Sanal Ortamda Kimlik Tanıma Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI) KOBIL Systems GmbH (www.kobil.com)

... konulu sunumlar: "Sanal Ortamda Kimlik Tanıma Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI) KOBIL Systems GmbH (www.kobil.com)"— Sunum transkripti:

1 Sanal Ortamda Kimlik Tanıma Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI)
KOBIL Systems GmbH (

2 Güvenliğin Temel Ögeleri
INTERNET MÜŞTERİ “Bir zincir en zayıf halkası kadar sağlamdır” BANKA Kimlik Doğrulama (Authentication) Müşterinin Bankayı Tanıması Bankanın Müşteriyi Tanıması Gidip Gelen Bilgilerin Doğruluğu (Integrity) Gidip Gelen Bilgilerin Gizliliği (Confidentiality) MÜŞTERİ

3 Güvenlikteki Dengeler
Ulaşılacak miktar arttıkça, kötü niyetli kişiler sistemi kırmak için daha fazla para, zaman ve emek harcayacaktır Güvenliği artırmak için sistem maliyetleri artacaktır Güvenliği arttırmak için harcanan para Güvenlik (Security) Kullanılabilirlik (Usability) Sistemi kırmak için harcanan para Hedef güvenliği arttırarak sistemi kırma maaliyetlerini arttırmak, kullanılabilirliği ve sistem maliyetlerini makul seviyede tutmak olmalıdır

4 Farklı Dağıtım Kanallarında Farklı Kimlik Tanıma Yöntemi
+ İMZA ŞUBE MÜŞTERİ MÜŞTERİ ATM KART + PİN INTERNET MÜŞTERİ BANKA KOD + ŞİFRE

5 TEHDİT 1: İçeride Banka Çalışanları
INTERNET MÜŞTERİ BANKA BANKA ÇALIŞANI MÜŞTERİ

6 1. ADIM : Banka İçinde Güvenliğin Sağlanması
INTERNET MÜŞTERİ Banka içi Network Güvenliği Müşteri Veri Tabanının Güvenliği Yetkili Kişilerin Belirlenmesi Yetki Sınırlarının Belirlenmesi Odalara ve Sistemlere Giriş Kontrolü Antivirüs Programları BANKA BANKA ÇALIŞANI MÜŞTERİ

7 TEHDİT 2 : Dışarıdan Sistemlere Ulaşabilenler
INTERNET MÜŞTERİ BANKA MÜŞTERİ

8 2. ADIM : Dışarıdan Sisteme Giriş Kontrölü
INTERNET MÜŞTERİ BANKA Firewall Intrusion Detection MÜŞTERİ

9 TEHDİT 3 : Network Paketlerine Ulaşabilenler
INTERNET MÜŞTERİ BANKA MÜŞTERİ

10 3. ADIM : 128 bit SSL Kullanılması
INTERNET MÜŞTERİ BANKA SSL SSL MÜŞTERİ

11 TEHDİT 4 : Müşteri Bilgisayarına Ulaşabilenler
SSL INTERNET MÜŞTERİ BANKA SSL MÜŞTERİ

12 TEHDİT 4b : Müşteri Şifresini Ele Geçirenler
SSL INTERNET MÜŞTERİ SSL BANKA SSL MÜŞTERİ

13 SSL in Öbür Ucundaki Kişi Gerçekte Kimdir ?
INTERNET MÜŞTERİ BANKA ? SSL MÜŞTERİ ???

14 Kimlik Tanımadaki Faktörler
Bildiğin Birşey (Örnek : Şifre, Anne kızlık soyadı, doğum yeri...) Sahip Olduğun Birşey (Kopyalanamamalı, Örnek : Akıllı Kart) Sadece Kişiye ait bir Özellik (Eşsiz olmalı, Örnek : Biometrik özellikler)

15 Sadece Bildiğin Birşeye Güvenmek (One Factor Authentication)
ETRAFINIZDAKİ KİŞİLER Statik Şifre Doğum tarihi ...... SSL INTERNET ? Firewall MÜŞTERİ MÜŞTERİ BİLGİSAYARINA İNDİRİLEN SOLUCANLAR, TRUVA ATLARI BANKA BANKA ÇALIŞANI

16 Bildiğin Birşeye + Sahip Olduğun Birşeye Güvenmek (Two Factor Authentication)
ETRAFINIZDAKİ KİŞİLER SSL PIN INTERNET ? Firewall MÜŞTERİ MÜŞTERİ BİLGİSAYARINA İNDİRİLEN SOLUCANLAR, TRUVA ATLARI BANKA BANKA ÇALIŞANI

17 İki Faktör  Kimlik Tanıma Yöntemleri Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI)
KOBIL Systems GmbH

18 Birdefalık Şifreler (One Time Password -OTP)
SSL PIN INTERNET ? Firewall OTP OTP OTP PIN BANKA OTP token OTP sunucu Senkronize Çalışır

