PKI Risks in Real World and Digital Signiture in Turkey XI. I-NET`06 21-23 December 2006, Ankara. Abstract R. Zilan, G. Yalcin, A. Battal Use of Public Key Infrastructure (PKI) is based of secure communication and e-commerce. Daily usage problems of applications make it difficult to use PKI as a solution. In this study, PKI application problems and specifically whether the law of digital signature for Turkey covers these risk or not, is analyzed. It is suggested that for the use of digital signature several precautions should be taken. Keywords: Digital Signature, Security, PKI, PKI Applications, Certificates, Certificate Centers. Gerçek Yaamda Açık Anahtar Altyapısı Riskleri ve Türkiye de E-imza ÖZET Açık Anahtar kullanımı günümüzde güvenli iletiim ve e-ticaretin temelini oluturmaktadır. Günlük kullanımda tespit edilen uygulama problemleri, Açık Anahtar Altyapısı nın çözüm olarak kullanılmasını zorlatırmaktadır. Bu çalımada, genel olarak Açık Anahtar Altyapısı ndaki uygulama problemleri ve özel olarakta, Türkiye için e-imza kanunu ile bu risklerin kapsanıp kapsanmadıı incelenmitir. Günümüzde e-imzanın güvenli ekilde uygulanabilmesi için birçok tedbir alınması gereklilii görülmütür. Anahtar Kelimeler: E-imza, Güvenlik, Açık Anahtar Altyapısı (AAA), PKI, Bankacılıkta Açık Anahtar Altyapısı, E-imza Kanunu, Sertifika, Sertifika Merkezi. 1. GR Açık Anahtar Altyapısı, son yıllarda bilgisayar güvenlii alanında çok tartıılan konulardan biri olmutur. Yapılmı olan çalımalar ııında, AAA sı kullanımının gerçek hayattaki riskleri tespit edilmi, Türkiye deki kullanımda bu risklerin ne kadar farkında olunduu incelenmi, toplanan veriler ampirik metotla analiz edilmitir. Bu risklere karı alınan ve alınması gereken önlemler tespit edilmitir. E- imza kanunu ile bu risklerin kapsanıp kapsanmadıının incelenmesi hedefler içindedir. Türkiye de bankacılıkta AAA kapsamında da; Bankası ve Garanti Bankasının kullanıcı olarak interaktif hesaplarının AAA açısından güvenliinin incelenmesi de bir dier hedef olarak belirlenmitir. Çalıma iki ana bölümden olumaktadır: lk kısmında AAA daki uygulama problemleri ve varsa gelitirilen çözümler incelenmi, ikinci kısmında ise Türkiye de e- imzanın yeri, AAA daki problemlerin kanunen ne kadar kapsandıı incelenmitir, sonuç ve öneriler kısmında sunulmutur. 2. AÇIK ANAHTAR ALTYAPISI AAA nın ana görevi açık anahtarların sahipleri için sayısal sertifikaların üretilmesi, yayınlanması ve yönetimini salamaktır. Açık anahtarlı ifrelemede kullanılan özel anahtarın kiiye özel olması, sayısal ortamdaki bilginin imzalanmasını da gündeme getirmitir. Bir sayısal belgeyi imzalamak için kiinin özel anahtarı ile ifrelenmesi yeterlidir. Oluan çıktı ancak belirli bir özel anahtara ait olan açık anahtar ile açılabilecei için, belgeyi ifreleyen kiinin kimliinden emin olunur. Ancak anahtarlı ifrelemenin yava olması nedeniyle sayısal belgeler için özet alma metotları uygulanır. Bu metotlar herhangi bir sayısal belgeden, sabit uzunlukta ve tekil bir sonuç üretir. Bu özet kiinin özel anahtarı ile ifrelenerek sayısal imza oluturulmu olur. mzayı kontrol etmek isteyen kii aynı belgenin özetini alıp, sayısal imzayı da açık anahtarla açarak iki sonucu karılatırır. Küçük bir alanda, açık anahtarların güvenli ve emin bir ekilde ulatırılması mümkündür. Fakat uluslararası bir mesajlama ortamında kullanıcılar arasında anahtarların ulatırılması pratik deildir. Bunun için güvenilir üçüncü taraflar tarafından uygulanan otomatik anahtar yönetimi ve sayısal imzalara ihtiyaç vardır. AAA yapısında bulunan temel elemanlar; Kayıt lemi:bir AAA ortamına kullanıcıların katılıp kullanmaları için AAA sistemine ait güvenilir üçüncü ahıs servisine kayıt olmaları gerekir.
