Mustafa BAŞAK  Akıllı Kartlar ve Uygulamaları: Ortak Kriter Güvenlik Sertifikasının Alınması

 1. PKI (AAA) Uygulaması  •  İnkâr edilemezlik hizmeti sağlar,  2. Vatandaşlık Kartı (e-kimlik) Uygulaması  2.2. Elektronik Kimlik Kartları (eID) için Akıllı
                                                                     Kart İşletim Sistemleri
 Akıllı kart kullanılarak gerçekleştirilen PKI (Public Key  •  Asimetrik şifreleme yöntemi ile elde edilir.  Vatandaşlık kartı uygulaması, vatandaşın devlet hizmetlerinden
 Infrastructure - Açık Anahtar Altyapısı - AAA) uygulamaları ile  Şekil – 1’de, sayısal imza atılması ve bu imzanın doğrulaması  kolaylıkla yararlanmasını sağlamak amacıyla gerçekleştirilen  Elektronik kimlik kartları için tasarlanan işletim sistemlerinin,
 ilgili teknik bilgiler, yazı dizimizin dördüncü bölümünde ayrıntılı  adımlarının uygulandığı bir sayısal imzalama .akışı verilmiştir.  bir uygulamadır. Bu uygulamada vatandaşlık kartı, vatandaş  elektronik kimlik uygulamalarını çalıştıracak yapıda olması
 olarak verilmişti. Bu bölümde, uygulamada akıllı kart üzerinde  ile devleti birbirine bağlayan bir araçtır. Bu aracın çalınmaya  gerekir. Elektronik kimlik uygulamalarında sağlanması gereken
 gerçekleştirilen işlemler ele alınacaktır.  PKI uygulaması, kişiye güvenilir ve hukuksal geçerliliği  ve kopyalanmaya karşı güvencede olması, önde gelen  standart, ISO 7816 (1-4), 8, 9 standardıdır. Bu standardı
 bulunan bir kurum tarafından sayısal imza sertifikası verilmesi  gereklerden biridir. Vatandaşlık kartı uygulamasının, üzerinde  sağlayan kimlik kartları, uygulaması sonradan yüklenebilir
                                                                     olabileceği gibi “native” olarak adlandırılan bir yapıya sahip
 ile başlar. Kurum tarafından verilen elektronik imza sertifikasının  e-kimlik uygulaması olan güvenli bir akıllı kart ile sağlanması  de olabilir. Son zamanlarda uygulaması sonradan yüklenebilen
 kullanılabilmesi için, bir akıllı kart içerisine güvenli olarak  önerilir. Bu nedenle akıllı kart üzerindeki e-kimlik uygulaması,  kartlar yerine native olarak tanımlanan kartlar çalışma hızı ve
 yüklenmesi gerekir. Yüklenen sertifika ile kişiselleştirilen akıllı  ülkeler için önemli bir gereksinim olarak ortaya çıkmaktadır.  güvenlik gerekçeleri ile daha fazla tercih edilmektedir.
 kartın sahibi tarafından kullanılabilmesi için PIN (Personal  Bu uygulamanın güvenliğini sağlamak, kartın sağlayıcısı olan
 Identification Number – Kişisel Tanımlama Numarası) koruması  devlete düşmektedir. Ayrıca, bazı evrensel uygulamalarda  2.3. Elektronik Kimlik Kart (eID) Uygulamalarının
 uygulanır. Kişinin atacağı sayısal imzanın yalnızca sertifika  ülkelerin başka ülke vatandaşlarının kimliklerini doğrulaması  Özellikleri
 sahibinin bileceği bir bilgi olan PIN girildikten sonra atılabilmesi  zorunluluğundan dolayı (örneğin elektronik pasaport
 imzayı atan kişiye sorumluluk yükler. Kullanıcının, kişisel PIN  uygulaması) elektronik kimlik kartı uygulamalarında uluslararası  Elektronik kimlik kartı uygulamaları için bir standart
 PKI uygulaması, dokümanların elektronik ortamda sayısal  numarası ve sertifikası ile imzalanmış bir belgeyi inkar etmesi,  standartlara uyulmasını zorunlu hale gelmektedir. Bu türdeki  bulunmamaktadır ve ülkeler kendi gereksinimlerine göre
                                                                     tanımlarlar. Ancak bazı ülkeler temassız kimlik kartları için
 imza (elektronik imza) ile imzalanması ve/veya imzalanmış  hukuksal bir geçerlilik taşımaz.  uygulamalarda, ülkeler karşılıklı olarak birbirlerinin elektronik  ICAO’nun tanımlamış olduğu ICAO 9303 standartını
 dokümanların geçerlenmesi için tasarlanmış bir akıllı kart  PKCS#15 veri yapısının, sayısal imza uygulama yazılımının,  kimlik kartlarına güvenirler. Kimlik hırsızlığı, tüm dünyada  kullanmaktadır. Ayrıca bazı ülkeler, özel gereksinimleri
 uygulamasıdır. Bu uygulamanın amacı, elektronik ortamdan  hukuksal geçerliliği olan X509 standardında bir sertifikanın,  önüne geçilmesi gereken önemli bir sorundur ve modern ulusal  doğrultusunda bazı ek düzenlemeler yapmaktadırlar. Örneğin,
 gelen bir dokümanın doğru kişiden ve değişikliğe uğramadan  kişinin asimetrik özel anahtarının ve PIN akıllı kart içerisine  kimlik kartları, bu sorunun çözümüne katkı sağlamak üzere  Almanya biometrik verinin korunması için PACE güvenlik
 geldiğinden emin olunmasıdır. Sayısal imza, ıslak imzadan  yüklenmiş olması, kişinin doküman imzalayabilmesi veya  tasarlanmışlardır. Modern elektronik kimlik kartları, üzerinde  algoritmasını geliştirmiştir. Bu algortimayı uygulamalarında
 daha yüksek bir güvenlik sağlar.  bir yonga ve yonga içerisinde kişiye özel sertifikayı barındıran  kullanmaktadır.
 imzalanan bir dokümanı onaylabilmesi için yeterlidir. Ancak,  akıllı kartlar olarak tanımlanabilir. Bu akıllı kartlar, uluslararası
 Sayısal imza, imzalanacak dokümanın (veya mesajın), imzalayan  akıllı kartı kullanarak imzalama veya imza onaylama işlemini  geçerliliği bulunan birçok güvenlik testlerinden geçirilerek  Özetle; kimlik uygulamaları aşağıdaki işlevleri gerçekleştiren
 kişinin asimetrik özel anahtarıyla kriptolanması ile elde edilir.  gerçekleştirecek olan yazılımın (cihazın) bu işlemi yaptırabilmesi  onaylanmış yonga ve bu yongalar üzerinde koşan akıllı kart  bir çeşit elektronik kimlik doğrulama uygulaması olarak
 Sayısal imza, elektronik ortamdaki dokümanın sonuna eklenir  için, PKCS#11 sayısal imza arayüz standardını desteklemesi  işletim sistemi ile işletim sisteminin çalıştırdığı e-kimlik  görülebilir:
 ve aşağıdaki özelliklere sahiptir:  gerekir.  uygulamasını içerir.   •  Karşılıklı asıllama işlevleri (Mutual authentication functions),

