Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

KARTLI ÖDEME SİSTEMLERİNDE GÜVENLİK

YayınlayanTelli Halefoglu Değiştirilmiş 9 yıl önce

Benzer bir sunumlar

... konulu sunumlar: "KARTLI ÖDEME SİSTEMLERİNDE GÜVENLİK"— Sunum transkripti:

1 KARTLI ÖDEME SİSTEMLERİNDE GÜVENLİK
Hakan ULUÖZ

2 Akış Giriş Manyetik Kartlı Ödeme Sistemleri Yeni Nesil Kartlı Ödeme Sistemleri Sonuçlar

3 Giriş Kartlı ödeme sistemlerinin yaygınlaşması,
Eski sistemlerin sahteciliğe kolaylık tanıması, Mevcut iletişim altyapısının yetersiz kalması, İşlemlerin çoğunlukla gözden kaçabilecek küçük tutarlarda yapılması ve iletişimin getirdiği ek mali yük, Gittikçe yaygınlaşan ek uygulamaların getirdiği zorluklar, Nedenleri ile daha güvenli, bağlantısız çalışabilen esnek kartlı ödeme sistemlerine ihtiyaç duyulmuştur. 90’lı yıllarla başlayan çalışmalar sonucu dünyanın önde kart hak sahibi firmaları ( Europay, Mastercard, VISA ) ’96 yılında ilk gelimiş kartlı ödeme sistemi standardı EMV’yi yayımlamışlardır. Standart günümüze dek güncellenmeye devam edilmektedir.

4 Manyetik Kartlı Ödeme Sistemleri
Kullanılan Güvenlik Yöntemleri : BIN ve LUHN kontrolü, Kara Liste Kontrolü, Limit Kontrolü, PIN Kontrolü, PIN Şifrelenmesi, PIN Kabul Cihazları, Mesaj Geçerlik Kontrolü,

5 Manyetik Kartlı Ödeme Sistemleri ( Devam )
Problemler : Manyetik Şeridin Kolaylıkla Kopyalanabilmesi, Listelerin Güncellenmesi, Zayıf PIN Şifreleme Yöntemi , Kartı Asıllamanın Mümkün Olmaması, Yetersiz Limit Kontrol Yöntemleri, Zayıf Cevap Mesajı Geçerlik Kontrolü, Güvenli İşlem Delillerinin Saklanamayışı

6 Yeni Nesi Kartlı Ödeme Sistemleri
Akıllı Kartlar kullanan; terminal,kart ve gerektiğinde yayımcının işlem sürecine ortaklaşa etkidikleri bir sistem. Medyanın kopyalanmasını ya da değiştirilmesini önlemek, Uydurma medyalar üretilmesini engellemek, Etkin kart-kullanıcı asıllaması yapabilmek, Yayımcının asıllanabilmesi Yapılan işlemlerin güvenli delillerinin tutulabilmesi

7 İşlem Fazları Uygulama Seçimi, Uygulama Bilgileri-Parametre Takası,
Risk Analizi, Aksiyon Analizi, İşlemin Yürütülmesi,Yayımcı onayı, Uygulama Bilgilerinin Değiştirilmesi (O) Sonlandırma,

8 Risk Analizi Kartın Asıllanması :
Amaç, kartın gerçek ve içeriğinin değiştirilmemiş olduğunun sınanmasıdır. Asimetrik Şifreleme, Sertifikasyon, Öz Alma , kullanılır.

9 Sertifikalar Asıllamada kullanılacak açık anahtarların elde edilmesi için ISO normunda sertifikalardan yararlanılır. N oluşturulacak sertifikanın boyu ve M sertifikalandırılacak metin ise : ·        H = ÖZ ( M ) ( 160 bit, 20 sekizli ) ·      M = M1||M2 , M1 anlamlı N – 22 sekizli, ·        B = 0x6A , E =0xBC olmak üzere Sertifika = İmza (Sk) [ B || M1|| H || E ] şeklinde oluşturulur.

