman damgasını imzalayan ESHS sertifikası
– Zaman damgası ile ilgili SİL veya OCSP cevabı
• Doğrulama verileri “sonraki imza doğrulama”
işlemlerinde kullanılır.
17. 17
İlk İmza Doğrulama İşlemi
• İmza doğrulama sırasında kullanılan
“doğrulama verileri” aşağıdaki
yöntemlerden birisi kullanılarak
saklanır:
– İmza doğrulaması yapacak tüm
kullanıcıların ulaşabileceği ortak bir
alanda “doğrulama verileri” saklanır.
– “Doğrulama verileri” imza dosyasının
içeriğine “imzaya dahil olmayan
(unsigned attributes)” imza özellikleri
olarak eklenir.
ETSI 101 733
Doğrulama
Verileri
ETSI 101 733
Elektronik imza
Merhaba
İmza
sahibinin
sertifikası
Zaman Damgası
Sertifika ve
SİL
Deposu
19. 19
Sonraki İmza Doğrulama İşlemi
• İlk imza doğrulamadan sonra yapılan doğrulama işlemleridir.
• İlk imza doğrulamada kullanılan “doğrulama verileri” kullanılır.
• “Doğrulama verileri” aşağıdaki yöntemlerden birisi ile elde edilir:
– Tüm kullanıcıların ulaşabileceği ortak bir alandan elde edilir.
– İmza dosyasının içeriğinden elde edilir.
• İlk imza doğrulaması sırasında yapılan tüm kontrollerin aynısı
imzanın atıldığı tarih referans alınarak tekrar yapılır.
Sonraki İmza
Doğrulama
Yazılımı
Doğrulama Verileri
ETSI 101 733
Elektronik imza
Merhaba
İmza
sahibinin
sertifikası
Zaman Damgası
Sertifika ve
SİL
Deposu
Doğrulama Verileri
21. 21
Elektronik İmzanın Arşivlenmesi
• Elektronik imzalı dokümanların uzun dönem saklanması
gerektiğinde arşivleme yapılır.
• Geçmişte kullanılan algoritmaların veya anahtarların artık güvenli
kabul edilmediği durumlarda arşivleme yapılır.
– Kullanıcı veya ESHS sertifikalarının süresinin dolması
– Kullanıcı veya ESHS sertifikalarının iptal olması
– Kullanılan algoritmalardan birisinin kriptografik olarak kırıldığının
duyurulması
• ESHS Zaman Damgası sunucularına bağlanılarak, eskiden
oluşturulmuş imza dosyalarına Zaman Damgası alınması yoluyla
arşivleme yapılır.
• Arşivleme ilerleyen zamanlarda gerektikçe tekrarlanır.
22. 22
Arşivleme
Arşiv Zaman Damgası
ETSI 101 733
Doğrulama
Verileri
ETSI 101 733
Elektronik imza
Merhaba
İmza
sahibinin
sertifikası
Zaman Damgası
ESHS
Zaman Damgası5/)=hf+%
Zaman
Damgası
Sunucusu
24. 24
İlgili Dokümanlar
CEN (Comité Européen De Normalisation)
Workshop Agreements
CWA 14170:CWA 14170: Security Requirements for
Signature Creation Applications
Elektronik İmza Oluşturma Uygulamaları
için Güvenlik İhtiyaçları
CWA 14171:CWA 14171: Procedures for Electronic
Signature Verification
Elektronik İmza Doğrulama için Prosedürler
25. 25
Güvenli Elektronik İmza Oluşturma Yazılımı BileşenleriGüvenli Elektronik İmza Oluşturma Yazılımı Bileşenleri
Belge GörüntülemeBelge Görüntüleme
İmza Özellikleri
Görüntüleme
İmza Özellikleri
Görüntüleme
Güvenli elektronik imza oluşturma aracı
ile iletişimin sağlanması
Güvenli elektronik imza oluşturma aracı
ile iletişimin sağlanması
İmza Formatı Oluşturmaİmza Formatı Oluşturma
İmzalanacak
Belge
Özet Değeri OluşturmaÖzet Değeri Oluşturma
İmzaya Dahil
Olan İmza
Özellikleri
İmzaya Dahil
Olmayan İmza
Özellikleri
26. 26
CWA 14170’e Göre Sağlanması Gereken ŞartlarCWA 14170’e Göre Sağlanması Gereken Şartlar
• Genel Güvenlik Kriterleri
– Kötü niyetli programlara karşı yazılımın güvenliği korunmalıdır.
