Elektronik Sertifika Temelli Kimlik Doğrulama Yöntemleri

Gerek internet tarayıcıları ile erişilen giriş kontrollü web sitelerinde, gerekse kurumsal yazılımlar veya özel ağlar üzerinden erişilen kurumsal uygulamalarda birincil fonksiyon kimlik doğrulamadır. Kritik verilerin, özel sistemlerin ve yetkilendirme gerektiren tüm kaynakların erişiminde doğru kullanıcı kimlik doğrulaması ve yetkilendirme gittikçe artan bir önem taşımaktadır.

Bugün herhangi bir bankacılık veya finans uygulamasına, e-ticaret sitesine, mesleki ya da sosyal medya portaline ulaşmak istediğinizde, mutlaka sizi tanımlayacak ve kimliğinizi doğrulayacak erişim verilerine sahip olmanız gerekir. Aynı şekilde, bir kamu kurumunun, bir şirketin, bir üniversitenin veya benzeri bir kuruluşun özel kurumsal kaynaklarına erişmeniz gerektiğinde, kimlik doğrulma adımlarından başarıyla geçmeniz beklenir.

Kullanıcı Adı ve Şifre

Halen en yaygın kullanılan erişim yöntemleri “kullanıcı adı” ve “şifre” temelinde çalışmaktadır. İlgili sistemlerde bir kullanıcı adı yaratılır. Her sistem alanında atanan kullanıcı adları benzersiz olmalıdır. Bu nedenle, çoğunlukla e-posta adresleri veya T.C. Kimlik Numarası gibi kişiye özel veriler kullanıcı adı olarak seçilir. Kullanıcı tercihine bırakılan kullanıcı adlarında ise, ilgili sistem alanında aynı kullanıcı adının sadece bir kez kullanılmasını sağlayan çakışma kontrolleri kullanılır.

Kolay kullanım avantajına rağmen, kırılması ve yanıltılması en kolay erişim yöntemidir. Pek çok farklı siber atak tekniğiyle kullanıcı şifreleri kırılabildiği gibi, kullanıcı ile uygulama arasındaki veri akışının dinlenmesiyle de kullanıcılara ait şifreler çalınabilmektedir. Daha ileri gidersek, bu şekilde çalışan sistemlerin veri tabanlarında tutulan kullanıcı şifreleri, sistemi doğrudan hedef alan ataklarla topluca ele geçirilebilir ve pek çok kişinin erişim verileri bir anda kötü niyetli kişilerin eline geçebilir. 

 

clip_image002

 

Tek Kullanımlık Şifreler

Kullanıcı adı ve şifre yönteminin dezavantajlarını azaltabilmek ve riski tek kullanım seviyesine çekebilmek için, yazılım veya donanım bazlı tek kullanımlık şifre (“one-time-password – OTP”) çözümleri ortaya çıkmıştır. İlgili kurumsal uygulama ile kullanıcı arasında anlaşılmış ve tek seferlik bir şifre üretimini esas alan bu yöntemin çalışması için, donanım bazlı OTP cihazları veya cep telefonlarıyla SMS yoluyla paylaşılabilen tek kullanımlık şifreler kullanılabilmektedir.

Her ne kadar azaltılmış bir risk olsa da, bu sistemlerin de tek kullanımlık şifrenin üretildiği noktalarda “hack” edilmesi veya tek kullanımlık şifrenin farklı atak yöntemleriyle ele geçirilmesiyle, ilgili oturumu kötü niyetli bir kişinin kullanması mümkün olmaktadır.

 

Biyometrik Kimlik Doğrulama

Tüm bu riskleri azaltmak için öne çıkarılan diğer bir yöntemse, kişisel bir biyometrik verinin doğrudan kullanıldığı biyometrik kimlik doğrulama yöntemleridir. En sık kullanılanları parmak izi, avuç içi, yüz tanıma, retina taraması gibi alternatifler olan biyometrik kimlik doğrulama yöntemleri, kaliteli ve ileri teknolojiye sahip veri kontrol yapıları kullanıldığında aldatılması zor yöntemlerdir. Sadece yüzey görüntüsünü almak yerine deri altı dokudan parmak izi verisi edinen donanımlar veya çok noktadan yüz yapısını analiz eden görüntü işleme metotları gibi ileri biyometrik yöntemler bu bakımdan daha çok güvenilen çözümlerdir.

