Kimlik ve Erişim Yönetimi

PKI Token Cihazları

Günümüzde yaşadığımız pandemi süreci nedeniyle yaygınlaşan uzaktan çalışma yöntemleri, bulut uygulamalarının kullanımının artması, artan siber saldırılar, güvenlikteki en zayıf halka olan insan faktörünün sistem kaynaklarına güvenli erişimlerini daha önemli hale getirmiştir. Bu anlamda birçok iki faktörlü kimlik doğrulama yöntem kullanılırken, Açık Anahtar Altyapısı (Public Key Infrastructure- PKI) kullanımı güven faktörünü çok arttırdığı için kurumsal kullanımlarda öne çıkmaktadır. Bu doğrultuda PKI Token cihazlarının kullanımı günden güne artmaktadır. Bu makale Açık Anahtar Altyapısını açıklayıp, Digital İmzalar ve Sertifikalardan bahsedip, günümüzdeki popüler PKI Token cihazlarını ve kullanımlarını açıklayıp, benzer bir alt yapı olan FIDO2’yi ve onu destekleyen cihazları da tanıtmayı amaçlamaktadır.

​​​​​​AÇIK ANAHTAR ALTYAPISI

Açık anahtarlı şifreleme yöntemi, açık anahtar (public key) ve özel anahtar (private key) anahtarları kullanılarak yapılan şifrelemeye verilen isimdir. Asimetrik şifreleme (Asymmetric Encryption) ve Digital imzalama (Digital Signature) yöntemleri de Açık anahtarlı şifrelemeyi kullanırlar. Veriler şifrelenerek yetkisiz erişimlere karşı verinin gizlilik sağlanır. Şifreleme işlemleri 2 farklı şekilde yapılmaktadır:

-                  Simetrik Şifreleme : Şifrelemenin (Encryption) ve Şifre Çözmenin (De-Encryption) aynı anahtar ile yapılır.

-                  Asimetrik Şifreleme: Şifreleme (Encryption) ve Şifre Çözmenin (De-Encryption) farklı anahtarlar ile yapılır.

 

Asimetrik Şifreleme sıklıkla iki parti arasındaki iletişimi şifrelemek için kullanılacak simetrik anahtarın güvenli bir şekilde karşı tarafa aktarılabilmesi için kullanılmaktadır. İletişim için kullanılacak simetrik anahtar karşı tarafın açık anahtarı kullanılarak şifrelenir ve gönderilir. Bu mesaj ancak karşı tarafın sahip olduğu özel anahtar ile açılabilecektir.

 

Sayısal İmza (Digital Signature) yönteminde ise gönderilecek veriyi kendi sayısal imzanızı kullanarak imzalar ve gönderirsiniz. Karşı taraf imzalanmış veriyi aldığında, açık anahtarınızı kullanarak aldığı verinin gerçekten sizin tarafınızdan gönderilip gönderilmediğini doğrulayabilir, gönderim sırasında değişikliğe veya kayba uğrayıp uğramadığını doğrulayabilir, zaman damgalarının kullanılmasıyla birlikte de inkar edilemezliği sağlayabilir. [6]

 

Bu yöntem teoride kullanışlı gözükse de, çok sayıda parti tarafından kullanılacak bir sistem tasarlandığında, açık anahtarların güvenli bir şekilde değiş-tokuşu, anahtarların güncellenmesi, iptal edilmesi gibi süreçler çok zorlayıcı olacaktır. Bu yöntemin kullanışlı hale getirilmesi Açık Anahtar Altyapısı – AAA (PKI-Public Key Infrastucture) ile mümkün olmaktadır.

 

Açık Anahtar Altyapısı iletişim kuracak partilerin kimliklerini sertifikalarıyla ilişkilendirmektedir. Sertifika Yetkilisi (Certificate Authority- CA) dağıttığı sertifikaları kendi sertifikasıyla imzalamıştır. Dolayısıyla aynı sertifika yetkilisine güvenen partiler bu imzayı doğrulayarak karşı tarafların açık anahtarlarının geçerliliğinden emin olabilirler. ”[6]

 

Bu altyapılar, partiler arası gönderilen verilerin;

Gizliliğini temin eder; yani sadece iletişim kuran partilerin içeriğe erişmesini sağlar,

Bütünlüğünü sağlar, yani gönderilen verilerinin imzalandıktan sonra değiştirilmediğini kanıtlar,

Otantikliğini gösterir, gönderen kişinin kimliğini belirtir,

İnkar edilemezliğini, zaman damgaları da kullanılarak gönderilen verinin inkar edilemezliğini sağlar. [4]

 

