Ana içeriğe atla

Mobil (Elektronik) İmza

Yazan:
Bu makalemizde sizlere sıkça duyduğumuz belki de çoğumuzun kullandığı mobil imza hakkında bilgi vereceğiz.
Sadece operatörümüze mesaj göndererek sahip olduğumuz mobil imzalar gerçekte nasıl oluşturuluyor? Bu imzalar güvenilir mi? Mobil imza kullanırsam artık bir dökümanı imzalamak için ofiste, şirkette, evde beklemek zorunda değil miyim?

Bu sorulara cevap aramadan önce  mobil imzanın atası Elektronik imzanın ne olduğu hakkında bilgi sahibi olmak mobil imzayı anlamamızı kolaylaştıracaktır. Size elektronik ortamda gelen bir belgeyi sadece küçük bir butona basarak imzalayıp geri gönderebiliyorsunuz. Şimdi siz bir butona bastınız diye sizin adınıza bir belge imzalanıyor ve bu belgeyi alan herhangi biri belgenin sizin tarafınızdan imzaladığına emin oluyor.

Dikkat bu yazı içerisinde bazı kriptoloji terimleri ile karşılaşabilirsiniz.  

Artık kamu kurumlarında bile kullanılan e-imza nedir?

Elektronik imza, elektronik dokümanları imzalamak için kullanılan bir elektronik koddur. Gönderilen bilginin yolda değişmediğini, dokümanı imzalayarak gönderen kişiye ait olduğunu ve gönderen kişi bu dokümanı gönderdiğin inkar edemeyeceğini garantiler. Evet e-imza tanımında yukarıdaki sorularımıza cevap veriliyor gibi görünüyor. 
Ama bir tanıma bakarak ikna olamayız. Emin olmak zorundayız ....

Elektronik imzanın atılabilmesi için kişiye ait bir Nitelikli Elektronik Sertifikaya (NES) sahip olması gerekmektedir.

Nitelikli Elektronik Sertifika (NES) nedir?

Elektronik sertifikalar, kişinin kimliğini elektronik ortamda ispatlaması için kullanılan elektronik dosyalardır. Sertifikalar X.509 standardına (RFC 2459) uygun olarak üretilir ve bu standartlar ile uyumlu olan akıllı kartlara veya web tarayıcılarına yüklenebilir. 

5070 sayılı Elektronik kanuna uygun güvenli elektronik imza, nitelikli elektronik sertifika (NES) kullanılarak oluşturulur. Nitelikli elektronik sertifika, Elektronik Sertifika Hizmet Sağlayıcılarından (ESHS) alınır. 5070 sayılı kanun ve güvenlik sebebiyle NES’in ve ilgili anahtarların güvenli elektronik imza oluşturma aracına yüklenmesi gerekmektedir. Günümüzde bu şartlar akıllı kartlar ile sağlanmaktadır. Bu sebeple bir ESHS’den NES alan kişiye sertifikası akıllı kart içinde teslim edilmektedir. Akıllı kartı bilgisayar ile kullanmak için akıllı kart okuyucusuna ihtiyaç vardır. 

NES, akıllı kart ve akıllı kart okuyucusunu kullanmak için bilgisayar ortamında bunları destekleyen yazılımlar kullanılır.

1024-bit anahtar ile oluşturulan sertifikanın güvenlik süresi 1 yıldır. 2048-bit anahtar ile oluşturulan sertifikanın güvenlik süresi 10 yıldır. Tam sertifikamızı alıyorduk derken bir de ESHS çıktı karşımıza.

Elektronik Sertifika Hizmet Sağlayıcı (ESHS)

İmzalı bir doküman gönderildiğinde imzanın geçerliliği/doğrulunun saptanması için imzayı atanın açık anahtarı gereklidir. Bu nedenle kullanıcıların açık anahtarlarını ve kimlik bilgilerini onaylama yetkisine sahip bir kuruluşa gerek vardır. Elektronik sertifika hizmet sağlayıcıları kişi ve kurumlara sertifika üreten, dağıtan ve belgelerin yönetimini üstlenen güvenilir kurumlardır.