10 Sertifikalar – Örnek, Giriş Bilgileri
Alan Adı Açıklama Uzunluk Sertifika Formatı 0x02 1 Yayımcı Kodu Kart No ilk 3-8 hanesi 4 Son Kullanım Tarihi AAYY 2 Sertifika Seri No 3 Öz Algoritma Tipi Öz alma algoritması Açık Anahtar Algoritması Açık anahtar ile kullanılacak algoritma Açık Anahtar Uzunluğu Açık Anahtar Üs Uzunluğu Açık Anahtar Bölüm1 (Şifrelenecek Bölüm)* NCA – 36 Açık Anahtar Bölüm 2 Açık Kalacak Bölüm 0  Açık Anahtar Üssü 1 (216+1) ya da 3

11 Sertifikalar, Örnek – Çıkış Formatı
Alan Adı Açıklama Uzunluk Başlık 0x6A 1 Sertifika Formatı 0x02 Yayımcı Kodu 4 Son Kullanım Tarihi 2 Sertifika Seri No 3 Öz Algoritma Tipi Açık Anahtar Algoritması Açık Anahtar Uzunluğu Açık Anahtar Üs Uzunluğu Açık Anahtar Bölüm 1 NCA-36 ÖZ Mesaj Özü 20 Sonlandırma 0xBC

12 Sertifikalar, Örnek - Sertifika Bloğu
Alan Adı Açıklama Uzunluk Başlık 0x6A 1 Sertifika Formatı 0x02 Yayımcı Kodu 4 Son Kullanım Tarihi 2 Sertifika Seri No 3 Öz Algoritma Tipi Açık Anahtar Algoritması Açık Anahtar Uzunluğu Açık Anahtar Üs Uzunluğu Açık Anahtar Bölüm 1 NCA-36 ÖZ 20 Sonlandırma 0xBC Açık Anahtar Bölüm 2 NI-NCA+36 Açık Anahtar Üssü

13 Statik Veri Asıllaması (SDA)
Asıllanacak verilerin sertifikası yayımcı tarafından karta işlenmiştir, Basit ve hızlıdır, kart tarafından herhangi bir şifreleme yapılmaz Dinamik Veri Asıllaması kadar güvenli değildir

14 Dinamik Veri Asıllaması ( DDA )
Kart tarafından terminal ve kartın dinamik parametreleri ile sertifika oluşturulur, Kartın şifreleme yapması gereklidir, maliyetli ve düşük performanslıdır Oldukça güvenlidir

15 Bütünleşik DDA/Uygulama Kriptogramı
DDA ile aynı mantıkta çalışır, Dinamik parametreler sınırlıdır, Şifrelenecek veri boyu DDA’e göre görece küçüktür, daha kısa anahtarların kullanımı mümkündür, Sertifika oluşturulurken ileride kullanılacak uygulama kriptogramı ( AC ) de oluşturulur, toplam işlem süresi kısalır.

16 Kullanıcının Asıllanması
Kartın bağlantısız ve bağlantılı işlemler için 2 adet PIN’i bulunur. Bağlantılı işlemler için kullanılan PIN yönetimi manyetik şeritli sistemlerdeki ile aynıdır, bu PIN banka tarafından kontrol edilebilir. Bağlantısız PIN kartın sahip olduğu fiziksel veridir, ancak kart tarafından doğrulanabilir. PIN şifrelenmesi için kart ayrı bir anahtar çiftine sahip olabilir. Sertifikalandırma işlemi terminal tarafından kartın açık anahtarı ile yapılır. Oluşturulan PIN sertifikası karta doğrulaması için verilir.

17 İşlem Kayıdı Tutulması
İşlemin orjinalliğinin ispatıdır, Oluşturulması için MAC kullanılır, MAC CBC modunda DES işlemidir, ancak son blok 3DESlenir, Kullanılacak anahtar kartın sahip olduğu uygulama kriptogramı ana anahtarından türetilen oturum anahtarıdır, Şifrelenecek verilerin asgari gurubu üzerine yayımcı ek veriler ekleyebilir.

18 Yayımcı Asıllaması Bağlantılı işlem yapıldığında dönen cevabın yayımcı cevabı olduğunun doğrulanması için kullanılır, İstek mesajında gönderilen AC yayımcı tarafından çözülür, kart doğrulama bilgileri de eklenerek aynı oturum anahtarı ile şifrelenir. İşlemin onaylandığı terminalce iddia ediliyor ise gelen blok kart tarafından asıllanmak durumundadır. İşlemin onaylanması durumunda yeni bir AC üretilir.

19 Ek Güvenlik Önlemleri MAC algoritması, kart ile güvenli haberleşme için kullanılır. Oturum anahtarı AC oturum anahtarı ile aynı yöntemle fakat kart MAC ana anahtarı kullanılarak üretilir. Karta gönderilen bilgilerin sonuna MAC4-8 bilgisi eklenir. Özellikle yayımcı tarafından gönderilen ve kartın özelliklerini değiştiren komutlar bu formda kullanılır. Bu şekilde yetkisiz kişilerin kartın özelliklerini değiştirmesi engellenir.

