E-imza Teknolojisi

TODAİE eDEVLET MERKEZİ UYGULAMALI E-İMZA SEMİNERİ 16-17 KASIM 2011
E-imza Teknolojisi
TODAİE Sunumu
Ferda Topcan
Başuzman Araştırmacı
[email protected]
(312) 4688486-19
İçerik
• Açık Anahtarlı Altyapı Teknolojisi
– Çift (Açık) Anahtarlı Algoritmalar
– Özet Algoritmaları
• Elektronik İmza
• Elektronik Sertifika ve Elektronik Sertifika Hizmet
Sağlayıcıları
2
Açık Anahtarlı Altyapı
Teknolojisi
Açık Anahtarlı Altyapılar (Public Key Infrastructure -PKI)
• Matematiksel şifreleme yöntemleri kullanılır.
• Şifreleme algoritması gizli değildir.
– Algoritmanın güvenliği, çözülmesi mümkün olmayan
matematiksel problemlere dayanır.
• Şifreleme ve şifre çözme için büyük sayı dizilerinden
oluşan 2 anahtar kullanılır.
• Güvenlik, anahtardan birisinin gizliliğine bağlıdır.
4
Çift (Açık) Anahtarlı Algoritmalar
Çift anahtarlı kriptografik algoritmaların kullanımında her kullanıcıya 2
anahtar verilir:
– Özel Anahtar: Gizli tutulması gereken bir bilgidir.
– Açık Anahtar: Gizli tutulması gerekmeyen açık bir bilgidir.
– Anahtarlar kullanılacak algoritmaya bağlı olarak birlikte oluşturulur.
– İki anahtar arasında matematiksel bir ilişki vardır. Birisi ile şifrelenen
veri sadece ve sadece diğeri ile çözülebilir.
– Açık anahtara bakarak özel anahtarın elde edilmesi mümkün
değildir.
– Üretilen her anahtar çifti eşsizdir.
5
•
RSA (Rivest Shamir Adleman)
•
DH (Diffie Hellman)
•
DSA (Digital Signature Algorithm)
•
Eliptik Eğri Algoritmaları
Algoritma Yapısı (RSA)
8437383885
3336345636
3465....6534
D
E
N
M D mod N
M
6
7747575552
5525255500
5443....9871
C
N
C E mod N
M
Özet Algoritmaları
Merhaba
Marhaba
Özet
Algoritması
3$½{2
Ü5
MD-5
€¥
SHA-1
128-bit
160-bit
1. Farklı mesajlar için farklı özetler elde edilir
2. Özet değeri mesajdan bağımsız olarak sabit uzunluktadır
3. Özetten mesaj geri elde edilemez
7
Elektronik İmza
Elektronik İmza
5070 sayılı Kanun’daki tanım:
“Başka bir elektronik veriye eklenen veya elektronik
veriyle mantıksal bağlantısı bulunan ve kimlik
doğrulama amacıyla kullanılan elektronik veri”
Yasal olmayan elektronik imzalar:
− Kağıt üzerindeki imzanın elektronik ortama
aktarılmasıyla oluşturulan resim
− Parmak izinin elektronik ortama aktarılması
− Ekrana atılan imza
− vs.. vs..
9
Kullanılan Teknoloji
Açık Anahtarlı Altyapı Teknolojisi
1. Çift anahtarlı kriptografik bir algoritma kullanılır. (RSA, DSA, vs..)
2. Özet algoritması kullanılır. (SHA, RIPEM, vs..)
Mevzuata göre kullanılabilecek çift anahtarlı kriptografik algoritmalar
ve anahtar uzunlukları:
• RSA için en az 1024 bit veya
• DSA için en az 1024 bit veya
• DSA Eliptik Eğrisi için en az 163 bit
Mevzuata göre kullanılabilecek özet algoritmaları:
• RIPEMD – 160 veya
• SHA – 1 veya
• SHA-224 veya
• SHA-256 veya
• WHIRLPOOL
10
İmza Sahibine ait Anahtarlar
Özel anahtar (imza oluşturma verisi)
“İmza sahibine ait olan, imza sahibi tarafından elektronik imza
oluşturma amacıyla kullanılan ve bir eşi daha olmayan şifreler,
kriptografik gizli anahtarlar gibi veriler”
• E-imzayı oluşturmak için kullanılır.
• Sadece kişinin kendisinde bulunur.
• Güvenli elektronik imza oluşturma aracı içinde saklanır ve bu
araçtan dışarıya çıkarılamaz.
