400 likes | 1.46k Views
SAĞLIK BAKANLIĞI E-imza Sunumu. 28 Ocak 2010. İçerik. E-imza Teknolojisi ve Elektronik Sertifika E-imza Mevzuatı E-imza Uygulamaları Kamu Sertifikasyon Merkezi. E-imza Teknolojisi ve Elektronik Sertifika. Elektronik İmza. Elektronik imza kanunundaki tanım:
E N D
SAĞLIK BAKANLIĞI E-imza Sunumu 28 Ocak 2010
İçerik • E-imza Teknolojisi ve Elektronik Sertifika • E-imza Mevzuatı • E-imza Uygulamaları • Kamu Sertifikasyon Merkezi
E-imza Teknolojisi ve Elektronik Sertifika
Elektronik İmza • Elektronik imza kanunundaki tanım: Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri • Yasal olmayan elektronik imzalar • Kağıt üzerindeki imzanın elektronik ortama aktarılmasıyla oluşturulan resim • Parmak izinin elektronik ortama aktarılması • Ekrana atılan imza • vs.. vs..
Açık Anahtarlı Altyapı Teknolojisi PKI-Public Key Infrastructure • Çift anahtarlı kriptografik bir algoritma kullanılır. (RSA, vs..) • Özet algoritması kullanılır. (SHA-1, vs..)
Güvenlik Mekanizmaları Bilgi Bütünlüğü Kimlik Doğrulama Elektronik imza İnkar Edilemezlik Gizlilik Şifreleme
Çift Anahtarlı Algoritmalar Çift anahtarlı kriptografik algoritmaların kullanımında her kullanıcıya 2 anahtar verilir. • İki anahtar arasında matematiksel bir ilişki vardır. Birisi ile şifrelenen veri sadece ve sadece diğeri ile çözülebilir. • Açık anahtara bakarak özel anahtarın elde edilmesi mümkün değildir. • Üretilen her anahtar çifti eşsizdir. • Özel anahtar (imza oluşturma verisi) • İmza sahibine ait olan, imza sahibi tarafından elektronik imza oluşturmaamacıyla kullanılan ve bir eşi daha olmayan şifreler, kriptografik gizli anahtarlar gibi veriler • E-imzayı oluşturmak için kullanılır. • Sadece kişinin kendisinde bulunur. • Güvenli elektronik imza oluşturma aracı içinde saklanır ve bu araçtan dışarıya çıkarılamaz. • Açık anahtar (imza doğrulama verisi) • Elektronik imzayı doğrulamak için kullanılan şifreler, kriptografik açık anahtarlar gibi veriler • E-imzayı doğrulamak için kullanılır. • Gizli olmayan, herkese açık bir veridir. • Elektronik sertifikanın içeriginde tutulur.
Marhaba Merhaba Özet Algoritması 3$½{2 Ü5€¥ Özet Algoritmaları SHA-1 160-bit • Farklı mesajlar için farklı özetler elde edilir • Özet değeri mesajdan bağımsız olarak sabit uzunluktadır • Özetten yola çıkılarak mesaj oluşturulamaz
İmzayı atan taraf İletişim kanalı İmzayı doğrulayan taraf Merhaba Merhaba Merhaba ;+?(^!’ SHA-1 SHA-1 $½§ $½§ =? RSA RSA $½§ ;+?(^!’ ;+?(^!’ Elektronik İmza Mekanizması
Elektronik Sertifika Hizmet Sağlayıcısı ESHS Adı, soyadı Elektronik Sertifika Elektronik Sertifika:İmza sahibinin imza doğrulama verisini ve kimlik bilgilerini birbirine bağlayan elektronik kaydı İmza oluşturma verisi (Özel anahtar) İmza doğrulama verisi (Açık anahtar) Adı, Soyadı T.C. Kimlik No. Vs. + Elektronik sertifika
Yasal Altyapı ve Düzenlemeler • 23 Ocak 2004 : 5070 sayılı Elektronik İmza Kanunu yayınlandı. • 26 Ağustos 2004 : Sertifika Mali Sorumluluk Sigortası Yönetmeliği, Bilgi Teknolojileri ve İletişim Kurumu tarafından yayınlandı. • 6 Eylül 2004 : Kamu Sertifikasyon Merkezi oluşturulması konulu Başbakanlık genelgesi yayınlandı. • 6 Ocak 2005 : Tebliğ ve Yönetmelik Bilgi Teknolojileri ve İletişim Kurumu tarafından yayınlandı. • 27 Ocak 2005 : Zorunlu Sertifika Mali Sorumluluk Sigortası Genel Şartları ile Tarife ve Talimatı yayınlandı. • 19 Nisan 2006 : Kamu Sertifikasyon Hizmetlerine lişkin Usul ve Esaslar konulu Başbakanlık genelgesi yayınlandı. • Kanun elle atılan imzaya eşdeğer imzanın tanımını yapıyor. • Nitelikli Elektronik Sertifika • Güvenli elektronik imza • ESHS’lerin faaliyetlerini belirliyor. • Düzenleyici ve denetleyici kurum olarak Bilgi Teknolojileri ve İletişim Kurumunu (BTK) belirliyor.
