Mustafa BAŞAK  Akıllı Kartlar ve Uygulamaları: Ortak Kriter Güvenlik Sertifikasının Alınması

                              kart ürününe uygulanan testlerin        KAYNAKÇA

 Değerlendirme  Geliştirici  Sertifika  Sertifika  sonucuna göre güvenlik seviyesini
 Hedefi  Sağlayıcı            belirten bir CC sertifikası verilmektedir.  [1]  W. Rankl, W. Effing, Smart Card Handbook, Giesecke &
                              CC sertifikasına sahip bir ürün,       Devrient Gmbh, Munich, Germany, 2003
                              geliştirme süreci gereklerini ve güvenlik  [2]  K. E. Mayes, K. Markantonakis, Smart Cards, Tokens,
                              kıstaslarını sağlamış bir ürün olarak  and Applications, University of London, UK, 2008
                              değerlendirilir.
 Raporlar  Dağıtıcılar  Değerlendirme  Raporlar                       [3]   S. Mangard, E. Oswald, T. Popp, Power Analysis Attacks,
 Laboratuvarı
           Türkiye’de CC testleri, Türk Standartları Enstitüsü’nün (TSE)  Graz University of Technology Graz, Austria, 2007
          onay verdiği test laboratuvarlarında gerçekleştirmektedir.
          TÜBİTAK-BİLGEM bünyesinde, Ortak Kriterler Test Merkezi
          (OKTEM) olarak adlandırılan bir test merkezi bulunmaktadır.
 Koruma  Güvenlik  Gözlemci  Sponsor
 Profili  Hedefi  CC sertifikalandırma sürecinde, sürecin sağlıklı yürüyebilmesi
          amacıyla değişik birimler oluşturulmuştur. Bu birimler ve
 Şekil 3.  Değerlendirme rolleri.  birimlerin ilişkileri Şekil – 3’deki şemada belirtilmiştir. Bu
          şemadaki birimlerin Türkiye’deki karşılıkları şu şekilde
 6. Ortak Kriterler (Common  Günümüzde Türkiye’nin de dahil olduğu  (methodically designed, tested and  belirtilebilir:,

 Criteria, CC) ve Akıllı Kart  birçok ülke, EAL 4 seviyesi ile EAL 7  reviewed),  Sertifika sağlayıcı = TSE,
 seviyesi arasındaki güvenlik seviyelerini
 Güvenlik Sertifikasının  kabul edilebilir seviye olarak  •  EAL5 – Yarı resmi olarak tasarlanmış,  Değerlendirme laboratuvarı = OKTEM,

