Güvenlik Mekanizmalarında Kriptografik Akıllı Kartlar Mert ÖZARAR mert.ozarar@turktrust.com.tr Aralık, 2006

İçerik Ağ Güvenliği Akıllı kartlar Olası Tehlikeler Kriptografinin Misyonu Kriptografik Servisler, İlkeler ve Algoritmalar Akıllı kartlar Kavramlar Uygulamalar Mimari Türler Güvenlik Mekanizmalarında Akıllı Kartlar Kriptografik Akıllı Kartlar Güvenlik Standartları Güvenliği Arttıran Özellikler

Olası Tehlikeler Nelerdir ? Gönderen Alıcı Gizlilik: verinin izinsiz açığa çıkması Bütünlük: verinin izinsiz değiştirilmesi Kimlik Denetimi: hizmetin izinsiz kullanımı

Kriptografinin Misyonu Aşağıdaki hususlarda güveni sağlamak: mesajın ve/veya gönderenin hakiki olması mesaj bütünlüğü mesaj gizliliği (bazen) Mekanizmada taraflar arasında algoritma tabanlı sır saklama işlevi

Kriptografik Servisler şifrele Ters şifrele mesaj Anahtar Şifreleme (gizlilik) Anahtar = ? şifrele mesaj MDK Mesaj Doğrulama Kodları (bütünlük) = ? Key Soru şifrele Anahtar karşılık Elektronik imzalar (kimlik denetimi)

Kriptografik İlkeler temelinde: Kerckhoff prensibi: Anahtar gizliliği Güçlü algoritmalar (NP-hard) {Mesaj/Şifreli_metin} çiftinden anahtar tahmini güç Gerekli anahtar uzunluğu (olası bütün seçenekler denenmemeli) Kerckhoff prensibi: Güçlülük anahtarın gizliliğinde olmalı, Algoritma herkes tarafından bilinir olmalı

Kriptografik Algoritmalar Bilgisayar Bilimi açısından iki çeşit algoritma tipi: Bitlerin tekrarlı permütasyonları ve yer değişiklikleri: AES, 3-DES, IDEA, Blowfish … Simetrik anahtar Matematiksel hesaplamalar: RSA, DSA, El-Gamal, sıfır-bilgi, eliptik eğriler ... Açık Anahtar

Akıllı Kart Kavramı Akıllı Kart: veri tutan, (ör. profil, hesaplar, kişisel veri) kriptografik hizmetler sağlayan (ör. kimlik denetimi, gizlilik, bütünlük) işleme yeteneğine sahip, küçük ve kişisel, güvenli bir aygıttır. 1234 5678 8910 Seda KIZIL

Akıllı Kart Kullanım Alanları Perakende Eğlence Telekomünikasyon Ulaşım Sağlık Devlet E-ticaret Bankacılık Eğitim Ofis

Akıllı Kart Uygulamaları Perakende elektronik cüzdan, yongalı kredi kartları satış makineleri akıllı etiketler Telekomünikasyon GSM telefon kartları Ulaşım toplu taşıma park yol düzenlemesi (ERP) Eğlence DigiTürk kombine kartlar

Akıllı Kart Uygulamaları Sağlık sigorta kişisel bilgiler kişisel dosyalar Devlet hüviyet pasaport ehliyet E-ticaret bilgi satışı ürün satışı bilet satışı Bankacılık hesaplara erişim işlem yapma hisse senetleri

Akıllı Kart Uygulamaları Ofis Uygulamaları fiziksel erişim ağ erişimi zaman kaydı güvenli e-posta & web uygulamaları Eğitim fiziksel erişim ağ erişimi kişisel bilgiler kafeterya

Akıllı Kart Mimarisi Fiziksel Görünüm: - kredi kartı veya SIM ebatlarında - temaslı ya da temassız Vcc Reset Clock Gnd Vpp I/O

Akıllı Kart Bileşenleri Merkezi İşleme Birimi (CPU): Yonganın kalbi CPU

Akıllı Kart Bileşenleri Güvenlik Entegresi: Anormal durumları farketme Ör: Düşük voltaj CPU güvenlik entegresi

Akıllı Kart Bileşenleri Seri I/O Arayüzü: Dış dünya ile iletişim CPU güvenlik entegresi seri I/O arayüzü

Akıllı Kart Bileşenleri Test Entegresi: self-test prosedürleri test entegresi CPU güvenlik entegresi seri I/O arayüzü

Akıllı Kart Bileşenleri ROM: kart işletim sistemi self-test prosedürleri eskiden 16 kilobayt şimdi 32/64 kilobayt test entegresi CPU ROM güvenlik entegresi seri I/O arayüzü

Akıllı Kart Bileşenleri RAM: - işlemcinin ‘bloknotu’ - eskiden 512 bayt - şimdi 2 kilobayt test entegresi CPU ROM güvenlik entegresi RAM seri I/O arayüzü

