Page 65 - bilgem-teknoloji-dergisi-4
P. 65
Ersin GÜLAÇTI e-Kimlikte Açık Anahtar Altyapısı
1. GİRİŞ Bu özelliklerden hiçbirisi TCKNo ile kimlik doğrulama parolasının girilmesini ister. Kart kendisine verilen Sertifika tabanlı kimlik doğrulama düzgün bir şekilde
yapılması yöntemi ile karşılanamamaktadır. Bu nedenle bu parametrelere göre kendi içinde sakladığı özel sayı ile dışarından gerçeklenirse güvenli kimlik doğrulamada ihtiyaç duyulan
e-kimlik projesi, uzun süredir kullanılmakta olan kağıda basılı yöntemin terk edilmesi gerekmektedir. verilen sayılar üzerinde işlem yapar ve sonucu geri verir. özellikleri sağlar. Tablo 1’de bunun nasıl yapılacağı
nüfus cüzdanlarının yerini alacak, yeni teknolojileri kullanan
bir kimlik kartını gerçekleme hedefiyle başlamıştı. Bugün bu Devletin vatandaşlara verdiği hizmetlerde, hizmetin gerçekten Bu yöntemde hangi özel sayının kime ait olduğu doğrudan görülmektedir.
hedefe ulaşıldığını rahatlıkla söyleyebiliriz. Bolu ilinde yapılan hak sahibine verildiğinden emin olunması gereklidir. Bunun bilinemez fakat kullanılan özel sayının matematiksel olarak Tablo 1. Sertifika Tabanlı Kimlik Doğrulama
pilot çalışmalarla proje kapsamında tasarlanan kimlik kartı için hizmet sunan kurumun kimlik doğrulamayı güvenli bir ilintili olduğu başka bir sayı üretim anında hesaplanarak karta
yüzbinlerce vatandaşımıza dağıtılmış ve çeşitli uygulamalarda şekilde yapması zorunludur. yüklenir. Bu sayının açık olarak yayınlanması bir sakınca taşımaz.
başarıyla kullanılmıştır. Kullanılan algoritmalar özel sayı ile onun ilişkili olduğu açık
Yüz yüze hizmet noktalarında (hastahane, vergi dairesi vb.)
Bu yeni nesil kimlik kartı hem fiziksel güvenlik unsurlarıyla kimlik doğrulama geçerli bir kimlik belgesine bakılarak sayının bu şekilde güvenli olarak kullanımını güvence altına
hem de elektronik özellikleriyle tam bir elektronik kimlik yapılmaktadır. Ancak bu işlem kimlik doğrulamayı yapan alan ispatı yapılmış algoritmalardır.
niteliğini taşımaktadır. Kısaca e-Kimlik olarak isimlendirdiğimiz memurun kişisel yorumu ve insiyatifine bağlı olarak Yukarıda bahsedilen algoritmalara açık anahtarlı algoritma
bu yeni nesil kartın elektronik güvenlik özelliklerinden belki gerçekleşmektedir. Bu tür doğrulama yöntemlerinin özellikle adı verilmektedir. Bu algoritmalarda özel anahtar (özel sayı)
de en önemlisi olan elektronik sertifikaların nasıl kullanıldığı kayıt tutulması gereken işlemlerde terk edilmesi gereklidir. ve açık anahtar (açık sayı) çifti aynı anda üretilir ve aralarında
bu yazıda anlatılmaktadır. Ancak yine de bazı hizmetlerin verilişi sırasında kimlik belgesinin matematiksel bir bağlantı vardır ancak sadece açık anahtarı
2. AÇIK ANAHTAR ALTYAPISI İLE KİMLİK gözle denetimi yönteminden vazgeçilemez (Polis denetimi, bilen bir kişinin özel anahtarı tahmin yoluyla veya başka bir
şekilde bulması mevcut teknolojilerle imkansızdır.
