Page 76 - bilgem-teknoloji-dergisi-5
P. 76
Ersin GÜLAÇTI Elektronik İmza: E-İmza Oluşturma Araçları
GDM donanımları, çok sayıda e-imza işlemi yapan kurumların Şekil 2’de gösterilen kart okuyucu-akıllı kart haberleşmesi
tercih ettiği, e-imza oluşturma araçlarıdır. Örneğin elektronik Bilgisayar APDU komut seti ile yapılır. APDU (Application Protocol Data
sertifika hizmet sağlayıcıları, aboneleri için e-fatura üreten E-imza Uygulaması Unit) okuyucu ile akıllı kartın arasındaki haberleşmeyi sağlayan
firmalar GDM kullanırlar. bir veri yapısıdır. APDU’nun yapısı ISO-7816 standartında
tanımlanmıştır.
Donanım güvenlik modülleri iki temel tipte yer alır:
PKCS 11 Uyumlu Kart Microsoft CAPI Uyumlu Sertifika
Kripto Kütüphanesi Kart Kripto Kütüphanesi Deposu
Adanmış modeller : Bu modeller (Sadece Windows)
sadece bir bilgisayara bağlı olarak 7. YAZILIM GELİŞTİRME
çalışır. PCI kart seklinde veya
PKCS Kütüphanesi E-imza oluşturmak için yazılım geliştirenlerin en temel ihtiyacı,
bilgisayardaki bir SCSI kontrol
kartına bağlanan, harici cihaz bilgisayara takılı akıllı kart okuyucuları ve bunların içindeki
seklinde olan modeller vardır. akıllı kartları doğru bir şekilde tespit edip kullanmaktır.
USB veya Seri G/Ç Araryüzü Bilgisayara takılı kart okuyucular genellikle PC/SC katmanının
Ağ modelleri : Bu tür GDM’ler sunduğu fonksiyonlar ile tespit edilebilir. Akıllı kart okuyucular
kendi başlarına çalışan ve ağ ara tespit edildikten sonra akıllı karta erişilmek istendiğinde iki
yüzüne sahip cihazlardır. Genellikle seçenek karşımıza çıkar. Bunlar; APDU komutları ve kart kripto
bir yerel alan ağı (LAN) üzerinde kütüphanesidir.
Akıllı Kart Okuyucu Akıllı Kart
çalışan birden fazla bilgisayar Uygulama geliştiriciler herhangi bir Akıllı Kart Kripto
tarafından kullanılırlar. APDU Komutları
Kütüphanesi kullanmadan doğrudan APDU komutlarıyla akıllı
Şekil 2. AkıllıKart - İşletim Sistemi ilişkisi. karta hükmedebilirler. Ancak bu yöntem, farklı akıllı kartların
5. GÜVENLİK
komut setlerine göre, farklı işlemler yapmayı gerektirir. Bu
Akıllı kartların ve güvenli donanım modüllerinin e-imza, şifre Bir akıllı kartın işletim sisteminde kullanılabilmesi için nedenle genellikle en yaygın kart kripto kütüphanesi tipi olan
çözme vb kripto işlemlerinde kullanılan özel anahtarları güvenli aşağıdaki yazılımların yüklenmiş olması gerekmektedir. PKCS#11 kütüphaneleri üzerinden akıllı kartların yönetilmesi
olarak saklamaları ve kullandırmaları çok önemlidir. Bu nedenle Akıllı Kart Okuyucu Sürücüsü: Bilgisayara bağlanan tüm tercih edilir. Ayrıca HSM cihazlarının genellikle APDU komut
bu tür ürünlerin çeşitli güvenlik testlerinden geçmeleri ve bu cihazlar gibi akıllı kart okuyucu için de bir sürücü yüklenmesi seti desteği yoktur. Bu nedenle, GDM cihazlarına erişimde de,
durumu belgelendirmeleri istenir. Bu güvenlik testlerinin en gereklidir. Bu sürücü bilgisayarın giriş-çıkış sistemi üzerinden Akıllı Kart Kripto Kütüphanesi kullanılması yaygın bir
bilinenleri Ortak Kriterler (Common Criteria) ve FIPS (Federal haberleşmeyi sağlar. yaklaşımdır.
