Download
1 / 39
400 likes | 782 Vues
Sanal Ortamda Kimlik Tanıma Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI). KOBIL Systems GmbH (www.kobil.com). Güvenliğin Temel Ögeleri. INTERNET. MÜŞTERİ. “Bir zincir en zayıf halkası kadar sağlamdır”. BANKA. Kimlik Doğrulama (Authentication) Müşterinin Bankayı Tanıması
E N D
Sanal Ortamda Kimlik TanımaBir Defalık Şifreler (OTP)Açık Anahtar Altyapıları (PKI) KOBIL Systems GmbH (www.kobil.com)
Güvenliğin Temel Ögeleri INTERNET MÜŞTERİ “Bir zincir en zayıf halkası kadar sağlamdır” BANKA • Kimlik Doğrulama (Authentication) • Müşterinin Bankayı Tanıması • Bankanın Müşteriyi Tanıması • Gidip Gelen Bilgilerin Doğruluğu (Integrity) • Gidip Gelen Bilgilerin Gizliliği (Confidentiality) MÜŞTERİ
Güvenlikteki Dengeler • Ulaşılacak miktar arttıkça, kötü niyetli kişiler sistemi kırmak için • daha fazla para, zaman ve emek harcayacaktır • Güvenliği artırmak için sistem maliyetleri artacaktır Güvenliği arttırmak için harcanan para Güvenlik (Security) Kullanılabilirlik (Usability) Sistemi kırmak için harcanan para • Hedef güvenliği arttırarak sistemi kırma maaliyetlerini arttırmak, • kullanılabilirliği ve sistem maliyetlerini makul seviyede tutmak • olmalıdır
MÜŞTERİ ATM INTERNET MÜŞTERİ Farklı Dağıtım Kanallarında Farklı Kimlik Tanıma Yöntemi KİMLİK + İMZA ŞUBE MÜŞTERİ KART + PİN BANKA KOD + ŞİFRE
TEHDİT 1: İçeride Banka Çalışanları INTERNET MÜŞTERİ BANKA BANKA ÇALIŞANI MÜŞTERİ
1. ADIM : Banka İçinde Güvenliğin Sağlanması INTERNET MÜŞTERİ • Banka içi Network Güvenliği • Müşteri Veri Tabanının Güvenliği • Yetkili Kişilerin Belirlenmesi • Yetki Sınırlarının Belirlenmesi • Odalara ve Sistemlere Giriş Kontrolü • Antivirüs Programları • ....... BANKA BANKA ÇALIŞANI MÜŞTERİ
TEHDİT 2 : Dışarıdan Sistemlere Ulaşabilenler INTERNET MÜŞTERİ BANKA MÜŞTERİ
2. ADIM : Dışarıdan Sisteme Giriş Kontrölü INTERNET MÜŞTERİ BANKA • Firewall • Intrusion Detection • ....... MÜŞTERİ
TEHDİT 3 : Network Paketlerine Ulaşabilenler INTERNET MÜŞTERİ BANKA MÜŞTERİ
3. ADIM : 128 bit SSL Kullanılması SSL INTERNET MÜŞTERİ BANKA SSL SSL MÜŞTERİ
TEHDİT 4 : Müşteri Bilgisayarına Ulaşabilenler SSL INTERNET MÜŞTERİ BANKA SSL MÜŞTERİ
TEHDİT 4b : Müşteri Şifresini Ele Geçirenler SSL INTERNET MÜŞTERİ SSL BANKA SSL MÜŞTERİ
SSL in Öbür Ucundaki Kişi Gerçekte Kimdir ? SSL ? INTERNET MÜŞTERİ BANKA ? SSL MÜŞTERİ ???
