KARTLI ÖDEME SİSTEMLERİNDE GÜVENLİK

Slides:



Advertisements
Benzer bir sunumlar
E-İÇİŞLERİ KARŞILAŞILAN SORUNLAR
Advertisements

HUKUKİ YÖNLERİYLE ELEKTRONİK SERTİFİKA
GÜVENLİ BİR E-POSTA UYGULAMASI: GÜ-POSTA
Elektronik İmza.
NES-VPN KURULUM KLAVUZU
Veri Haberleşmesi Sunumu Konu : ZigBee
AES (Advanced Encryption Standart)
Elektronik ticarette güvenlik konusunda değerlendirilmesi gereken diğer bir konu da alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermek.
BİLGİ GÜVENLİĞİ «Kimlik Doğrulama ve Yetkilendirme» Yrd. Doç
Elektronik İmza ve Kavramlar
e-Fatura İşlemleri e-Fatura İşlemleri İçin Gerekli Adımlar
E-TICARET’TE GUVENLIK
Ağ Cihazları  Birden fazla bilgisayarın bilgi paylaşımı, yazılım ve donanım paylaşımı, merkezi yönetim ve destek kolaylığı gibi çok çeşitli sebeplerden.
(Data Encryption Standard) Şifreleme Algoritması
SİMETRİK ŞİFRELEME SİSTEMLERİ VE ÖZELLİKLERİ
GAZİOSMANPAŞA ÜNİVERSİTESİ PAZAR MESLEK YÜKSEKOKULU
Problemi Çözme Adımları
E-TICARET’TE GUVENLIK HASAN CIRPAN TICARET Ticaret “mal veya hizmetin satin alinmasi ve satilmasidir. Ticaretin elektronik ortamda yapilmasi.
3/10/2003Onur BEKTAŞ TUBİTAK ULAKBİM UlakNet IPv6 Planlananlar ve IPv6 Güvenliği Onur BEKTAŞ TÜBİTAK - ULAKBİM.
MD-5 (Message-Digest Algoritma).
ELEKTRONİK TİCARETTE ÖDEME ŞEKİLLERİ
ELEKTRONİK TİCARETTE GÜVENLİK 1. Eğer birisi sisteminize gerçekten zarar vermek istiyorsa muhtemelen bunu yapabilir. Ne yapılmalı? 2.
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
Temel Şifreleme Yöntemleri
Anahtar Bağımlı Bir Şifreleme Algoritması (IRON )
KRİPTO ALGORITMALARININ GELİŞİMİ VE ÖNEMİ
Güvenli Mikro SD Kart Tanıtımı
AKILLI ŞEBEKELERDE GÜVENLİK.
Elektronik Belge Yönetim Sistemi ve
Elektronik Değişim BAŞLADI !!! E-Çözümler
Strateji Geliştirme Daire Başkanlığı
BKM A.Ş. ORGANİZASYONU YÖNETİM KURULU 10 ÜYE – EŞİT OY HAKKI
T.C. MİLLİ EĞİTİM BAKANLIĞI
Uygulama Sağlayıcılar için Elektronik İmza
Asimetrik Şifreleme Sistemleri ve Özellikleri
