ELEKTRONİK İMZADA GÜVENLİK VE STANDARTLAR



Benzer belgeler
Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ BİRİNCİ BÖLÜM. Genel Hükümler

ELEKTRONĠK ĠMZA ĠLE ĠLGĠLĠ SÜREÇLERE VE TEKNĠK KRĠTERLERE ĠLĠġKĠN TEBLĠĞ

TODAİE edevlet MERKEZİ UYGULAMALI E-İMZA SEMİNERİ KASIM E-imza Teknolojisi. TODAİE Sunumu

ve diğer Yerel Mevzuat Kapsamında Zaman Damgası

E-İmza Oluşturma ve Doğrulama

ITMS DAYS Information Technologies Management Systems Days

Elektronik Đmza ve Güvenlik

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI

E-İmza ve M-İmza. Hasan Hüseyin SUBAŞI. Danışman, Mühendis, MBA, PhD Adayı

Kurumlarda E-imzaya Yapılması Gerekenler TODAİE E Sunumu. Ferda Topcan Başuzman Araştırmacı ferdat@uekae.tubitak.gov.tr (312)

ELEKTRONİK İMZA MEVZUATI

TAŞMAN & ŞANVER. Persembepazarı Cd. No 9 Kat: 5 / Karaköy / İstanbul Tel: Fax : inbox@sanver.gen.

EBG Bilişim Teknolojileri ve Hizmetleri A.Ş ZAMAN DAMGASI UYGULAMA ESASLARI (ZDUE)

Elektronik Hizmetler ve Elektronik İmza

TÜBİTAK KAMU SERTİFİKASYON MERKEZİ EĞİTİM KATALOĞU (2012) Sürüm 1.0

Elektronik İmza ve Güvenlik

E-İmza Kavramı. Bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları da içermektedir.

Kamu Sertifikasyon Merkezi

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ

TÜRK STANDARDLARI ENSTİTÜSÜ

ELEKTRONİK İMZA OLUŞTURMA VE DOĞRULAMA STANDARTLARI

ZAMAN DAMGASI İLKELERİ (ZDİ)

ELEKTRONİK İMZA UZAKTAN EĞİTİM KAYNAK BİLGİ DÖKÜMANI

SERTİFİKA MALİ SORUMLULUK SİGORTASI

Yahya YILMAZ Kamu Satış Yöneticisi. Kayıtlı Elektronik Posta ve E-Tebligat

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

TÜRK STANDARDLARI ENSTİTÜSÜ BİLİŞİM TEST VE BELGELENDİRME ÜCRET TARİFESİ

Bilgi Güvenliği Yönetim Sistemi

ZAMAN DAMGASI İLKELERİ (ZDİ)

KSM (NİTELİKLİ ELEKTRONİK SERTİFİKA) SERTİFİKA UYGULAMA ESASLARI

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

ZAMAN DAMGASI UYGULAMA ESASLARI (ZDUE)

Güvenli Elektronik Belge Yönetim Sistemi İçin Temel Gereksinim: E-İMZA

TÜBİTAK ULAKBİM ELEKTRONİK İMZA ENTEGRASYONU HİZMET ALIMI TEKNİK ŞARTNAMESİ

ZAMAN DAMGASI UYGULAMA ESASLARI (ZDUE)

ELEKTRONİK İMZA nedir? 5070 Sayılı ELEKTRONİK İMZA KANUNU tarihli sayılı Resmi Gazetede yayınlanmıştır.

