KARTLI ÖDEME SİSTEMLERİNDE GÜVENLİK Hakan ULUÖZ 504032505

Akış Giriş Manyetik Kartlı Ödeme Sistemleri Yeni Nesil Kartlı Ödeme Sistemleri Sonuçlar

Giriş Kartlı ödeme sistemlerinin yaygınlaşması, Eski sistemlerin sahteciliğe kolaylık tanıması, Mevcut iletişim altyapısının yetersiz kalması, İşlemlerin çoğunlukla gözden kaçabilecek küçük tutarlarda yapılması ve iletişimin getirdiği ek mali yük, Gittikçe yaygınlaşan ek uygulamaların getirdiği zorluklar, Nedenleri ile daha güvenli, bağlantısız çalışabilen esnek kartlı ödeme sistemlerine ihtiyaç duyulmuştur. 90’lı yıllarla başlayan çalışmalar sonucu dünyanın önde kart hak sahibi firmaları ( Europay, Mastercard, VISA ) ’96 yılında ilk gelimiş kartlı ödeme sistemi standardı EMV’yi yayımlamışlardır. Standart günümüze dek güncellenmeye devam edilmektedir.

Manyetik Kartlı Ödeme Sistemleri Kullanılan Güvenlik Yöntemleri : BIN ve LUHN kontrolü, Kara Liste Kontrolü, Limit Kontrolü, PIN Kontrolü, PIN Şifrelenmesi, PIN Kabul Cihazları, Mesaj Geçerlik Kontrolü,

Manyetik Kartlı Ödeme Sistemleri ( Devam ) Problemler : Manyetik Şeridin Kolaylıkla Kopyalanabilmesi, Listelerin Güncellenmesi, Zayıf PIN Şifreleme Yöntemi , Kartı Asıllamanın Mümkün Olmaması, Yetersiz Limit Kontrol Yöntemleri, Zayıf Cevap Mesajı Geçerlik Kontrolü, Güvenli İşlem Delillerinin Saklanamayışı

Yeni Nesi Kartlı Ödeme Sistemleri Akıllı Kartlar kullanan; terminal,kart ve gerektiğinde yayımcının işlem sürecine ortaklaşa etkidikleri bir sistem. Medyanın kopyalanmasını ya da değiştirilmesini önlemek, Uydurma medyalar üretilmesini engellemek, Etkin kart-kullanıcı asıllaması yapabilmek, Yayımcının asıllanabilmesi Yapılan işlemlerin güvenli delillerinin tutulabilmesi

İşlem Fazları Uygulama Seçimi, Uygulama Bilgileri-Parametre Takası, Risk Analizi, Aksiyon Analizi, İşlemin Yürütülmesi,Yayımcı onayı, Uygulama Bilgilerinin Değiştirilmesi (O) Sonlandırma,

Risk Analizi Kartın Asıllanması : Amaç, kartın gerçek ve içeriğinin değiştirilmemiş olduğunun sınanmasıdır. Asimetrik Şifreleme, Sertifikasyon, Öz Alma , kullanılır.

Sertifikalar Asıllamada kullanılacak açık anahtarların elde edilmesi için ISO 9796-2 normunda sertifikalardan yararlanılır. N oluşturulacak sertifikanın boyu ve M sertifikalandırılacak metin ise :   ·        H = ÖZ ( M ) ( 160 bit, 20 sekizli ) ·      M = M1||M2 , M1 anlamlı N – 22 sekizli, ·        B = 0x6A , E =0xBC olmak üzere Sertifika = İmza (Sk) [ B || M1|| H || E ] şeklinde oluşturulur.

Sertifikalar – Örnek, Giriş Bilgileri Alan Adı Açıklama Uzunluk Sertifika Formatı 0x02 1 Yayımcı Kodu Kart No ilk 3-8 hanesi 4 Son Kullanım Tarihi AAYY 2 Sertifika Seri No   3 Öz Algoritma Tipi Öz alma algoritması Açık Anahtar Algoritması Açık anahtar ile kullanılacak algoritma Açık Anahtar Uzunluğu Açık Anahtar Üs Uzunluğu Açık Anahtar Bölüm1 (Şifrelenecek Bölüm)* NCA – 36 Açık Anahtar Bölüm 2 Açık Kalacak Bölüm 0  Açık Anahtar Üssü 1 (216+1) ya da 3

Sertifikalar, Örnek – Çıkış Formatı Alan Adı Açıklama Uzunluk Başlık 0x6A 1 Sertifika Formatı 0x02 Yayımcı Kodu   4 Son Kullanım Tarihi 2 Sertifika Seri No 3 Öz Algoritma Tipi Açık Anahtar Algoritması Açık Anahtar Uzunluğu Açık Anahtar Üs Uzunluğu Açık Anahtar Bölüm 1 NCA-36 ÖZ Mesaj Özü 20 Sonlandırma 0xBC

