E-İmza Oluşturma ve Doğrulama E-İmza Oluşturma ve Doğrulama
E-İmza Oluşturma ve Doğrulama E-İmza Oluşturma ve Doğrulama
E-İmza Oluşturma ve Doğrulama E-İmza Oluşturma ve Doğrulama
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
E-<strong>İmza</strong> mza <strong>Oluşturma</strong> Olu <strong>Oluşturma</strong> turma <strong>ve</strong> <strong>Doğrulama</strong> Do <strong>Doğrulama</strong> rulama<br />
TODAİE TODA TODAİE E Sunumu<br />
Ferda Topcan<br />
Başuzman Araştırmacı<br />
ferdat@uekae.tubitak.gov.tr<br />
(312) 4688486-19
2<br />
İçerik erik<br />
• <strong>İmza</strong> Verisi Formatı<br />
• E-imza <strong>Oluşturma</strong><br />
• E-imza Zamanının Belirlenmesi<br />
• İlk <strong>İmza</strong> <strong>Doğrulama</strong> İşlemleri<br />
• Sonraki <strong>İmza</strong> <strong>Doğrulama</strong> İşlemleri<br />
• E-imzanın Arşivlenmesi
<strong>İmza</strong> mza Verisi Formatı<br />
Format
4<br />
E-imza Veri Formatı<br />
ETSI: European Telecommunications Standards Institute<br />
ETSI TS 101 733: Electronic Signatures and Infrastructures<br />
(ESI); CMS Advanced Electronic Signatures (CAdES)<br />
PKCS # 7: Cryptographic Message Syntax Standard<br />
RFC 3852: Cryptographic Message Syntax (CMS)<br />
ETSI TS 101 903: XML Advanced Electronic Signatures<br />
(XAdES)<br />
W3C/IETF Recommendation: "XML-Signature Syntax and Processing".
5<br />
Elektronik <strong>İmza</strong>nın ETSI Formatında Saklanması<br />
Merhaba<br />
SHA-1<br />
$½§<br />
RSA<br />
;+?(^!’<br />
Elektronik imza<br />
Ayrık imza<br />
ETSI 101 733<br />
;+?(^!’<br />
Bitişik imza<br />
ETSI 101 733<br />
Merhaba<br />
;+?(^!’
6<br />
<strong>İmza</strong> Dosyasına Eklenebilecek Bilgiler (<strong>İmza</strong> Özellikleri)<br />
<strong>İmza</strong> Dosyası<br />
ETSI 101 733<br />
Merhaba<br />
<strong>İmza</strong>ya Dahil Olan<br />
Bilgiler<br />
<strong>İmza</strong>ya Dahil Olmayan<br />
Bilgiler<br />
;+?(^!’<br />
<strong>İmza</strong> zamanı (signing time)<br />
<strong>İmza</strong> politikaları (signature policies)<br />
<strong>İmza</strong> amacı (commitment type)<br />
Kullanılan sertifikayı tanımlayan bilgiler<br />
(signing certificate)<br />
Elektronik sertifikalar:<br />
• <strong>İmza</strong> sahiplerine<br />
ait sertifikalar<br />
• ESHS’lere ait<br />
sertifikalar<br />
Sertifika iptal kontrol referans <strong>ve</strong>risi<br />
• OCSP referansı<br />
•SİL numarası<br />
Sertifika iptal kontrol <strong>ve</strong>risi<br />
•OCSP cevabı<br />
•SİL<br />
Zaman Damgası
7<br />
Çoklu <strong>İmza</strong>: Seri <strong>ve</strong> Paralel <strong>İmza</strong><br />
ETSI 101 733<br />
Merhaba<br />
1. imza<br />
2. imza<br />
