Ersin GÜLAÇTI  e-Kimlikte Açık Anahtar Altyapısı

 Sertifika İptal Listesi (SİL)  ÇİSDUP sunucusu kendisine sorulan sertifikanın seri  Sunucu Özellikleri: 2 işlemcili (4 çekirdekli), en az 4 GB  kaldırabilecek altyapı çalışmaları ve testleri halen TÜBİTAK
 numarasını kullanarak sertifikayı sertifika makamı  RAM’e sahip, tüm kritik bileşenleri (güç kaynağı vb) yedekli  UEKAE tarafından yürütülmektedir. Dünyada bu kadar çok
 SİL adı verilen liste, iptal veya askı durumundaki sertifikaların
 seri numaralarını, iptal gerekçelerini ve iptal tarihlerini tutan  veritabanından bulur. Sertifika eğer geçerli ise “GEÇERLİ”  olan, hot swap disklere sahip.  sertifikayı yöneten bir başka sistem olmadığından TÜBİTAK
 ve genelde sertifika yayıncısı tarafından üretilen bir elektronik  cevabı sorgu yapan tarafa gönderilir. Sertifika eğer veritabanında  Güvenli Donanım Modülü Özellikleri: Ağ tipi veya PCI  UEKAE tarafından geliştirilen ürün ve çözümlerin başka
 belgedir. Her SİL’in bir geçerlilik başlangıç ve bir de geçerlilik  bulunmuyorsa “BİLİNMİYOR” cevabı sorgu yapan tarafa  yuvasına takılabilen, en az saniyede 100 adet RSA 2048 bit  ülkelere de örnek oluşturacağı tahmin edilmektedir.
 bitiş tarihi vardır. Sertifika makamı yayınladığı SİL’in süresi  gönderilir. Eğer sertifika iptal veya askı durumundaysa iptal  anahtar işlemi yapabilen, FIPS 140-2 Level 3 ve üstü sertifikaya  4. SONUÇ
 bittiğinde yenisini yayınlar. SİL verileri genelde web sunucuları  nedeni ve iptal tarihi sorgu yapan tarafa gönderilir.  sahip.
                                                                      E-kimlik kartı projesi veya bir bütün olarak baktığımızda
 üstünden kullanıma sunulur.  5. AAA BİLEŞENLERİ  Anahtar Üretim Kartları: +5 C ile +55 C sıcaklıkları arasında  Elektronik Kimlik Doğrulama Sistemi çok yoğun şekilde

 Özellikle çok sayıda sertifika üretmiş sistemlerde SİL dosyasının  e-Kimlik projesindeki sertifika yönetimi işleri çok sayıda  aynı kalitede çalışabilen, PCI Express arayüzüne sahip,  elektronik sertifika, elektronik imza ve açık anahtar altyapısı
 boyutu çok artabilir. e-Kimlik projesinde SİL boyutunun artması  yazılım ve donanım gerekmektedir. Bunlara aşağıda kısaca  TÜBİTAK UEKAE Kripto Analiz Merkezi tarafından test  hizmetlerinin kullanıldığı bir projedir. e-Devlet hizmetlerinde
 ihtimali nedeniyle “Delta SİL” uygulaması yapılmaktadır. Delta  değinilmektedir.  edilmiş ve onaylanmış.  kimlik doğrulamanın belkemiği olarak hizmet verecek olan bu
 SİL uygulamasında uzun aralıklarla “Temel SİL yayınlanır.           sistemin uluslar arası standartlara uygun milli ürünlerle, yüksek
 Temel SİL yayın tarihinden sonra sık aralıklarla Delta SİL  5.1. Yazılım Bileşenleri  6. YAYGINLAŞTIRMADA  UYGULANMASI  güvenlikte, kaliteli ve kesintisiz hizmet sunması çok önemlidir.
 yayınlanır. Her Delta SİL, son Temel SİL’in yayınından sonra  Sistemdeki her bir sertifika sağlayıcısı ESYA yazılımı kurulu  DÜŞÜNÜLEN MİMARİ  Dünyanın en fazla kullanıcılı açık anahtar altyapısı olması
 meydana gelen tüm sertifika durum değişikliklerini içerir.  sunucu sistemleri çalıştırmaktadır. ESYA mimarisi Şekil-3’de  Yaygınlaştırma aşamasında pilot projeden biraz daha farklı  beklenen sistemin, işletimi ve idamesi için TÜBİTAK UEKAE

