kartli Ödeme sİstemlerİnde gÜvenlİk

KARTLI ÖDEME KARTLI ÖDEME SİSTEMLERİNDE SİSTEMLERİNDE

GÜVENLİKGÜVENLİK

Hakan ULUÖZHakan ULUÖZ

504032505504032505

AkışAkış

• GirişGiriş

• Manyetik Kartlı Ödeme Sistemleri Manyetik Kartlı Ödeme Sistemleri

• Yeni Nesil Kartlı Ödeme SistemleriYeni Nesil Kartlı Ödeme Sistemleri

• SonuçlarSonuçlar

GirişGiriş

• Kartlı ödeme sistemlerinin yaygınlaşması,Kartlı ödeme sistemlerinin yaygınlaşması,• Eski sistemlerin sahteciliğe kolaylık tanıması,Eski sistemlerin sahteciliğe kolaylık tanıması,• Mevcut iletişim altyapısının yetersiz kalması,Mevcut iletişim altyapısının yetersiz kalması,• İşlemlerin çoğunlukla gözden kaçabilecek küçük tutarlarda İşlemlerin çoğunlukla gözden kaçabilecek küçük tutarlarda

yapılması ve iletişimin getirdiği ek mali yük,yapılması ve iletişimin getirdiği ek mali yük,• Gittikçe yaygınlaşan ek uygulamaların getirdiği zorluklar,Gittikçe yaygınlaşan ek uygulamaların getirdiği zorluklar,

Nedenleri ile daha güvenli, bağlantısız çalışabilen esnek Nedenleri ile daha güvenli, bağlantısız çalışabilen esnek kartlı ödeme sistemlerine ihtiyaç duyulmuştur.kartlı ödeme sistemlerine ihtiyaç duyulmuştur.

90’lı yıllarla başlayan çalışmalar sonucu dünyanın önde kart 90’lı yıllarla başlayan çalışmalar sonucu dünyanın önde kart hak sahibi firmaları ( Europay, Mastercard, VISA ) ’96 yılında hak sahibi firmaları ( Europay, Mastercard, VISA ) ’96 yılında ilk gelimiş kartlı ödeme sistemi standardı EMV’yi ilk gelimiş kartlı ödeme sistemi standardı EMV’yi yayımlamışlardır. Standart günümüze dek güncellenmeye yayımlamışlardır. Standart günümüze dek güncellenmeye devam edilmektedir.devam edilmektedir.

Manyetik Kartlı Ödeme SistemleriManyetik Kartlı Ödeme Sistemleri

Kullanılan Güvenlik Yöntemleri :Kullanılan Güvenlik Yöntemleri :

• BIN ve LUHN kontrolü,BIN ve LUHN kontrolü,

• Kara Liste Kontrolü,Kara Liste Kontrolü,

• Limit Kontrolü,Limit Kontrolü,

• PIN Kontrolü, PIN Kontrolü,

• PIN Şifrelenmesi,PIN Şifrelenmesi,

• PIN Kabul Cihazları, PIN Kabul Cihazları,

• Mesaj Geçerlik Kontrolü, Mesaj Geçerlik Kontrolü,

Manyetik Kartlı Ödeme Sistemleri Manyetik Kartlı Ödeme Sistemleri ( Devam )( Devam )

Problemler :Problemler :

• Manyetik Şeridin Kolaylıkla Kopyalanabilmesi,Manyetik Şeridin Kolaylıkla Kopyalanabilmesi,

• Listelerin Güncellenmesi,Listelerin Güncellenmesi,

• Zayıf PIN Şifreleme Yöntemi ,Zayıf PIN Şifreleme Yöntemi ,

• Kartı Asıllamanın Mümkün Olmaması, Kartı Asıllamanın Mümkün Olmaması,

• Yetersiz Limit Kontrol Yöntemleri, Yetersiz Limit Kontrol Yöntemleri,

• Zayıf Cevap Mesajı Geçerlik Kontrolü,Zayıf Cevap Mesajı Geçerlik Kontrolü,

• Güvenli İşlem Delillerinin Saklanamayışı Güvenli İşlem Delillerinin Saklanamayışı

Yeni Nesi Kartlı Ödeme SistemleriYeni Nesi Kartlı Ödeme Sistemleri

Akıllı Kartlar kullanan; terminal,kart ve Akıllı Kartlar kullanan; terminal,kart ve gerektiğinde yayımcının işlem sürecine ortaklaşa gerektiğinde yayımcının işlem sürecine ortaklaşa etkidikleri bir sistem. etkidikleri bir sistem.

