Page 74 - bilgem-teknoloji-dergisi-4
P. 74
Mustafa BAŞAK, Aydın KUBİLAY Akıllı Kartlar ve Uygulamaları: Akıllı Kart İşletim Sistemleri ve UKiS
Akıllı kart tümdevresinin yüzeyinin kazılarak analiz edilmesini • Algoritmalarda gerçekleştirilen kritik karşılaştırma CC sertifikası, akıllı kart donanımına verilebildiği gibi üzerinde yapılmasını sağlayacaktır. Bu uygulamada her ülkenin kendisine
önlemek için değişik yöntemler uygulanmaktadır. İlk olarak işlemlerine çifte denetim konulup sonuçlar karşılaştırılarak çalışan işletim sistemine de verilmektedir. Akıllı kart kullanarak ait sertifikası yonga içerisine konulur ve pasaportu denetleyen
silikon yapıda oluşturulan RSA, DES veya RNG gibi önemli hatanın önüne geçilebilir. geliştirilen uygulamalar için kart donanımı, işletim sistemi ve birimin bunu geçerlemesi istenir. Eğer elektronik sertifika
bloklar tümdevreye rasgele yerleştirilirler. Bir başka yöntem • Güvenlik açısından önemli verilerin birden fazla kopyası o işletim sistemi üzerinde çalışan uygulamalar ayrı ayrı geçerlenir ise pasaport doğru, güvenli ve geçerli bir pasaporttur.
de etkin koruyucu kalkandır. Tümdevrenin lazerle kesilmesi birden fazla formda tutularak (verinin üssü, vb.) değiştirilmesi sertifikalandırılabilir. Bu sertifikalar değişik güvenlik seviyelerine
saldırısına karşı tümdevre üzerine ikinci bir metal tabaka sezilebilir. de sahip olabilir. Burada uygulamanın ve uygulamayı • Sürücü Belgesi Uygulaması
konarak kart içerisindeki yapıların ortaya çıkması engellenir. kullananların istediği güvenlik seviyesi önemlidir. Örneğin Yakın gelecekte trafikte araç kullanımı için gereksinim
Ayrıca daha güçlü akıllı kart yongalarında, tümdevre yüzeyinden • Yan kanal analizlerinde yanlış PIN girilmesi sonucu PIN Türkiye Cumhuriyeti Ulusal Kimlik Kartları için bu seviyeler duyulacak bu uygulamanın da AKiS ve UKiS tabanlı işletim
değerli verileri okumayı engellemek için, etkin kalkan da hata sayacının azaltılma işlemi tespit edilip o sırada güç kesilerek donanım için CC EAL5+, işletim sistemi ve kimlik uygulaması sistemleri üzerinde çalıştırılması son derece kolay olacaktır.
kullanılır. Bu özel yapıda tümdevre yüzeyinde gelişigüzel hata sayacının azaltılması engellenebilmektedir. PIN için CC EAL4+ olarak belirlenmiştir. Tıpkı elektronik pasaport uygulamasında olduğu gibi sürücü
dizilmiş ve rasgele sayı üretecinden elde edilen verilerle beslenen doğrulaması yapılırken PIN’in doğruluğuna bakılmadan sayaç Güvenliğin yanısıra akıllı kartların sağlaması gereken bir belgesini veren kurum kendi sertifikasını yonga içerisindeki
çok ince veri yolları bulunmaktadır. Etkin kalkan bu veri azaltılıp PIN doğru girilirse eski değerine çekilerek bu saldırı diğer kısıtlama da standartlara uyumdur. Akıllı kartların iletişim uygulamaya yerleştirir ve daha sonra bu sertifika denetlenerek
yollarındaki değişken verilerin doğruluğunun denetlenmesi önlenebilir. arabirimi, protokol yapısı ve veri yapıları ile ilgili IEC/ISO sürücü belgesnin asıl olduğu ve geçerli olduğuna karar verilir.
ilkesine göre çalışır. Eğer bu yüzey aşındırılacak olursa veri • Veri iletişiminin dinlenmesi ve iletilen verinin değiştirilmesi 7816 ve ISO 14443 olarak tanımlanan standartlar
yollarındaki veriler hatalı olacağından mikrobilgisayar kendisini ile ilgili saldırılara karşı akıllı kartlar ve arabirim cihazı arasındaki bulunmaktadır. Bu standartlar bütün olarak, temaslı ve temassız
güvenli konuma sokacaktır (güvenli bekleme durumu). veri iletişimi güvenli iletişim yöntemi kullanılarak korunabilir. donanımsal iletişim arabirim standartını (fiziksel katmanı),
Böylece giden gelen veri araya giren saldırganlar tarafından veri iletişim protokolleri standartını (veri katmanı), veri şifreleme
anlaşılamaz. Güvenli iletişim yönteminde kart ve arabirim standartlarını ve veri depolama standartlarını içermektedir.
cihazı karşılıklı olarak bir oturum boyunca anlaşabilecekleri Örneğin ISO7816-2/3/4 akıllı kartların fiziksel dünya ile
ortak bir simetrik şifreleme anahtarı oluştururlar. Bu ortak iletişmini ve APDU olarak adlandırılan uygulama protokol veri
anahtara “oturum anahtarı” denir ve bir oturum boyunca paketlerini tanımlamaktadır. ISO7816-8, Açık Anahtar
değişmez. Komut içerisinde yer alan veri oluşturulan oturum Altyapısında (AAA, PKI) kullanılan şifreleme/şifre çözme
anahtarı ile şifrelenerek iletilir. Oturum anahtarı yöntemleri ile ilgili standartı, ISO7816-9 ise akıllı kart işletim
oluşturulmasında asimetrik yöntem kullanılması güvenlik sistemindeki dizin/dosya yapısına ilişkin standartları
açısından tercih edilir. tanımlamaktadır.