Nitelikli Elektronik Sertifika (NES) ve Güvenli Elektronik İmza Nitelikli Elektronik Sertifika (NES) • BTK tarafından yetkilendirilmiş ESHS’ler tarafından verilir. • Kişinin kimliğini mahkeme yargısı karşısında geçerli konumda olmasını sağlayacak yüksek güvenlik seviyesinde tanımlar. • Sadece gerçek kişilere verilir. • Sertifika başvuru, üretim, dağıtım, iptal ve yenileme işlemlerinde nitelikli sertifika için gerekli şartların yerine getirilmesi zorunludur. • Güvenli Elektronik İmza • Elle atılan imza ile aynı hukuki sonucu doğurur. • Nitelikli Elektronik Sertifika’ya dayanarak oluşturulur. • Güvenli elektronik imza oluşturma aracı ile oluşturulur. • Oluşturulma aşamasında kullanılan yazılımların güvenilir yazılımlar olması ve mevzuattaki ilgili şartları sağlaması gerekir.
Yönetmelik ve Tebliğ Yönetmelik; ESHS’lerinbildirim ve sertifikasyon süreçlerine, güvenli elektronik imza oluşturma ve doğrulama verileri ile araçlarına, elektronik sertifika hizmet sağlayıcısı, Kurum, nitelikli elektronik sertifika sahibi ve üçüncü kişilerin yükümlülüklerine, denetime, faaliyetin sona erme hallerine, zaman damgasına, yabancı elektronik sertifikalara, güvenliğe, teknik ve mali hususlara ilişkin usul ve esasları kapsar. Tebliğ; Nitelikli elektronik sertifika başvurusu, sertifikanın oluşturulması, yayımlanması, yenilenmesi, iptali ve arşivleme süreçleri dahil olmak üzere ESHS’nin işleyişine, imza oluşturma ve doğrulama verilerine, sertifika ilkelerine ve sertifika uygulama esaslarına, imza oluşturma ve doğrulama araçlarına, ESHS’nin faaliyetleri için kullandığı sistem, cihaz ile fiziki güvenliğine, personeline, zaman damgasına ve hizmetlerine ilişkin teknik hususları kapsar.
Genelgeler Kamu Sertifikasyon Merkezi Oluşturulması konulu genelge • Kamu çalışanlarına nitelikli elektronik sertifikalar sadece KSM tarafından temin edilmektedir. • Kamu kurumları kendi bünyelerinde ESHS oluşturamazlar. • Türk Silahlı Kuvvetleri, Emniyet Genel Müdürlüğü, MİT Müsteşarlığı, Jandarma Genel Komutanlığı, Sahil Güvenlik Komutanlığı ve Dışişleri Bakanlığı kendi çalışanlarına nitelikli elektronik sertifika dağıtmak için ESHS oluşturabilirler. (Telekomünikasyon İletişim Başkanlığı eklendi) • Kamu çalışanları, kurumsal sertifikalarını kamu dışı bireysel işlemlerinde de kullanabilirler. Kamu Sertifikasyon Hizmetlerine lişkin Usul ve Esaslar konulu genelge • Kamu kurumlarına akıllı kart ve kart okuyucular KSM tarafından temin edilecektir. • Kamu kurumları sistem mühendisliği, tasarım, kodlama gibi e-imza altyapısının kurulumuna ilişkin konularda ilgili mevzuat doğrultusunda diledikleri kuruluştan hizmet temin edebileceklerdir. • Kamu kurum ve kuruluşları tarafından KSM’ye iletilecek nitelikli elektronik sertifika talepleri değerlendirilmeye alınacaktır. Sistemin uluslararası standartlara uygun çalıştığı KSM tarafından doğrulandıktan sonra sertifika üretim süreci başlatılacaktır.
