330 likes | 728 Views
E-İmza Deneyimi Özgür Deniz Erzincan 15 /0 7 / 20 0 4 Telekom Dünyası, E-imza ve E-Türkiye Ankara. Ajanda. E-İmza Referans Mimarileri PKI Bileşenler & Organiza syon Gizli Anahtar ve Sertifika Saklama Seçenekleri Altyapı Açısından Diğer Ülkelerdeki Durum Örnek Projeler
E N D
E-İmza Deneyimi Özgür Deniz Erzincan 15/07/2004 Telekom Dünyası, E-imza ve E-Türkiye Ankara
Ajanda • E-İmza Referans Mimarileri • PKI Bileşenler & Organizasyon • Gizli Anahtar ve Sertifika Saklama Seçenekleri • Altyapı Açısından Diğer Ülkelerdeki Durum • Örnek Projeler • Sonuç ve Tavsiyeler LA MER Confidential Proprietary
Digital Certificate File- Public Key <Certificate Base64value= "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 E-İmza Gereklilikleri • Açık Anahtar Altyapısı (PKI) • Açık Anahtar Erişimi (PKA) • Sertifika Hizmet Sağlayıcısı (CA) • Nitelikli Sertifika ve Anahtar Çifti • Akıllı Kart • USB Token • Yazılım Tabanlı Akıllı Kart • PC • HSM LA MER Confidential Proprietary
E-İmza ile Kazanımlar G-D-B-I: Elektronik işlemlerde • GİZLİLİK- Bilginin iletim sırasında üçüncü partilerce görülememesi. • DOĞRULAMA – Bilgiyi ileten veya alacak tarafın kimliğinin doğrulanması. • BÜTÜNLÜK- Bilgi içeriğinin iletim sırasında değişmemesi. • İNKAR EDİLEMEME- Gerçekleştirilen işlemin veya yüklenilen taahhütlerin reddedilememesi.
PKI Bileşenleri • Kurulacak PKI sisteminde: • Güvenlik Politikası (CPS, CP, RPA, CSA) • Sertifika Otoritesi • Kayıt Otoritesi • Sertifika Dağıtım Sistemi • PKI uygulamaları bileşenleri olmalı
PKI Bileşenleri • Sertifika Otoritesi • Sertifika Politikaları ve Sertifika Yönetim Bildirisine göre yönetilir ve işler. • Kullanıcı ve sunucu sertifikalarını yaratır ve imzalar • Sertifika İptal Listesi oluşturur ve günceller • LDAP / WWW tabanlıdizin sorgulama hizmeti sağlar • Kayıt Otoritesi • Sertifika başvurusunda bulunanların kimlik ve diğer bilgilerini belge kontrolüyle doğrular • Sertifika isteklerini işler ve kayıt altına alır • Süresi dolan sertifikaların yenilenmesi hizmeti verir
PKI Bileşenleri • Sertifika Dağıtım Sistemi/Sertifika Havuzu • Sertifika ve açık anahtar bilgilerinin saklanmasını sağlar • Sertifika ve açık anahtar bilgilerine erişimi ve bunların yayınlanmasını sağlar • Gizli Anahtar Yönetimi • Anahtar çiftlerinin güvenli bir şekilde yaratılması ve gerekiyorsa iletimi • Tarayıcı veya Java applet üzerinden yaratılan anahtarlar • Donanım tarafındanyaratılan anahtarlar (örneğin Akıllı Kartlar) • Gizli anahtarların güvenli bir şekilde saklanması • Akıllı Kartlar, USB token, SIM kartlar
Internet Örnek Mimari (Akıllı Kart İçin) Anahtar Çifti Üretimi Kişiselleştirme Sistemi Açık Anahtar Sertifika Kişiselleştirme Talep E-postası Sertifika İsteği Kart Yönetim Sistemi Sertifika Otoritesi (SO) Sertifika Intranet Kayıt Otoritesi Kart İstek Uyarı İletileri Sertifika Otoritesi Yöneticisi Sertifika İsteklisi LA MER Confidential Proprietary
PKI Güçlükler • Birlikte Çalışılabilirlik • Karşılıklı sertifikasyon • Kök sertifika otoritesi • Köprü sertifika otoritesi • Sorumluluk paylaşımı • Sertifika sahibi – sertifika veren arasında • Sigorta • Hukuk ve mevzuatlarla eşgüdüm • Yatırımda verimlilik LA MER Confidential Proprietary
Gizli Anahtar ve Sertifika Saklama • Yerel Disk Sürücüsü • USB Token • Yazılım tabanlı Akıllı Kart • Akıllı Kart • HSM (PKA) LA MER Confidential Proprietary
Yerel Disk Sürücüsü • Artılar • Ucuzluk • Kolay devreye alma • Kolay kullanım • Eksiler • Taşınabilir değil, bir PC’ye bağlı • Güvenilir değil • StatikŞifre Korumalı • Gizli anahtar RAM ve Swap dosyasında şifresiz
