Page 83 - bilgem-teknoloji-dergisi-5
P. 83
Mustafa BAŞAK Akıllı Kartlar ve Uygulamaları: Ortak Kriter Güvenlik Sertifikasının Alınması
3. e-Pasaport Uygulaması bulunan dosyalardan EF.COM dosyası başlatılmaz. Sorgulayıcı sistemin başarılı • SOD’un sayısal imzası, KPu ile doğrulanır. Böylece Sorgulayıcı sistem, rastgele bir sayı üreterek “Internal
DS
pasaport içerisindeki veri gruplarının şekilde doğrulanması durumunda, SOD’un, C ’de belirtilen ülke tarafından verilmiş ve değişmemiş Authenticate” komutu verisi olarak pasaport yongasına yollar.
DS
Günümüzde, ülke giriş/çıkışlarındaki yönetilmesini, EF.SOD dosyası ise pasif pasaport yongası, okuyucu ile arasında olduğundan emin olunur. (C değeri, SOD doğrulanması için Bu rastgele sayı KPr anahtarı ile imzalanır ve sonuç sorgulayıcı
AA
denetim sağlamak amacıyla mühür ve ıslak asıllama için gerekli güvenlik bilgileri olan şifreli iletişimi başlatır. Bu şifreli iletişimde kullanılmadan önce KPu DS sisteme geri yollanır. Sorgulayıcı sistem KPu anahtarı ile
ile doğrulanır)
AA
imza içeren defter tipi klasik pasaportların SOD (Security Object Data) içerir. kripto anahtarı olarak, elde edilen K ENC CSCA gelen imzayı doğrular ve elektronik pasaport yongası bu şekilde
kullanımı yaygın bir uygulamadır. ve K MAC anahtarları kullanılır. • Sorgulayıcı sistem LDS içerisinden ilgili veri gruplarını asıllanmış olur.
Elektronik pasaport uygulamasında ise 3.1. Elektronik Pasaportlarda okur.
klasik pasaport defteri özelliklerine ek Güvenlik 3.1.2. Genişletilmiş Erişim Denetimi • Veri gruplarının özeti alınır ve SOD’daki özetle karşılaştırılır. 4. Ödeme Sistemleri (EMV) Uygulamaları
olarak elektronik bir yonga eklenmesi söz (Extended Access Control - EAC) Hesaplanan ve SOD’dan okunan özetlerin aynı olması
konusudur. Elektronik pasaport Elektronik pasaportlarda güvenliğin Genişletilmiş erişim denetimi, elektronik durumunda verilerin asıl ve değişmemiş olduğu doğrulanmış Akıllı kart teknolojisi, ilk kez ödeme sistemi uygulamalarında
uygulaması, işlemlerin daha güvenli, daha sağlanması için çeşitli yöntemler pasaportta yer alan yonga içerisindeki olur. kullanılmıştır. Bu uygulamalar daha çok EMV (Europay,
hızlı ve kolayca gerçeklenmesini kullanılmaktadır. Bu yöntemler Temel biyometrik verilere (parmak izi, iris motifi) MasterCard, Visa) uygulaması olarak adlandırılır ve akıllı
sağlayacaktır. Yonga içeren pasaportların Erişim Denetimi (BAC), Genişletilmiş yetkisiz erişimin engellenmesi için 3.1.4. Etkin Asıllama (Active Authentication - AA) kartların kredi kartı üzerinde kullanıma sunulduğu
ön yüzünde pasaportun elektronik Erişim Denetimi (EAC), Pasif Asıllama kullanılır. EAC uygulaması, BAC uygulamalardır. Bu uygulamalarda uluslarası bankacılık için
olduğuna ilişkin olarak, Şekil–2’de (PA) yöntemi ve Etkin Asıllama (AA) uygulamasına benzemektedir, ancak bu Etkin asıllama yöntemi, elektronik pasaport içerisinde bulunan kabul görmüş olan EMV standardı kullanılmaktadır. Ancak
gösterilen bir sembol bulunmaktadır. yöntemidir. yonganın tamamının kopyalanmasının engellenmesi amacıyla uygulamanın sertifikalandırılması işlemi Master Card, Visa
uygulamada Doküman Temel Erişim geliştirilmiş bir yöntemdir. Bu yöntemde elektronik yongada, gibi ödeme uygulamasını geliştiren kuruluş tarafından
Elektronik pasaport uygulamasında her 3.1.1. Temel Erişim Denetimi (Basic (Document Basic Access) Anahtarları (K ENC yongaya özel etkin asıllama asimetrik anahtar çifti (KPr ve gerçekleştirilmektedir. Bu uygulamanın bulunduğu akıllı kart,
AA
ülke kendisine ait bir sertifikayı kart Access Control - BAC) ve K MAC ) yerine (Document Extended Access) KPu ) tutulur. KPu ’ya ait bilgilerin özeti de SOD’da tutulur ilgili kuruluşun logosu ile tanımlanır.
