bilgiz.org

Internet dünyası çok geniş bir alanı içeren bir dünya olup bu dünyada haberleşmenin güvenli bir ortamda yapılması büyük önem t

  • Türkiye’deki durum
  • Avusturya deneyimi



  • Tarih27.12.2017
    Büyüklüğü19.62 Kb.

    Indir 19.62 Kb.



    B i l g i l e n d i r m e

    Kime : Banka Genel Müdürlükleri

    Kimden : Türkiye Bankalar Birliği Genel Sekreterliği

    Konu : Dijital İmza ve Sertifika Otoritesi Konferansı

    Tarih : 26 Haziran 2003

    Birliğimiz tarafından düzenlenen “Sayısal İmza ve Sertifika Otoritesi” konferansı 4 Haziran 2003 tarihinde İstanbul’da gerçekleştirilmiştir. Konferansa TC Merkez Bankası, bankalar ve diğer finans kurumlarından 80 civarında bir katılım olmuştur.


    T. Bankalar Birliği Bilgi İşlem, İstatistik ve Teknoloji Grup Başkanı Cahit Sabır tarafından yapılan açılış konuşmasında sonra Hewlett Packard firması adına Avusturya’dan katılan Dr. Klaus Rabitsch firmanın Avusturya’da gerçekleştirdiği proje hakkında bilgi vermiştir. Daha sonra HP Türkiye firmasından Çağlar Doğan da konuyla ilgili kavramsal düzeyde bilgi vererek Türkiye’de gerçekleştirilen bazı uygulamaları içeren bir sunum yapmıştır.
    Birliğimiz Elektronik Ticaret Çalışma Grubu tarafından bir ihtiyaç olarak belirlenen; internet bankacılığı, güvenlik, dijital imza, sertifika otoritesi vb. konularda bankacılık sektörüne yönelik bilgilendirme faaliyetleri kapsamında gerçekleştirilen konferans, Avusturya deneyiminin öğrenilmesi ve konunun kavramsal düzeyde daha da iyi anlaşılması açısından yararlı olmuştur.
    Güvenlik, Güven ve Teknolojik Çözümler (Açık Anahtar Altyapısı)
    Bilindiği üzere, internet ulusal sınırların aşıldığı geniş bir alanı içeren bir dünyada çok yönlü haberleşmenin yapıldığı bir platform olarak değerlendirilmektedir. Ekonomik faaliyetlerin internet üzerinden gerçekleştirilmesi, elektronik ticaretin ve internet bankacılığının yaygınlaşması, tüm dünyanın üzerindeki bu bulut içinde gerçekleşen trafiğin güvenli bir şekilde yapılmasını daha da önemli kılmaktadır.
    İnternet, kullanıcılar için sınırsız bir ağ ve özgürlük anlamına gelse de elektronik ticaret ile birlikte bu özgürlüklere bir sınır çizilmesi ve işlemlerin/haberleşmelerin belirli kurallar çerçevesinde yapılması bir zorunluluk haline gelmiştir. Güvenli bir ortamın yaratılmasını sağlamak üzere atılacak bu adımlar insanları bu ortamdan kaçırmayacak düzeyde esnek olması gerekirken aynı zamanda sağlanacak güvenliğin insanları bu kanalları kullanmaya teşvik etmesi de gerekmektedir.
    Güvenli bir ortam insanlar, işlemler ve işlemlerin gerçekleştiği süreçler ile teknoloji olmak üzere çok ayaklı bir yapının üzerinde durmaktadır. İnternet bankacılığı ile birlikte bankaların önemli hizmetleri sunmaya başlaması, geniş bir müşteri kesimi tarafından kabul görmesi/yaygınlaşması ve en önemlisi düşük maliyette zaman ve mekan sınırı olmaksızın hizmet verilmesi, geniş bir bilgisayar ağı üzerinde gerçekleşen işlemelerin güvenliğini sağlama konusunu sürekli bir çaba sarf etmemizi gerektirmektedir.

    Güvenlikten, sadece virüslere karşı alınan güvenlik önlemleri değil aynı zamanda izinsiz ataklar, güvenlik duvarları, biometrik önlemler, iz sürme, kriptografi, şifreleme ve sayısal imza gibi teknolojik kavramların anlaşılması gerekiyor. İşlemler ve iş süreçlerinin güvenli bir ortamda gerçekleştirilmesi teknolojik olarak olduğu kadar yasal olarak da bir takım uyum çalışmalarının yapılmasını gündeme getirmekte ve elektronik ticarete taraf olan kurum ve kişilerin güven duyabilecekleri kurumların oluşturulmasını zorunlu kılmaktadır. Bu konuda bir çok ülkede çalışmalar yapılmış; güven kuruluşları oluşturularak gerekli yasal düzenlemeler yapılmıştır.