Türkiye’de ESHS hizmeti veren kurumlar:

·    Kamu Sertifikasyon Merkezi (TÜBİTAK-UEKAE) (Kamu kurumu çalışanlarına kurumsal başvuru ile e-imza sertifikası vermektedir. Bireysel başvuru kabul etmemektedir.)
·       EBG Bilişim Teknolojileri ve Hizmetleri A.Ş.(E-Tugra)
·       Elektronik Bilgi Güvenliği A.Ş. (E-Güven)
·       TürkTrust Bilgi, İletişim ve Bilişim Güvenliği Hizmetleri A.Ş.
·       E-İmza Bilgi Güvenliği Hizmetleri A.Ş.(e-İmzaTR)


           
Artık bir ESHS’e başvurduk ve sertifikamızı aldık. Tamam sertifikamızı aldık da hala bu imzanın güvenliği hakkında aklımızda soru işaretleri var.

Bu E-imza oluşturulması ve doğrulanması nasıl oluyor?

Gönderilecek mesaj SHA-1 hash fonksiyonuna verilir. Çıktısı akıllı kart içerisinde bulunan özel anahtar ile RSA algoritmasına verilir ve e-imza oluşturulur (Hayde, SHA-1 ve RSA nerden çıktı diyorsanız. Yazının başında belirttiğim gibi dikkat kriptoloji terimleri ile karşılaşa bilirsiniz.). Oluşturulan e-imza ile imza dosyası oluşturulur (Cümle biraz karmaşık gelebilir. İlk e-imza oluşturuldu. E-imza cepte. Şimdi o e-imza kullanılarak imza dosyası oluşturuluyor.).  İmza dosyası içerisinde gönderilecek mesajı, e-imzayı, elektronik sertifikalar ve e-imzaya dahil olan bilgiler bulunur. E-imzaya dahil olan bilgiler imza zamanı (signing time), imza politikaları (signature policies), imza amacı (commitment type) ve kullanılan sertifikayı tanımlayan bilgiler (signing certificate)dir.

Bu işlemlerin hepsi E-imza oluşturma yazılımı tarafından yapılır. Bu yazılım akıllı kart ve akıllı-kart okuyucu aracığı ile özel anahtarı ve elektronik sertifikayı alır. Gönderilecek mesaj, özel anahtar ve elektronik sertifikayı bu yazılım girdi olarak alır ve çıktı olarak imza dosyasını oluşturur. İmzalı dosyayı alan tarafın imza doğrulama yazılımı sertifika üzerindeki ESHS’in imzasını, sertifika geçerlilik süresi, sertifika kullanım amacı ve sertifika iptal durum kontrolü yaparak imzanın geçerli olup/olmadığına karar verir.

Elektronik imza, kamu kuruluşları ile yapılan işlemlerde, bankacılık işlemlerinde, e-devlet, e- ticaret işlemlerinde, e-posta işlemlerinde kullanılabilir. Gerçekten birçok alanda rahatlıkla kullanılabiliyor.

Ve artık Türkiye’de (Elektronik imza, Türkiye’de 23/07/2004 tarihinde yürürlüğe girmiştir. 23/01/2004 tarihinde Resmi Gazetede yayınlanmıştır. 5070 sayılı Elektronik Kanun ile tanımlanmıştır.)

Yazının bu kısmına kadar elektronik imzayı genel olarak anlamaya çalıştık. Artık yazının mobil tarafına geçebiliriz. Zaten artık bir ürünün veya yeniliğin mobil tarafı yoksa kimse tarafından bilinmiyor.

Mobil Elektronik İmza (m-imza) nedir?