Bu çerçeve, güvenlik politika ve prosedürleriyle birlikte donanım ve yazılımlardan oluşmaktadır. Sertifika yetkilisine güvenen partiler birbirlerini tanımasalar bile güvenli iletişim kurabilirler. Digital sertifikalar da bu çerçevenin işletilmesinde çok önemli bir rol oynamaktadır. [7]

 

Bir Açık Anahtar Altyapısı’nın üç temel yapısı bulunmaktadır. Bunlar;

  • Sertifika Yetkilisi (Certificate Authority – CA), Sertifikarı üretir, geçersiz kılar, ve doğrular,
  • Kayıt Yetkilisi (Registration Authority – RA), Sertifika üretim isteklerini ve son kullanıcıların kimliklerini doğrular,
  • Sertifika Deposu (Certificate Repository –  CR), Sertifikaları ve geçersiz kılınacak sertifikaları (Certificate Revocation Lists –  CRL) dağıtır ve saklar. [5]

 

DİJİTAL İMZALAR 

Digital imzalama işleminde kullanılan açık anahtarların sahibine ait olup olmadığının ispat edilmesi için Digital Sertifikalar kullanılmaktadır. Digital sertifikalar, güvenilir bir kurum olan Sertifika Yetkilisi(CA) tarafından açık anahtar ve sahibinin ayırt edici kimlik bilgileriyle birlikte imzalanmasıyla üretilmektedir.[2]

 

Digital imzalama işlemleri, kamu ve hukuki işlemlerinin elektronik olarak yapılmasında, bankacılık uygulamalarında kurumsal uygulamalarda, elektronik ortamdaki yazışmalar ve sözleşmeler gibi işlemleri güvenli olarak gerçekleştirmek için kullanılmaktadır. Ülkemiz de bir çok uygulama da kullanım alt yapısı oluşturulmuş ve bazılarında zorunlu hale getirilmiştir. Özellikle son zamanlarda içinde bulunduğumuz salgın ortamında işlemlerin uzaktan yapılmasına imkan sağlaması açısından da kullanımı çok faydalı hale gelmiştir. [8]

 

Ülkemizde Digital imzalama işlemleri 5 Ocak 2004 tarihinde yayınlanan 5070 sayılı Elektronik İmza Kanunu çerçevesinde gerçekleştirilmektedir. Bilgi ve İletişim Teknolojileri Kurumu(BTK) tarafından yayınlanan Tebliğ ve Usul Esaslar’da kamudaki kullanım çerçevesini oluşturmaktadır. [9]

 

Yukarda açıklanan bilgilere benzer şekilde kanun maddeleri de sertifikaların kullanım özelliklerini açıklamaktadır. Örneğin, Madde 4, kullanılan sertifikanın sadece imza sahibine ait ve onun tasarrufunda olmasını, imza sahinin kim olduğunun anlaşılmasına olanak tanıyan ve imzalanan doküman üzerinde sonradan her hangi bir değişiklik yapılıp yapılmadığına olanak sağlayan şeklinde açıklamaktadır. Bu madde, Digital imzanın gizliliğini, bütünlüğünü, otantikliğini ve inkar edilmezliğini adreslemektedir. Madde 5’te ise kullanım alanına ilişkin olarak elle atılan imzalar ile eş değer tutulmuştur. Bu sayede kullanım alanı tüm imza kullanılan yerler olarak tarif edilmesi mümkün kılınmıştır.

 

Madde 6 ve takip eden tebliğlerde digital imzaların saklanması için kullanılacak olan akıllı kartlar ve token cihazlarının sahip olması gereken özellikler açıklanmıştır. Üretilen imzaların benzersiz olması, saklanan cihaz dışarısına hiçbir şekilde çıkarılamaması, üçüncü kişiler tarafından ele geçirilmesinin önüne geçilerek sahteciliğe karşı korunmasını ve imza sahibi dışında değiştirilmesinin mümkün olmamasının sağlanması şeklinde açıklanabilir.

 

Bu doğrultuda Bilgi ve İletişim Teknolojileri Kurumu tarafından yayınlanan “Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ” ile bu cihazların ISO/IEC 15408 (-1,-2,-3) Ortak Kriterler (Common Criteria – CC) standartına göre en az EAL4+  (Evaluation Assurance Level) seviyesinde olması gerektiği vurgulanmıştır. EAL sertifikasyonu, cihazların, kanun maddesinde açıklanan özelliklerin karşılanmasını doğrulamaktadır, cihazlar özellikle temperinge karşı test edilmektedir. Ülkemizde EAL sertifikasyonu TRTEST Test ve Değerlendirme AŞ tarafından yapılmaktadır. [10]

 