E- imza:mesajların dorulanması, bütünlüü ve inkâr edemezlik gibi ihtiyaçları karılayan AAA servisidir. Anahtar Yönetimi:Bu servis içinde anahtarların üretimi, sahiplendirilmesi, daıtılması, depolanması, geri alınması, yedeklenmesi, güncellenmesi, anahtar eriim isteklerinin dorulanması ve yönetim aamalarından oluur. ifreleme: Ada mesajların gizliliini salayarak koruma salayan ifreleme aamasıdır. nkâr Edememe: Verilerin ilenmesi, toplanması, tekrar elde edilmesi ve doruluunun onaylanması gibi ilemleri içerir. Zaman Damgası: Veri ve dokümanlara eklenen zaman damgası ile geçerli olduu zaman aralıını belirler. Sertifika Yönetimi: E-sertifikalar birey ile onun açık anahtarı arasındaki ilikiyi salayan bir elektronik bilet olarak düünülebilir. 3.AAA VE GÜVENLK Bilgi aktarımı çeitli tehditler sonucu güvensiz hale gelebilmektedir. Bilgi akıının salıklı olması için duyulan gereksinimler dört madde altında incelenebilir: Kimlik dorulama: Bilgiyi gönderenin kimliinden emin olunması. Bilgi bütünlüü: Bilginin gönderildii andaki eklini koruduundan emin olunması. Gizlilik: Bilginin hedeflenen alıcı dıındaki 3. partilerce ulaılamaz olması. nkâr edememe: Bilgi kaynaının gönderdii bilgiyi inkâr edememesi. AAA nın altyapısını sayısal sertifikalar oluturur. Sayısal sertifikalar genel güvenilirlie ve yetkiye sahip bir sertifika merkezi (SM) tarafından verilebilir. Bir sayısal sertifika, sertifika merkezine bavuran kiinin açık anahtarını, kendisine ait tanıtıcı bilgileri ve sertifika merkezinin sayısal imzasını içerir. Bilgi alıverii sırasında gönderici taraf belgeyi sayısal olarak imzalar ve belgeyle birlikte sayısal sertifikasını da alıcıya yollar. Alıcı taraf sertifikayı veren sertifika merkezine dorulatır ve sertifikada yazan açık anahtarın gönderen kiiye ait olduundan emin olmu olur. 4.AAA UYGULAMA RSKLER VE SORUNLARI Açık Anahtar Altyapısında tespit edilmi ve özellikle üzerinde durulması gereken tehlikeler genel olarak u ekildedir: 1. AAA ın güvenlii anahtar-yönetimine balıdır. - Sertifikaların son kullanım tarihleri, güncellenme süreleri, imhaları ve bu süre içinde kırılabilme ihtimalleri. - Sertifika ptal Listelerine herkes tarafından ulaım salanmalıdır. Ancak web sayfalarında yayınlanan Sertifika ptal Listelerine ard niyetli kiilerce ulaım ve bu listelerin deitirilebilmesi ihtimali. 2. AAA kurulumunda veya sistemin iletilmesinde yapılacak hatalar büyük güvenlik riskleri oluturabilir. -Sertifika talebinde bulunan kuruma: Talep üzerine e-mail ile veya floppy disk ile talep eden kiiye sertifikası yollanır. Bu güvenilir bir metot deildir. -SM lerin kök sertifikaları kullanıcının kullanımından önce tarayıcılara yerletirilmi olmalıdır. Ancak Microsoft IE veya Netscape yerel sertifikalarla birlikte gelmemektedir. -Sertifika salayıcıların kullandıı kök açık anahtar listesine bir bakasının kendi anahtarını ekleyerek, kendi sertifikasını baka bir sertifikanın yerine göstermesi. -Sertifikaların sadece isim ile ilikilendirilmesi sonucunda isimler arası karııklıklar oluması. Sık kullanılan ad soyadlı kullanıcılar için bu karııklık söz konusu olabilir (sertifika hangi Fatma nan a ait gibi). - Üçüncü kii güvenlii: Sertifika salayıcılarına nasıl ve ne kadar güvenilebilir? Bu salayıcılar kim tarafından görevlendirilir? 3. Sisteme dahil olan tüm kullanıcılar yeterli güvenlik bilgisine sahip olmalıdır. -Özel anahtarların çalınması problemi: Bilgisayarda saklanan özel anahtarlar, Truva atı ile ele geçirilebilir. Akıllı kart gibi ek yapılar da ele geçirilebilir. - Kiilerin özel anahtarını kaybetmesi, gönderilmi olan ifrelenmi metinlerin ulaılamaz hale gelebilir. - Sertifika kullanımını gerektiren e-ticaret gibi kiisel yanı da olan uygulamalarda, son kullanıcının bazı yazılımlar kurmak zorunda bırakılması problemi. Kullanıcılar genellikle bu tür yazılımlara kukuyla yaklamaktadırlar. Genel hatlarıyla incelediimiz bu uygulama risklerinin yanı sıra, bir kısmı bu risklerle paralel bir takım uygulama zorlukları da mevcuttur. Bunlar: Açık Anahtar Daıtım Zorlukları Açık anahtarlar herkese daıtılabilir, ancak hangi anahtarın kime ait olduundan da emin olunmalıdır. Bu konuda kiisel beyanlara güvenilemez. Bu sebeple sertifikalar kullanılmaktadır. Sertifika, en basit anlatımı ile bir açık anahtar ile sahibinin kimlii arasındaki ilikinin belgesidir. Güvenilir sertifika merkezleri tarafından üretilen bu sertifikaların içerdii bilgilerin doru olduu varsayılır. 2
