Sertaç Çelikyılmaz Genel Müdür Elektronik Bilgi Güvenliği A.Ş. Türkiye’de Kurumlar İçin e-Güven Altyapısı 08 – 09 Aralık 2004, İstanbul
Internet ve Güvenlik Internet ile birlikte, tüm bilgisayarlar global bir haberleşme ağının içine girmiş oldu. Global ağın oluşması bazı problemleri beraberinde getirdi: » İnkar Edilebilme : Mesajı gönderip/göndermediğini inkar edebilme » Kimlik Doğrulama: Mesajı gönderenin kimliğinden emin olamama » Bütünlük : Mesajların içerinin değiştirilebilmesi » Gizlilik : Mesajların içeriklerinin görülebilmesi.
Güvenli Elektronik İmza (e-İmza) Elektronik ortamlarda ise bu işlevi “elektronik imza” sağlıyor. Elektronik İmza : “Bir elektronik veriye eklenen ve göndereni emsalsiz (unique) şekilde tanımlayan bir sayısal kod” e-Ticaret alanında e-imza, bir “güven” sağlıyor. Çünkü, İmzalayanın kendi isteği ile onayını (inkar edememe) İmzalayanın “o kişi” olduğunun tanılanmasını (kimlik doğrulama) Dökümanın içeriğinin değişmediğini (bütünlük) “garanti” ediyor. Verinin gizliliği ise bir kriptolama ile sağlanıyor. (gizlilik)
Uygulamalar / Kullanım Alanları » Özel Sektör İnternet Bankacılığı (Alana güvenli giriş, güvenli ödeme işlemleri, online hesap açımları) Sigorta İşlemleri, Menkul Kıymetler Kağıtsız Ofisler e-Sözleşmeler e-Sipariş
Uygulamalar / Kullanım Alanları » Kamu Sektörü Başvurular (Kamu Personeli, Pasaport vb.) Yerel Yönetim Uygulamaları Vergi Ödemeleri (e-Beyanname) Kurumlar Arası İletişim ( Emniyet Müdürlüğü – Nüfus İdaresi) Sosyal Güvenlik Uygulamaları (e-Bildirge) Sağlık Uygulamaları (Sağlık Personeli – Hastane – Eczane) Elektronik Oy
Sağlanan Faydalar (Kurumsal) Kurumların kurumsal müşterileri ile daha etkin, güvenli bir ortamda bilgi alışverişi yapabilmesi ve müşteri güveninin en üst düzeye çıkması Elektronik bankacılık, ticaret ve elektronik ödemelerin yaygınlaşması İş akışlarının düzenlenmesine katkı: Kağıt ortamında gerçekleşen kredi kartı, bireysel kredi, leasing v.b. başvuruların elektronik ortamda yapılması sağlanarak tasarruf ve etkinlik Azalan yönetim ve kurum içi iletişim giderleri Yukarıda bahsi geçen ve ıslak imza gerektiren hizmetlerin elektronik ortamda sunulmasını sağlayarak, sahip olunan müşterilerden yeni gelir kaynaklarının yaratılabilmesi Sosyal paydaşlar arasında güven ağı (Holding şirketleri, tedarikçiler, kurumsal müşteriler, bireysel müşteriler, çalışanlar) Finans kuruluşlarının kendi aralarında ve kamu kurumlarıyla uygulamalarında karşılıklı işlerlik
Sağlanan Faydalar (Bireysel) » İnternet üzerinden işlemlerde ve haberleşmede teknolojinin sunabildiği en üst seviyede güvenlik ve Elektronik İmza Kanunu ile tanınan hukuki korunma » Güvenli ve hukuki geçerliliğe sahip e-Devlet, e-Yerel yönetim uygulamaları, e-Ticaret ve e-İş uygulamalarında bulunabilme » Bankacılık, kamu ve çeşitli ticari işlemlerinde zamandan ve paradan tasarruf sağlama olanağı
“Elektronik İmza Kanunu” 1 Ne Sağlıyor ? » “Güvenli elektronik imza”, “ıslak imza” ile aynı hukuki etki ve sonuçları doğuracak » Güvenli elektronik ile imzalanmış belgeler aksi ispat edilene kadar hukuk alanında kesin delil sayılacak » Güvenli elektronik imza’nın olmazsa olmaz unsuru olan “nitelikli elektronik sertifika” yalnızca bu kanuna tabi “Elektronik Sertifika Hizmet Sağlayıcıları” tarafından temin edilebilecek » e-Güven... “Elektronik İmza Kanunu” hükümlerine uyumlu operasyonlarda bulunan, Türkiye’nin ilk YEREL “Elektronik Sertifika Hizmet Sağlayıcısı” olmak üzere kurulmuştur Sayılı Elektronik İmza Kanunu