• DES algoritmasının zayıflığından dolayı veri şifreleme ve Yukarıda anlatılanlar, akıllı kart kullanımının yaygınlaşmasının
deşifreleme için 3DES ve hatta AES algoritmasının kullanılması güvenliğinin yeterli düzeye çıkması ile olanaklı olduğunu
önerilir. göstermektedir.
• PIN ve PUK gibi yüksek güvenlik gerektiren verilere 6. AKiS ve UKiS İşletim Sistemli Akıllı Kartların
uzunluk sınırlaması getirilerek deneme yanılma yöntemiyle
tahminleri güçleştirilir. Kullanım Alanları
Akıllı kartlardan en temel beklenti güvenliktir. Bunun yanısıra • Elektronik Kimlik (e-ID) Uygulaması
Akıllı kart işletim sisteminin güvenlik önlemleri dayanıklı bir sistem olması gerekir. Akıllı kartların güvenliği Elektronik kimlik uygulaması, akıllı kart tümdevresi içeren
Aşağıda maddeler halinde AKiS/UKiS işletim sistemlerinin için hem akıllı kart donanımının (mikrobilgisayarının) hem de bir elektronik kimlik kartının kişinin ülke sertifikası ile
güvenlik önlemleri anlatılmaktadır. onun üzerinde çalışan işletim sisteminin uyması gereken doğrulanması ve geçerlenmesi uygulamasıdır. Bu uygulamanın
kuralların bulunduğu vurgulanmıştı. Bu bölümde akıllı kart kişiselleştirilmesi ve kullanıma alınması süreci son derece
• Algoritmaların işlem süreleri sabitlenerek yan kanal ve güvenliğini belirleyen faktörlerin neler olduğu ve, nasıl öenmlidir. Bu konuda TÜBİTAK UEKAE enstitüsü çok iyi bir
zamanlama analizleri ile gizli bilginin açığa çıkarılması önlenir. belirleneceği sorularına cevap vermeye çalışılacaktır. Akıllı kart deneyime sahiptir. Türkiye Cumhuriyeti Ulusal Kimlik Kartı
Eğer herhangi bir işlemin gerçekleşme süresi gizli bilginin benzeri şifreleme cihazlarının ne kadar güvenli olduğu üzerinde da bu şekilde gerçekleştirilmiş bir uygulamadır.
içeriğine bağlı olarak değişiyorsa, bu bilgi güç analizi ile ortaya fikir birliği sağlamak için birçok çalışma yapılmış ve uyulması
çıkabilir. Bu nedenle giriş değerleri ne olursa olsun işlem gereken bazı ölçütler oluşturulmuştur. Bu ölçütler zamanla • Sayısal İmza Açık Anahtar Altyapısı (AAA, ‘Public Key 7. Sonuçlar
süreleri sabit tutulmalıdır. Bunun için gerekiyorsa algoritmaya Ortak Ölçütler (Common Criteria, CC) adı ile sınıflandırılmış ve Infrastructure’, PKI) Uygulaması
rasgele gecikmeler eklenir. yayınlanmıştır. Bunları sağlayan donanım ve yazılımlara Bu yazıda öncelikle ulusal akıllı kart işletim sisteminin
bulunduğu sınıfa göre CC sertifikası verilerek gerçeklenen Kişinin ıslak imzadan daha güvenli elektronik imza ile geliştirilmesi, mimarisi, dosya bellek yönetim yapısı ve güvenlik
• Güvenlik açısından önemli olan verilere (anahtarlar, PIN, ürünün ne kadar güvenli olduğu ifade edilmiştir. Günümüzde doküman imzalaması veya gelen dokümanın doğru kişiden ve önlemleri anlatıldı. Ayrıca bu işletim sistemleri üzerinde koşan
PUK, vs) toplama sınaması konularak verinin bütünlüğü akıllı kart donanım platformu olarak, CC EAL5+ onayı almış güvenli olarak geldiğinden emin olunması amacıyla geliştirilmiş uygulamalar hakkında da bilgiler verildi. Şurası bir gerçek ki
denetlenir. Herhangi bir nedenle bütünlük bozulduğunda yüksek güvenliğe sahip mikrobilgisayarların (örneğin AKiS’in bir uygulamadır. ulusal işletim sistemine sahip olmak ve özellikle de bunu kendi
akıllı kart kendini korumaya alır. SLE66CLX800PE ve P5CD081 tümdevreleri) kullanılması tasarladığımız bir yonga üzerinde çalıştırmak önemli bir
güvenlik için zorunludur. Akıllı kart ürünlerinin CC seviyesi • Elektronik Pasaport Uygulaması teknolojik seviyeyi göstermektedir.
• Algoritmalarda gerçeklenen işlemlerin işleyiş sırası Ortak Kriter Test Merkezleri’nde belirlenmektedir. Buralarda Gümrüklerde ve ülke giriş/çıkışlarında uygulanan pasaport
değiştirilerek algoritmanın ne yaptığının saptanması güçleştirilir. uygulanan testlerin sonucuna göre güvenlik seviyesini belirtir denetiminde kağıt pasaportlara ek olarak kullanılması planlanan
CC sertifikası verilmektedir.
uygulamadır. İşlemlerin daha güvenli, çok daha hızlı ve kolay
72 Sayı 04 Eylül-Aralık 2010 http://www.uekae.tubitak.gov.tr/ 73
·
