Bu makalemizde sizlere sıkça duyduğumuz belki de
çoğumuzun kullandığı mobil imza hakkında bilgi vereceğiz.
Sadece operatörümüze mesaj göndererek sahip
olduğumuz mobil imzalar gerçekte nasıl oluşturuluyor? Bu imzalar güvenilir mi? Mobil
imza kullanırsam artık bir dökümanı imzalamak için ofiste, şirkette, evde
beklemek zorunda değil miyim?
Bu sorulara cevap aramadan önce mobil imzanın atası Elektronik imzanın ne olduğu hakkında bilgi sahibi olmak mobil
imzayı anlamamızı kolaylaştıracaktır. Size elektronik ortamda gelen bir belgeyi
sadece küçük bir butona basarak imzalayıp geri gönderebiliyorsunuz. Şimdi siz
bir butona bastınız diye sizin adınıza bir belge imzalanıyor ve bu belgeyi alan
herhangi biri belgenin sizin tarafınızdan imzaladığına emin oluyor.
Dikkat bu yazı içerisinde bazı kriptoloji
terimleri ile karşılaşabilirsiniz.
Artık kamu kurumlarında bile kullanılan e-imza
nedir?
Elektronik imza, elektronik dokümanları
imzalamak için kullanılan bir elektronik koddur. Gönderilen bilginin yolda
değişmediğini, dokümanı imzalayarak gönderen kişiye ait olduğunu ve gönderen
kişi bu dokümanı gönderdiğin inkar edemeyeceğini garantiler. Evet e-imza
tanımında yukarıdaki sorularımıza cevap veriliyor gibi görünüyor.
Ama bir
tanıma bakarak ikna olamayız. Emin olmak zorundayız ....
Elektronik imzanın atılabilmesi için kişiye ait
bir Nitelikli Elektronik Sertifikaya (NES) sahip olması gerekmektedir.
Nitelikli Elektronik Sertifika (NES) nedir?
Elektronik sertifikalar, kişinin kimliğini
elektronik ortamda ispatlaması için kullanılan elektronik dosyalardır.
Sertifikalar X.509 standardına (RFC 2459) uygun olarak üretilir ve bu
standartlar ile uyumlu olan akıllı kartlara veya web tarayıcılarına
yüklenebilir.
5070 sayılı Elektronik kanuna uygun güvenli elektronik imza,
nitelikli elektronik sertifika (NES) kullanılarak oluşturulur. Nitelikli
elektronik sertifika, Elektronik Sertifika Hizmet Sağlayıcılarından (ESHS)
alınır. 5070 sayılı kanun ve güvenlik sebebiyle NES’in ve ilgili anahtarların
güvenli elektronik imza oluşturma aracına yüklenmesi gerekmektedir. Günümüzde
bu şartlar akıllı kartlar ile sağlanmaktadır. Bu sebeple bir ESHS’den NES alan
kişiye sertifikası akıllı kart içinde teslim edilmektedir. Akıllı kartı
bilgisayar ile kullanmak için akıllı kart okuyucusuna ihtiyaç vardır.
NES,
akıllı kart ve akıllı kart okuyucusunu kullanmak için bilgisayar ortamında
bunları destekleyen yazılımlar kullanılır.
1024-bit anahtar ile oluşturulan sertifikanın
güvenlik süresi 1 yıldır. 2048-bit anahtar ile oluşturulan sertifikanın
güvenlik süresi 10 yıldır. Tam
sertifikamızı alıyorduk derken bir de ESHS çıktı karşımıza.
Elektronik
Sertifika Hizmet Sağlayıcı (ESHS)
İmzalı bir doküman gönderildiğinde imzanın
geçerliliği/doğrulunun saptanması için imzayı atanın açık anahtarı gereklidir.
Bu nedenle kullanıcıların açık anahtarlarını ve kimlik bilgilerini onaylama
yetkisine sahip bir kuruluşa gerek vardır. Elektronik sertifika hizmet
sağlayıcıları kişi ve kurumlara sertifika üreten, dağıtan ve belgelerin
yönetimini üstlenen güvenilir kurumlardır.