Mobil elektronik imza, mobil bir cihaz kullanılarak oluşturulan elektronik imzadır. Mobil imzanın elektronik imzadan farkı gizli anahtar, akıllı kart yerine GSM SIM kartta saklanır. Akıllı kart okuyucu görevini de cep telefon yapar.

m-İmza, akıllı kart ve kart okuyucu kullanılarak oluşturulan e-imza ile aynı geçerliliğe sahiptir. 26918 sayılı ve 28/06/2008 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren ve Bilgi Teknolojileri ve İletişim Kurumu tarafından yürütülen “Elektronik İmza İle İlgili Süreçlere Ve Teknik Kriterlere İlişkin Tebliğ’de Değişiklik Yapılmasına Dair Tebliğ” ile de m-imza ve e-imzanın eş değerliliği belirtilmiştir.

Mobil imzaya sahip olmak elektronik imzadan çok daha kolaydır. Bir mesaj gönder sende mobil imzaya sahip ol.

Mobil imza, Türkiye’de GSM operatörlerinden temin edinilebilir.  Türkiye’de faaliyet gösteren Turkcell, Türk Telekom ve Vodafone mobil imza hizmeti sunmaktadır. Mobil imza kullanımı için Turkcell aracılığı ile E-Güven sertifikaları dağıtılmaktadır. Vodafone Turktrust şirketi ile anlaşmıştır. 

Bireysel olarak GSM operatörleri vasıtasıyla m-imzaya sahip olunabilmektedir. Kurumsal süreçlerde m-imza kullanımı için kamu kurumlarının TÜBİTAK üzerinden başvuru yapması gerekmektedir. Kurumsal süreçlerde m-imza kullanmak ne kadar kolay olsa da bu imzaya sahip olmak o kadar kolay değildir. Aşağıda bu sürecin adımları anlatmaya çalıştım. Zaten bu adımları TÜBİTAK sayfasından aldım J

Bu süreçte;

  • Kurum m-imza temini için başvuru listelerini hazırlayarak TÜBİTAK’a gönderir.
  • TÜBİTAK Kamu SM üzerinden kurumsal e-posta adresine gelen m-imza formu personel tarafından doldurulur.
  • Personelin e-imzası var ise; elektronik imzalayarak ilgili formu TÜBİTAK’a gönderir.
  • Personelin e-imzası yok ise; ilgili formun çıktısını ıslak imza ile imzalayarak Üniversite Yazı İşleri ve Arşiv Şube Müdürlüğüne elden teslim eder.
  • İlgili formların TÜBİTAK’a Üniversite tarafından gönderilmesinden sonra operatörler personelleri kimlik doğrulamak için ararlar ve personeli Üniversite yerleşkelerine kurulan stantlara ya da en yakın operatör bayilerine yönlendirirler.
  • Personel, Üniversite içerisinde açılan standa ya da en yakın bayiye başvurur.
  • Personel faturalı/faturasız hatta sahip ise ve SIM kartı m-imza için uygun değilse, SIM kartı; 128K ile değiştirilir. (M-imzanın kullanımı için cep telefonu SIM kartlarının m-imza için özel üretilen 128K SIM kartlar ile değiştirilmesi gerekir). (AVEA, sadece faturalı hat sahiplerine m-imza servisi sağlamaktadır)
  • Personel, faturalı/faturasız hatta sahip ancak hat sahibi başkası ise; hat sahibi ile birlikte bu stantta/bayiye başvurur ve SIM kartı m-imza için uygun değilse, 128K ile değiştirilir. SIM kartın değişmesi için ilgili personelin nüfus cüzdanını yanında bulundurması gereklidir.
  • Bu işlemlerden sonra  “Mobil İmza Sertifika Sahibi Taahhütnamesi” imzalanır.
  • İlgili operatör Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) ile sertifikasyon sürecini tamamlar ve müşteri hizmetleri tarafından aranan personele başlatma kodu iletilir. Personel başlatma kodunu girerek 6 haneli m-imza şifresini belirler ve aktivasyon sağlanır.
Şu ana kadar elektronik ve mobil imza hakkında genel  bilgi vermeye çalıştım. Biraz da akademik olarak Mobil İmza Çözüm Önerilerinden bahsedelim ve bir makaleye referans verelim.