TÜRK STANDARDLARI ENSTİTÜSÜ

Kurumsal bilgiye hızlı ve kolay erişim Bütünleşik Belge Yönetimi ve İş Akış Sistemi içinde belgeler, Türkçe ve İngilizce metin arama desteği ile içeri

NİTELİKLİ ELEKTRONİK SERTİFİKA KULLANIMINA İLİŞKİN E-GÜVEN BİLGİLENDİRME DÖKÜMANI

Kayıtlı Elektronik Posta

Kayıtlı Elektronik Posta ve Elektronik Tebligat Sistemi

e-güven Genel Kullanıma İlişkin Nitelikli Elektronik Sertifika İlkeleri

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

İNTERNET SİTESİ YÜKÜMLÜLÜĞÜNE TABİ ŞİRKETLERİN VEYA MTHS LERİN ALACAKLARI TEKNİK RAPORDA YER ALMASI GEREKEN TEKNİK KRİTERLER REHBERİ

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

E-İMZA ULUSAL KOORDİNASYON KURULU BİLGİ GÜVENLİĞİ VE STANDARTLAR ÇALIŞMA GRUBU İLERLEME RAPORU

TÜRK STANDARDLARI ENSTİTÜSÜ BİLİŞİM TEST VE BELGELENDİRME ÜCRET TARİFESİ

ELEKTRONİK VE MOBİL İMZA UYGULAMALARI. Veysel KARATAŞ

NİTELİKLİ ELEKTRONİK SERTİFİKA KULLANIMINA İLİŞKİN E-GÜVEN BİLGİLENDİRME DÖKÜMANI

Kamu SM SERTİFİKA UYGULAMA ESASLARI (NİTELİKLİ ELEKTRONİK SERTİFİKA İÇİNDİR)

E-DEVLET UYGULAMALARI İÇİN ELEKTRONİK İMZA FORMATLARI

ULUSAL GRID ÇALIŞTAYI 2005

Bilgi Güvenliği Eğitim/Öğretimi

ULUSAL GRID ÇALIŞTAYI 2005

e-güven Mobil Kullanıma İlişkin Nitelikli Elektronik Sertifika İlkeleri

e-güven Genel Kullanıma İlişkin Nitelikli Elektronik Sertifika İlkeleri

EBG Bilişim Teknolojileri ve Hizmetleri A.Ş NİTELİKLİ ELEKTRONİK SERTİFİKA UYGULAMA ESASLARI (NESUE)

Kayıtlı Elektronik Posta (KEP)

Kamu SM SERTİFİKA UYGULAMA ESASLARI (NİTELİKLİ ELEKTRONİK SERTİFİKA İÇİNDİR)

e-imza KIBRIS Genel Kullanıma İlişkin Nitelikli Elektronik Sertifika İlkeleri

Bakanlığımız Tüketici ve Rekabetin Korunması Genel Müdürlüğü'nce yürütülen,

e-güven Zaman Damgası İlkeleri

Kamu SM SERTİFİKA UYGULAMA ESASLARI (NİTELİKLİ ELEKTRONİK SERTİFİKA İÇİNDİR)

EBG Bilişim Teknolojileri ve Hizmetleri A.Ş NİTELİKLİ ELEKTRONİK SERTİFİKA İLKELERİ (NESİ)

E-İMZA. H. Mehmet ÇEKİCİ - Sayıştay Başdenetçisi Serkan KAYA - Sayıştay Başdenetçisi. Giriş. E-imza nedir?

Açık Anahtar Altyapısı (AAA) ODTÜ UYGULAMALI MATEMATİK ENSTİTÜSÜ

ELEKTRONİK İMZA KANUNUNUN UYGULANMASINA İLİŞKİN USUL VE ESASLAR HAKKINDA YÖNETMELİK BİRİNCİ BÖLÜM. Genel Hükümler

MADDE 1.- Bu Kanunun amacı, elektronik imzanın hukuki ve teknik yönleri ile kullanımına ilişkin esasları düzenlemektir.

TÜRK STANDARDLARI ENSTİTÜSÜ BİLİŞİM TEST VE BELGELENDİRME ÜCRET TARİFESİ

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ

TÜRKİYE DE ELEKTRONİK İMZA UYGULAMASI. Mesut ORTA Hakim Adalet Bakanlığı Bilgi İşlem Dairesi Başkanlığı Başkan Yardımcısı

