Sunuyu indir
Sunum yükleniyor. Lütfen bekleyiniz
1
Elektronik İmza ve Kavramlar
Uygulamalı Elektronik İmza Semineri Mesut ORTA Hâkim Başkan Yrd. ADALET BAKANLIĞI Bilgi İşlem Dairesi Başkanlığı
2
Yapılan bir araştırmada tarihi gelişim açısından diğer haberleşme araçları ile karşılaştırıldığında internetin 50 milyon kişi arasında fiilen kullanılarak yaygınlaşma süresinin 4 yıl olduğu tespit edilmiştir. Oysa bu süre, Telefon açısından 74 yıl, Radyoda 38 yıl, Kişisel bilgisayarlarda 16 yıl, Televizyon açısından ise 13 yıldır.[1] [1] MANN, L. Catherine –ECKERT, E. Sue-KNİGHT, C.Sarah; Global Electronik Commerce, July 2000 Washington , sh. 13. Araştırma ITU’nun, 1999 yılı istatistiklerine dayanmaktadır.
3
ELEKTRONİK İMZA – SAYISAL İMZA KAVRAMI
Elektronik imza, bir üst kavramdır. Ancak sayısal imza kavramı yerine de kullanılmaktadır. Elektronik İmza; Kişilerin elle atmış olduğu imzaların tarayıcıdan geçirilmiş hali olan sayısallaştırılmış imzaları, Kişilerin göz retinası, parmak izi ya da ses gibi biyolojik özelliklerinin kaydedilerek kullanıldığı biyometrik yöntemleri içeren elektronik imzaları, Bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları da içermektedir.
4
Elektronik İmza – Sayısal İmza
Elektronik imza, klasik imzaya tanınan işlevleri de kapsayan ve bir veri mesajında bulunan veya ona eklenen ya da mesaj ile mantıksal bağlantısı kurulabilen, bireyin kimliğini tanıtan ve bireyin, mesajın içeriğini onayladığını gösteren elektronik formattaki veridir. 5070 Sayılı Elektronik İmza Kanunu’nda elektronik imza, “Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri” şeklinde tarif edilmektedir (m.3/b).
5
Elektronik İmza Sayısal imzanın işlevi, elektronik ortamda sahte imzayı önlemek, belgelerin herhangi bir tahrife uğramaksızın iletilmesini sağlamaktır. Sayısal imza, elektronik ortamın vazgeçilmez unsurlarından birisidir. Elle atılan imzanın taranarak dijital bir dokümana eklenmesi veya dijital kalemle imza atılması gibi durumlarda da elektronik imzadan bahsedilebilir. Bu anlamda elektronik imza, elektronik ortamda imzadan beklenilen fonksiyonları sağlamaktan uzaktır. Bu nedenle güvenli elektronik imzanın kullanılması önem arz etmektedir.
6
Elektronik İmza Çeşitleri
1- Basit Elektronik İmza: Basit elektronik imza bize sadece verinin bütünlüğünün korunduğunu göstermektedir. Basit elektronik imzaya örnek olarak bilgisayar ekranına kalemle atılan imza veya el yazısıyla imzanın tarayıcıdan geçirilerek elektronik belgelere eklenmesi gösterilebilir.
7
Elektronik İmza Çeşitleri
2. Gelişmiş Elektronik İmza: Gelişmiş elektronik imza, genel olarak elektronik imza tanımından yola çıkılarak, bu tanıma çeşitli unsurların eklenmesi suretiyle yapılmaktadır. Gelişmiş elektronik imza verinin bütünlüğünü korumasının yanında imzalayanının kimlik tespitine de imkân sağlar. 5070 sayılı EİK’nda gelişmiş elektronik imzaya yer verilmemiştir. Ancak Direktifte sayılan unsurlar Kanunun 4’üncü maddesinde sayılan güvenli elektronik imzanın unsurları arasında yer almaktadır.
8
Elektronik İmza Çeşitleri
3. Güvenli Elektronik İmza: Güvenli elektronik imza, gelişmiş elektronik imzanın unsurlarını içermekle birlikte nitelikli elektronik sertifikaya dayanmakta ve güvenli imza oluşturma araçları ile oluşturulmuş imzadır. Direktifin 5’inci maddesine göre bu unsurların varlığı halinde, üye ülkeler bu imzanın el yazısı ile imzaya eşdeğerliğini ve yargılamada delil olarak kullanılmasını sağlayacaklardır. Elektronik İmza Kanununda “nitelikli elektronik imza” kavramı yerine “güvenli elektronik imza” kavramı tercih edilmiş, gelişmiş elektronik imza güvenli elektronik imza ayrımına gidilmemiştir. Güvenli elektronik imzanın unsurları 4’üncü maddede sayılmıştır.
9
Elektronik İmza Çeşitleri
Güvenli elektronik imza: MADDE 4. — Güvenli elektronik imza; a) Münhasıran imza sahibine bağlı olan, b) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, c) Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan, Elektronik imzadır.