Seri <strong>İmza</strong><br />
ETSI 101 733<br />
Merhaba<br />
1. imza 2. imza<br />
Paralel <strong>İmza</strong>
Elektronik <strong>İmza</strong> mza <strong>Oluşturma</strong> Olu turma
9<br />
Elektronik <strong>İmza</strong>nın Oluşturulması<br />
Merhaba<br />
Elektronik sertifika<br />
E-imza<br />
<strong>Oluşturma</strong><br />
Yazılımı<br />
“é!é+U%/(?(%(&^^fg€[<br />
½]{]{9f\[{{’/+%/(^&/(+<br />
&E556%/&&()&)(/=)(?=<br />
)%&MS^!^^Y/)P??(/)%(<br />
/%(%/((/{[{[==?\}][?/&?<br />
özel anahtar dosyası<br />
ETSI 101 733<br />
Merhaba<br />
<strong>İmza</strong><br />
sahibinin<br />
sertifikası<br />
Elektronik imza
10<br />
Elektronik Sertifikanın Geçerlilik Kontrolleri<br />
İMZA<br />
OLUŞTURMA<br />
UYGULAMASI<br />
Elektronik<br />
imzalı<br />
<strong>ve</strong>ri<br />
İMZA<br />
DOĞRULAMA<br />
UYGULAMASI<br />
– Sertifika üzerindeki ESHS’nin imzası <br />
– Sertifika geçerlilik süresi <br />
– Sertifika kullanım amacı <br />
Sertifika iptal<br />
durum kontrolü<br />
Sertifika iptal<br />
durum kontrolü<br />
– Sertifika iptal durum kontrolü <br />
Sertifika<br />
İptal<br />
Listesi<br />
(SİL)<br />
OCSP<br />
OCSP<br />
Yanıtlayıcı<br />
ESHS<br />
Web<br />
Sunucu<br />
Dizin<br />
Sunucu
E-imza imza Zamanının Zaman n<br />
Belirlenmesi
12<br />
Elektronik <strong>İmza</strong>ya Zaman Bilgisinin Eklenmesi<br />
<strong>İmza</strong> zamanı olarak aşağıdakilerden birisi belirlenebilir:<br />
1. Kullanıcı makinasındaki sistem saati <strong>ve</strong>ya kurumdaki bir<br />
sunucudan alınan saat bilgisi imza dosyasına imzalı özellik<br />
olarak eklenebilir. Ancak bu yöntem imza zamanının<br />
belirlenmesinde gü<strong>ve</strong>nilir kabul edilmemektedir.<br />
2. Zaman damgası (Time Stamp)
13<br />
Elektronik <strong>İmza</strong>ya Zaman Damgası Eklenmesi<br />
1. <strong>İmza</strong> oluşturulduktan sonra imzaya zaman damgası alınabilir:<br />
Bu durumda imzanın zaman damgası alındığı tarihten önce<br />
oluşturulduğu ispatlanır.<br />
Zaman damgası imza dosyasına sonradan eklenir.<br />
Zaman damgası imza dosyasına aşağıdaki zamanlarda<br />
eklenebilir:<br />
o Kullanıcı imzayı oluşturduktan hemen sonra kullanıcı<br />
uygulaması zaman damgası alabilir.<br />
o Kullanıcı imzalı belgeyi alıcı tarafa gönderdikten sonra alıcı<br />
tarafın uygulaması zaman damgası alabilir.<br />
2. <strong>İmza</strong> oluşturulmadan önce imzalanacak belgeye zaman<br />
damgası alınabilir <strong>ve</strong> imza oluşturulurken alınan zaman<br />
damgası da imzalanır:<br />
Bu durumda belgenin zaman damgası alındığı tarihten önce<br />
oluşturulduğu; imzanın ise zaman damgası alındığı tarihten<br />
sonra oluşturulduğu ispatlanır.
