290 likes | 514 Views
E lektronik İ mza. İçerik. E-imza Nedir? Nitelikli Elektronik Sertifika ve Elektronik Sertifika Hizmet Sağlayıcıları E-imza Teknolojisi E-imzaya Geçiş Süreci Kurumun Yapması Gereken Çalışmalar Belirlemesi Gereken Politikalar Belgenin E-imza ile İmzalanması Süreci
E N D
İçerik • E-imza Nedir? • Nitelikli Elektronik Sertifika ve Elektronik Sertifika Hizmet Sağlayıcıları • E-imza Teknolojisi • E-imzaya Geçiş Süreci • Kurumun Yapması Gereken Çalışmalar Belirlemesi Gereken Politikalar • Belgenin E-imza ile İmzalanması Süreci • Kurumlar Arası E-imzalı Yazışma • E-mühür • E-imza Türleri • Kamu Sertifikasyon Merkezi (KSM) ve Elektronik Sertifika Başvurusu
Elektronik İmza • 5070 sayılı Kanun’daki tanım: “Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri” • Yasal olmayan elektronik imzalar: • Kağıt üzerindeki imzanın elektronik ortama aktarılmasıyla oluşturulan resim • Ekrana atılan imza • Parmak izinin elektronik ortama aktarılması • vs.. vs..
774757555255252555005443....9871 843738388533363456363465....6534 Kullanılan Teknoloji • Açık Anahtarlı Altyapı Teknolojisi • Matematiksel şifreleme yöntemleri kullanılır. Şifreleme için büyük sayı dizilerinden oluşan 2 anahtar kullanılır. Özel anahtar (imza oluşturma verisi) • E-imzayı oluşturmak için kullanılır. • Sadece kişinin kendisinde bulunur. • Akıllı kart içinde saklanır ve bu araçtan dışarıya çıkarılamaz. Açık anahtar (imza doğrulama verisi) • E-imzayı doğrulamak için kullanılır. • Gizli olmayan, herkese açık bir veridir.
Elektronik sertifika: Adı, Soyadı T.C. Kimlik No. Vs. “İmza sahibinin imza doğrulama verisini ve kimlik bilgilerini birbirine bağlayan elektronik kaydı” + Adı, soyadı Elektronik Sertifika Hizmet Sağlayıcısı (ESHS) ESHS
Elektronik Sertifika Yönetimi Anahtarların Kullanım Amaçları • Özel anahtar: Güvenli elektronik imza oluşturma amacıyla kullanılılır. Başka bir amaç için kullanılmaz. • Açık anahtar: Oluşturulan güvenli elektronik imzanın doğrulanması için kullanılır. Başka bir amaç için kullanılmaz. Elektronik Sertifikanın Geçerlilik Süresi • Anahtarların kriptografik açıdan güvenlik süresi: • 1024-bit : 1 yıl • 2048-bit : 10 yıl Geçerlilik süresi dolan elektronik sertifikaya ait özel anahtar imza oluşturma amaçlı kullanılmaz. Açık anahtar geçmişte oluşturulmuş imzaların doğrulanması için kullanılır.
Elektronik Sertifika Yönetimi Elektronik Sertifikanın Yenilenmesi • Elektronik sertifikanın geçerlilik süresi dolduğunda (veya dolmasına yakın bir süre önce) ESHS’ye başvurulur ve kullanıcıya yeni bir sertifika üretilir. • Yenilemede imza sahibine yeni anahtar çiftleri üretilir. • Eski özel anahtar, sahibi tarafından imha edilmelidir. • Eski sertifika, geçmişte oluşturulmuş e-imzaların doğrulanması amaçlı arşivlenir.