Akıllı Kart Bileşenleri EEPROM: kriptografik anahtarlar PIN kodu biyometrik şablon denge uygulama kodu eskiden 8 kbytes şimdi 32/64 kbytes test entegresi CPU ROM güvenlik entegresi RAM seri I/O arayüzü EEPROM

Akıllı Kart Bileşenleri CPU RAM test entegresi ROM EEPROM seri I/O arayüzü güvenlik entegresi Veri Yolu Veri Yolu: - yonga elemanları arasındaki bağlantı - 8 yada 16 bit genişliğinde

Akıllı Kart Yonga Örneği

Akıllı Kart Türleri

Akıllı Kart Güvenlik Özellikleri Donanım kapalı paket hafıza sarma sigortalar güvenlik entegresi (sensörler) kriptografik yanişlemci ve rasgele sayı üreteci Yazılım uygulamaların ve işletim sisteminin ayrımı uygulamaların ayrılığı (Java card) sınırlı dosya erişimi hayat döngüsü kontrolü çeşitli kriptografik algoritmalar ve protokoller

Kriptografik Akıllı Kartlar Kriptografik kartlar ya da kripto kartlar ilave kriptografik işlemleri (e-imza ve şifreleme) destekleyen işlemciye sahip hafıza kartlarıdır Kripto kartlar gizli anahtarları güvenli tutmak için özel olarak tasarlanırlar.

Kriptografik Akıllı Kartlar Bu kartlar gerçek zamanlı kriptografik işlevleri de kart üzerinde gerçekleştirirler böylece gizli anahtar hiçbir zaman kartı terketmez EEPROM’ları darbeye dayanıklı olarak tasarlandığından yetkisiz kişilerce kart içeriğinin açığa çıkması imkansıza yakındır. Açık Anahtarlı Sistem’lerde kritik rol üstlenirler

Akıllı Kart Genel Standartları EMV PC/SC Çalışma Grubu GSM Standartları G-8 Sağlık Standartları ISO ANSI Uluslararası Hava ve Ulaşım Birliği

Güvenlik Standartları Prensipleri Çoklu-platform Açık Katılım Birlikte Çalışabilirlik Gerçek, Fonksiyonel Tecrübe, Ürünler Genişletilebilirlik

Güvenlik Odaklı Standartlar JavaCard: -“Birkere kodla, heryerde yürüt” Common Data Security Architecture: - Intel ürünü - Açık, birlikte çalışabilir,genişletilebilir, çapraz-platform yazılım altyapısı Microsoft Cryptographic API: - Win32 tabanlı - Kriptografik uygulamalar - Sertifika Yönetimi

Güvenlik Odaklı Standartlar PKCS#11: Kriptografik Çubuk Arayüz Standartı : - Uygulama Programlama Arayüzü (UPA), Cryptoki - Kriptografik işlevler - Kriptografik bilgiyi saklama PKCS#15: Kriptografik Çubuk Veri Formatı Standartı: - Uygulamanın Kriptografik Çubuk Arayüz Sağlayıcısı’ndan bağımsız olarak çubukların uygulamalara kendilerini tanıtması standartı - Birlikte çalışabilirlik

PKCS#11 - Sunulan UPA Servisleri

Akıllı Kart Özellikleri İki aşamalı kimlik denetimi Gizli anahtarların güvenli tutulması İnkar edilemezlik Gizli anahtar kartı terketmez Tek Oturum Açma Sadece PIN, parolalara gerek yok Mobilite Çoklu uygulamalar tek kartta

Akıllı Kart Özellikleri Kişisellleştirme Fiziksel ve elektronik Açık Anahtar Altyapısı Açık/Gizli Anahtar çifti Sadece kart sahibi gizli anahtarını kullanabilir Güvenilir üçüncü taraflar açık anahtarların yönetimini üstlenir Ekonomik Faydalar Kağıtsız ortam İşgücü kaybını engeller

Akıllı Kart Özellikleri Kişisel ayarlanabilme Parola tabanlı sistemlerin güvenliğini arttırma Unutkanlık Zayıf parolalar Paylaşım PIN hatalı giriş sayısı kısıtı Anahtarların ve Sertifikaların Taşınabilirliği

Sonuçlar Akıllı kart teknolojileri gelişmekte olup, çoğu alanda uygulamaları vardır. Güvenlik Mekanizmalarında da önemli rol oynarlar. Hizmeti kolaylaştırır, güveni arttırırlar. Kusursuz güvenlik akıllı kartlar için bile olası değildir. Risk analizi hayatidir.

Güvenlik Mekanizmalarında Kriptografik Akıllı Kartlar Mert ÖZARAR mert.ozarar@turktrust.com.tr Aralık, 2006