PKI TOKEN CİHAZLARI

Kurumsal uygulamaların bulut altyapısı üzerinden sunulmaya başlamasıyla beraber, şifresiz kimlik doğrulama yapılarının kullanımının önem kazanmasıyla birlikte yüksek güvenlik gereksinimi öne çıkmaktadır. Bu doğrultuda bir ok kurum Açık Anahtar Altyapısına birçok yatırım yapmaktadır. Benzer şekilde yüksek güvenlik ve gizlilik gerektiren finans, sağlık, askeri uygulamalar için Açık Anahtar Altyapısının kullanımı kullanılarak sertifika tabanlı doğrulama yöntemleri bir ok düzenleyici tarafından zorunlu kılınmaya başlamıştır. Azure AD ve Windows Hello uygulamalarının FIDO ve PKI altyapısını desteklemesi birçok kurum için kolay entegrasyona olanak kılmaktadır. Bu sayede kullanıcılar kolaylıka oturum açma, imzalama, güvenli mesajlaşma gibi işlemleri yapabilmektedirler. [12]

 

Güvenlik gerektiren uygulamaların kimlik doğrulamaları için sadece parola kullanımı artık yetersiz kalmaktadır. Bunun için iki faktörlü(2FA) veya çok faktörlü kimlik doğrulamalar (MFA) kullanılmaktadır. Faktörler bilinen faktör, sahip olunan faktöre ve olunan şey olarak belirtilmektedir. İki faktörlü kimlik doğrulama için bu faktörlerden ikisi bir arada kullanılmaktadır. Sahip olunan faktörü doğrulamak için tek kullanımlık parolalar (OTP) SMS veya soft veya hard tokenlar kullanılarak gerçekleştirilmekteydi. Ancak SMS iletimindeki problemler, maliyeti, Telekom operatöründe yaşanabilecek aksaklıklar ve kolaylıkla farklı telefonlara yönlendirilebilmesi, SIM SWAP adı verilen kişi adına yeni SIM kart çıkartılması gibi problemler ve soft/hard token cihazlarının kullandığı doğrulama algoritmalarında zaman ve sayaç kayması gibi problemler yaşanmaktadır. Biyometrik doğrulama yöntemi ise, doğrulama cihazları gerektirmesi, cihazların boyutu ve maliyeti nedeniyle, akıllı cihazların gömülü sensörlerinin kullanımı dışında fazla tercih edilmemektedir. Bu nedenlerle birçok kurum uygulamalarının erişimi için PKI token cihazlarını tercih etmeye başlamıştır. [12]

 

PKI Token cihazlarına örnek olarak, Thales firması tarafından üretilen SafeNet eToken 5300 Mini ve Micro PKI Token cihazları kurumların çalışanları için kullanım kolaylığıyla birlikte aynı zamanda askeri düzeyde güvenlik sunmaktadır. Bu PKI Token cihazı temper-proof yani kurcalamaya karşı koruma sunmaktadır. Network kimlik doğrulaması, digital imzalar, e-posta şifreleme ve PKI altyapısını destekleyen diğer uygulamaların Kimlik ve Erişimi için kullanılabilmektedir. Cihaz USB desteği sunmakta, FIPS 140-2 sertifikasını beklemekte ve Ortak Kriterler CC EAL6+ sertifikasına sahiptir. [12]

thales-safenet

 

Cihaz Microsoft CAPI arayüzünü ve PKCS # 11ve X.509 v3 standartlarını desteklemektedir. Bellek boyutu 80K olan cihazın desteklediği kripto algoritmaları, AES 128/192/256 bit, 3DES, SHA-256 , RSA: 2048-bit ve Eliptic Curve için P-256, P-384’dır. Boyutları Mini için 16mm*8mm*40mm ve Micro için 12mm*4.5mm*18mm olmak üzere görüldüğü gibi çok küçük boyuttadır. [12]

Yubikey-5-Serisi-Cihazları

 

FIDO Topluluğu, uygulamaların şifrelere bağımlılığını azaltmaya çalışan, kimlik doğrulama için standartlar geliştiren ve sertifikasyon yapan bir endüstri birliğidir. Son zamanlarda kullanımı çok sayıda artmış ve bunun nedeni birçok şirket tarafından desteklenmesidir. Dolayısıyla FIDO2 Token cihazlarının kullanımı tek bir uygulama veya kurum ile sınırlı değildir. Destekleyen tüm uygulama ve kurumlar için kullanılabilmektedir. [13]

 

Bir kurum içerisinde kullanılan, Açık Anahtar Altyapısına ait bir PKI Token cihazının bir başka kurumda kullanılabilmesi için ortak bir Sertifika Yetkilisinin (CA) kullanımı zorunlu olmakla birlikte FIDO için bu durum gerekli değildir, bu yüzden FIDO’nun bulut destekli uygulamalar için kullanımı hızla artmaktadır. [15]

 

SONUÇ 

Açık Anahtar Altyapısı kullanımının güvenirliğini kanıtlamış olması nedeniyle, ilerleyen günlerde Nesnelerin İnterneti Cihazlarının (IOT) yaygınlaşmasıyla birlikte öne çıkacak IOT güvenlik ihtiyaçlarının çözümü için kullanılacağını öngörebiliriz.