Sertifika otoriteleri sayısal imzalarını kullanarak sertifika üretirler. Sertifika otoritesinin imzasını dorulayan kii aynı zamanda sertifika sahibinin açık anahtarını da örenmi olur. Sertifika sistemleri teknik olarak sorunu çözüyor gibi gözükse uygulamalarda bazı noktalar açıkta kalmaktadır. Bunlar: Kiisel Gizliliin Korunamaması: SSL balantıları sırasında bazı sunucular istemci sertifikasını istemekte, istemci tarafında çalıan Internet tarayıcı programlar da bu sertifikaları sunucuya otomatik olarak göndermektedir. Böylelikle sertifika sahibinin kimlii ve e-posta adresi gibi bazı bilgileri sertifika ile beraber kontrolsüz ekilde Internet üzerinde dolamı olmaktadır. Kayıt Zorlukları: Sertifika üretilirken sertifika sahibinin kimlii SM tarafından dorulanmalıdır. Bunun için ise kullanılı olmayan, örnein kiisel bavuru veya kimlik fotokopisi fakslamayı gerektiren, çevrim dıı yöntemler devreye girmektedir. Bu yöntemler sertifika sahibi olmayı zorlatırmaktadır. Sertifika Masrafları:Sertifikalar ücret karılıı verilmektedir. Deneme amaçlı ücretsiz sertifikalar belli balı SM ler tarafından verilmektedir; fakat bunlar genelde geçici süreyle verilmekte olup süre bitiminde aynı anahtarın kullanımına devam etmek için ücretli sisteme geçmek gerekmektedir. Sertifika ptali: Sertifikaların sadece üzerindeki imzaları dorulamak yeterli deildir. Tıpkı kredi kartlarında olduu gibi üzerlerindeki son kullanma tarihleri aılmamı bile olsa iptal edilip edilmediinin sorgulanması gerekmektedir. Bu da sisteme ek yükler getirmektedir. Kullanıcılar ya çevrim içi bir sunucuya balanıp sertifikanın statüsü hakkında bilgi almak zorunda kalmakta, ya da periyodik olarak sertifika iptal listelerini (SL) indirerek liste bazlı kontroller yapmaktadır. SM ler günde bir kez veya en fazla birkaç kez SL postalarlar. Sistemin performansına göre bu ilem birkaç dakika sürebilir. Dolayısı ile birkaç dakika için de olsa servis salayıcılar sertifikanın geçerli olup olmadıını anlayamayabilirler. Kuyrua alıp ilem yapmak gerçek zamanlı uygulamalar için uygun deildir. Öte yandan servisin gerçek zamanlı hale dönütürülmesi ise oldukça masraflı olmaktadır. Standart Olmayan Sertifika ve Eklenti Sorunu: Son olarak gelitirilen X509v3 sertifika standardında üreticilerin ihtiyaçlarını karılaması için tercihsel eklentiler yapılmıtır. Üreticiler kendi uygulamalarına özgü eklentiler kullanmakta ve sertifika standardından uzaklaarak uygulamalar arası entegrasyonu güçletirmektedir. Güven Sorunu Sertifika Merkezlerinin birbirinden çok uzakta bulunan kullanıcılar için yayınladıı sertifikaların güvenilirlii bir problemdir. Örnein tarayıcı üzerinde bulanan sertifikalara hangi otoritenin izin verdii önemlidir. Ayrıca üzerinde bulunmayan bir otoritenin sertifikası geldiinde, kullanıcıdan sertifikanın onaylamasını istemesi durumunda ne yapılacaı da bir baka sorundur. Hız Sorunu Açık anahtar tabanlı ifreleme algoritmaları ile yapılan ilemler yava ilemlerdir. Kullanılan algoritma, anahtar uzunluu ve uygulamanın çalıtıı platform ilemlerin hızını belirleyen önemli faktörlerdendir. 5.UYGULAMA ÇALIMALARI Bankacılık ilemlerini incelemek amacı ile Bankası ve Garanti Bankası, e-ticaret ilemleri için de Turkcell web sayfasında yer alan online ilemler sayfası ethereal programı tarafından dinlenmitir. Ethereal yazılımı, a üzerindeki paketleri dinleyen ve içeriklerini yorumlayan bir yazılımdır. Bu yazılım ile kablolu ya da kablosuz ortamda akan a paketleri ve içerikleri yazılım kullanıcısına sunulur. Login ilemi sırasında ada akan paketler incelendiinde paketlerin listesi ve detayları incelenmitir. Filtreleme ile sadece SSL paketleri incelenmesi sonucunda, ilemlerin yapıldıı kullanıcı bilgisayarı 256 bitlik SHA özet (hash) algoritmasını desteklemesine ramen, sunucunun MD5 özet algoritmasını seçtii görülmütür. Oysa MD5 algoritması nın kırıldıı bilinmektedir. Turkcell sayfasına kurulan balantı sonucunda SSL paketleri incelenmitir. Bu uygulamada da yine MD5 özet algoritmasının kullanıldıı tespit edilmitir. 6.BANKACILIKTA AAA SI ANALZ Günümüzde internet, bankacılık ilemlerindeki baskın rolünü hem korumakta hem de büyük bir ivmeyle arttırmaktadır. Çok yaygın kullanım olmasına karın internette bankacılık gibi önemli bilgilerin a üzerinde dolatıı güvenli bir ortam tam anlamıyla olumamıtır. Genel senaryolar göz önüne alındıında internet bankacılıının tam anlamıyla güvenli hale gelebilmesi için dört temel gerekliliin yerine getirilmesi gerekmektedir. Bunlar: A üzerinde kullanıcıların kendilerini güvenli bir ekilde tanımlamaları, yapılan ilemlerin ve iletilen verilen gizlilii iletilen verilen deitirilmeden yerine ulaması, yapılan ödeme veya gönderilen faturanın inkâr edilmemesi dir. Bugün internet bankacılıının en yaygın kullanımı, elde edilmesi oldukça kolay ve gerçek anlamda bir güvenlik içermeyen dorulama yöntemi olan müteri no veya adı ve ifre kullanımı esasına dayanmaktadır. Bankaların kendi bünyelerinde bir takım güvenlik tanımlamalarına karın tüm sektörde 3