Kimlik Tanımadaki Faktörler • Bildiğin Birşey (Örnek : Şifre, Anne kızlık soyadı, doğum yeri...) • Sahip Olduğun Birşey (Kopyalanamamalı, Örnek : Akıllı Kart) • Sadece Kişiye ait bir Özellik (Eşsiz olmalı, Örnek : Biometrik özellikler)
ETRAFINIZDAKİ KİŞİLER MÜŞTERİ BİLGİSAYARINA İNDİRİLEN SOLUCANLAR, TRUVA ATLARI BANKA ÇALIŞANI Sadece Bildiğin Birşeye Güvenmek(One Factor Authentication) Statik Şifre Doğum tarihi ...... SSL INTERNET ? Firewall MÜŞTERİ BANKA
ETRAFINIZDAKİ KİŞİLER MÜŞTERİ BİLGİSAYARINA İNDİRİLEN SOLUCANLAR, TRUVA ATLARI BANKA ÇALIŞANI Bildiğin Birşeye + Sahip Olduğun Birşeye Güvenmek(Two Factor Authentication) SSL PIN INTERNET ? Firewall MÜŞTERİ BANKA
İki Faktör Kimlik Tanıma YöntemleriBir Defalık Şifreler (OTP)Açık Anahtar Altyapıları (PKI) KOBIL Systems GmbH
OTP PIN OTP OTP Senkronize Çalışır OTP sunucu OTP token Birdefalık Şifreler(One Time Password -OTP) SSL PIN INTERNET ? Firewall BANKA
OTP + PIN OTP OTP + PIN Senkronize Çalışır OTP token Birdefalık Şifreler(One Time Password -OTP) SSL PIN INTERNET ? Firewall BANKA OTP sunucu
EKRAN 2 Kullanıcı Kodu Şifre EKRAN 3 Statik Şifre OTP Mevcut Sistemde OTP Kullanım Şekli EKRAN 1
Kullanıcı Kodu + Şifre 2. ekran + OTP Banka Sunucusunda OTP Kimlik Doğrulama Statik Şifre OTP sunucu WEB sunucu Static Şifre sunucu Kullanıcı Veri Tabanı
OTP’nin Avantajları • İki faktör kimlik dogrulama sağlar • Banka tarafında ; • OTP sunucu kurulumu kolay • OTP dağıtımı kolay • Maliyeti diğer sistemlere göre düşük • Farklı kanallarda kullanılabilinir (Fonobank gibi...) • Müşteri tarafında ; • OTP Kullanımı kolay • OTP-Token taşınabilir olduğundan “Mobilite” sağlar • Yazılım yüklenmesi gerekmez • İşletim sisteminden bağımsız
Yardım Masası Şubeler Telefon ile Aktivasyon Yeni Müşteri Listesi Email ile Aktivasyon CSP / PKCS11 Kayıt Kabulü Sayfa 1 Sayfa 2 Dağıtım TRUST CENTER Sertifika Otoritesi FILTER Veri Tabanı Sertifika Seri No, Kart No, PIN, PUK Kart Basım Modülü KullanıcıID... Yönetim Programı UserID, DN Açık Anahtar Altyapıları ve Dijital İmza Müşteri Web Browser SSL Kimlik Tanıma Web sunucu
Açık anahtar Altyapısında (PKI) Temel Adımlar • KULLANICILARIN SİSTEME KATILIMI • Kullanıcı Kayıt ( Registration Authority - RA ) • Yetkili Merkezde Kart Basılması / Sertifia Dağıtımı ( CA ) • Basılan Kartların Kullanıcıya iletilmesi ve Aktif Edilmesi • UYGULAMALAR • CSP veya PKCS11 modülleri yardımıyla Akıllı Kart kullanımı • Diğer kullanıcılara ve sunuculara ait sertifikaların bulunması • İptal edilmiş sertifikaların (CRL) kontrolü • PERİYODİK İŞLEMLER • Sertifia Yenileme (1-2 yıl) • Kart ( anahtar ve sertifika ) yenileme (2-4 yıl) • DİĞER • Kart / PIN çalınması veya kullanıcı ayrılışında Sertifika İptali
Her bir katman bir alt katmana bağlıdır Bu katmanda varolan kullanıcı veri tabanına entegrasyon önemlidir Uygulama ağındaki kullanıcıların Veri Tabanı ve Yönetim Programı PKI Uygulamalarındaki KATMANLAR Kart + Okuyucu Sertifika Yenileme Sistemi Sertifika Aktivasyon ve İptal İşlemleri Sertifika Dağıtım ve Kart Basım Yazılım ve Donanımları Sertikika Otoritesi Kimlik Tanıma, Gizlilik, Bilgi Bütünlüğü, ve İnkar Edememe gerektiren uygulamalar ( InternetExplorer, Outlook, Netscape .... )
Bir PKI Uygulamasındaki GENEL KOMPONENTLER • Kullanıcı Veri Tabanı ve Kayıt Yönetim Sistemi (LDAP, AD, ACCESS, SQL Server... , Veri tabanı yönetim programı) • Sertifika Otorite Yazılımı (Microsoft CA) • Otomatik Sertifika Dağıtım ve Kart Basım Sistemi (Kart Yazıcısı, PIN/PUK Yazıcısı, Sertifika Dağıtım Programı) • Kullanıcı PC sindeki Yazılım ve Donanımlar (TCOS, CSP, P11, KOBIL kart okuyucu) • Aktivasyon ve Sertifika İşlemleri için Yönetim Sistemi (Veri tabanı yönetim programı) • Sertifika Yenileme Sistemi (Kullanıcı Veri Tabanında Yapılacak Kontroller) • Uygulamalar (Kullanıcı + Sunucu) (MS VPN, IE, Outlook, .NET, ...)
