Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Sanal Ortamda Kimlik Tanıma Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI) KOBIL Systems GmbH (www.kobil.com)

Benzer bir sunumlar


... konulu sunumlar: "Sanal Ortamda Kimlik Tanıma Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI) KOBIL Systems GmbH (www.kobil.com)"— Sunum transkripti:

1 Sanal Ortamda Kimlik Tanıma Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI) KOBIL Systems GmbH (www.kobil.com)

2 INTERNET Güvenliğin Temel Ögeleri BANKA MÜŞTERİ 1.Kimlik Doğrulama (Authentication) Müşterinin Bankayı Tanıması Bankanın Müşteriyi Tanıması 2.Gidip Gelen Bilgilerin Doğruluğu (Integrity) 3.Gidip Gelen Bilgilerin Gizliliği (Confidentiality) “Bir zincir en zayıf halkası kadar sağlamdır”

3 Güvenlikteki Dengeler Güvenlik (Security) Kullanılabilirlik (Usability) Ulaşılacak miktar arttıkça, kötü niyetli kişiler sistemi kırmak için daha fazla para, zaman ve emek harcayacaktır Güvenliği artırmak için sistem maliyetleri artacaktır Güvenliği arttırmak için harcanan para Sistemi kırmak için harcanan para Hedef güvenliği arttırarak sistemi kırma maaliyetlerini arttırmak, kullanılabilirliği ve sistem maliyetlerini makul seviyede tutmak olmalıdır

4 Farklı Dağıtım Kanallarında Farklı Kimlik Tanıma Yöntemi BANKA ŞUBE MÜŞTERİ INTERNET MÜŞTERİ ATM KİMLİK + İMZA KART + PİN KOD + ŞİFRE

5 INTERNET TEHDİT 1: İçeride Banka Çalışanları BANKA MÜŞTERİ BANKA ÇALIŞANI

6 INTERNET 1. ADIM : Banka İçinde Güvenliğin Sağlanması BANKA MÜŞTERİ BANKA ÇALIŞANI Banka içi Network Güvenliği Müşteri Veri Tabanının Güvenliği Yetkili Kişilerin Belirlenmesi Yetki Sınırlarının Belirlenmesi Odalara ve Sistemlere Giriş Kontrolü Antivirüs Programları

7 INTERNET TEHDİT 2 : Dışarıdan Sistemlere Ulaşabilenler BANKA MÜŞTERİ

8 INTERNET 2. ADIM : Dışarıdan Sisteme Giriş Kontrölü BANKA MÜŞTERİ Firewall Intrusion Detection

9 INTERNET TEHDİT 3 : Network Paketlerine Ulaşabilenler BANKA MÜŞTERİ

10 INTERNET 3. ADIM : 128 bit SSL Kullanılması BANKA MÜŞTERİ SSL

11 INTERNET TEHDİT 4 : Müşteri Bilgisayarına Ulaşabilenler BANKA MÜŞTERİ SSL

12 INTERNET TEHDİT 4b : Müşteri Şifresini Ele Geçirenler BANKA MÜŞTERİ SSL

13 INTERNET SSL in Öbür Ucundaki Kişi Gerçekte Kimdir ? BANKA MÜŞTERİ MÜŞTERİ ??? SSL ? ?

14 Kimlik Tanımadaki Faktörler Bildiğin Birşey (Örnek : Şifre, Anne kızlık soyadı, doğum yeri...) Sahip Olduğun Birşey (Kopyalanamamalı, Örnek : Akıllı Kart) Sadece Kişiye ait bir Özellik (Eşsiz olmalı, Örnek : Biometrik özellikler)

15 Sadece Bildiğin Birşeye Güvenmek (One Factor Authentication) INTERNET BANKA MÜŞTERİ SSL Fire wall ? BANKA ÇALIŞANI MÜŞTERİ BİLGİSAYARINA İNDİRİLEN SOLUCANLAR, TRUVA ATLARI Statik Şifre Doğum tarihi ETRAFINIZDAKİ KİŞİLER

16 Bildiğin Birşeye + Sahip Olduğun Birşeye Güvenmek (Two Factor Authentication) INTERNET BANKA MÜŞTERİ SSL Fire wall ? BANKA ÇALIŞANI MÜŞTERİ BİLGİSAYARINA İNDİRİLEN SOLUCANLAR, TRUVA ATLARI ETRAFINIZDAKİ KİŞİLER PIN

17 İki Faktör Kimlik Tanıma Yöntemleri Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI) KOBIL Systems GmbH

18 Birdefalık Şifreler (One Time Password -OTP) INTERNET BANKA SSL Fire wall ? PIN OTP OTP sunucu Senkronize Çalışır OTP OTP token

19 Birdefalık Şifreler (One Time Password -OTP) INTERNET BANKA SSL Fire wall ? PIN OTP OTP sunucu Senkronize Çalışır OTP + PIN OTP token