kabul görmü genel bir standardın kullanımının eksiklii göze çarpmaktadır. nternet bankacılıında en yaygın olarak kullanılan güvenlik modelleri, açıkları ve açıklara karı alınan önlemler unlardır: Kullanıcı Bilgilerinin Ele Geçirilmesi Truva atı, Key-Logger, Screen Logger gibi zararlı programlar müteri bilgisayarlarına sızmı olabilir. Böyle bir bilgisayarda ilem yapıldıında girilen ifre ya da parola bilgileri, kötü niyetli üçüncü kiilerin ellerine rahatlıkla geçer. Bilgisayarlar bu tip zararlı programlardan arındırılmı olsa da kullanıcılar, ifrelerini unutmamak için, ulaabilecekleri bir yere kaydetme eilimindedir. Bu konuda bankalar kullanıcılarını bilgilendirerek önlem almaya çalımaktadır. Müterilerini, ifrelerini korumaları gerektii konusunda uyarmaktadırlar. Bilgisayarlarını virüs tarayıcı programlar ve güncellemelerle desteklemeleri gerektiini anlatmaktadırlar. Bankaların virüslere karı aldıı baka bir önlem de öyledir: Kendi yayınladıkları küçük program parçalarının müterileri tarafından kullanılmasıyla, bilgi giriinin yapıldıı alanları, key logger tipi virüs programlarına karı denetlemektedirler ( Bankası güvenlik çemberi). Bankalar, OTP üreticisi (one-time-password generator) denilen, bir sefer kullanılabilen ifreler üreten cihazlar kullanılmasına olanak salamaktadırlar ( Bankası, koç bank gibi). Bu cihazlar, kullanıcıların bir sefer kullanabilecekleri bir sayı üretmektedirler. Cihazlar merkez ile ezaman bir ekilde çalımaktadır. Böylece kullanıcı ifre bilgileri ve OTP cihazının ürettii deer bakalarının eline geçse de bir sonraki adımda farklı bir OTP sayısı kullanılmalıdır. Bunun için de elde edilen deerler kötü niyetli kiiler tarafından kullanılamayacaktır. Ancak her bankanın internet bankacılıı için ayrı bir OTP cihazı sunması, durumu baa çıkılamaz ve çekilmez bir hale gelecektir. Üç ayrı bankanın internet bankacılıını kullanan bir kii üç ayrı cihaz taımak zorunda kalacaktır. Sahte Siteler Kullanıcı bilincine göre saldırılar: lk seviyede, AAA hakkında hiçbir bilgisi olmayan kullanıcılar, banka sayfasına çok benzeyen baka bir sayfa ile kandırılabilir ve bilgileri elde edilebilir. kinci seviyede kullanıcılar sadece web tarayıcı sayfasının köesinde yer alan kilit iaretine dikkat etmektedirler. Sadece bu iaretin taklit edilmesiyle kullanıcılar kandırılabilir. Bir üst seviyedeki kullanıcılar sertifika kavramı konusunda bilgilidirler. Böyle bir kullanıcı, ismi bankanın adına çok benzeyen baka bir isimle sertifika sunularak kandırılabilir. AAA konusunda yeterli bilgisi olan kullanıcılar sertifikaları ayrıntılı olarak incelemektedirler. Bu konuda müterilere, bir link takip ederek banka web sayfasını açmamaları, sadece tam adresi, adres satırına yazarak sayfayı açmaları gerektii anlatılmaktadır. Bir baka koruma da iki aamalı ifreli sorular sormak ve bu sorular arasında sadece kullanıcının bildii karılayıcılar sunarak kendi kimliini ispatlamaya çalımaktır. Kullanıcı lemlerinin nkâr Edilebilmesi Türkiye deki internet bankacılık ilemleri sırasında, hepimizin bildii gibi, sadece bankanın sertifikası istenmektedir. Müterilerin kimlikleri sadece 6-8 haneli ifreler ve birkaç kiisel bilgi ile dorulanmaktadır. Bu simetrik durum müterinin yaptıı ilemleri inkâr edebilmesine olanak vermektedir. Çünkü müterinin gizli bilgileri banka tarafından da bilinmektedir ve ilemleri bankanın deil de müterinin yaptıı ispatlanamamaktadır. Müterilerin bankalara olan tek taraflı güveninden kurtulmak için kullanıcıların da ilemleri kendi sertifikaları ile yapması gerekir. Kullanıcı Kimlii Dorulama Internet Bankacılıında, bankalar ilem yapan kiinin gerçekten müteri olduundan emin olabilmek için kullanıcı bilgileri ile kıyaslama yapmaktadırlar. Bu bilgilerin çalınması veya bir ekilde ele geçmesi durumunda banka müteri kimliinden emin olamamaktadır. Ancak bu durum tamamen kullanıcıların sorumluluuna bırakılmıtı. Kullanıcıların kendi bilgilerini korumaktan sorumlu olduu kabul edilmektedir. Kullanıcı Bilgilerine Yapılacak Brute-Force Saldırıları Sadece 6-8 karakterli ifrelerin, ifre ve parola atakları ile yeterli deneme sonucunda kırılabilecei açıktır. ifrelerin kırılma saldırısına karı bankalar uygulama aamasında önlem almıtır. Müteriler ifre bilgilerini üç defa yanlı girdiinde müterinin sisteme girii engellenmektedir. Bu önlemin yeterli korumayı salayamayacaı açıktır. Bu tip blokaj durumları telefon bankacılıı ile kaldırılabilmektedir. Telefon Bankacılıı nternet Bankacılıı yardımları ya da ifre tanımlama ilemleri kullanıcılara telefon ile salanmaktadır. Telefondan girilen ifreler, hesap numaraları telefon ebekesi üzerinden açık olarak gönderilmekte, telefon hattını dinleyen bir kii tarafından kolaylıkla kayıt edilebilmekte ve seslerin ne anlama geldii yorumlanabilmektedir. Teknoloji Tehditleri Bankalar u an günümüzde güvenli kabul edilen 128 bit anahtar, yanı sıra MD5 özet algoritmasını kullanmaktadır. Ancak, MD5 algoritmasının kırıldıı bilinmektedir. Yapılan incelemede güvenlikte iddialı olan bankası ve Garanti bankası nın halen MD5 kullandıı tespit edilmitir. Bu konuda bankaların ve kullanıcıların kullandıkları sistemlerin güncel teknolojiyi sürekli takip edebilmeleri gerekmektedir. 4
