T.C. Kimlik Kartı Ve E-Uygulamaları Mücahit MUTLUGÜN BAŞUZMAN ARAŞTIRMACI mucahit@uekae.tubitak.gov.tr +90 262 6481338 3. TÜBİTAK UEKAE Bilgi Güvenliği Günleri Nisan 2009
Ajanda T.C. Kimlik Kartı Nedir T.C. Kimlik Kartı nın Mahremiyet Özellikleri T.C. Kimlik Kartı nın Sağlayacağı Faydalar T.C. Kimlik Kartı e-uygulamaları Elektronik Kimlik Doğrulama Sistemi 2
T.C. Kimlik Kartı Nedir Mevcut nüfus cüzdanı nın yerini alacak akıllı karttır. ArGe çalışması TÜBİTAK UEKAE tarafından TÜBİTAK 1007 programı çerçevesinde gerçekleştirilmektedir. Tüm e-devlet uygulamalarında kullanımı planlanmaktadır. 3
Başbakanlık genelgesi Resmi Gazete: 4 Temmuz 2007 tarih ve 26572 sayılı Başbakanlık Genelgesi 1. Biyometrik unsurlar da içeren elektronik vatandaşlık kartının kimlik doğrulama için kullanımının sağlanması ve tüm kimlik doğrulama fonksiyonlarının tek bir elektronik kartta toplanması, 2. Pilot uygulamanın sağlık ve sosyal güvenlik alanında hayata geçirilmesi ve yaygınlaştırma çalışmalarının bu uygulamanın sonuçlarına göre yapılması, 4
Projedeki Paydaşlar Başbakanlık İçişleri Bakanlığı (NVİ) Sağlık Bakanlığı Sosyal Güvenlik Kurumu Devlet Planlama Teşkilatı Darphane 5
Mahremiyet Özellikleri Kimlik kartı içerisinde biyometrik veri tutulacaktır. Kart dışında ş herhangi bir yerde kişinin ş biyometrik bilgisi tutulmamaktadır. Kişiselleştirme ş ş sırasında karta yazıldıktan sonra imha edilmektedir. Tutulan izler parmak biyometrisinin birebir resmi olmayıp indirgenmiş özetidir. Biyometrik bilgilerin özeti asgari bilgi olup kişinin mahremiyetini ihlal etmemektedir. Avrupa Birliği veri koruma kanununa göre kişinin biyometrik verileri bu şekilde tutulması gerektiğini önermektedir. 6
Kimlik Kartının Sağlayacağı Faydalar Kamu Kurumları, Özel Sektör ve Vatandaş Elektronik Kimlik Doğrulama Bilinen (PIN) ****** Sahip Olunan (Akıllı Kart) Biyometrik (Parmak izi/damar İzi/Resim) Kimlik Hırsızlığının Önlenmesi Akıllı Kart ların taklit edilme ve kopyalama zorluğu Kart iptali mümkün 7
T.C. Kimlik Kartı e-uygulamaları Sağlık ve Sosyal Güvenlik Aile Hekimliği, Hastane ve Eczane E-provizyon ve E-reçete E-Devlet Kapısı Dahil olan tüm uygulamalar Emniyet Genel Müdürlüğü Özel Sektör Nüfus Cüzdanı nın nın Bankalar Kullanıldığı Her Türlü Yazılım Şirketleri Elektronik ve Kağıt ğ Tabanlı Uygulamalar 8