20 Sonuç Yeni nesil kartlı ödeme sistemleri dijital imza-sertifika, asimetrik ve simetrik şifreleme algoritmalarını iyi bir şekilde harmanlayarak kullanır, Kabul edilen algoritmalar RSA, DES ve SHA-1’dir ancak gelişimler gözönüne alınarak sertiikalarda şifreleme ve öz alma algoritmaları için belirteçler kullanılır. Bu şekilde eskiye uyumlu şekilde yenilikler desteklenebilir, Anahtar uzunlukları şu an 1984 bit ile sınırlıdır, genelde 1024 bitlik anahtarlar tercih edilmektedir. Sertifika otoritelerinin açık anahtarlarının terminallere yüklenmesi noktası açıktır, denetimi yoktur.

21 TEŞEKKÜRLER

"KARTLI ÖDEME SİSTEMLERİNDE GÜVENLİK" indir ppt

Benzer bir sunumlar

E-İÇİŞLERİ KARŞILAŞILAN SORUNLAR

E-İÇİŞLERİ KARŞILAŞILAN SORUNLAR
HUKUKİ YÖNLERİYLE ELEKTRONİK SERTİFİKA

HUKUKİ YÖNLERİYLE ELEKTRONİK SERTİFİKA
GÜVENLİ BİR E-POSTA UYGULAMASI: GÜ-POSTA

GÜVENLİ BİR E-POSTA UYGULAMASI: GÜ-POSTA
Elektronik İmza.

Elektronik İmza.
NES-VPN KURULUM KLAVUZU

NES-VPN KURULUM KLAVUZU
Veri Haberleşmesi Sunumu Konu : ZigBee

Veri Haberleşmesi Sunumu Konu : ZigBee
AES (Advanced Encryption Standart)

AES (Advanced Encryption Standart)
Elektronik ticarette güvenlik konusunda değerlendirilmesi gereken diğer bir konu da alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermek.

Elektronik ticarette güvenlik konusunda değerlendirilmesi gereken diğer bir konu da alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermek.
BİLGİ GÜVENLİĞİ «Kimlik Doğrulama ve Yetkilendirme» Yrd. Doç

BİLGİ GÜVENLİĞİ «Kimlik Doğrulama ve Yetkilendirme» Yrd. Doç
Elektronik İmza ve Kavramlar

Elektronik İmza ve Kavramlar
e-Fatura İşlemleri e-Fatura İşlemleri İçin Gerekli Adımlar

e-Fatura İşlemleri e-Fatura İşlemleri İçin Gerekli Adımlar
E-TICARET’TE GUVENLIK

E-TICARET’TE GUVENLIK
Ağ Cihazları  Birden fazla bilgisayarın bilgi paylaşımı, yazılım ve donanım paylaşımı, merkezi yönetim ve destek kolaylığı gibi çok çeşitli sebeplerden.

Ağ Cihazları  Birden fazla bilgisayarın bilgi paylaşımı, yazılım ve donanım paylaşımı, merkezi yönetim ve destek kolaylığı gibi çok çeşitli sebeplerden.
(Data Encryption Standard) Şifreleme Algoritması

(Data Encryption Standard) Şifreleme Algoritması
SİMETRİK ŞİFRELEME SİSTEMLERİ VE ÖZELLİKLERİ

SİMETRİK ŞİFRELEME SİSTEMLERİ VE ÖZELLİKLERİ
GAZİOSMANPAŞA ÜNİVERSİTESİ PAZAR MESLEK YÜKSEKOKULU

GAZİOSMANPAŞA ÜNİVERSİTESİ PAZAR MESLEK YÜKSEKOKULU
Problemi Çözme Adımları

Problemi Çözme Adımları
E-TICARET’TE GUVENLIK HASAN CIRPAN 504031514. TICARET Ticaret “mal veya hizmetin satin alinmasi ve satilmasidir. Ticaretin elektronik ortamda yapilmasi.

E-TICARET’TE GUVENLIK HASAN CIRPAN TICARET Ticaret “mal veya hizmetin satin alinmasi ve satilmasidir. Ticaretin elektronik ortamda yapilmasi.
3/10/2003Onur BEKTAŞ TUBİTAK ULAKBİM UlakNet IPv6 Planlananlar ve IPv6 Güvenliği Onur BEKTAŞ TÜBİTAK - ULAKBİM.

3/10/2003Onur BEKTAŞ TUBİTAK ULAKBİM UlakNet IPv6 Planlananlar ve IPv6 Güvenliği Onur BEKTAŞ TÜBİTAK - ULAKBİM.
MD-5 (Message-Digest Algoritma).

MD-5 (Message-Digest Algoritma).

Benzer bir sunumlar

Google Reklamları