10
Elektronik İmza Çeşitleri
4. Akredite Edilmiş Sertifika Hizmet Sağlayıcısı Tarafından Verilen İmza Elektronik sertifika hizmet sağlayıcıları açısından Avrupa Birliği Direktifinde akreditasyon sistemi öngörülmüş olmasına rağmen hukukumuzda buna yer verilmemiştir. İhtiyari akreditasyon, bir sertifika hizmet sağlayıcısı için özel hak ve yükümlülüklere bağlı olarak izin verilme usulüdür. Türk hukuk sisteminde elektronik sertifika sağlayıcı olmada başvurudan sonra 2 ay bekleme, akreditasyon sisteminin getirilmemesi eleştirilere konu olmuştur.
11
Şifreleme Sezar şifresi Harf=harf+2 MESUT OGTVÜ Simgeleme
A B, B C, ... Y Z, Z A MESUT NFŞÜU
12
TEK ANAHTARLI ALGORİTMALAR İLE ŞİFRELEME
XXXX Merhaba Dökümanı şifrelemek ve açmak için aynı anahtar kullanılır. (DES, 3DES, AES)
13
ÇİFT ANAHTARLI ALGORİTMALAR İLE ŞİFRELEME
Merhaba XXXX Şifreleme Merhaba XXXX Şifreyi Açma RSA, DSA, DH, EC
14
ÇİFT ANAHTARLI ALGORİTMALAR İLE ŞİFRELEME
Merhaba XXXX Özel Anahtar Şifreleme Açık Anahtar Merhaba XXXX Şifreyi Açma RSA, DSA, DH, EC
15
AÇIK ANAHTAR ŞİFRELEME
Açık anahtar şifrelemede, özel ve açık olmak üzere bir anahtar çifti vardır. Kişi kendi özel anahtarını gizli tutarken, açık anahtarını şifreli iletişim kuracağı kişilere iletir. Bu anahtarlar birbirine matematiksel bir ilişkiyle bağlanmıştır fakat; anahtarlardan birini kullanarak diğerini elde etmek çok zor hatta imkansızdır. Anahtarlardan açık olanıyla şifrelenen bir veri ancak bu açık anahtara karşılık gelen özel anahtarla açılabilir.
16
AÇIK ANAHTAR ALTYAPISI (AAA)
Asimetrik şifreleme yöntemidir: şifreleyen ve şifreyi çözen anahtar (sayı) farklıdır. Bu yönden simetrik şifrelemeye göre daha güvenlidir. Anahtarlar çiftler halinde üretilir. Açık anahtarın şifrelediği sadece gizli anahtar tarafından, gizli anahtarın şifrelediği ise sadece açık anahtar tarafından çözülebilir.
17
HASH (ÖZET) ALGORİTMASI
Günaydın Gunaydın Özet algoritmaları Mesajı her zaman ve aynı uzunlukta bir özete indirger Özetten yola çıkarak mesaj yeniden elde edilemez İki farklı mesajın özeti aynı olmaz (SHA-1, MD4, MD5) 1A^#G &RT1Y
18
Hangi anahtar çiftinin kime ait olduğunun bilinmesi
Elektronik İmza Hangi anahtar çiftinin kime ait olduğunun bilinmesi Anahtar çifti üretimi Doğru kimlik tespiti Güvenilir bir kurum tarafından anahtar çiftinin (doğrulama verisinin) kime ait olduğunun beyanı Elektronik sertifika
19
ELEKTRONİK İMZA PROSEDÜRÜ
Her bir imza için Özel Anahtar HASH HASH olarak Doküman Özeti Asimetrik Şifreleme Şifreli doküman Özeti (HASH) İmzalanacak Doküman İmzalanmış Doküman
20
ELEKTRONİK İMZA DOĞRULAMA
HASH HASH olarak Doküman Özeti Kontrol edilecek Doküman =? Genel Anahtar İmzalanmış Doküman Şifreli doküman Özeti (HASH) Şifre çöz Gelen Doküman Özeti
21
İmzalama-Doğrulama Süreci
1. Mesaj özetini yeniden hesapla 1. Orijinal verinin mesaj Özetini (hash değerini) hesapla İmzalama Süreci 2. Mesaj özetini kendi özel anahtarınla şifrele (imzala) 2. Karşı tarafın açık anahtarını kullanarak, şifrelenmiş orijinal mesaj özetini aç 3. İmzalanmış orijinal veri meydana gelir. =? 3. Kendi hesapladığın mesaj özetiyle, orijinal mesaj özetini karşılaştır
22
Temel AAA Servisleri AAA Gizlilik İnkar Edememe Bütünlük
Kimlik Doğrulama
23
Çözüm: Elektronik sertifika ve elektronik imza
Kimlik Doğrulama Ayşe Ali A B Ali’ye, kendimi Ayşe olarak tanıtmalıyım Çözüm: Elektronik sertifika ve elektronik imza Ali, Ayşe’nin sertifikasını kullanmadan önce sertifikanın kime ait olduğunu ve bütünlüğünü kontrol eder. Kötü niyetli kişi
24
Bütünlük Ayşe Ali Çözüm: Elektronik imza Kötü niyetli kişi A B
Ayşe’nin mesajını değiştirmeliyim. Ali bunun farkına varamaz. Çözüm: Elektronik imza 1. Ayşe Ali’ye göndereceği mesajı kendi özel anahtarıyla elektronik olarak imzalar. 2. Ali, Ayşe’den gelen mesajın bütünlüğünü, mesajdaki elektronik imza ve Ayşe’nin sertifikası yardımıyla kontrol eder.
