güvenlik mekanizmalarında kriptografik akıllı kartlar
DESCRIPTION
Güvenlik Mekanizmalarında Kriptografik Akıllı Kartlar. Mert ÖZARAR [email protected] .tr Aralık, 200 6. İçerik. Ağ Güvenliği Olası Tehlikeler Kriptografinin Misyonu Kriptografik Servisler , İlkeler ve A lgorit malar Akıllı kartlar Kavramlar Uygulamalar Mimari Türler - PowerPoint PPT PresentationTRANSCRIPT
2
İçerik• Ağ Güvenliği
– Olası Tehlikeler– Kriptografinin Misyonu– Kriptografik Servisler, İlkeler ve Algoritmalar
• Akıllı kartlar– Kavramlar– Uygulamalar– Mimari– Türler
• Güvenlik Mekanizmalarında Akıllı Kartlar– Kriptografik Akıllı Kartlar– Güvenlik Standartları– Güvenliği Arttıran Özellikler
3
Olası Tehlikeler Nelerdir ?
Gizlilik: verinin izinsiz açığa çıkmasıaçığa çıkması
Bütünlük: verinin izinsiz değiştirilmesideğiştirilmesi
Kimlik Denetimi: hizmetin izinsiz kullanımıkullanımı
Gönderen Alıcı
4
Kriptografinin Misyonu
• Aşağıdaki hususlarda güveni sağlamak:– mesajın ve/veya gönderenin hakiki
olması– mesaj bütünlüğü– mesaj gizliliği (bazen)
• Mekanizmada taraflar arasında algoritma tabanlı sır saklama işlevi
5
Kriptografik ServislerŞifreleme (gizlilik)
şifrele Ters şifrelemesaj mesaj
Anahtar Anahtar
Anahtar= ?şifrelemesaj
Anahtar
şifrele
MDK
MDK
mesaj
= ?
Key
Soru
şifrele
Anahtar
şifrele
karşılıkkarşılık
Mesaj Doğrulama Kodları
(bütünlük)
Elektronik imzalar (kimlik denetimi)
6
Kriptografik İlkeler
• temelinde:– Anahtar gizliliği – Güçlü algoritmalar (NP-hard)– {Mesaj/Şifreli_metin} çiftinden anahtar tahmini güç
– Gerekli anahtar uzunluğu (olası bütün seçenekler denenmemeli)
• Kerckhoff prensibi:– Güçlülük anahtarın gizliliğinde olmalı,– Algoritma herkes tarafından bilinir olmalı
7
Kriptografik Algoritmalar
Bilgisayar Bilimi açısından iki çeşit algoritma tipi:
• Bitlerin tekrarlı permütasyonları ve yer değişiklikleri:– AES, 3-DES, IDEA, Blowfish …– Simetrik anahtar
• Matematiksel hesaplamalar:– RSA, DSA, El-Gamal, sıfır-bilgi, eliptik eğriler ...
– Açık Anahtar
8
Akıllı Kart Kavramı
Akıllı Kart:• veri tutan, (ör. profil, hesaplar, kişisel veri) • kriptografik hizmetler sağlayan (ör. kimlik denetimi, gizlilik, bütünlük)
• işleme yeteneğine sahip,• küçük ve kişisel,• güvenli bir aygıttır.
1234 5678 8910
Seda KIZIL
9
Akıllı Kart Kullanım Alanları
• Perakende• Eğlence• Telekomünikasyon
• Ulaşım• Sağlık
• Devlet• E-ticaret• Bankacılık• Eğitim• Ofis
10
Akıllı Kart Uygulamaları
• Perakende– elektronik cüzdan, yongalı kredi kartları
– satış makineleri– akıllı etiketler
• Telekomünikasyon– GSM– telefon kartları
• Ulaşım– toplu taşıma– park– yol düzenlemesi (ERP)• Eğlence
– DigiTürk– kombine kartlar
11
Akıllı Kart Uygulamaları
• Sağlık– sigorta– kişisel bilgiler– kişisel dosyalar
• Devlet– hüviyet– pasaport– ehliyet
• E-ticaret– bilgi satışı– ürün satışı– bilet satışı
• Bankacılık– hesaplara erişim– işlem yapma– hisse senetleri
12
Akıllı Kart Uygulamaları
• Eğitim– fiziksel erişim – ağ erişimi– kişisel bilgiler– kafeterya
• Ofis Uygulamaları– fiziksel erişim – ağ erişimi– zaman kaydı– güvenli e-posta & web uygulamaları
13
Akıllı Kart Mimarisi
Vcc
Reset
Clock
Gnd
Vpp
I/O
Fiziksel Görünüm:- kredi kartı veya SIM ebatlarında- temaslı ya da temassız
14
Akıllı Kart Bileşenleri
CPU
Merkezi İşlemeBirimi (CPU):
Yonganın kalbi
15
Akıllı Kart Bileşenleri
CPU
güvenlik
entegresi
güvenlik
entegresi
Güvenlik Entegresi:
Anormal durumları farketme
Ör: Düşük voltaj
16
Akıllı Kart Bileşenleri
CPU
seri I/Oarayüzüseri I/Oarayüzü
güvenlik entegres
i
güvenlik entegres
i
Seri I/O Arayüzü:
Dış dünya ile iletişim
17
Akıllı Kart Bileşenleri
CPU
test entegre
si
seri I/Oarayüzüseri I/Oarayüzü
güvenlik entegres
i
güvenlik entegres
i
Test Entegresi:
self-test prosedürleri
18
Akıllı Kart Bileşenleri
CPU
test entegre
si
ROM
seri I/Oarayüzüseri I/Oarayüzü
güvenlik entegres
i
güvenlik entegres