– Güvenli elektronik imza oluşturma yazılımı ortama uzaktan
yükleniyorsa (örn; Applet, plug-in) ilgili tarafın ve yüklenen
programların güvenilirliği sağlanmalıdır.
– Güvenli elektronik imza oluşturma yazılımının çalıştığı ortamdaki
diğer güvenilir olmayan bileşenlerin, uygulama veya iletişim
kanallarının imza işlemine etki etmesi engellenmelidir.
– Yazılımın doğru kullanıcı belgesi ve imza özellikleri üzerinde
doğrulanabilir bir imza oluşturması sağlanmalıdır. (İmzalanan
veri üzerinde imza oluşturma işleminden hemen sonra CWA
14171’e uygun doğrulama işlemi yaptırılmalı; doğrulamada hata
olursa kullanıcı bilgilendirilmelidir.)
– Kullanıcı belgesi olmadan imzalama işlemi yapılmasına izin
verilmemelidir.
27. 27
CWA 14170’e Göre Sağlanması Gereken ŞartlarCWA 14170’e Göre Sağlanması Gereken Şartlar
• İmzalanacak Belge ile İlgili Sağlanması Gerekenler
– İmzalanacak belgenin imzalama işleminden önce seçilmesine ve
görüntülenmesine izin verilmelidir.
– Yazılım imzalanacak verinin kullanıcıya gösterilen olduğunu garanti
etmelidir. İmzalanacak verinin imzalama işleminden önce kazara veya
bilerek değiştirilmesini engelleyecek önlemler alınmalıdır.
– Kazara değiştirmelere karşı, imza işleminden önce belgenin edit edilemez
biçimde görüntülenmesi sağlanmalıdır.
– İmza dosyasının kullanıcı tarafından kopyasının alınmasına imkan
verilebilir.(Opsiyonel)
– Yüksek güvenlik gerektiren uygulamalarda imzalanmasına izin verilen
kullanıcı belge türleri belirlenebilir.(Opsiyonel)
• Sadece, saklı veri, macro, script gibi dinamik veri içermeyen kullanıcı belge türlerinin
imzalanmasına imkan verilebilir.
• Dinamik verinin varlığı konusunda imza sahibi imzalama işleminden önce uyarılabilir ve
imzalama işleminden vazgeçme seçeneği tanınabilir.
• İmzalanmasına izin verilen kullanıcı belge türleri dışındaki bir belgenin imzalanmak
istenmesi durumunda kullanıcı uyarılıp ve imzalama işleminden çıkma seçeneği tanınabilir.
– Belge üzerinde daha önceden oluşturulmuş imzalar kullanıcıya gösterilmeli
ve imzaları doğrulama seçeneği tanınmalıdır.
28. 28
CWA 14170’e Göre Sağlanması Gereken ŞartlarCWA 14170’e Göre Sağlanması Gereken Şartlar
• İmza Özellikleri ile İlgili Sağlanması Gerekenler
– İmza oluşturulmadan önce, imza sahibinin ilgili Nitelikli Elektronik
Sertifikasını (NES) ekrandan seçme ve görüntüleme imkanı
tanınmalıdır.
– İmza sahibine ait NES imza verisine eklenmelidir.
– Bir imzada Zaman Damgası veya Zaman İşareti özelliklerinden
en az birisi bulunmalıdır.
– İmza özellikleri kullanıcıya ekrandan doğru bir şekilde
gösterilmelidir.
– İmza özelliklerinin dinamik veri içermesi engellenebilir veya
dinamik verinin varlığı konusunda imza sahibi imzalama
işleminden önce uyarılabilir ve imzalama işleminden vazgeçme
seçeneği tanınabilir.
– İmza işleminden önce, imza sahibine ait NES’in geçerlilik
kontrolleri yapılmalıdır.