Türkiye’de ESHS hizmeti veren kurumlar:
· Kamu
Sertifikasyon Merkezi (TÜBİTAK-UEKAE) (Kamu kurumu çalışanlarına kurumsal
başvuru ile e-imza sertifikası vermektedir. Bireysel başvuru kabul
etmemektedir.)
· EBG
Bilişim Teknolojileri ve Hizmetleri A.Ş.(E-Tugra)
· Elektronik
Bilgi Güvenliği A.Ş. (E-Güven)
· TürkTrust
Bilgi, İletişim ve Bilişim Güvenliği Hizmetleri A.Ş.
· E-İmza
Bilgi Güvenliği Hizmetleri A.Ş.(e-İmzaTR)
Artık bir ESHS’e başvurduk ve sertifikamızı aldık.
Tamam sertifikamızı aldık da hala bu imzanın güvenliği hakkında aklımızda soru
işaretleri var.
Bu E-imza
oluşturulması ve doğrulanması nasıl oluyor?
Gönderilecek mesaj SHA-1 hash fonksiyonuna verilir.
Çıktısı akıllı kart içerisinde bulunan özel anahtar ile RSA algoritmasına
verilir ve e-imza oluşturulur (Hayde, SHA-1 ve RSA nerden çıktı diyorsanız.
Yazının başında belirttiğim gibi dikkat kriptoloji terimleri ile karşılaşa
bilirsiniz.). Oluşturulan e-imza ile imza dosyası oluşturulur (Cümle biraz
karmaşık gelebilir. İlk e-imza oluşturuldu. E-imza cepte. Şimdi o e-imza
kullanılarak imza dosyası oluşturuluyor.). İmza dosyası içerisinde gönderilecek mesajı,
e-imzayı, elektronik sertifikalar ve e-imzaya dahil olan bilgiler bulunur.
E-imzaya dahil olan bilgiler imza zamanı (signing time), imza politikaları
(signature policies), imza amacı (commitment type) ve kullanılan sertifikayı
tanımlayan bilgiler (signing certificate)dir.
Bu işlemlerin hepsi E-imza oluşturma yazılımı
tarafından yapılır. Bu yazılım akıllı kart ve akıllı-kart okuyucu aracığı ile
özel anahtarı ve elektronik sertifikayı alır. Gönderilecek mesaj, özel anahtar
ve elektronik sertifikayı bu yazılım girdi olarak alır ve çıktı olarak imza
dosyasını oluşturur. İmzalı dosyayı alan tarafın imza doğrulama yazılımı
sertifika üzerindeki ESHS’in imzasını, sertifika geçerlilik süresi, sertifika
kullanım amacı ve sertifika iptal durum kontrolü yaparak imzanın geçerli
olup/olmadığına karar verir.
Elektronik imza, kamu kuruluşları ile yapılan
işlemlerde, bankacılık işlemlerinde, e-devlet, e- ticaret işlemlerinde, e-posta
işlemlerinde kullanılabilir. Gerçekten birçok alanda rahatlıkla
kullanılabiliyor.
Ve artık Türkiye’de (Elektronik imza,
Türkiye’de 23/07/2004 tarihinde yürürlüğe girmiştir. 23/01/2004 tarihinde Resmi
Gazetede yayınlanmıştır. 5070 sayılı Elektronik Kanun ile tanımlanmıştır.)
Yazının bu kısmına kadar elektronik imzayı genel
olarak anlamaya çalıştık. Artık yazının mobil tarafına geçebiliriz. Zaten artık
bir ürünün veya yeniliğin mobil tarafı yoksa kimse tarafından bilinmiyor.
Mobil
Elektronik İmza (m-imza) nedir?
Mobil elektronik imza, mobil bir cihaz
kullanılarak oluşturulan elektronik imzadır. Mobil imzanın elektronik imzadan
farkı gizli anahtar, akıllı kart yerine GSM SIM kartta saklanır. Akıllı kart
okuyucu görevini de cep telefon yapar.
m-İmza, akıllı kart ve kart okuyucu
kullanılarak oluşturulan e-imza ile aynı geçerliliğe sahiptir. 26918 sayılı ve
28/06/2008 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren ve Bilgi
Teknolojileri ve İletişim Kurumu tarafından yürütülen “Elektronik İmza İle
İlgili Süreçlere Ve Teknik Kriterlere İlişkin Tebliğ’de Değişiklik Yapılmasına
Dair Tebliğ” ile de m-imza ve e-imzanın eş değerliliği belirtilmiştir.
