Page 85 - bilgem-teknoloji-dergisi-5
P. 85
Mustafa BAŞAK Akıllı Kartlar ve Uygulamaları: Ortak Kriter Güvenlik Sertifikasının Alınması
kart ürününe uygulanan testlerin KAYNAKÇA
Değerlendirme Geliştirici Sertifika Sertifika sonucuna göre güvenlik seviyesini
Hedefi Sağlayıcı belirten bir CC sertifikası verilmektedir. [1] W. Rankl, W. Effing, Smart Card Handbook, Giesecke &
CC sertifikasına sahip bir ürün, Devrient Gmbh, Munich, Germany, 2003
geliştirme süreci gereklerini ve güvenlik [2] K. E. Mayes, K. Markantonakis, Smart Cards, Tokens,
kıstaslarını sağlamış bir ürün olarak and Applications, University of London, UK, 2008
değerlendirilir.
Raporlar Dağıtıcılar Değerlendirme Raporlar [3] S. Mangard, E. Oswald, T. Popp, Power Analysis Attacks,
Laboratuvarı
Türkiye’de CC testleri, Türk Standartları Enstitüsü’nün (TSE) Graz University of Technology Graz, Austria, 2007
onay verdiği test laboratuvarlarında gerçekleştirmektedir.
TÜBİTAK-BİLGEM bünyesinde, Ortak Kriterler Test Merkezi
(OKTEM) olarak adlandırılan bir test merkezi bulunmaktadır.
Koruma Güvenlik Gözlemci Sponsor
Profili Hedefi CC sertifikalandırma sürecinde, sürecin sağlıklı yürüyebilmesi
amacıyla değişik birimler oluşturulmuştur. Bu birimler ve
Şekil 3. Değerlendirme rolleri. birimlerin ilişkileri Şekil – 3’deki şemada belirtilmiştir. Bu
şemadaki birimlerin Türkiye’deki karşılıkları şu şekilde
6. Ortak Kriterler (Common Günümüzde Türkiye’nin de dahil olduğu (methodically designed, tested and belirtilebilir:,
Criteria, CC) ve Akıllı Kart birçok ülke, EAL 4 seviyesi ile EAL 7 reviewed), Sertifika sağlayıcı = TSE,
seviyesi arasındaki güvenlik seviyelerini
Güvenlik Sertifikasının kabul edilebilir seviye olarak • EAL5 – Yarı resmi olarak tasarlanmış, Değerlendirme laboratuvarı = OKTEM,
Alınma Süreci onaylamaktadırlar. test edilmiş (semiformally designed, Geliştirici = TÜBİTAK-BİLGEM,
tested),
Akıllı kartlarda güvenlik önemli bir Ortak kriterlerde üç çeşit değerlendirme • EAL6 – Yarı resmi olarak doğrulanmış, Değerlendirme hedefi = AKiS ürünü,
ihtiyaçtır. Akıllı kartların güvenli hizmet bulunmaktadır; tasarlanmış ve test edilmiş (semiformally
sağlayabilmesi için hem akıllı kart • Koruma Profili (Protection Profile-PP), verified, designed and tested), Sponsor ve Gözlemci = Ürünü kullanan veya kullanacak olan
yongasının hem de yonga üzerinde kişiler.
bulunan işletim sistemi ve uygulamaların • Güvenlik Hedefi (Security Target-ST), • EAL7 – Resmi olarak doğrulanmış ve Elektronik Kimlik Dağıtım Sistemi (EKDS) projesi için
uyması gereken kurallar bulunmaktadır. test edilmiş tasarım (formally verified “Sponsor” ve “Gözlemci” rollerinde Nüfüs Vatandaşlık İşleri
Bu kurallar ilk olarak “TCSEC standard • Ürün veya Sistem değerlendirmesi. design and tested). müdürlüğü (NVI) bulunmaktadır.