Açık anahtar (imza doğrulama verisi)
“Elektronik imzayı doğrulamak için kullanılan şifreler, kriptografik
açık anahtarlar gibi veriler”
• E-imzayı doğrulamak için kullanılır.
• Gizli olmayan, herkese açık bir veridir.
• Elektronik sertifikanın içeriginde tutulur.
11
Elektronik İmza Mekanizması
İmzayı atan taraf
Merhaba
İletişim kanalı
Merhaba
İmzayı doğrulayan taraf
Merhaba
;+?(^!’
SHA-1
SHA-1
$½§
$½§
=?
RSA
;+?(^!’
12
$½§
RSA
;+?(^!’
Güvenlik
Bilgi Bütünlüğü
Kimlik Doğrulama
İnkar Edilemezlik
13
Elektronik imza
Elektronik Sertifika
Elektronik Sertifika
“İmza sahibinin imza doğrulama verisini ve kimlik bilgilerini
birbirine bağlayan elektronik kaydı”
Elektronik Sertifika
Hizmet Sağlayıcısı
ESHS
Adı, Soyadı
T.C. Kimlik No.
Vs.
+
Adı, soyadı
Elektronik sertifika
Kullanıcının
açık anahtarı
15
Elektronik Sertifikanın Oluşturulması
ESHS’nin
sertifikası
ESHS’nin imza
oluşturma
verisi
Adı, Soyadı
T.C. Kimlik No.
Vs.
+
Adı, Soyadı
T.C. Kimlik No.
Vs.
Elektronik İmza
İşlemi
ESHS’nin
İmzası
16
Elektronik sertifika
X.509
+
+
ESHS’nin
İmzası
ESHS Sertifika Güven Zinciri (Sertifika Patikası)
KÖK
Sertifika
Hizmet
Sağlayıcısı
ALT KÖK
Sertifika
Hizmet
Sağlayıcısı
Adı, soyadı
17
X.509 Elektronik Sertifika Standardı
• ITU-T X.509 Public Key and Attribute Certificate Framework
• İçerik
– X.509 v4 Açık Anahtar Sertifikaları
(PKC Public Key Certificates)
– Sertifika İptal Listesi v2
(CRL-Certificate Revocation List)
18
X.509 Sertifika İçeriği
• X.509
versiyon bilgisi
• Sertifika sahibinin isim bilgileri
• Seri numarası
• Geçerlilik süresi
• Sertifikayı veren kuruluş bilgileri
• Sertifikayı veren kuruluş erişim bilgileri
• Sertifika sahibinin açık anahtarı
• Anahtar kullanım amacı
• SİL ve OCSP erişim adresleri
• Sertifika İlkeleri erişim adresi
• Nitelikli elektronik sertifika ibareleri
• Sertifikayı veren kurumun elektronik imzası
19
Sertifika Veri Formatı
İkil (Binary) gösterimi
0
S
P
F
0
M
<
G
F
N
“
A
L
{
ğ
j
20
‚
i g n
r i m
G 2
o r
0
,
a
1
a
U
E R K E
Á 1 0
U
0 :
C e r t
2 1 : 0
o r
a
e t w o
Ğ
ΠV
¼
„ 4 •
œ > ğ d
ˆ ê @ ¾
Å £ j ^
Ë ¾ »
®
Õ ¾ ¯ W
Ğ
B B
‚
k
I n c .
r y
C e
: 0 8
u t h o r
T U
Z İ 0
U
i
8
u
r
º
Ù
$
s
?
‹
B
f
t
k
¾
o
A
v
’
n
|
9
1
r
U
i
Ê T ‰ ş
< 0 :
t i f i
1 (
z e d
B I T A
9 8 0 5 1
P "
U
c a
c )
u s
K
8 0
2 ş 2
3
t i o
1 9
e
o
K A M
0 0 0
U
1
A u
1
u s
† ÷
¼ v
Ó ß
?
Q a
U E
P u b l
t h o r
9 9 8
e
o n
U S
3
i c
U
h o
0
o
5 ë
¥ Í
= k
{ ã
W Ê
1
0
C l a
a t i
1
r i z
Ÿ 0
¸ ƒ Ô
R 6 n
’ ë –
«
o
ç u
ò
A
ğ 7 ©
ô
Ì ¥ x ‚ • & 8 Š G
s
o
(
e
*
Ê
u
İ
¶
s
n
c
d
†
Ò
V
ª
Ø
)
H
U
Y
{
1
C
S
n
Ù
C
n
9
n
U
0
Û û
l a s
A u
8
U
l y 1
S E
0 Z
K
i
i
U
l
A
c
t
E
y
„
0
* † H † ÷
s
1
P u b l i c
t h o r i t
E K A E ,
I n c .
