Elektronik sertifika hizmetlerinin bilgi güvenliği ve kimlik doğrulamada kullanılması aslında yeni bir olgu değil. 1990’lı yılların sonlarından itibaren dünya genelinde ülkelerin yasal düzenlemelerine giren elektronik imza ve elektronik sertifika uygulamaları, artık günümüz bilişim sistemlerinin vazgeçilmez unsurları haline gelmiş durumda. Uzunca bir süredir yüksek oranlarda kullanılan diğer bir elektronik sertifika hizmeti olan SSL teknolojisinin aksine, sahadaki uygulamaların da tam desteğini gerektiren e-imza uygulamalarının ve ilgili e-imza sertifikalarının kullanımının çok daha yavaş yaygınlaştığını görüyoruz. Avrupa Birliği müktesebatını takip eden ülkemizin bu alanda bugün geldiği seviyeninse, pek çok Avrupa ülkesinin bile önünde olduğunu vurgulamakta yarar var.
Son yıllarda internet üzerinde artan kimlik doğrulama ve hesap verebilirlik (“accountability”) gereklilikleriyle birlikte, bilgi güvenliği alanında gerek e-imza sertifikalarının gerekse güvenlik sertifikalarının kullanımında artış gözlemlenmekte. Biz de bu yazımızda konuyla ilgili pekiştirici bilgiler verecek, TÜRKTRUST’ın sunmakta olduğu elektronik sertifika temelli bilgi güvenliği çözümlerine kısaca değineceğiz.
TÜRKTRUST Elektronik Sertifika Ürünleri
- Nitelikli Elektronik Sertifikalar (NES);Güvenli elektronik imza kullanımı amaçlı (5070 sayılı Elektronik İmza Kanunu kapsamında ve hukuken geçerli e-imza).
- SSL/TLS Sertifikaları: Web üzerinde güvenli iletişim amaçlı; sunucu kimlik doğrulama ve şifreli veri paylaşımı. Yaygın internet tarayıcısı (“browser”) uyumlu (Microsoft (IE), Mozilla (Firefox), Google (Chrome), Opera, Safari ve mobil cihazlar).
- Nesne İmzalama (Code Signing) Sertifikaları: Yazılım güvenilirliğini sağlama amaçlı; çalıştırılabilir yazılım parçalarının imzalanması.
- Güvenlik Sertifikaları: Kimlik doğrulama (“authentication”) ve şifreleme amaçlı.
Yukarıda belirtilen tüm elektronik sertifikalar, Açık Anahtarlı Altyapı (“Public Key Infrastructure – PKI”) teknolojilerine dayanan X.509 sertifikalardır
Sertifika üretimi ve yönetimi özel bir uzmanlık alanı olduğundan, bu hizmeti verebilecek olan Elektronik Sertifika Hizmet Sağlayıcıları (ESHS), yaygın tabiriyle “Certification Authorities (CA)”, özel olarak yetkilendirilirler. E-imza amaçlı NES’ler, ilgili mevzuatta tanımlanan ve uluslararası standartlara göre belgeli güvenlik özelliklerine sahip özel donanımlar olan akıllı kartlar ve bunların bilgisayarlarla bağlantısını sağlayacak olan kart okuyucular veya akıllı çubuklar (“token”) ile kullanıma sunulur.
Yine Elektronik İmza Kanunu’nda tanımlanan zaman damgası teknolojisi ise elektronik imzanın ayrılmaz bir parçası, uzun dönemli e-imza doğrulamanın temel unsurudur. Zaman damgası sayesinde sayısal verilerin ve e-imzalı bilgilerin elektronik ortamda güvenli bir şekilde arşivlenmesi mümkün olmaktadır.
SSL ve nesne imzalama sertifikaları için Türkiye’de bir yasal düzenleme bulunmamaktadır. Bu hizmetler, dünya genelinde belirlenmiş uluslararası standartlar uyarınca yürütülmektedir. Sözgelimi, SSL sertifika hizmetlerini Avrupa temelli ETSI TS 102 042 ESHS Yönetim Sistemi standardı ya da Kuzey Amerika temelli WebTrust kriterleri uyarınca belgelendirmeyen ESHS’lerin SSL sertifikalarına ait kök sertifikaları internet tarayıcıları tarafından tanınmamaktadır. Uluslararası rekabet gerektiren bu hizmetlerin denetimleri de yine uluslararası denetim kuruluşları tarafından yapılmaktadır.