ESHS Sertifika İptal Listesi (SİL) OCSP Yanıtlayıcı Dizin Sunucu Web Sunucu FTP Sunucu Elektronik Sertifika Yönetimi Elektronik Sertifikanın İptal Edilmesi • Geçerlilik süresi dolmadan özel anahtarın kullanımı engellenebilir. • Özel anahtarın kullanımının engellendiği sertifikanın iptal edilmesi ile duyurulur. • Sertifikanın iptal edildiği sertifikayı veren ESHS tarafından duyurulur. • Sertifika İptal Listesi (SİL) • OCSP (Online Certificate Status Protocol - Çevrimiçi Sertifika Durum Protokolü)
Hesaba 10 000 TL aktarıyorum ;+?(^!’ Adı, soyadı Elektronik İmza Oluşturma ve Doğrulama İletişim kanalı İmzayı atan taraf İmzayı doğrulayan taraf Hesaba 10 000 TL aktarıyorum İmza Oluşturma Yazılımı ;+?(^!’ İmza Doğrulama Yazılımı • İmza doğrulandı • İmza doğrulanamadı • İmza doğrulama işlemi tamamlanamadı
Güvenlik Bilgi Bütünlüğü Kimlik Doğrulama Elektronik imza İnkar Edilemezlik
E-imzaya Geçiş Süreci • Yazılım ve donanım altyapısının oluşturulması • İş süreçlerinin elektronik ortama aktarılarak uygulamalar geliştirilmesi • Uluslararası standartlara ve Türkiye’deki e-imza mevzuatına uygun e-imza oluşturma ve doğrulama yapan yazılım kütüphanelerinin uygulamaya entegre edilmesi • E-imza ile ilgili kurum politikalarının belirlenmesi • E-imzanın uygulandığı sistemlerde güvenliğin sağlanması • Ağ güvenliği • Erişim hakları • İşlevlerin düzgünlüğü ve sürekliliği • Kayıtların tutulması • Yedekleme • Arşivleme • Felaket kurtarma
İMZALI BELGEYİ ALAN TARAF • E-imza doğrulama • uygulaması SERTİFİKA SAHİBİ Hesaba 10 000 TL aktarıyorum • E-imza oluşturma • uygulaması ;+?(^!’ ESHS Sertifika İptal Listesi (SİL) Adı, soyadı Zaman Damgası Örnek Uygulama (E-imza Oluşturulması ve Doğrulanması) • İmza doğrulandı • İmza doğrulanamadı • İmza doğrulama işlemi tamamlanamadı
Kurumun Belirlemesi Gereken Politikalar • Elektronik olarak imzalanacak doküman tipleri belirlenmelidir. Doküman, imzanın güvenliğini tehlikeye düşürecek dinamik veri (program parçacığı) içermemelidir. • Paraf gerektiren yerlerde imzanın kullanılıp kullanılmayacağı belirlenmelidir. • Eklerin imzalanması konusu belirlenmelidir. • İmzalı belgelerin kaç yıl saklanacağı belirlenmelidir. • Uzun dönem saklanacak imzalı belgeler e-imza arşiv formatına çevrilerek saklanmalıdır. • İmza sahibine maddi yükümlülük getiren belge tipleri belirlenmeli, bu belgelerle ilgili uygulamada gerekli kontroller yapılmalıdır.
Kurumlar Arası E-imzalı Yazışma • E-imzalı ortak yazışma paketi • BAŞBAKANLIK İdareyi Geliştirme Başkanlığı: Resmî Yazışmalarda Uygulanacak Usul ve Esaslar Hakkında Yönetmelik • KALKINMA BAKANLIĞI Bilgi Toplumu Dairesi: E- yazışma Teknik Rehberi (http://www.e-yazisma.gov.tr/) • Üst yazı, ekler, üst veri elemanları ve e-imzayı barındıran paket yapısını tanımlamaktadır. • Paketin gizliliğini sağlamak amacıyla şifrelenmesinin nasıl yapılacağını tanımlamaktadır. • Pakete elektronik mühürün nasıl alınacağını tanımlamaktadır. (E-mühür henüz yasal olarak düzenlenmemiştir) • Paketin gönderimi (Kayıtlı e-posta sistemi- KEP)
Hesaba 10 000 TL aktarıyorum ;+?(^!’ Zaman Damgası OCSP Cevabı OCSP Cevabı OCSP Cevabı Adı, soyadı E-imza Türleri • BES: Basit Elektronik İmza • İmza tarihi kesin olarak tespit edilemez • Zaman Damgası Eklenmiş BES İmza • İmza tarihinin kesin olarak tespit edilmesini sağlar • İleri E-imza Tipleri (Advanced E-Signature) • İmzayı doğrulamak için gerekli olan doğrulama verilerinin (ESHS’ye ait sertifikalar, SİL ve OCSP Cevapları) saklanıp imzanın sertifika geçerlilik süresi dolduktan sonra da doğrulanabilmesini sağlar. • X-LONG Tipi: İmzayı doğrulamak için gerekli olan doğrulama verilerinin imza dosyasına eklenerek saklanmasına imkan verir.
