E-TİCARET GÜVENLİĞİ
Hakan TOPUZOĞLU
GÜVENLİK • Gizlilik (Confidentiality) • Bütünlük (Integrity) • Yetki Kimlik Kanıtlama (Authentication) • İnkar edememe (NonRepudation)
Simetrik (Geleneksel) Şifreleme
Orijinal metin
Orijinal Metin
ŞİFRELEME A
DEŞİFRELEME A
ŞİFRELİ METİN
ŞİFRELİ METİN
DEŞİFRELEME B ŞİFRELEME B
Orijinal Metin
Orijinal Metin
Asimetrik (Genel Anahtar) Şifreleme B’nin Genel (Public)
B’nin Özel (Private)
Anahtarı
Orijinal metin
ŞİFRELEME A
Anahtarı
ŞİFRELİ METİN
DEŞİFRELEME B
Orijinal Metin
Oturum Anahtarı (One-time key) ile Şifreleme B’nin Genel (Public) Anahtarı
Oturum Anahtarı
ŞİFRELEME A
ŞİFRELİ Oturum Anahtarı
jdhjfdhhj Orijinal metin
ŞİFRELEME A
ŞİFRELİ METİN
Şifreli Metin
Oturum Anahtarı ile Çözme B’ninÖzel Anahtarı Oturum Anahtarı
Jdhjfdhhj,xfdh
Jdhjfdhhj,xfdh
Şifreli Metin
Orijinal Metin Şifreli Metin
Sayısal İmzalama İmzalayanın Özel Anahtarı
Hash Fonksiyonu Mesaj Özütü
Mesaj
Sayısal İmza
akmsnjcxn cvddfjXkdf jkdjdkfjkda LSKA
Sayısal İmza Kontrolü İmzalanmış Mesaj Özüt Özütler
Hash Fonksiyonıu
eşitse imza doğrudur
akmsnjcxnc vddfjXkdfjk djdkfjkdaLS KA
Şifrelenen Özüt
İmzalayanın Genel Anahtarı
Çözülen Özüt
Sertifikalar, Sertifika Otoriteleri (SO) - Genel anahtar - Sertifika bilgisi ( “kimlik”, isim, kullanıcı ID vb.) - Bir veya daha fazla sayısal imza.
* Güvenilir üçüncü kişi konumundadırlar. * Kişinin kimliği ile açık anahtarı arasındaki ilşkiyi doğrularlar.
Sertifikalar Sertifikalanan varlık
Sertifika Otoritesi
Oğuzh an Taş
Oğuzhan Taşi
Oğuzhan Taşi
Doğrulayıcı
Sertifikasyon İşlemi
• Sayısal sertifika için SO (CA)’ya müracaat. • SO’nun kişinin kimliğini ve dağıtılan sayısal
sertifikayı doğrulaması. • SO’nun sertifikayı on-line kataloglarda yayınlaması. • Gönderici özel anahtarla imzalar ve 2. Kuruma göndermesi. • Alıcı kurum genel anahtarla doğrulaması. SO deposundan sayısal sertifika sorgulamayı istemesi. • Depodan gönderen sertifikası hakkında rapor
Sertifikasyon İşlemi 3 DEPO
SO (Sertifika Otoritesi)
2
1 Gönderen (SO’ya kayıtlı)
5
4
Alıcı Kurum
6
Sertifikasyon İşlemi Oğuz
Sertifika Otoritesi
Oğuz
Oğuzhan
Genel Anahtar & Güven Belgesi SO Oğuz
SO
Güvenli Dağıtım
Oğuz’un güven Belgesi Hash + fonksiyonu Oğuz
İmza SO
SO kullanıcı güven belgesi, genel anahtar ve diğer özellikleri imzalar
PGP Sertifika Formatı * PGP versiyon numarası * Sertifika sahibinin genel anahtarı. (RSA,DSA,DH algoritm.) * Sertifika sahibinin bilgileri. (kimlik bilgileri;adı, user ID, fotovb.) * Sertifika sahibinin sayısal imzası. * Sertifikanın geçerlilik süresi. * Anahtar için önerilen simetrik şifreleme algoritması. CAST, IDEA veya Tripple DES.
X.509 Sertifika Formatı X.509 versiyon numarası. Sertifika sahibinin genel anahtarı. Sertifika Seri Numarası. Sertifika sahibinin benzersiz kimliği. (veya DN). Bir DN birçok alt koldan oluşur; CN (Genel isim) =Oğuzhan Taş veya Bob Allen gibi. -OU (Organizasyonel Birim)Total Network Security Division gibi. -O (organizasyon) = Network Associates Inc. -C (ülke) = US veya TR gibi. Sertifika Geçerlilik Periyodu. Sertifika sağlayıcısının benzersiz adı Sağlayıcının sayısal imzası. Algoritma tanımlamayıcı imzası.
Açık Anahtar Altyapısı (AAA) (Public Key Infrastructure-PKI)
• Açık Anahtar acaba sahibine ait mi? • Büyük gruplara genel anahtar nasıl
dağıtılacak? • SO’lar arasında iletişim nasıl sağlanacak? • Güvenli transfer nasıl olacak.? • E-mail, dosya transferi, uzaktan erişim vb. için.
X509 Sertifika Yapısı (Hiyerarşik Yapı) Kök SO Diğer SO’lar Alt seviye SO’lar
Son Kullanıcı Örnek: PEM (Privacy Enhanced Mail)
(Güvenli ve doğru e-mail transferi)
X.509 • Son kullanıcı- SO ayrımı vardır. • 3-7 safhalı üç ağaç hiyerarşisi vardır. • Çapraz sertifikalar aracılığı ile seçimsel SO
ağları biçimlenebilir. (PEM’e uygulanamaz)
PKIX = Public Key Infrastructure for X.509, S-MIME (Security Multipurpose Mail Extensions PKIX) altyapısındadır.
Kaotik Yapı
Örnek : PGP (Pretty Good Privacy)
Çapraz Sertifikalar SO’lar
Son Kullanıcılar
Çapraz Sertifikalar SO’lar
Son Kullanıcılar
Çapraz Sertifikalar
NOT: Son kullanıcı için en kısa yolun bulunmasını sağlar.
Hibrid AAA
Örnek : ICE-TEL
Sertifika Yolu (1)
Sertifika Yolu (2) - Doğrulayıcı ilk SO’nun genel anahtarını bilmek zorundadır. - Diğer genel anahtarlar birer birer doğulanır.
- Yoldaki tüm SO’lar doğrulayıcıya güvenmek zorundadır.
AAA(PKI) Uygulama Alanları
• Müşterilerin, işverenlerin, çalışanların e-posta alış
verişlerinde. • Uzak dağıtık veritabanları ve intranetlere erişimde. • Elektronik formlarda, örneğin sipariş faturalarında. • Elektronik ticaretin içerdiği elektronik veri alış-verişi ve finansal işlemlerde. • Masaüstündeki dosya ve dizinlerin korunup, güvenliğinin sağlanmasında. • Elektronik çeklerde. • Sayısal evraklar, kira kontratları, borç senetleri vs. • Elektronik zaman kartlarında. • Vergi formlarında, • İş tabanlı otomasyonlarda, (imza gereken evraklarda).
Sertifika Dizin Servisleri -X.500 • X.500 -
Dağıtık dizin servisi. - Nesne Sınıfları,ülke,organizasyon,org.birim ve kişi. - Ağın kendi kendine düzenlenebilir olmasını sağlar. - Güvenlik, özdeşlik, gizlilik gerçekleşmesi. -X.509, X500 dizin servisinin bir parçasıdır. - X.509 Sertifika İptal Listesi (CRL) için bir sintaks tanımlar.
Dizin Servisleri LDAP • LDAP (Lightweight Directory Access Protocol) - İlk başlarda PC (istemci)’lerin X.500 dizin
servisine
erişimi için...
- Dizin bilgilerini yönetmek ve düzenlemek için bir istemci sunucu protokolü belirtir. - X.509 güvenliği. - Düşük maliyetlidir.
İçiçe Sertifikalar (Nested Certificates)
• Alt sertifikalar üzerinden imza bütünlük ve •
• • • •
doğruluğunun garanti edilmesinde kullanılır. Klasik sertifikalar açık anahtarı, içiçe sertifikalar alt sertifikayı doğrularlar. Alt sertifikalar klasik veya içiçe olabilir. İçiçe Sertifika Otoritesi (NCA veya İSO)’nin sayısal imzasıyla nested sertifika dağıtılır. Doğrulanacak alt sertifikanın içeriği CA ve NCA tarafından imzalanmış olmalıdır. (1) Doğrulanacak alt sertifikanın içeriği değişmemiş olmalı. (2)
İçiçe Sertifikalar
Sertifika İçeriği
(Nested Certificates) İçiçe Sertifika Diğer Sertifika Alanları
Alt sertifika HASH
2
Alt sertifika içeriğinin Hash’i
Alt sertifika İmzası Kopyalama İMZA (NCA tarafındandan onaylanmış) Sertifika Yayımlama
İçiçe sertifikanın NCA’sı
1
Sertifika İçeriği İMZA (CA veya NCA tarafından imzalanmış)
İçiçe Sertifikaları Özellikleri • Zaman bakımından verimli.
Klasikler çok zaman alıyor. İçiçe sertifikalarla 160.000 kullanıcı için 2.5 zaman, klasikte 3.85 zaman alıyor. • NPKI (Nested PKI) etkili ve verimli bir sertifika yolu tanımlıyor. • Yol bir klasik sertifika ile başlamalı.
SSL (Secure Socket Layer) (Güvenli Yuvalar Katmanı)
Hizmet biriminden istemciye kimlik kontrolü yapılır. İstemci ile hizmet biriminin kriptografik algoritma ve
şifre seçmesine izin verir. İstemciden hizmet birimine seçimsel olarak kimlik kontrolü yapılır. Paylaşım sırlarının oluşturulmasında public key şifreleme tekniği kullanılır. Şifrelenmiş bir SSL bağlantısı kurulur.
SSL İşleyişi 1 Müşteri
4 Müşteri Bankası
On-line Satıcı
3
2 Satıcı Bankası
SSL ve TLS
HTTP
(Transport Layer Security)
FTP
SSL/TLS TCP IP
SMTP
SSL
(Güvenli Yuvalar Katmanı)
- Sertifika bazlıdır fakat AAA yoktur. - Sertifika gözatıcılara saklanmıştır. - Gözatıcı şirketine (Microsoft, Nestcape) güven sözkonusudur. SSL (Secure Socket Layer) ve S-HTTP (Secure HTTP )
SSL tarafından tanınan Algoritmalar
• RSA (İmzalama, Şifreleme -Genel Anahtar) • DES (Şifreleme - simetrik anahtar - 56 Bit key-64 • • • • • • •
•
bit blok) DSA (İmzalama) IDEA (Simetrik anahtar, 128 bit key,64 bit blok) KEA, RSA (Anahtar değiş-tokuşu) MD5 (Mesaj Özütü-128 bit) SHA-1 (Mesaj Özütü-168 bit) RC2,RC4,RC5 (Simetrik-Değişken key, blok) SKIPJACK (Simetrik anahtar -80 bit key- 64 bit blok-Clipper Çipi) Triple DES (168 bit key)
SET
(Secure Electronic Transaction)
• Visa, Mastercard, Microsoft, Netscape,
GTE, IBM, SAIC, Terisa Systems ve Verisign • Taraflar: Müşteri, Üye, Banka • Kredi kartı İnternet ortamında kullanılmaz. Yerine Banka sertifikası kullanılır. • Kredi kartının SET uyumlu olması. • Sanal Cüzdan Programı. (S.c.p)
SET
(Secure Electronic Transaction)
• Sanal Mağaza için gerekenler - V POS (Point of Sale) - Sayısal Sertifika • İlişki Müşteri sanal cüzdanı ile mağazanın V-pos yazılımı. • X.509 tabanlıdır (PEM gibi)
7
SET İşleyişi
Müşteri Bankası
6
Ürün sevkedildi
Kredi
5
4
Sipariş
On-line Satıcı
3 Onay
Satıcı Bankası Ödeme Tutarı
1
Müşteri
Hesaba Geç
2 Onay Sorgusu
SET SET
HTTP
FTP TCP IP
SMTP
S-HTTP (Secure HTTP) • Herhangibir açıklama yok. • Fonksiyonel – İletişim Gizliliği, kimlik-yetki tanımlama,bütünlük, inkar edememe
• Özellikleri Esneklik, Çoklu anahtar yönetimi teknikleri, çoğul güven modelleri, birçok algoritmayı destekleme, çoğul modu destekleme, kapsülleme formatları.
S-HTTP (Secure HTTP) S-HTTP TCP IP
S-HTTP Katmanı • Yeni “SECURE” http tipi. • s-http modları:
imza,gerçekleme,şifreleme,
• s-http message: – istek/durum katmanı – başlık
– kapsüllenen içerik. • Diğer s-http mesajı • bir http mesajı
• veri (data)