29. 29
CWA 14170’e Göre Sağlanması Gereken ŞartlarCWA 14170’e Göre Sağlanması Gereken Şartlar
• Kullanıcı Arayüzü ile İlgili Sağlanması Gerekenler
– İmza işlemi tamamlanana kadar kullanıcının kontrol edebilmesi
gereken tüm noktalarda bilgilendirmeler yapılmalı; bilgilendirme
yapılan işlemin sistemdeki etkisi ve sonuçlarını doğru, düzgün ve
tutarlı bir biçimde ifade etmelidir.
– Yapılan işlemlerin doğruluğu ve güvenilirliği konusunda durum
raporları ve hata mesajları verilmelidir.
– İmza oturumunda, kullanıcı tarafından işleme ara verilmesi
durumunda işlem belirlenen bir zaman aşımı süresi sonunda
durdurulmalıdır.
– Güvenli elektronik imza oluşturma aracında yapılacak işlemin
hemen öncesinde, kullanıcıya uyarı mesajı verilerek kullanıcının
imzadan vazgeçmesine olanak sağlanmalıdır.
– Yapılan kontrollerin geçersiz olması durumunda kullanıcı
uyarılmalı ve imza işleminden vazgeçme seçeneği tanınmalıdır.
30. 30
CWA 14170’e Göre Sağlanması Gereken ŞartlarCWA 14170’e Göre Sağlanması Gereken Şartlar
• Güvenli Elektronik İmza Oluşturma Aracı Erişim Verisi
Girişi ile İlgili Sağlanması Gerekenler
– Güvenli elektronik imza oluşturma aracı erişim verisinin belirli bir
sayıda yanlış girilmesi durumunda araca erişim engellenmelidir.
– Erişim verisinin yanlış girilmesi durumunda kullanıcı
bilgilendirilmelidir.
– Erişim verisi güvenli elektronik imza oluşturma yazılımı içerisinde
tutulmak durumunda ise bu aşamada güvenliği sağlanmalı ve
kullanımı sona erdiğinde sistemden güvenli bir biçimde
silinmelidir.
– Erişim verisinin yazılım içinde tutulması belli bir süre ile sınırlı
kalmalıdır. Bu sürenin sonunda bellekten silinmelidir.
– Erişim verisi parola ise ekrandan girişte verinin görünmemesi
için “*” vb. karakteri kullanılmalıdır.
31. 31
CWA 14171’e Göre Sağlanması Gereken ŞartlarCWA 14171’e Göre Sağlanması Gereken Şartlar
• İmza Doğrulama
– İmza sahibine ait NES içindeki açık anahtar kullanılarak imza
doğrulama işlemi yapılmalıdır.
– Doğrulamada kullanılan NES istenirse görüntülenebilmelidir.
– Varsa imza verisi içindeki Zaman Damgası yoksa imza zamanı
imzanın atıldığı tarih olarak belirlenmelidir.
– İmzalanmış veri (imzalanmış belge ve imza özellikleri) ve
imzalanmamış imza özellikleri kullanıcıya ekrandan
gösterilmelidir. Yazılım imza dosyası içeriğindeki verinin
kullanıcıya gösterilen olduğunu garanti etmelidir.
32. 32
– NES kontrolleri yapılmalıdır:
• NES geçerlilik süresi kontrolü yapılmalıdır.
• NES’in imzanın atıldığı tarihteki iptal durum kontrolü ilgili SİL veya
OCSP’den yapılmalıdır.
• NES üzerindeki ESHS imzasının kontrolü yapılmalıdır.
• NES’in kullanım amacı uygunluğu kontrol edilmelidir.
– SİL veya OCSP geçerlilik kontrolleri yapılmalıdır.
– ESHS sertifikalarının geçerlilik kontrolleri yapılmalıdır.
– Varsa zaman damgasının geçerlilik kontrolleri yapılmalıdır.
CWA 14171’e Göre Sağlanması Gereken ŞartlarCWA 14171’e Göre Sağlanması Gereken Şartlar
33. 33
CWA 14171’e Göre Sağlanması Gereken ŞartlarCWA 14171’e Göre Sağlanması Gereken Şartlar
– Doğrulama sonucu değiştirilmeksizin ekrandan kullanıcıya
gösterilmelidir.