E-İMZA UYGULAMASI KONTROL LİSTESİ

SERTİFİKA UYGULAMA ESASLARI

T.C. EMNİYET GENEL MÜDÜRLÜĞÜ

TÜRK STANDARDLARI ENSTİTÜSÜ BİLİŞİM TEST VE BELGELENDİRME ÜCRET TARİFESİ

Kanun 5070 sayılı Kanunun değişen maddeleri giriş tarihi , 17, 18, 19 8/2/2008 ELEKTRONİK İMZA KANUNU (1) BİRİNCİ KISIM

ELEKTRONİK İMZA KANUNU (1)

ELEKTRONİK İMZA KANUNU (1)

SERTİFİKA İLKELERİ (Sİ)

Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik. BİRİNCİ BÖLÜM Genel Hükümler

Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik

e-tuğra SERTİFİKA İLKELERİ E-Tuğra EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. Sürüm: 3.1 Yürürlük Tarihi: Eylül, 2013 Güncelleme Tarihi: 30/08/2013

Daha komplike uygulamalar elektronik ticaret, elektronik kimlik belgeleme, güvenli e-posta,

KAMU SM SERTİFİKA İLKELERİ VE SERTİFİKA UYGULAMA ESASLARI ( SSL VE S/MIME SERTİFİKASI İÇİNDİR)

AVRUPA BİRLİĞİ NDE ELEKTRONİK İMZA. Köksal ÖZENÇ. Telekomünikasyon Uzmanı Telekomünikasyon Kurumu

e-imzatr NĠTELĠKLĠ ELEKTRONĠK SERTĠFĠKA UYGULAMA ESASLARI

Kriptoloji Kavramları ve Kripto Analiz Merkezi Gökçen Arslan

KSM SERTİFİKA İLKELERİ

Türk Eczacıları Birliği Elektronik İmza Projesi

KAMU SM SERTİFİKA İLKELERİ (NİTELİKLİ ELEKTRONİK SERTİFİKA İÇİNDİR)

SERTİFİKA UYGULAMA ESASLARI

Kanun No Kabul Tarihi :

Bilgi Teknolojileri Ürün Güvenliği İçin Ortak Kriterler Sertifikasyonu ve Türkiye

NİTELİKLİ ELEKTRONİK SERTİFİKA İLKELERİ

ŞİFRELEME YÖNTEMLERİ

Transkript:

ELEKTRONİK İMZADA GÜVENLİK VE STANDARTLAR TELEKOMÜNİKASYON KURUMU E-İMZA ÇALIŞMA GRUBU 22 Mart 2005 1 Güvenlik ve Standartlar Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ 6 Ocak 2005 tarih ve 25565 sayılı Resmi Gazete de yayınlanmıştır. 2

Elektronik İmza Güvenliği ESHS Güvenliği Algoritma Güvenliği İmza Oluşturma/Doğrulama Araçları Güvenliği 3 ESHS Güvenliği ESHS; Güvenli ürün ve sistemleri kullanmakla Hizmeti güvenilir bir biçimde yürütmekle Sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri almakla yükümlüdür. 4

ESHS Güvenliği ESHS nin İşleyişi Sertifika İlkeleri ve Sertifika Uygulama Esasları Güvenlik Kriterleri Zaman Damgası ve Hizmetleri Belgeler 5 ESHS nin İşleyişi ESHS, işleyişinin bütün aşamalarında; a) ETSI TS 101 456 ve b) CWA 14167-1 standartlarına uymakla yükümlüdür. 6

ETSI TS 101 456 7 CWA 14167-1 Ana hizmetler: Kayıt Hizmeti Sertifika Oluşturma Hizmeti Dağıtım Hizmeti İptal Yönetim Hizmeti İptal Durum Hizmeti Tamamlayıcı hizmetler: Sertifika Sahibi Cihaz Sunum Hizmeti Zaman Damgası Hizmeti 8

