Embed Size (px)
Citation preview
E-TİCARET E-TİCARET
GÜVENLİĞİGÜVENLİĞİ
Hakan TOPUZOĞLUHakan TOPUZOĞLU
GÜVENLİKGÜVENLİK
•Gizlilik (Confidentiality)Gizlilik (Confidentiality)
•Bütünlük (Integrity)Bütünlük (Integrity)
•Yetki Kimlik Kanıtlama Yetki Kimlik Kanıtlama (Authentication)(Authentication)
•İnkar edememe (Non- İnkar edememe (Non- Repudation)Repudation)
Simetrik (Geleneksel) Simetrik (Geleneksel) ŞifrelemeŞifreleme
ŞİFRELEMEA
Orijinal metinOrijinal metinDEŞİFRELEME
B
Orijinal MetinOrijinal MetinŞİFRELİ METİNŞİFRELİ METİN
DEŞİFRELEMEA
Orijinal MetinOrijinal Metin ŞİFRELEMEB
Orijinal MetinOrijinal MetinŞİFRELİ METİNŞİFRELİ METİN
Asimetrik (Genel Anahtar) Asimetrik (Genel Anahtar) ŞifrelemeŞifreleme
ŞİFRELEMEA
Orijinal metinOrijinal metinDEŞİFRELEME
B
Orijinal MetinOrijinal MetinŞİFRELİ METİNŞİFRELİ METİN
B’nin Genel (Public)
Anahtarı
B’nin Özel (Private)
Anahtarı
Oturum Anahtarı Oturum Anahtarı (One-time key) ile (One-time key) ile ŞifrelemeŞifreleme
ŞİFRELEMEA
Orijinal metinOrijinal metin
Oturum Anahtarı
ŞİFRELİ METİNŞİFRELİ METİN
ŞİFRELEMEA
B’nin Genel (Public)
Anahtarı
ŞİFRELİ Oturum AnahtarıŞİFRELİ Oturum Anahtarı
Şifreli Metin
jdhjfdhhj
Oturum Anahtarı ile Oturum Anahtarı ile ÇözmeÇözme
Şifreli Metin
Jdhjfdhhj,xfdh Jdhjfdhhj,xfdh
B’ninÖzel
Anahtarı
Oturum
Anahtarı
Şifreli MetinOrijinal Metin
Sayısal İmzalamaSayısal İmzalama
HashFonksiyonu
Mesaj
İmzalayanınÖzel Anahtarı
Sayısalİmza
akmsnjcxncvddfjXkdfjkdjdkfjkdaLSKAMesaj
Özütü
Sayısal İmza KontrolüSayısal İmza Kontrolü
HashFonksiyonıu
İmzalanmışMesaj
Özüt
İmzalayanınGenel
Anahtarı
ŞifrelenenÖzüt
ÇözülenÖzüt
akmsnjcxncvddfjXkdfjkdjdkfjkdaLSKA
Özütler
eşitse imza
doğrudur
Sertifikalar, Sertifika Otoriteleri Sertifikalar, Sertifika Otoriteleri (SO)(SO)
* Güvenilir üçüncü kişi konumundadırlar.
* Kişinin kimliği ile açık anahtarı arasındaki ilşkiyi doğrularlar.
- Genel anahtar - Sertifika bilgisi ( “kimlik”, isim, kullanıcı ID vb.)- Bir veya daha fazla sayısal imza.
SertifikalarSertifikalarSertifika Otoritesi
Doğrulayıcı
Oğuzhan Taşi
Oğuzhan
Taşi
Oğuzhan Taş
Sertifikalanan varlık
Sertifikasyon İşlemiSertifikasyon İşlemi• Sayısal sertifika için SO (CA)’ya müracaat.Sayısal sertifika için SO (CA)’ya müracaat.
• SO’nun kişinin kimliğini ve dağıtılan sayısal sertifikayı SO’nun kişinin kimliğini ve dağıtılan sayısal sertifikayı doğrulaması.doğrulaması.
• SO’nun sertifikayı on-line kataloglarda yayınlaması.SO’nun sertifikayı on-line kataloglarda yayınlaması.
• Gönderici özel anahtarla imzalar ve 2. Kuruma Gönderici özel anahtarla imzalar ve 2. Kuruma göndermesi.göndermesi.
• Alıcı kurum genel anahtarla doğrulaması. SO Alıcı kurum genel anahtarla doğrulaması. SO deposundan sayısal sertifika sorgulamayı istemesi.deposundan sayısal sertifika sorgulamayı istemesi.
• Depodan gönderen sertifikası hakkında rapor gelmesi.Depodan gönderen sertifikası hakkında rapor gelmesi.
Sertifikasyon İşlemiSertifikasyon İşlemi
SO (Sertifika Otoritesi)DEPO
Gönderen (SO’ya kayıtlı) Alıcı Kurum
1 2 5
3
6
4
Genel AnahtarGenel Anahtar&&
Güven BelgesiGüven Belgesi
Oğuz
Sertifika Otoritesi
SO
Oğuz
Oğuz’un güven Belgesi
+ Hashfonksiyon
uOğuz
Oğuzhan
SO kullanıcı güven belgesi, genel anahtar ve diğer özellikleri imzalar
Oğuz
İmza
SOSO
Sertifikasyon İşlemiSertifikasyon İşlemi
Güvenli Dağıtım
PGP Sertifika FormatıPGP Sertifika Formatı
* PGP versiyon numarası* Sertifika sahibinin genel anahtarı. (RSA,DSA,DH algoritm.)* Sertifika sahibinin bilgileri. (kimlik bilgileri;adı, user ID, fotovb.)* Sertifika sahibinin sayısal imzası. * Sertifikanın geçerlilik süresi. * Anahtar için önerilen simetrik şifreleme algoritması. CAST, IDEA veya Tripple DES.
X.509 Sertifika FormatıX.509 Sertifika Formatı X.509 versiyon numarası. Sertifika sahibinin genel anahtarı. Sertifika Seri Numarası. Sertifika sahibinin benzersiz kimliği. (veya DN). Bir DN birçok alt koldan oluşur;CN (Genel isim) =Oğuzhan Taş veya Bob Allen gibi.-OU (Organizasyonel Birim)Total Network Security Division gibi.-O (organizasyon) = Network Associates Inc. -C (ülke) = US veya TR gibi. Sertifika Geçerlilik Periyodu. Sertifika sağlayıcısının benzersiz adı Sağlayıcının sayısal imzası. Algoritma tanımlamayıcı imzası.
Açık Anahtar Altyapısı (AAA)Açık Anahtar Altyapısı (AAA)(Public Key Infrastructure-PKI)(Public Key Infrastructure-PKI)
• Açık Anahtar acaba sahibine ait mi?Açık Anahtar acaba sahibine ait mi?
• Büyük gruplara genel anahtar nasıl Büyük gruplara genel anahtar nasıl dağıtılacak?dağıtılacak?
• SO’lar arasında iletişim nasıl SO’lar arasında iletişim nasıl sağlanacak?sağlanacak?
• Güvenli transfer nasıl olacak.?Güvenli transfer nasıl olacak.?
• E-mail, dosya transferi, uzaktan erişim E-mail, dosya transferi, uzaktan erişim vb. için.vb. için.
X509 Sertifika Yapısı X509 Sertifika Yapısı (Hiyerarşik Yapı)(Hiyerarşik Yapı)
Kök SO
Son Kullanıcı
Diğer SO’lar
Alt seviye SO’lar
Örnek: PEM (Privacy Enhanced Mail)
(Güvenli ve doğru e-mail transferi)
X.509X.509
• Son kullanıcı- SO ayrımı vardır.Son kullanıcı- SO ayrımı vardır.
• 3-7 safhalı üç ağaç hiyerarşisi vardır.3-7 safhalı üç ağaç hiyerarşisi vardır.
• Çapraz sertifikalar aracılığı ile Çapraz sertifikalar aracılığı ile seçimsel SO ağları biçimlenebilir. seçimsel SO ağları biçimlenebilir. (PEM’e uygulanamaz)(PEM’e uygulanamaz)
PKIX = Public Key Infrastructure for X.509, S-MIME (Security Multipurpose Mail Extensions PKIX) altyapısındadır.
Kaotik Yapı Kaotik Yapı
Örnek : PGP (Pretty Good Privacy)
Çapraz SertifikalarÇapraz Sertifikalar
SO’lar
Son Kullanıcılar
Çapraz SertifikalarÇapraz Sertifikalar
SO’lar
Son Kullanıcılar
Çapraz Sertifikalar
NOT: Son kullanıcı için en kısa yolun bulunmasını sağlar.
Hibrid AAAHibrid AAA
Örnek : ICE-TEL
Sertifika Yolu (1)Sertifika Yolu (1)
Sertifika Yolu (2)Sertifika Yolu (2)
- Doğrulayıcı ilk SO’nun genel
anahtarını bilmek zorundadır.
- Diğer genel anahtarlar birer
birer doğulanır.
- Yoldaki tüm SO’lar doğrulayıcıya
güvenmek zorundadır.
AAA(PKI) Uygulama AAA(PKI) Uygulama AlanlarıAlanları
• Müşterilerin, işverenlerin, çalışanların e-posta alış-verişlerinde.Müşterilerin, işverenlerin, çalışanların e-posta alış-verişlerinde.
• Uzak dağıtık veritabanları ve intranetlere erişimde.Uzak dağıtık veritabanları ve intranetlere erişimde.
• Elektronik formlarda, örneğin sipariş faturalarında.Elektronik formlarda, örneğin sipariş faturalarında.
• Elektronik ticaretin içerdiği elektronik veri alış-verişi Elektronik ticaretin içerdiği elektronik veri alış-verişi
ve finansal işlemlerde.ve finansal işlemlerde.
• Masaüstündeki dosya ve dizinlerin korunup, Masaüstündeki dosya ve dizinlerin korunup,
güvenliğinin sağlanmasında.güvenliğinin sağlanmasında.
• Elektronik çeklerde.Elektronik çeklerde.
• Sayısal evraklar, kira kontratları, borç senetleri vs.Sayısal evraklar, kira kontratları, borç senetleri vs.
• Elektronik zaman kartlarında.Elektronik zaman kartlarında.
• Vergi formlarında,Vergi formlarında,
• İş tabanlı otomasyonlarda, (imza gereken evraklarda).İş tabanlı otomasyonlarda, (imza gereken evraklarda).
Sertifika Dizin Servisleri -Sertifika Dizin Servisleri -X.500X.500• X.500X.500- - Dağıtık dizin servisi.Dağıtık dizin servisi.- Nesne Sınıfları,ülke,organizasyon,org.birim - Nesne Sınıfları,ülke,organizasyon,org.birim
ve kişi.ve kişi.- Ağın kendi kendine düzenlenebilir olmasını - Ağın kendi kendine düzenlenebilir olmasını
sağlar.sağlar.- Güvenlik, özdeşlik, gizlilik gerçekleşmesi.- Güvenlik, özdeşlik, gizlilik gerçekleşmesi.-X.509, X500 dizin servisinin bir parçasıdır.-X.509, X500 dizin servisinin bir parçasıdır.- X.509 Sertifika İptal Listesi (CRL) için bir - X.509 Sertifika İptal Listesi (CRL) için bir
sintaks tanımlar.sintaks tanımlar.
Dizin Servisleri LDAPDizin Servisleri LDAP
• LDAP (Lightweight Directory Access LDAP (Lightweight Directory Access Protocol)Protocol)
- - İlk başlarda PC (istemci)’lerin X.500 dizin İlk başlarda PC (istemci)’lerin X.500 dizin servisine erişimi için...servisine erişimi için...
- Dizin bilgilerini yönetmek ve düzenlemek için- Dizin bilgilerini yönetmek ve düzenlemek için bir istemci sunucu protokolü belirtir.bir istemci sunucu protokolü belirtir.
- X.509 güvenliği.- X.509 güvenliği.
- Düşük maliyetlidir.- Düşük maliyetlidir.
İçiçe Sertifikalarİçiçe Sertifikalar(Nested Certificates)(Nested Certificates)
• Alt sertifikalar üzerinden imza bütünlük ve doğruluğunun Alt sertifikalar üzerinden imza bütünlük ve doğruluğunun garanti edilmesinde kullanılır.garanti edilmesinde kullanılır.
• Klasik sertifikalar açık anahtarı, içiçe sertifikalar alt Klasik sertifikalar açık anahtarı, içiçe sertifikalar alt sertifikayı doğrularlar.sertifikayı doğrularlar.
• Alt sertifikalar klasik veya içiçe olabilir.Alt sertifikalar klasik veya içiçe olabilir.
• İçiçe Sertifika Otoritesi (NCA veya İSO)’nin sayısal İçiçe Sertifika Otoritesi (NCA veya İSO)’nin sayısal imzasıyla nested sertifika dağıtılır.imzasıyla nested sertifika dağıtılır.
• Doğrulanacak alt sertifikanın içeriği CA ve NCA tarafından Doğrulanacak alt sertifikanın içeriği CA ve NCA tarafından imzalanmış olmalıdır. (1)imzalanmış olmalıdır. (1)
• Doğrulanacak alt sertifikanın içeriği değişmemiş olmalı. (2)Doğrulanacak alt sertifikanın içeriği değişmemiş olmalı. (2)
İçiçe Sertifikalarİçiçe Sertifikalar(Nested Certificates)(Nested Certificates)
Diğer Sertifika Alanları
Alt sertifika içeriğinin Hash’i
Alt sertifika İmzası
İMZA (NCA tarafındandan onaylanmış)
İçiçe Sertifika
İMZA (CA veya NCA tarafından imzalanmış)
Kopyalama
Sertifika İçeriği
Alt sertifika
HASH
Sertifika İçeriği
Sertifika Yayımlama
İçiçe sertifikanın NCA’sı
1
2
İçiçe Sertifikaları İçiçe Sertifikaları ÖzellikleriÖzellikleri
• Zaman bakımından verimli. Klasikler Zaman bakımından verimli. Klasikler
çok zaman alıyor. İçiçe sertifikalarla çok zaman alıyor. İçiçe sertifikalarla 160.000 kullanıcı için 2.5 zaman, 160.000 kullanıcı için 2.5 zaman, klasikte 3.85 zaman alıyor. klasikte 3.85 zaman alıyor.
• NPKI (Nested PKI) etkili ve verimli bir NPKI (Nested PKI) etkili ve verimli bir sertifika yolu tanımlıyor.sertifika yolu tanımlıyor.
• Yol bir klasik sertifika ile başlamalı.Yol bir klasik sertifika ile başlamalı.
SSL (Secure Socket Layer)SSL (Secure Socket Layer)(Güvenli Yuvalar Katmanı)(Güvenli Yuvalar Katmanı)
Hizmet biriminden istemciye kimlik kontrolü Hizmet biriminden istemciye kimlik kontrolü yapılır. yapılır.
İstemci ile hizmet biriminin kriptografik İstemci ile hizmet biriminin kriptografik algoritma ve şifre seçmesine izin verir. algoritma ve şifre seçmesine izin verir.
İstemciden hizmet birimine seçimsel olarak İstemciden hizmet birimine seçimsel olarak kimlik kontrolü yapılır. kimlik kontrolü yapılır.
Paylaşım sırlarının oluşturulmasında public Paylaşım sırlarının oluşturulmasında public key şifreleme tekniği kullanılır.key şifreleme tekniği kullanılır.
Şifrelenmiş bir SSL bağlantısı kurulurŞifrelenmiş bir SSL bağlantısı kurulur. .
SSL İşleyişiSSL İşleyişi
Müşteri
Satıcı BankasıMüşteri Bankası
On-line Satıcı
1
23
4
SSL ve TLS SSL ve TLS (Transport Layer (Transport Layer Security)Security)
HTTP FTP
SSL/TLS
SMTP
TCP
IP
SSL SSL (Güvenli Yuvalar Katmanı)(Güvenli Yuvalar Katmanı)
- Sertifika bazlıdır fakat AAA yoktur.- Sertifika bazlıdır fakat AAA yoktur.- Sertifika gözatıcılara saklanmıştır.- Sertifika gözatıcılara saklanmıştır.- Gözatıcı şirketine (Microsoft, - Gözatıcı şirketine (Microsoft, Nestcape) güven sözkonusudur.Nestcape) güven sözkonusudur.SSL (Secure Socket Layer)SSL (Secure Socket Layer)ve S-HTTP (Secure HTTP ) ve S-HTTP (Secure HTTP )
SSL tarafından tanınan SSL tarafından tanınan AlgoritmalarAlgoritmalar
• RSA (İmzalama, Şifreleme -Genel Anahtar)RSA (İmzalama, Şifreleme -Genel Anahtar)
• DES (Şifreleme - simetrik anahtar - 56 Bit key-64 bit DES (Şifreleme - simetrik anahtar - 56 Bit key-64 bit blok)blok)
• DSA (İmzalama)DSA (İmzalama)
• IDEA (Simetrik anahtar, 128 bit key,64 bit blok)IDEA (Simetrik anahtar, 128 bit key,64 bit blok)
• KEA, RSA (Anahtar değiş-tokuşu)KEA, RSA (Anahtar değiş-tokuşu)
• MD5 (Mesaj Özütü-128 bit)MD5 (Mesaj Özütü-128 bit)
• SHA-1 (Mesaj Özütü-168 bit)SHA-1 (Mesaj Özütü-168 bit)
• RC2,RC4,RC5 (Simetrik-Değişken key, blok)RC2,RC4,RC5 (Simetrik-Değişken key, blok)
• SKIPJACK (Simetrik anahtar -80 bit key- 64 bit blok-SKIPJACK (Simetrik anahtar -80 bit key- 64 bit blok-Clipper Çipi)Clipper Çipi)
• Triple DES (168 bit key)Triple DES (168 bit key)
SETSET(Secure Electronic Transaction)(Secure Electronic Transaction)
• Visa, Mastercard, Microsoft, Netscape, Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC, Terisa Systems ve VerisignGTE, IBM, SAIC, Terisa Systems ve Verisign
• Taraflar: Müşteri, Üye, BankaTaraflar: Müşteri, Üye, Banka
• Kredi kartı İnternet ortamında kullanılmaz.Kredi kartı İnternet ortamında kullanılmaz.
Yerine Banka sertifikası kullanılır.Yerine Banka sertifikası kullanılır.
• Kredi kartının SET uyumlu olması.Kredi kartının SET uyumlu olması.
• Sanal Cüzdan Programı. (S.c.p)Sanal Cüzdan Programı. (S.c.p)
• Kredi kartını S.C.p’ye tanıtılması.Kredi kartını S.C.p’ye tanıtılması.
• Sanal Mağaza için gerekenlerSanal Mağaza için gerekenler
- V POS (Point of Sale)- V POS (Point of Sale)
- Sayısal Sertifika- Sayısal Sertifika
• İlişki İlişki
Müşteri sanal cüzdanı ile mağazanın Müşteri sanal cüzdanı ile mağazanın
V-pos yazılımı.V-pos yazılımı.
• X.509 tabanlıdır (PEM gibi)X.509 tabanlıdır (PEM gibi)
SETSET(Secure Electronic Transaction)(Secure Electronic Transaction)
SET İşleyişiSET İşleyişi
Müşteri
Satıcı Bankası
Müşteri BankasıOn-line Satıcı
1
2
3
Sipariş
Onay Sorgusu
Onay5
64
7
Ürün sevkedildi
Kredi
Ödeme Tutarı
Hesaba Geç
SETSET
HTTP FTP SMTP
TCP
IP
SET
• Herhangibir açıklama yok.Herhangibir açıklama yok.
• FonksiyonelFonksiyonel– İletişim Gizliliği, kimlik-yetki İletişim Gizliliği, kimlik-yetki
tanımlama,bütünlük, inkar edememetanımlama,bütünlük, inkar edememe
• ÖzellikleriÖzellikleri Esneklik, Çoklu anahtar yönetimi teknikleri, Esneklik, Çoklu anahtar yönetimi teknikleri,
çoğul güven modelleri, birçok algoritmayı çoğul güven modelleri, birçok algoritmayı destekleme, çoğul modu destekleme, kapsülleme destekleme, çoğul modu destekleme, kapsülleme formatları.formatları.
S-HTTP (Secure HTTP)S-HTTP (Secure HTTP)
S-HTTP (Secure HTTP)S-HTTP (Secure HTTP)
S-HTTP
TCP
IP
• Yeni “SECURE” http tipi.Yeni “SECURE” http tipi.
• s-http modları: imza,gerçekleme,şifreleme, s-http modları: imza,gerçekleme,şifreleme,
• s-http message:s-http message:– istek/durum katmanıistek/durum katmanı
– başlıkbaşlık
– kapsüllenen içerik.kapsüllenen içerik.
• Diğer s-http mesajıDiğer s-http mesajı
• bir http mesajıbir http mesajı
• veri (data)veri (data)
S-HTTP KatmanıS-HTTP Katmanı
