SUNUM PLANI Yasal konular ve uygulamalar SUNUM PLANI E-imza ve Kriptografi Yasal konular ve uygulamalar
...Peki, sayısal imza ve kripto nedir ? 5070 sayılı EİK 2004 yılında yürürlüğe girdi. Islak imza yerine geçebilmesi ile ilgili yükümler Elektronik (sayısal) imza yanı sıra, veri kriptolama kanun ve kurallarını içermektedir. ...Peki, sayısal imza ve kripto nedir ?
Kriptografi Nedir? İleti güvenliğini sağlama bilimi kriptografidir Kriptoloji : kryptos logos = gizli dünya Kriptografi, her türlü kripto tekniklerinin teori, tanımlama, metodoloji ve standartlarının bütünüdür. Kriptoanaliz, kriptografik sistemlerin kurduğu mekanizmaları inceler ve kırmaya (çözmeye) çalışır. Kriptosistemler, kriptografide tanımlananların, donanım veya yazılımlarca implemente edilmiş sistemleridir.
Kriptografinin Temel Amaçları Gizlilik (Confidentiality of Content) Mesaj Bütünlüğü (Integrity of Content) Gönderici Kimliğini Doğrulama (Authentication) İnkâr Edememezlik (Non-repudiation)
X Elektronik Tehditler Gönderici Alıcı Değiştirme Düşman Gönderici Dinleme Düşman Gönderici Oluşturma Düşman Alıcı Gönderici Engelleme Düşman Alıcı X
Elektronik Haberleşme / Veri İşlemede Güvenlik Çözümleri Gizlilik; Veri şifreleme Bütünlük; Sayısal Sertifikalar, e-imza, e-Kimlikler Kimlik Doğrulaması; Özetleme Algoritmaları, Mesaj Özütü (Hash functions), Sayısal İmzalar İnkâr Edememezlik; e-imza, İşlem Kayıtları
Internet Kimliğiniz taklit edilebilir (Kimlik ispatı) Sen ne yaptığını sanıyorsun?! Kimliğiniz taklit edilebilir (Kimlik ispatı) Mesajınız dinlenebilir (Gizlilik) Internet Ayşe Bora Mesajınız değiştirilebilir (Bütünlük) Barış Barış’ın Bankası ! Saat 10’da Saat Kulesi’nde ! Teleferik, ne romantik ! Buluşmaya kadar dinlenmeliyim ! Bora ?! Ben yapmadım, parayı ben çekmedim! Saat 9’da teleferikte ! Hesabıma havale Selamlar, Barış... Bakalım ne yapıyorlar ?! Yapan inkar edebilir (İnkar edilememezlik) Barış Ayşe
Elektronik Sertifika Elektronik imzanın çalışabilmesi için, hangi anahtar çiftinin kime ait olduğunun bilinmesi Anahtar çifti üretimi Doğru kimlik tespiti Güvenilir bir kurum tarafından anahtar çiftinin (doğrulama verisinin) kime ait olduğunun beyanı “elektronik sertifika” ile sağlanır
Genel İşleyiş YASAL ALTYAPI BİREYLER / KURUMLAR MAHKEMELER TELEKOMÜNİKASYON KURUMU Yasalar Yönetmelikler Tebliğler Genelgeler ANLAŞMA ASDLFKJSDLKFSDFKJSDLKJFSLDKJFSDKFJSLDFSDLFSKDFHSKDFHSDKFHSKDJFHSDK IUTYITYTIYIYIYIYIYTIYITYITYRITYIUTYIETYEIRTYT POLİTİKA ARAÇLARI ve ANLAŞMALAR Sİ ve SUE Kullanıcı Anlaşmaları Güvenen Taraf Anlaşmaları BİREYLER / KURUMLAR SERTİFİKA HİZMET SAĞLAYICILARI Kullanıcılar Güvenen Taraflar Sertifika İptal Listeleri SÜREÇLER Anahtar Yönetimi Sertifika Dağıtımı Sertifika İptali Diğer Kayıtlar İsim Unvan SERTİFİKA TEKNOLOJİ Y a z ı l ı m v e D o n a n ı m Ü r ü n l e r i STANDARTLAR ISO ITU ANSI RSA Labs NIST ETSI KRİPTOGRAFİK ALGORİTMALAR Tek Anahtarlı Yöntemler Çift Anahtarlı Yöntemler Özet Yöntemleri MEKANİZMALAR Sayısal İmzalama Şifreleme Mesaj Gönderme 3$½{2