Sertifikalar, Örnek - Sertifika Bloğu Alan Adı Açıklama Uzunluk Başlık 0x6A 1 Sertifika Formatı 0x02 Yayımcı Kodu   4 Son Kullanım Tarihi 2 Sertifika Seri No 3 Öz Algoritma Tipi Açık Anahtar Algoritması Açık Anahtar Uzunluğu Açık Anahtar Üs Uzunluğu Açık Anahtar Bölüm 1 NCA-36 ÖZ 20 Sonlandırma 0xBC Açık Anahtar Bölüm 2 NI-NCA+36 Açık Anahtar Üssü

Statik Veri Asıllaması (SDA) Asıllanacak verilerin sertifikası yayımcı tarafından karta işlenmiştir, Basit ve hızlıdır, kart tarafından herhangi bir şifreleme yapılmaz Dinamik Veri Asıllaması kadar güvenli değildir

Dinamik Veri Asıllaması ( DDA ) Kart tarafından terminal ve kartın dinamik parametreleri ile sertifika oluşturulur, Kartın şifreleme yapması gereklidir, maliyetli ve düşük performanslıdır Oldukça güvenlidir

Bütünleşik DDA/Uygulama Kriptogramı DDA ile aynı mantıkta çalışır, Dinamik parametreler sınırlıdır, Şifrelenecek veri boyu DDA’e göre görece küçüktür, daha kısa anahtarların kullanımı mümkündür, Sertifika oluşturulurken ileride kullanılacak uygulama kriptogramı ( AC ) de oluşturulur, toplam işlem süresi kısalır.

Kullanıcının Asıllanması Kartın bağlantısız ve bağlantılı işlemler için 2 adet PIN’i bulunur. Bağlantılı işlemler için kullanılan PIN yönetimi manyetik şeritli sistemlerdeki ile aynıdır, bu PIN banka tarafından kontrol edilebilir. Bağlantısız PIN kartın sahip olduğu fiziksel veridir, ancak kart tarafından doğrulanabilir. PIN şifrelenmesi için kart ayrı bir anahtar çiftine sahip olabilir. Sertifikalandırma işlemi terminal tarafından kartın açık anahtarı ile yapılır. Oluşturulan PIN sertifikası karta doğrulaması için verilir.

İşlem Kayıdı Tutulması İşlemin orjinalliğinin ispatıdır, Oluşturulması için MAC kullanılır, MAC CBC modunda DES işlemidir, ancak son blok 3DESlenir, Kullanılacak anahtar kartın sahip olduğu uygulama kriptogramı ana anahtarından türetilen oturum anahtarıdır, Şifrelenecek verilerin asgari gurubu üzerine yayımcı ek veriler ekleyebilir.

Yayımcı Asıllaması Bağlantılı işlem yapıldığında dönen cevabın yayımcı cevabı olduğunun doğrulanması için kullanılır, İstek mesajında gönderilen AC yayımcı tarafından çözülür, kart doğrulama bilgileri de eklenerek aynı oturum anahtarı ile şifrelenir. İşlemin onaylandığı terminalce iddia ediliyor ise gelen blok kart tarafından asıllanmak durumundadır. İşlemin onaylanması durumunda yeni bir AC üretilir.

Ek Güvenlik Önlemleri MAC algoritması, kart ile güvenli haberleşme için kullanılır. Oturum anahtarı AC oturum anahtarı ile aynı yöntemle fakat kart MAC ana anahtarı kullanılarak üretilir. Karta gönderilen bilgilerin sonuna MAC4-8 bilgisi eklenir. Özellikle yayımcı tarafından gönderilen ve kartın özelliklerini değiştiren komutlar bu formda kullanılır. Bu şekilde yetkisiz kişilerin kartın özelliklerini değiştirmesi engellenir.

Sonuç Yeni nesil kartlı ödeme sistemleri dijital imza-sertifika, asimetrik ve simetrik şifreleme algoritmalarını iyi bir şekilde harmanlayarak kullanır, Kabul edilen algoritmalar RSA, DES ve SHA-1’dir ancak gelişimler gözönüne alınarak sertiikalarda şifreleme ve öz alma algoritmaları için belirteçler kullanılır. Bu şekilde eskiye uyumlu şekilde yenilikler desteklenebilir, Anahtar uzunlukları şu an 1984 bit ile sınırlıdır, genelde 1024 bitlik anahtarlar tercih edilmektedir. Sertifika otoritelerinin açık anahtarlarının terminallere yüklenmesi noktası açıktır, denetimi yoktur.

TEŞEKKÜRLER