Sanal Ortamda Kimlik Tanıma Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI) KOBIL Systems GmbH (www.kobil.com)

Güvenliğin Temel Ögeleri INTERNET MÜŞTERİ “Bir zincir en zayıf halkası kadar sağlamdır” BANKA Kimlik Doğrulama (Authentication) Müşterinin Bankayı Tanıması Bankanın Müşteriyi Tanıması Gidip Gelen Bilgilerin Doğruluğu (Integrity) Gidip Gelen Bilgilerin Gizliliği (Confidentiality) MÜŞTERİ

Güvenlikteki Dengeler Ulaşılacak miktar arttıkça, kötü niyetli kişiler sistemi kırmak için daha fazla para, zaman ve emek harcayacaktır Güvenliği artırmak için sistem maliyetleri artacaktır Güvenliği arttırmak için harcanan para Güvenlik (Security) Kullanılabilirlik (Usability) Sistemi kırmak için harcanan para Hedef güvenliği arttırarak sistemi kırma maaliyetlerini arttırmak, kullanılabilirliği ve sistem maliyetlerini makul seviyede tutmak olmalıdır

Farklı Dağıtım Kanallarında Farklı Kimlik Tanıma Yöntemi + İMZA ŞUBE MÜŞTERİ MÜŞTERİ ATM KART + PİN INTERNET MÜŞTERİ BANKA KOD + ŞİFRE

TEHDİT 1: İçeride Banka Çalışanları INTERNET MÜŞTERİ BANKA BANKA ÇALIŞANI MÜŞTERİ

1. ADIM : Banka İçinde Güvenliğin Sağlanması INTERNET MÜŞTERİ Banka içi Network Güvenliği Müşteri Veri Tabanının Güvenliği Yetkili Kişilerin Belirlenmesi Yetki Sınırlarının Belirlenmesi Odalara ve Sistemlere Giriş Kontrolü Antivirüs Programları ....... BANKA BANKA ÇALIŞANI MÜŞTERİ

TEHDİT 2 : Dışarıdan Sistemlere Ulaşabilenler INTERNET MÜŞTERİ BANKA MÜŞTERİ

2. ADIM : Dışarıdan Sisteme Giriş Kontrölü INTERNET MÜŞTERİ BANKA Firewall Intrusion Detection ....... MÜŞTERİ

TEHDİT 3 : Network Paketlerine Ulaşabilenler INTERNET MÜŞTERİ BANKA MÜŞTERİ

3. ADIM : 128 bit SSL Kullanılması INTERNET MÜŞTERİ BANKA SSL SSL MÜŞTERİ

TEHDİT 4 : Müşteri Bilgisayarına Ulaşabilenler SSL INTERNET MÜŞTERİ BANKA SSL MÜŞTERİ

TEHDİT 4b : Müşteri Şifresini Ele Geçirenler SSL INTERNET MÜŞTERİ SSL BANKA SSL MÜŞTERİ

SSL in Öbür Ucundaki Kişi Gerçekte Kimdir ? INTERNET MÜŞTERİ BANKA ? SSL MÜŞTERİ ???

Kimlik Tanımadaki Faktörler Bildiğin Birşey (Örnek : Şifre, Anne kızlık soyadı, doğum yeri...) Sahip Olduğun Birşey (Kopyalanamamalı, Örnek : Akıllı Kart) Sadece Kişiye ait bir Özellik (Eşsiz olmalı, Örnek : Biometrik özellikler)

Sadece Bildiğin Birşeye Güvenmek (One Factor Authentication) ETRAFINIZDAKİ KİŞİLER Statik Şifre Doğum tarihi ...... SSL INTERNET ? Firewall MÜŞTERİ MÜŞTERİ BİLGİSAYARINA İNDİRİLEN SOLUCANLAR, TRUVA ATLARI BANKA BANKA ÇALIŞANI

Bildiğin Birşeye + Sahip Olduğun Birşeye Güvenmek (Two Factor Authentication) ETRAFINIZDAKİ KİŞİLER SSL PIN INTERNET ? Firewall MÜŞTERİ MÜŞTERİ BİLGİSAYARINA İNDİRİLEN SOLUCANLAR, TRUVA ATLARI BANKA BANKA ÇALIŞANI

İki Faktör  Kimlik Tanıma Yöntemleri Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI) KOBIL Systems GmbH

Birdefalık Şifreler (One Time Password -OTP) SSL PIN INTERNET ? Firewall OTP OTP OTP PIN BANKA OTP token OTP sunucu Senkronize Çalışır

Birdefalık Şifreler (One Time Password -OTP) SSL PIN INTERNET ? Firewall OTP OTP + PIN OTP + PIN BANKA OTP token Senkronize Çalışır OTP sunucu

