Üniversiterde Akıllı Kart Destekli PKI Uygulaması ve e-kimlik

Tolga KILICLI

tkilicli@msis.metu.edu.tr

Üniversiteler sahip oldukları birimlerin çokluğu ve yayıldıkları alan bakımından karmaşık ve kontrolu zor olan bir yapıdadırlar. Bütün bu birimlerin gereksinimleri farklı olduğundan öğrencilere bir çok kimlik ve kart verilir. Bunlara örnek olarak, öğrenci kimligi, kütüphane kartı, yemek fişi ve otobüs kartı sayılabilir. Yazımda okul yönetimi tarafından verilen bütün kimlik ve kartların yerine tek bir akıllı kart (Smart Card) ve açık anahtar altyapısı (PKI) kullanarak bir çözüm yolu önermekteyim. Ve bu örnekten yola çıkarak, yazıda daha geniş alanda akıllı kart ve PKI uygulanamasi olan e-kimlik projesi de incelenmektedir.

PKI Nedir?

Tek anahtarlı simetrik şifreleme sistemlerinde, şifrelemek için kullanılan anahtar ile şifrelenmiş belgeyi okunabilir duruma getirmek için ayni anahtar kullanılmaktadır.  Birbiri ile şifreli haberleşmek isteyen taraflar simetrik şifreyi paylaşmak zorundadırlar. Açık anahtarlı şifreleme sisteminde ise açık anahtar ve özel anahtar bulunmaktadır.  Bu anahtarlar tek yönlü çalışmaktadırlar fakat birbirlerini tamamlarlar. Açık anahtar şifrelemek için, özel anahtar da açık anahtarın şifrelediğini deşifre etmek için kullanılır.Özel anahtar sadece ait olduğu kişide bulunmakta ancak açık anahtar çeşitli sekilerde insanlara iletilebilmektedir, yani açık olarak dağıtılır.

Açık anahtar altyapısının temel görevi, internet üzerinde haberleşen, çalışan kişiler veya kurumlar arasında güvenilen dijital birimler oluşturmaktır. Bu birimler daha sonra şifreleme mekanizmaları ile kullanıldığında kimlik doğrulama, yetkilendirme ve dijital imzanın kontrolü gibi güvenlik hizmeti verebilirler. Böylece bu hizmeti kullanan kullanıcıların kendilerinde karşı tarafa olan güven oluşturulmuş olur. Ancak bu güven için öncelikle kullanıcının bahsedilen “Güven Birimi”’ne güvenmesi gerekir.

Açık anahtar altyapısı kişilerin sahip oldukları açık ve özel anahtarları kullanarak oluşturulan bir bilgi altyapısıdır. Bu altyapıda anahtarların oluşturulması, yetkili bir kurum tarafından onaylanması, sertifikaların saklanması ve dağıtılması, gerektiği durumlarda onayın geri alınması, sonlandırılması gibi işlemler vardır. Bu işlemler, her ne kadar karmaşık gibi görünse de sistemin sağlıklı olarak çalışması için gereklidir.

Akıllı Kart Nedir?

Kredi kartı boyutlarında ve bir yüzünde, kenara yakın olarak altın kaplamanın altına gömülmüş elektronik devre bulunduran bir karttır. Bileşenlerine ve iletişim biçimlerine göre ikiye ayrılır.

Bileşenlerine göre mikro-islemcili ve bellek tipleri vardir. Bellek tipi kartlar ilk üretilen akıllı kart tipidir, ucuzdur ve piyasada kolaylıkla bulunur. Üzerinde sadece basit 8-bit mikro-işlemci ve EEPROM bulunmaktadir. Mikro-işlemci PIN kodunu ve EEPROM uzerindeki bilgiye erişimi kontrol eder. Bellek tipi kartlar manyetik ATM kartlarına benzetilebilir fakat daha gelişmişlerdir.

Mikro-islemcili kartlarda ise daha fazla bileşen bulunmaktadir. Bir mikro-işlemci yine kartta bulunan EEPROM’a erisimi kontrol eder ancak PIN korumasi disinda farkli koruma sistemleri de kullanabilir. Bunları yapabilmesini sağlayan bir isletim sistemi kart uzerinde bulunmaktadir. İşletim sistemi kartta bulunan ROM’da bulunur. Hem isletim sistemi hem de karta sonradan yüklenen uygulamalar kartta bulunan RAM uzerinde calışırlar. Bazi kartlarda ek olarak şifreleme hızlandırıcısıda bulunmaktadır. Bütün bu bileşenler ve işlevleri ile incelenecek olursa mikro-işlemcili kartlar küçük bir bilgisayar gibi düşünülebilir.

