Page 73 - bilgem-teknoloji-dergisi-4
P. 73
Mustafa BAŞAK, Aydın KUBİLAY Akıllı Kartlar ve Uygulamaları: Akıllı Kart İşletim Sistemleri ve UKiS
1. Giriş risklidir. Ayrıca zaten sınırlı olan EEPROM alanı daha da 3. Akıllı Kart İşletim Sistemi, AKiS ve UKiS Aşağıda tipik bir akıllı kart uygulamasına ait dosya yapısı
azalmaktadır. Bu nedenle uygulaması da EEPROM’a yüklenen Yazılım Yapısı gösterilmektedir. AKiS/UKiS de bulunan EEPROM’da dosyalar
Akıllı kartlar, insanların belli bir mal ve hizmetten yararlanmak sistemlerde kişisel bilgiler, fotograf veya biometrik verilere (EF) ve dizinler (DF) aşağıdaki mantıksal yapıda tutulur. Bu
amacıyla kişiye özel olarak basılmış plastik kartların evrimi bellek kısıtı oluşmaktadır. Bu nedenlerden dolayı UKiS de Bir işletim sistemi ve uygulama olmadan tek başına anlam dosya ve dizinlere erişim, anahtarlar ve erişim koşulları ile
sonucu ortaya çıkmıştır. AKiS gibi değişmez “native” yapıda tasarlanmıştır. taşımaz. Çünkü akıllı kart uygulamaları dış birimler ile etkileşimli kısıtlanmaktadır.
çalışmaktadır. Akıllı kart kullanan uygulamalar tarafından
Plastik kartların akıllı kartlara dönüşmesinin altında yatan Akıllı kart donanımı, üzerinde bir işletim sistemi ve onu gereksinim duyulan birçok işlevin çalıştırması ve kullandığı
en önemli etken güvenlik eksikliği ve kopyalanma riskidir. Bu kullanan bir uygulama olmadan hiç bir işlem görmez. Bu EEPROM belleğinin belli bir yapıda düzenlenmesini gerekir.
iki olumsuzluğu engellemek ancak kişinin bildiği bir bilginin nedenle güvenliği sağlanmış bir donanım üzerinde mutlaka
(PIN) veya sahip olduğu bir özelliğin (biometrik veri) güvenli bir işletim sistemi ve en az bir uygulama bulunmalıdır. Genellikle Öncelikle akıllı kart işletim sistemi ile akıllı kart uygulamaları
bir şekilde saklanması ve sorgulanması ile gerçekleştirilir. Bu ve yukarıda açıklanan nedenlerden dolayı, işletim sistemleri arasındaki farkı belirtmekte yarar var. Akıllı kart işletim sistemi
gereksinmenin işlem gücü gerektirmesi nedeniyle niteliksiz akıllı kart yongalarının ROM’unda bulunurlar. Bunlar bir akıllı kart içerisindeki verilerin, uygulama da dış birimdeki
plastik kartlar yerine elektronik tümdevre içeren akıllı kartlar bölümü EEPROM’a yüklenen işletim sistemlerine göre çok uygulamaya özgü verilerin yönetimi görevlerini üstlenmektedir.
kullanılmaya başlamıştır. Aşağıda Türkiye Cumhuriyeti kimlik daha basittir. Çünkü ikinci tiplerde bu işlem, “uygulamanın
AKiS, UKiS ve elektronik kimlik uygulamasının ROM’da
kartları için geliştirilmiş ulusal akıllı kart işletim sistemi ile sertifikalandırılması” adı verilen, güvenlik açısından karmaşık olduğunu belirtmiştik. Elektronik kimlik uygulamasının belli
ilgili bilgiler verilmektedir. bir sürecin tamamlanması sonrasında gerçekleştirilir. Bu bir sistematikte çalışabilmesi için AKiS/UKiS gerekli hiyerarşik
nedenle, AKiS ve UKiS değişmez “native” bir işletim sistemi yapıyı sağlar. İşletim sistemi yapısında dört ayrı yazılım bileşeni
2. Ulusal Akıllı Kart İşletim Sistemi (UKiS) olarak tasarlanmıştır. Tamamıyla ROM üzerinde bulunmaktadır.
Geliştirilmesi Ancak, kullanılacak uygulamaya göre, uygulama verileri bulunmaktadır:
EEPROM olarak adlandırılan bellek alanında, AKiS/UKiS 1. Bellek Yöneticisi (Memory Manager)
Kimlik kartı projesinin temelinde yine TÜBİTAK UEKAE
tarafından geliştirilen açık anahtar altyapısı (AAA) ve sayısal Dosya/Bellek yönetim sistemi tarafından, gelişmiş güvenlik 2. Dosya Yöneticisi (File Manager)
imza projeleri bulunmaktadır. Akıllı kart işletim sistemi (AKiS), önlemleri alınarak saklanmaktadır. Akıllı kart işletim sistemleri 3. Komut yorumlayıcı (Command Interpreter) AKiS/UKiS, AAA uygulaması için PKCS#15 standartında veri
ilk olarak sayısal imza uygulamasında başarılı bir şekilde dış dünya ile iletişmini iki adet iletişim ucu üzerinden, APDU yapısı, elektronik kimlik kartı uygulaması için de TÜBİTAK
kullanılmıştır. Daha sonra da akıllı kart tabanlı Elektronik olarak adlandırılan uygulama protokol veri paketleri aracılığıyla 4. İletişim arayüzü (Communication Handler) UEKAE’de oluşturulan EKDS veri yapısı yüklenerek her iki
Kimlik Doğrulama Sistemi (EKDS) çalışmalarına başlandı. İlk sağlar. Bu iletişim protokolü ISO7816-2/3/4 standartlarıyla uygulamayı da çalıştırabilir.