E-Güven E-İmza’lı Mesaj Gönderme Örneği Elif Emre Açık Anahtar Açık Anahtar Kapalı Anahtar Kapalı Anahtar E-Posta mesajı Elektronik İmza Mesaja e-İmza’yı ekle Mesaja e-İmza’yı ekle Kapalı Anahtarla İmza Yarat Kapalı Anahtarla İmza Yarat Şifrele Şifrelenmiş Mesajı (gizli) Gönder E-İmza 1. Elif’in Kapalı Anahtarı e-İmza yaratır (KİMLİK DOĞR.) 2. Emre’nin Açık Anahtarı mesajı şifreler (GİZLİLİK)
E-Posta mesajı E-Güven Açık Anahtar Kapalı Anahtar E-Güven Açık Anahtar Kapalı Anahtar Elif Emre Şifrelenmiş Mesaj (gizli) E-İmza De-Şifrele E-İmzayı ayır E-İmzayı ayır E-İmza Sayısal İmza = E-İmza E-İmzayı yarat E-İmzayı yarat E-İmza Sayısal İmza E-İmza’lı Mesajı Okuma Örneği 3. Elif’in Açık Anahtarı ile mesajdan E- İmza tekrar yaratılır (BÜTÜNLÜK) 4. E-İmza‘lar eşit, mesaj Elif’ten gelmiş (İNKAR EDEMEME)
Kamu için Önerilen Sertifika Hizmet Modeli Kamuda Tek bir SHS Olması, Kurumların Kayıt Kurumu gibi Çalışmaları ve Kamu Çalışanlarına Tek Elden Sertifika Dağıtılması Vatandaş Başbakanlık Çalışanları İçişleri Bak. Çalışanları Sağlık Bak. Çalışanları Belediye Çalışanları Kamu SHS e-Güven Çapraz Sertifikasyon Bankalar, Sigorta Kuruluşları vb. Başbakanlık Sağlık Bak.İçişleri Bak.Belediyeler Ticari SHS
İş Modeli Kurumlar Bireyler Elektronik Sertifika Sağlayıcısı “Güven” Kurumu İşletim Dış kaynak kullanımı İşletim faaliyetleri E-Sertifikaların Yönetimi E-Sertifika kullanan uygulamalar Müşterilere e-sertifika dağıtma Aynı e-sertifikaları farklı kurumlarda kullanabilme Elektronik ortamda “güvenli kimlik” sahibi olma
Global Kurumsal Güven Ağı Advanced Security Systems Mexico ArgentinaBrazil Japan Korea Taiwan HK India China iTrus Philippines Australia Asia - Pacific India Singapore, China TrustAsiaAcusign KuwaitEgypt Israel PT Trust South Africa Greece TrustWise UK Netherlands Megaplex Italy Spain IcelandFrance Europe WiseKey Switzerland Germany Canada Sweden Malaysia South Africa Denmark
E-Güven ile neler sağlanacak? » Kimlik Doğrulama » Gizlilik » Bütünlük » Yasal bağlayıcılık / İnkâr edememezlik
Güvenli Operasyon Verilerin ve Anahtarların Bulunduğu Alana Sınırlı Erişim Kök Sertifikaların saklı bulunduğu cihazlar güvenli kasalarda saklanır. Kasalar 2 anahtarla açılır. Hiç bir çalışan 2 anahtara birden sahip olamaz. Biometrik tarayıcılar gizli bilgilerin olduğu bölümlere girişlerde kontrolleri yaparlar. Bina içerisinde kart okuyucu ve kapalı devre TV ile koruma SO’nun merkezi: Online sertifika imzalayan cihazlarıyla çalışan sunuculardır. Erişim için kimlik kartları ve erişim kodları kullanılır.
Biometrik okuyucular kasaların olduğu bölmeleri girişlerde yeni kontrolleri yaparlar. SO’nun merkezi:kara kutular SO’nun online sertifika imzalayan cihazlarıyla çalışan sunuculardır. Kök Sertifikalar Cihazlara yetkisiz erişim olduğunda, yerinde çıkarışıdığında veya kırılmaya çalışıldığında kendiliğinden içeriklerini temizlerler. Kök Sertifikalar güvenli cihazlar üzerinde üretilir Güvenli Operasyon (Devam)
E-Güven Altyapısı Yöntem & Uygulamalar Doğrulama Güvenli Altyapı Uygulama Bütünleştirme Kullanıcı Desteği Uygulama Danışmanlığı Risk ve Sorumluluk Yönetimi Hizmet Elde Edilebilirliği E-İmza Yazılım ve Donanımı
E-Güven... » Sertifika Otoritesi Hizmet Sağlayıcısı » E-İmza ve E-Güvenlik Hizmetleri » Açık Anahtar Altyapısı Platformu
E-Güven “Altyapısı”... » Ölçeklenebilir: Binlerce Sertifika Otoritesi ve milyonlarca son kullanıcı desteği » Denenmiş Çözüm: Aynı platformda 5 yıldan fazla süredir binlerce SO yaratma ve yönetmede kullanılmaktadır » Kapasite: 1500 sertifika/saat, 15 milyon sertifika/yıl üretim kapasitesi » Maliyet: Düşük yatırım maliyeti / Düşük işletim maliyeti » Küresellik: Küresel güvenlik ağına bütünleşik VTN Bir E-Güvenlik ve E-İmza Hizmet Sağlayıcı Platformudur:
Elektronik bilgi güvenliğinde iş ortağınız