Ersin GÜLAÇTI  e-Kimlikte Açık Anahtar Altyapısı

 1. GİRİŞ  Bu özelliklerden hiçbirisi TCKNo ile kimlik doğrulama  parolasının girilmesini ister. Kart kendisine verilen  Sertifika tabanlı kimlik doğrulama düzgün bir şekilde
 yapılması yöntemi ile karşılanamamaktadır. Bu nedenle bu  parametrelere göre kendi içinde sakladığı özel sayı ile dışarından  gerçeklenirse güvenli kimlik doğrulamada ihtiyaç duyulan
 e-kimlik projesi, uzun süredir kullanılmakta olan kağıda basılı  yöntemin terk edilmesi gerekmektedir.  verilen sayılar üzerinde işlem yapar ve sonucu geri verir.  özellikleri sağlar. Tablo 1’de bunun nasıl yapılacağı
 nüfus cüzdanlarının yerini alacak, yeni teknolojileri kullanan
 bir kimlik kartını gerçekleme hedefiyle başlamıştı. Bugün bu  Devletin vatandaşlara verdiği hizmetlerde, hizmetin gerçekten  Bu yöntemde hangi özel sayının kime ait olduğu doğrudan  görülmektedir.
 hedefe ulaşıldığını rahatlıkla söyleyebiliriz. Bolu ilinde yapılan  hak sahibine verildiğinden emin olunması gereklidir. Bunun  bilinemez fakat kullanılan özel sayının matematiksel olarak  Tablo 1. Sertifika Tabanlı Kimlik Doğrulama
 pilot çalışmalarla proje kapsamında tasarlanan kimlik kartı  için hizmet sunan kurumun kimlik doğrulamayı güvenli bir  ilintili olduğu başka bir sayı üretim anında hesaplanarak karta
 yüzbinlerce vatandaşımıza dağıtılmış ve çeşitli uygulamalarda  şekilde yapması zorunludur.  yüklenir. Bu sayının açık olarak yayınlanması bir sakınca taşımaz.
 başarıyla kullanılmıştır.  Kullanılan algoritmalar özel sayı ile onun ilişkili olduğu açık
 Yüz yüze hizmet noktalarında (hastahane, vergi dairesi vb.)
 Bu yeni nesil kimlik kartı hem fiziksel güvenlik unsurlarıyla  kimlik doğrulama geçerli bir kimlik belgesine bakılarak  sayının bu şekilde güvenli olarak kullanımını güvence altına
 hem de elektronik özellikleriyle tam bir elektronik kimlik  yapılmaktadır. Ancak bu işlem kimlik doğrulamayı yapan  alan ispatı yapılmış algoritmalardır.
 niteliğini taşımaktadır. Kısaca e-Kimlik olarak isimlendirdiğimiz  memurun kişisel yorumu ve insiyatifine bağlı olarak  Yukarıda bahsedilen algoritmalara açık anahtarlı algoritma
 bu yeni nesil kartın elektronik güvenlik özelliklerinden belki  gerçekleşmektedir. Bu tür doğrulama yöntemlerinin özellikle  adı verilmektedir. Bu algoritmalarda özel anahtar (özel sayı)
 de en önemlisi olan elektronik sertifikaların nasıl kullanıldığı  kayıt tutulması gereken işlemlerde terk edilmesi gereklidir.  ve açık anahtar (açık sayı) çifti aynı anda üretilir ve aralarında
 bu yazıda anlatılmaktadır.  Ancak yine de bazı hizmetlerin verilişi sırasında kimlik belgesinin  matematiksel bir bağlantı vardır ancak sadece açık anahtarı
 2. AÇIK ANAHTAR ALTYAPISI İLE KİMLİK  gözle denetimi yönteminden vazgeçilemez (Polis denetimi,  bilen bir kişinin özel anahtarı tahmin yoluyla veya başka bir
          şekilde bulması mevcut teknolojilerle imkansızdır.
 DOĞRULAMA  kişinin yaşının kontrol edildiği mekanlar vb). Bunun için kimlik
 kartının fiziksel güvenlik öğeleri ile güçlendirilmesi gereklidir.  Kullanıcıya ait açık anahtar ve kimlik bilgileri, varsa anahtarın
 Kimlik doğrulamada güvenilir yöntemler kullanılması gerekir.  Pilot projede kullanılan fiziksel güvenlik öğeleri Şekil 1’de  kullanım koşulları bir elektronik belge haline getirilerek
 Bir yöntemin güvenilir olması için matemaktiksel olarak  görülmektedir.  kullanılır. Bu elektronik belge yayınlayan tarafın elektronik
 güvenilirliğinin ispat edilmiş olması gereklidir. Bir karşılaştırma  imzası ile imzalanarak  sertifika adı verilen bir belge oluşturulur.
 yapmak için günlük hayattaki yanlış bir uygulamayı – Türkiye
 Cumhuriyeti Kimlik Numarasının kimlik doğrulama için  Açık anahtar sertifikaları aşağıdaki özellikleri taşır:
 kullanımını – inceleyelim.  • Sayısaldır.
 T.C. Kimlik Numarası (TCKNo) her vatandaşa İçişleri  • Sahibi hakkında gerekli olan tüm bilgileri içerir.
 Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü (NVİ)
 tarafından verilen tekil bir numaradır. Bu numara bir vatandaşın  • Yayın tarihi ve son kullanma tarihi vardır.
 diğer tüm vatandaşlardan ayırt edilebilmesini sağlar. TCKNo  • Yayıncısının adını barındırır ve onun elektronik imzasıyla
 bir vatandaşın kim olduğunu belirler ancak bir kişinin iddia  doğrulanması yapılır.
 ettiği kimliğe sahip olduğunu ispatlamaz. Kimlik doğrulama
 için hala bazı kamu kurumlarında ve özel firmalarda sadece  • Yayıncı adı ve sertifika seri numarası sertifikanın tekil  3. PİLOT PROJEDE UYGULANAN MİMARİ
 TCKNo bildirimi yapılması yeterli olabilmektedir. Oysa bir  olmasını sağlar.
 kişinin TCKNo bilgisi artık kişiye ait gizli bir bilgi olmaktan  • Sertifikanın bütünlüğünün bozulması engellenemez ama  EKDS (Elektronik kimlik Doğrulama Sistemi), internet
 çıkmıştır. Çeşitli nedenlerle çok sayıda vatandaşın TKCNo’su  böyle bir durum sertifika üstündeki elektronik imzanın kontrol  üzerinden elektronik hizmet veren kurumların gereksinim
 internette yayınlanmış veya nüfus cüzdanı fotokopisini çeken  edilmesiyle hemen anlaşılır.  duyduğu kişisel kimlik doğrulama işlevini e-Kimlik kartı
 banka, noter vb yerlerde TCKNo sahibinden farklı kişilerce  Şekil 1. Fiziksel güvenlik öğeleri.  kullanarak karşılamayı amaçlayan bir sistemdir. Bu sistemdeki
                                                                     kartlarda, sunucularda, kart erişim cihazlarında ve benzeri
 görülmüştür. Bu nedenle sadece TCKNo’yu bilmek bu  Uzaktan hizmet sunumu verilen veya yüz yüze hizmet  2.1. Sertifika Tabanlı Kimlik Doğrulama  yerlerde asimetrik anahtar çiftleri kullanılmaktadır. Bu anahtar
 TCKNo’ya sahip kişi olunduğunu ispat etmek için yeterli  sunumunun kayıt altına alınması gereken hallerde elektronik  e-Kimlik kartının içinde kimlik doğrulamada kullanılabilecek  çiftlerinin yönetimi için TÜBİTAK UEKAE tarafından
 olamaz.
 kimlik doğrulama yapılması gereklidir. Bunun için tüm  bir anahtar çifti ve bu anahtarlardan açık olanın hangi kimlikle  geliştirilmiş olan yazılımlar ve donanımlar kullanılmaktadır.