Hesaba 10 000 TL aktarıyorum ;+?(^!’ ESHS Zaman Damgası OCSP Cevabı Adı, soyadı E-imza Türleri • Arşiv İmza • İmzanın uzun yıllar sonra güvenilir biçimde doğrulanmasına imkan verir. • İmzalı dosyaya zaman damgası alınması yoluyla arşivleme yapılır. • Gerektikçe tekrarlanır. Zaman Damgası OCSP Cevabı OCSP Cevabı Zaman Damgası Zaman Damgası
Kamu Sertifikasyon Merkezi • Haziran 2005’den itibaren ESHS’ler Türkiye’de faaliyetlerine başlamıştır. • Toplam 4 ESHS faaliyet göstermektedir. • 3’ü özel sektördür. • TÜBİTAK UEKAE bünyesinde kurulan Kamu Sertifikasyon Merkezi (KSM) • ESHS’lerin işleyişlerini düzenleyen ve denetleyen kurum Bilgi Teknolojileri ve İletişim Kurumu’dur.
KSM ESHS Hiyerarşi Yapısı CN = TÜBİTAK UEKAE Kök Sertifika Hizmet Sağlayıcısı - Sürüm 3 O = Türkiye Bilimsel ve Teknik Araştırma Kurumu - TÜBİTAK OU = Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü - UEKAE OU = Kamu Sertifikasyon Merkezi L = Gebze - Kocaeli C = TR 1b 4b 39 61 26 27 6b 64 91 a2 68 6d d7 02 43 21 2d 1f 1d 96 CN = TÜBİTAK UEKAE Kamu ESHS CN = TÜBİTAK UEKAE Cihaz SHS • Özel niteliği haiz kamu kurumları • Gerçek veya tüzel kişiler
KSM Sertifika İlkeleri • Üretilen anahtarlar: 2048-bit RSA anahtarı • Anahtarlar UEKAE’ye ait yazılım kullanılarak üretiliyor ve akıllı kart üzerine yükleniyor. Gizli anahtarın yedeği alınmıyor. • Anahtar kullanım amaçları • Elektronik imza • İnkar edilemezlik • Sertifika geçerlilik süresi = 3 yıl veya 5 yıl • Sertifikaya yazılan kişisel bilgiler: • Ad soyad • T.C. Kimlik No.
Fiyat Teklifi alınması ve Sipariş Geçme Kamu Sertifikasyon Merkezi Onay kodu Kurumsal Sertifika Başvuru Süreci Kamu Kurumu Akıllı kart PIN
Başvuru Sürecinde Kurumun Belirlemesi Gereken Konular • Elektronik sertifika alacak kişilerin belirlenmesi • Kurum yetkilisi atanmalı • Gözetmen ihtiyacı belirlenmeli • Sertifika başvuru süreci ile ilgili raporları alacak kişilerin atanması • Kaç yıl geçerli sertifika alınacağı belirlenmeli (3 yıl, 5 yıl) • Teslimatların topluca kurum yetkilisine mi, kişiye mi yapılacağı belirlenmeli • Zaman damgası kontör ihtiyacı belirlenmeli • Niteliksiz sertifika (Log-in, VPN sertifikaları) ihtiyacı belirlenmeli • Akıllı kart okuyucu tipi belirlenmeli
Sertifika Başvuru Formu Doldurulurken Belirlenenler • Sertifikanın internetten yayınlanması • Maddi sınır bilgisi