Altyapının Oluşturulması • Yazılım ve donanım altyapısının oluşturulması • İş süreçlerinin elektronik ortama aktarılması • Kurum politikalarının belirlenmesi • Uluslararası standartlara uygun yazılımlar oluşturulması • E-imzanın uygulandığı sistemlerde güvenliğin sağlanması • Ağ güvenliği • Erişim hakları • İşlevlerin düzgünlüğü ve sürekliliği • Kayıtların tutulması • Yedekleme • Arşivleme • Felaket kurtarma • Uzun dönem saklanacak e-imzalı verilerin belli aralıklarda standart yöntemler kullanılarak arşivlenmesi
Elektronik İmza Formatı • ETSI TS 101 733: Electronic Signatures and Infrastructures (ESI); CMS Advanced Electronic Signatures (CAdES) • ETSI TS 101 903: XML Advanced Electronic Signatures (XAdES) PKCS # 7: Cryptographic Message Syntax Standard RFC (Request For Comments) 3852 Cryptographic Message Syntax (CMS)
İmza oluşturma verisi (Özel anahtar) ETSI 101 733 Merhaba İmza sahibinin sertifikası Elektronik imza İmza sahibinin sertifikası Elektronik İmzanın Oluşturulması E-imza Oluşturma Yazılımı Merhaba
İmza oluşturma Verisi (Özel anahtar) ETSI 101 733 İmza sahibinin sertifikası Elektronik imza İmza sahibinin sertifikası Elektronik İmzanın Oluşturulması (Ayrık İmza) E-imza Oluşturma Yazılımı Merhaba
Çoklu İmza (Seri ve Paralel İmza) ETSI 101 733 Merhaba ETSI 101 733 Merhaba Elektronik imza 1 Elektronik imza 2 Elektronik imza 1 Elektronik imza 2 Paralel İmza Seri İmza
İMZA OLUŞTURMA UYGULAMASI İMZA DOĞRULAMA UYGULAMASI Elektronik Sertifikanın Geçerlilik Kontrolleri • Sertifika üzerindeki ESHS’nin imzası • Sertifika geçerlilik süresi • Sertifika kullanım amacı • Sertifika iptal durum kontrolü ESHS Sertifika iptal durum kontrolü Web Sunucu Sertifika İptal Listesi (SİL) Elektronik imzalı veri Dizin Sunucu Sertifika iptal durum kontrolü Çevrim içi Sertifika Durum Protokolü (Online Certificate Status Protocol) OCSP OCSP Yanıtlayıcı
Elektronik İmzaya Zaman Bilgisinin Eklenmesi • İmza zamanı olarak aşağıdakilerden birisi belirlenebilir: • Kullanıcı makinasındaki sistem saati veya kurumdaki bir sunucudan alınan saat bilgisi imza dosyasına imzalı özellik olarak eklenebilir. Ancak bu yöntem imza zamanının belirlenmesinde güvenilir kabul edilmemektedir. • Zaman damgası (Time Stamp) • İmzanın zaman damgası alındığı tarihten önce oluşturulduğu ispatlanır. • Zaman damgası imza dosyasına sonradan eklenir. • Kullanıcı imzayı oluşturduktan hemen sonra kullanıcı uygulaması zaman damgası alabilir. • Kullanıcı imzalı belgeyi alıcı tarafa gönderdikten sonra alıcı tarafın uygulaması zaman damgası alabilir.
ETSI 101 733 GÜVENİLİR ZAMAN KAYNAĞI Merhaba ESHS İmza sahibinin sertifikası Zaman Damgası Sunucusu Elektronik imza ESHS’nin İmzası İmzanın Özet Değeri Zaman Bilgisi Zaman Damgası Elektronik İmzaya Zaman Damgası Eklenmesi Özetleme algoritması İmzanın Özet Değeri Elektronik imza Zaman Damgası
Elektronik sertifikalar: • İmza sahiplerine • ait sertifikalar • ESHS’lere ait • sertifikalar İmza Dosyasına Eklenebilecek Bilgiler (İmza Özellikleri) İmza zamanı (signing time) İmza Dosyası İmza politikaları (signature policies) ETSI 101 733 İmza amacı (commitment type) Merhaba Kullanılan sertifikayı tanımlayan bilgiler (signing certificate) İmzaya Dahil Olan Bilgiler İmzaya Dahil Olmayan Bilgiler • Sertifika iptal kontrol referans verisi • OCSP referansı • SİL numarası Elektronik imza • Sertifika iptal kontrol verisi • OCSP cevabı • SİL Zaman Damgası
ETSI 101 733 Sertifika ve SİL Deposu Merhaba İmza sahibinin sertifikası Elektronik imza Zaman Damgası ETSI 101 733 Doğrulama Verileri İleri İmza Formatları • İmza doğrulama sırasında kullanılan “doğrulama verileri” aşağıdaki yöntemlerden birisi kullanılarak saklanır: • İmza doğrulaması yapacak tüm kullanıcıların ulaşabileceği ortak bir alanda “doğrulama verileri” saklanır. • “Doğrulama verileri” imza dosyasının içeriğine “imzaya dahil olmayan (unsigned attributes)” imza özellikleri olarak eklenir.
