güvenlik mekanizmalarında kriptografik akıllı kartlar

Güvenlik Mekanizmalarında Kriptografik Akıllı

Kartlar

Mert ÖZARAR mert.ozarar@turktrust.com.tr

Aralık, 2006

2

İçerik• Ağ Güvenliği

– Olası Tehlikeler– Kriptografinin Misyonu– Kriptografik Servisler, İlkeler ve Algoritmalar

• Akıllı kartlar– Kavramlar– Uygulamalar– Mimari– Türler

• Güvenlik Mekanizmalarında Akıllı Kartlar– Kriptografik Akıllı Kartlar– Güvenlik Standartları– Güvenliği Arttıran Özellikler

3

Olası Tehlikeler Nelerdir ?

Gizlilik: verinin izinsiz açığa çıkmasıaçığa çıkması

Bütünlük: verinin izinsiz değiştirilmesideğiştirilmesi

Kimlik Denetimi: hizmetin izinsiz kullanımıkullanımı

Gönderen Alıcı

4

Kriptografinin Misyonu

• Aşağıdaki hususlarda güveni sağlamak:– mesajın ve/veya gönderenin hakiki

olması– mesaj bütünlüğü– mesaj gizliliği (bazen)

• Mekanizmada taraflar arasında algoritma tabanlı sır saklama işlevi

5

Kriptografik ServislerŞifreleme (gizlilik)

şifrele Ters şifrelemesaj mesaj

Anahtar Anahtar

Anahtar= ?şifrelemesaj

Anahtar

şifrele

MDK

MDK

mesaj

= ?

Key

Soru

şifrele

Anahtar

şifrele

karşılıkkarşılık

Mesaj Doğrulama Kodları

(bütünlük)

Elektronik imzalar (kimlik denetimi)

6

Kriptografik İlkeler

• temelinde:– Anahtar gizliliği – Güçlü algoritmalar (NP-hard)– {Mesaj/Şifreli_metin} çiftinden anahtar tahmini güç

– Gerekli anahtar uzunluğu (olası bütün seçenekler denenmemeli)

• Kerckhoff prensibi:– Güçlülük anahtarın gizliliğinde olmalı,– Algoritma herkes tarafından bilinir olmalı

7

Kriptografik Algoritmalar

Bilgisayar Bilimi açısından iki çeşit algoritma tipi:

• Bitlerin tekrarlı permütasyonları ve yer değişiklikleri:– AES, 3-DES, IDEA, Blowfish …– Simetrik anahtar

• Matematiksel hesaplamalar:– RSA, DSA, El-Gamal, sıfır-bilgi, eliptik eğriler ...

– Açık Anahtar

8

Akıllı Kart Kavramı

Akıllı Kart:• veri tutan, (ör. profil, hesaplar, kişisel veri) • kriptografik hizmetler sağlayan (ör. kimlik denetimi, gizlilik, bütünlük)

• işleme yeteneğine sahip,• küçük ve kişisel,• güvenli bir aygıttır.

1234 5678 8910

Seda KIZIL

9

Akıllı Kart Kullanım Alanları

• Perakende• Eğlence• Telekomünikasyon

• Ulaşım• Sağlık

• Devlet• E-ticaret• Bankacılık• Eğitim• Ofis

10

Akıllı Kart Uygulamaları

• Perakende– elektronik cüzdan, yongalı kredi kartları

– satış makineleri– akıllı etiketler

• Telekomünikasyon– GSM– telefon kartları

• Ulaşım– toplu taşıma– park– yol düzenlemesi (ERP)• Eğlence

– DigiTürk– kombine kartlar

11

Akıllı Kart Uygulamaları

• Sağlık– sigorta– kişisel bilgiler– kişisel dosyalar

• Devlet– hüviyet– pasaport– ehliyet

• E-ticaret– bilgi satışı– ürün satışı– bilet satışı

• Bankacılık– hesaplara erişim– işlem yapma– hisse senetleri

12

Akıllı Kart Uygulamaları

• Eğitim– fiziksel erişim – ağ erişimi– kişisel bilgiler– kafeterya

• Ofis Uygulamaları– fiziksel erişim – ağ erişimi– zaman kaydı– güvenli e-posta & web uygulamaları

13

Akıllı Kart Mimarisi

Vcc

Reset

Clock

Gnd

Vpp

I/O

Fiziksel Görünüm:- kredi kartı veya SIM ebatlarında- temaslı ya da temassız

14

Akıllı Kart Bileşenleri

CPU

Merkezi İşlemeBirimi (CPU):

Yonganın kalbi

15

Akıllı Kart Bileşenleri

CPU

güvenlik

entegresi

güvenlik

entegresi

Güvenlik Entegresi:

Anormal durumları farketme

Ör: Düşük voltaj

16

Akıllı Kart Bileşenleri

CPU

seri I/Oarayüzüseri I/Oarayüzü

güvenlik entegres

i

güvenlik entegres

i

Seri I/O Arayüzü:

Dış dünya ile iletişim

17

Akıllı Kart Bileşenleri

CPU

test entegre

si

seri I/Oarayüzüseri I/Oarayüzü

güvenlik entegres

i

güvenlik entegres

i

Test Entegresi:

self-test prosedürleri

18

Akıllı Kart Bileşenleri

CPU

test entegre

si

ROM

seri I/Oarayüzüseri I/Oarayüzü

güvenlik entegres

i

güvenlik entegres

i

ROM:

– kart işletim sistemi– self-test prosedürleri– eskiden 16 kilobayt– şimdi 32/64 kilobayt