 e-Kimlik projesinde SİL kullanımının özellikle çok işlem  görüldüğü gibidir.  bir sertifika mimarisine geçilmesi planlanmaktadır. Söz konusu  yazılım ve donanım ürünleri, bilgi ve tecrübe birikimi ve
 yapan uygulama sunucularında yararlı olabileceği  ESYA Sertifikasyon Makamı yazılımları bugüne kadar 30’dan  mimari Şekil 4’te gösterilmektedir.  yetişmiş insan gücü ile göreve hazırdır.
 düşünülmektedir. Bu tür sunucular SİL içeriğini belleğe alarak  fazla kurumda 400,000’nin üzerinde elektronik sertifikanın  Bu mimaride pilot projeden farklı olan bileşenler şöyledir:
 her sertifika için Çevrimiçi Sertifika Durum Sorgusu Protokolü  üretiminde kullanılmıştır. ESYA 1.0 sürümü Türk Standartları
           • Anahtar Yönetimi Sertifika Hizmet Sağlayıcısı (AYSM): EKK
 (ÇİSDUP) sorgusu yapmaktan zorunluluğundan kurtulabilirler.  Enstitüsü tarafından Ortak Kriterler Standardında göre test  (Elektronik Kimlik Kartı) kartlarının içine kart doğrulama
 Çevrimiçi Sertifika Durum Sorgusu Protokolü (ÇİSDUP)  edilmiş ve 2 Mart 2010 tarihinde CC EAL4+ sertifikası almıştır.  sertifikası ve ilgili anahtar çiftini yazan makamdır.
 ESYA, dünyada benzer ürünler arasında CC EAL4+ sertifikası
 İngilizce adıyla Online Certificate Status Protocol (OCSP) olarak  olan dördüncü ürün olmuştur.  • Kimlik Yönetimi Sertifika Hizmet Sağlayıcısı (KYSM): EKK
 bilinen ÇİSDUP, özellikle kısa mesaj yapısı ve sertifika  (Elektronik Kimlik Kartı) kartlarının içine kimlik doğrulama
 durumlarının sunucuya tek tek sorulabilmesi nedeniyle tercih  5.2. AAA Donanım Bileşenleri  sertifikası ve ilgili anahtar çiftini yazan makamdır.
 edilmektedir. Büyük ve hantal SİL dosyaları son kullanıcıların  E-kimlik projesinde kullanılacak donanımların sertifika yaşam
 kişisel bilgisayarlarda kullanımına uygun değildir. Bu nedenle  döngüsü ile ilgili ihtiyaçları karşılayacak kapasitede olması  • EKK Kart Doğrulama Sertifikası : Kartın üstüne basılan
 sadece işlem yapılan sertifikanın seri numarasının sorgu mesajı  gerekmektedir. Pilot projede AAA sunucuları Kamu Sertifikasyon  seri numaraya bağlı olarak üretilen sertifikadır. Asıl işlevi kartın
 içinde gönderildiği ÇİSDUP sorgusu kullanılması pratik  Merkezi’nde barındırılmış ve işletilmiştir. Seçilen donanımların  güvenilen bir makam tarafından üretildiği göstermektir.
 olmaktadır.  • EKK Kimlik Doğrulama Sertifikası : Kartın sahibi olan
 özellikleri genel olarak şöyledir:
          kişinin kimlik bilgilerini içeren ve kişiselleştirme sırasında
          üretilen sertifikadır. Tek başına kullanıldığında bile kimlik
          doğrulamaya yarar. Bu sertifika, e-Kimlikle çalışan ve internet
          üzerinden hizmet veren servislerin çok hızlı bir şekilde kurulması
          ve işletime alınması için yararlı olacaktır.
           Yaygınlaştırma aşamasında tüm hizmetlerin ölçeklendirilmesi
          gerekmektedir. Yaygınlaştırma planı belirlendiğinde kesin
          rakamlar ortaya çıkacak olmakla beraber kurulacak sistemin
          her yıl en az 15 milyon yeni kimlik kartı üretmesi
          beklenmektedir. Toplamda 80-100 milyon arası kimlik kartının
          üretimi ve dağıtımı gerçekleşecektir. Her sene doğum, ölüm,
          kayıp, yenileme vb nedenlerle de 10 milyon üzerinde yeni
          kartın verilmesi gerekecektir. Bu bakımdan kurulacak sistemin
          dünyanın en büyük açık anahtar altyapısı sistemi olacağı
          görülmektedir.
           Bu sistemde diğer önemli bir konu da sertifika durum
          sorgularına cevap verebilmektir. Güncel KPS (NVİ Kimlik
          Paylaşım Sistemi) sorgu istatistiklerine bakarak yapılan öngörüye
          göre talebin en yoğun olduğu mesai saatlerinde saatte 3 milyon
 Şekil 4. Yaygınlaştırma için Sertifika mimarisi
          adet ÇİSDUP sorgusu yapılabileceği düşünülmektedir. Bu yükü


 66  Sayı 04   Eylül-Aralık 2010  http://www.uekae.tubitak.gov.tr/  67
 ·