Mustafa BAŞAK, Aydın KUBİLAY  Akıllı Kartlar ve Uygulamaları: Akıllı Kart İşletim Sistemleri ve UKiS

 1. Giriş  risklidir. Ayrıca zaten sınırlı olan EEPROM  alanı daha da  3. Akıllı Kart İşletim Sistemi, AKiS ve UKiS  Aşağıda tipik bir akıllı kart uygulamasına ait dosya yapısı
 azalmaktadır. Bu nedenle uygulaması da EEPROM’a yüklenen  Yazılım Yapısı  gösterilmektedir. AKiS/UKiS de bulunan EEPROM’da dosyalar
 Akıllı kartlar, insanların belli bir mal ve hizmetten yararlanmak  sistemlerde kişisel bilgiler, fotograf veya biometrik verilere  (EF) ve dizinler (DF) aşağıdaki mantıksal yapıda tutulur. Bu
 amacıyla kişiye özel olarak basılmış plastik kartların evrimi  bellek kısıtı oluşmaktadır. Bu nedenlerden dolayı UKiS de  Bir işletim sistemi ve uygulama olmadan tek başına anlam  dosya ve dizinlere erişim, anahtarlar ve erişim koşulları ile
 sonucu ortaya çıkmıştır.  AKiS gibi değişmez “native” yapıda tasarlanmıştır.  taşımaz. Çünkü akıllı kart uygulamaları dış birimler ile etkileşimli  kısıtlanmaktadır.
          çalışmaktadır. Akıllı kart kullanan uygulamalar tarafından
 Plastik kartların akıllı kartlara dönüşmesinin altında yatan  Akıllı kart donanımı, üzerinde bir işletim sistemi ve onu  gereksinim duyulan birçok işlevin çalıştırması ve kullandığı
 en önemli etken güvenlik eksikliği ve kopyalanma riskidir. Bu  kullanan bir uygulama olmadan hiç bir işlem görmez. Bu  EEPROM belleğinin belli bir yapıda düzenlenmesini gerekir.
 iki olumsuzluğu engellemek ancak kişinin bildiği bir bilginin  nedenle güvenliği sağlanmış bir donanım üzerinde mutlaka
 (PIN) veya sahip olduğu bir özelliğin (biometrik veri) güvenli  bir işletim sistemi ve en az bir uygulama bulunmalıdır. Genellikle  Öncelikle akıllı kart işletim sistemi ile akıllı kart uygulamaları
 bir şekilde saklanması ve sorgulanması ile gerçekleştirilir. Bu  ve yukarıda açıklanan nedenlerden dolayı, işletim sistemleri  arasındaki farkı belirtmekte yarar var. Akıllı kart işletim sistemi
 gereksinmenin işlem gücü gerektirmesi nedeniyle niteliksiz  akıllı kart yongalarının ROM’unda bulunurlar.  Bunlar bir  akıllı kart içerisindeki verilerin, uygulama da dış birimdeki
 plastik kartlar yerine elektronik tümdevre içeren akıllı kartlar  bölümü EEPROM’a yüklenen işletim sistemlerine göre çok  uygulamaya özgü verilerin yönetimi görevlerini üstlenmektedir.
 kullanılmaya başlamıştır. Aşağıda Türkiye Cumhuriyeti kimlik  daha basittir. Çünkü ikinci tiplerde bu işlem, “uygulamanın
           AKiS, UKiS ve elektronik kimlik uygulamasının ROM’da
 kartları için geliştirilmiş ulusal akıllı kart işletim sistemi ile  sertifikalandırılması” adı verilen, güvenlik açısından karmaşık  olduğunu belirtmiştik. Elektronik kimlik uygulamasının belli
 ilgili bilgiler verilmektedir.  bir sürecin tamamlanması sonrasında gerçekleştirilir. Bu  bir sistematikte çalışabilmesi için AKiS/UKiS gerekli hiyerarşik
 nedenle, AKiS ve UKiS değişmez “native” bir işletim sistemi  yapıyı sağlar. İşletim sistemi yapısında dört ayrı yazılım bileşeni
 2. Ulusal Akıllı Kart İşletim Sistemi (UKiS)  olarak tasarlanmıştır. Tamamıyla ROM üzerinde bulunmaktadır.
 Geliştirilmesi  Ancak, kullanılacak uygulamaya göre, uygulama verileri  bulunmaktadır:

 EEPROM olarak adlandırılan bellek alanında, AKiS/UKiS  1. Bellek Yöneticisi (Memory Manager)
 Kimlik kartı projesinin temelinde yine TÜBİTAK UEKAE
 tarafından geliştirilen açık anahtar altyapısı (AAA) ve sayısal  Dosya/Bellek yönetim sistemi tarafından, gelişmiş güvenlik  2. Dosya Yöneticisi (File Manager)
 imza projeleri bulunmaktadır. Akıllı kart işletim sistemi (AKiS),  önlemleri alınarak saklanmaktadır. Akıllı kart işletim sistemleri  3. Komut yorumlayıcı (Command Interpreter)  AKiS/UKiS, AAA uygulaması için PKCS#15 standartında veri
 ilk olarak sayısal imza uygulamasında başarılı bir şekilde  dış dünya ile iletişmini iki adet iletişim ucu üzerinden, APDU  yapısı, elektronik kimlik kartı  uygulaması için de TÜBİTAK
 kullanılmıştır. Daha sonra da akıllı kart tabanlı Elektronik  olarak adlandırılan uygulama protokol veri paketleri aracılığıyla  4. İletişim arayüzü (Communication Handler)  UEKAE’de oluşturulan EKDS veri yapısı yüklenerek her iki
 Kimlik Doğrulama Sistemi (EKDS) çalışmalarına başlandı. İlk  sağlar. Bu iletişim protokolü ISO7816-2/3/4 standartlarıyla  uygulamayı da çalıştırabilir.
 olarak açık anahtar altyapısında kullanılan AKiS işletim sistemi  tanımlanmıştır. EKDS projesinde geliştirilen AKiS/UKiS işletim  Bunlar haricinde donanıma ait bazı arayüz işlevleri de vardır.
 üzerine eID uygulaması konuldu. Böylece geliştirme aşaması  sistemleri üzerinde çalışan elektronik kimlik uygulamasıda  Ancak bunlar yonga tasarımcılarınca sağlandığından işletim  Bunların yanında uygulamanın ihtiyaç duyduğu bellek miktarı
 daha sağlıklı ve güvenli oldu. Projede, güvenlik onayı CC  akıllı kartlar ve uygulamaları için tanımlı tüm standartları  sistemi bileşenlerine dahil edilmemiştir.  olanak verdiği sürece başka uyulamalar için de gereksinim
 EAL5+ seviyesinde olan iki ayrı firmanın donanımları kullanıldı.  sağlamaktadır.  duyulan veri yapılarını yükleyip ISO 7816-4 komutları ile
 Zamanla, EKDS projesi kapsamında, milli yonganın                    gerçekleştirme olanağına sahiptir.
 geliştirilmesiyle, AKiS’in bazı temel yapıları kullanılarak Ulusal
 Kart işletim Sistemi (UKiS) geliştirildi. TÜBİTAK UEKAE              5. Güvenli Bir Akıllı Kart Nasıl Olmalıdır?
 tarafından geliştirilen akıllı kart mikrobilgisayar                  Akıllı kartlara yönelik geliştirilen saldırılara karşı akıllı kart
 tümdevresindeki mikroişlemci ünitesinin ve bağlı bulunduğu          tarafında hem donanımsal hem de yazılımsal önlemler
 çevre birimlerinin kullanılması sağlandı. Sonuç olarak, ulusal      alınmaktadır.
 bir işletim sistemiyle çalışan bir akıllı kart yongası elde edilmiş
 oldu. UKiS’te ayrıca eID uygulaması da ROM ( ‘Read-Only              Aşağıda AKiS/UKiS’in sağlıklı ve güvenli çalışması için gerekli
 Memory’, Salt Okumalı Bellek)  bellekte bulunmaktadır. O da         donanımsal ve daha sonra da işletim sistemi düzeyinde
 AKiS gibi sonradan değişmez “native” yapıdadır.                     uygulanan güvelik önlemleri iki ayrı başlıkta sıralanmıştır.

 Elektronik kimlik uygulamaları, zamanla değişim gerektiren           Akıllı kart tümdevresindeki güvenlik önlemleri
 uygulama kodları içermediğinden bu yapıyı değiştirmek                Akıllı kartlarda donanım düzeyinde anormal durumları sezmek
 gerekmez. Bu nedenle sonradan yüklenebilen veya  4. Dosya / Bellek Sistemi  için çok sayıda donanımsal hata algılama duyargası yer
 değiştirilebilen Java uygulamaları eID’de kullanılmamıştır. Bu  AKiS/UKiS işletim sisteminin en önemli özelliği özgün ve  almaktadır. Bu duyargalar, karta uygulanan gerilim, saat işareti,
 tercihin en önemli gerekçesi güvenliktir. Sonradan yüklenebilen  kolay yönetilebilir bir Dosya/Bellek Yönetim Sisteminin  sıcaklık, ışık gibi etmenlerin tanımlı sınırlarının dışında olduğu
 veya değişken kodlar içeren uygulamalar akıllı kartların  olmasıdır. Aşağıda bir örneği gösterilen yapıdaki dosya ve  anormal bir durumu sezdiğinde, kart tümdevresi bu durum
 EEPROM ( ‘Electronically Erasable Programmable Read-Only  dizinlerin oluşturulması ve oluşturulan dosyalara değişik  ortadan kalkana kadar çalışmasını keserek kendini güvenli
 Memory’, Elektriksel Silinebilir Bellek) belleğini kullanır. Bu  evrelerde verilerin kaydedilmesine olanak tanıyan bir mimariye  duruma alır (güvenli bekleme durumu). Bu duyargalar sayesinde
 bellek hem fiziksel ömür hemde saldırılar açısından daha            UV ışığı kullanarak EEPROM belleğin silinmesi, saat işaretinin
          sahiptir. Böylece akıllı karttaki dosya sistemi önkişiselleştirme
          birimi, kişiselleştirme ise başka bir birim tarafından     kesilmesi gibi saldırılara karşı koruma sağlanmış olur.
          gerçekleştirilebilir.


 70  Sayı 04   Eylül-Aralık 2010  http://www.uekae.tubitak.gov.tr/  71
 ·