Ancak, biyometrik yöntemlerle ilgili en büyük handikap, kişisel verilerin korunmasıyla ilgili mevzuat bakımından düzenlenmeye muhtaç bir alan olması ve kişisel mahremiyet bakımından kısıtlı kişisel uygulamalar (parmak izi okuyuculu bilgisayar erişim sistemleri gibi), dar alanlı kurumsal uygulamalar (kurumsal kapı geçiş kontrol sistemleri gibi) veya belirli yetkili mercilerin daha geniş kapsamlı uygulamaları (e-pasaport ve benzeri kimlik belgelerinde saklanan biyometrik veriler gibi) dışında kullanımı geniş platformlara yayılamayan çözümler olmalarıdır.

Kişilere ait biyometrik verilerin edinilmesi ve güvenilir biçimde saklanması bu yöntemin en önemli zorluklarından birini oluşturmaktadır. Kişisel biyometrik verilerin tek bir cihaz üzerinde tutulabileceği erişim donanımlarının maliyeti çok yüksek olmakta, bu verilerin merkezi tutulduğu sistemlerde ise verilerin saklanması ve korunmasıyla ilgili teknik ve hukuki problemler ortaya çıkabilmektedir.

 

Elektronik Sertifika Temelli Kimlik Doğrulama

Yukarıda bahsi geçen kimlik doğrulama yöntemlerinin pek çok dezavantajını ortadan kaldıran, yaygın kullanım imkânı olan ve güvenlik seviyesi üst düzeyde bir kimlik doğrulama yöntemi tercih edildiğinde, farklı kullanım alternatifleriyle elektronik sertifika temelli (çift faktörlü) kimlik doğrulama yöntemleri öne çıkmaktadır.

Açık Anahtarlı Altyapı (“Public Key Infrastructure – PKI”) bazlı bir çözüm olan bu yöntemde, yetkili Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) tarafından sağlanan e-imza amaçlı Nitelikli Elektronik Sertifikalar (NES) veya daha basit içerikte olup teknik bakımdan kimlik doğrulma amaçlı güvenlik sertifikaları (basit elektronik sertifikalar) kullanılmaktadır.

clip_image004clip_image006

 

Kimlik doğrulama işleminde e-imza tercih edilmesi durumunda, Türkiye’deki elektronik imza mevzuatı gereği mutlaka uluslararası standartlara göre belgeli güvenlik özelliklerine sahip özel donanımlar olan akıllı kartlar, kart okuyucular veya akıllı çubuklar (“token”) üzerinde yer alan NES’ler kullanılmaktadır. Yapıları gereği NES’ler e-imza amaçlı oldukları için, NES kullanılarak kimlik doğrulanırken ilgili sistemlere giriş sırasında bir e-imza oluşturulur ve bu e-imzanın doğrulanmasıyla kimlik doğrulama yapılır. Ayrıca, bu sayede sadece kimlik doğrulama değil, uygulamaların ilgili işlem adımlarında mevzuata uyumlu ve hukuken geçerli e-imza kullanma imkânı da kazanılmış olur. Kimlik doğrulamada güvenlik sertifikalarının kullanılması durumunda ise, bu sertifikaların da akıllı kartlar veya “token” üzerinde bulunmaları durumunda, hem sahip olunan bir unsur (akıllı kart / token) hem de bilinen bir unsur (akıllı kartın erişim şifresi – PIN) ile uygulamalara erişim çift faktörlü olarak sağlanabilir.