 Önceden de belirtildiği üzere, elektronik imza mobil ticarette inkar edilemeyen (non-repudiation) servisleri sağlamak için önemli bir yere sahiptir. 

 Uygulama sağlayıcı (AP) reddedilememe ile başa çıkmak için elektronik imza tabanlı uygulamalar yazmalıdır. Bu şu anlama gelmektedir: bir uygulama sağlayıcı,  elektronik imzayı kullandırabilmek amacıyla, farklı her mobil cihaz için ayrı ayrı yazılım geliştirmek zorundadır. Fakat çok fazla mobil cihaz olduğundan dolayı, bu yaklaşım büyük yatırımlar gerektirmektedir. Bu sorunu çözmek için, iki farklı genel çözüm önerisi sunulmuştur: server tabanlı imzalama ve mobil imza servisi. İki yaklaşımda da uygulama sağlayıcı, müşterinin bazı bilgileri imzaladığı bir sunucu talep eder.

Sunucu tabanlı çözümler

Eskiden mobil aygıtların donanımı yeterince güçlü değildi ve asimetrik kriptografi için elverişsizdi. Buna çözüm olarak, bilgisayarların(server) daha güçlü olması dolayısıyla m-imza üretmek için uzaktan hizmet verilmeye başlandı. Bu tasarımda mobil aygıt; kullanıcı tarafından üretilen m-imza yı doğrulamak için kullanılıyor. Bu durumda kullanıcı sunucu da bulunan özel anahtarına erişimi korumak için; MAC veya OTS (One Time Signature) üretmekte, m-imza yı doğrulamak için ise gizli kodu (secretcode)girer. Bu çeşit çözümlere sunucu tabanlı çözümler adı verilmektedir.

Uygulama adımları:

1) Kullanıcı, servis ya da bir uygulama sunucusuna imza sorgusunda bulunur.
2) Sunucu imza doğrulama sorgusunu mobil aygıta gönderir.
3) Şifre girilerek veya PIN (PersonalIdentifierNumber) ile ve mobil aygıtın MAC ya da OTS üretmesi ile kullanıcı e-imza nın doğrulamasını gerçekleştirir.
4) MAC veya OTS nin alındığı doğrulandığında, sunucu imzayı üretir ve servise veya uygulamaya gönderir.

Bu yöntemin başlıca eksikliği, m-imzanın yeterli e-imza olarak nitelendirilememesidir. Bu durumun sebebi, imzanın yalnızca kullanıcının kontrolünde olmadan, sunucuda üretiliyor olmasıdır.

Mobil imza servisi (MSS)

Mobil imza servisi, uygulama sağlayıcıların mobil imza tabanlı çözümler geliştirmesini kolaylaştırmak için yapılmıştır. Bu çözümde son kullanıcı, akıllı kart veren kuruluş(genelde mobil operatör) tarafından elde edilmiş akıllı kart içeren bir mobil aygıta sahiptir. Bu akıllı kart, kullanıcının kimliğini tanımlamak için elektronik imza sağlayabilen bir imzalama uygulamasına sahiptir., Bu imzalama uygulaması akıllı kart sağlayıcısının kullanıcıya sunduğu imzalama-PIN i ile korunmaktadır. Herhangi bir zamanda, kullanıcı imzalama-PIN şifresini değiştirebilir. Hatta belirli bir imzalama sayısını geçtiğinde, şifresini değiştirmeye zorlanabilir.

İmzalama uygulaması, üretilmiş anahtarlarla ilişkili olan sertifikaları kaydetmesinin yanı sıra, yeni anahtarlar da oluşturabilir. Sertifikalar; son kullanıcı kimliğini doğrulamakla yükümlü olan kayıt otoriteleri(RA) vasıtasıyla, sertifikasyon otoritesinden(CA) elde edilir. Bu uygulama e-imza almak için mobil imza servis sağlayıcısı (MSSP) tarafından çalıştırılabilir. İmza üretilmeden önce, kullanıcı e-imzayı onayladığını belirtmek için imzalama-PIN şifresini mobil aygıta girer. Bu yüzden e-imza süreci her zaman son kullanıcının kontrolündedir.