14<br />
Elektronik <strong>İmza</strong>ya Zaman Damgası Eklenmesi<br />
ETSI 101 733<br />
Merhaba<br />
<strong>İmza</strong><br />
sahibinin<br />
sertifikası<br />
Elektronik imza<br />
Elektronik imza<br />
Zaman Damgası<br />
Özetleme<br />
algoritması<br />
<strong>İmza</strong>nın Özet<br />
Değeri<br />
<strong>İmza</strong>nın Özet<br />
Değeri<br />
Zaman Bilgisi<br />
ESHS’nin<br />
<strong>İmza</strong>sı<br />
Zaman Damgası<br />
GÜVENİLİR<br />
ZAMAN KAYNAĞI<br />
ESHS<br />
Zaman<br />
Damgası<br />
Sunucusu
İlk lk <strong>İmza</strong> mza <strong>Doğrulama</strong> Do rulama<br />
İşlemleri İşlemleri
16<br />
İlk <strong>İmza</strong> <strong>Doğrulama</strong> İşlemi<br />
• <strong>İmza</strong> oluşturulduktan ertelenme süresi (grace period)<br />
kadar zaman geçtikten sonra gerçekleştirilir.<br />
ESHS’nin<br />
iptal bilgisi<br />
yayınlama<br />
zamanı<br />
<strong>İmza</strong> zamanı ESHS’nin<br />
iptal bilgisi<br />
yayınlama<br />
zamanı<br />
Ertelenme Süresi<br />
Sertifika iptal<br />
kontrolünün<br />
yapıldığı zaman
17<br />
İlk <strong>İmza</strong> <strong>Doğrulama</strong> İşlemi<br />
• <strong>İmza</strong> oluşturulup, alıcıya gönderildikten sonra alıcı<br />
tarafından gerçekleştirilebilir.<br />
• <strong>İmza</strong> sahibinin sertifikasının <strong>ve</strong> gü<strong>ve</strong>n zincirindeki tüm<br />
ESHS sertifikalarının geçerlilik kontrolleri yapılmalıdır.<br />
• ESHS’ye ait diğer sertifikaların (OCSP/SİL <strong>İmza</strong>lama,<br />
Zaman Damgası) geçerlilik kontrolleri yapılmalıdır.<br />
• SİL <strong>ve</strong>ya OCSP cevaplarının geçerlilik kontrolü<br />
yapılmalıdır.<br />
• Zaman damgasının geçerlilik kontrolü yapılmalıdır.<br />
• <strong>Doğrulama</strong> <strong>ve</strong>rileri toplanmalıdır.
18<br />
İlk <strong>İmza</strong> <strong>Doğrulama</strong> İşlemi<br />
• İlk imza doğrulama sırasında toplanan “doğrulama<br />
<strong>ve</strong>rileri” aşağıdaki <strong>ve</strong>rilerdir:<br />
– Kullanıcı sertifikası<br />
– Kullanıcı sertifikasını imzalayan ESHS sertifikası <strong>ve</strong> sertifika<br />
gü<strong>ve</strong>n zincirindeki diğer ESHS sertifikaları<br />
– Kullanıcı sertifikası ile ilgili SİL <strong>ve</strong>ya OCSP cevabı<br />
– Sertifika gü<strong>ve</strong>n zincirindeki ESHS sertifikaları ile ilgili SİL<br />
<strong>ve</strong>ya OCSP cevapları<br />
– Zaman damgası<br />
– Zaman damgası ile ilgili SİL <strong>ve</strong>ya OCSP cevabı<br />
– SİL/OCSP <strong>ve</strong> zaman damgasını imzalayan ESHS sertifikaları<br />
• <strong>Doğrulama</strong> <strong>ve</strong>rileri “sonraki imza doğrulama”<br />
işlemlerinde kullanılır.