-
R T I F I K A S Y O N
1 8 0 5 1 8 2 3 5 9 5 9 Z 0
E ,
P
y
K A
1
I n c . 1
r i m a r y
E ,
I n c .
0
U
Ê ” Ø
‡ !
e Š ~
½ ! Ş k 2
m ™ O í å â * Z
Á ¹ Ä ¦
¦
‡ È â · å 4 Ü
-
Ï È E ë ¦ ]
f ¾ û ® ¢
Î ’ ó ¢ 4 ‹ ´ ² ¶ $ ò å Õ à È å b m „
¯ Š î
¾
( œ Ù & v
Í Ä
Sertifika Veri Formatı
Base-64 Content Transfer Encoding
M
B
c
M
e
D
F
U
Y
M
A
V
F
A
e
v
g
-
21
I
g
3
T
m
T
Q
H
y
R
Q
d
c
Q
0
r
p
-
I
N
M
o
V
k
Y
J
k
8
U
P
/
A
A
s
U
-
D
V
g
w
k
4
D
p
g
w
A
f
I
B
p
D
m
-
A
B
M
O
I
M
V
b
M
H
A
Q
R
M
u
i
O
-
B
j
A
S
A
H
D
Q
W
T
Q
4
4
e
A
X
3
I
E
E
C
Y
B
Y
V
U
Q
F
k
Y
G
c
u
0
i
x
p
N
G
C
T
Q
D
z
x
K
y
5
D
N
h
m
G
I
X
H
D
I
A
A
d
V
Z
O
E
e
O
V
A
E
X
C
u
y
N
m
l
W
Q
S
D
w
S
C
Q
D
W
Y
S
k
v
s
V
J
Q
B
A
5
B
B
Q
C
W
6
q
z
A
C
C
T
s
L
v
w
W
D
W
L
B
K
c
G
F
3
E
E
M
a
E
b
M
Z
Z
Z
E
i
f
P
S
o
q
R
D
R
W
z
m
D
X
X
X
x
Q
o
v
I
2
Z
T
n
c
M
E
x
A
J
J
J
Z
K
+
B
b
p
C
I
K
w
g
o
5
w
p
0
p
W
B
9
k
3
e
v
F
V
F
U
Y
M
M
U
a
U
Z
g
I
J
D
n
i
I
I
Q
H
y
R
F
2
W
2
X
Q
d
H
Q
m
u
C
n
Y
J
k
8
o
l
Z
l
J
C
5
a
E
5
4
A
+
D
p
g
w
X
n
p
n
p
q
r
l
B
7
D
T
U
V
b
M
H
D
b
Y
b
U
0
M
z
B
4
v
E
C
Q
W
T
Q
T
i
2
i
2
L
j
a
Q
/
h
I
Q
F
k
Y
E
w
F
w
l
q
8
s
U
I
0
y
K
y
5
D
4
g
0
g
n
+
b
a
A
C
o
/
E
e
O
V
M
S
a
S
b
F
h
b
A
Q
n
C E R T I F I C A T E - - - - -
j
w
S
C
Q
D
W
W
W
i
i
D
7
4
Q
N
L
5
B
B
Q
U
5
9
5
B
2
S
b
G
x
k
Z
W
D
W
L
x
j
u
j
U
4
V
Y
B
m
m
2
Z
Z
Z
E
O
L
I
L
c
g
B
e
A
v
d
/
X
X
X
x
D
j
E
i
n
9
Z
1
I
q
q
s
J
J
J
Z
I
E
F
A
V
T
1
F
v
3
D
b
p
0
p
W
z
8
1
t
z
K
B
h
3
7
N
h
U
a
U
Z
N
M
d
I
d
0
N
b
G
r
x
B
2
W
2
X
T
D
G
E
C
g
e
q
h
q
J
k
l
Z
l
J
k
o
h
Z
B
+
u
Z
D
I
1
w
n
p
n
p
1
G
v
v
O
8
S
/
O
U
O
D
b
Y
b
U
O
A
c
c
Z
d
6
h
d
z
8
Elektronik Sertifika İçeriği - 1
22
Elektronik Sertifika İçeriği - 2
23
Elektronik Sertifika İçeriği - 3
24
Elektronik Sertifika Yönetimi
Anahtarların Üretimi
− Güvenilir ortamlarda, güvenlik şartlarına uygun yazılımlar veya
donanım araçları içinde üretilir.