Okuyucu ile iletisimi acisindan bir akıllı kart, temaslı (contact) ve temassız (contactless)  olarak ikiye ayirilir. Contact kart okuyucunun içine takıldıktan sonra üzerinde bulunan temas noktaları ile doğrudan okuyucu ile bağlantı kurar. Contact kart ihtiyacı olan enerjiyi de bu yolla sağlar. Contactless kartlarda ise kartın içinde küçük bir sarım bulunur. Bu sarım hem bir anten hem de bir güç kaynağı olarak işlev görür.  Veri ve komutlar okuyucuda radyo sinyallerine gömülür. Kartta bulunan sarım radyo sinyalleri ile kartın ihtiyacı olan enerjiyi sağlar ve veri ve komutlar mikro-işlemciye iletilir. Her ne kadar bu kartların okunabilmesi için okuyucuya yakın olması gereksede ilgi çekici ve uygulama alanı geniş bir teknolojidir. Temaslı ve temassız kartın birleştirildiği “Combo” kartlarda hem temas yüzeyi hem de sarım bulunmakta ve iki kartın özelliklerini de taşımaktadırlar.

Akıllı kartların temel birçok özelliğinin tanımlandığı ISO7816 standardında bir dosya sistemi tasarlanmıştır. Bu dosya sistemi ile birden çok veri farklı dosyalarda saklanabilir. Bu da bir kartın birden fazla uygulamada kullanılmasına olanak sağlamıştır. 

PKI Uyesi Olarak Akıllı kartlar

PKI tabanlı uygulamalarda güvenliğin sağlanabilmesi için anahtarların güvenli bir ortamda oluşturulması ve korunması gerekir. Böyle bir ortam akıllı kartlar ile sağlanabilir çünkü bilgisayardan ayrı olarak çalışırlar ayrıca bilgisayarlar ile olan iletişimleri de şifrelidir. Akıllı kart üreten firmalar artık PKI icin özel kartlar üretmektedirler. Bu kartlarda özellikle etkili rastgele sayi uretici (Random Number Generator – RNG) modülleri vardir ve üretilen açık ve özel anahtar çiftinden sadece açık anahtar bilgisayara gönderilir. Daha fazla güvenlik istenirse özel anahtar kart uzerinde simetrik şifreli olarak da saklanabilir. Genellikle açık anahtar kart üzerinde sertifika olarak saklanır.

Özel anahtar gerektiren her işlemin kart üzerinde yapılmasına gerek yoktur. Örnek olarak bir belgenin dijital imzalanmasi sırasında, belgenin “hash”i bilgisayarda oluşturulup imzalanmasi için karta gönderilmelidir, aksi halde 1 megabyte lık bir dosyanin sadece karta aktarılması half-duplex 9600bps bir okuyucu arabiriminde 15 dakida alır.

Uygulamada aksaklık çıkaran başka bir işlem de yığın halindeki bilginin simetrik şifrelenmesidir. Örneğin internet sunucusunda yada tarayıcınızda SSL oturumu sırasında gerçekleştirilen simetrik şifrelemenin kart üzerinde yapılması durumunda baglantı hızı kart ile bilgisayar arası bağlantının yarısına kadar inecektir (4800 bps).

Bunların dışında birçok PKI tabanlı işlemde akıllı kartlar kullanılabilir. Büyük dosyaların hash değerleri bilgisayarda üretilip, kart üzerinde imzalanıp, imzalanmış hash değeri de bilgisayara geri gönderilir. Benzer bir yöntem ile SSL kullanan sunucuda kendi açık anahtarınız ile şifrelenmiş oturum simetrik anahtarı, kart üzerinde açılarak kullanılır. Bu şekilde hiçbir zaman bilgisayar üzerine özel anahtarınız hiç geçmemiş olur.

Akıllı kartların yapılarının taşınmaya uygun olduğu için, ürettiğiniz özel anahtarlarınızı ve dijital sertıfikalarınızı cüzdanınızın içinde gittiğiniz heryere yanınızda götürebilirsiniz.