Her son kullanıcı MSS yi kullanabilmek için MSSP ye kayıt olmalıdır. Bu kayıt işlemi ile, MSSP kullanıcının mobil aygıtında imzalama fonksiyonunu aktive eder. Buna ek olarak MSSP; zaman damgası, işlem sorgusu için kullanıcı web sayfası gibi servisleri de sağlayabilir. Genelde bu MSSP son kullanıcının mobil operatörüdür.

Bu yaklaşımda, uygulama sağlayıcılar son kullanıcıya yazılım sağlama zorunluluğunda değildirler. Uygulama sağlayıcılar bir işlemde e-imza ya ihtiyaç duyduğu zaman, MSSP den talep ederler. MSSP; AP(uygulama sağlayıcı) tarafından sağlanan bazı bilgilerin imzasını almak için, son kullanıcının imza uygulamasıyla iletişime geçmekle sorumludur.

İşlemler ayrıntılı olarak aşağıdaki gibi gerçekleşmektedir:

1) Son kullanıcı, AP(uygulama sağlayıcı) tarafından sağlanan servislere erişim sağlar.
2) AP, işlemin onayı için, mobil imza uygulamasının başlatılacağına dair kullanıcıya bilgi verir.
3) AP; bir kullanıcının işlemi ile ilişkili verinin imzalanacağını göstermek için MSSP ye imza talebi gönderir.
4) MSSP talebi alır ve kullanıcıya gönderir.
5) İşlemle ilgili veriler mobil aygıtta gözükür. Eğer kullanıcı işlemi onaylarsa, e-imza işlemi için imzalama-PIN    numarası kullanıcıya sorulur.
6) E-imza MSSP ye geri gönderilir.
7) MSSP, eğer gerekiyorsa bazı eklemeler yapar ve AP ye ye gönderir.
8) AP, kullanıcıya işlem onayı gönderir.

Bu işlem adımları, eğer kullanıcı ve AP aynı MSSP ile çalışıyorsa gerçekleştirilebilir. Ancak birçok durumda Ap ve kullanıcı aynı sağlayıcıya sahip değildir veya kullanıcı kendi ev ağında olmayabilir. Bu durumlarda gezici MSSP kullanılır. Bu yöntem, kullanıcının imza uygulaması ile iletişim kurmak için, AP nin imza taleplerini kullanıcının ev MSSP sine yönlendirmede kullanılır. 

Mobil imzanın çözüm önerileri kısmında bana yardımcı olan Murat ASLANTAŞ arkaşıma teşekkürü bir borç bilirim. Teşekkürler Murat....
Şimdi bu Mustafa bu bilgileri nasıl toparladı, kaynakları nelerdir diyorsanız aşağıdaki referansları inceleyebilirsiniz.

Referanslar :

·    Ruiz-Martínez A., Sánchez-Martínez D., Martínez-Montesinos M. and Gómez-Skarmeta A.F., “A Survey of Electronic Signature Solutions in Mobile Devices”, Journal of Theoretical and Applied Electronic Commerce Research,  2,2007, 94-109
·       https://eteydeb.tubitak.gov.tr/eimzabilgisayfasi.htm
·       https://eteydeb.tubitak.gov.tr/mobilimzabilgisayfasi.htm
·       http://www.saglik.gov.tr/EBYS/belge/1-16239/elektronik-imza-nedir.html
·       http://www.tk.gov.tr/index.php
·       http://www.marmara.edu.tr/hizmetler/e-bilgi-servisi/mobil-imza-m-imza/ 

Mustafa AŞÇI

Etiketler:

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

UML ve Modelleme – Bölüm 4 (Class (Sınıf) Diyagramları)