DOĞRULAMA kişinin yaşının kontrol edildiği mekanlar vb). Bunun için kimlik
kartının fiziksel güvenlik öğeleri ile güçlendirilmesi gereklidir. Kullanıcıya ait açık anahtar ve kimlik bilgileri, varsa anahtarın
Kimlik doğrulamada güvenilir yöntemler kullanılması gerekir. Pilot projede kullanılan fiziksel güvenlik öğeleri Şekil 1’de kullanım koşulları bir elektronik belge haline getirilerek
Bir yöntemin güvenilir olması için matemaktiksel olarak görülmektedir. kullanılır. Bu elektronik belge yayınlayan tarafın elektronik
güvenilirliğinin ispat edilmiş olması gereklidir. Bir karşılaştırma imzası ile imzalanarak sertifika adı verilen bir belge oluşturulur.
yapmak için günlük hayattaki yanlış bir uygulamayı – Türkiye
Cumhuriyeti Kimlik Numarasının kimlik doğrulama için Açık anahtar sertifikaları aşağıdaki özellikleri taşır:
kullanımını – inceleyelim. • Sayısaldır.
T.C. Kimlik Numarası (TCKNo) her vatandaşa İçişleri • Sahibi hakkında gerekli olan tüm bilgileri içerir.
Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü (NVİ)
tarafından verilen tekil bir numaradır. Bu numara bir vatandaşın • Yayın tarihi ve son kullanma tarihi vardır.
diğer tüm vatandaşlardan ayırt edilebilmesini sağlar. TCKNo • Yayıncısının adını barındırır ve onun elektronik imzasıyla
bir vatandaşın kim olduğunu belirler ancak bir kişinin iddia doğrulanması yapılır.
ettiği kimliğe sahip olduğunu ispatlamaz. Kimlik doğrulama
için hala bazı kamu kurumlarında ve özel firmalarda sadece • Yayıncı adı ve sertifika seri numarası sertifikanın tekil 3. PİLOT PROJEDE UYGULANAN MİMARİ
TCKNo bildirimi yapılması yeterli olabilmektedir. Oysa bir olmasını sağlar.
kişinin TCKNo bilgisi artık kişiye ait gizli bir bilgi olmaktan • Sertifikanın bütünlüğünün bozulması engellenemez ama EKDS (Elektronik kimlik Doğrulama Sistemi), internet
çıkmıştır. Çeşitli nedenlerle çok sayıda vatandaşın TKCNo’su böyle bir durum sertifika üstündeki elektronik imzanın kontrol üzerinden elektronik hizmet veren kurumların gereksinim
internette yayınlanmış veya nüfus cüzdanı fotokopisini çeken edilmesiyle hemen anlaşılır. duyduğu kişisel kimlik doğrulama işlevini e-Kimlik kartı
banka, noter vb yerlerde TCKNo sahibinden farklı kişilerce Şekil 1. Fiziksel güvenlik öğeleri. kullanarak karşılamayı amaçlayan bir sistemdir. Bu sistemdeki
kartlarda, sunucularda, kart erişim cihazlarında ve benzeri
görülmüştür. Bu nedenle sadece TCKNo’yu bilmek bu Uzaktan hizmet sunumu verilen veya yüz yüze hizmet 2.1. Sertifika Tabanlı Kimlik Doğrulama yerlerde asimetrik anahtar çiftleri kullanılmaktadır. Bu anahtar
TCKNo’ya sahip kişi olunduğunu ispat etmek için yeterli sunumunun kayıt altına alınması gereken hallerde elektronik e-Kimlik kartının içinde kimlik doğrulamada kullanılabilecek çiftlerinin yönetimi için TÜBİTAK UEKAE tarafından
olamaz.
kimlik doğrulama yapılması gereklidir. Bunun için tüm bir anahtar çifti ve bu anahtarlardan açık olanın hangi kimlikle geliştirilmiş olan yazılımlar ve donanımlar kullanılmaktadır.
