E-İmza Oluşturma ve Doğrulama TODAİE E Sunumu Ferda Topcan Başuzman Araştırmacı ferdat@uekae.tubitak.gov.tr (312) 4688486-19
İçerik İmza Verisi Formatı E-imza Oluşturma E-imza Zamanının Belirlenmesi İlk İmza Doğrulama İşlemleri Sonraki İmza Doğrulama İşlemleri E-imzanın Arşivlenmesi 2
İmza Verisi Formatı
E-imza Veri Formatı ETSI: European Telecommunications Standards Institute ETSI TS 101 733: Electronic Signatures and Infrastructures (ESI); CMS Advanced Electronic Signatures (CAdES) PKCS # 7: Cryptographic Message Syntax Standard RFC 3852: Cryptographic Message Syntax (CMS) ETSI TS 101 903: XML Advanced Electronic Signatures (XAdES) W3C/IETF Recommendation: "XML-Signature Syntax and Processing". 4
Elektronik İmzanın ETSI Formatında Saklanması Merhaba Ayrık imza ETSI 101 733 ;+?(^! SHA-1 $½ RSA ;+?(^! Bitişik imza ETSI 101 733 Merhaba ;+?(^! Elektronik imza 5
İmza Dosyasına Eklenebilecek Bilgiler (İmza Özellikleri) İmza Dosyası ETSI 101 733 Merhaba İmza zamanı (signing time) İmza politikaları (signature policies) İmza amacı (commitment type) Kullanılan sertifikayı tanımlayan bilgiler (signing certificate) İmzaya Dahil Olan Bilgiler İmzaya Dahil Olmayan Bilgiler ;+?(^! Elektronik sertifikalar: İmza sahiplerine ait sertifikalar ESHS lere ait sertifikalar Sertifika iptal kontrol referans verisi OCSP referansı SİL numarası Sertifika iptal kontrol verisi OCSP cevabı SİL Zaman Damgası 6
Çoklu İmza: Seri ve Paralel İmza ETSI 101 733 Merhaba ETSI 101 733 Merhaba 1. imza 1. imza 2. imza 2. imza Seri İmza Paralel İmza 7
Elektronik İmza Oluşturma
Elektronik İmzanın Oluşturulması Merhaba E-imza Oluşturma Yazılımı ETSI 101 733 Merhaba İmza sahibinin sertifikası Elektronik imza 9 Elektronik sertifika é!é+u%/(?(%(&^^fg [ ½]{]{9f\[{{ /+%/(^&/(+ &E556%/&&()&)(/=)(?= )%&MS^!^^Y/)P??(/)%( /%(%/((/{[{[==?\}][?/&? özel anahtar dosyası
Elektronik Sertifikanın Geçerlilik Kontrolleri İMZA OLUŞTURMA UYGULAMASI Elektronik imzalı veri İMZA DOĞRULAMA UYGULAMASI Sertifika iptal durum kontrolü Sertifika iptal durum kontrolü Sertifika İptal Listesi (SİL) OCSP ESHS Web Sunucu Dizin Sunucu OCSP Yanıtlayıcı Sertifika üzerindeki ESHS nin imzası Sertifika geçerlilik süresi Sertifika kullanım amacı Sertifika iptal durum kontrolü 10
E-imza Zamanının Belirlenmesi
Elektronik İmzaya Zaman Bilgisinin Eklenmesi İmza zamanı olarak aşağıdakilerden birisi belirlenebilir: 1. Kullanıcı makinasındaki sistem saati veya kurumdaki bir sunucudan alınan saat bilgisi imza dosyasına imzalı özellik olarak eklenebilir. Ancak bu yöntem imza zamanının belirlenmesinde güvenilir kabul edilmemektedir. 2. Zaman damgası (Time Stamp) 12
Elektronik İmzaya Zaman Damgası Eklenmesi 1. İmza oluşturulduktan sonra imzaya zaman damgası alınabilir: Bu durumda imzanın zaman damgası alındığı tarihten önce oluşturulduğu ispatlanır. Zaman damgası imza dosyasına sonradan eklenir. Zaman damgası imza dosyasına aşağıdaki zamanlarda eklenebilir: o Kullanıcı imzayı oluşturduktan hemen sonra kullanıcı o uygulaması zaman damgası alabilir. Kullanıcı imzalı belgeyi alıcı tarafa gönderdikten sonra alıcı tarafın uygulaması zaman damgası alabilir. 2. İmza oluşturulmadan önce imzalanacak belgeye zaman damgası alınabilir ve imza oluşturulurken alınan zaman damgası da imzalanır: Bu durumda belgenin zaman damgası alındığı tarihten önce oluşturulduğu; imzanın ise zaman damgası alındığı tarihten sonra oluşturulduğu ispatlanır. 13