19 Birdefalık Şifreler (One Time Password -OTP)
SSL PIN INTERNET ? Firewall OTP OTP + PIN OTP + PIN BANKA OTP token Senkronize Çalışır OTP sunucu

20 Mevcut Sistemde OTP Kullanım Şekli
EKRAN 1 EKRAN 2 Kullanıcı Kodu Şifre Statik Şifre OTP EKRAN 3

21 Banka Sunucusunda OTP Kimlik Doğrulama
Kullanıcı Kodu + Şifre Statik Şifre 2. ekran + OTP OTP sunucu WEB sunucu Static Şifre sunucu Kullanıcı Veri Tabanı

22 OTP’nin Avantajları İki faktör kimlik dogrulama sağlar
Banka tarafında ; OTP sunucu kurulumu kolay OTP dağıtımı kolay Maliyeti diğer sistemlere göre düşük Farklı kanallarda kullanılabilinir (Fonobank gibi...) Müşteri tarafında ; OTP Kullanımı kolay OTP-Token taşınabilir olduğundan “Mobilite” sağlar Yazılım yüklenmesi gerekmez İşletim sisteminden bağımsız

23 Açık Anahtar Altyapıları ve Dijital İmza
Yardım Masası Şubeler Yeni Müşteri Listesi Veri Tabanı KullanıcıID... Yönetim Programı Kayıt Kabulü Müşteri Telefon ile Aktivasyon ile Aktivasyon Web Browser CSP / PKCS11 Dağıtım SSL Kimlik Tanıma Web sunucu Sayfa 2 1 FILTER TRUST CENTER UserID, DN Kart Basım Modülü Sertifika Otoritesi Sertifika Seri No, Kart No, PIN, PUK

24 Açık anahtar Altyapısında (PKI) Temel Adımlar
KULLANICILARIN SİSTEME KATILIMI Kullanıcı Kayıt ( Registration Authority - RA ) Yetkili Merkezde Kart Basılması / Sertifia Dağıtımı ( CA ) Basılan Kartların Kullanıcıya iletilmesi ve Aktif Edilmesi UYGULAMALAR CSP veya PKCS11 modülleri yardımıyla Akıllı Kart kullanımı Diğer kullanıcılara ve sunuculara ait sertifikaların bulunması İptal edilmiş sertifikaların (CRL) kontrolü PERİYODİK İŞLEMLER Sertifia Yenileme (1-2 yıl) Kart ( anahtar ve sertifika ) yenileme (2-4 yıl) DİĞER Kart / PIN çalınması veya kullanıcı ayrılışında Sertifika İptali

25 PKI Uygulamalarındaki KATMANLAR
Her bir katman bir alt katmana bağlıdır Kart + Okuyucu Sertifika Yenileme Sistemi Sertifika Aktivasyon ve İptal İşlemleri Sertifika Dağıtım ve Kart Basım Yazılım ve Donanımları Sertikika Otoritesi Uygulama ağındaki kullanıcıların Veri Tabanı ve Yönetim Programı Bu katmanda varolan kullanıcı veri tabanına entegrasyon önemlidir Kimlik Tanıma, Gizlilik, Bilgi Bütünlüğü, ve İnkar Edememe gerektiren uygulamalar ( InternetExplorer, Outlook, Netscape .... )

26 Bir PKI Uygulamasındaki GENEL KOMPONENTLER
Kullanıcı Veri Tabanı ve Kayıt Yönetim Sistemi (LDAP, AD, ACCESS, SQL Server... , Veri tabanı yönetim programı) Sertifika Otorite Yazılımı (Microsoft CA) Otomatik Sertifika Dağıtım ve Kart Basım Sistemi (Kart Yazıcısı, PIN/PUK Yazıcısı, Sertifika Dağıtım Programı) Kullanıcı PC sindeki Yazılım ve Donanımlar (TCOS, CSP, P11, KOBIL kart okuyucu) Aktivasyon ve Sertifika İşlemleri için Yönetim Sistemi (Veri tabanı yönetim programı) Sertifika Yenileme Sistemi (Kullanıcı Veri Tabanında Yapılacak Kontroller) Uygulamalar (Kullanıcı + Sunucu) (MS VPN, IE, Outlook, .NET, ...)

27 PKI ve OTP Karşılaştırması
Her iki çözümde 2 faktör kimlik dogrulama sağlar PKI’ın OTP ye göre dezavantajları ; PKI kurulumu ve kart + okuyucu dağıtımı zordur Müşteri bilgisayarına yazılım yüklenmektedir Mobilite kolaylığı azalır Her işletim sistemi desteklenmeyebilir Kurulum ve İşletim Maliyetleri OTP ye göre yüksektir PKI’ın OTP’ye göre avantajları ; Kimlik doğrulama dışında şifreleme sağlar ve Dosya şifreleme /imzalamada kullanılabilinir B2B işlemlerde kullanılabilinir “Dijital İmza Kanunu” ve hukuksal güvence Transaction’ların imzalanması

28 PKI ile Şifreli ve İmzalı Email Alışverişi
INTERNET PIN Firewall Server BANKA Güvenli Alış Verişi BANKA ÇALIŞANI #$%&{**!!*+?? MÜŞTERİ #$%&{**!!*+??