Mevcut Sistemde OTP Kullanım Şekli EKRAN 1 EKRAN 2 Kullanıcı Kodu Şifre Statik Şifre OTP EKRAN 3

Banka Sunucusunda OTP Kimlik Doğrulama Kullanıcı Kodu + Şifre Statik Şifre 2. ekran + OTP OTP sunucu WEB sunucu Static Şifre sunucu Kullanıcı Veri Tabanı

OTP’nin Avantajları İki faktör kimlik dogrulama sağlar Banka tarafında ; OTP sunucu kurulumu kolay OTP dağıtımı kolay Maliyeti diğer sistemlere göre düşük Farklı kanallarda kullanılabilinir (Fonobank gibi...) Müşteri tarafında ; OTP Kullanımı kolay OTP-Token taşınabilir olduğundan “Mobilite” sağlar Yazılım yüklenmesi gerekmez İşletim sisteminden bağımsız

Açık Anahtar Altyapıları ve Dijital İmza Yardım Masası Şubeler Yeni Müşteri Listesi Veri Tabanı KullanıcıID... Yönetim Programı Kayıt Kabulü Müşteri Telefon ile Aktivasyon Email ile Aktivasyon Web Browser CSP / PKCS11 Dağıtım SSL Kimlik Tanıma Web sunucu Sayfa 2 1 FILTER TRUST CENTER UserID, DN Kart Basım Modülü Sertifika Otoritesi Sertifika Seri No, Kart No, PIN, PUK

Açık anahtar Altyapısında (PKI) Temel Adımlar KULLANICILARIN SİSTEME KATILIMI Kullanıcı Kayıt ( Registration Authority - RA ) Yetkili Merkezde Kart Basılması / Sertifia Dağıtımı ( CA ) Basılan Kartların Kullanıcıya iletilmesi ve Aktif Edilmesi UYGULAMALAR CSP veya PKCS11 modülleri yardımıyla Akıllı Kart kullanımı Diğer kullanıcılara ve sunuculara ait sertifikaların bulunması İptal edilmiş sertifikaların (CRL) kontrolü PERİYODİK İŞLEMLER Sertifia Yenileme (1-2 yıl) Kart ( anahtar ve sertifika ) yenileme (2-4 yıl) DİĞER Kart / PIN çalınması veya kullanıcı ayrılışında Sertifika İptali

PKI Uygulamalarındaki KATMANLAR Her bir katman bir alt katmana bağlıdır Kart + Okuyucu Sertifika Yenileme Sistemi Sertifika Aktivasyon ve İptal İşlemleri Sertifika Dağıtım ve Kart Basım Yazılım ve Donanımları Sertikika Otoritesi Uygulama ağındaki kullanıcıların Veri Tabanı ve Yönetim Programı Bu katmanda varolan kullanıcı veri tabanına entegrasyon önemlidir Kimlik Tanıma, Gizlilik, Bilgi Bütünlüğü, ve İnkar Edememe gerektiren uygulamalar ( InternetExplorer, Outlook, Netscape .... )

Bir PKI Uygulamasındaki GENEL KOMPONENTLER Kullanıcı Veri Tabanı ve Kayıt Yönetim Sistemi (LDAP, AD, ACCESS, SQL Server... , Veri tabanı yönetim programı) Sertifika Otorite Yazılımı (Microsoft CA) Otomatik Sertifika Dağıtım ve Kart Basım Sistemi (Kart Yazıcısı, PIN/PUK Yazıcısı, Sertifika Dağıtım Programı) Kullanıcı PC sindeki Yazılım ve Donanımlar (TCOS, CSP, P11, KOBIL kart okuyucu) Aktivasyon ve Sertifika İşlemleri için Yönetim Sistemi (Veri tabanı yönetim programı) Sertifika Yenileme Sistemi (Kullanıcı Veri Tabanında Yapılacak Kontroller) Uygulamalar (Kullanıcı + Sunucu) (MS VPN, IE, Outlook, .NET, ...)

PKI ve OTP Karşılaştırması Her iki çözümde 2 faktör kimlik dogrulama sağlar PKI’ın OTP ye göre dezavantajları ; PKI kurulumu ve kart + okuyucu dağıtımı zordur Müşteri bilgisayarına yazılım yüklenmektedir Mobilite kolaylığı azalır Her işletim sistemi desteklenmeyebilir Kurulum ve İşletim Maliyetleri OTP ye göre yüksektir PKI’ın OTP’ye göre avantajları ; Kimlik doğrulama dışında şifreleme sağlar Email ve Dosya şifreleme /imzalamada kullanılabilinir B2B işlemlerde kullanılabilinir “Dijital İmza Kanunu” ve hukuksal güvence Transaction’ların imzalanması

PKI ile Şifreli ve İmzalı Email Alışverişi INTERNET PIN Firewall Email Server BANKA Güvenli E-mail Alış Verişi BANKA ÇALIŞANI #$%&{**!!*+?? MÜŞTERİ #$%&{**!!*+??