e-İmzanın ve NES’lerin güvenli erişim ve kimlik doğrulama amaçlı kullanıldığı uygulamaların başında, www.turkiye.gov.tr web adresi üzerinden hizmet veren Türkiye e-Devlet Kapısı gelmektedir. Bu portale giriş için kullanıcı adı ve şifre bazlı “e-Devlet Şifresi” yöntemi genel kullanıma açılmış olsa da, daha ileri kimlik doğrulama seçenekleri olarak “Elektronik İmza (e-İmza)”, “Mobil İmza (m-İmza)” ve “T.C. Kimlik Kartı” ile elektronik sertifika temelli kimlik doğrulama olanakları da tüm vatandaşlarımıza sunulmuştur. “Elektronik İmza (e-İmza)” ve “Mobil İmza (m-İmza)” ile NES kullanımı, “T.C. Kimlik Kartı” ile NES veya güvenlik sertifikası kullanımı mümkündür. Güvenlik hassasiyeti bakımından bu yöntemlerin tercih edilme oranı son dönemde önemli ölçüde artış göstermiştir[NAB4] .

clip_image008

 

Benzer tüm kurumsal web uygulamalarında, gerek özel sektör gerekse kamuda, bahsi geçen elektronik sertifikaların kullanılmasıyla kimlik doğrulama imkânı sağlayan yazılımlara ihtiyaç duyulmaktadır. Bir önceki yazımızda kısaca tanıttığımız TÜRKTRUST yazılım çözümlerinden CASTAN, web üzerinde akıllı kart ve elektronik sertifika ile kimlik doğrulama yapılmasına olanak tanıyan, hem NES’ler hem de X.509 v3 standardına uygun diğer tüm sertifikalar ile çalışabilen ve kolaylıkla her sisteme entegre edilebilen bir çözümdür.

 

clip_image010

 

TÜRKTRUST tarafından geliştirilen CASTAN yazılım çözümüyle, kullanım yerinden bağımsız olarak, İnternet üzerinde erişim sağlanabilen her noktadan web uygulamalarına esnek ve güvenli erişim sağlanabilmektedir. CASTAN yazılımı uluslararası standartlar uyarınca belirlenmiş güvenlik gereklilikleriyle tam uyumludur ve sistemlerde çalışmakta olan mevcut uygulamalarda değişiklik yapılmadan kolayca uygulanabilir ve yönetilebilir. Bağlantı sırasında ve tüm oturum boyunca akıllı kart kontrolü ile her adımda sürekli kimlik doğrulama olanağı ve kolay oturum kapatma imkânı mevcuttur.

TÜRKTRUST CASTAN çözümü, PKCS#11 standardına uygun akıllı kart ve “token” desteği sağlamaktadır. Ayrıca, oturum açma sırasında gerçek zamanlı çevrim içi sertifika durum sorgusu (OCSP) yapılabilmektedir. “Java Applet” yapısı ile platform bağımsızlığı sağlanmış olan çözüm, istenilen kök sertifikalar ile özelleştirilebilmektedir. Akıllı kart PIN kontrolü, belirlenen ESHS kök sertifikaları üzerinden sertifika doğrulaması ve OCSP üzerinden sertifika geçerlilik kontrolü ile üç adımda güvenlik kontrolü yapılarak erişim güvenliği sağlanmaktadır.

 

clip_image012

 

 

3-Faktörlü Kimlik Doğrulama

Elektronik sertifika temelli kimlik doğrulama çözümlerinin bir adım ötesinde, doğrulama adımına kişisel bir biyometrik verinin de eklendiği 3-faktörlü kimlik doğrulama yöntemleri bulunmaktadır. Yukarıda “Biyometrik Kimlik Doğrulama” başlığı altında değinilen kullanım kısıtları bu yöntemler için de geçerlidir. Hem biyometrik hem de elektronik sertifika temelli unsurları birleştiren bu çözümlerin maliyeti de görece daha yüksektir.

Uygulamalar için kimlik doğrulama yöntemleri seçilirken, kullanım ve yönetim kolaylığı, istenilen güvenlik düzeyi, maliyet gibi unsurların dikkate alınması gerekmektedir. Elektronik sertifika temelli kimlik doğrulama yöntemleri, sağladıkları pek çok avantajla bu bağlamda öne çıkmaktadır.

 

clip_image014