AA
AA
üzerindeki yongaya yükleyebilir ve diğer Elektronik pasaportta bulunan yonga Anahtarları kullanılır. Her bir yongada, ve pasaport sağlayıcının sayısal imzasıyla asıllanır. KPr ise
AA
ülke gümrüklerinde elektronik pasaport içerisindeki veriler yetkisiz kişiler kendine özel doküman erişim anahtarları yonganın güvenli belleğinde tutulur.
okuyucu ile yonga içeren pasaport tarafından pasaport görülmeden ve sertifika bulunmaktadır. Bu anahtar
geçerlenebilir. Ayrıca yonga üzerindeki (yanından geçerken, ‘skimming’) elektronik MRZ’deki verilerden veya ulusal bir ana Görünen (optik) MRZ’nin SOD’deki özeti alınmış MRZ ile
sertifika kullanılarak pasaport olarak okunabilir ya da yonga ile okuyucu anahtardan elde edilmiş simetrik bir asıllanması, yonga içerisindeki KPr ve KPu anahtarları
AA
AA
geçerlenebilir. Elektronik vize uygulaması arasındaki kriptosuz iletişim gizlice anahtar olabileceği gibi kart Doğrulama kullanılarak yapılan “challange-response” ile birleştirilir. Böylece
hayata geçirilmişse, verilen vizeler dinlenebilir (eavesdropping). “Yakından Sertifikası (Card Verifiable Certificate - CVC) sorgulayıcı sistem, SOD’un gerçek bir elektronik pasaporta ait Ödeme sistemi uygulamaları ticari uygulamalardır ve bu
doğrulanabilir. kullanılarak üretilmiş asimetrik bir anahtar gerçek bir yongadan okunduğunu doğrulamış olur. Bu asıllama uygulamalarda kamu kurumları için tasarlanmış akıllı kartların
okuma” olarak adlandırılan yöntemler da olabilir. EAC uygulamasında, yonganın yönteminde yonganın hesaplama yetenekleri kullanılır. kullanılması, güvenlik açısından uygun değildir. Ticari
Elektronik pasaport uygulamasına fiziksel fiziksel olarak engellenebilse de gizlice hesaplama ve şifreleme olanakları uygulamalarda, kullanılan uygulamanın geçerliliği ve riskleri
şekle ve elektronik verilere ilişkin olarak dinleme (eavesdropping) engellenemez. kullanılır. EAC yöntemi henüz pratik Etkin asıllama şu işlem adımları ile gerçekleştirilir: ticari kuruluşların sorumluluğundadır. Bu durumun tek istisnası,
“ICAO - International Civil Aviation Bu güvenlik tehditlerine karşı gizliliği olarak hayata geçirilmemiştir. Çünkü • Gözle veya optik olarak okunan MRZ verisi, Veri Grubu 5. konu başlığı altında anlatılan şehir kartı uygulaması olabilir.
Organization” kuruluşunun önerdiği korumak üzere Temel Erişim Denetimi ülkeler kendi açık anahtarlarının kullanımı 1’deki (DG1) veriler ile karşılaştırılır. DG1 verilerinin asıllığı Çünkü şehir kartında asıl amaç hizmet sunmaktır ve sunulan
standartlar kullanılmaktadır. Elektronik yöntemini kullanılabilir. Temel erişim ve dağıtımı için ortak bir yöntem ve bütünlüğü pasif asıllama ile kanıtlanmış durumda bu hizmete bağlı olarak da ticari kazanç elde etmektir. Böylece
pasaportun yongası içerinde LDS (Logical denetimi uygulanarak yanından geçerken oluşturamamışlardır. olduğundan MRZ’nin de asıllığı ve bütünlüğü kanıtlanmış olur. elektronik pasaportta bulunan özel anahtar sadece o pasaporta
Data Structure) olarak adlandırılan okuma ve gizlice dinleme yöntemleri özgü olduğundan yonga kopyalanmamış demektir.