19<br />
İlk <strong>İmza</strong> <strong>Doğrulama</strong> İşlemi<br />
• <strong>İmza</strong> doğrulama sırasında kullanılan<br />
“doğrulama <strong>ve</strong>rileri” aşağıdaki<br />
yöntemlerden birisi kullanılarak<br />
saklanır:<br />
– <strong>İmza</strong> doğrulaması yapacak tüm<br />
kullanıcıların ulaşabileceği ortak bir<br />
alanda “doğrulama <strong>ve</strong>rileri” saklanır.<br />
– “<strong>Doğrulama</strong> <strong>ve</strong>rileri” imza dosyasının<br />
içeriğine “imzaya dahil olmayan<br />
(unsigned attributes)” imza özellikleri<br />
olarak eklenir.<br />
Sertifika <strong>ve</strong><br />
SİL/OCSP<br />
Deposu<br />
OCSP<br />
Cevabı<br />
ETSI 101 733<br />
Merhaba<br />
<strong>İmza</strong><br />
sahibinin<br />
sertifikası<br />
Elektronik imza<br />
Zaman Damgası<br />
OCSP<br />
Cevabı
Sonraki <strong>İmza</strong> mza <strong>Doğrulama</strong> Do rulama<br />
İşlemleri İşlemleri
21<br />
Sonraki <strong>İmza</strong> <strong>Doğrulama</strong> İşlemi<br />
• İlk imza doğrulamadan sonra yapılan doğrulama<br />
işlemleridir.<br />
• İlk imza doğrulamada kullanılan “doğrulama <strong>ve</strong>rileri”<br />
kullanılır.<br />
• “<strong>Doğrulama</strong> <strong>ve</strong>rileri” aşağıdaki yöntemlerden birisi ile<br />
elde edilir:<br />
– Tüm kullanıcıların ulaşabileceği ortak bir alandan elde edilir.<br />
– <strong>İmza</strong> dosyasının içeriğinden elde edilir.<br />
• İlk imza doğrulaması sırasında yapılan tüm kontrollerin<br />
aynısı imzanın atıldığı tarih referans alınarak tekrar<br />
yapılır.
22<br />
Sonraki <strong>İmza</strong> <strong>Doğrulama</strong> İşlemi<br />
ETSI 101 733<br />
Merhaba<br />
<strong>İmza</strong><br />
sahibinin<br />
sertifikası<br />
Elektronik imza<br />
Zaman Damgası<br />
OCSP<br />
Cevabı<br />
Sonraki <strong>İmza</strong><br />
<strong>Doğrulama</strong><br />
Yazılımı<br />
ETSI 101 733<br />
Merhaba<br />
<strong>İmza</strong><br />
sahibinin<br />
sertifikası<br />
Elektronik imza<br />
Zaman Damgası<br />
Sertifika <strong>ve</strong><br />
SİL/OCSP<br />
Deposu<br />
OCSP<br />
Cevabı
Elektronik <strong>İmza</strong>n mzanın<br />
Arşivlenmesi<br />
Ar ivlenmesi
24<br />
Elektronik <strong>İmza</strong>nın Arşivlenmesi<br />
• Elektronik imzalı dokümanların uzun dönem<br />
saklanması gerektiğinde arşivleme yapılır.<br />
• Geçmişte kullanılan algoritmaların <strong>ve</strong>ya anahtarların<br />
artık gü<strong>ve</strong>nli kabul edilmediği durumlardaarşivleme<br />
yapılır.<br />
• ESHS Zaman Damgası sunucularına bağlanılarak,<br />
eskiden oluşturulmuş imza dosyalarına Zaman<br />
Damgası alınması yoluyla arşivleme yapılır.<br />
• Arşivleme ilerleyen zamanlarda gerektikçe tekrarlanır.
25<br />
Arşiv Zaman Damgası<br />
ETSI 101 733<br />
Merhaba<br />
<strong>İmza</strong><br />
sahibinin<br />
sertifikası<br />
Elektronik imza<br />
Zaman Damgası<br />
ETSI 101 733<br />
<strong>Doğrulama</strong><br />
Verileri<br />
5/)=hf+%<br />
Arşivleme<br />
ESHS<br />
Zaman<br />
Damgası<br />
Sunucusu<br />
Zaman Damgası