7.E-TCARETTE AAA KULLANIMI Kredi kartı yolsuzluklarının pek çok hukuki davanın konusu haline geldii günümüzde, e-ticaret konusunda yapılması gereken daha çok i olduu açıktır. Sanal alıveri hizmeti veren firmalar, kredi kartı bilgilerinin güvenlii ve gizliliini salamak için yaygın olarak SSL ve SET güvenlik standartlarını kullanmaktadırlar. Kullanıcı, iyeri ve banka arasındaki veri akıı sırasında bilgilerin ifrelenerek aktarılması esasına dayanan güvenlik sistemleri sayesinde bilgilerin baka bir kiinin eline geçmesi durumunda çözülebilmesi önlenir. Böylece kart bilgilerinin gizlilii ve alıveriin güvenlii salanmı olur. Kullanıcı Kimliinin Dorulanamaması nternet üzerinden kredi kartı kullanılarak yapılan alı-verilerde kullanıcıların kimlii dorulanamamaktadır. Günlük hayatta kredi kartı kullanımına ifre zorunluluu getirilmi olsa da pek çok internet sitesinde bu zorunluluk uygulanmamaktadır. ifre zorunlu olsa bile, internet bankacılıında karılaılan sıkıntılar e- Ticaret konusunda da aynen geçerli olacaktır. Brut Force ile Kredi Kartı Numarası Bulma Yeterli sayıda deneme yapıldıında geçerli kart numarası ve karta ait geçerli tarih bulunabilir. Bu denemeleri engelleyen bir sınırlama yoktur. 8.TÜRKYE VE E- MZA Türkiye de e-imzanın hukuki olarak anlam kazanması ve e-imza kullanımının hukuken geçerli sayılması 5070 Sayılı ve 23 Ocak 2004 tarihli E-mza Kanunu nun çıkarılmasıyla salanmıtır. Kamu Sertifikasyon Merkezi kurma görevi TÜBTAK-Ulusal Elektronik ve Kriptoloji Aratırma Enstitüsü Müdürlüü ne (UEKAE), kurulacak bu yapıya uyum için kamu kurum ve kurulularında yürütülecek çalımaları koordine etme sorumluluu da DPT ye verilmitir. Bu kanun un ülke gerçeklerine uygun olarak uygulamaya geçirilebilmesi için gerekli düzenlemeleri yapma görevi ise Telekomünikasyon Kurumu na verilmitir. 2006 da DTM de DR (Dahilde leme Rejimi) de kullanılmaya balanmıtır. E-imza DR kapsamında, Türkiye çapında 13 hracatçı Birlii ne mensup 5000 den fazla firmanın, birlik kullanıcılarının, gümrük kapılarındaki kullanıcıların ve DTM uzmanlarının kullanıcısı olduu bir sistemde kullanılmaktadır. Günümüzde kurumlara sertifika salayan UEKA dıında 3 kurum mevcuttur: E-Güven (2003), TurkTrust(2004) ve E-Tura(2006). 9. E-MZA, KANUNU VE ANALZ Birinci bölümde sayılan riskler göze alınarak E-mza Kanunu incelenmitir. Bu dorultuda kanunda tespit edilen riskler veya suiistimal edilebilir esneklikler u ekildedir: 1. Büyük bir irkette iletiimi güvenli kılabilmek için irket sunucusu sertifika daıtım merkezi gibi davranabilir ve irket çalıanlarına sertifika daıtabilir. Bu sertifikalar Madde 9 da belirtilen nitelikli elektronik sertifikada (NES) bulunması gereken özellikleri taımıyorlarsa resmi olarak geçerli sayılmayacaktır. Hukuki deeri olamayacaktır. Öte yandan, elektronik sertifika salayıcıları kanunda nitelikli, niteliksiz tüm sertifika salayıcıları kapsadıından irket kanuni yükümlülüklere tabi olacaktır. Bunlardan bir tanesi de Madde 8 de belirtildii üzere Telekomünikasyon kurumuna faaliyete balaması için bildirimde bulunmasıdır. Aksi takdirde 17.madde gerei yetkisi olmadan elektronik sertifika oluturanlar veya bu elektronik sertifikaları bilerek kullananlar iki yıldan be yıla kadar hapis ve bir milyar liradan aaı olmamak üzere aır para cezasıyla cezalandırılırlar. 2. Madde 5: Güvenli elektronik imza, elle atılan imza ile aynı hukukî sonucu dourur. Kanunların resmî ekle veya özel bir merasime tabi tuttuu hukukî ilemler ile teminat sözlemeleri güvenli elektronik imza ile gerçekletirilemez demektedir. Madde 5 ile imzanın kullanılamayacaı alanlar (Evlilik, motorlu araç tescili vs.) eklinde genel bir ifade ile dile getirilmitir. Bu esneklik sorun yaratabilir. Bu madde hukukçular tarafından bankacılıkta e-imza kanununda hukuksal bir engel olarak ifade edilmektedir. Bankalar e- imzayı özellikle kredi verilmesi, banka hesabı açılması gibi konuları uygulayabilmek için istemektedirler. Ancak bu ilemler de teminat istenmektedir. Dolayısıyla bankaların hukuk danımanları e-imza kullanımı konusunda bankaları bu konuda uyarmaktadır. 3. Sertifika iptal listeleri iptal olan sertifikaları otomatik olarak kaydeder. Sertifika iptal ilemi Madde11 de genel olarak ifade edilmi ancak Madde 20 de sertifika iptal ilemlerinin kurumlar tarafından belirlenecei yazılmıtır. Hiçbir standart belirtilmemi olması karmaaya açıktır. 4. Madde 21 de Bu Kanunun 8 inci maddesinin dört ve beinci fıkraları ile 15 ve 19 uncu maddesi hükümleri, elektronik sertifika hizmet salama faaliyeti yerine getiren kamu kurum ve kuruluları hakkında uygulanmaz demektedir. Böylece kamu denetimlerden muaf tutulmaktadır. Bu durum e-imzanın yaygınlama aamasında suiistimallere açıktır. Ceza ve denetimden muaf tutulan bir kurumun hata yapması veya bu muafiyeti kötüye kullanması olasıdır. Bu kadar ciddi bir konuda gösterilen böylesi bir esneklik ilerde büyük sorunlar getirebilir. 5