    Açık Anahtar Altyapısı – (Public Key Infrastructure - PKI ) ve Sertifika Otoriteleri ( Certification Authority – CA)
    Açık anahtarlı şifreleme sisteminde açık anahtar (public key) ve özel anahtar (private key) olmak üzere iki anahtar bulunmaktadır. Bu anahtarlar tek yönlü çalışmakta ve birbirlerini tamamlamaktadır. Özel anahtar şifrelemek için, açık anahtar da özel anahtarın şifrelediğini çözmek/deşifre etmek için kullanılmaktadır. Özel anahtar sadece ait olduğu kişide bulunmakta ancak açık anahtar açık olarak diğer kullanıcılara iletilmektedir. Elektronik dokümanların, bir açık anahtar şifreleme yöntemi kullanarak imzalanması sayısal imza (Digital Signature) olarak tanımlanmaktadır. Sayısal imza, o dokümanın bilinen bir kişiden geldiğini, onun tarafından imzalandığını ve dokümanın başkaları tarafından değiştirilmediğini ispatlar. PKI tabanlı uygulamalarda kişilerin sahip oldukları anahtarları akıllı kartlar aracılığıyla da kullanacakları düşünülmektedir. Akıllı kartlar bilgisayardan ayrı olarak taşınabilir ve bilgisayarlar ile olan iletişimleri şifrelidir. Elektronik kimlik olarak düşünülen bu kartların şifreli olarak kullanılması bir başkası tarafından kullanılmasını engellemeye yönelik bir önlem olarak düşünülmektedir.
    Açık anahtar altyapısı kişilerin sahip oldukları açık ve özel anahtarları kullanarak oluşturulan bir bilgi altyapısıdır. Bu altyapıda anahtarların oluşturulması, yetkili bir kurum tarafından onaylanması, sertifikaların saklanması ve dağıtılması, gerektiği durumlarda onayın geri alınması, sonlandırılması gibi işlemler vardır. Bu işlemler, her ne kadar karmaşık gibi görünse de sistemin sağlıklı olarak çalışması için gereklidir.
    Güvenli bir Sertifika Otoritesi (CA – Certificate Authority) kişilerin açık anahtarları ile kimlikleri arasındaki bağıntıyı sağlayarak kişilere ait dijital imzalı sertifika yaratmakla görevlidir. CA’nın imzasını doğrulayan ve ona güvenen herhangi bir kullanıcı da istediği kişinin açık anahtarını öğrenir. Bir Sertifika Otoritesi, iki tarafın arasında gerçekleşen etkileşim için bir tarafın veya her iki tarafın kimliğinin doğruluğunu, garanti eden, noter görevi gören, güvenilir bir üçüncü taraftır.
    Kimlerin hangi koşullar altında güvenilir CA olabileceği, CA’ların sertifika üretimi sırasında izleyeceği prosedür ve çevrim-dışı (off-line) kurallar ve sertifika iptali ile ilgili kuralların önceden tanımlanması gerekmektedir.

    Hiyerarşik yapılarda bir ana otorite bulunmakta ve alt seviyede bulunan CA’lar bir üst seviye CA’lara bağlı olmaktadır. Alt seviye CA’lar birbirleri için çapraz sertifika (cross certificate) üreterek anlaşmaktadırlar.


    Türkiye’deki durum

    Ülkemizde kurumlar ve şirketler özellikle güvenlik gerektiren uygulamaları için ihtiyaç duydukları sertifikaları uluslararası CA’lardan temin etmektedirler. Bunun dışında bazı uluslararası PKI sağlayıcı şirketlerin de Türkiye’de temsilcilikleri bulunmaktadır.

    Adalet Bakanlığı tarafından hazırlanan ve TBMM komisyonlarında olduğu ifade edilen yeni sayısal imza yasası ile birlikte ana otoritenin Telekomünikasyon Kurumu olacağı ifade edilmektedir. Söz konusu Kurum’un kontrolü altında sektörel bazda veya farklı biçimlerde sertifika otoritelerinin olacağı düşünülmektedir.

    Ülkemizde verilecek sertifikaların uluslararası geçerliliği olması ve uluslararası entegrasyon için, ulusal ve yabancı CA’ların uluslararası kurallar ve anlaşmalar çerçevesinde birbirlerine çapraz sertifika vermelerinin sağlanması gerekmektedir.

    Avusturya deneyimi

    Mayıs 2000’de başlatılan PKI uygulamasına Haziran 2001’de geçilmiş ve ilk sertifika bu tarihte verilmiştir. A-trust adı verilen Avusturya uygulamasında sertifikalar yetki derecelerine göre farklı şekillerde derecelendirilmiştir. Yapılan derecelendirmeye göre sertifika sahibinin yapacağı işlemler belirlenmekte/sınırlandırılmaktadır.

    Avusturya’da, ana merkez ve acil durum merkezi olmak üzere iki merkez oluşturulmuş ve bu merkezler özel hatlarla birbirlerine bağlanmıştır. Her iki merkezde de güvenliğin sağlanması için her bir aşamada çok sayıda firewall başta olmak üzere sıkı güvenlik önlemleri alınmakta/uygulanmaktadır. Özel şifrelerin ve sistemlerin bulunduğu odalar sıkı bir şekilde korunmakta, bu odalara kişiler tek başına girememektedir.

    Bireyler tarafından kullanılan kartların basım prosedürleri önceden tanımlanmış ve kart basım işlemleri ile bu kartlarda kullanılan şifre/pin_no gibi bilgilerin bireylere ulaştırılmasında izlenen yöntemler sayesinde fiziksel kartlar ve kartların kullanımı için gerekli diğer bilgiler farklı kanallardan bireylere ulaştırılmaktadır. Kartların basım işlemeleri Kayıt Otoritesi (Registration Authority) aracılığıyla yapılmaktadır.

    Viyana Üniversitesi’nde öğrencilere sağlanan kartlarla; öğrenciler kayıt işlemlerini yapmakta ve yemekhanede aynı kartla yemek yemektedir.

    Avusturya’da oluşturulan sistem yasal düzenlemelerle desteklenmektedir. Sayısal imza yasası ve veri güvenliğinin sağlanması ile ilgili düzenlemeler sisteme duyulan güveni artırmaktadır.










        Ana sayfa


    Internet dünyası çok geniş bir alanı içeren bir dünya olup bu dünyada haberleşmenin güvenli bir ortamda yapılması büyük önem t

    Indir 19.62 Kb.