ÇEVRİMİÇİ ÇEVRE İZİNLERİ
AKILLI KART SAĞLIK SİSTEMİ
GÜVENLİK CEP TELEFONLARINDA HAZIRLAYANLAR: - GONCA ÖCALAN
BİLİŞİM HUKUKUNUN 10 YILI: MOBİL İMZA ve TRUSTED SERVICE PROVIDER KONSEPTİ İSTANBUL BİLGİ ÜNİVERSİTESİ & ERZİNCAN ÜNİVERSİTESİ ERZİNCAN.
E-TICARET’TE GUVENLİK SİSTEMLERİ
Kurumsal PKI Uygulamarı Tolga KILIÇLI
ASİMETRİK ŞİFRELEME ALGORİTMALARINDA ANAHTAR DEĞİŞİM SİSTEMLERİ
Bilgi Toplumu Bilgi toplumu; temel üretim faktörünün bilgi olduğu, bilginin işlenmesinde ve depolanmasında da bilgisayar ve iletişim teknolojilerini baz.
Sertaç Çelikyılmaz Genel Müdür Elektronik Bilgi Güvenliği A.Ş. Türkiye’de Kurumlar İçin e-Güven Altyapısı 07 Ekim 2004, İstanbul Eczacıbaşı Holding.
E-TICARET’TE GUVENLIK İZZET FURKAN EKİCİ BDTA-3020.
Türk Hava Kurumu Üniversitesi
OPODER TİTUBB SİSTEMİNE (TÜRKİYE İLAÇ VE TIBBİ CİHAZ ULUSAL BİLGİ BANKASI) ISMARLAMA ORTOPEDİK PROTEZ ORTEZ KAYIT İŞLEMİ Aralık 2015.
Mobil İletişimin Gelişimi
İÇERİK YÖNETİM SİSTEMİ Öğr. Gör. Emine TUNÇEL Kırklareli Üniversitesi Pınarhisar Meslek Yüksekokulu.
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
Elektronik Belge Yönetim Sistemi ve Elektronik İmza Kasım 2015 Elektronik Belge Yönetim Sistemi Proje Sorumlusu Cumali YAŞAR.
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
Ağ Donanımları Ağ Nedir ? Ağ Donanımları Bridge Hub Switch Router
Bilgi Teknolojilerindeki Gelişmelerin Muhasebe ve Denetime Etkileri
Logo Netsis B2B
Öğr.Gör.Volkan ALTINTAŞ
Boğaziçi Üniversitesi Bütçe Uygulaması Kullanım Kılavuzu
E-İMZA KUBİLAY KOCABAL BİLGİ İŞLEM ORGANİZASYONU
E-İMZA.
ELEKTRONİK TİCARET Öğr. Gör. Canan ASLANYÜREK.
MUHASEBE YEDEKLEME.
E-imza.
E-TICARET’TE GUVENLİK SİSTEMLERİ
E - İMZA ANIL TUNCER
TinySec : Duyarga Ağları için Veri Bağı Katmanı Güvenliği
OSİ Modeli.
ISO Hijyen Uygulamaları
ETHERNET KARTI(AĞ KARTI)
102 - Çoklu Algoritma Desteğine Dayalı E-İmza Uygulaması (E-Signat)
SUNUM PLANI Yasal konular ve uygulamalar SUNUM PLANI
Sunum transkripti:

KARTLI ÖDEME SİSTEMLERİNDE GÜVENLİK Hakan ULUÖZ 504032505

Akış Giriş Manyetik Kartlı Ödeme Sistemleri Yeni Nesil Kartlı Ödeme Sistemleri Sonuçlar

Giriş Kartlı ödeme sistemlerinin yaygınlaşması, Eski sistemlerin sahteciliğe kolaylık tanıması, Mevcut iletişim altyapısının yetersiz kalması, İşlemlerin çoğunlukla gözden kaçabilecek küçük tutarlarda yapılması ve iletişimin getirdiği ek mali yük, Gittikçe yaygınlaşan ek uygulamaların getirdiği zorluklar, Nedenleri ile daha güvenli, bağlantısız çalışabilen esnek kartlı ödeme sistemlerine ihtiyaç duyulmuştur. 90’lı yıllarla başlayan çalışmalar sonucu dünyanın önde kart hak sahibi firmaları ( Europay, Mastercard, VISA ) ’96 yılında ilk gelimiş kartlı ödeme sistemi standardı EMV’yi yayımlamışlardır. Standart günümüze dek güncellenmeye devam edilmektedir.

Manyetik Kartlı Ödeme Sistemleri Kullanılan Güvenlik Yöntemleri : BIN ve LUHN kontrolü, Kara Liste Kontrolü, Limit Kontrolü, PIN Kontrolü, PIN Şifrelenmesi, PIN Kabul Cihazları, Mesaj Geçerlik Kontrolü,

Manyetik Kartlı Ödeme Sistemleri ( Devam ) Problemler : Manyetik Şeridin Kolaylıkla Kopyalanabilmesi, Listelerin Güncellenmesi, Zayıf PIN Şifreleme Yöntemi , Kartı Asıllamanın Mümkün Olmaması, Yetersiz Limit Kontrol Yöntemleri, Zayıf Cevap Mesajı Geçerlik Kontrolü, Güvenli İşlem Delillerinin Saklanamayışı

Yeni Nesi Kartlı Ödeme Sistemleri Akıllı Kartlar kullanan; terminal,kart ve gerektiğinde yayımcının işlem sürecine ortaklaşa etkidikleri bir sistem. Medyanın kopyalanmasını ya da değiştirilmesini önlemek, Uydurma medyalar üretilmesini engellemek, Etkin kart-kullanıcı asıllaması yapabilmek, Yayımcının asıllanabilmesi Yapılan işlemlerin güvenli delillerinin tutulabilmesi

İşlem Fazları Uygulama Seçimi, Uygulama Bilgileri-Parametre Takası, Risk Analizi, Aksiyon Analizi, İşlemin Yürütülmesi,Yayımcı onayı, Uygulama Bilgilerinin Değiştirilmesi (O) Sonlandırma,

Risk Analizi Kartın Asıllanması : Amaç, kartın gerçek ve içeriğinin değiştirilmemiş olduğunun sınanmasıdır. Asimetrik Şifreleme, Sertifikasyon, Öz Alma , kullanılır.

Sertifikalar Asıllamada kullanılacak açık anahtarların elde edilmesi için ISO 9796-2 normunda sertifikalardan yararlanılır. N oluşturulacak sertifikanın boyu ve M sertifikalandırılacak metin ise :   ·        H = ÖZ ( M ) ( 160 bit, 20 sekizli ) ·      M = M1||M2 , M1 anlamlı N – 22 sekizli, ·        B = 0x6A , E =0xBC olmak üzere Sertifika = İmza (Sk) [ B || M1|| H || E ] şeklinde oluşturulur.

Sertifikalar – Örnek, Giriş Bilgileri Alan Adı Açıklama Uzunluk Sertifika Formatı 0x02 1 Yayımcı Kodu Kart No ilk 3-8 hanesi 4 Son Kullanım Tarihi AAYY 2 Sertifika Seri No   3 Öz Algoritma Tipi Öz alma algoritması Açık Anahtar Algoritması Açık anahtar ile kullanılacak algoritma Açık Anahtar Uzunluğu Açık Anahtar Üs Uzunluğu Açık Anahtar Bölüm1 (Şifrelenecek Bölüm)* NCA – 36 Açık Anahtar Bölüm 2 Açık Kalacak Bölüm 0  Açık Anahtar Üssü 1 (216+1) ya da 3

Sertifikalar, Örnek – Çıkış Formatı Alan Adı Açıklama Uzunluk Başlık 0x6A 1 Sertifika Formatı 0x02 Yayımcı Kodu   4 Son Kullanım Tarihi 2 Sertifika Seri No 3 Öz Algoritma Tipi Açık Anahtar Algoritması Açık Anahtar Uzunluğu Açık Anahtar Üs Uzunluğu Açık Anahtar Bölüm 1 NCA-36 ÖZ Mesaj Özü 20 Sonlandırma 0xBC

Sertifikalar, Örnek - Sertifika Bloğu Alan Adı Açıklama Uzunluk Başlık 0x6A 1 Sertifika Formatı 0x02 Yayımcı Kodu   4 Son Kullanım Tarihi 2 Sertifika Seri No 3 Öz Algoritma Tipi Açık Anahtar Algoritması Açık Anahtar Uzunluğu Açık Anahtar Üs Uzunluğu Açık Anahtar Bölüm 1 NCA-36 ÖZ 20 Sonlandırma 0xBC Açık Anahtar Bölüm 2 NI-NCA+36 Açık Anahtar Üssü