5. mza sahibi kanunda tanımlanmı olsa da imza sahibinin sorumluluklarına kanunda yer verilmemi olması da bir dier açıktır. Açık anahtar kullanımında kullanıcı sorumluluklarının yüksek olması sebebi ile bu konu belirginletirilmelidir. 6. Yasada sertifikaların uluslararası kullanımı, hatta yurt içi kullanımı için bir standart olmaması ciddi bir sorundur. Ayrıca sertifikadaki alanların standartlamamı olması da her bir alan farklı ekilde düzenlenebileceinden karmaa yaratmaktadır. 7. Kanunda yapılan açık tanım dolayısıyla elektronik imza sadece imzalama olarak nitelendirilmitir. Sisteme giri ve ifreleme ilemleri kanun kapsamında tutulmamıtır. Bu durumda kimlik dorulama sorunu olumaktadır. 8. Yasada imzalanacak belgenin kullanıcıya gösterilmesi gerektii ifade edilmitir (Madde7). Bu madde büyük belgeler için youn kullanım söz konusu olduunda sık sık kilitlenmeler yaatacaktır. 9. mza atma ve dorulama araçları olan Applet ve Api lerin adı yasada geçmemektedir. Usul ve esaslarda ise imza atma ve dorulama araçlarının temini kriterlere balanmadıından, istenilen yerden alınabilecek durumdadır. Bu da standart karmaasına yol açmaktadır. 10. Ayrıca yasada, belgelerin asıllarının sunulma zorunluluu karısında elektronik verilerin çıktılarının durumu, Elektronik verilerin saklanma artları, Elektronik veriyi gönderen kiinin tespiti, Elektronik verinin alındıının teyidi ve tespiti, Elektronik verinin gönderilme ve alınma zamanı ve yeri ile ilgili konularda hiç bir hukuki düzenleme bulunmamaktadır. Bu da adli sistemi zora sokacak bir dier unsurdur. 11. Zaman Damgası Kanun'da yalnızca bir tanım olarak bulunmaktadır (Madde 3), yönetmelikte ise yalnızca talep edilmesi halinde alınacak bir hizmet olarak belirtilmektedir. Öte yandan, özellikle e-ticarette ve kamu kurum ve kurulularıyla ilgili ilemlerde verinin gönderilme, alınma, kaydedilme, saklanma zamanları çok önemlidir. 12. Yasada yetkilerin sertifikaya eklenmesi öngörülmütür ancak bu kullanımda sorunlara sebebiyet verecektir. 10.E-MZA KARISINDAK SORUNLAR Yasadaki esneklikler ve suiistimale yatkınlıkların dıında e-imzanın karısında duran dier sorunlar u ekildedir: Teknolojiden kaynaklı uygulama sorunları: - Sertifika bavurularının güvenilir bir biçimde yapılmasının salanması, gerçek kiilere doru sertifikaların verilmesinde son derece önemlidir. Günümüzde ülkemizde az sayıda kullanıcı olmasına ramen SM ler tarafından yapılmı olan hataların ciddi sorunlar yarattıı örenilmitir. - Hizmet salayıcının özel anahtarına izinsiz eriim, telafisi güç sorunlara neden olacaktır. Genellikle bir yıl geçerlilik süresi verilen sertifikaların, süresi tamamlanmadan önce aynı anahtar çiftiyle yenilenmeleri veya yeni bir sertifikanın alınmasına ihtiyaç olacaktır. Süresi içinde olmasına karın, bir sertifikanın çok farklı nedenlere dayalı iptali gerektiinde, bu zaman yitirmeden ve güvenli bir biçimde hizmet salayıcı tarafından yapılabilmelidir. - Sertifika sahiplerinin özel anahtarlarını korumaları için yeterince farkındalıklı olmaları, uygun araçları bu amaçla kullanmaları ve sistem hakkında genel de olsa bilgi sahibi olmaları gerekmektedir. - Kart okuyucu türleri de güvenlikte önem taımaktadır: Sabit kart okuyucuların içinde unutulabilecek kartlar güvenlik sorunu yaratacaktır. Ayrıca ekrandan PIN kodu girilmesi ile bilgisayarda bulunabilecek ard niyetli bir programın bu PIN i çalması söz konusu olabilecektir. Uyumluluk sorunları: - Uygulamalar arasında uyumlu bütünleme için, sayısal imzalara ilikin standartların tam olarak yerlemi olması zorunludur. Örnein, X.509 genel kabul gören bir standart olmakla birlikte, farklı uygulamalarda farklı gerçekletirimleriyle karılamak mümkündür. X.509, çok sayıda alt alandan oluan karmaık bir veri standardıdır. Zorunlu olmayan alanların farklı tercih edilmesi, bazı zorunlu alanların desteklenmemesi gibi farklı gerçekletirimler uyum sorunları yaratmaktadır. - Dier bir sorun, sayısal imzanın kendisiyle ilikilidir. Sayısal imza matematiksel olarak tam bir kesinlikle tanımlanmı olmasına karın, uygulamalarda imzanın imzalanmı veriyle birlikte nasıl oluturulacaı, nasıl taınacaı ve nasıl korunacaına ilikin yerlemi bir standart henüz bulunmamaktadır. Bu durumda, birbirinden baımsız taraflarca imzalanmı farklı belgelerin dier taraflarca salıklı bir biçimde dorulanmasında güçlükler yaanması kaçınılmazdır. - Benzer bir sorun, sertifikanın ve özel anahtarın taınabilir olmasını salayan ve özel anahtarın korunması için güvenilir bir araç olarak bilinen akıllı kart veya token lara ilikin uyumsuzluktur. Akıllı kartların kullanımı, bilgisayara dıarıdan bir akıllı kart okuyucusunun tanıtılmasıyla mümkündür. Akıllı kart okuyucuları belli bir kurulum programı gerektirmekte ve iletim sistemine ve hatta aynı iletim sisteminin farklı sürümlerine balı olarak çalımaktadır. Hareket halinde olan bir kullanıcı için gittii her yerde okuyucu bulabilmesi veya okuyucusunu beraberinde taıması kullanımı güçletirmektedir. Daha da güç olanı, belirlenmi 6