Uygulama Alanı Olarak Üniversiteler

Üniversiteler dünyanın her yerinde yönetim ve bürokrasi açısından karmaşık olarak görülürler ve karmaşıktırlar. Örnek olarak ODTÜ verilebilir. ODTÜ’de öğrencilere girişte kimlik kartı ve sağlık merkezi için bir defter verilir. Daha sonra kütüphane için bir kart, yurtlara kayıt yaptırırken bir yurt kartı çıkartırsınız. Yemekhanede yemek icin öğünlük fiş alırsınız. Cüzdanınız ehliyetiniz, öğrenci kimliğiniz, otobüs kartlarınız, yemek fişleriniz, biraz para, bir banka hesap kartı ve kredi kartı, nüfus cüzdanı, telefon kartı ve daha bir çok şey ile dolacaktır.

Akıllı kartların ve açık anahtarlı altyapının özelliklerini birleştirirsek cüzdanınızda daha az kart veya belge taşımanız sağlanır.

ÖN ÖDEMELİ SİSTEMLER

Telefon kartı, yemek fişi, kantinlerde yapılan harcamalar aslında bir kontör uygulamasi olarak düşünülebilir. Tatil köylerinde kullanılan boncuk sistemini biraz değiştirecek ve güncelleştirecek olursak, akıllı kartların özellikleri sayesinde bütün bunlari tek bir kartta toplayabiliriz.

Öncelikle ögrenciler anlaşmalı bir banka yada öğrenci saymanlığına bir miktar para yatırmalıdır. Bundan sonrası ise kullanacağınız teknolojiye göre farklılaşmaktadır. Network altyapınız iyi ise, öğrencinin yatırdığı miktar ağ üzerinde tutulan bir veritabanında tutulur ve harcama yapılacak noktalara terminal kurularak ağ üzerinden harcama miktari hesabından düşülür. Yada ögrencinin yatirdigi miktar kart üzerine yazılır. İkinci durumda harcama miktari anında kart üzerindeki miktardan düşülür. Güvenlik açısından bakacak olursak terminal ile veritabanı sunucusu arasında şifreli bağlanti kurulmalidir. Akıllı kartlarının kendi özelliği olan içindeki dosya sistemi kullanilmasi durumunda ise kart ile terminal arasinda kartlarda bulunan seri numarasi ve terminallere verilebilecek seri numaraları ile karşılıklı birbirini tanima gerçekleştirilmiş olur ve kart içindeki dosyada tutulan miktar azaltılır. Ayrıca, kullanilacak olan combo kartlar ile de kartın bir yere takılması da ortadan kaldırılmış ve işleme hız kazandırılmış olur.

Ön ödemeli olmayan fakat kartlarda bulunan eşi olmayan seri numarasını kullanan bir sistem de kapi girişlerinde ki turnike sistemidir. Bu sistemde de seri numarası kullanilir, ancak her hangi bir baglantı kurulması gerekmez. Tek yapılan işlem kartın uzerindeki seri numarasinin kontrolüdür. Yapılacak olan eklentiler ile giriş cıkışların kaydının tutulması da sağlanabilir.

Bu tip bir sistemin örnegi, contactless akıllı kartlar kullanılan İzmir Belediyesi’nin Toplu Taşım Sistemidir. Ankara’da ise benzeri bir sistem manyetik kartlar ile uygulanmaktadır. Türk Telekom ve German Telekom tarafından kullanılan kontör kartları da aynı tekniği kullanmaktadır.

KİMLİK OLARAK AKILLI KARTLAR

ODTÜ’ye girişte, kütüphanede kitap alişverisinde kimlik kullanılır ve bütün işlemler kütüphanenin kendi veritabanında tutulur. Kütüphanenin otomasyon sistemine bir PKI arayüzü yazılarak, öğrencilerin akıllı kartlarında bulunan dijital sertifika kontrol edilir ve işlem kütüphanenin yerel veritabanında yapılır.

Aynı şekilde öğrenci bilgisayar labaratuvarlarında bulunan bilgisayarlara akıllı kart okuyucusu ekleyecek olursak (bir dış okuyucu yada klavye ile tümleşik okuyucu) ögrencilerin kampus içindeki sunuculara erişimini de kolaylastırmış oluruz. Böyle bir sistemde öğrenci kartını okuyucuya taktığında kartta bulunan sertifika SSL oturumunu başlatmak için kullanılır. Ögrencinin vermesi gereken tek bilgi ise kendi PIN numarasıdır. Bu yöntem ile hem SSL güvenligi sağlanmış olur hem de sunucuya baglanan kişinin kimliği tespit edilmiş ve doğrulanmış olur.