29 PKI ile Şifreli ve İmzalı Dosya (Raporlar/Emirler) Alışverişi
INTERNET PIN Firewall File Server BANKA Güvenli Dosya Alış Verişi BANKA ÇALIŞANI #$%&{**!!*+?? MÜŞTERİ #$%&{**!!*+??

30 PKI ve B2B INTERNET KURUMSAL MÜŞTERİ Kimlik Doğrulama,
ve Para Transferi BANKA Alım ve Ödeme Emirleri KURUMSAL MÜŞTERİ B2B PAZARYERİ

31 PKI Güvenliğinde, Bankacılık İşlemlerinin Muhasebe Programlarına Entegrasyonu
SSL Bankacılık İşlemleri Firewall INTERNET BANKA KURUMSAL MÜŞTERİ Muhasebe İşlemleri

32 PKI Güvenliğinde, Bankacılık İşlemlerinin Muhasebe Programlarına Entegrasyonu
Muhasebe ve Bankacılık İşlemleri Firewall INTERNET KURUMSAL MÜŞTERİ BANKA

33 PKI’ın Getirdiği Avantajlar
Bugün Fax ile, kurye ile yada floppy-disk üzerinde şubeye gönderilen raporlar, sıralı işlemler, v.s. gibi pekçok bankacılık hizmeti, İnternet üzerinde online olarak anında gerçekleşebilir Yazılı olarak (hard copy) veya dijital olarak (soft copy) gelen pek çok işlem, kontröller için ve işlemlerin gerçekleştirilmesi için ekstra personel çalışmaktadır Dolayısıyla PKI kullanımına geçmek başlangıç maaliyetleri arttırsada, orta ve uzun vadede maaliyetleri düşürecektir

34 PKI Uygulamasındaki Riskler
PKI ın güvenliği anahtar-yönetimine (anahtar üretim, dağıtım, yenileme, iptal işlemleri) ve müşteri anahtarlarını saklama, kullanma yöntemlerine bağlıdır PKI kurulumunda veya sistemin işletilmesinde yapılacak hatalar büyük güvenlik riskleri oluşturabilir Sisteme dahil olan tüm kullanıcılar yeterli güvenlik bilgisine sahip olmalıdır. Aksi halde kullanıcılar zararlı programlarla yanıltılabilirler (Örneğin. Kullanıcı PC sindeki CA sertifikalarının değiştirilmesi veya program arayüzlerini taklit ederek kart ve PIN girişi istenmesi)

35 Kullanıcılara ait Gizli Anahtarların Güvenliği
Anahtar üretimi ve yönetimi merkezde kurulacak bir TRUST CENTER da yapılmalıdır Anahtarlar fiziksel güvenlik sağlayan akıllı kartlara yazılmalıdır Akıllı kartlar PIN ile korunmalıdır PIN üretimi ve dağıtımı en az anahtarlar kadar güvenli olmalıdır

36 İdeal Anahtar Üretimi ve Kullanımı
Anahtarlar Trust-Center da Offline olarak ve Güvenli bir ortamda basılır Anahtarlar asla kartı terk etmez Client tarafında asla anahtar üretilmez Sertifika yenileme işleminde farklı anahtar kullanabilmek için, Trust-Center da kart basım esnasında karta birden fazla anahtar çifti yüklenir ve ilk anahtar çifti ile ilişkili tek bir sertifika yazılır Her sertifika yenileme işleminde bir başka anahtar çifti kullanılır. Eski sertifika silinir.

37 BU MERKEZ OFF-LİNE ÇALIŞMALI VE GÜVENLİĞİ SAĞLANMALIDIR
İdeal TRUST CENTER Yazılım veya Donanım Olabilir PIN/PUK Üretim RSA Anahtar Üretim PIN/PUK Anahtar Sertifika Kullanıcı VeriTabanı KART BASIM Programı PIN/PUK Sertifika Otoritesi HSM BU MERKEZ OFF-LİNE ÇALIŞMALI VE GÜVENLİĞİ SAĞLANMALIDIR

38 Akıllı Kart ve Okuyucu Seçimi
Müşteri anahtarları akıllı kartı asla terk etmemeli ve crypto coprocessor e sahip kartlar kullanılmalıdır. Bu sayede RSA işlemleri on-board gerçekleştirilmelidir Anahtarları kart üzerinde koruyan PIN de en az anahtarlar kadar önemlidir. PIN leri korumak içinde üzerinde keypad i olan ve secure-PIN-entry imkanı sunan kart okuyucuları kullanılmalıdır

39 Akıllı Kart Terminalleri
Sınıf -2 Sınıf -1 Sınıf -3