1 / 29

E lektronik İ mza

E lektronik İ mza. İçerik. E-imza Nedir? Nitelikli Elektronik Sertifika ve Elektronik Sertifika Hizmet Sağlayıcıları E-imza Teknolojisi E-imzaya Geçiş Süreci Kurumun Yapması Gereken Çalışmalar Belirlemesi Gereken Politikalar Belgenin E-imza ile İmzalanması Süreci

zev
Download Presentation

E lektronik İ mza

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Elektronik İmza

  2. İçerik • E-imza Nedir? • Nitelikli Elektronik Sertifika ve Elektronik Sertifika Hizmet Sağlayıcıları • E-imza Teknolojisi • E-imzaya Geçiş Süreci • Kurumun Yapması Gereken Çalışmalar Belirlemesi Gereken Politikalar • Belgenin E-imza ile İmzalanması Süreci • Kurumlar Arası E-imzalı Yazışma • E-mühür • E-imza Türleri • Kamu Sertifikasyon Merkezi (KSM) ve Elektronik Sertifika Başvurusu

  3. Elektronik İmza • 5070 sayılı Kanun’daki tanım: “Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri” • Yasal olmayan elektronik imzalar: • Kağıt üzerindeki imzanın elektronik ortama aktarılmasıyla oluşturulan resim • Ekrana atılan imza • Parmak izinin elektronik ortama aktarılması • vs.. vs..

  4. 774757555255252555005443....9871 843738388533363456363465....6534 Kullanılan Teknoloji • Açık Anahtarlı Altyapı Teknolojisi • Matematiksel şifreleme yöntemleri kullanılır. Şifreleme için büyük sayı dizilerinden oluşan 2 anahtar kullanılır. Özel anahtar (imza oluşturma verisi) • E-imzayı oluşturmak için kullanılır. • Sadece kişinin kendisinde bulunur. • Akıllı kart içinde saklanır ve bu araçtan dışarıya çıkarılamaz. Açık anahtar (imza doğrulama verisi) • E-imzayı doğrulamak için kullanılır. • Gizli olmayan, herkese açık bir veridir.

  5. Elektronik sertifika: Adı, Soyadı T.C. Kimlik No. Vs. “İmza sahibinin imza doğrulama verisini ve kimlik bilgilerini birbirine bağlayan elektronik kaydı” + Adı, soyadı Elektronik Sertifika Hizmet Sağlayıcısı (ESHS) ESHS

  6. Elektronik Sertifika İçeriği - 1

  7. Elektronik Sertifika İçeriği - 2

  8. Elektronik Sertifika Yönetimi Anahtarların Kullanım Amaçları • Özel anahtar: Güvenli elektronik imza oluşturma amacıyla kullanılılır. Başka bir amaç için kullanılmaz. • Açık anahtar: Oluşturulan güvenli elektronik imzanın doğrulanması için kullanılır. Başka bir amaç için kullanılmaz. Elektronik Sertifikanın Geçerlilik Süresi • Anahtarların kriptografik açıdan güvenlik süresi: • 1024-bit : 1 yıl • 2048-bit : 10 yıl Geçerlilik süresi dolan elektronik sertifikaya ait özel anahtar imza oluşturma amaçlı kullanılmaz. Açık anahtar geçmişte oluşturulmuş imzaların doğrulanması için kullanılır.

  9. Elektronik Sertifika Yönetimi Elektronik Sertifikanın Yenilenmesi • Elektronik sertifikanın geçerlilik süresi dolduğunda (veya dolmasına yakın bir süre önce) ESHS’ye başvurulur ve kullanıcıya yeni bir sertifika üretilir. • Yenilemede imza sahibine yeni anahtar çiftleri üretilir. • Eski özel anahtar, sahibi tarafından imha edilmelidir. • Eski sertifika, geçmişte oluşturulmuş e-imzaların doğrulanması amaçlı arşivlenir.