Burada kullanılan kimlik sistemi tamamen bir PKI uygulamasıdır. Öğrencinin yerel sertifika kurumu tarafindan onaylanan açık anahtarı, sertifikasi, bütün kimlik işlemlerinde (kütüphane ve sunuculara karsi taninma gibi …) kullanilabilir.

Sistemin Kuruluşu

Yerel olarak da olsa böyle bir sistemin kurulabilmesi için bir “Sertifika Birimi” (Certificate Authority) oluşturulması gereklidir. Bu sertifika birimi öğrencilerin açık anahtarlarını onaylamak (kendi özel imza anahtarı ile imzalaması), verdigi onaylari geri almak (revoke) ve onayladigi sertifikalarin ve geri alinan onaylarin listesinin dagitilmasini sağlamak (CRL ‘Certificate Revocation List’ Publishing) ile yükümlüdür.

Kurulma aşamasında serifika biriminin güvenlik politikası belirlenmelidir çünkü bu birim kampüs içindeki önemli noktalar ile olan bağlantılarda, iletişimde, kimlik doğrulama açısından güvenliğini sağlamak ile görevlidir. Ayrıca güvenlik politikasının önceden belirlenmesi daha sonradan insanlar arasında olan çekişmelerden etkilenmemesini sağlar, çünkü güvenilir tek bir yetki biriminin olması açık anahtarlı altyapının yönetilmesi ve çalışması için gereklidir. Yerel olduğu için de bu birimin bir yönetim organına (Bilgi güvenliği grubu, Sistem grubu, Network grubu, bilgi işlem yada rektörlük gibi) bağlı olup olmaması gerektiği, bağlı ise hangi gruba bağlı olduğunun kararlaştırılması gerekir.

Birimin kendi güvenliğinin sağlanabilmesi için fiziksel güvenliğin sağlanması, işletim sisteminin, kullanılan yazılım ve donanımın dikkatli seçilmesi gerekir. Sertifika kurumunun CA sunucusu sadece kullanıcıların açık anahtarları imzalanacağı zaman kullanılacağı için çoğu zaman kapalı kalabilir. İmza için gerekli olan özel anahtar da bir smart card üzerinde saklanır. Ayrıca bu kartı kullanma yetkisi karışıklığı engellemek için tek bir kişiye verilmeli yada iyi bir kayıt sistemi kurulmalıdır.

Kullanılacak olan yazılımlar, Internet X.509 standardında sertifika saklayabilen ve bu standartta iletişim kurabilecek olan yazılımlar olmalıdır. Açık kayaklı OpenCA Linux üzerinde çalışan ve OpenSSL tabanlı bir yazılımdır. Fakat LDAP desteğinde sorunlar vardır ve smart card desteği bulunmamaktadır. OpenCA dışında da açık kaynak kodlu CA yazılımları vardır fakat, çoğunun bir takım eksiklikleri bulunmaktadır. Bunun yanında, Windows 2000 Sunucuları ile gelen ve kurumsal PKI için yeterli olabilecek bir CA yazılımı da kullanılabilir fakat gerektirdiği donanım maliyeti yüksektir ve her akıllı kart ve okuyucusu ile uyumluluğu yoktur.

Hangi yazılım kullanılırsa kullanılsın, bu yazılımın düzenli olarak kontrol edilmesi, test edilmesi ve verilerin yedeklemesinin yapılması gerekir. İşletim sistemi açısından Linux, hem geliştirilebilmesi hem de açıklarının hızla kapatılabilmesi bakımından tercih edilebilir. OpenLDAP projesinin ürünü olan LDAP’da sertifikaların ve sonlandırma listelerinin dağıtıldığı sunucu olarak kullanılabilir.

Kullanılacak olan kartlar konusunda pek fazla bir seçim şansı yoktur ancak her kartın kendine özgü iyi yanları ve kötü yanları olduğu için bu seçimin dikkatli ve her ürünü deneyerek yapılması gerekir. Kartın Avrupa’da ITSEC/6 standardına ulaşmış kart işletim sistemi kullanan MULTOS olması artı bir özelliktir. Ve kartta farklı epoxy katmanları kullanılmamış olmaması da dışarıdan donanıma gelecek olan saldırıları kolaylaştırdığı için eksi bir özelliktir.