Güvenlik sertifikalarıysa, yine herhangi bir yasal düzenlemeye bağlı olmadan, ilgili PKI standartları uyarınca ESHS’ler tarafından sunulabilir. Burada asıl amaç, bilişim sistemlerine erişimi daha güvenli hale getirmek ve “çift faktörlü” kimlik doğrulama yöntemleriyle, alışılagelmiş “kullanıcı adı” ve “şifre” temelli zayıf kimlik doğrulama metotlarına güçlü alternatifler yaratmaktır. Yine NES’lerde olduğu gibi akıllı kartlar üzerinde kullanılmaları durumunda, güvenlik sertifikalarıyla hem sahip olunan bir unsur (akıllı kart) hem de bilinen bir unsur (akıllı kartın erişim şifresi – PIN) ile uygulamalara erişimi çift faktörlü olarak sağlamak mümkündür. Bu senaryoların bir adım ötesinde ise, doğrulama adımına kişisel bir biyometrik verinin de eklendiği 3-faktörlü kimlik doğrulama yöntemleri mevcuttur. Bu noktada maliyet, yönetim kolaylığı ve aranılan güvenlik düzeyi gibi unsurlar dikkate alınarak çözüm tercihi yapılabilir.
Elektronik Sertifika Kullanımı Sağlayan TÜRKTRUST Yazılım Çözümleri
Günümüz bilişim sistemlerinde, elektronik sertifikaların kullanımını sağlayan ve PKI teknolojilerine dayanan pek çok yazılım çözümü yaygın olarak kullanılmaktadır. TÜRKTRUST’ın da elektronik sertifika hizmetlerini yöneten, elektronik imza entegrasyonu sağlayan, kimlik doğrulama işlevi sunan, zaman damgası kullanımına imkân tanıyan, akıllı kart ve mobil sistemlerin yönetimini sağlayan pek çok çözümü bulunmaktadır. Bunlardan birkaçını burada öne çıkaracağız:
• ARNICA – Elektronik İmza Yazılım Kütüphanesi (Java API, COM DLL, .NET)
Elektronik İmza Kanunu uyarınca elektronik imzalı veri oluşturma ve bu veriler üzerindeki imzaların doğrulama işlemlerinin yürütülebilmesi için, ilgili yazılım bileşenlerinin mevcut uygulama yazılımlarına entegre edilerek, e-imza kullanım özelliğinin sağlanmasına imkân veren TÜRKTRUST yazılım çözümüdür.
• CASTAN – Akıllı Kart ve E-imza ile Web Üzerinde Kimlik Doğrulama Yazılımı
Web uygulamalarında, akıllı kartlar üzerinde bulunan sertifikalar ile kimlik doğrulama ve erişim yetkilendirmesi yapılmasını sağlayan TÜRKTRUST yazılım çözümü CASTAN, Elektronik İmza Kanunu uyarınca verilen NES’ler ve X.509 v3 standartlarına uygun diğer tüm sertifikalar ile çalışabilmektedir.
• PLATAN – Elektronik Sertifika Hizmetleri Yönetim Yazılımı
Elektronik sertifikaların üretim ve yönetimi başta olmak üzere tüm yaşam döngüsü süreçlerinin yürütülmesini sağlayan TÜRKTRUST yazılım çözümü PLATAN, hiyerarşik kök ve alt kök sertifika yapıları oluşturabilme, sertifika profilleri tanımlayabilme ve donanım güvenlik modülleriyle (“hardware security module– HSM”) entegre çalışabilme özelliğine sahiptir.
Yukarıda bahsedilen sertifika ürünleri ve yazılım uygulamaları bir arada kullanılarak, ihtiyaca göre TÜRKTRUST tarafından çeşitli bütünleşik çözümler sunulmaktadır. Örnek bir bütünleşik çözüm senaryosu aşağıdaki şemada gösterilmiştir;
Bu senaryoda, PLATAN sistemi üzerinde üretilen e-imza amaçlı NES veya güvenlik sertifikaları, ARNICA ile e-imza entegrasyonu veya PKI kullanım altyapısı sağlanmış bir kurumsal yazılım üzerinden (doküman yönetim sistemi, kurumsal kaynak planlama yazılımı, web portali vb.) e-imzalı bilgi/belge gönderimi veya kimlik doğrulama amaçlarıyla kullanılabilmektedir. Kimlik doğrulama adımında CASTAN yazılımı kullanılmakta, internet üzerinden erişilen sunucuların doğru sunucu olduğunun belirlenmesi ve şifreli veri iletişimi ise SSL sertifikasıyla sağlanmaktadır. İstenildiğinde zaman damgası kullanımına da imkân veren bu bütünleşik çözüm, hem sertifika ürünleri hem de yazılım uygulamalarının bir araya getirilmesiyle TÜRKTRUST tarafından sunulabilmektedir.