Security-Key-dem-Key

Benzer şekilde Açık Anahtar Altyapısı ve FIDO2’yi aynı anda destekleyen Token Cihazlarının kullanımının da artacağını öngörebiliriz. Mevcut durumda çok az sayıda cihaz iki alt yapıyı birden desteklemektedir. Örnek olarak SafeNet IDPrime 3940 FIDO cihazını verebiliriz. Bu cihaz NFC desteğiyle birlikte akıllı telefonlarlada uyumlu olarak kullanılabilmektedir. Parmak izi doğrulama gibi özellikleri içeren cihazların maliyetlerinin düşmesiyle yayınlaşacağı da öngörülebilir.

HID-Crescendo-C2300

Bunun yanında PKI ve FIDO2 destekleyen akıllı kartlarında üretildiği görülmektedir. Bunlara örnek olarak HID Crescendo C2300’ı verebiliriz. Ancak akıllı kartlar gerek üzerinde çip bulunmaması gerekse kart okuyucuya ihtiyaç duyması nedeniyle PKI Tokenları kadar kullanım alanı oluşmamıştır. [12]

 

KAYNAKLAR

[1]Weise-Sunps, Joel. “Public Key Infrastructure Overview.” (2001).

Http://Www-It.Desy.De/Common/Documentation/Cd-Docs/Sun/Blueprints/0801/Publickey.Pdf

[2]“A3d3m: Açik Anahtar Altyapisi Destekli Dijital Delilleri Doğrulama Modeli”

Https://Scholar.Google.Com.Tr/Scholar?Oi=Bibs&Cluster=14706699373715232305&Btni=1&Hl=En National Network And Information Security Symposium 2005/6

[3]F. O. Gomes, B. M. Agostinho And J. E. Martina, "Fraud Prevention Within The Brazilian Governmental Public-Key Infrastructure," 2020 Ieee Conference On Intelligence And Security Informatics (Isi), Arlington, Va, Usa, 2020, Pp. 1-6, Doi: 10.1109/Isi49825.2020.9280480.

[4]N. Vatra, "Public Key Infrastructure For Public Administration In Romania," 2010 8th International Conference On Communications, Bucharest, Romania, 2010, Pp. 481-484, Doi: 10.1109/Iccomm.2010.5509037.

[5]D. Kim Ve S. An, "Efficient And Scalable Public Key Infrastructure For Wireless Sensor Networks,"  The 2014 International Symposium On Networks, Computers And Communications, Hammamet, Tunisia, 2014, Pp. 1-5, Doi: 10.1109/Sncc.2014.6866514.

[6]Açık Anahtar imzalama Partileri Emin islam Tatlı, Department Of Computer Science, University Of Mannheim Ekim 4, 2005

[7]R. Hunt, "Pki And Digital Certification Infrastructure," Proceedings. Ninth Ieee International Conference On Networks, Icon 2001., Bangkok, Thailand, 2001, Pp. 234-239, Doi: 10.1109/Icon.2001.962346.

[8]Https://Www.Turktrust.Com.Tr/ Erişim Tarihi : 10/04/2021

[9]Https://Kamusm.Bilgem.Tubitak.Gov.Tr/Dokumanlar/Mevzuat/ Erişim Tarihi : 11/04/2021

[10]Https://Www.Resmigazete.Gov.Tr/Eskiler/2004/01/20040123.Htm Erişim Tarihi : 12/04/2021

[11]Https://Blog.Hidglobal.Com/2020/05/Fido2-And-Public-Key-Infrastructure-Pki-Explained Erişim Tarihi : 13/04/2021

[12]Https://Cpl.Thalesgroup.Com/Blog/Encryption/New-Fido2-Devices-Offer-Single-Token-Combined-Pki-Fido-Use-Cases-Without-Need-Rip-And Erişim Tarihi : 13/04/2021

[13]Https://Fidoalliance.Org/ Erişim Tarihi : 13/04/2021

[14]Https://Trustsec.Net/ Erişim Tarihi : 14/04/2021

[15]Https://Www.Secmaker.Com/ Erişim Tarihi : 15/04/2021

[16]Https://Www.Gotrustid.Com/ Erişim Tarihi : 16/04/2021