i
ROM:
– kart işletim sistemi– self-test prosedürleri– eskiden 16 kilobayt– şimdi 32/64 kilobayt
19
Akıllı Kart Bileşenleri
CPU
RAM
test entegre
si
ROM
seri I/Oarayüzüseri I/Oarayüzü
güvenlik entegres
i
güvenlik entegres
i
RAM:
- işlemcinin ‘bloknotu’- eskiden 512 bayt- şimdi 2 kilobayt
20
Akıllı Kart Bileşenleri
CPU
RAM
test entegre
si
ROM
EEPROMseri I/Oarayüzüseri I/Oarayüzü
güvenlik entegresigüvenlik entegresi
EEPROM:
– kriptografik anahtarlar– PIN kodu– biyometrik şablon– denge– uygulama kodu– eskiden 8 kbytes– şimdi 32/64 kbytes
21
Akıllı Kart Bileşenleri
CPU
RAM
test entegre
si
ROM
EEPROMseri I/Oarayüzüseri I/Oarayüzü
güvenlik entegres
i
güvenlik entegres
i
Veri Yolu Veri Yolu:
- yonga elemanları arasındaki bağlantı
- 8 yada 16 bit genişliğinde
22
Akıllı Kart Yonga Örneği
23
Akıllı Kart Türleri
24
Akıllı Kart Güvenlik Özellikleri
• Donanım– kapalı paket– hafıza sarma– sigortalar– güvenlik entegresi (sensörler)– kriptografik yanişlemci ve rasgele sayı üreteci
• Yazılım– uygulamaların ve işletim sisteminin ayrımı– uygulamaların ayrılığı (Java card)– sınırlı dosya erişimi– hayat döngüsü kontrolü– çeşitli kriptografik algoritmalar ve protokoller
25
Kriptografik Akıllı Kartlar
Kriptografik kartlar ya da kripto kartlar ilave kriptografik işlemleri
(e-imza ve şifreleme) destekleyen işlemciye sahip hafıza kartlarıdır
Kripto kartlar gizli anahtarları güvenli tutmak için özel olarak tasarlanırlar.
26
Kriptografik Akıllı Kartlar
Bu kartlar gerçek zamanlı kriptografik işlevleri de kart üzerinde gerçekleştirirler böylece gizli anahtar hiçbir zaman kartı terketmez
EEPROM’ları darbeye dayanıklı olarak tasarlandığından yetkisiz kişilerce kart içeriğinin açığa çıkması imkansıza yakındır.
Açık Anahtarlı Sistem’lerde kritik rol üstlenirler
27
Akıllı Kart Genel Standartları
EMV PC/SC Çalışma Grubu GSM Standartları G-8 Sağlık Standartları ISO ANSI Uluslararası Hava ve Ulaşım Birliği
28
Güvenlik Standartları Prensipleri
Çoklu-platform Açık Katılım Birlikte Çalışabilirlik Gerçek, Fonksiyonel Tecrübe, Ürünler Genişletilebilirlik
29
Güvenlik Odaklı Standartlar
JavaCard: -“Birkere kodla, heryerde yürüt”
Common Data Security Architecture: - Intel ürünü - Açık, birlikte çalışabilir,genişletilebilir, çapraz-platform yazılım altyapısı
Microsoft Cryptographic API: - Win32 tabanlı- Kriptografik uygulamalar- Sertifika Yönetimi
30
Güvenlik Odaklı Standartlar
PKCS#11: Kriptografik Çubuk Arayüz Standartı : - Uygulama Programlama Arayüzü (UPA), Cryptoki- Kriptografik işlevler- Kriptografik bilgiyi saklama
PKCS#15: Kriptografik Çubuk Veri Formatı Standartı: - Uygulamanın Kriptografik Çubuk Arayüz Sağlayıcısı’ndan bağımsız olarak çubukların uygulamalara kendilerini tanıtması standartı- Birlikte çalışabilirlik
31
PKCS#11 - Sunulan UPA Servisleri
32
Akıllı Kart Özellikleri
• İki aşamalı kimlik denetimi• Gizli anahtarların güvenli tutulması• İnkar edilemezlik
– Gizli anahtar kartı terketmez
• Tek Oturum Açma– Sadece PIN, parolalara gerek yok
• Mobilite• Çoklu uygulamalar tek kartta
33
Akıllı Kart Özellikleri
• Kişisellleştirme– Fiziksel ve elektronik
• Açık Anahtar Altyapısı– Açık/Gizli Anahtar çifti– Sadece kart sahibi gizli anahtarını kullanabilir
– Güvenilir üçüncü taraflar açık anahtarların yönetimini üstlenir
• Ekonomik Faydalar– Kağıtsız ortam– İşgücü kaybını engeller
34
Akıllı Kart Özellikleri
• Kişisel ayarlanabilme• Parola tabanlı sistemlerin güvenliğini arttırma– Unutkanlık– Zayıf parolalar– Paylaşım
• PIN hatalı giriş sayısı kısıtı• Anahtarların ve Sertifikaların Taşınabilirliği
35
Sonuçlar
• Akıllı kart teknolojileri gelişmekte olup, çoğu alanda uygulamaları vardır.
• Güvenlik Mekanizmalarında da önemli rol oynarlar.• Hizmeti kolaylaştırır, güveni arttırırlar.• Kusursuz güvenlik akıllı kartlar için bile olası değildir.
• Risk analizi hayatidir.