standartların yetersiz gerçekletirimleri sonucu kimi durumlarda her kartın her okuyucuyla birlikte uyumlu olmamasıdır. - Applet ve apilerde yapılan kontroller ve uyumsuzluklar hız sorunu yaratmakta ve sistemi yavalatmaktadır. - Dikkat çekilebilecek dier önemli bir uyumluluk sorunu zaman damgasıyla ilikilidir. Elektronik bir sözlemenin ayrılmaz zorunlu bir parçası olmakla birlikte, zaman damgasının henüz genel kabul görmü bir standardı bulunmamaktadır. - Uyum sorunu ile birlikte ortaya çıkan bir bireye birden fazla kart çıkartılması da kontrolü zorlatıracak bir dier unsur olacaktır. Bilgi ve bilinç eksiklii: Dier bölümlerde de deinildii üzere, e-imza kullanımı bilinçli kullanıcıya dayanmaktadır. Teknolojinin karmaıklıı nedeniyle kullanıcı, bilinçli bir kullanım düzeyi için en azından sertifika hizmet salayıcısının uygulama ilke ve esasları hakkında bilgi sahibi olmalıdır. Yüksek uygulama maliyetleri: Açık anahtar e-imza teknolojileri yüksek maliyetli uygulamalardır. Ayrıca, sertifika kullanıcıları, kart, okuyucu ve token gibi yazılım ve donanım gereksinimlerinin yanı sıra, sertifikalara da belli bir ücret ödemek durumundadır. Mali sorumluluk sigortası da maliyeti arttıran bir dier unsurdur. SONUÇ VE ÖNERLER Açık Anahtar Altyapısı, son yıllarda bilgisayar güvenlii alanında çok tartıılan konulardan biri olmutur. Ancak uygulama alanındaki sorunlar üzerinde durulmaması sebebi ile sadece teorik olarak deerini korumaktadır. Çalımada genel olarak, AAA uygulama riskleri incelenmi ve bu risklere karı alınabilecek önlemler üzerinde durulmutur. Özel olarak, e- imza kanununda AAA risklerinin ne kadar kapsandıı incelenmi, ayrıca e-imzanın ülkemizdeki uygulama sorunları tespit edilmitir. Yapılan analizlerden çıkartılan sonuçlar ve öneriler aaıda ifade edilmitir: AAA ın güvenlii anahtar-yönetimine balıdır. AAA kurulumunda veya sistemin iletilmesinde yapılacak hatalar büyük güvenlik riskleri oluturacaktır. Kullanıcı bilincinin önemi ortaya çıkmıtır. Kullanıcılar güvenliin önemli bir parçasıdır. Açık standartların uygulanmaması, üreticiler arasındaki uyumsuzluk tüm dünyada ciddi bir sorundur. Sertifikaların iptali, büyük sayıda istemci isteklerinin karılanması teorik olarak hala problemdir. Geniletilebilirlik, güvenlik ihtiyaçlarını karılayacak eriim denetim ve yetkilendirme gibi konularda NES kullanılmasının salanması gerekmektedir. Sunucu ve istemci uygulamalarının gelitiriciler tarafından var olan AAA sistemine entegre edilmesinin zorluu bir dier sorundur. Maliyet faktörü ciddi bir etkendir. Genel anlamda kullanıcıyı hedefleyen bir sistemin baarılı olup yaygınlatırılması için: - Gerçek kiilere doru sertifikaların verilmesinde son derece önemlidir. - Sertifika sahiplerinin özel anahtarlarını korumaları için yeterince bilinçli olmaları, uygun araçları bu amaçla kullanmaları ve sistemin ileyiine ilikin genel de olsa bilgi sahibi olmaları gerekmektedir. - Web sayfalarında yayınlanan Sertifika ptal Listelerinin korsanlara karı güvenlii salanmalıdır. Aksi takdirde, iptal edilen bir sertifikanın geçerli görünmesi mümkündür. - Sertifika üretim süreci, olabildiince fiziki, teknik ve idari güvenlik içinde gerçekletirilmelidir. - Sertifika iptallerini için ucuz ama belirsiz süreyi en az indirecek bir metodun gelitirilmesi zaruridir. - lemler olabildiince kullanıcıya açık ekilde çalımalıdır. Sistem kullanıcıya karmaık detay sorular sormamalıdır. - Hız sorunu olabildiince ortadan kaldırılmalıdır. - Kart kullanımında, kart okuyucusunun tasarımının, token kullanımında ise, kullanıcı farkındalıının çok fazla önem kazandıı fark edilmitir. PIN kodu üzerinden girilen portatif okuyucuların avantajları mevcuttur. Bu yolla, PIN in ekrandan girilmesi de engellenmi olur. Mümkünse portatif kart okuyucuları kullanılarak güvenlik bir derece daha fazla salanabilir. nternet bankacılıında saldırıların büyük çounluunun AAA nı kırmaktan ziyade kullanıcı bilgilerinin ele geçirilmeye çalıılması yönünde olduu gözlemlenmitir. Saldırılara karı alınan önlemlerin çou altyapıda standartlamayı salayacak önlem olmaktan çok her bankanın kendi bünyesinde aldıı önlemler olarak kalmaktadır. Bu risklerin üstesinden gelmek için yapılması gereken ilk adım müterilerin de, e-imza ve sertifika kullanımına geçmeleridir. Dünyada bu tür kullanımın örnekleri mevcuttur. Bankaların ve kullanıcıların kullandıkları sistemlerin, güncel teknolojiyi sürekli takip edebilmeleri gerekmektedir. Ülkemizde online bankacılıkta ve e-ticarette; kırılmı olduu bilinen MD5 in halen özet algoritması olarak kullanılmakta olması aırtıcıdır. Bir an önce daha güvenilir bir algoritmaya geçilmesi gerekmektedir. Bankalarda nitelikli elektronik sertifika kullanımının olmaması sebebi ile online bankacılık ilemlerinin yasal hükmü bulunmamaktadır. Banka, ilemler sırasında, bu imzanın kanuni geçerlilii yoktur diyebilmektedir. Dolayısı ile müterilerin e imzası olmaması ve bankaların nitelikli sertifika 7