19

Akıllı Kart Bileşenleri

CPU

RAM

test entegre

si

ROM

seri I/Oarayüzüseri I/Oarayüzü

güvenlik entegres

i

güvenlik entegres

i

RAM:

- işlemcinin ‘bloknotu’- eskiden 512 bayt- şimdi 2 kilobayt

20

Akıllı Kart Bileşenleri

CPU

RAM

test entegre

si

ROM

EEPROMseri I/Oarayüzüseri I/Oarayüzü

güvenlik entegresigüvenlik entegresi

EEPROM:

– kriptografik anahtarlar– PIN kodu– biyometrik şablon– denge– uygulama kodu– eskiden 8 kbytes– şimdi 32/64 kbytes

21

Akıllı Kart Bileşenleri

CPU

RAM

test entegre

si

ROM

EEPROMseri I/Oarayüzüseri I/Oarayüzü

güvenlik entegres

i

güvenlik entegres

i

Veri Yolu Veri Yolu:

- yonga elemanları arasındaki bağlantı

- 8 yada 16 bit genişliğinde

22

Akıllı Kart Yonga Örneği

23

Akıllı Kart Türleri

24

Akıllı Kart Güvenlik Özellikleri

• Donanım– kapalı paket– hafıza sarma– sigortalar– güvenlik entegresi (sensörler)– kriptografik yanişlemci ve rasgele sayı üreteci

• Yazılım– uygulamaların ve işletim sisteminin ayrımı– uygulamaların ayrılığı (Java card)– sınırlı dosya erişimi– hayat döngüsü kontrolü– çeşitli kriptografik algoritmalar ve protokoller

25

Kriptografik Akıllı Kartlar

Kriptografik kartlar ya da kripto kartlar ilave kriptografik işlemleri

(e-imza ve şifreleme) destekleyen işlemciye sahip hafıza kartlarıdır

Kripto kartlar gizli anahtarları güvenli tutmak için özel olarak tasarlanırlar.

26

Kriptografik Akıllı Kartlar

Bu kartlar gerçek zamanlı kriptografik işlevleri de kart üzerinde gerçekleştirirler böylece gizli anahtar hiçbir zaman kartı terketmez

EEPROM’ları darbeye dayanıklı olarak tasarlandığından yetkisiz kişilerce kart içeriğinin açığa çıkması imkansıza yakındır.

Açık Anahtarlı Sistem’lerde kritik rol üstlenirler

27

Akıllı Kart Genel Standartları

EMV PC/SC Çalışma Grubu GSM Standartları G-8 Sağlık Standartları ISO ANSI Uluslararası Hava ve Ulaşım Birliği

28

Güvenlik Standartları Prensipleri

Çoklu-platform Açık Katılım Birlikte Çalışabilirlik Gerçek, Fonksiyonel Tecrübe, Ürünler Genişletilebilirlik

29

Güvenlik Odaklı Standartlar

JavaCard: -“Birkere kodla, heryerde yürüt”

Common Data Security Architecture: - Intel ürünü - Açık, birlikte çalışabilir,genişletilebilir, çapraz-platform yazılım altyapısı

Microsoft Cryptographic API: - Win32 tabanlı- Kriptografik uygulamalar- Sertifika Yönetimi

30

Güvenlik Odaklı Standartlar

PKCS#11: Kriptografik Çubuk Arayüz Standartı : - Uygulama Programlama Arayüzü (UPA), Cryptoki- Kriptografik işlevler- Kriptografik bilgiyi saklama

PKCS#15: Kriptografik Çubuk Veri Formatı Standartı: - Uygulamanın Kriptografik Çubuk Arayüz Sağlayıcısı’ndan bağımsız olarak çubukların uygulamalara kendilerini tanıtması standartı- Birlikte çalışabilirlik

31

PKCS#11 - Sunulan UPA Servisleri

32

Akıllı Kart Özellikleri

• İki aşamalı kimlik denetimi• Gizli anahtarların güvenli tutulması• İnkar edilemezlik

– Gizli anahtar kartı terketmez

• Tek Oturum Açma– Sadece PIN, parolalara gerek yok

• Mobilite• Çoklu uygulamalar tek kartta

33

Akıllı Kart Özellikleri

• Kişisellleştirme– Fiziksel ve elektronik

• Açık Anahtar Altyapısı– Açık/Gizli Anahtar çifti– Sadece kart sahibi gizli anahtarını kullanabilir

– Güvenilir üçüncü taraflar açık anahtarların yönetimini üstlenir

• Ekonomik Faydalar– Kağıtsız ortam– İşgücü kaybını engeller

34

Akıllı Kart Özellikleri

• Kişisel ayarlanabilme• Parola tabanlı sistemlerin güvenliğini arttırma– Unutkanlık– Zayıf parolalar– Paylaşım

• PIN hatalı giriş sayısı kısıtı• Anahtarların ve Sertifikaların Taşınabilirliği

35

Sonuçlar

• Akıllı kart teknolojileri gelişmekte olup, çoğu alanda uygulamaları vardır.

• Güvenlik Mekanizmalarında da önemli rol oynarlar.• Hizmeti kolaylaştırır, güveni arttırırlar.• Kusursuz güvenlik akıllı kartlar için bile olası değildir.

• Risk analizi hayatidir.

Güvenlik Mekanizmalarında Kriptografik Akıllı

Kartlar

Mert ÖZARAR mert.ozarar@turktrust.com.tr

Aralık, 2006