25
Çözüm: Elektronik imza
İnkar Edememe Ayşe Ali A B Bu iletişim esnasında üstlendiğin rolü, daha sonra, inkar edemezsin Çözüm: Elektronik imza Hem Ali, hem de Ayşe birbirlerine gönderecekleri mesajları kendi özel anahtarıyla sayısal olarak imzalar.
26
Ali ve Ayşe arasındaki mesaj trafiğini dinlemeliyim.
Gizlilik B Kötü niyetli kişi Ali ve Ayşe arasındaki mesaj trafiğini dinlemeliyim. Ayşe Ali A Çözüm: Şifreleme Hem Ali, hem de Ayşe birbirlerine gönderecekleri mesajları şifreler.
27
Açık Anahtar Altyapısı
Sonuç Kimlik Doğrulama Gizlilik Bütünlük ve İnkar Edememe Şifreleme Sayısal İmza Açık Özel Anahtarlar Sertifikalar Kullanımı Kolay Standartlara Uygun Yönetilebilir Kayıt Tutulabilir Açık Anahtar Altyapısı
28
ELEKTRONİK İMZA Gizlilik: Bilginin istenmeyen kişiler tarafından anlaşılması engellenir. Bütünlük: Bir iletinin alıcısı bu iletinin iletim sırasında değişikliğe uğrayıp uğramadığını öğrenmek isteyebilir; Reddedilemezlik: Bilgiyi oluşturan ya da gönderen, daha sonra bilgiyi kendisinin oluşturduğunu veya gönderdiğini inkâr edememelidir.
29
ELEKTRONİK İMZA Kimlik Belirleme ve Kimlik Denetimi: Kimlik belirleme ve kimlik denetimi, kriptografinin en yaygın kullanım alanlarından birisidir. Kimlik belirleme, birinin ya da bir şeyin kimliğinin doğrulanmasıdır. Güvenli iletişim: Güvenli iletişim, iki tarafın birbirine gönderdiği mesajları şifrelemesi yoluyla, mesajları, istenmeyen üçüncü kişilerin okumasını engellemesidir.
30
AÇIK ANAHTAR - ÖZEL ANAHTAR
Anahtar, şifrelemek veya deşifre etmek için kullanılan sayısal karakter dizisi olarak tanımlanabilir. Açık Anahtar Altyapısında kullanılan asimetrik şifreleme yönteminde, biri açık anahtar diğeri özel anahtar olmak üzere bir anahtar çifti bulunmaktadır. Özel anahtar sayısal imzanın oluşturulmasında, açık anahtar ise sayısal imzanın tetkikinde kullanılmaktadır. Başka bir ifadeyle özel anahtar mesajı şifrelemekte, açık anahtar ise deşifre etmekte kullanılır.
31
AÇIK ANAHTAR - ÖZEL ANAHTAR
Bu yüzden özel anahtar sadece kullanıcıda bulunur ve özenle saklanması gerekir. Başkalarının ona ulaşması şifrenin çözülmesi veya yerine imza atmasıyla eşdeğerdir. Bu durumun aksine açık anahtarın üçüncü kişilerce ulaşılabilir olması, onlar tarafından biliniyor olması gerekmektedir.
32
ÖZEL ANAHTARIN GÜVENLİĞİ
Açık anahtardan yola çıkarak matematiksel yöntemlerle özel anahtarın elde edilmesi imkânsız kabul edilmektedir. Özel anahtarlar akıllı kartlarda veya bilgisayarlarda tutulmaktadır. Gerekli güvenlik önlemlerinin alınmadığı durumlarda özel anahtarlara ulaşmak mümkün olabilir. Özel anahtarın çok iyi korunması gerektiği konusunda kullanıcılar mutlaka bilinçlendirilmeli, suistimallerin artmasıyla sisteme olan güven baştan zedelenmemelidir. Kurumsal uygulamalarda özel anahtarın sabit veya geçici disk ortamlarında tutulması yerine akıllı kart gibi güvenlik seviyesi yüksek cihazlar özendirilmelidir.
Benzer bir sunumlar
© 2024 SlidePlayer.biz.tr Inc.
All rights reserved.