  10. ESHS Sertifika İptal Listesi (SİL) OCSP Yanıtlayıcı Dizin Sunucu Web Sunucu FTP Sunucu Elektronik Sertifika Yönetimi Elektronik Sertifikanın İptal Edilmesi • Geçerlilik süresi dolmadan özel anahtarın kullanımı engellenebilir. • Özel anahtarın kullanımının engellendiği sertifikanın iptal edilmesi ile duyurulur. • Sertifikanın iptal edildiği sertifikayı veren ESHS tarafından duyurulur. • Sertifika İptal Listesi (SİL) • OCSP (Online Certificate Status Protocol - Çevrimiçi Sertifika Durum Protokolü)

  11. Hesaba 10 000 TL aktarıyorum ;+?(^!’ Adı, soyadı Elektronik İmza Oluşturma ve Doğrulama İletişim kanalı İmzayı atan taraf İmzayı doğrulayan taraf Hesaba 10 000 TL aktarıyorum İmza Oluşturma Yazılımı ;+?(^!’ İmza Doğrulama Yazılımı • İmza doğrulandı • İmza doğrulanamadı • İmza doğrulama işlemi tamamlanamadı

  12. Güvenlik Bilgi Bütünlüğü Kimlik Doğrulama Elektronik imza İnkar Edilemezlik

  13. E-imzaya Geçiş Süreci • Yazılım ve donanım altyapısının oluşturulması • İş süreçlerinin elektronik ortama aktarılarak uygulamalar geliştirilmesi • Uluslararası standartlara ve Türkiye’deki e-imza mevzuatına uygun e-imza oluşturma ve doğrulama yapan yazılım kütüphanelerinin uygulamaya entegre edilmesi • E-imza ile ilgili kurum politikalarının belirlenmesi • E-imzanın uygulandığı sistemlerde güvenliğin sağlanması • Ağ güvenliği • Erişim hakları • İşlevlerin düzgünlüğü ve sürekliliği • Kayıtların tutulması • Yedekleme • Arşivleme • Felaket kurtarma

  14. İMZALI BELGEYİ ALAN TARAF • E-imza doğrulama • uygulaması SERTİFİKA SAHİBİ Hesaba 10 000 TL aktarıyorum • E-imza oluşturma • uygulaması ;+?(^!’ ESHS Sertifika İptal Listesi (SİL) Adı, soyadı Zaman Damgası Örnek Uygulama (E-imza Oluşturulması ve Doğrulanması) • İmza doğrulandı • İmza doğrulanamadı • İmza doğrulama işlemi tamamlanamadı

  15. Belgenin E-imza ile İmzalanması Süreci

  16. Belgenin E-imza ile İmzalanması Süreci

  17. Belgenin E-imza ile İmzalanması Süreci

  18. İmzalı Belgenin Metin Görüntüsü

  19. Kurumun Belirlemesi Gereken Politikalar • Elektronik olarak imzalanacak doküman tipleri belirlenmelidir. Doküman, imzanın güvenliğini tehlikeye düşürecek dinamik veri (program parçacığı) içermemelidir. • Paraf gerektiren yerlerde imzanın kullanılıp kullanılmayacağı belirlenmelidir. • Eklerin imzalanması konusu belirlenmelidir. • İmzalı belgelerin kaç yıl saklanacağı belirlenmelidir. • Uzun dönem saklanacak imzalı belgeler e-imza arşiv formatına çevrilerek saklanmalıdır. • İmza sahibine maddi yükümlülük getiren belge tipleri belirlenmeli, bu belgelerle ilgili uygulamada gerekli kontroller yapılmalıdır.

  20. Kurumlar Arası E-imzalı Yazışma • E-imzalı ortak yazışma paketi • BAŞBAKANLIK İdareyi Geliştirme Başkanlığı: Resmî Yazışmalarda Uygulanacak Usul ve Esaslar Hakkında Yönetmelik • KALKINMA BAKANLIĞI Bilgi Toplumu Dairesi: E- yazışma Teknik Rehberi (http://www.e-yazisma.gov.tr/) • Üst yazı, ekler, üst veri elemanları ve e-imzayı barındıran paket yapısını tanımlamaktadır. • Paketin gizliliğini sağlamak amacıyla şifrelenmesinin nasıl yapılacağını tanımlamaktadır. • Pakete elektronik mühürün nasıl alınacağını tanımlamaktadır. (E-mühür henüz yasal olarak düzenlenmemiştir) • Paketin gönderimi (Kayıtlı e-posta sistemi- KEP)

  21. Hesaba 10 000 TL aktarıyorum ;+?(^!’ Zaman Damgası OCSP Cevabı OCSP Cevabı OCSP Cevabı Adı, soyadı E-imza Türleri • BES: Basit Elektronik İmza • İmza tarihi kesin olarak tespit edilemez • Zaman Damgası Eklenmiş BES İmza • İmza tarihinin kesin olarak tespit edilmesini sağlar • İleri E-imza Tipleri (Advanced E-Signature) • İmzayı doğrulamak için gerekli olan doğrulama verilerinin (ESHS’ye ait sertifikalar, SİL ve OCSP Cevapları) saklanıp imzanın sertifika geçerlilik süresi dolduktan sonra da doğrulanabilmesini sağlar. • X-LONG Tipi: İmzayı doğrulamak için gerekli olan doğrulama verilerinin imza dosyasına eklenerek saklanmasına imkan verir.

  22. Hesaba 10 000 TL aktarıyorum ;+?(^!’ ESHS Zaman Damgası OCSP Cevabı Adı, soyadı E-imza Türleri • Arşiv İmza • İmzanın uzun yıllar sonra güvenilir biçimde doğrulanmasına imkan verir. • İmzalı dosyaya zaman damgası alınması yoluyla arşivleme yapılır. • Gerektikçe tekrarlanır. Zaman Damgası OCSP Cevabı OCSP Cevabı Zaman Damgası Zaman Damgası

  23. Kamu Sertifikasyon Merkezi (KSM)

  24. Kamu Sertifikasyon Merkezi • Haziran 2005’den itibaren ESHS’ler Türkiye’de faaliyetlerine başlamıştır. • Toplam 4 ESHS faaliyet göstermektedir. • 3’ü özel sektördür. • TÜBİTAK UEKAE bünyesinde kurulan Kamu Sertifikasyon Merkezi (KSM) • ESHS’lerin işleyişlerini düzenleyen ve denetleyen kurum Bilgi Teknolojileri ve İletişim Kurumu’dur.

  25. KSM ESHS Hiyerarşi Yapısı CN = TÜBİTAK UEKAE Kök Sertifika Hizmet Sağlayıcısı - Sürüm 3 O = Türkiye Bilimsel ve Teknik Araştırma Kurumu - TÜBİTAK OU = Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü - UEKAE OU = Kamu Sertifikasyon Merkezi L = Gebze - Kocaeli C = TR 1b 4b 39 61 26 27 6b 64 91 a2 68 6d d7 02 43 21 2d 1f 1d 96 CN = TÜBİTAK UEKAE Kamu ESHS CN = TÜBİTAK UEKAE Cihaz SHS • Özel niteliği haiz kamu kurumları • Gerçek veya tüzel kişiler

  26. KSM Sertifika İlkeleri • Üretilen anahtarlar: 2048-bit RSA anahtarı • Anahtarlar UEKAE’ye ait yazılım kullanılarak üretiliyor ve akıllı kart üzerine yükleniyor. Gizli anahtarın yedeği alınmıyor. • Anahtar kullanım amaçları • Elektronik imza • İnkar edilemezlik • Sertifika geçerlilik süresi = 3 yıl veya 5 yıl • Sertifikaya yazılan kişisel bilgiler: • Ad soyad • T.C. Kimlik No.

  27. Fiyat Teklifi alınması ve Sipariş Geçme Kamu Sertifikasyon Merkezi Onay kodu Kurumsal Sertifika Başvuru Süreci Kamu Kurumu Akıllı kart PIN

  28. Başvuru Sürecinde Kurumun Belirlemesi Gereken Konular • Elektronik sertifika alacak kişilerin belirlenmesi • Kurum yetkilisi atanmalı • Gözetmen ihtiyacı belirlenmeli • Sertifika başvuru süreci ile ilgili raporları alacak kişilerin atanması • Kaç yıl geçerli sertifika alınacağı belirlenmeli (3 yıl, 5 yıl) • Teslimatların topluca kurum yetkilisine mi, kişiye mi yapılacağı belirlenmeli • Zaman damgası kontör ihtiyacı belirlenmeli • Niteliksiz sertifika (Log-in, VPN sertifikaları) ihtiyacı belirlenmeli • Akıllı kart okuyucu tipi belirlenmeli

  29. Sertifika Başvuru Formu Doldurulurken Belirlenenler • Sertifikanın internetten yayınlanması • Maddi sınır bilgisi

More Related