Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

KARTLI ÖDEME SİSTEMLERİNDE GÜVENLİK Hakan ULUÖZ 504032505.

Benzer bir sunumlar


... konulu sunumlar: "KARTLI ÖDEME SİSTEMLERİNDE GÜVENLİK Hakan ULUÖZ 504032505."— Sunum transkripti:

1 KARTLI ÖDEME SİSTEMLERİNDE GÜVENLİK Hakan ULUÖZ

2 Akış Giriş Giriş Manyetik Kartlı Ödeme Sistemleri Manyetik Kartlı Ödeme Sistemleri Yeni Nesil Kartlı Ödeme Sistemleri Yeni Nesil Kartlı Ödeme Sistemleri Sonuçlar Sonuçlar

3 Giriş Kartlı ödeme sistemlerinin yaygınlaşması, Kartlı ödeme sistemlerinin yaygınlaşması, Eski sistemlerin sahteciliğe kolaylık tanıması, Eski sistemlerin sahteciliğe kolaylık tanıması, Mevcut iletişim altyapısının yetersiz kalması, Mevcut iletişim altyapısının yetersiz kalması, İşlemlerin çoğunlukla gözden kaçabilecek küçük tutarlarda yapılması ve iletişimin getirdiği ek mali yük, İşlemlerin çoğunlukla gözden kaçabilecek küçük tutarlarda yapılması ve iletişimin getirdiği ek mali yük, Gittikçe yaygınlaşan ek uygulamaların getirdiği zorluklar, Gittikçe yaygınlaşan ek uygulamaların getirdiği zorluklar, Nedenleri ile daha güvenli, bağlantısız çalışabilen esnek kartlı ödeme sistemlerine ihtiyaç duyulmuştur. Nedenleri ile daha güvenli, bağlantısız çalışabilen esnek kartlı ödeme sistemlerine ihtiyaç duyulmuştur. 90’lı yıllarla başlayan çalışmalar sonucu dünyanın önde kart hak sahibi firmaları ( Europay, Mastercard, VISA ) ’96 yılında ilk gelimiş kartlı ödeme sistemi standardı EMV’yi yayımlamışlardır. Standart günümüze dek güncellenmeye devam edilmektedir. 90’lı yıllarla başlayan çalışmalar sonucu dünyanın önde kart hak sahibi firmaları ( Europay, Mastercard, VISA ) ’96 yılında ilk gelimiş kartlı ödeme sistemi standardı EMV’yi yayımlamışlardır. Standart günümüze dek güncellenmeye devam edilmektedir.

4 Manyetik Kartlı Ödeme Sistemleri Kullanılan Güvenlik Yöntemleri : BIN ve LUHN kontrolü, BIN ve LUHN kontrolü, Kara Liste Kontrolü, Kara Liste Kontrolü, Limit Kontrolü, Limit Kontrolü, PIN Kontrolü, PIN Kontrolü, PIN Şifrelenmesi, PIN Şifrelenmesi, PIN Kabul Cihazları, PIN Kabul Cihazları, Mesaj Geçerlik Kontrolü, Mesaj Geçerlik Kontrolü,

5 Manyetik Kartlı Ödeme Sistemleri ( Devam ) Problemler : Manyetik Şeridin Kolaylıkla Kopyalanabilmesi, Manyetik Şeridin Kolaylıkla Kopyalanabilmesi, Listelerin Güncellenmesi, Listelerin Güncellenmesi, Zayıf PIN Şifreleme Yöntemi, Zayıf PIN Şifreleme Yöntemi, Kartı Asıllamanın Mümkün Olmaması, Kartı Asıllamanın Mümkün Olmaması, Yetersiz Limit Kontrol Yöntemleri, Yetersiz Limit Kontrol Yöntemleri, Zayıf Cevap Mesajı Geçerlik Kontrolü, Zayıf Cevap Mesajı Geçerlik Kontrolü, Güvenli İşlem Delillerinin Saklanamayışı Güvenli İşlem Delillerinin Saklanamayışı