Mobil
imzaya sahip olmak elektronik imzadan çok daha kolaydır. Bir
mesaj gönder sende mobil imzaya sahip ol.
Mobil
imza, Türkiye’de GSM operatörlerinden temin edinilebilir. Türkiye’de faaliyet gösteren Turkcell, Türk Telekom ve Vodafone mobil imza hizmeti sunmaktadır. Mobil imza kullanımı için Turkcell
aracılığı ile E-Güven sertifikaları dağıtılmaktadır. Vodafone Turktrust şirketi
ile anlaşmıştır.
Bireysel
olarak GSM operatörleri vasıtasıyla m-imzaya sahip olunabilmektedir. Kurumsal
süreçlerde m-imza kullanımı için kamu kurumlarının TÜBİTAK üzerinden başvuru
yapması gerekmektedir. Kurumsal süreçlerde m-imza kullanmak ne kadar kolay olsa
da bu imzaya sahip olmak o kadar kolay değildir. Aşağıda bu sürecin adımları
anlatmaya çalıştım. Zaten bu adımları TÜBİTAK sayfasından aldım J
Bu
süreçte;
- Kurum m-imza temini için başvuru listelerini hazırlayarak TÜBİTAK’a gönderir.
- TÜBİTAK Kamu SM üzerinden kurumsal e-posta adresine gelen m-imza formu personel tarafından doldurulur.
- Personelin e-imzası var ise; elektronik imzalayarak ilgili formu TÜBİTAK’a gönderir.
- Personelin e-imzası yok ise; ilgili formun çıktısını ıslak imza ile imzalayarak Üniversite Yazı İşleri ve Arşiv Şube Müdürlüğüne elden teslim eder.
- İlgili formların TÜBİTAK’a Üniversite tarafından gönderilmesinden sonra operatörler personelleri kimlik doğrulamak için ararlar ve personeli Üniversite yerleşkelerine kurulan stantlara ya da en yakın operatör bayilerine yönlendirirler.
- Personel, Üniversite içerisinde açılan standa ya da en yakın bayiye başvurur.
- Personel faturalı/faturasız hatta sahip ise ve SIM kartı m-imza için uygun değilse, SIM kartı; 128K ile değiştirilir. (M-imzanın kullanımı için cep telefonu SIM kartlarının m-imza için özel üretilen 128K SIM kartlar ile değiştirilmesi gerekir). (AVEA, sadece faturalı hat sahiplerine m-imza servisi sağlamaktadır)
- Personel, faturalı/faturasız hatta sahip ancak hat sahibi başkası ise; hat sahibi ile birlikte bu stantta/bayiye başvurur ve SIM kartı m-imza için uygun değilse, 128K ile değiştirilir. SIM kartın değişmesi için ilgili personelin nüfus cüzdanını yanında bulundurması gereklidir.
- Bu işlemlerden sonra “Mobil İmza Sertifika Sahibi Taahhütnamesi” imzalanır.
- İlgili operatör Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) ile sertifikasyon sürecini tamamlar ve müşteri hizmetleri tarafından aranan personele başlatma kodu iletilir. Personel başlatma kodunu girerek 6 haneli m-imza şifresini belirler ve aktivasyon sağlanır.
Şu ana kadar elektronik ve mobil imza hakkında
genel bilgi vermeye çalıştım. Biraz da akademik olarak Mobil İmza Çözüm Önerilerinden bahsedelim ve bir makaleye referans
verelim.
Önceden de belirtildiği üzere, elektronik imza mobil ticarette inkar edilemeyen (non-repudiation) servisleri sağlamak için önemli bir yere sahiptir.