• Medyanın kopyalanmasını ya da değiştirilmesini Medyanın kopyalanmasını ya da değiştirilmesini önlemek,önlemek,

• Uydurma medyalar üretilmesini engellemek,Uydurma medyalar üretilmesini engellemek,

• Etkin kart-kullanıcı asıllaması yapabilmek,Etkin kart-kullanıcı asıllaması yapabilmek,

• Yayımcının asıllanabilmesiYayımcının asıllanabilmesi

• Yapılan işlemlerin güvenli delillerinin tutulabilmesi Yapılan işlemlerin güvenli delillerinin tutulabilmesi

İşlem Fazlarıİşlem Fazları

Uygulama Seçimi,Uygulama Seçimi, Uygulama Bilgileri-Parametre Takası,Uygulama Bilgileri-Parametre Takası, Risk Analizi,Risk Analizi, Aksiyon Analizi,Aksiyon Analizi, İşlemin Yürütülmesi,Yayımcı onayı,İşlemin Yürütülmesi,Yayımcı onayı, Uygulama Bilgilerinin Değiştirilmesi (O)Uygulama Bilgilerinin Değiştirilmesi (O) Sonlandırma,Sonlandırma,

Risk AnaliziRisk Analizi

Kartın Asıllanması :Kartın Asıllanması :

Amaç, kartın gerçek ve içeriğinin değiştirilmemiş Amaç, kartın gerçek ve içeriğinin değiştirilmemiş olduğunun sınanmasıdır.olduğunun sınanmasıdır.

• Asimetrik Şifreleme,Asimetrik Şifreleme,• Sertifikasyon,Sertifikasyon,• Öz Alma ,Öz Alma ,

kullanılır.kullanılır.

SertifikalarSertifikalar

Asıllamada kullanılacak açık anahtarların elde edilmesi için ISO Asıllamada kullanılacak açık anahtarların elde edilmesi için ISO 9796-2 normunda sertifikalardan yararlanılır.9796-2 normunda sertifikalardan yararlanılır.

N oluN oluşşturulacak sertifikanturulacak sertifikanıın boyu ve M sertifikalandn boyu ve M sertifikalandıırrıılacak metin lacak metin

ise :ise : H = ÖZ ( M ) ( 160 bit, 20 sekizli )H = ÖZ ( M ) ( 160 bit, 20 sekizli ) M = M1||M2 , M1 anlamlM = M1||M2 , M1 anlamlıı N – 22 sekizli, N – 22 sekizli, B = 0x6A , E =0xBC olmak üzereB = 0x6A , E =0xBC olmak üzere

Sertifika = İmza (SSertifika = İmza (Skk) [ B || M1|| H || E ]) [ B || M1|| H || E ] şeklinde oluşturulur. şeklinde oluşturulur.

Sertifikalar – Örnek, Giriş BilgileriSertifikalar – Örnek, Giriş Bilgileri

Alan Adı Açıklama Uzunluk

Sertifika Formatı 0x02 1

Yayımcı Kodu Kart No ilk 3-8 hanesi 4

Son Kullanım Tarihi AAYY 2

Sertifika Seri No 3

Öz Algoritma Tipi Öz alma algoritması 1

Açık Anahtar Algoritması Açık anahtar ile kullanılacak algoritma 1

Açık Anahtar Uzunluğu 1

Açık Anahtar Üs Uzunluğu 1

Açık Anahtar Bölüm1 (Şifrelenecek Bölüm)* NCA – 36

Açık Anahtar Bölüm 2 Açık Kalacak Bölüm 0 Açık Anahtar Üssü 1 (216+1) ya da 3 1

Sertifikalar, Örnek – Çıkış FormatıSertifikalar, Örnek – Çıkış Formatı


Başlık 0x6A 1


Yayımcı Kodu 4

Son Kullanım Tarihi 2

Sertifika Seri No 3

Öz Algoritma Tipi 1

Açık Anahtar Algoritması 1



Açık Anahtar Bölüm 1 NCA-36

ÖZ Mesaj Özü 20

Sonlandırma 0xBC 1

Sertifikalar, Örnek - Sertifika BloğuSertifikalar, Örnek - Sertifika Bloğu


Başlık 0x6A 1


Yayımcı Kodu 4

Son Kullanım Tarihi 2

Sertifika Seri No 3

Öz Algoritma Tipi 1

Açık Anahtar Algoritması 1



Açık Anahtar Bölüm 1 NCA-36

ÖZ 20

Sonlandırma 0xBC 1

Açık Anahtar Bölüm 2 NI-NCA+36

Açık Anahtar Üssü 1

Statik Veri Asıllaması (SDA)Statik Veri Asıllaması (SDA)