Sertifika İlkeleri ve Sertifika Uygulama Esasları ESHS, Sertifika İlkeleri (Sİ) ile Sertifika Uygulama Esasları nı (SUE) IETF RFC 3647 ye uygun olarak hazırlar. 9 RFC 3647 Sİ ve SUE Sertifika İlkeleri (Sİ): * Sertifika yönetim kuralları * Sertifikaya ilişkin sınırlamalar * ESHS, kullanıcı ve üçüncü kişinin sorumlulukları * İlgili hukuki düzenlemeler Sertifika Uygulama Esasları (SUE): * Sertifika yönetimine ilişkin kurallar ve uygulama süreci * ESHS nin işleyişine ilişkin ayrıntılı açıklamalar * ESHS nin sorumluluklarını nasıl yerine getireceği Zaman Damgası için Sİ ve SUE 10

RFC 3647 Sİ ve SUE Sertifika yayınlama ve depolama Kimlik tesbiti ve doğrulama Sertifika yaşam döngüsü işletim kuralları Tesisler, yönetim ve işletmeye yönelik kontroller Teknik güvenlik kontrolleri Sertifika, CRL ve OCSP profili Uygunluk değerlendirmesi ve raporlaması Diğer konular ve hukuki hususlar 11 ESHS ye İlişkin Güvenlik Kriterleri ESHS, güvenlik kriterlerine ilişkin olarak; a) CWA 14167-1, b) ETSI TS 101 456 ve c) TS ISO/IEC 17799 veya ISO/IEC 17799 standartlarına uyar. 12

ISO/IEC 17799 un 10 Kontrol Hedefi Uygunluk Bilgi Güvenliği Politikası Güvenlik Organizasyonu İş Devamlılık Planı Sistem Geliştirme Ve Bakımı Bütünlük BİLGİ Erişebilirlik Gizlilik Varlık Sınıflandırma Kontrolleri Personel Güvenliği Erişim Kontrolleri İletişim ve İşlem Güvenliği Fiziksel Güvenlik 13 Zaman Damgası ESHS, zaman damgası ve hizmetlerine ilişkin olarak; a) CWA 14167-1 ve b) ETSI TS 101 861 standartlarına uyar. Zaman damgası ilkeleri ve zaman damgası uygulama esasları ETSI TS 102 023 e uygun olarak hazırlanır. 14

ESHS den Talep Edilen Belgeler ESHS; a) BS 7799-2 standardına uygunluğunu, b) Güvenli elektronik imza oluşturma araçlarının; i. FIPS PUB 140-1 veya FIPS PUB 140-2 ye göre seviye 3 veya üzerinde olduğunu veya ii. CWA 14167-2 de belirtilen kriterlere uygunluğunu veya iii. CWA 14169 standardına uygun ve TS ISO/IEC 15408 (-1,- 2,-3) e veya ISO/IEC 15408 (-1,-2,-3) e göre en az EAL4+ seviyesinde olduğunu yetkili kurum veya kuruluşlardan alınan belgelerle belgelendirir. 15 BS 7799-2 BS 7799-2 de ISMS yapısı oluşturulmuştur. * Varlık tesbiti ve sınıflandırması * Risk yönetimi ve değerlendirmesi * Açıklık analizi ve güncelleme * İç denetim ve kontroller * Fiziki ve personel güvenliği * Operasyonel güvenlik * Bilgi güvenliği politikası *... 16

Elektronik İmza Güvenliği ESHS Güvenliği Algoritma Güvenliği İmza Oluşturma/Doğrulama Araçları Güvenliği 17 E-imzada Kullanılan Algoritma ve Parametreler İmza oluşturma ve doğrulama verileri, aşağıda belirtilen algoritma ve parametrelere uygun olarak oluşturulur; a) İmza sahibinin imza oluşturma ve doğrulama verileri i. RSA için en az 1024 bit veya ii. DSA için en az 1024 bit veya iii. DSA Eliptik Eğrisi için en az 160 bit b) ESHS nin imza oluşturma ve doğrulama verileri i. RSA için en az 2048 bit veya ii. DSA için en az 2048 bit veya iii. DSA Eliptik Eğrisi için en az 256 bit 31.12.2005 tarihine kadar geçerlidir. 18