PKI ve OTP Karşılaştırması • Her iki çözümde 2 faktör kimlik dogrulama sağlar • PKI’ın OTP ye göre dezavantajları ; • PKI kurulumu ve kart + okuyucu dağıtımı zordur • Müşteri bilgisayarına yazılım yüklenmektedir • Mobilite kolaylığı azalır • Her işletim sistemi desteklenmeyebilir • Kurulum ve İşletim Maliyetleri OTP ye göre yüksektir • PKI’ın OTP’ye göre avantajları ; • Kimlik doğrulama dışında şifreleme sağlar • Email ve Dosya şifreleme /imzalamada kullanılabilinir • B2B işlemlerde kullanılabilinir • “Dijital İmza Kanunu” ve hukuksal güvence • Transaction’ların imzalanması
Email Server Güvenli E-mail Alış Verişi #$%&{**!!*+?? #$%&{**!!*+?? BANKA ÇALIŞANI PKI ile Şifreli ve İmzalı Email Alışverişi INTERNET PIN Firewall BANKA MÜŞTERİ
File Server Güvenli Dosya Alış Verişi #$%&{**!!*+?? #$%&{**!!*+?? BANKA ÇALIŞANI PKI ile Şifreli ve İmzalı Dosya (Raporlar/Emirler) Alışverişi INTERNET PIN Firewall BANKA MÜŞTERİ
PKI ve B2B INTERNET KURUMSAL MÜŞTERİ Kimlik Doğrulama, ve Para Transferi BANKA Alım ve Ödeme Emirleri KURUMSAL MÜŞTERİ B2B PAZARYERİ
SSL Bankacılık İşlemleri PKI Güvenliğinde, Bankacılık İşlemlerinin Muhasebe Programlarına Entegrasyonu Firewall INTERNET BANKA KURUMSAL MÜŞTERİ Muhasebe İşlemleri
PKI Güvenliğinde, Bankacılık İşlemlerinin Muhasebe Programlarına Entegrasyonu Muhasebe ve Bankacılık İşlemleri Firewall INTERNET KURUMSAL MÜŞTERİ BANKA
PKI’ın Getirdiği Avantajlar • Bugün Fax ile, kurye ile yada floppy-disk üzerinde şubeye gönderilen raporlar, sıralı işlemler, v.s. gibi pekçok bankacılık hizmeti, İnternet üzerinde online olarak anında gerçekleşebilir • Yazılı olarak (hard copy) veya dijital olarak (soft copy) gelen pek çok işlem, kontröller için ve işlemlerin gerçekleştirilmesi için ekstra personel çalışmaktadır • Dolayısıyla PKI kullanımına geçmek başlangıç maaliyetleri arttırsada, orta ve uzun vadede maaliyetleri düşürecektir
PKI Uygulamasındaki Riskler • PKI ın güvenliği anahtar-yönetimine (anahtar üretim, dağıtım, yenileme, iptal işlemleri) ve müşteri anahtarlarını saklama, kullanma yöntemlerine bağlıdır • PKI kurulumunda veya sistemin işletilmesinde yapılacak hatalar büyük güvenlik riskleri oluşturabilir • Sisteme dahil olan tüm kullanıcılar yeterli güvenlik bilgisine sahip olmalıdır. Aksi halde kullanıcılar zararlı programlarla yanıltılabilirler (Örneğin. Kullanıcı PC sindeki CA sertifikalarının değiştirilmesi veya program arayüzlerini taklit ederek kart ve PIN girişi istenmesi)
Kullanıcılara ait Gizli Anahtarların Güvenliği • Anahtar üretimi ve yönetimi merkezde kurulacak bir TRUST CENTER da yapılmalıdır • Anahtarlar fiziksel güvenlik sağlayan akıllı kartlara yazılmalıdır • Akıllı kartlar PIN ile korunmalıdır • PIN üretimi ve dağıtımı en az anahtarlar kadar güvenli olmalıdır
İdeal Anahtar Üretimi ve Kullanımı • Anahtarlar Trust-Center da Offline olarak ve Güvenli bir ortamda basılır • Anahtarlar asla kartı terk etmez • Client tarafında asla anahtar üretilmez • Sertifika yenileme işleminde farklı anahtar kullanabilmek için, Trust-Center da kart basım esnasında karta birden fazla anahtar çifti yüklenir ve ilk anahtar çifti ile ilişkili tek bir sertifika yazılır • Her sertifika yenileme işleminde bir başka anahtar çifti kullanılır. Eski sertifika silinir.
İdeal TRUST CENTER Yazılım veya Donanım Olabilir PIN/PUK Üretim RSA Anahtar Üretim PIN/PUK Anahtar Sertifika Kullanıcı VeriTabanı KART BASIM Programı PIN/PUK Sertifika Otoritesi HSM BU MERKEZ OFF-LİNE ÇALIŞMALI VE GÜVENLİĞİ SAĞLANMALIDIR
Akıllı Kart ve Okuyucu Seçimi • Müşteri anahtarları akıllı kartı asla terk etmemeli ve crypto coprocessor e sahip kartlar kullanılmalıdır. Bu sayede RSA işlemleri on-board gerçekleştirilmelidir • Anahtarları kart üzerinde koruyan PIN de en az anahtarlar kadar önemlidir. PIN leri korumak içinde üzerinde keypad i olan ve secure-PIN-entry imkanı sunan kart okuyucuları kullanılmalıdır
Akıllı Kart Terminalleri Sınıf -2 Sınıf -1 Sınıf -3