20 Mevcut Sistemde OTP Kullanım Şekli EKRAN 1 EKRAN 3 EKRAN 2 OTP Kullanıcı Kodu Şifre

21 Banka Sunucusunda OTP Kimlik Doğrulama WEB sunucu OTP sunucu Static Şifre sunucu Kullanıcı Veri Tabanı Kullanıcı Kodu + Şifre + OTP 2. ekran

22 OTP’nin Avantajları İki faktör kimlik dogrulama sağlar Banka tarafında ; –OTP sunucu kurulumu kolay –OTP dağıtımı kolay –Maliyeti diğer sistemlere göre düşük –Farklı kanallarda kullanılabilinir (Fonobank gibi...) Müşteri tarafında ; –OTP Kullanımı kolay –OTP-Token taşınabilir olduğundan “Mobilite” sağlar –Yazılım yüklenmesi gerekmez –İşletim sisteminden bağımsız

23 SSL Kimlik Tanıma Web Browser Müşteri Web sunucu Telefon ile Aktivasyon ile Aktivasyon Açık Anahtar Altyapıları ve Dijital İmza TRUST CENTER UserID, DN Kart Basım Modülü Sertifika Otoritesi Sertifika Seri No, Kart No, PIN, PUK Yardım Masası Şubeler Yeni Müşteri Listesi Veri Tabanı Kullanıcı ID... Yönetim Programı Kayıt Kabulü Sayfa 2 Sayfa 1 FILTER CSP / PKCS11 Dağıtım

24 Açık anahtar Altyapısında (PKI) Temel Adımlar KULLANICILARIN SİSTEME KATILIMI –Kullanıcı Kayıt ( Registration Authority - RA ) –Yetkili Merkezde Kart Basılması / Sertifia Dağıtımı ( CA ) –Basılan Kartların Kullanıcıya iletilmesi ve Aktif Edilmesi UYGULAMALAR –CSP veya PKCS11 modülleri yardımıyla Akıllı Kart kullanımı –Diğer kullanıcılara ve sunuculara ait sertifikaların bulunması –İptal edilmiş sertifikaların (CRL) kontrolü PERİYODİK İŞLEMLER –Sertifia Yenileme (1-2 yıl) –Kart ( anahtar ve sertifika ) yenileme (2-4 yıl) DİĞER –Kart / PIN çalınması veya kullanıcı ayrılışında Sertifika İptali

25 PKI Uygulamalarındaki KATMANLAR Kimlik Tanıma, Gizlilik, Bilgi Bütünlüğü, ve İnkar Edememe gerektiren uygulamalar ( InternetExplorer, Outlook, Netscape.... ) Sertikika Otoritesi Sertifika Dağıtım ve Kart Basım Yazılım ve Donanımları Sertifika Aktivasyon ve İptal İşlemleri Sertifika Yenileme Sistemi Kart + Okuyucu Uygulama ağındaki kullanıcıların Veri Tabanı ve Yönetim Programı Bu katmanda varolan kullanıcı veri tabanına entegrasyon önemlidir Her bir katman bir alt katmana bağlıdır

26 Bir PKI Uygulamasındaki GENEL KOMPONENTLER Kullanıcı Veri Tabanı ve Kayıt Yönetim Sistemi (LDAP, AD, ACCESS, SQL Server..., Veri tabanı yönetim programı) Sertifika Otorite Yazılımı (Microsoft CA) Otomatik Sertifika Dağıtım ve Kart Basım Sistemi (Kart Yazıcısı, PIN/PUK Yazıcısı, Sertifika Dağıtım Programı) Kullanıcı PC sindeki Yazılım ve Donanımlar (TCOS, CSP, P11, KOBIL kart okuyucu) Aktivasyon ve Sertifika İşlemleri için Yönetim Sistemi (Veri tabanı yönetim programı) Sertifika Yenileme Sistemi (Kullanıcı Veri Tabanında Yapılacak Kontroller) Uygulamalar (Kullanıcı + Sunucu) (MS VPN, IE, Outlook,.NET,...)

27 PKI ve OTP Karşılaştırması Her iki çözümde 2 faktör kimlik dogrulama sağlar PKI’ın OTP ye göre dezavantajları ; –PKI kurulumu ve kart + okuyucu dağıtımı zordur –Müşteri bilgisayarına yazılım yüklenmektedir –Mobilite kolaylığı azalır –Her işletim sistemi desteklenmeyebilir –Kurulum ve İşletim Maliyetleri OTP ye göre yüksektir PKI’ın OTP’ye göre avantajları ; –Kimlik doğrulama dışında şifreleme sağlar – ve Dosya şifreleme /imzalamada kullanılabilinir –B2B işlemlerde kullanılabilinir –“Dijital İmza Kanunu” ve hukuksal güvence –Transaction’ların imzalanması

28 PKI ile Şifreli ve İmzalı Alışverişi INTERNET BANKA MÜŞTERİ Fire wall PIN Güvenli Alış Verişi Server BANKA ÇALIŞANI #$%&{**!!*+??