Statik Veri Asıllaması (SDA) Asıllanacak verilerin sertifikası yayımcı tarafından karta işlenmiştir, Basit ve hızlıdır, kart tarafından herhangi bir şifreleme yapılmaz Dinamik Veri Asıllaması kadar güvenli değildir

Dinamik Veri Asıllaması ( DDA ) Kart tarafından terminal ve kartın dinamik parametreleri ile sertifika oluşturulur, Kartın şifreleme yapması gereklidir, maliyetli ve düşük performanslıdır Oldukça güvenlidir

Bütünleşik DDA/Uygulama Kriptogramı DDA ile aynı mantıkta çalışır, Dinamik parametreler sınırlıdır, Şifrelenecek veri boyu DDA’e göre görece küçüktür, daha kısa anahtarların kullanımı mümkündür, Sertifika oluşturulurken ileride kullanılacak uygulama kriptogramı ( AC ) de oluşturulur, toplam işlem süresi kısalır.

Kullanıcının Asıllanması Kartın bağlantısız ve bağlantılı işlemler için 2 adet PIN’i bulunur. Bağlantılı işlemler için kullanılan PIN yönetimi manyetik şeritli sistemlerdeki ile aynıdır, bu PIN banka tarafından kontrol edilebilir. Bağlantısız PIN kartın sahip olduğu fiziksel veridir, ancak kart tarafından doğrulanabilir. PIN şifrelenmesi için kart ayrı bir anahtar çiftine sahip olabilir. Sertifikalandırma işlemi terminal tarafından kartın açık anahtarı ile yapılır. Oluşturulan PIN sertifikası karta doğrulaması için verilir.

İşlem Kayıdı Tutulması İşlemin orjinalliğinin ispatıdır, Oluşturulması için MAC kullanılır, MAC CBC modunda DES işlemidir, ancak son blok 3DESlenir, Kullanılacak anahtar kartın sahip olduğu uygulama kriptogramı ana anahtarından türetilen oturum anahtarıdır, Şifrelenecek verilerin asgari gurubu üzerine yayımcı ek veriler ekleyebilir.

Yayımcı Asıllaması Bağlantılı işlem yapıldığında dönen cevabın yayımcı cevabı olduğunun doğrulanması için kullanılır, İstek mesajında gönderilen AC yayımcı tarafından çözülür, kart doğrulama bilgileri de eklenerek aynı oturum anahtarı ile şifrelenir. İşlemin onaylandığı terminalce iddia ediliyor ise gelen blok kart tarafından asıllanmak durumundadır. İşlemin onaylanması durumunda yeni bir AC üretilir.

Ek Güvenlik Önlemleri MAC algoritması, kart ile güvenli haberleşme için kullanılır. Oturum anahtarı AC oturum anahtarı ile aynı yöntemle fakat kart MAC ana anahtarı kullanılarak üretilir. Karta gönderilen bilgilerin sonuna MAC4-8 bilgisi eklenir. Özellikle yayımcı tarafından gönderilen ve kartın özelliklerini değiştiren komutlar bu formda kullanılır. Bu şekilde yetkisiz kişilerin kartın özelliklerini değiştirmesi engellenir.

Sonuç Yeni nesil kartlı ödeme sistemleri dijital imza-sertifika, asimetrik ve simetrik şifreleme algoritmalarını iyi bir şekilde harmanlayarak kullanır, Kabul edilen algoritmalar RSA, DES ve SHA-1’dir ancak gelişimler gözönüne alınarak sertiikalarda şifreleme ve öz alma algoritmaları için belirteçler kullanılır. Bu şekilde eskiye uyumlu şekilde yenilikler desteklenebilir, Anahtar uzunlukları şu an 1984 bit ile sınırlıdır, genelde 1024 bitlik anahtarlar tercih edilmektedir. Sertifika otoritelerinin açık anahtarlarının terminallere yüklenmesi noktası açıktır, denetimi yoktur.

TEŞEKKÜRLER