 Alınma Süreci  onaylamaktadırlar.  test edilmiş (semiformally designed,  Geliştirici = TÜBİTAK-BİLGEM,
 tested),
 Akıllı kartlarda güvenlik önemli bir  Ortak kriterlerde üç çeşit değerlendirme  •  EAL6 – Yarı resmi olarak doğrulanmış,  Değerlendirme hedefi = AKiS ürünü,
 ihtiyaçtır. Akıllı kartların güvenli hizmet  bulunmaktadır;  tasarlanmış ve test edilmiş (semiformally
 sağlayabilmesi için hem akıllı kart  •  Koruma Profili (Protection Profile-PP),  verified, designed and tested),  Sponsor ve Gözlemci = Ürünü kullanan veya kullanacak olan
 yongasının hem de yonga üzerinde  kişiler.
 bulunan işletim sistemi ve uygulamaların  •  Güvenlik Hedefi (Security Target-ST),  •  EAL7 – Resmi olarak doğrulanmış ve  Elektronik Kimlik Dağıtım Sistemi (EKDS) projesi için
 uyması gereken kurallar bulunmaktadır.  test edilmiş tasarım (formally verified  “Sponsor” ve “Gözlemci”  rollerinde Nüfüs Vatandaşlık İşleri
 Bu kurallar ilk olarak “TCSEC standard  •  Ürün veya Sistem değerlendirmesi.  design and tested).  müdürlüğü  (NVI) bulunmaktadır.
 - Trusted Computing Security Evaluation  Koruma Profili, belirli güvenlik  EAL1 en düşük güvenlik seviyesini, EAL7
 Criteria” adıyla 1985 yılında ABD’de  hedeflerinin tanımlandığı ve yetkili otorite  ise en yüksek güvenlik seviyesini  Günümüzde güvenlik gereksiniminden dolayı akıllı kartlar
 yayınlanmıştır. Bu standartta güvenlik,  göstermektedir.  için hem platform olarak adlandırılan donanım, hem de işletim
 minimum koruma (D) seviyesi ile  tarafından onaylanmış “güvenlik gereği  sistemi ve üzerinde çalışan yazılımlar için güvenlik testleri
 doğrulanmış tasarım (A1) seviyesi arasında  paketleri” olarak yorumlanabilir. Akıllı  6.1. Akıllı Kartların Ortak  uygulanarak CC sertifikası alınması bir zorunluluktur. Çeşitli
 derecelendirilmektedir. Avrupada güvenlik  kartların bir koruma profiline göre  Kriterler Değerlendirme Süreci  akıllı kart uygulamaları için, sağlanması gereken en düşük
 standartları ile ilgili çalışmalar 1990’larda  değerlendirilmesi zorunlu değildir. Buna  güvenlik seviyeleri belirlenmiştir. Örneğin akıllı kart donanım
 başlamıştır. Bu yıllarda  İngiltere, Almanya  karşın Güvenlik Hedefi değerlendirmesi  Akıllı kart ve benzeri şifreleme  platformu olarak, CC EAL 5+ onayı almış yüksek güvenliğe
 ve Fransa’nın öncülüğünde “ITSEC –  zorunludur.  cihazlarının güvenlik seviyesi üzerinde  sahip yongaların (örneğin SLE66CLX800PE veya P5CD081
 Information Technology Security  Ortak Kriterler güvenlik dereceleri,  fikir birliği sağlamak için birçok çalışma  gibi tümdevrelerin) kullanılması ve üzerinde en az CC EAL
          4+ güvenlik seviyesine sahip bir işletim sisteminin bulunması
 Evaluation Criteria” adı ile yeni bir  aşağıda belirtilen 7 seviyededir (Common  yapılmış ve CC Değerlendirmeleri  zorunludur. Türkiye Cumhuriyeti Ulusal Elektronik Kimlik
 güvenlik standartı oluşturulmuştur.  kapsamında, uyulması gereken bazı
 Criteria, CC);  Kartları için de bu seviyeler benimsenmiştir.
 Ortak Kriterlerin ilk resmi sürümü 1996  kurallar tanımlanmıştır. Bu çalışmalar  Önceki konu başlıklarında açıklanan uygulamalar için gerekli
 yılında Avrupa, ABD ve Kanada tarafından  •  EAL1 – İşlevsel olarak test edilmiş  sonucunda CC kapsamında 7 güvenlik  görülen güvenlik seviyeleri farklı olabilir. Örneğin ödeme
 seviyesi oluşturulmuştur. CC testleri
 onaylanmış ve 1998 yılında ikinci sürümü  (functionally tested),  sistemlerinde kullanılan donanımlar için CC EAL 5+ seviyesinde
 çıkarılmıştır. Ortak kriterler 1999 yılında  •  EAL2 – Yapısal olarak test edilmiş  sonrasında, test edilen donanım veya  güvenlik gerekirken uygulama ve işletim sistemleri için EMV
 ISO-15408 standartına dahil olmuştur.  (structurally tested),  yazılımlara sağladığı güvenlik seviyesine  onayı yeterli görülmektedir. Çünkü ödeme sistemi ile ilgili
 göre CC sertifikası verilerek ürünün ne
 Günümüzde geçerli olan sürümler 2.3  riskler EMV üyesi kuruluşların sorumluluğundadır.
 sürümü ve 2008 yılında çıkarılan 3.1  •  EAL3 – Yöntemsel olarak denetlenmiş,  kadar güvenli olduğu ifade edilmektedir.  Derginin ilk sayısından bu yana “Akıllı Kartlar ve Uygulamaları”
 sürümüdür. Ortak Kriterler ile ilgili  test edilmiş (methodically tested, checked),  Akıllı kart ürünlerinin CC güvenlik  yazı dizisiyle karşınızda olduk. Bu sayı ile diziyi noktalıyoruz.
 dokümanlar, internette bulunan ortak  seviyesi, ortak kriterler test merkezlerinde  İlginiz için teşekkür eder, ileriki sayılarda başka yazılarda
 kriter portalından ücretsiz olarak  •  EAL4 – Yöntemsel olarak tasarlanmış,  belirlenmektedir. Bu merkezlerde akıllı  görüşmek dileğiyle esenlikler dilerim.
 indirilebilmektedir.  test edilmiş ve gözden geçirilmiş

 82  Sayı 05   Ocak-Nisan 2011  http://www.bilgem.tubitak.gov.tr/  83
 ·