29 PKI ile Şifreli ve İmzalı Dosya (Raporlar/Emirler) Alışverişi INTERNET BANKA MÜŞTERİ Fire wall PIN File Server BANKA ÇALIŞANI #$%&{**!!*+?? Güvenli Dosya Alış Verişi

30 PKI ve B2B INTERNET BANKA KURUMSAL MÜŞTERİ KURUMSAL MÜŞTERİ Alım ve Ödeme Emirleri Kimlik Doğrulama, ve Para Transferi B2B PAZARYERİ

31 PKI Güvenliğinde, Bankacılık İşlemlerinin Muhasebe Programlarına Entegrasyonu INTERNET BANKA KURUMSAL MÜŞTERİ Fire wall Muhasebe İşlemleri SSL Bankacılık İşlemleri

32 PKI Güvenliğinde, Bankacılık İşlemlerinin Muhasebe Programlarına Entegrasyonu INTERNET BANKA KURUMSAL MÜŞTERİ Fire wall Muhasebe ve Bankacılık İşlemleri

33 PKI’ın Getirdiği Avantajlar Bugün Fax ile, kurye ile yada floppy-disk üzerinde şubeye gönderilen raporlar, sıralı işlemler, v.s. gibi pekçok bankacılık hizmeti, İnternet üzerinde online olarak anında gerçekleşebilir Yazılı olarak (hard copy) veya dijital olarak (soft copy) gelen pek çok işlem, kontröller için ve işlemlerin gerçekleştirilmesi için ekstra personel çalışmaktadır Dolayısıyla PKI kullanımına geçmek başlangıç maaliyetleri arttırsada, orta ve uzun vadede maaliyetleri düşürecektir

34 PKI Uygulamasındaki Riskler PKI ın güvenliği anahtar-yönetimine (anahtar üretim, dağıtım, yenileme, iptal işlemleri) ve müşteri anahtarlarını saklama, kullanma yöntemlerine bağlıdır PKI kurulumunda veya sistemin işletilmesinde yapılacak hatalar büyük güvenlik riskleri oluşturabilir Sisteme dahil olan tüm kullanıcılar yeterli güvenlik bilgisine sahip olmalıdır. Aksi halde kullanıcılar zararlı programlarla yanıltılabilirler ( Örneğin. Kullanıcı PC sindeki CA sertifikalarının değiştirilmesi veya program arayüzlerini taklit ederek kart ve PIN girişi istenmesi )

35 Kullanıcılara ait Gizli Anahtarların Güvenliği Anahtar üretimi ve yönetimi merkezde kurulacak bir TRUST CENTER da yapılmalıdır Anahtarlar fiziksel güvenlik sağlayan akıllı kartlara yazılmalıdır Akıllı kartlar PIN ile korunmalıdır PIN üretimi ve dağıtımı en az anahtarlar kadar güvenli olmalıdır

36 İdeal Anahtar Üretimi ve Kullanımı Anahtarlar Trust-Center da Offline olarak ve Güvenli bir ortamda basılır Anahtarlar asla kartı terk etmez Client tarafında asla anahtar üretilmez Sertifika yenileme işleminde farklı anahtar kullanabilmek için, Trust-Center da kart basım esnasında karta birden fazla anahtar çifti yüklenir ve ilk anahtar çifti ile ilişkili tek bir sertifika yazılır Her sertifika yenileme işleminde bir başka anahtar çifti kullanılır. Eski sertifika silinir.

37 İdeal TRUST CENTER KART BASIM Programı Sertifika Otoritesi Kullanıcı VeriTabanı PIN/PUK Üretim RSA Anahtar Üretim PIN/PUK Anahtar Sertifika PIN/PUK BU MERKEZ OFF-LİNE ÇALIŞMALI VE GÜVENLİĞİ SAĞLANMALIDIR Yazılım veya Donanım Olabilir HSM

38 Akıllı Kart ve Okuyucu Seçimi Müşteri anahtarları akıllı kartı asla terk etmemeli ve crypto coprocessor e sahip kartlar kullanılmalıdır. Bu sayede RSA işlemleri on-board gerçekleştirilmelidir Anahtarları kart üzerinde koruyan PIN de en az anahtarlar kadar önemlidir. PIN leri korumak içinde üzerinde keypad i olan ve secure-PIN-entry imkanı sunan kart okuyucuları kullanılmalıdır

39 Akıllı Kart Terminalleri Sınıf -1 Sınıf -2 Sınıf -3


"Sanal Ortamda Kimlik Tanıma Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI) KOBIL Systems GmbH (www.kobil.com)" indir ppt

Benzer bir sunumlar


Google Reklamları