ETSI 101 733 Sertifika ve SİL Deposu Merhaba İmza sahibinin sertifikası Elektronik imza Zaman Damgası ETSI 101 733 Doğrulama Verileri Elektronik İmzanın Doğrulanması E-imza Doğrulama Yazılımı İmza doğrulandı İmza doğrulanamadıX • İmzanın atıldığı tarihte sertifikanın geçerli olup olmadığı kontrol edilmelidir.
Elektronik İmzanın Arşivlenmesi • Elektronik imzalı dokümanların uzun dönem saklanması gerektiğinde arşivleme yapılır. • Geçmişte kullanılan algoritmaların veya anahtarların artık güvenli kabul edilmediği durumlarda arşivleme yapılır. • ESHS Zaman Damgası sunucularına bağlanılarak, eskiden oluşturulmuş imza dosyalarına Zaman Damgası alınması yoluyla arşivleme yapılır. • Arşivleme ilerleyen zamanlarda gerektikçe tekrarlanır.
ETSI 101 733 Merhaba İmza sahibinin sertifikası Elektronik imza Zaman Damgası ETSI 101 733 Doğrulama Verileri Arşiv Zaman Damgası ESHS Zaman Damgası Sunucusu Arşivleme 5/)=hf+% Zaman Damgası
Yazılımların Güvenilirliğinin Sağlanması İmza oluşturma ve doğrulamada yapılması gereken kontroller CEN (Comité Européen De Normalisation) Workshop Agreements: • CWA 14170: Security Requirements for Signature Creation Applications (İmza Oluşturma Uygulamaları İçin Güvenlik Gereksinimleri) • CWA 14171: Procedures for Electronic Signature Verification (İmza Doğrulama Prosedürleri)
İmzalanacak Doküman İçeriğinin Güvenilirliği İmzalanacak doküman, elektronik imzanın güvenliğini tehlikeye düşürecek dinamik veri içermemelidir. • Yüksek güvenlik gerektiren uygulamalarda imzalanmasına izin verilen elektronik doküman türleri belirlenebilir. • Saklı veri, macro, script gibi dinamik veri içermeyen doküman türlerinin imzalanmasına izin verilebilir. • İmzalanacak belge imzalama işleminin hemen öncesinde güvenli kabul edilen doküman formatına çevrilerek imzalanabilir.
CN = TÜBİTAK UEKAE Kök Sertifika Hizmet Sağlayıcısı - Sürüm 3 O = Türkiye Bilimsel ve Teknik Araştırma Kurumu - TÜBİTAK OU = Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü - UEKAE OU = Kamu Sertifikasyon Merkezi L = Gebze - Kocaeli C = TR 1b 4b 39 61 26 27 6b 64 91 a2 68 6d d7 02 43 21 2d 1f 1d 96 CN = TÜBİTAK UEKAE Kamu ESHS CN = TÜBİTAK UEKAE Cihaz SHS • Özel niteliği haiz kamu kurumları • Gerçek veya tüzel kişiler KSM ESHS Hiyerarşi Yapısı
KSM Sertifika İlkeleri - 1 • Üretilen anahtarlar: 2048-bit RSA anahtarı • Anahtarlar UEKAE’ye ait yazılım kullanılarak üretiliyor ve akıllı kart üzerine yükleniyor. Gizli anahtarın yedeği alınmıyor. • Anahtar kullanım amaçları • Elektronik imza • İnkar edilemezlik • Sertifika sahibinin talebi doğrultusunda sertifika herkesin erişebileceği dizin sunuculardan yayınlanıyor.
KSM Sertifika İlkeleri - 2 • Anahtar kullanım süresi = sertifika geçerlilik süresi = 3 yıl • Sertifika isim alanı (DN) bilgileri: • Ad soyad • T.C. Kimlik No. • Sertifika iptal durum bilgisi • SİL (Sertifika İptal Listesi) Yayın aralığı: 24 saat (Her yeni iptalde yenileniyor) Geçerlilik süresi: 36 saat • OCSP (Online Certificate Status Protocol-Çevrimiçi Sertifika Durum Protokolü)
NES Temini Sözleşmesi Kamu Sertifikasyon Merkezi • NES başvuru formu • Kullanıcı taahhütnamesi • Onay kodu Kurumsal Sertifika Başvuru Süreci Kamu Kurumu • Akıllı kart • erişim şifresi