6 Yeni Nesi Kartlı Ödeme Sistemleri Akıllı Kartlar kullanan; terminal,kart ve gerektiğinde yayımcının işlem sürecine ortaklaşa etkidikleri bir sistem. Akıllı Kartlar kullanan; terminal,kart ve gerektiğinde yayımcının işlem sürecine ortaklaşa etkidikleri bir sistem. Medyanın kopyalanmasını ya da değiştirilmesini önlemek, Medyanın kopyalanmasını ya da değiştirilmesini önlemek, Uydurma medyalar üretilmesini engellemek, Uydurma medyalar üretilmesini engellemek, Etkin kart-kullanıcı asıllaması yapabilmek, Etkin kart-kullanıcı asıllaması yapabilmek, Yayımcının asıllanabilmesi Yayımcının asıllanabilmesi Yapılan işlemlerin güvenli delillerinin tutulabilmesi Yapılan işlemlerin güvenli delillerinin tutulabilmesi

7 İşlem Fazları  Uygulama Seçimi,  Uygulama Bilgileri-Parametre Takası,  Risk Analizi,  Aksiyon Analizi,  İşlemin Yürütülmesi,Yayımcı onayı,  Uygulama Bilgilerinin Değiştirilmesi (O)  Sonlandırma,

8 Risk Analizi Kartın Asıllanması : Amaç, kartın gerçek ve içeriğinin değiştirilmemiş olduğunun sınanmasıdır. Amaç, kartın gerçek ve içeriğinin değiştirilmemiş olduğunun sınanmasıdır. Asimetrik Şifreleme, Asimetrik Şifreleme, Sertifikasyon, Sertifikasyon, Öz Alma, Öz Alma,kullanılır.

9 Sertifikalar Asıllamada kullanılacak açık anahtarların elde edilmesi için ISO normunda sertifikalardan yararlanılır. Asıllamada kullanılacak açık anahtarların elde edilmesi için ISO normunda sertifikalardan yararlanılır. N oluşturulacak sertifikanın boyu ve M sertifikalandırılacak metin ise : N oluşturulacak sertifikanın boyu ve M sertifikalandırılacak metin ise :  H = ÖZ ( M ) ( 160 bit, 20 sekizli )  M = M1||M2, M1 anlamlı N – 22 sekizli,  B = 0x6A, E =0xBC olmak üzere Sertifika = İmza (S k ) [ B || M1|| H || E ] şeklinde oluşturulur. Sertifika = İmza (S k ) [ B || M1|| H || E ] şeklinde oluşturulur.

10 Sertifikalar – Örnek, Giriş Bilgileri Alan Adı Açıklama Uzunluk Sertifika Formatı 0x021 Yayımcı KoduKart No ilk 3-8 hanesi4 Son Kullanım TarihiAAYY2 Sertifika Seri No 3 Öz Algoritma TipiÖz alma algoritması1 Açık Anahtar AlgoritmasıAçık anahtar ile kullanılacak algoritma1 Açık Anahtar Uzunluğu 1 Açık Anahtar Üs Uzunluğu 1 Açık Anahtar Bölüm1(Şifrelenecek Bölüm)*N CA – 36 Açık Anahtar Bölüm 2Açık Kalacak Bölüm0  Açık Anahtar Üssü1 ( ) ya da 31

11 Sertifikalar, Örnek – Çıkış Formatı Sertifikalar, Örnek – Çıkış Formatı Alan AdıAçıklamaUzunluk Başlık0x6A1 Sertifika Formatı0x021 Yayımcı Kodu 4 Son Kullanım Tarihi 2 Sertifika Seri No 3 Öz Algoritma Tipi 1 Açık Anahtar Algoritması 1 Açık Anahtar Uzunluğu 1 Açık Anahtar Üs Uzunluğu 1 Açık Anahtar Bölüm 1 N CA -36 ÖZMesaj Özü20 Sonlandırma0xBC1

12 Sertifikalar, Örnek - Sertifika Bloğu Alan AdıAçıklamaUzunluk Başlık0x6A1 Sertifika Formatı0x021 Yayımcı Kodu 4 Son Kullanım Tarihi 2 Sertifika Seri No 3 Öz Algoritma Tipi 1 Açık Anahtar Algoritması 1 Açık Anahtar Uzunluğu 1 Açık Anahtar Üs Uzunluğu 1 Açık Anahtar Bölüm 1 N CA -36 ÖZ 20 Sonlandırma0xBC1 Açık Anahtar Bölüm 2 N I -N CA +36 Açık Anahtar Üssü 1