– Doğrulama başarısız ise nedenleri ekrandan kullanıcıya
gösterilmelidir.
– İşlemin etkin ve verimli bir biçimde tamamlanması için
kullanıcıya gerekli bilgilendirmeler yapılmalıdır.
– Yapılan işlemlerin doğruluğu ve güvenilirliği konusunda durum
raporları ve hata mesajları verilmelidir.
35. 35
Elektronik olarak imzalanacak doküman tipleri neler olacaktır?
İmzalanan dokümanların uzun dönem saklanması gerekiyor mu?
– İleri e-imza teknikleri kullanılacak mı? (AdES- Advanced Electronic
Signature)
– Hangi AdES formatları kullanılacak?
– Arşivleme yapılacak mı?
İmza zamanı nasıl belirlenecek?
– Zaman damgası mı kullanılacak?
– “İmza zamanı (signingTime)” özelliği mi kullanılacak?
Üst yazı ekleri nasıl imzalanacak?
Ekler ayrı ayrı imzalanabilir veya üst yazı ve tüm ekler tek bir dosya biçimine
getirilebilir.
Paraf gerektiren yerlerde imza kullanılacak mı?
Kurumlarda E-imzaya Geçişte Karşılaşılan Temel Sorular
36. 36
Kurumlarda E-imzaya Geçişte Karşılaşılan Temel Sorular
Sertifika iptal kontrolleri hangi yöntemle yapılacak?
– On-line sistemlerde OCSP veya SİL kontrolü
– Off-line sistemlerde SİL kontrolü
İmzanın oluşturulduğu tarihe ait SİL veya OCSP cevapları nasıl
saklanacak?
– ESHS’ye ait sertifikaların iptal kontrolleri için SİL’lerin saklanması
– Kullanıcı sertiikaları için SİL veya OCSP Cevaplarından sadece birisinin
saklanması
Grace Period (Ertelenme Süresi) nasıl uygulanacak?
– Ertelenme süresinin belirlenmesi
– Ertelenme süresinin imzaya uygulanması
37. 37
E-imza politikasıE-imza politikası
• Elektronik imzanın geçerli sayılabilmesi için imza oluşturma ve
doğrulamanın nasıl yapılacağını tanımlayan kurallar setidir.
• ETSI TR 102 041: Signature Policies Report
• ETSI TR 102 045: Electronic Signatures and Infrastructures (ESI);
Signature policy for extended business model
• E-imza politikası için bir nesne tanımlama numarası oluşturulmalıdır.
Örneğin;
KSM Sertifika İlkeleri Nesne Tanımlama Numarası:
2.16.792.1.2.1.1.5.7.1.1
{ joint-iso-itu-t(2) ülke(16) tr(792) TÜBİTAK(1.2.1.1) UEKAE(5)
KSM(7) KSM-sertifika-ilkeleri(1) KSM-nes-ilke-1 (1) }
• E-imza politikası nesne tanımlama numarası oluşturulan imza
verisinin içine yazılır.
• E-imza politikası doküman olarak hazırlanır ve tarafların erişimine
açık ortamlardan yayınlanır.
38. 38
• İmza politikası aşağıdaki bilgileri içerir:
– Politikayı oluşturan kurum adı
– Politikanın yayınlanma tarihi
– Politikanın geçerlilik aralığı
– Politikanın uygulanacağı uygulamalar
– İmzanın zaman bilgisinin ne şekilde alınacağı
– İptal kontrolünün ne şekilde yapılacağı
– Ertelenme süresinin belirlenmesi
– Kullanılacak imza formatlarının belirtilmesi
– Elektronik olarak imzalanacak doküman tiplerinin belirtilmesi
– Arşivleme ile ilgili politikaların belirtilmesi
– Paraf gerektiren yerlerde imzanın kullanılıp kullanılmayacağının
belirtilmesi
– Eklerin nasıl imzalanacağının belirtilmesi
– Vs..
E-imza Politikasında Tanımlanması Gereken BaşlıklarE-imza Politikasında Tanımlanması Gereken Başlıklar