Uygulama sağlayıcı (AP) reddedilememe ile başa çıkmak için elektronik imza tabanlı uygulamalar yazmalıdır. Bu şu anlama gelmektedir: bir uygulama sağlayıcı, elektronik imzayı kullandırabilmek amacıyla, farklı her mobil cihaz için ayrı ayrı yazılım geliştirmek zorundadır. Fakat çok fazla mobil cihaz olduğundan dolayı, bu yaklaşım büyük yatırımlar gerektirmektedir. Bu sorunu çözmek için, iki farklı genel çözüm önerisi sunulmuştur: server tabanlı imzalama ve mobil imza servisi. İki yaklaşımda da uygulama sağlayıcı, müşterinin bazı bilgileri imzaladığı bir sunucu talep eder.
Önceden de belirtildiği üzere, elektronik imza mobil ticarette inkar edilemeyen (non-repudiation) servisleri sağlamak için önemli bir yere sahiptir.
Uygulama sağlayıcı (AP) reddedilememe ile başa çıkmak için elektronik imza tabanlı uygulamalar yazmalıdır. Bu şu anlama gelmektedir: bir uygulama sağlayıcı, elektronik imzayı kullandırabilmek amacıyla, farklı her mobil cihaz için ayrı ayrı yazılım geliştirmek zorundadır. Fakat çok fazla mobil cihaz olduğundan dolayı, bu yaklaşım büyük yatırımlar gerektirmektedir. Bu sorunu çözmek için, iki farklı genel çözüm önerisi sunulmuştur: server tabanlı imzalama ve mobil imza servisi. İki yaklaşımda da uygulama sağlayıcı, müşterinin bazı bilgileri imzaladığı bir sunucu talep eder.
Sunucu
tabanlı çözümler
Eskiden mobil aygıtların
donanımı yeterince güçlü değildi ve asimetrik kriptografi için elverişsizdi.
Buna çözüm olarak, bilgisayarların(server) daha güçlü olması dolayısıyla m-imza
üretmek için uzaktan hizmet verilmeye başlandı. Bu tasarımda mobil aygıt;
kullanıcı tarafından üretilen m-imza yı doğrulamak için kullanılıyor. Bu
durumda kullanıcı sunucu da bulunan özel anahtarına erişimi korumak için; MAC
veya OTS (One Time Signature) üretmekte, m-imza yı doğrulamak için ise gizli
kodu (secretcode)girer. Bu çeşit çözümlere sunucu tabanlı çözümler adı
verilmektedir.
Uygulama adımları:
1) Kullanıcı, servis ya da bir
uygulama sunucusuna imza sorgusunda bulunur.
2) Sunucu imza doğrulama
sorgusunu mobil aygıta gönderir.
3) Şifre girilerek veya PIN
(PersonalIdentifierNumber) ile ve mobil aygıtın MAC ya da OTS üretmesi ile
kullanıcı e-imza nın doğrulamasını gerçekleştirir.
4) MAC veya OTS nin alındığı
doğrulandığında, sunucu imzayı üretir ve servise veya uygulamaya gönderir.
Bu yöntemin başlıca eksikliği,
m-imzanın yeterli e-imza olarak nitelendirilememesidir. Bu durumun sebebi,
imzanın yalnızca kullanıcının kontrolünde olmadan, sunucuda üretiliyor
olmasıdır.
Mobil
imza servisi (MSS)
Mobil imza servisi, uygulama sağlayıcıların
mobil imza tabanlı çözümler geliştirmesini kolaylaştırmak için yapılmıştır. Bu
çözümde son kullanıcı, akıllı kart veren kuruluş(genelde mobil operatör)
tarafından elde edilmiş akıllı kart içeren bir mobil aygıta sahiptir. Bu akıllı
kart, kullanıcının kimliğini tanımlamak için elektronik imza sağlayabilen bir
imzalama uygulamasına sahiptir., Bu imzalama uygulaması akıllı kart
sağlayıcısının kullanıcıya sunduğu imzalama-PIN i ile korunmaktadır. Herhangi
bir zamanda, kullanıcı imzalama-PIN şifresini değiştirebilir. Hatta belirli bir
imzalama sayısını geçtiğinde, şifresini değiştirmeye zorlanabilir.