- Trusted Computing Security Evaluation Koruma Profili, belirli güvenlik EAL1 en düşük güvenlik seviyesini, EAL7
Criteria” adıyla 1985 yılında ABD’de hedeflerinin tanımlandığı ve yetkili otorite ise en yüksek güvenlik seviyesini Günümüzde güvenlik gereksiniminden dolayı akıllı kartlar
yayınlanmıştır. Bu standartta güvenlik, göstermektedir. için hem platform olarak adlandırılan donanım, hem de işletim
minimum koruma (D) seviyesi ile tarafından onaylanmış “güvenlik gereği sistemi ve üzerinde çalışan yazılımlar için güvenlik testleri
doğrulanmış tasarım (A1) seviyesi arasında paketleri” olarak yorumlanabilir. Akıllı 6.1. Akıllı Kartların Ortak uygulanarak CC sertifikası alınması bir zorunluluktur. Çeşitli
derecelendirilmektedir. Avrupada güvenlik kartların bir koruma profiline göre Kriterler Değerlendirme Süreci akıllı kart uygulamaları için, sağlanması gereken en düşük
standartları ile ilgili çalışmalar 1990’larda değerlendirilmesi zorunlu değildir. Buna güvenlik seviyeleri belirlenmiştir. Örneğin akıllı kart donanım
başlamıştır. Bu yıllarda İngiltere, Almanya karşın Güvenlik Hedefi değerlendirmesi Akıllı kart ve benzeri şifreleme platformu olarak, CC EAL 5+ onayı almış yüksek güvenliğe
ve Fransa’nın öncülüğünde “ITSEC – zorunludur. cihazlarının güvenlik seviyesi üzerinde sahip yongaların (örneğin SLE66CLX800PE veya P5CD081
Information Technology Security Ortak Kriterler güvenlik dereceleri, fikir birliği sağlamak için birçok çalışma gibi tümdevrelerin) kullanılması ve üzerinde en az CC EAL
4+ güvenlik seviyesine sahip bir işletim sisteminin bulunması
Evaluation Criteria” adı ile yeni bir aşağıda belirtilen 7 seviyededir (Common yapılmış ve CC Değerlendirmeleri zorunludur. Türkiye Cumhuriyeti Ulusal Elektronik Kimlik
güvenlik standartı oluşturulmuştur. kapsamında, uyulması gereken bazı
Criteria, CC); Kartları için de bu seviyeler benimsenmiştir.
Ortak Kriterlerin ilk resmi sürümü 1996 kurallar tanımlanmıştır. Bu çalışmalar Önceki konu başlıklarında açıklanan uygulamalar için gerekli
yılında Avrupa, ABD ve Kanada tarafından • EAL1 – İşlevsel olarak test edilmiş sonucunda CC kapsamında 7 güvenlik görülen güvenlik seviyeleri farklı olabilir. Örneğin ödeme
seviyesi oluşturulmuştur. CC testleri
onaylanmış ve 1998 yılında ikinci sürümü (functionally tested), sistemlerinde kullanılan donanımlar için CC EAL 5+ seviyesinde
çıkarılmıştır. Ortak kriterler 1999 yılında • EAL2 – Yapısal olarak test edilmiş sonrasında, test edilen donanım veya güvenlik gerekirken uygulama ve işletim sistemleri için EMV
ISO-15408 standartına dahil olmuştur. (structurally tested), yazılımlara sağladığı güvenlik seviyesine onayı yeterli görülmektedir. Çünkü ödeme sistemi ile ilgili
göre CC sertifikası verilerek ürünün ne
Günümüzde geçerli olan sürümler 2.3 riskler EMV üyesi kuruluşların sorumluluğundadır.
sürümü ve 2008 yılında çıkarılan 3.1 • EAL3 – Yöntemsel olarak denetlenmiş, kadar güvenli olduğu ifade edilmektedir. Derginin ilk sayısından bu yana “Akıllı Kartlar ve Uygulamaları”
sürümüdür. Ortak Kriterler ile ilgili test edilmiş (methodically tested, checked), Akıllı kart ürünlerinin CC güvenlik yazı dizisiyle karşınızda olduk. Bu sayı ile diziyi noktalıyoruz.
dokümanlar, internette bulunan ortak seviyesi, ortak kriterler test merkezlerinde İlginiz için teşekkür eder, ileriki sayılarda başka yazılarda
kriter portalından ücretsiz olarak • EAL4 – Yöntemsel olarak tasarlanmış, belirlenmektedir. Bu merkezlerde akıllı görüşmek dileğiyle esenlikler dilerim.
indirilebilmektedir. test edilmiş ve gözden geçirilmiş
82 Sayı 05 Ocak-Nisan 2011 http://www.bilgem.tubitak.gov.tr/ 83
·