− Kullanıcı adına ESHS’ler tarafından üretilir.
− Kullanıcı tarafından üretilebilir. Bu durumda aşağıdaki şartın
sağlanması gereklidir:
Açık anahtara karşılık gelen özel anahtarın varlığının kriptolojik yöntemler
kullanılarak doğrulanması yoluyla, açık anahtarın geçerli bir anahtar olduğu ESHS
tarafından kontrol edilmelidir.
25
Elektronik Sertifika Yönetimi
Anahtarların Bulunduğu Ortamlar
− Özel anahtar güvenli elektronik imza oluşturma aracı içinde PIN
erişimli bölümde şifreli olarak saklanır.
− Açık anahtar elektronik sertifika içinde, elektronik sertifikalar ise
herkesin erişebileceği ortamlarda bulundurulur. Örn: ESHS’lere ait
sunucular.
− Elektronik sertifikaya imza sahibine ait güvenli elektronik imza
oluşturma aracı ve imzalı verinin içeriginden de erişilebilir.
ESHS
Web
Sunucu
Dizin
Sunucu
“é!é+U%/(?(%(&^^fg€[
½]{]{9f\[{{’/+%/(^&/(+
&E556%/&&()&)(/=)(?=
)%&MS^!^^Y/)P??(/)%(
/%(%/((/{[{[==?\}][?/&?
Elektronik sertifika
26
özel anahtar dosyası
Elektronik Sertifika Yönetimi
Anahtarların Kullanım Amaçları
– Özel anahtar: Güvenli elektronik imza oluşturma amacıyla
kullanılılır. Başka bir amaç için kullanılmaz.
– Açık anahtar: Oluşturulan güvenli elektronik imzanın
doğrulanması için kullanılır. Başka bir amaç için kullanılmaz.
Elektronik Sertifikanın Geçerlilik Süresi
– Anahtarların kriptografik açıdan güvenlik süresi:
• 1024-bit : 1 yıl
• 2048-bit : 6-10 yıl
− Elektronik sertifika sahibinin kimliğinin geçerlilik süresi
Geçerlilik süresi dolan elektronik sertifikaya ait özel anahtar imza
oluşturma amaçlı kullanılmaz. Açık anahtar geçmişte oluşturulmuş
imzaların doğrulanması için kullanılır.
27
Elektronik Sertifika Yönetimi
Elektronik Sertifikanın Yenilenmesi
− Elektronik sertifikanın geçerlilik süresi dolduğunda (veya
dolmasına yakın bir süre önce) ESHS’ye başvurulur ve
kullanıcıya yeni bir sertifika üretilir.
− Yenilemede imza sahibine yeni anahtar çiftleri üretilir.
− Eski özel anahtar, sahibi tarafından imha edilmelidir.
− Eski sertifika, geçmişte oluşturulmuş e-imzaların doğrulanması
amaçlı arşivlenir.
28
Elektronik Sertifika Yönetimi
Elektronik Sertifikanın İptal Edilmesi
− Geçerlilik süresi dolmadan özel anahtarın kullanımı
engellenebilir.
− Özel anahtarın kullanımının engellendiği sertifikanın iptal
edilmesi ile duyurulur.
− Sertifikanın iptal edildiği sertifikayı veren ESHS tarafından
duyurulur.
• Sertifika İptal Listesi (SİL)
• OCSP (Online Certificate Status Protocol - Çevrimiçi Sertifika
Durum Protokolü)
Sertifika İptal
Listesi (SİL)
Web
Sunucu
29
FTP
Sunucu
ESHS
Dizin
Sunucu
OCSP
Yanıtlayıcı
Sertifika İptal Listesi - 1
30
Sertifika İptal Listesi - 2
31
Sertifika İçeriğindeki SİL Dağıtım Noktası Bilgisi
32
OCSP (Online Sertifika Durum Protokolü)
http://ocsp3.kamusm.gov.tr
İMZA
OLUŞTURMA
VEYA
DOĞRULAMA
UYGULAMASI
OCSP
Sertifikası
Sertifika seri numarası
OCSP
Yanıtlayıcı
Sertifika geçerli
Sorgulama sonucu:
-Sertifika geçerli
OCSP İMZASI
OCSP Cevabı
33
-Sertifika iptal olmuş
-Bilinmiyor
Sertifika İçeriğindeki OCSP Erişim Bilgisi
34