Information Processing Standards) olarak sayılabilir. Ortak PKCS#11 kütüphaneleri her ne kadar kullanılan akıllı kart
Kriterler testleri, Türkiye’nin de sertifika üreticisi olarak içinde İşletim Sistemi Akıllı Kart Bileşenleri: Windows işletim markasından bağımsız olarak yazılım geliştirmeyi mümkün
bulunduğu uluslar arası bir anlaşmaya taraf 15 üretici ve 11 sisteminde ve Linux dağıtımlarında hazır olarak gelen akıllı kılsa da çok basit bir yapıya sahip değildirler. Bu nedenle, e-
tüketici ülke tarafından kabul görmüştür. FIPS ise ABD kart erişim altyapısı kullanılır. Bu altyapı için PC/SC standardı imza yazılımı geliştirenlerin, PKCS#11 standardını çok iyi
tarafından ortaya konan standartları tarif eder. kabul görmüştür. öğrenmeleri ve kullanmaları veya bu arayüzü geliştirilen
Bir akıllı kartın veya GDM’nin ne ölçüde güvenliğe olduğu Akıllı Kart Kripto Kütüphanesi: Programcının akıllı karta yazılımdan soyutlayan yardımcı kütüphaneler kullanmaları
sahip olduğu Ortak Kriter veya FIPS sertifikasına bakılarak erişmesini sağlayan, imzalama, şifreleme gibi işlemleri gerekir.
anlaşılabilir. Türkiye’deki e-imza mevzuatına göre bir e-imza yaptırabileceği fonksiyonların bulunduğu kütüphanelerdir.
2
oluşturma aracının en az Ortak Kriterler EAL4+ düzeyinde Bunlardan en yaygını olan PKCS#11 standardı ile uyumlu
veya en az FIPS 140-2 Level 3 düzeyinde olduğunu kütüphane genellikle açık kaynak kodlu ürünlerin ve Java
belgelendirmek zorunludur. platformunun akıllı karta erişim için tercih ettiği kütüphane
tipidir. PKCS#11 kütüphaneleri, platform bağımsız akıllı kart
Akıllı kartların ve GDM’lerin güvenlik testleri yapılırken çok uygulaması geliştirmek için Windows, Linux, Mac OS gibi farklı
çeşitli yöntemler kullanılır. Bu yöntemler arasında tasarım ve ortamlarda kullanılabilir. Diğer kütüphane tipi ise Microsoft
kaynak kod gözden geçirme, nüfuz testleri (penetration test), CAPI uyumlu kütüphanedir. Bu tip kütüphaneler, Microsoft
fiziksel saldırı (örneğin: odaklanmış iyon demedi - focused Windows işletim sistemi üzerinde kullanılmak üzere, Microsoft
ion beam), yan kanal analizi vb sayılabilir.
firması tarafından tanımlanmış standarda uygun yazılmıştır.
6. İŞLETİM SİSTEMLERİ İLE ENTEGRASYON
Akıllı kartların ve kart okuyucuların işletim sistemleri ile
beraber çalışabilmesi için Şekil 2’de gösterilen mimariye benzer 1 Personal Computer Smartcard Consortium tarafından yayınlanmış standarttır.
bir yapı kullanılır. Daha fazla bilgi için: http://www.pcscworkgroup.com/.
2 Public Key Cryptography Standards: RSA firması tarafından yayınlanmış ve 1’den
15’e kadar numaralandırılmış açık anahtar altyapısı ile ilgili standartları ifade eder. Daha
fazla bilgi için: http://www.rsa.com/rsalabs/node.asp?id=2124.
74 Sayı 05 Ocak-Nisan 2011 http://www.bilgem.tubitak.gov.tr/ 75
·