Özetleme Algoritması (Hash) Özetleme algoritması (hash) olarak; a) RIPEMD-160 veya b) SHA-1 kullanılır. 31.12.2005 tarihine kadar geçerlidir. 19 Özetleme Algoritması (Hash) * Sabit çıkışlı (RIPEMD-160 bit, SHA-1 128 bit) * Geri dönüşümsüzdür * İki farklı mesajın hash değeri birbirinden farklıdır 20

Elektronik İmza Güvenliği ESHS Güvenliği Algoritma Güvenliği İmza Oluşturma/Doğrulama Araçları Güvenliği 21 Güvenli İmza Oluşturma/Doğrulama Araçları Güvenli elektronik imza oluşturma araçları; CWA 14169 standardına uygun ve TS ISO/IEC 15408 (-1,-2,-3) e veya ISO/IEC 15408 (-1,-2,-3) e göre en az EAL4+ seviyesinde olmalıdır. Güvenli elektronik imza doğrulama araçları; CWA 14171 standardına uygun olmalıdır. 22

Elektronik İmza Oluşturma Araçları İmza Oluşturma Verisini tutan yazılım/donanım aracı Özellikleri İmza Oluşturma Verisi araç dışına çıkarılamaz. İmzalama işlemi araç üzerinde gerçekleştirilir. Kullanılması zorunludur. Standartları tebliğ ile belirlenmiştir. (EAL 4+) 23 Elektronik İmza Doğrulama Araçları İmza doğrulama işlemini gerçekleştiren yazılım/donanım aracı Özellikleri Standartları tebliğ ile belirlenmiştir. Kullanılması zorunludur. 24

Ortak Kriter (CC) ORTAK KRİTER: Bilgi teknolojisi güvenliği değerlendirmeleri için ortaya çıkartılan kriterlerin bütününü temsil eder. ISO/IEC 15408-1: Giriş ve Genel Model ISO/IEC 15408-2: Güvenlik Fonksiyonel Gereksinimleri ISO/IEC 15408-3: Güvenlik Garanti Gereksinimleri ORTAK KRİTERİN KULLANIMI: * Bir ürünün veya sistemin mevcut güvenlik özelliklerini değerlendirirken * Bu özelliklerinde değişiklik yaparken, * Güvenlik özellikleri olan bir ürünün veya sistemin satın alımında 25 Ortak Kriter (CC) Değerlendirme Garanti Düzeyi (EAL-Evaluation Assurance Level) EAL 1: Fonksiyonel Olarak Test Edilmiş (Düşük) EAL 2: Yapısal Olarak Test Edilmiş (Düşük) EAL 3: Metodolojik Olarak Test Edilmiş (Orta) EAL 4: Metodolojik Tasarım, Test ve Kontrol (Orta) EAL 5: Yarı-Biçimsel Tasarım ve Test (Yüksek) EAL 6: Yarı-Biçimsel ve Doğrulanmış Tasarım ve Test (Yüksek) EAL 7: Biçimsel ve Doğrulanmış Tasarım ve Test (Mükemmel) 26

Nitelikli Elektronik Sertifika Nitelikli elektronik sertifikalar; a) ETSI TS 101 862 ve b) ITU-T Rec. X. 509 V.3 e uygun olarak oluşturulur. 27 ETSI TS 101 862 Direktif in Madde 5 inde belirtildiği üzere nitelikli sertifikalar öneme haiz olduğundan nitelikli sertifikaya dahip ileri e-imzalar hukuki işlemlerde delil olarak sayılmaktadır. Sertifikanın nitelikli olduğuna dair bir ibarenin bulunması zorunludur. 28

% 100 Güvenlik??? Sayısal imza kullanımında dikkat edilecek hususlar * Sertifikadaki kısıtlamalara uyulması * Sertifikanın geçerlilik süresi (CRL, OCSP) * Sertifikanın nitelikli sertifika şartlarını taşıması * Standartlara uygun cihaz ve yazılım kullanmak * İmza oluşturma araçlarını başkasına kullandırmamak * İmza oluşturma aracına erişim şifresini başkasına vermemek/kullandırmamak *... SONUÇ: Kişilerin bilgili ve bilinçli olması 30

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim