Page 48 - bilgem-teknoloji-dergisi-4
P. 48
Mücahit MUTLUGÜN Elektronik Kimlik Doğrulama Sistemi
2. Elektronik Kimlik Doğrulama Sistemi Bir vatandaşın hizmet alma/bir veriye erişme talebi vardır. politika verisini oluşturur, imzalar ve GSP’ye gönderir. Politika 13. Kurum Hizmet Sunucusu gerçekleşen doğrulama ile
verisindeki en önemli parametre güvenlik seviyesidir. GSP tanımlanan kişinin talep ettiği hizmete erişmesine yetkisi olup
Bir önceki bölümde elektronik kimlik doğrulamadan 1. Kurum Hizmet İstemcisi bir Kimlik Doğrulama talebi politikaları önbelleğinde tutup geçerlilik süresi sonuna kadar olmadığına karar verir ve sonucu Kurum Hizmet İstemcisine
bahsedilmişti. Elektronik kimlik doğrulamadan bahsedilirken başlatır. Kurum Hizmet İstemcisi bu talebi EKDS’nin tekrar kullanabilme yeteneğine sahiptir. GSP KDPS’ye ulaşamaz bildirir.
EKDS’de karşılık gelen ilgili bileşenler kısaca verilmişti. Şimdi doğrulayıcısı olan KEC’e arabirimler aracılığıyla gönderir. ise durumu KEC’e bildirir. Bu durumda kimlik doğrulama en
T.C. Kimik Kartı ile birlikte geliştirilen EKDS’nin mimarisi ve EKDS arabirimlerine genel olarak Güvenlik Servisleri Platformu üst seviyeden gerçekleşir. 2.2 Elektronik Kimlik Kartı
bileşenlerinden daha detaylı şekilde bahsedeceğiz. (GSP) denmektedir. GSP ileride detaylı anlatılacaktır. İstemci
GSP’ye talep gönderirken gerçekleştirilecek kimlik 5. GSP karttan okunan Kimlik Doğrulama Sertifikasının T.C. Kimlik Kartı EKDS’nin en temel bileşenidir. Akıllı kart
2.1 Genel Mimari doğrulamanın ne için yapıldığını ve hangi rolle (hizmet geçerlilik durumunu kontrol etmek üzere sertifika sunucusuna teknolojisi kullanımaktadır. Kartın elektronik içeriği şunlardan
isteyen/hizmete katılan) yapıldığını gösteren uygulama etiketi OCSP sorgusu gönderir. (OCSP sunucusuna gönderilecek talep oluşmaktadır:
Elektronik Kimlik Doğrulama Sistemi’nin işleyişi Şekil 3’te ve rol bilgisini de gönderir. GSP bu talebi ilgili KEC’e iletir. verisini KEC oluşturur) GSP sunucudan gelen OCSP sonucunu
verilmiştir. Bu mimaride daha önce sözü edildiği gibi: • Kişinin T.C. Kimlik Numarası, ismi ve sertifika numarasının
2. KEC vatandaştan kartını talep eder. KEC’e gönderir. KEC OCSP sorgusu sonucuna göre kart eğer NVİ tarafından elektronik olarak imzalanmış hali: Kart Sahibinin
Vatandaş İddia eden iptal edilmiş ise işlemi sonlandırır. Diğer durumda işleme Tekil Belirleyicisi-KSTB
3. Kart talebi doğrultusunda vatandaş kartını kimlik doğrulama devam eder. GSP bir şekilde OCSP sunucusuna ulaşamaz ise
Parmak izi, PIN, kart, sertifika İspatlayıcı rolüne göre ilgili kart girişine takar. KEC kartta KSTB KEC’i bilgilendirir. KEC işleme devam eder ve oluşan KDB’ye • Kişinin dijital resmi (elektronik imzalı)
doğrulaması gerçekleştirir. Bu işlem sırasında KSTB’nin imzası OCSP yapamadığı bilgisini koyar. GSP OCSP sorgularını
KEC Doğrulayıcı • Parmak Biyometrisi (elektronik imzalı)
kontrol edilir. önbelleğine alıp tekrar kullanabilme yeteneğine sahiptir.
Kurum Hizmet Sistemi (İstemci/Sunucu) Güvenen • Kimlik Doğrulama Sertifikası
Taraf 4. GSP KEC tarafından oluşturulan Kimlik Belirtimi’ni 6. KEC KDPS’den gelen politikadaki güvenlik seviyesine göre
kullanarak kendisinde tanımlı olan Kimlik Doğrulama Politika vatandaştan PIN/Parmak izi talep eder. Güvenlik seviyesinin • Elektronik imzalanmış Nüfus bilgileri
olarak rol almaktadır. Bu mimari üzerinde bileşenlerin Sunucusu’na (KDPS) başvurur. Kimlik Belirtimi uygulama sadece kart gerektiren 1 ve 2. seviyede olması durumunda
gerçekleştirdiği Kimlik Doğrulama şu adımlarla gerçekleşir: etiketi, rol ve kişinin T.C. Kimlik Numarası’nı içerir. KDPS vatandaştan bir şey talep edilmeden işleme devam edilir. T.C. Kimlik Kartı fiziksel olarak pek çok güvenlik öğe içerdiği
kendi politika veritabanından ilgili uygulama ve kişi için geçerli Vatandaşın bunları kabul edilebilir süre içerisinde vermemesi gibi elektronik olarak da içermektedir. Kartın sahip olduğu
durumunda işlem iptal edilir. akıllı kart işletim sistemi Common Criteria EAL4+ ve akıllı
kart yongası Common Criteria EAL5+ güvenlik sertifikasına
7. Vatandaş kendisinden talep edilen PIN/parmak izini KEC’e sahiptir. Akıllı kart üzerinde bulunan kimlik doğrulama
verir. sertifikası X.509 standardına uygundur.
8. KEC güvenlik seviyesinin gerektirdiği doğrulama işlemlerini 2.3 Kart Erişim Cihazı
gerçekleştirdikten sonra doğrulama başarılı ise bir KDB
oluşturarak GSP’ye döndürür. Güvenlik seviyelerinde KEC EKDS’de doğrulayıcı olarak rol alan KEC, üzerinde Güvenli
tarafından gerçekleştirilen doğrulama işlemlerinden daha Erişim Modülü (GEM) bulunan özel bir kart okuyucudur. Temel
sonra detaylıca bahsedilecektir. KDB PIN girilen güvenlik olarak gerçekleştirdiği işlev kimlik kartının doğrulanmasıdır.
seviyelerinde GEM ve Kimlik Kartı tarafından, diğer seviyelerde GEM, KEC’in kriptografik işlemlerden sorumlu birimidir.
ise sadece GEM tarafından imzalanır. Farklı uygulamalar için KEC’in farklı modelleri bulunmaktadır.
Kimlik kartını doğrulama için simetrik doğrulama, asimetrik
9. Kurum Hizmet İstemcisi KDB’yi kendi sunucusuna gönderir. doğrulama, imza kontrolü gibi farklı yöntemler kullanmaktadır.
Kriptografik doğrulama protokollerini yürütürken üzerinde
10. Kurum Hizmet Sunucusu KDB’yi doğrulatmak üzere
güvenli bir kanaldan Kimlik Doğrulama Sunucusu’na (KDS) gömülü GEM’i kullanır.
gönderir. 2.4 Kimlik Doğrulama Sunucusu
11. KDS kendisine gelen KDB’yi imzalayan GEM sertifikasının Kimlik Doğrulama Sunucusu Güvenen Taraf ’ın (Kurum
geçerliliğini kontrol eder. Bunun için Sertifika Sunucusu’ndan Hizmet Sistemi) adına KDB doğrulaması gerçekleştirir. Ayrıca
periyodik olarak indirdiği Sertifika İptal Listesini (SİL) doğrulama yaptığı KDB’leri saklayıp sonradan sorgulama
kullanabileceği gibi direk OCSP sorgusu da yapabilir. KDS, yapılmasına imkân sağlar. KDS üzerinde geçerli KEC seri
KDB’de Kimlik Kartı’nın imzasının olduğu durumlarda KEC numaraları, geçerli KDB sürümleri ve geçerli KEC versiyonları
tarafından sertifika iptal kontrolü yapılmamış ise gerekli tanımlanıp KDB doğrulamasında bu parametrelerin de dikkate
kontrolü SİL veya OCSP kullanarak yapar. alınması sağlanabilmektedir.
Kimlik Doğrulama Sunucusu doğrulama yaptığı KDB’leri
12. KDS KDB doğrulama işlemini gerçekleştirir, KDB’yi isteğe göre tek kullanımlık olarak değerlendirebilmektedir.
veritabanına kaydeder ve sonucu Kurum Hizmet Sunucusu’na Güvenen Taraf ’tan gelen talebe göre bir KDB ikinci kez
döndürür. doğrulanmak istediğinde KDS hata döndürmektedir.
Şekil 3. Elektronik Kimlik Doğrulama Sistemi mimarisi.
46 Sayı 04 Eylül-Aralık 2010 http://www.uekae.tubitak.gov.tr/ 47
·