 •  Elektronik ortamdaki dokümanın gönderildiği kişinin,  Akıllı kartlarda, işletim sistemi tarafından çalıştırılacak olan  2.1. Elektronik Kimlik Kartları (eID) için Kullanılan Yonga  •  Sayısal imza işlevleri,
 mesajı gönderenin kimliğini doğrulamasını ve dokümanın  PKI uygulama yazılımının da güvenliği belgelenmiş bir yazılım  Donanımları
 değiştirilmediğini teyit edebilmesini sağlar,  olması ve akıllı kart dışında bulunan yazılımsal arayüzlerinin  •  Biyometrik bilginin saklanması işlevi,
 de güvenlik kriterlerine uygun şekilde tasarlanmış olması  Yonga üreticisi büyük firmalar kimlik, iletişim ve ödeme
 gerekir.  sistemi uygulamaları için farklı ürünler geliştirmişlerdir. Ödeme  •  Kişisel bilgilerin depolanması işlevi,
          sistemlerinde kullanılan ve EMV (Europay, MasterCard, Visa)  •  E-devlet, elektronik oy kullanma vb. için gerekli işlevler.
          olarak adlandırılan akıllı kart yongaları VISA ve MASTERCARD
 Sayısal (Elektronik) İmza  kuruluşları tarfından sertifikalandırmaktadır.  2.4. Elektronik Kimlik Kartları (eID) için Uluslar
 Açık Mesaj  Açık Mesaj                                              Arası Standartlar
           Kimlik kartları ile ilgili yongalarda yapısal güvenlik önemli
          bir gereksinimdir. Bu yongaların güvenliğinin onaylanması   Ulusal kimlik kartlı uygulamalarında aşağıdaki standartlara
 Kızılay şubesi 1004  Kızılay şubesi 1004
 numaralı hesabımdan  numaralı hesabımdan  için Ortak Kriterler (Common Criteria – CC) olarak adlandırılan  uyulması önerilir:
 2 milyar TL’yi EFT ile  2 milyar TL’yi EFT ile
 97340 no’lu hesaba  97340 no’lu hesaba  kriterlerin sağlanması ve bu durumun bir laboratuvar tarafından
 gönderin.  Açık ve İmzalı  gönderin.                                 •  ISO/IEC 7816, ISO 7816 akıllı kart tabanlı elektronik
 Mesaj  x  geçerlenmesi gerekir. eID kartlarında kullanılacak yongaların  kimlik kartları ile ilgili standart.
          donanımlarının CC EAL 5+ seviyesinde güvenlik sertifikasına
 +  Kızılay şubesi  =?  sahip olması gerektiği konusunda ortak bir görüş oluşmuş  •  ISO/ IEC 7810 eID kartların fiziksel standardı.
 1004 numaralı
          durumdadır.
 Göndericinin  hesabımdan 2                                           •  ISO/ IEC 10373-3 eID kartların test yöntemleri standardı.
 Özel Anahtarı  milyar TL’yi EFT
 ile 97340 no’lu  Elektronik kimlik kartlarında kullanılacak yonganın en az 48
 hesaba gönderin.  Göndericinin                                       •  ISO/ IEC 18013 part 1-3 sürücü belgesi standardı.
 İMZALAMA  Mesajın  Açık Anahtarı  Kbyte EEPROM, 6 Kbyte RAM bellek kapasitesine ve 12 MHz
 ALGORİTMASI  İmzası  Mesajın  veya üzeri bir işlemci hızına sahip olması gerektiği pratikte  •  ICAO Doc9303 standardı (bu standart daha çok seyahat
 İmzası
 ONAYLAMA
 ALGORİTMASI  varılan bir sonuçtur. Ayrıca, yonga üzerinde yardımcı bir işlemci  belgesi standartı olarak yayınlanmasına karşın elektronik
          olarak 3DES ve RSA şifre birimlerinin bulunması sayısal imza  pasaport ve temassız elektronik kimlik kartları içinde
          ve  kimlik doğrulama işlemleri için gereklidir.            kullanılabilen bir standarttır).
 Şekil 1.  Sayısal imzalama tekniği.

 78  Sayı 05   Ocak-Nisan 2011  http://www.bilgem.tubitak.gov.tr/  79
 ·