İmzalama uygulaması, üretilmiş
anahtarlarla ilişkili olan sertifikaları kaydetmesinin yanı sıra, yeni
anahtarlar da oluşturabilir. Sertifikalar; son kullanıcı kimliğini doğrulamakla
yükümlü olan kayıt otoriteleri(RA) vasıtasıyla, sertifikasyon otoritesinden(CA)
elde edilir. Bu uygulama e-imza almak için mobil imza servis sağlayıcısı (MSSP)
tarafından çalıştırılabilir. İmza üretilmeden önce, kullanıcı e-imzayı
onayladığını belirtmek için imzalama-PIN şifresini mobil aygıta girer. Bu
yüzden e-imza süreci her zaman son kullanıcının kontrolündedir.
Her son
kullanıcı MSS yi kullanabilmek için MSSP ye kayıt olmalıdır. Bu kayıt işlemi
ile, MSSP kullanıcının mobil aygıtında imzalama fonksiyonunu aktive eder. Buna
ek olarak MSSP; zaman damgası, işlem sorgusu için
kullanıcı web sayfası gibi servisleri de sağlayabilir. Genelde bu MSSP son
kullanıcının mobil operatörüdür.
Bu yaklaşımda, uygulama sağlayıcılar son kullanıcıya
yazılım sağlama zorunluluğunda değildirler. Uygulama sağlayıcılar bir işlemde
e-imza ya ihtiyaç duyduğu zaman, MSSP den talep ederler. MSSP; AP(uygulama sağlayıcı)
tarafından sağlanan bazı bilgilerin imzasını almak için, son kullanıcının imza
uygulamasıyla iletişime geçmekle sorumludur.
İşlemler ayrıntılı olarak
aşağıdaki gibi gerçekleşmektedir:
1) Son kullanıcı, AP(uygulama sağlayıcı)
tarafından sağlanan servislere erişim sağlar.
2) AP, işlemin onayı için,
mobil imza uygulamasının başlatılacağına dair kullanıcıya bilgi verir.
3) AP; bir kullanıcının işlemi
ile ilişkili verinin imzalanacağını göstermek için MSSP ye imza talebi
gönderir.
4) MSSP talebi alır ve
kullanıcıya gönderir.
5) İşlemle ilgili veriler
mobil aygıtta gözükür. Eğer kullanıcı işlemi onaylarsa, e-imza işlemi için
imzalama-PIN numarası kullanıcıya sorulur.
6) E-imza MSSP ye geri
gönderilir.
7) MSSP, eğer gerekiyorsa bazı
eklemeler yapar ve AP ye ye gönderir.
8) AP, kullanıcıya işlem onayı
gönderir.
Bu işlem adımları, eğer
kullanıcı ve AP aynı MSSP ile çalışıyorsa gerçekleştirilebilir. Ancak birçok
durumda Ap ve kullanıcı aynı sağlayıcıya sahip değildir veya kullanıcı kendi ev
ağında olmayabilir. Bu durumlarda gezici MSSP kullanılır. Bu yöntem,
kullanıcının imza uygulaması ile iletişim kurmak için, AP nin imza taleplerini
kullanıcının ev MSSP sine yönlendirmede kullanılır.
Mobil imzanın çözüm önerileri
kısmında bana yardımcı olan Murat ASLANTAŞ arkaşıma teşekkürü bir borç bilirim.
Teşekkürler Murat....
Şimdi bu Mustafa bu bilgileri
nasıl toparladı, kaynakları nelerdir diyorsanız aşağıdaki referansları
inceleyebilirsiniz.
Referanslar :
· Ruiz-Martínez
A., Sánchez-Martínez D., Martínez-Montesinos M. and Gómez-Skarmeta A.F., “A
Survey of Electronic Signature Solutions in Mobile Devices”, Journal of
Theoretical and Applied Electronic Commerce Research, 2,2007, 94-109
· https://eteydeb.tubitak.gov.tr/mobilimzabilgisayfasi.htm
Mustafa AŞÇI
Yorumlar
Yorum Gönder