Page 69 - bilgem-teknoloji-dergisi-4
P. 69
Ersin GÜLAÇTI e-Kimlikte Açık Anahtar Altyapısı
Sertifika İptal Listesi (SİL) ÇİSDUP sunucusu kendisine sorulan sertifikanın seri Sunucu Özellikleri: 2 işlemcili (4 çekirdekli), en az 4 GB kaldırabilecek altyapı çalışmaları ve testleri halen TÜBİTAK
numarasını kullanarak sertifikayı sertifika makamı RAM’e sahip, tüm kritik bileşenleri (güç kaynağı vb) yedekli UEKAE tarafından yürütülmektedir. Dünyada bu kadar çok
SİL adı verilen liste, iptal veya askı durumundaki sertifikaların
seri numaralarını, iptal gerekçelerini ve iptal tarihlerini tutan veritabanından bulur. Sertifika eğer geçerli ise “GEÇERLİ” olan, hot swap disklere sahip. sertifikayı yöneten bir başka sistem olmadığından TÜBİTAK
ve genelde sertifika yayıncısı tarafından üretilen bir elektronik cevabı sorgu yapan tarafa gönderilir. Sertifika eğer veritabanında Güvenli Donanım Modülü Özellikleri: Ağ tipi veya PCI UEKAE tarafından geliştirilen ürün ve çözümlerin başka
belgedir. Her SİL’in bir geçerlilik başlangıç ve bir de geçerlilik bulunmuyorsa “BİLİNMİYOR” cevabı sorgu yapan tarafa yuvasına takılabilen, en az saniyede 100 adet RSA 2048 bit ülkelere de örnek oluşturacağı tahmin edilmektedir.
bitiş tarihi vardır. Sertifika makamı yayınladığı SİL’in süresi gönderilir. Eğer sertifika iptal veya askı durumundaysa iptal anahtar işlemi yapabilen, FIPS 140-2 Level 3 ve üstü sertifikaya 4. SONUÇ
bittiğinde yenisini yayınlar. SİL verileri genelde web sunucuları nedeni ve iptal tarihi sorgu yapan tarafa gönderilir. sahip.
E-kimlik kartı projesi veya bir bütün olarak baktığımızda
üstünden kullanıma sunulur. 5. AAA BİLEŞENLERİ Anahtar Üretim Kartları: +5 C ile +55 C sıcaklıkları arasında Elektronik Kimlik Doğrulama Sistemi çok yoğun şekilde
Özellikle çok sayıda sertifika üretmiş sistemlerde SİL dosyasının e-Kimlik projesindeki sertifika yönetimi işleri çok sayıda aynı kalitede çalışabilen, PCI Express arayüzüne sahip, elektronik sertifika, elektronik imza ve açık anahtar altyapısı
boyutu çok artabilir. e-Kimlik projesinde SİL boyutunun artması yazılım ve donanım gerekmektedir. Bunlara aşağıda kısaca TÜBİTAK UEKAE Kripto Analiz Merkezi tarafından test hizmetlerinin kullanıldığı bir projedir. e-Devlet hizmetlerinde
ihtimali nedeniyle “Delta SİL” uygulaması yapılmaktadır. Delta değinilmektedir. edilmiş ve onaylanmış. kimlik doğrulamanın belkemiği olarak hizmet verecek olan bu
SİL uygulamasında uzun aralıklarla “Temel SİL yayınlanır. sistemin uluslar arası standartlara uygun milli ürünlerle, yüksek
Temel SİL yayın tarihinden sonra sık aralıklarla Delta SİL 5.1. Yazılım Bileşenleri 6. YAYGINLAŞTIRMADA UYGULANMASI güvenlikte, kaliteli ve kesintisiz hizmet sunması çok önemlidir.
yayınlanır. Her Delta SİL, son Temel SİL’in yayınından sonra Sistemdeki her bir sertifika sağlayıcısı ESYA yazılımı kurulu DÜŞÜNÜLEN MİMARİ Dünyanın en fazla kullanıcılı açık anahtar altyapısı olması
meydana gelen tüm sertifika durum değişikliklerini içerir. sunucu sistemleri çalıştırmaktadır. ESYA mimarisi Şekil-3’de Yaygınlaştırma aşamasında pilot projeden biraz daha farklı beklenen sistemin, işletimi ve idamesi için TÜBİTAK UEKAE
e-Kimlik projesinde SİL kullanımının özellikle çok işlem görüldüğü gibidir. bir sertifika mimarisine geçilmesi planlanmaktadır. Söz konusu yazılım ve donanım ürünleri, bilgi ve tecrübe birikimi ve
yapan uygulama sunucularında yararlı olabileceği ESYA Sertifikasyon Makamı yazılımları bugüne kadar 30’dan mimari Şekil 4’te gösterilmektedir. yetişmiş insan gücü ile göreve hazırdır.