mantıksal veri yapısında tanımlanan veriler engellenebilir. BAC yönteminde, 3.1.3. Pasif Asıllama (Passive • Pasif asıllama ile DG15’in de asıllığı ve bütünlüğü
bulunmaktadır. LDS içerisinde EF.COM, elektronik pasaport sahibinin Authentication - PA) kanıtlanmış olduğundan, KPu ’nın da asıllığı ve bütünlüğü 5. Şehir Kartları Uygulaması
AA
EF.SOD ve EF.DGx olarak tanımlanan veri pasaportunda bulunan yongadan Pasif asıllama yönteminde Güvenli Nesne kanıtlanmış olur.
grupları bulunmaktadır. Herbir veri kendisine ait bilgilerin güvenli olarak ve Verisi’nin (Security Object Data - SOD) ve Şehir kartları olarak adlandırılan kartlar, üzerinde ilgili
grubunda pasaport bilgileri ve pasaport yetkili biri tarafından okunup LDS’nin içeriklerinin değişip değişmediği SOD’un kopya olmadığından emin olmak için şu şekilde bir belediyenin belirleyeceği basit bir kimlik uygulaması ve EMV
verilen kişiye ait bilgiler gruplanarak okunmadığından haberi olur. kontrol edilir. Ancak bu yöntem ile protokol uygulanır: ödeme uygulaması olan kartlardır. Bu kartlar ile, belediye
hizmetlerine ait ödemeler kolaylıkla yapılabilir. Ayrıca
tutulmaktadır. Örneğin DG1 olarak BAC yöntemi, pasaport okuyucu ile pasaportta bulunan yonganın tamamen belediyeler, bulunduğu şehire ait şehir kartına sahip
adlandırılan birinci grup veriler, kişiye ait elektronik pasaport arasındaki iletişimin kopyalanıp kopyalanmadığı tespit vatandaşlarına verdiği hizmetlerden ücret almayabilir veya
ve makinaların okuyabileceği MRZ şifreli olarak gerçekleştirmesine dayanır. edilemez. alacağı ücrete indirimli tarife uygulayabilir.
(Machine Readable Zone) bilgilerini içerir. Bu yöntemde pasaport, sorgulayıcı
DG2 veri grubunda ise kişinin yüzünün sistemin yonganın MRZ bölgesindeki Pasif asıllamada şu işlem adımları Şehir kartları uygulamasındaki asıl amaç, belediye sınırları
fotografı bulunur. Bu fotoğraf, defter bilgilerden türetilmiş K ve K gerçekleştirilir: içerisinde yerleşik kişilerin belediyenin sağladığı ücretli
ENC
üzerinde bulunan fotoğrafla aynıdır. Bu (Document Basic Access Keys) MAC hizmetlerden nakit para taşımadan yararlanabilmesidir.
şekilde, fotoğrafın değiştirilip anahtarlarını bilip bilmediğini sorgular. • SOD bilgisi elektronik pasaport Belediyenin bu hizmeti, kartın üzerinde yüklü olan EMV
değiştirilmediği kolaylıkla tespit Bu sorgulama, bir “challange response” yongasından okunur. uygulaması ile gerçekleştirilir. Böylece ulaşım, halk ekmek,
doğal gaz, çevre temizlik vergisi v.b. hizmetlere ilişkin
edilebileceği için görsel pasaportlara göre protokolü yardımıyla, gerçekleştirilir ve • SOD’un içinden “Document Signer - e-Pasaport ödemelerin kolayca yapılabilmesi sağlanır. Ayrıca şehir kartına
sembolü
çok daha fazla güvenlik sağlanmaktadır. sorgulayıcı sistemden beklenen verinin DS” okunur (ya da o dokümana ait DS sahip olan kişi, parasal işlerini anlaşmalı bankaların ATM
Elektronik pasaport yongası içerisinde Şekil 2. Türkiye Cumhuriyeti elektronik pasaportu.
gelmemesi durumunda iletişim değeri sistem tarafından bilinmektedir). makinalarında da gerçekleştirebilir.
80 Sayı 05 Ocak-Nisan 2011 http://www.bilgem.tubitak.gov.tr/ 81
·
