Mücahit MUTLUGÜN  Elektronik Kimlik Doğrulama Sistemi

 2. Elektronik Kimlik Doğrulama Sistemi  Bir vatandaşın hizmet alma/bir veriye erişme talebi vardır.  politika verisini oluşturur, imzalar ve GSP’ye gönderir. Politika  13. Kurum Hizmet Sunucusu gerçekleşen doğrulama ile
          verisindeki en önemli parametre güvenlik seviyesidir. GSP  tanımlanan kişinin talep ettiği hizmete erişmesine yetkisi olup
 Bir önceki bölümde elektronik kimlik doğrulamadan  1. Kurum Hizmet İstemcisi bir Kimlik Doğrulama talebi  politikaları önbelleğinde tutup geçerlilik süresi sonuna kadar  olmadığına karar verir ve sonucu Kurum Hizmet İstemcisine
 bahsedilmişti. Elektronik kimlik doğrulamadan bahsedilirken  başlatır. Kurum Hizmet İstemcisi bu talebi EKDS’nin  tekrar kullanabilme yeteneğine sahiptir. GSP KDPS’ye ulaşamaz  bildirir.
 EKDS’de karşılık gelen ilgili bileşenler kısaca verilmişti. Şimdi  doğrulayıcısı olan KEC’e arabirimler aracılığıyla gönderir.  ise durumu KEC’e bildirir. Bu durumda kimlik doğrulama en
 T.C. Kimik Kartı ile birlikte geliştirilen EKDS’nin mimarisi ve  EKDS arabirimlerine genel olarak Güvenlik Servisleri Platformu  üst seviyeden gerçekleşir.  2.2 Elektronik Kimlik Kartı
 bileşenlerinden daha detaylı şekilde bahsedeceğiz.  (GSP) denmektedir. GSP ileride detaylı anlatılacaktır. İstemci
 GSP’ye talep gönderirken gerçekleştirilecek kimlik  5. GSP karttan okunan Kimlik Doğrulama Sertifikasının  T.C. Kimlik Kartı EKDS’nin en temel bileşenidir. Akıllı kart
 2.1 Genel Mimari  doğrulamanın ne için yapıldığını ve hangi rolle (hizmet  geçerlilik durumunu kontrol etmek üzere sertifika sunucusuna  teknolojisi kullanımaktadır. Kartın elektronik içeriği şunlardan
 isteyen/hizmete katılan) yapıldığını gösteren uygulama etiketi  OCSP sorgusu gönderir. (OCSP sunucusuna gönderilecek talep  oluşmaktadır:
 Elektronik Kimlik Doğrulama Sistemi’nin işleyişi Şekil 3’te  ve rol bilgisini de gönderir. GSP bu talebi ilgili KEC’e iletir.  verisini KEC oluşturur) GSP sunucudan gelen OCSP sonucunu
 verilmiştir. Bu mimaride daha önce sözü edildiği gibi:               •  Kişinin T.C. Kimlik Numarası, ismi ve sertifika numarasının
 2. KEC vatandaştan kartını talep eder.  KEC’e gönderir. KEC OCSP sorgusu sonucuna göre kart eğer  NVİ tarafından elektronik olarak imzalanmış hali: Kart Sahibinin
 Vatandaş   İddia eden  iptal edilmiş ise işlemi sonlandırır. Diğer durumda işleme  Tekil Belirleyicisi-KSTB
 3. Kart talebi doğrultusunda vatandaş kartını kimlik doğrulama  devam eder. GSP bir şekilde OCSP sunucusuna ulaşamaz ise
 Parmak izi, PIN, kart, sertifika         İspatlayıcı  rolüne göre ilgili kart girişine takar. KEC kartta KSTB  KEC’i bilgilendirir. KEC işleme devam eder ve oluşan KDB’ye  •  Kişinin dijital resmi (elektronik imzalı)
 doğrulaması gerçekleştirir. Bu işlem sırasında KSTB’nin imzası  OCSP yapamadığı bilgisini koyar. GSP OCSP sorgularını
 KEC       Doğrulayıcı                                                •  Parmak Biyometrisi (elektronik imzalı)
 kontrol edilir.  önbelleğine alıp tekrar kullanabilme yeteneğine sahiptir.
 Kurum Hizmet Sistemi (İstemci/Sunucu)  Güvenen                       •  Kimlik Doğrulama Sertifikası
 Taraf  4. GSP KEC tarafından oluşturulan Kimlik Belirtimi’ni  6. KEC KDPS’den gelen politikadaki güvenlik seviyesine göre
 kullanarak kendisinde tanımlı olan Kimlik Doğrulama Politika  vatandaştan PIN/Parmak izi talep eder. Güvenlik seviyesinin  •  Elektronik imzalanmış Nüfus bilgileri
 olarak rol almaktadır. Bu mimari üzerinde bileşenlerin  Sunucusu’na (KDPS) başvurur. Kimlik Belirtimi uygulama  sadece kart gerektiren 1 ve 2. seviyede olması durumunda
 gerçekleştirdiği Kimlik Doğrulama şu adımlarla gerçekleşir:  etiketi, rol ve kişinin T.C. Kimlik Numarası’nı içerir. KDPS  vatandaştan bir şey talep edilmeden işleme devam edilir.  T.C. Kimlik Kartı fiziksel olarak pek çok güvenlik öğe içerdiği
 kendi politika veritabanından ilgili uygulama ve kişi için geçerli  Vatandaşın bunları kabul edilebilir süre içerisinde vermemesi  gibi elektronik olarak da içermektedir. Kartın sahip olduğu
          durumunda işlem iptal edilir.                              akıllı kart işletim sistemi Common Criteria EAL4+ ve akıllı
                                                                     kart yongası Common Criteria EAL5+ güvenlik sertifikasına
           7. Vatandaş kendisinden talep edilen PIN/parmak izini KEC’e  sahiptir. Akıllı kart üzerinde bulunan kimlik doğrulama
          verir.                                                     sertifikası X.509 standardına uygundur.

           8. KEC güvenlik seviyesinin gerektirdiği doğrulama işlemlerini  2.3 Kart Erişim Cihazı
          gerçekleştirdikten sonra doğrulama başarılı ise bir KDB
          oluşturarak GSP’ye döndürür. Güvenlik seviyelerinde KEC     EKDS’de doğrulayıcı olarak rol alan KEC, üzerinde Güvenli
          tarafından gerçekleştirilen doğrulama işlemlerinden daha   Erişim Modülü (GEM) bulunan özel bir kart okuyucudur. Temel
          sonra detaylıca bahsedilecektir. KDB PIN girilen güvenlik  olarak gerçekleştirdiği işlev kimlik kartının doğrulanmasıdır.
          seviyelerinde GEM ve Kimlik Kartı tarafından, diğer seviyelerde  GEM, KEC’in kriptografik işlemlerden sorumlu birimidir.
          ise sadece GEM tarafından imzalanır.                       Farklı uygulamalar için KEC’in farklı modelleri bulunmaktadır.
                                                                     Kimlik kartını doğrulama için simetrik doğrulama, asimetrik
           9. Kurum Hizmet İstemcisi KDB’yi kendi sunucusuna gönderir.  doğrulama, imza kontrolü gibi farklı yöntemler kullanmaktadır.
                                                                     Kriptografik doğrulama protokollerini yürütürken üzerinde
           10. Kurum Hizmet Sunucusu KDB’yi doğrulatmak üzere
          güvenli bir kanaldan Kimlik Doğrulama Sunucusu’na (KDS)    gömülü GEM’i kullanır.
          gönderir.                                                   2.4 Kimlik Doğrulama Sunucusu

           11. KDS kendisine gelen KDB’yi imzalayan GEM sertifikasının  Kimlik Doğrulama Sunucusu Güvenen Taraf ’ın (Kurum
          geçerliliğini kontrol eder. Bunun için Sertifika Sunucusu’ndan  Hizmet Sistemi) adına KDB doğrulaması gerçekleştirir. Ayrıca
          periyodik olarak indirdiği Sertifika İptal Listesini (SİL)  doğrulama yaptığı KDB’leri saklayıp sonradan sorgulama
          kullanabileceği gibi direk OCSP sorgusu da yapabilir. KDS,  yapılmasına imkân sağlar. KDS üzerinde geçerli KEC seri
          KDB’de Kimlik Kartı’nın imzasının olduğu durumlarda KEC    numaraları, geçerli KDB sürümleri ve geçerli KEC versiyonları
          tarafından sertifika iptal kontrolü yapılmamış ise gerekli  tanımlanıp KDB doğrulamasında bu parametrelerin de dikkate
          kontrolü SİL veya OCSP kullanarak yapar.                   alınması sağlanabilmektedir.
                                                                      Kimlik Doğrulama Sunucusu doğrulama yaptığı KDB’leri
           12. KDS KDB doğrulama işlemini gerçekleştirir, KDB’yi     isteğe göre tek kullanımlık olarak değerlendirebilmektedir.
          veritabanına kaydeder ve sonucu Kurum Hizmet Sunucusu’na   Güvenen Taraf ’tan gelen talebe göre bir KDB ikinci kez
          döndürür.                                                  doğrulanmak istediğinde KDS hata döndürmektedir.
 Şekil 3.  Elektronik Kimlik Doğrulama Sistemi mimarisi.


 46  Sayı 04   Eylül-Aralık 2010  http://www.uekae.tubitak.gov.tr/  47
 ·