13 Statik Veri Asıllaması (SDA) Statik Veri Asıllaması (SDA) Asıllanacak verilerin sertifikası yayımcı tarafından karta işlenmiştir, Asıllanacak verilerin sertifikası yayımcı tarafından karta işlenmiştir, Basit ve hızlıdır, kart tarafından herhangi bir şifreleme yapılmaz Basit ve hızlıdır, kart tarafından herhangi bir şifreleme yapılmaz Dinamik Veri Asıllaması kadar güvenli değildir Dinamik Veri Asıllaması kadar güvenli değildir

14 Dinamik Veri Asıllaması ( DDA ) Dinamik Veri Asıllaması ( DDA ) Kart tarafından terminal ve kartın dinamik parametreleri ile sertifika oluşturulur, Kart tarafından terminal ve kartın dinamik parametreleri ile sertifika oluşturulur, Kartın şifreleme yapması gereklidir, maliyetli ve düşük performanslıdır Kartın şifreleme yapması gereklidir, maliyetli ve düşük performanslıdır Oldukça güvenlidir Oldukça güvenlidir

15 Bütünleşik DDA/Uygulama Kriptogramı Bütünleşik DDA/Uygulama Kriptogramı DDA ile aynı mantıkta çalışır, DDA ile aynı mantıkta çalışır, Dinamik parametreler sınırlıdır, Dinamik parametreler sınırlıdır, Şifrelenecek veri boyu DDA’e göre görece küçüktür, daha kısa anahtarların kullanımı mümkündür, Şifrelenecek veri boyu DDA’e göre görece küçüktür, daha kısa anahtarların kullanımı mümkündür, Sertifika oluşturulurken ileride kullanılacak uygulama kriptogramı ( AC ) de oluşturulur, toplam işlem süresi kısalır. Sertifika oluşturulurken ileride kullanılacak uygulama kriptogramı ( AC ) de oluşturulur, toplam işlem süresi kısalır.

16 Kullanıcının Asıllanması Kartın bağlantısız ve bağlantılı işlemler için 2 adet PIN’i bulunur. Kartın bağlantısız ve bağlantılı işlemler için 2 adet PIN’i bulunur. Bağlantılı işlemler için kullanılan PIN yönetimi manyetik şeritli sistemlerdeki ile aynıdır, bu PIN banka tarafından kontrol edilebilir. Bağlantılı işlemler için kullanılan PIN yönetimi manyetik şeritli sistemlerdeki ile aynıdır, bu PIN banka tarafından kontrol edilebilir. Bağlantısız PIN kartın sahip olduğu fiziksel veridir, ancak kart tarafından doğrulanabilir. Bağlantısız PIN kartın sahip olduğu fiziksel veridir, ancak kart tarafından doğrulanabilir. PIN şifrelenmesi için kart ayrı bir anahtar çiftine sahip olabilir. PIN şifrelenmesi için kart ayrı bir anahtar çiftine sahip olabilir. Sertifikalandırma işlemi terminal tarafından kartın açık anahtarı ile yapılır. Sertifikalandırma işlemi terminal tarafından kartın açık anahtarı ile yapılır. Oluşturulan PIN sertifikası karta doğrulaması için verilir. Oluşturulan PIN sertifikası karta doğrulaması için verilir.

17 İşlem Kayıdı Tutulması İşlemin orjinalliğinin ispatıdır, İşlemin orjinalliğinin ispatıdır, Oluşturulması için MAC kullanılır, MAC CBC modunda DES işlemidir, ancak son blok 3DESlenir, Oluşturulması için MAC kullanılır, MAC CBC modunda DES işlemidir, ancak son blok 3DESlenir, Kullanılacak anahtar kartın sahip olduğu uygulama kriptogramı ana anahtarından türetilen oturum anahtarıdır, Kullanılacak anahtar kartın sahip olduğu uygulama kriptogramı ana anahtarından türetilen oturum anahtarıdır, Şifrelenecek verilerin asgari gurubu üzerine yayımcı ek veriler ekleyebilir. Şifrelenecek verilerin asgari gurubu üzerine yayımcı ek veriler ekleyebilir.