• Asıllanacak verilerin sertifikası yayımcı tarafından Asıllanacak verilerin sertifikası yayımcı tarafından karta işlenmiştir,karta işlenmiştir,

• Basit ve hızlıdır, kart tarafından herhangi bir Basit ve hızlıdır, kart tarafından herhangi bir şifreleme yapılmazşifreleme yapılmaz

• Dinamik Veri Asıllaması kadar güvenli değildirDinamik Veri Asıllaması kadar güvenli değildir

Dinamik Veri Asıllaması ( DDA )Dinamik Veri Asıllaması ( DDA )

• Kart tarafından terminal ve kartın dinamik Kart tarafından terminal ve kartın dinamik parametreleri ile sertifika oluşturulur,parametreleri ile sertifika oluşturulur,

• Kartın şifreleme yapması gereklidir, maliyetli ve Kartın şifreleme yapması gereklidir, maliyetli ve düşük performanslıdırdüşük performanslıdır

• Oldukça güvenlidirOldukça güvenlidir

Bütünleşik DDA/Uygulama Bütünleşik DDA/Uygulama KriptogramıKriptogramı

• DDA ile aynı mantıkta çalışır,DDA ile aynı mantıkta çalışır,• Dinamik parametreler sınırlıdır,Dinamik parametreler sınırlıdır,• Şifrelenecek veri boyu DDA’e göre görece Şifrelenecek veri boyu DDA’e göre görece

küçüktür, daha kısa anahtarların kullanımı küçüktür, daha kısa anahtarların kullanımı mümkündür,mümkündür,

• Sertifika oluşturulurken ileride kullanılacak Sertifika oluşturulurken ileride kullanılacak uygulama kriptogramı ( AC ) de oluşturulur, uygulama kriptogramı ( AC ) de oluşturulur, toplam işlem süresi kısalır.toplam işlem süresi kısalır.

Kullanıcının AsıllanmasıKullanıcının Asıllanması

• Kartın bağlantısız ve bağlantılı işlemler için 2 adet PIN’i Kartın bağlantısız ve bağlantılı işlemler için 2 adet PIN’i bulunur.bulunur.

• Bağlantılı işlemler için kullanılan PIN yönetimi manyetik Bağlantılı işlemler için kullanılan PIN yönetimi manyetik şeritli sistemlerdeki ile aynıdır, bu PIN banka tarafından şeritli sistemlerdeki ile aynıdır, bu PIN banka tarafından kontrol edilebilir.kontrol edilebilir.

• Bağlantısız PIN kartın sahip olduğu fiziksel veridir, ancak Bağlantısız PIN kartın sahip olduğu fiziksel veridir, ancak kart tarafından doğrulanabilir.kart tarafından doğrulanabilir.

• PIN şifrelenmesi için kart ayrı bir anahtar çiftine sahip PIN şifrelenmesi için kart ayrı bir anahtar çiftine sahip olabilir.olabilir.

• Sertifikalandırma işlemi terminal tarafından kartın açık Sertifikalandırma işlemi terminal tarafından kartın açık anahtarı ile yapılır.anahtarı ile yapılır.

• Oluşturulan PIN sertifikası karta doğrulaması için verilir.Oluşturulan PIN sertifikası karta doğrulaması için verilir.