Güvenli bir kimlik doğrulama yönteminin şu özelliklere sahip vatandaşların e-Kimlik kartlarına sahip olması gerekir. ilişkili olduğunu gösteren bir sertifika yer alır. Elektronik kimlik Pilot proje kapsamında Bolu ilindeki tüm vatandaşlara e-
olması gerekir: doğrulaması yapılacağı zaman, ilgili uygulama veya cihaz Kimlik kartı üretilmiş ve dağıtılmıştır. Pilot projede sertifika
E-kimlik kartları akıllı kart teknolojisi ile üretilmiştir. e-Kimlik tarafından karta imzalanmak üzere bir bilgi gönderilir. Kart sisteminin ana mimarisi Şekil-2’de görüldüğü gibi kurulmuştur.
1. Kimlik bildirim bilgisi kopyalanamamalıdır. Bir işlemdeki kartlarının üstünde yer alan mikroişlemci yongaları Ortak sahibinin karta ait PIN’i girmesinin ardından kart kendi içindeki
kimlik bildirimi bilgisinin diğer bir işlemdekinden farklı olması Kriterler Standartına göre test edilmiş ve CC EAL 5+ seviyesinde özel anahtarla dışarından verilen bilgiyi beraber kullanarak Bu mimaride görülen bileşenlerin açıklamaları aşağıda yer
gerekir. güvenliği belgelenmiş donanımlardır. Yine bu yongalar üstünde bir değer hesaplar (Bu değere elektronik imza adı almaktadır:
2. Kimlik bildirim bilgisi taklit edilememelidir. Kimlik bildirim koşan işletim sistemi (AKİS) CC EAL 4+ seviyesinde verilmektedir). Bu değer ve karta ait açık anahtar sertifikası • EKDS Kök Sertifika Hizmet Sağlayıcısı (EKDS Kök):
bilgisinin benzeri kolayca oluşturulamamalıdır. Kimlik bildirim belgelendirilmiştir. Bu yongalar kişilere ait özel sayıları saklamak uygulamaya cevap olarak verilir. Kimlik doğrulaması yapan Kendi açık anahtarını kendi özel anahtarı ile imzalamış olan
makamdır. Bu makamın sertifikası tüm sistemin güvendiği kök
bilgisi tahmin yoluyla oluşturulamayacak kadar zor olmalıdır. için kullanılır. e-Kimlik kartı tasarımı kartın içine yüklenen uygulama gönderdiği bilginin gelen cevapla uyuşup sertifikadır. Bu nedenle sertifika kullanan yazılım ve
özel sayıların dışarıya çıkarılmasına, okunmasına ve uyuşmadığını denetler. Ayrıca karttan gelen cevabı oluşturan
3. Kimlik bildirim bilgisi kimliğin gerçek sahibinin rızası kopyalanmasına izin vermez. Kartın sahibi istese dahi bu sayıyı özel anahtara karşılık gelen açık anahtarı taşıyan sertifikanın donanımların içinde güvenli olarak saklanmaktadır.
dışında oluşturulamamalıdır. elde edemez ancak bu sayı ile matematiksel işlemler yapması doğruluğunu (uygulamanın güvendiği bir sertifika makamı • Anahtar Yönetimi Sertifika Hizmet Sağlayıcısı (AYSM):
4. Kimlik bildirim bilgisinin doğru veya yanlış olduğu kolayca için kartın yongasına komutlar gönderebilir. Kart özel anahtarla tarafından yayınlandığını) ve geçerliliğini (yayıncısı tarafından EKK (Elektronik Kimlik Kartı) kartlarının içine kimlik
doğrulama sertifikası ve ilgili anahtar çiftini yazan makamdır.
ve kesin bir şekilde tespit edilebilmelidir. ilgili komutları işlemeden önce PIN adı verilen kişisel kart iptal edilmediğini) denetler.
62 Sayı 04 Eylül-Aralık 2010 http://www.uekae.tubitak.gov.tr/ 63
·