Elektronik İmzaya Zaman Damgası Eklenmesi ETSI 101 733 GÜVENİLİR ZAMAN KAYNAĞI Merhaba Özetleme algoritması ESHS İmza sahibinin sertifikası Elektronik imza İmzanın Özet Değeri Zaman Damgası Sunucusu Elektronik imza Zaman Damgası İmzanın Özet Değeri Zaman Bilgisi ESHS nin İmzası Zaman Damgası 14
İlk İmza Doğrulama İşlemleri
İlk İmza Doğrulama İşlemi İmza oluşturulduktan ertelenme süresi (grace period) kadar zaman geçtikten sonra gerçekleştirilir. ESHS nin iptal bilgisi yayınlama zamanı İmza zamanı ESHS nin iptal bilgisi yayınlama zamanı Sertifika iptal kontrolünün yapıldığı zaman Ertelenme Süresi 16
İlk İmza Doğrulama İşlemi İmza oluşturulup, alıcıya gönderildikten sonra alıcı tarafından gerçekleştirilebilir. İmza sahibinin sertifikasının ve güven zincirindeki tüm ESHS sertifikalarının geçerlilik kontrolleri yapılmalıdır. ESHS ye ait diğer sertifikaların (OCSP/SİL İmzalama, Zaman Damgası) geçerlilik kontrolleri yapılmalıdır. SİL veya OCSP cevaplarının geçerlilik kontrolü yapılmalıdır. Zaman damgasının geçerlilik kontrolü yapılmalıdır. Doğrulama verileri toplanmalıdır. 17
İlk İmza Doğrulama İşlemi İlk imza doğrulama sırasında toplanan doğrulama verileri aşağıdaki verilerdir: Kullanıcı sertifikası Kullanıcı sertifikasını imzalayan ESHS sertifikası ve sertifika güven zincirindeki diğer ESHS sertifikaları Kullanıcı sertifikası ile ilgili SİL veya OCSP cevabı Sertifika güven zincirindeki ESHS sertifikaları ile ilgili SİL veya OCSP cevapları Zaman damgası Zaman damgası ile ilgili SİL veya OCSP cevabı SİL/OCSP ve zaman damgasını imzalayan ESHS sertifikaları Doğrulama verileri sonraki imza doğrulama işlemlerinde kullanılır. 18
İlk İmza Doğrulama İşlemi İmza doğrulama sırasında kullanılan doğrulama verileri aşağıdaki yöntemlerden birisi kullanılarak saklanır: İmza doğrulaması yapacak tüm kullanıcıların ulaşabileceği ortak bir alanda doğrulama verileri saklanır. Doğrulama verileri imza dosyasının içeriğine imzaya dahil olmayan (unsigned attributes) imza özellikleri olarak eklenir. ETSI 101 733 Merhaba İmza sahibinin sertifikası Elektronik imza Zaman Damgası Sertifika ve SİL/OCSP Deposu OCSP Cevabı OCSP Cevabı 19
Sonraki İmza Doğrulama İşlemleri
Sonraki İmza Doğrulama İşlemi İlk imza doğrulamadan sonra yapılan doğrulama işlemleridir. İlk imza doğrulamada kullanılan doğrulama verileri kullanılır. Doğrulama verileri aşağıdaki yöntemlerden birisi ile elde edilir: Tüm kullanıcıların ulaşabileceği ortak bir alandan elde edilir. İmza dosyasının içeriğinden elde edilir. İlk imza doğrulaması sırasında yapılan tüm kontrollerin aynısı imzanın atıldığı tarih referans alınarak tekrar yapılır. 21
Sonraki İmza Doğrulama İşlemi ETSI 101 733 ETSI 101 733 Merhaba Merhaba İmza sahibinin sertifikası Elektronik imza Zaman Damgası Sonraki İmza Doğrulama Yazılımı İmza sahibinin sertifikası Elektronik imza Zaman Damgası OCSP Cevabı Sertifika ve SİL/OCSP Deposu OCSP Cevabı 22
Elektronik İmzanın Arşivlenmesi
Elektronik İmzanın Arşivlenmesi Elektronik imzalı dokümanların uzun dönem saklanması gerektiğinde arşivleme yapılır. Geçmişte kullanılan algoritmaların veya anahtarların artık güvenli kabul edilmediği durumlardaarşivleme yapılır. ESHS Zaman Damgası sunucularına bağlanılarak, eskiden oluşturulmuş imza dosyalarına Zaman Damgası alınması yoluyla arşivleme yapılır. Arşivleme ilerleyen zamanlarda gerektikçe tekrarlanır. 24
Arşiv Zaman Damgası ETSI 101 733 Merhaba İmza sahibinin sertifikası Elektronik imza Zaman Damgası ETSI 101 733 5/)=hf+% Arşivleme ESHS Zaman Damgası Sunucusu Zaman Damgası Doğrulama Verileri 25