USB Token • Artılar • Düşük sahip olma maliyeti • Taşınabilirlik • Kolay kullanım • Eksiler • Anahtar saklama amaçlı (yaratma?) • Çalınabilir/kaybolabilir
Yazılım Tabanlı Akıllı Kart • Artılar • Düşük sahip olma maliyeti • Kolay kullanım • Kriptografik kamuflaj ile akıllı kartla eşdeğer güvenlik • Çalınamaz, kaybolamaz • Eksiler • Taşınabilirlik istemci tarafı yazılımı dolayısıyla sınırlı
Akıllı Kartlar • Artılar • Her türlü yönteme karşı güvenli saklama ortamı • Kolay kullanım • Çoklu uygulama desteği • Biometrik doğrulama desteği • Eksiler • Taşınabilirlik kart okuyucu ve driver yazılımları nedeniyle sınırlı • Daha yüksek sahip olma maliyeti • Çalınabilir/kaybolabilir
HSM/PKA • Artılar • Her türlü yönteme karşı güvenli saklama ortamı • Kolay kullanım • OTP ile kimlik doğrulama desteği • Eksiler • Gizli anahtar kullanıcıda değil, işleticide
PKA Mimari HSM LA MER Confidential Proprietary
Avrupa Birliğinde Durum Haziran 2003 tarihli anket sonuçları: • Tüm üye ülkelerde elektronik imzaya yönelik 1999/93/EC direktifi yerine getirilmiş. • 14 üye ülkede en az 1 nitelikli sertifika üreten sertifika hizmet sağlayıcı var. (İrlanda hariç) • 13üye ülkedenitelikli sertifika üreticilere lisans veren bir kurum var. (Fransaveİrlanda dışında). • 13üye ülkedenitelikli sertifika üreticileri düzenleyen ve denetleyen bir kurum var. (İrlanda ve İngiltere dışında). • 9üye ülkedenitelikli sertifika üreticilere ilişkin yukarda belirtilen iki işlevde aynı kurum tarafından yerine getiriliyor.
Avrupa Birliğinde Durum • 7 üye ülkede sertifikalar kamudan kamuya yapılan işlemlerde kullanılıyor. (3 üye ülke 2003 içinde, üçü de 2003 sonrası planlıyor). • Tüm üye ülkelerde kamu sektörü birden fazla nitelikli sertifika hizmet sağlayıcısından hizmet alıyor. • 11 üye ülkedeher kamu kuruluşu kendi kayıt otoritesini kurup, işletebiliyor. • 6 üye ülkede her bir kamu çalışanına bir sertifikanın verildiği ana bir sertifika havuzu var. • 10 üye ülkede imza yaratma verisini saklamak için akıllı kartlar kullanılıyor.
Diğer Ülkelerde Durum • Kanada • Bir “Politika Yönetim Otoritesi” var • Sisteme dış sertifika otoritelerinden alınmış sertifikalar da dahil olabiliyor • Anahtar yönetimi ve süreçler Avrupa Birliği direktiflerinde tanımlananla benzerlik gösteriyor • Amerika • Federal düzeyde PKI işlevsel • Federal köprüsertifika otoritesi birlikte çalışılabilirliği sağlıyor. • Avustralya • Kamu nitelikli sertifika düzenleme ve denetleme otoritesi var ve lisans veriyor. • Bireyler ve kurumlar için farklı sertifika seviyeleri var
Tümüyle elektronik kimlik doğrulaması ve e-imza kullanılan Internet Bankacılığı • Bireysel ve Kurumsal Kullanıcılariçin güvenli: • Hesaplara erişim, • Para transferi, • Fatura ödemeleri, • Elektronik emir ve istekler
E-commerce Solutions:Global (B2B) e-commerce • ANZ eGate™ :Online finansal işlem sunucusuaynı zamanda • anzebiz.com™ : Internet üzerinden satınalma hizmeti, • E*TRADE™ : Australian Stock Exchange (ASX)’den online güvenli hisse alım satımı için bilgi ve araçlar
Avustralya Federal Hizmetuygulamaları • Centrelink • AvustralyaSeçim Komisyonu • Sağlık Sigortası Kurumu • Gümrükler • Electronikİhaleler • İş ve İşçi Bulma • Şirketler için Australian Business Number – Digital Signature Certificate (ABN-DSC), şirket tescili ile birlikte e-imza sertifikası