İşlem Kayıdı Tutulmasıİşlem Kayıdı Tutulması

• İşlemin orjinalliğinin ispatıdır,İşlemin orjinalliğinin ispatıdır,• Oluşturulması için MAC kullanılır, MAC CBC Oluşturulması için MAC kullanılır, MAC CBC

modunda DES işlemidir, ancak son blok 3DESlenir,modunda DES işlemidir, ancak son blok 3DESlenir,• Kullanılacak anahtar kartın sahip olduğu Kullanılacak anahtar kartın sahip olduğu

uygulama kriptogramı ana anahtarından türetilen uygulama kriptogramı ana anahtarından türetilen oturum anahtarıdır,oturum anahtarıdır,

• Şifrelenecek verilerin asgari gurubu üzerine Şifrelenecek verilerin asgari gurubu üzerine yayımcı ek veriler ekleyebilir.yayımcı ek veriler ekleyebilir.

Yayımcı AsıllamasıYayımcı Asıllaması

• Bağlantılı işlem yapıldığında dönen cevabın Bağlantılı işlem yapıldığında dönen cevabın yayımcı cevabı olduğunun doğrulanması için yayımcı cevabı olduğunun doğrulanması için kullanılır,kullanılır,

• İstek mesajında gönderilen AC yayımcı tarafından İstek mesajında gönderilen AC yayımcı tarafından çözülür, kart doğrulama bilgileri de eklenerek aynı çözülür, kart doğrulama bilgileri de eklenerek aynı oturum anahtarı ile şifrelenir.oturum anahtarı ile şifrelenir.

• İşlemin onaylandığı terminalce iddia ediliyor ise İşlemin onaylandığı terminalce iddia ediliyor ise gelen blok kart tarafından asıllanmak gelen blok kart tarafından asıllanmak durumundadır.durumundadır.

• İşlemin onaylanması durumunda yeni bir AC İşlemin onaylanması durumunda yeni bir AC üretilir.üretilir.

Ek Güvenlik ÖnlemleriEk Güvenlik Önlemleri

• MAC algoritması, kart ile güvenli haberleşme için MAC algoritması, kart ile güvenli haberleşme için kullanılır.kullanılır.

• Oturum anahtarı AC oturum anahtarı ile aynı Oturum anahtarı AC oturum anahtarı ile aynı yöntemle fakat kart MAC ana anahtarı yöntemle fakat kart MAC ana anahtarı kullanılarak üretilir.kullanılarak üretilir.

• Karta gönderilen bilgilerin sonuna MAC4-8 bilgisi Karta gönderilen bilgilerin sonuna MAC4-8 bilgisi eklenir.eklenir.

• Özellikle yayımcı tarafından gönderilen ve kartın Özellikle yayımcı tarafından gönderilen ve kartın özelliklerini değiştiren komutlar bu formda özelliklerini değiştiren komutlar bu formda kullanılır. Bu şekilde yetkisiz kişilerin kartın kullanılır. Bu şekilde yetkisiz kişilerin kartın özelliklerini değiştirmesi engellenir.özelliklerini değiştirmesi engellenir.

SonuçSonuç

• Yeni nesil kartlı ödeme sistemleri dijital imza-sertifika, Yeni nesil kartlı ödeme sistemleri dijital imza-sertifika, asimetrik ve simetrik şifreleme algoritmalarını iyi bir asimetrik ve simetrik şifreleme algoritmalarını iyi bir şekilde harmanlayarak kullanır,şekilde harmanlayarak kullanır,

• Kabul edilen algoritmalar RSA, DES ve SHA-1’dir Kabul edilen algoritmalar RSA, DES ve SHA-1’dir ancak gelişimler gözönüne alınarak sertiikalarda ancak gelişimler gözönüne alınarak sertiikalarda şifreleme ve öz alma algoritmaları için belirteçler şifreleme ve öz alma algoritmaları için belirteçler kullanılır. Bu şekilde eskiye uyumlu şekilde yenilikler kullanılır. Bu şekilde eskiye uyumlu şekilde yenilikler desteklenebilir, desteklenebilir,

• Anahtar uzunlukları şu an 1984 bit ile sınırlıdır, Anahtar uzunlukları şu an 1984 bit ile sınırlıdır, genelde 1024 bitlik anahtarlar tercih edilmektedir.genelde 1024 bitlik anahtarlar tercih edilmektedir.

• Sertifika otoritelerinin açık anahtarlarının terminallere Sertifika otoritelerinin açık anahtarlarının terminallere yüklenmesi noktası açıktır, denetimi yoktur.yüklenmesi noktası açıktır, denetimi yoktur.

TEŞEKKÜRLERTEŞEKKÜRLER

kartli Ödeme sİstemlerİnde gÜvenlİk

Documents