olarak açık anahtar altyapısında kullanılan AKiS işletim sistemi tanımlanmıştır. EKDS projesinde geliştirilen AKiS/UKiS işletim Bunlar haricinde donanıma ait bazı arayüz işlevleri de vardır.
üzerine eID uygulaması konuldu. Böylece geliştirme aşaması sistemleri üzerinde çalışan elektronik kimlik uygulamasıda Ancak bunlar yonga tasarımcılarınca sağlandığından işletim Bunların yanında uygulamanın ihtiyaç duyduğu bellek miktarı
daha sağlıklı ve güvenli oldu. Projede, güvenlik onayı CC akıllı kartlar ve uygulamaları için tanımlı tüm standartları sistemi bileşenlerine dahil edilmemiştir. olanak verdiği sürece başka uyulamalar için de gereksinim
EAL5+ seviyesinde olan iki ayrı firmanın donanımları kullanıldı. sağlamaktadır. duyulan veri yapılarını yükleyip ISO 7816-4 komutları ile
Zamanla, EKDS projesi kapsamında, milli yonganın gerçekleştirme olanağına sahiptir.
geliştirilmesiyle, AKiS’in bazı temel yapıları kullanılarak Ulusal
Kart işletim Sistemi (UKiS) geliştirildi. TÜBİTAK UEKAE 5. Güvenli Bir Akıllı Kart Nasıl Olmalıdır?
tarafından geliştirilen akıllı kart mikrobilgisayar Akıllı kartlara yönelik geliştirilen saldırılara karşı akıllı kart
tümdevresindeki mikroişlemci ünitesinin ve bağlı bulunduğu tarafında hem donanımsal hem de yazılımsal önlemler
çevre birimlerinin kullanılması sağlandı. Sonuç olarak, ulusal alınmaktadır.
bir işletim sistemiyle çalışan bir akıllı kart yongası elde edilmiş
oldu. UKiS’te ayrıca eID uygulaması da ROM ( ‘Read-Only Aşağıda AKiS/UKiS’in sağlıklı ve güvenli çalışması için gerekli
Memory’, Salt Okumalı Bellek) bellekte bulunmaktadır. O da donanımsal ve daha sonra da işletim sistemi düzeyinde
AKiS gibi sonradan değişmez “native” yapıdadır. uygulanan güvelik önlemleri iki ayrı başlıkta sıralanmıştır.
Elektronik kimlik uygulamaları, zamanla değişim gerektiren Akıllı kart tümdevresindeki güvenlik önlemleri
uygulama kodları içermediğinden bu yapıyı değiştirmek Akıllı kartlarda donanım düzeyinde anormal durumları sezmek
gerekmez. Bu nedenle sonradan yüklenebilen veya 4. Dosya / Bellek Sistemi için çok sayıda donanımsal hata algılama duyargası yer
değiştirilebilen Java uygulamaları eID’de kullanılmamıştır. Bu AKiS/UKiS işletim sisteminin en önemli özelliği özgün ve almaktadır. Bu duyargalar, karta uygulanan gerilim, saat işareti,
tercihin en önemli gerekçesi güvenliktir. Sonradan yüklenebilen kolay yönetilebilir bir Dosya/Bellek Yönetim Sisteminin sıcaklık, ışık gibi etmenlerin tanımlı sınırlarının dışında olduğu
veya değişken kodlar içeren uygulamalar akıllı kartların olmasıdır. Aşağıda bir örneği gösterilen yapıdaki dosya ve anormal bir durumu sezdiğinde, kart tümdevresi bu durum
EEPROM ( ‘Electronically Erasable Programmable Read-Only dizinlerin oluşturulması ve oluşturulan dosyalara değişik ortadan kalkana kadar çalışmasını keserek kendini güvenli
Memory’, Elektriksel Silinebilir Bellek) belleğini kullanır. Bu evrelerde verilerin kaydedilmesine olanak tanıyan bir mimariye duruma alır (güvenli bekleme durumu). Bu duyargalar sayesinde
bellek hem fiziksel ömür hemde saldırılar açısından daha UV ışığı kullanarak EEPROM belleğin silinmesi, saat işaretinin
sahiptir. Böylece akıllı karttaki dosya sistemi önkişiselleştirme
birimi, kişiselleştirme ise başka bir birim tarafından kesilmesi gibi saldırılara karşı koruma sağlanmış olur.
gerçekleştirilebilir.
70 Sayı 04 Eylül-Aralık 2010 http://www.uekae.tubitak.gov.tr/ 71
·