kullanmaması sebebi ile yakın zamanda hukuki sorunlar çıkacaı aikârdır. Bu sorunun giderilmesi için yasada gerekli düzenlemeler yapılmalı, bankaların NES sahibi olması salanmalı ve bireysel e imza kullanımı yaygınlatırılmalıdır. Ülkemizde de e-imzanın çok yeni olmasına karın, gerekli önlem ve yasal alt yapının hazır olmadıı tespit edilmitir. Yukarıda bahsedildii üzere, e-imza konusunda, yasal düzenlemelerde suiistimale açık esneklikler mevcuttur. Bu alanda yapılan düzenlemeler, güvenli e-imza oluturma ve dorulama araçları için birtakım teknik kriterler belirlenmesi ile sınırlı kalmıtır. Kanun incelendiinde; yoruma açık ve eksik bırakılmı birçok unsurun varlıı dikkati çekmektedir. Dolayısı ile bu bolukları giderecek ekilde düzenlemeler yapmak zaruridir. Düzenlemeler yapılırken aaıda tespit edilmi olan maddelerin göz önünde tutulması faydalı olacaktır: E imzaya tabi olmayacak istisnai durumlar tek tek ifade edilmelidir. - Sertifika iptal ilemi tüm kurumlar için belli bir standartla belirtilmelidir. - Kamu kurumlarının denetim ve cezalardan muaf tutulması gelecekte ciddi sorunlara yol açabilecektir, söz konusu maddeye yeni bir düzenleme getirilmelidir. - Yasada sadece imza olarak kullanılabilecei ifade edilen e-imzanın kimlik dorulama sorununa çözüm getirilmelidir. - Sertifikalara global çapta bir standartlama getirilmesi gerekmektedir. - Sertifikalarda alanların standart olması gerekmektedir. - Api ve appletler için bir standart belirlenmeli ve üretimleri yetkililere verilmelidir. - Yoruma açık zaman damgası kavramının da standartları ifade edilmelidir. Bunun yoruma ve takdire bırakılmadan genel bir kanunla düzenlenmesi zaruridir. - Kapalı a sistemleri için istisnai bir durum göz önüne alınmalıdır. Böylece irket içinde sertifika daıtan sunucu sebebi ile irket sertifikası hem resmi bir statü kazanabilmeli hem de cezalara maruz kalmamalıdır. - Yasada yetkilerin sertifikaya eklenmesi hususu sorunlara sebebiyet vereceinden bu husus yeniden ele alınmalıdır. - E-imzalı belgenin karakteristik özellikleri göz önüne alınarak yasalarda gerekli hukuki düzenlemeler yapılmalıdır. Belgelerin asıllarının sunulma zorunluluu göz önüne alındıında, çıktısı alınmı bir elektronik belgede artık veri deiikliinin tespit edilebilmesi mümkün deildir. - Kullanıcıların gerçekten istekli, bilinçli ve bilgili olması zorunludur. Bu çalıma sonucunda, günümüzde e-imzanın güvenli ekilde uygulanabilmesi için birçok tedbir alınması gereklilii görülmütür. Uygulama güçlükleri getiren: teknolojik, bireysel, uyumsal ve maddi sorunların bir an önce giderilmesi veya en aza indirgenmesi gerekmektedir. Yasal düzenlemelerin asla ihmal edilmemesi ve bu yasal düzenlemeler yapılmadan e-imzanın yaygınlatırılmaması gerektii sonucuna varılmıtır. Bankacılık ve e- ticaret alanında bir an önce NES uygulamasına geçilebilmesi için gerekli yasal düzenlemeler yapılmalıdır. Kullanıcıların da e-imza kullandıı bir sistem önerilmektedir. Bankalar teknolojiyi takip etmeli ve salam algoritmaları kullanmalıdırlar. Bu önlemler alınmadan e- imzanın yaygınlaması durumunda, kurumlar, mahkemeler, adli sistem oldukça karmaık bir hal alacaktır. Gelecei görüp imdiden bu önlemleri almak ve bu konuda bilinçlenmek ve gerekli mercileri uyarmak gelecee olan borcumuzdur. KAYNAKLAR 1. C. Ellison and B. Schneier, Ten Risks of PKI: What You re not Being Told about Public Key Infrastructure, Computer Security Journal, Volume XVI, Number 1, 2000 2. Noor, Building a Successful PK, THE ISSA JOURNAL,September 2004 3. A.Jøsang, I. G. Pedersen, and D. Povey, PKI Seeks a Trusting Relationship, PKI Seeks a Trusting Relationship SANS Institute 2003 4. J. C. Tseng and J. Backhouse Searching for Meaning Performatives and Obligations in Public Key Infrastructures The Language-Action Perspective on Communication Modelling 2000 5. P.Gutmann, PKI: It s Not Dead, Just Resting, IEEE Computer Society, page 41-49, 2002 6. W.W. Fung, Obstacles in Deploying Certificate-based Applications 7. Levi A., Özcan M., Açık Anahtar Tabanlı Sifreleme Neden Zordur? AKADEMK BLM 2002 8. P. Hlavaty,The Risks Involved With Open and Closed Public Key Infrastructure SANS Institute 2003, 9. Austin Hill and Gus Hosein, The Privacy Risks Of Public Key Infrastructures: Exposing The Dangers That Ubiquitous Digital Signatures And Public Key Infrastructures Pose To Individual Privacy, And Exploring Some Possible Solutions, 1999 Data 8
Protection Commissioners conference in Hong Kong. 10. Sangyoon Oh, Trust and Public Key Infrastructure, Project Report April 2001 11. Richard Kuhn, Vincent C. Hu, W. Timothy Polk, Shu-Jen Chang, Introduction to Public Key Technology and the Federal PKI Infrastructure, NIST, 26 February 2001 12. E.U. national resources on electronic signatures, http://www.pkipage.info/eu/ 13. Hunt R., Technological infrastructure for PKI and digital certification, Computer Communications 24 (2001), page 1460-1471, 2001 14. PKI Uygulamalarındaki Gelimeler Ve Dünyadan Örnekler Siemens Business Services Sistem Hizmetleri A.. Stratejik Planlama ve Pazarlama Grubu\ 2004 15. Moreau, T., 1999, Why Should We Look for Alternatives to the Public Key Infrastructure (PKI) Model? 16. T. Tüfekçi, Elektronik mza Niçin Yaygınlaamıyor - Tübitak Kısa Dönem Eylem Planı Rapor IV Ocak 2005 17. TC ELEKTRONK MZA KANUNU 18. Dı Ticaret Müstearlıı, Bilgi lem ube Müdürü Ramazan Yener 9