Ersin GÜLAÇTI  Elektronik İmza: E-İmza Oluşturma Araçları

 GDM donanımları, çok sayıda e-imza işlemi yapan kurumların  Şekil 2’de gösterilen kart okuyucu-akıllı kart haberleşmesi
 tercih ettiği, e-imza oluşturma araçlarıdır. Örneğin elektronik  Bilgisayar  APDU komut seti ile yapılır. APDU (Application Protocol Data
 sertifika hizmet sağlayıcıları, aboneleri için e-fatura üreten  E-imza Uygulaması  Unit) okuyucu ile akıllı kartın arasındaki haberleşmeyi sağlayan
 firmalar GDM kullanırlar.  bir veri yapısıdır. APDU’nun yapısı ISO-7816 standartında
         tanımlanmıştır.
 Donanım güvenlik modülleri iki temel tipte yer alır:
 PKCS 11 Uyumlu Kart  Microsoft CAPI Uyumlu  Sertifika
 Kripto Kütüphanesi  Kart Kripto Kütüphanesi  Deposu
 Adanmış modeller : Bu modeller  (Sadece Windows)
 sadece bir bilgisayara bağlı olarak  7. YAZILIM GELİŞTİRME
 çalışır. PCI kart seklinde veya
 PKCS Kütüphanesi  E-imza oluşturmak için yazılım geliştirenlerin en temel ihtiyacı,
 bilgisayardaki bir SCSI kontrol
 kartına bağlanan, harici cihaz  bilgisayara takılı akıllı kart okuyucuları ve bunların içindeki
 seklinde olan modeller vardır.  akıllı kartları doğru bir şekilde tespit edip kullanmaktır.
 USB veya Seri G/Ç Araryüzü  Bilgisayara takılı kart okuyucular genellikle PC/SC katmanının
 Ağ modelleri : Bu tür GDM’ler  sunduğu fonksiyonlar ile tespit edilebilir. Akıllı kart okuyucular
 kendi başlarına çalışan ve ağ ara  tespit edildikten sonra akıllı karta erişilmek istendiğinde iki
 yüzüne sahip cihazlardır. Genellikle  seçenek karşımıza çıkar. Bunlar; APDU komutları ve kart kripto
 bir yerel alan ağı (LAN) üzerinde  kütüphanesidir.
 Akıllı Kart Okuyucu  Akıllı Kart
 çalışan birden fazla bilgisayar  Uygulama geliştiriciler herhangi bir Akıllı Kart Kripto
 tarafından kullanılırlar.  APDU Komutları
         Kütüphanesi kullanmadan doğrudan APDU komutlarıyla akıllı
 Şekil 2.  AkıllıKart - İşletim Sistemi ilişkisi.  karta hükmedebilirler. Ancak bu yöntem,  farklı akıllı kartların
 5. GÜVENLİK
         komut setlerine göre, farklı işlemler yapmayı gerektirir. Bu
 Akıllı kartların ve güvenli donanım modüllerinin e-imza, şifre  Bir akıllı kartın işletim sisteminde kullanılabilmesi için  nedenle genellikle en yaygın kart kripto kütüphanesi tipi olan
 çözme vb kripto işlemlerinde kullanılan özel anahtarları güvenli  aşağıdaki yazılımların yüklenmiş olması gerekmektedir.  PKCS#11 kütüphaneleri üzerinden akıllı kartların yönetilmesi
 olarak saklamaları ve kullandırmaları çok önemlidir. Bu nedenle  Akıllı Kart Okuyucu Sürücüsü: Bilgisayara bağlanan tüm  tercih edilir. Ayrıca HSM cihazlarının genellikle APDU komut
 bu tür ürünlerin çeşitli güvenlik testlerinden geçmeleri ve bu  cihazlar gibi akıllı kart okuyucu için de bir sürücü yüklenmesi  seti desteği yoktur. Bu nedenle, GDM cihazlarına erişimde de,
 durumu belgelendirmeleri istenir. Bu güvenlik testlerinin en  gereklidir. Bu sürücü bilgisayarın giriş-çıkış sistemi üzerinden  Akıllı Kart Kripto Kütüphanesi kullanılması yaygın bir
 bilinenleri Ortak Kriterler (Common Criteria) ve FIPS (Federal  haberleşmeyi sağlar.  yaklaşımdır.
 Information Processing Standards) olarak sayılabilir. Ortak  PKCS#11 kütüphaneleri her ne kadar kullanılan akıllı kart
 Kriterler testleri, Türkiye’nin de sertifika üreticisi olarak içinde  İşletim Sistemi Akıllı Kart Bileşenleri: Windows işletim  markasından bağımsız olarak yazılım geliştirmeyi mümkün
 bulunduğu uluslar arası bir anlaşmaya taraf 15 üretici ve 11  sisteminde ve Linux dağıtımlarında hazır olarak gelen akıllı  kılsa da çok basit bir yapıya sahip değildirler. Bu nedenle, e-
 tüketici ülke tarafından kabul görmüştür. FIPS ise ABD  kart erişim altyapısı kullanılır. Bu altyapı için PC/SC  standardı  imza yazılımı geliştirenlerin, PKCS#11 standardını çok iyi