Açık Anahtar Mimarisi (PKI – Public Key Infrastructure) Açık ağlardan gönderilen iletiler 3. şahıslar tarafından dinlenme ve değiştirilme tehdidi altındadır. Dinlenebilir --- Değiştirilebilir --- Kimlik taklit edilebilir Veri iletişimi güvenliğini sağlamak için kullanılan çözümler Asimetrik algoritma Simetrik algoritma Açık anahtar mimarisi ile veri iletişiminde; Gizlilik Kimlik Doğrulama Bütünlük İnkar edememe Koşullarının tümü yerine getirilmiş olur. Gizlilik ilkesi sağlanmış olur
Açık Anahtar Mimarisi (PKI – Public Key Infrastructure) Açık Anahtar Altyapısı (PKI – Public Key Infrastructure) Şifreleme ve şifre çözme, bir anahtar çifti kullanılarak yapılır: (Açık + Özel Anahtar) Haberleşen taraflar: Aynı şifreleme algoritmasını kullanırlar Birbiriyle uyumlu gerçeklemeler kullanırlar Gerekli anahtarlara erişebilirler Özel anahtar gizli tutulmalıdır
Sayısal İmza / e-imza (Digital Signature) Kriptografik dönüşümdür Mesajın sonuna eklenir Mesaj alıcısının, mesajın göndericisinin kimliğini doğrulamasını ve mesajın bütünlüğünü kontrolünü sağlar İnkâr edememezlik hizmetini sağlar Asimetrik kriptografi kullanır Islak imzanızla aynı mantıktadır; aynı ticari ve yasal geçerliliğe, yükümlülüklere sahiptir.
Sayısal İmza (e-imza) Kullanım Senaryosu Açık Anahtarlı İmzalama Açık Mesaj Açık Mesaj Ekteki satış sözleşmesini yetkili kişi olarak onaylıyorum Ekteki satış sözleşmesini yetkili kişi olarak onaylıyorum Açık ve İmzalı Mesaj Ekteki satış sözleşmesini yetkili kişi olarak onaylıyorum =? Göndericinin Özel Anahtarı + Göndericinin Açık Anahtarı İMZALAMA ALGORİTMASI Mesajın İmzası f.+8UH7’x Mesajın İmzası f.+8UH7’x ONAYLAMA ALGORİTMASI
e-imza Kullanım Senaryosu Ayşe’nin Gizli Anahtarı Ayşe’nin Açık Anahtarı Mesaj Ayşeden geliyor Düz Metin Mesajı İmza kontrolü İmzalı Mesaj Ali Ayşe İmzala
Asimetrik Kriptografi Kullanım Senaryosu Açık Anahtarlı Şifreleme Açık Mesaj Açık Mesaj Yeni yatırım stratejilerimiz ve gireceğimiz ihaleler şunlardır:... Yeni yatırım stratejilerimiz ve gireceğimiz ihaleler şunlardır:... Şifrelenmiş Mesaj ŞİFRELEME ALGORİTMASI ŞİFRE ÇÖZME ALGORİTMASI Daı389.şi;;Ü134Qwerh.ıemeeeç..i!^e3e1oĞ5we!%kog0*fh9fgkssr490kd*45kmfzğc-0hh Alıcının Açık Anahtarı Alıcının Özel Anahtarı
Açık anahtarla Şifreleme (Kripto) Kullanım Senaryosu Sadece Ali benim mesajımı okuyabilir Ali’nin Açık anahtarı Ali’nin Gizli anahtarı Düz Metin Mesajı Düz Metin Mesajı Şifrelenmiş Mesaj Şifrele Deşifrele Ayşe Ali
E-imza; Nerelerde Kullanabiliriz ? Nerelerde kullanılır? E-postalarla haberleşmede Ağlar arası veri iletimi, aktarımında Bilgisayarlarınızdaki değerli veriler, dosyalar, dizinler üzerinde 1. Oturum sonu
Elektronik İmza Kanunu Denetim ve Ceza Hükümleri; 5070 sayılı EİK Elektronik İmza Kanunu Denetim ve Ceza Hükümleri; MADDE 15.“DENETİM” MADDE 16.“İmza Oluşturma Verilerinin İzinsiz Kullanımı Suçu” MADDE 17. “Elektronik sertifikalarda sahtekârlık suçu” MADDE 18. “İdarî para cezaları” MADDE 19. “İdarî nitelikteki suçların tekrarı ve kapatma”