PKI ile Şifreli ve İmzalı Dosya (Raporlar/Emirler) Alışverişi INTERNET PIN Firewall File Server BANKA Güvenli Dosya Alış Verişi BANKA ÇALIŞANI #$%&{**!!*+?? MÜŞTERİ #$%&{**!!*+??

PKI ve B2B INTERNET KURUMSAL MÜŞTERİ Kimlik Doğrulama, ve Para Transferi BANKA Alım ve Ödeme Emirleri KURUMSAL MÜŞTERİ B2B PAZARYERİ

PKI Güvenliğinde, Bankacılık İşlemlerinin Muhasebe Programlarına Entegrasyonu SSL Bankacılık İşlemleri Firewall INTERNET BANKA KURUMSAL MÜŞTERİ Muhasebe İşlemleri

PKI Güvenliğinde, Bankacılık İşlemlerinin Muhasebe Programlarına Entegrasyonu Muhasebe ve Bankacılık İşlemleri Firewall INTERNET KURUMSAL MÜŞTERİ BANKA

PKI’ın Getirdiği Avantajlar Bugün Fax ile, kurye ile yada floppy-disk üzerinde şubeye gönderilen raporlar, sıralı işlemler, v.s. gibi pekçok bankacılık hizmeti, İnternet üzerinde online olarak anında gerçekleşebilir Yazılı olarak (hard copy) veya dijital olarak (soft copy) gelen pek çok işlem, kontröller için ve işlemlerin gerçekleştirilmesi için ekstra personel çalışmaktadır Dolayısıyla PKI kullanımına geçmek başlangıç maaliyetleri arttırsada, orta ve uzun vadede maaliyetleri düşürecektir

PKI Uygulamasındaki Riskler PKI ın güvenliği anahtar-yönetimine (anahtar üretim, dağıtım, yenileme, iptal işlemleri) ve müşteri anahtarlarını saklama, kullanma yöntemlerine bağlıdır PKI kurulumunda veya sistemin işletilmesinde yapılacak hatalar büyük güvenlik riskleri oluşturabilir Sisteme dahil olan tüm kullanıcılar yeterli güvenlik bilgisine sahip olmalıdır. Aksi halde kullanıcılar zararlı programlarla yanıltılabilirler (Örneğin. Kullanıcı PC sindeki CA sertifikalarının değiştirilmesi veya program arayüzlerini taklit ederek kart ve PIN girişi istenmesi)

Kullanıcılara ait Gizli Anahtarların Güvenliği Anahtar üretimi ve yönetimi merkezde kurulacak bir TRUST CENTER da yapılmalıdır Anahtarlar fiziksel güvenlik sağlayan akıllı kartlara yazılmalıdır Akıllı kartlar PIN ile korunmalıdır PIN üretimi ve dağıtımı en az anahtarlar kadar güvenli olmalıdır

İdeal Anahtar Üretimi ve Kullanımı Anahtarlar Trust-Center da Offline olarak ve Güvenli bir ortamda basılır Anahtarlar asla kartı terk etmez Client tarafında asla anahtar üretilmez Sertifika yenileme işleminde farklı anahtar kullanabilmek için, Trust-Center da kart basım esnasında karta birden fazla anahtar çifti yüklenir ve ilk anahtar çifti ile ilişkili tek bir sertifika yazılır Her sertifika yenileme işleminde bir başka anahtar çifti kullanılır. Eski sertifika silinir.

BU MERKEZ OFF-LİNE ÇALIŞMALI VE GÜVENLİĞİ SAĞLANMALIDIR İdeal TRUST CENTER Yazılım veya Donanım Olabilir PIN/PUK Üretim RSA Anahtar Üretim PIN/PUK Anahtar Sertifika Kullanıcı VeriTabanı KART BASIM Programı PIN/PUK Sertifika Otoritesi HSM BU MERKEZ OFF-LİNE ÇALIŞMALI VE GÜVENLİĞİ SAĞLANMALIDIR

Akıllı Kart ve Okuyucu Seçimi Müşteri anahtarları akıllı kartı asla terk etmemeli ve crypto coprocessor e sahip kartlar kullanılmalıdır. Bu sayede RSA işlemleri on-board gerçekleştirilmelidir Anahtarları kart üzerinde koruyan PIN de en az anahtarlar kadar önemlidir. PIN leri korumak içinde üzerinde keypad i olan ve secure-PIN-entry imkanı sunan kart okuyucuları kullanılmalıdır

Akıllı Kart Terminalleri Sınıf -2 Sınıf -1 Sınıf -3