düşünülmektedir. Bu tür sunucular SİL içeriğini belleğe alarak fazla kurumda 400,000’nin üzerinde elektronik sertifikanın Bu mimaride pilot projeden farklı olan bileşenler şöyledir:
her sertifika için Çevrimiçi Sertifika Durum Sorgusu Protokolü üretiminde kullanılmıştır. ESYA 1.0 sürümü Türk Standartları
• Anahtar Yönetimi Sertifika Hizmet Sağlayıcısı (AYSM): EKK
(ÇİSDUP) sorgusu yapmaktan zorunluluğundan kurtulabilirler. Enstitüsü tarafından Ortak Kriterler Standardında göre test (Elektronik Kimlik Kartı) kartlarının içine kart doğrulama
Çevrimiçi Sertifika Durum Sorgusu Protokolü (ÇİSDUP) edilmiş ve 2 Mart 2010 tarihinde CC EAL4+ sertifikası almıştır. sertifikası ve ilgili anahtar çiftini yazan makamdır.
ESYA, dünyada benzer ürünler arasında CC EAL4+ sertifikası
İngilizce adıyla Online Certificate Status Protocol (OCSP) olarak olan dördüncü ürün olmuştur. • Kimlik Yönetimi Sertifika Hizmet Sağlayıcısı (KYSM): EKK
bilinen ÇİSDUP, özellikle kısa mesaj yapısı ve sertifika (Elektronik Kimlik Kartı) kartlarının içine kimlik doğrulama
durumlarının sunucuya tek tek sorulabilmesi nedeniyle tercih 5.2. AAA Donanım Bileşenleri sertifikası ve ilgili anahtar çiftini yazan makamdır.
edilmektedir. Büyük ve hantal SİL dosyaları son kullanıcıların E-kimlik projesinde kullanılacak donanımların sertifika yaşam
kişisel bilgisayarlarda kullanımına uygun değildir. Bu nedenle döngüsü ile ilgili ihtiyaçları karşılayacak kapasitede olması • EKK Kart Doğrulama Sertifikası : Kartın üstüne basılan
sadece işlem yapılan sertifikanın seri numarasının sorgu mesajı gerekmektedir. Pilot projede AAA sunucuları Kamu Sertifikasyon seri numaraya bağlı olarak üretilen sertifikadır. Asıl işlevi kartın
içinde gönderildiği ÇİSDUP sorgusu kullanılması pratik Merkezi’nde barındırılmış ve işletilmiştir. Seçilen donanımların güvenilen bir makam tarafından üretildiği göstermektir.
olmaktadır. • EKK Kimlik Doğrulama Sertifikası : Kartın sahibi olan
özellikleri genel olarak şöyledir:
kişinin kimlik bilgilerini içeren ve kişiselleştirme sırasında
üretilen sertifikadır. Tek başına kullanıldığında bile kimlik
doğrulamaya yarar. Bu sertifika, e-Kimlikle çalışan ve internet
üzerinden hizmet veren servislerin çok hızlı bir şekilde kurulması
ve işletime alınması için yararlı olacaktır.
Yaygınlaştırma aşamasında tüm hizmetlerin ölçeklendirilmesi
gerekmektedir. Yaygınlaştırma planı belirlendiğinde kesin
rakamlar ortaya çıkacak olmakla beraber kurulacak sistemin
her yıl en az 15 milyon yeni kimlik kartı üretmesi
beklenmektedir. Toplamda 80-100 milyon arası kimlik kartının
üretimi ve dağıtımı gerçekleşecektir. Her sene doğum, ölüm,
kayıp, yenileme vb nedenlerle de 10 milyon üzerinde yeni
kartın verilmesi gerekecektir. Bu bakımdan kurulacak sistemin
dünyanın en büyük açık anahtar altyapısı sistemi olacağı
görülmektedir.
Bu sistemde diğer önemli bir konu da sertifika durum
sorgularına cevap verebilmektir. Güncel KPS (NVİ Kimlik
Paylaşım Sistemi) sorgu istatistiklerine bakarak yapılan öngörüye
göre talebin en yoğun olduğu mesai saatlerinde saatte 3 milyon
Şekil 4. Yaygınlaştırma için Sertifika mimarisi
adet ÇİSDUP sorgusu yapılabileceği düşünülmektedir. Bu yükü
66 Sayı 04 Eylül-Aralık 2010 http://www.uekae.tubitak.gov.tr/ 67
·