 tarafından ortaya konan standartları tarif eder.  kabul görmüştür.  öğrenmeleri ve kullanmaları veya bu arayüzü geliştirilen
 Bir akıllı kartın veya GDM’nin ne ölçüde güvenliğe olduğu  Akıllı Kart Kripto Kütüphanesi: Programcının akıllı karta  yazılımdan soyutlayan yardımcı kütüphaneler kullanmaları
 sahip olduğu Ortak Kriter veya FIPS sertifikasına bakılarak  erişmesini sağlayan, imzalama, şifreleme gibi işlemleri  gerekir.
 anlaşılabilir. Türkiye’deki e-imza mevzuatına göre bir e-imza  yaptırabileceği fonksiyonların bulunduğu kütüphanelerdir.
 2
 oluşturma aracının en az Ortak Kriterler EAL4+ düzeyinde  Bunlardan en yaygını olan PKCS#11   standardı ile uyumlu
 veya en az FIPS 140-2 Level 3 düzeyinde olduğunu  kütüphane genellikle açık kaynak kodlu ürünlerin ve Java
 belgelendirmek zorunludur.  platformunun akıllı karta erişim için tercih ettiği kütüphane
 tipidir. PKCS#11 kütüphaneleri, platform bağımsız akıllı kart
 Akıllı kartların ve GDM’lerin güvenlik testleri yapılırken çok  uygulaması geliştirmek için Windows, Linux, Mac OS gibi farklı
 çeşitli yöntemler kullanılır. Bu yöntemler arasında tasarım ve  ortamlarda kullanılabilir. Diğer kütüphane tipi ise Microsoft
 kaynak kod gözden geçirme, nüfuz testleri (penetration test),  CAPI uyumlu kütüphanedir. Bu tip kütüphaneler, Microsoft
 fiziksel saldırı (örneğin:  odaklanmış iyon demedi - focused  Windows işletim sistemi üzerinde kullanılmak üzere, Microsoft
 ion beam), yan kanal analizi  vb sayılabilir.
 firması tarafından tanımlanmış standarda uygun yazılmıştır.
 6. İŞLETİM SİSTEMLERİ İLE ENTEGRASYON

 Akıllı kartların ve kart okuyucuların işletim sistemleri ile
 beraber çalışabilmesi için Şekil 2’de gösterilen mimariye benzer     1    Personal Computer Smartcard Consortium tarafından yayınlanmış standarttır.
 bir yapı kullanılır.  Daha fazla bilgi için: http://www.pcscworkgroup.com/.
    2    Public Key Cryptography Standards: RSA firması tarafından yayınlanmış ve 1’den
 15’e kadar numaralandırılmış açık anahtar altyapısı ile ilgili standartları ifade eder. Daha
 fazla bilgi için: http://www.rsa.com/rsalabs/node.asp?id=2124.

 74  Sayı 05   Ocak-Nisan 2011  http://www.bilgem.tubitak.gov.tr/  75
 ·