Daha Sonrası …

Üniversite içinde kullanılabilecek bu sistem ufak değişikliklerle, cok daha geniş kapsamlı ve cok daha büyük kitlelere hitap edebilecek hale getirilebilir.

Benzer bir uygulama, Almanya’da sosyal sigorta uygulamasıdır. Doğumda Alman vatandaşlarına bir adet akıllı kart verimekte ve bu kart sigorta işlemlerinde kimlik olarak kullanılmaktadır.

Türkiye’de MERNİS Projesi ile birlikte, kullanıcılara akıllı kart verilebilir ve bu kartlar üzerinde nüfus cüzdanı bilgileri ile birlikte ehliyet, SSK veya BAĞKUR bilgileri gibi gerekli bilgilerin hepsi tutulabilir. Kartlar üzerindeki işletim sistemleri ve dosya sistemleri bu bilgileri saklamaya yeterlidir.

Bu sistemin kuruluşu sırasında bağlanacak olan kurumların altyapılarını değiştirmek zorunda kalacaklardır. Fakat bu altyapı değişikliği düşünüldüğü gibi ölü bir yatırım değildir. Yatırımda en çok tutan harcama, kartlar, okuyucuları ve gerekli donanım olacaktır. Kartların, okuyucu ve yazıcıların Türkiye’de imali mümkündür. Bu konuda destek olunmalıdır. Diğer bir harcama da network altyapısı ve sisteme bağlanacak kurumlarda ki çalışanların eğitimleridir. Ağ altyapısı Türk Telekom tarafından yapılabilir. Eğitim ise kurumların kendi hizmet içi eğitimlerinde verilebilir.

Önemli olan başka bir konu da, PKI’da kullanılan güven birimidir. Herkesin kabul ettiği ve güvendiği bir kurumun oluşturulması gerçekten zordur. Dünyada gözlenen en büyük sebebi de politik çekişmeler ve kişisel çekememezliklerdir.

Yapılması gereken diğer ön çalışmalar da, halkın biliçlendirilmesi ve gerekli olan yasal düzenlemelerin yapılmasıdır. Bu sistemin kullanıcıları oldukları için sistemin nasıl işlediğini ve nasıl kullanıldığını bilmelidirler. Yasal düzenlemeler ile de kurulacak olan kurumun çalışma politikası ve güvenlik politikası belirlenmelidir.

Sonuç

Yazıda örnek verilen uygulamalar ve daha fazlası açık anahtar altyapısı ve akıllı kartlar kullanılarak gerçekleştirilebilir. Akıllı kartlar bu tip uygulamalarda anahtarlar için üretim ve saklama alanı olarak kullanılır. Bütün bu uygulamaların temelinde PKI olduğu için gelişmeye açık bir sistemdir. Ancak hızlı geliştiği ve tek bir konuya saplanıp kalınmaması gerektiği de bu noktada belirtilmelidir. Tabii ki sistem kurulurken bir AR-GE grubu da kurulmalı ve konu üzerindeki son çalışmaları takip etmeli ve kendisi de bu çalışmalarda yer almalıdır.

Dikkat çekmek istediğim bir nokta da PKI kullanarak kurulacak olan e-devlet yapısının yurt dışında denendiği ve adım adım geçildiğidir. Amerika Birleşik Devletleri dijital imzayı senatoda kabul etmiştir. Böylece kağıt üzerine attığınız imza ile internet üzerinde yolladığınız belgeleri özel anahtarınızla imzalamanız hukuksal açıdan aynı olarak ele alınmaktadır.

Yurt dışında hızla adımlar alan, e-devlet ve e-kimlik projelerinin bir sebebide hantal bürokratik işlemlerden kaçmak ve tasarruf sağlamaktır. Teknolojisine sahip olduğumuz e-kimlik, temelinde basit bir PKI uygulamasıdır ve adım adım kolaylıkla e-devlet’e geçişte kullanılabilir. Her adımda bir kurum bu projeye bağlanır ve en sonunda, her kurum bağlandığında, e-devlet projesi gerçekleştirilimiş olur.