Elektronik Kimlik Doğrulama Sistemi (EKDS) Bileşenleri Elektronik Kimlik Kartı: Vatandaşın kimlik bilgilerinin, i i parmak izinin ve kimlik doğrulama sertifikasının bulunduğu güvenli akıllı kart Kart Erişim Cihazı: Vatandaşın kart, PIN ve parmak izi ile kimlik doğrulamasının yapıldığı cihaz Kimlik Doğrulama Sunucusu: Kimlik doğrulama sonuçlarını Kurum Hizmet Sunucuları için değerlendiren ve doğrulayan merkezi sunucu Kimlik Doğrulama ğ Politika Sunucusu: Kimlik doğrulamada kullanılacak güvenlik seviyesi, geçerlilik süresi vb. kimlik doğrulama politikasını belirleyen merkezi sunucu Güvenlik Servisleri Platformu: Kart Erişim Cihazlarındaki güvenlik servislerinin kullanımını sağlayan ğ arabirim yazılımları (GSP, WIA ve OYA) Sertifika Sunucuları: Kart iptallerinin sorgulandığı sunucular 9
Kimlik Kartı ve EKDS İle İlgili Bazı Esaslar Elektronik ortamda hizmet alanın kimliğinin doğrulanmasını ğ sağlar, ğ Kartın içerisindeki güvenli bilgiler çok özel tedbirlerle korunmuştur (CC EAL5+), Vatandaş ş ile ilgili kayıtlar kurumların kendi sunucularında bilmesi gereken prensibi çerçevesinde tutulmaktadır. 10
Kimlik Doğrulama Mimarisi Kimlik Doğrulama Bildirimi (KDB) doğrulatma isteği Kimlik Doğrulama Bildirimi (KDB) doğrulatma cevabı Sertifika Durumu Kurum Hizmet Sunucusu Kimlik Doğrulama Sunucusu Sertifika Sunucusu ildirimi (KDB) k Doğrulama Bi Kimli lik Doğrulama Sonucu Kiml Kimlik Doğrulama Politika Sunucusu Kimlik Doğrulama İsteği (uygulama etiketi ve rol) Kimlik Doğrulama Bildirimi (KDB) GSP / WIA / OYA Kart İsteği Kimlik Kartı PIN-Parmak izi İsteği EKK Hizmet İsteyen 11 Kurum Hizmet İstemcisi Kart Erişimi Cihazı (KEC) PIN-Parmak izi
Kimlik Doğrulama Sunucusu KDB doğrulama servisi XML imza doğrulama ğ servisi Web Servis Arayüzü KDB leri tekil olarak takip edebilme KDB loglama ve eski kayıtlardan arama Web tabanlı yönetici konsolu Windows ve Linux desteğiğ 12
Kimlik Doğrulama Politika Sunucusu Kurum bazında kimlik politikaları belirleyebilme (Uygulama bazlı) Kişi bazlı politika tanımlama Hizmet Alan ve Hizmete Katılan için Kimlik Doğrulama Süresi Kimlik Doğrulama Geçerlilik Süreleri Aracı izin verebilme Hizmete Katılan zorunlu koşma Parmak izi güvenlik seviyesi Biyometrik geçmezse hizmete katılan onayı Donanım veya yazılım tabanlı elektronik imzalı politika oluşturabilme 13
Yerel Kimlik Doğrulama KEC üzerinden yapılabilir Güvenlik seviyesi düşük Merkez sunucu olmadığı durumlarda Kart-PIN-Parmak İzi ile 3 seviye kontrol KDB üretilmiyor: TC Kimlik No, Ad ve Soyad Güvenli kabul edilen bir cihaza veya programa girişte ş kullanılabilir 14
Lokal Kimlik Doğrulama - Kimlik Doğrulama Lokal Kimlik Doğrulama Kimlik Doğrulama Sertifika Doğrulama Yok Var Kimlik Doğrulama Politika Sunucusu Gerek yok Gerek var Kimlik Doğrulama Sunucusu Kimlik Doğrulama Bildirimi Oluşturma Gerek yok Yok Gerek var Var Güvenlik Seviyesi Düşük Yüksek Hız Yüksek Normal Merkezi Sunucu varsa Kullanılmamalı Kullanılmalı İstemci Güvenli Kabul Ediliyorsa Güvenilmiyor Olabilir 15 Çevrimdışı Desteği Var Yok
Sorular TEŞEKKÜR EDERİM 16