 Güvenli bir kimlik doğrulama yönteminin şu özelliklere sahip  vatandaşların e-Kimlik kartlarına sahip olması gerekir.  ilişkili olduğunu gösteren bir sertifika yer alır. Elektronik kimlik  Pilot proje kapsamında Bolu ilindeki tüm vatandaşlara e-
 olması gerekir:  doğrulaması yapılacağı zaman, ilgili uygulama veya cihaz  Kimlik kartı üretilmiş ve dağıtılmıştır. Pilot projede sertifika
 E-kimlik kartları akıllı kart teknolojisi ile üretilmiştir. e-Kimlik  tarafından karta imzalanmak üzere bir bilgi gönderilir. Kart  sisteminin ana mimarisi Şekil-2’de görüldüğü gibi kurulmuştur.
 1. Kimlik bildirim bilgisi kopyalanamamalıdır. Bir işlemdeki  kartlarının üstünde yer alan mikroişlemci yongaları Ortak  sahibinin karta ait PIN’i girmesinin ardından kart kendi içindeki
 kimlik bildirimi bilgisinin diğer bir işlemdekinden farklı olması  Kriterler Standartına göre test edilmiş ve CC EAL 5+ seviyesinde  özel anahtarla dışarından verilen bilgiyi beraber kullanarak  Bu mimaride görülen bileşenlerin açıklamaları aşağıda yer
 gerekir.  güvenliği belgelenmiş donanımlardır. Yine bu yongalar üstünde  bir değer hesaplar (Bu değere elektronik imza adı  almaktadır:
 2. Kimlik bildirim bilgisi taklit edilememelidir. Kimlik bildirim  koşan işletim sistemi (AKİS) CC EAL 4+ seviyesinde  verilmektedir). Bu değer ve karta ait açık anahtar sertifikası  • EKDS Kök Sertifika Hizmet Sağlayıcısı (EKDS Kök):
 bilgisinin benzeri kolayca oluşturulamamalıdır. Kimlik bildirim  belgelendirilmiştir. Bu yongalar kişilere ait özel sayıları saklamak  uygulamaya cevap olarak verilir. Kimlik doğrulaması yapan  Kendi açık anahtarını kendi özel anahtarı ile imzalamış olan
                                                                     makamdır. Bu makamın sertifikası tüm sistemin güvendiği kök
 bilgisi tahmin yoluyla oluşturulamayacak kadar zor olmalıdır.  için kullanılır. e-Kimlik kartı tasarımı kartın içine yüklenen  uygulama gönderdiği bilginin gelen cevapla uyuşup  sertifikadır. Bu nedenle sertifika kullanan yazılım ve
 özel sayıların dışarıya çıkarılmasına, okunmasına ve  uyuşmadığını denetler. Ayrıca karttan gelen cevabı oluşturan
 3. Kimlik bildirim bilgisi kimliğin gerçek sahibinin rızası  kopyalanmasına izin vermez. Kartın sahibi istese dahi bu sayıyı  özel anahtara karşılık gelen açık anahtarı taşıyan sertifikanın  donanımların içinde güvenli olarak saklanmaktadır.
 dışında oluşturulamamalıdır.  elde edemez ancak bu sayı ile matematiksel işlemler yapması  doğruluğunu (uygulamanın güvendiği bir sertifika makamı  • Anahtar Yönetimi Sertifika Hizmet Sağlayıcısı (AYSM):

 4. Kimlik bildirim bilgisinin doğru veya yanlış olduğu kolayca  için kartın yongasına komutlar gönderebilir. Kart özel anahtarla  tarafından yayınlandığını) ve geçerliliğini (yayıncısı tarafından  EKK (Elektronik Kimlik Kartı) kartlarının içine kimlik
                                                                     doğrulama sertifikası ve ilgili anahtar çiftini yazan makamdır.
 ve kesin bir şekilde tespit edilebilmelidir.  ilgili komutları işlemeden önce PIN adı verilen kişisel kart  iptal edilmediğini) denetler.

 62  Sayı 04   Eylül-Aralık 2010  http://www.uekae.tubitak.gov.tr/  63
 ·