Smart ID KamudanVatandaşlara Kamudan Şirketlere ve Tedarikçilere Kamudan Kamu Çalışanlarına • 2006 sonuna kadar tüm vatandaşlara SmartID kart verilecek • Tüm bildirimlerde ve bilgi erişimlerinde bu kart kullanılacak Şirketlere özel ID kartlarıyla kamu ile yapılacak işlemlerde güvenlik E-vergi Şirket tescili ile eşgüdümlü • Kamu bilişim sistemlerine ve uygulamalarına erişim kontrolü • İş akışında elektronik imza • Güvenlik ve devam kontrolü
Ödemeler kredi kartıyla veya bazı durumlarda doğrudan banka hesaplarından yapılıyor. Bir sonraki aşamada ödemelerle sayısal imza entegre edilecek. Kamuya ödemeler: • Vergi, ceza veya harç ödemeleri • Sayısal ürünlerin (bilgiye on-line erişim, on-line belge transferi) satın alınması • Basılı ürünlerin satın alınması (kamu yayınları)
Avantajlar • Sayısal bilgi hizmetlerinin kolay sunumu • Ortak bir ara yüzle farklı servislere erişim • Kullanıcının elektronik kimlik doğrulamasıyla ona özel içerik • Operasyonelverimlilik PX-34 024366331 AR-223-CD
Tüm kamu ihalelerine merkezi erişim • Kamuya tedarikçi olabilmekle ilgili bilgiler • Tedarikçileri yeni ihalelerle ilgili bilgilendirmek için ileti uyarıları
Estonya ID Card Projesi • Estonya vatandaşları ve oturma izni olan yabancılar için zorunlu kimlik kartı - ID card • Tüm ID card’lar birer akıllı kart ve üzerinde hem özel hem kamu uygulamalarında kullanılabilecek e-imza için gerekli gizli anahtar ve sertifika • Ocak 2002’den bugüne500 000 kart verilmiş(nüfus 1,4M)
Örnek ProjeRiverside County California • Kullanıcı • Riverside County Hazine ve Tapu Kayıt Kurumları • Amaç • Faz I- Vergi beyannamelerinin elektronik kaydı • Faz II- Tapu Sicil değişikliklerinin elektronik kaydı • Durum • Faz I tamamlandı • Faz II hazırlık aşamasında
Örnek ProjeRiverside County California • ÖncekiSüreç- Belge Tabanlı • Beyannameler basılı form üzerinde hazırlanır • Kayıt merkezine posta ile veya elden ulaştırılır • Kayıt merkezi belgeleri tek tek • İnceler • Kaydeder • Arşivlemek için tarar • Arşivler endekslenir • Vergi memurları sistemde kayıtlı beyannamelere göre vergi tutarını oluşturur ve ödemeleri alır • Gerekli insan kaynağı – 10-15 tam zamanlı çalışan
Örnek ProjeRiverside County California • Elektronik Beyanneme Sistemi • Birey veya şirketlerin kamuya bildirimi elektronik ortamda ve elektronik imzalı olarak yapılmaya başlandı • Kamu iç sürecinde elektronik imzaya dayalı iş akışı sistemi • Belge içinde kontrol ve onay amaçlı ikinci, üçüncü imza • E-imza kullanılarak belge akışı ve elektronik arşivleme
Örnek ProjeRiverside County California Digital Signature Digitized Signature
Örnek ProjeRiverside County California • Performans(bir vergi dönemi için) • Toplam işlenen belge: 7312 electronic beyanname • Toplam iş günü: 14 • Bir günde işlenen maksimum: 1240 • Ortalama günlük işlenen: 522 • Arşiv oluşturma alanından tasarruf: %85 • Gerekli iş gücü- 3 kişi
Sonuç ve Tavsiyeler • Tüm süreci elektronik belge ve iş akış sistemine dahil edilebilecek uygulamalarda e-imza kullanımı. • Bir kişiye tek bir sertifika, çoklu kullanım • Kimlik doğrulama, gizlilik, bütünlük ve inkar edilememe faydalarından en az ikisinden yararlanma. • Salt kimlik doğrulama ve işlem güvenliği gerekliyse veya sınıflandırılmış gizliliği olan statik bilgilere erişim kontrolü için daha ucuz ve daha basit OTP kullanımı. • Mevzuatlar oluşturulup, yürürlüğe girene kadar acil güvenlik ihtiyaçları için OTP ile başlayıp PKA yapısına geçmek. • Kamuda tek tip uygulama • Sertifika ve anahtar çifti kullanıcıda (akıllı kart, token, yazılım tabanlı akıllı kart) • Sertifika ve anahtar çifti merkezde (HSM)