18 Yayımcı Asıllaması Bağlantılı işlem yapıldığında dönen cevabın yayımcı cevabı olduğunun doğrulanması için kullanılır, Bağlantılı işlem yapıldığında dönen cevabın yayımcı cevabı olduğunun doğrulanması için kullanılır, İstek mesajında gönderilen AC yayımcı tarafından çözülür, kart doğrulama bilgileri de eklenerek aynı oturum anahtarı ile şifrelenir. İstek mesajında gönderilen AC yayımcı tarafından çözülür, kart doğrulama bilgileri de eklenerek aynı oturum anahtarı ile şifrelenir. İşlemin onaylandığı terminalce iddia ediliyor ise gelen blok kart tarafından asıllanmak durumundadır. İşlemin onaylandığı terminalce iddia ediliyor ise gelen blok kart tarafından asıllanmak durumundadır. İşlemin onaylanması durumunda yeni bir AC üretilir. İşlemin onaylanması durumunda yeni bir AC üretilir.

19 Ek Güvenlik Önlemleri MAC algoritması, kart ile güvenli haberleşme için kullanılır. MAC algoritması, kart ile güvenli haberleşme için kullanılır. Oturum anahtarı AC oturum anahtarı ile aynı yöntemle fakat kart MAC ana anahtarı kullanılarak üretilir. Oturum anahtarı AC oturum anahtarı ile aynı yöntemle fakat kart MAC ana anahtarı kullanılarak üretilir. Karta gönderilen bilgilerin sonuna MAC4-8 bilgisi eklenir. Karta gönderilen bilgilerin sonuna MAC4-8 bilgisi eklenir. Özellikle yayımcı tarafından gönderilen ve kartın özelliklerini değiştiren komutlar bu formda kullanılır. Bu şekilde yetkisiz kişilerin kartın özelliklerini değiştirmesi engellenir. Özellikle yayımcı tarafından gönderilen ve kartın özelliklerini değiştiren komutlar bu formda kullanılır. Bu şekilde yetkisiz kişilerin kartın özelliklerini değiştirmesi engellenir.

20 Sonuç Yeni nesil kartlı ödeme sistemleri dijital imza-sertifika, asimetrik ve simetrik şifreleme algoritmalarını iyi bir şekilde harmanlayarak kullanır, Yeni nesil kartlı ödeme sistemleri dijital imza-sertifika, asimetrik ve simetrik şifreleme algoritmalarını iyi bir şekilde harmanlayarak kullanır, Kabul edilen algoritmalar RSA, DES ve SHA-1’dir ancak gelişimler gözönüne alınarak sertiikalarda şifreleme ve öz alma algoritmaları için belirteçler kullanılır. Bu şekilde eskiye uyumlu şekilde yenilikler desteklenebilir, Kabul edilen algoritmalar RSA, DES ve SHA-1’dir ancak gelişimler gözönüne alınarak sertiikalarda şifreleme ve öz alma algoritmaları için belirteçler kullanılır. Bu şekilde eskiye uyumlu şekilde yenilikler desteklenebilir, Anahtar uzunlukları şu an 1984 bit ile sınırlıdır, genelde 1024 bitlik anahtarlar tercih edilmektedir. Anahtar uzunlukları şu an 1984 bit ile sınırlıdır, genelde 1024 bitlik anahtarlar tercih edilmektedir. Sertifika otoritelerinin açık anahtarlarının terminallere yüklenmesi noktası açıktır, denetimi yoktur. Sertifika otoritelerinin açık anahtarlarının terminallere yüklenmesi noktası açıktır, denetimi yoktur.

21 TEŞEKKÜRLER TEŞEKKÜRLER


"KARTLI ÖDEME SİSTEMLERİNDE GÜVENLİK Hakan ULUÖZ 504032505." indir ppt

Benzer bir sunumlar


Google Reklamları