Yazan:
Bir önceki makalemizde UML modellemede kullanılan ilk diyagram olan Use Case diyagramını incelemiştik. Bu makalemizde nesne tabanlı programlamada kullanılan sınıflar ve sınıfların arasındaki ilişkileri modelleyebileceğimiz diyagramlar olan Class(Sınıf) diyagramlarını inceleyeceğiz. UML’de sınıflar, nesne tabanlı programlama mantığı ile tasarlanmıştır. Sınıf diyagramının amacı bir model içerisinde sınıfların tasvir edilmesidir. Nesne tabanlı uygulamada, sınıfların kendi özellikleri (üye değişkenler), işlevleri (üye fonksiyonlar) ve diğer sınıflarla ilişkileri bulunmaktadır. UML’de sınıf diyagramlarının genel gösterimi aşağıdaki gibidir. Şekil 1. Class Diyagram Şekil1’de görüldüğü üzere bir dikdörtgeni 3 parçaya bölüyoruz. En üst bölüm sınıf adını, orta kısım özellik listesini (üye değişkenler) ve en son kısım, işlev listesini (üye fonksiyonlar) göstermektedir. Çoğu diyagramlarda alt iki bölüm çıkarılır. Genelde tüm özellik ve işlevler gösterilmemektedir. Ama
20 yorum
Devamı

Yazılım Maliyet Tahmineleme Tecrübeleri

Yazan:
Yazılım mühendisliğinde maliyet hesabı her zaman problem olmuştur. "Bu iş kaç Adam/Gün tutar?" sorusuyla sıkça karşılaşıyoruz. Adam/gün veya Adam/ay ölçütleri bir kaynağın/kişinin belirtilen zaman dilimindeki iş gücü anlamına gelir. Tabi bu noktada yine kafa karışıklıkları başlar. 6 A/G'lik bir işi hızlandıralım diye 2 kişi ile yapmaya çalışsak ve kaynak/kod, modül, altyapı, insan vb. her bir şeyi bir kenara bıraksak, matematiksel basit formülle 6/2=3 A/G'de biter? Gerçek hayat böyle değil, öncelikle bunu anlamamız lazım. Hep şu örnek verilir; "Aynı bebeği 2 kadın birlikte daha kısa sürede doğurur mu?" Eğer bunun cevabı "Evet" ise (veya bir gün böyle bir durum ortaya çıkarsa), yazımı değiştirmem gerekecek:) Mevzu gerçekten derin...Maliyet hesabı; bulunduğunuz firmanın yazılım süreçlerini hangi methodlarla uyguladığına, ilgili işin o dönemdeki aciliyetine, (şirket yönetiminin baskısına:)) vb. bir çok duruma bağlı olabilir. Örneğin; bizim firmada e
7 yorum
Devamı

UML ve Modelleme – Bölüm 3 (Use Case Diyagramlar)

Yazan:
Önceki iki makalemizde ( 1 , 2 ) UML’e genel olarak değinip ve modellemede kullanacağımız dokuz diyagram hakkında bilgiler vermiştik. Bu makalemizde Use Case diyagramından detaylı bahsedeceğiz. Öncelikle, genel Use case diyagramının tanımını hatırlayalım. “Bir kullanıcı ve bir sistem arasındaki etkileşimi anlatan senaryo topluluğudur.” Ivar Jacobson Senaryo tanımı için der ki: “Aktörle sistem arasında gerçekleştirilen, sonucunda aktöre farkedilir getirisi/ faydası oluşan etkileşimli diyalogdur. ” UML Use Case Diyagramları  sistemin işlevselliğini açıklamak amacıyla kullanılır. Sistemin birbirinden ayrı özelliklerinin detaylarını göstermekten ziyade, Use Case Diyagramlar, tüm mevcut işlevselliği göstermek için kullanılabilir. Buradaki en önemli noktalardan biri,   Use Case Diyagramlar temelde sequence diyagram ve akış diyagramlarından farklıdır. Use Case diyagramlar dört ana elemandan oluşmaktadır. Aktörler , Sistem (Proje kapsamını belirtir) , Use Caseler ve bunlar ara
15 yorum
Devamı