E-İmza Oluşturma ve Doğrulama E-İmza Oluşturma ve Doğrulama

E-İmza mza Oluşturma Olu Oluşturma turma ve Doğrulama Do Doğrulama rulama
TODAİE TODA TODAİE E Sunumu
Ferda Topcan
Başuzman Araştırmacı
ferdat@uekae.tubitak.gov.tr
(312) 4688486-19

2
İçerik erik
• İmza Verisi Formatı
• E-imza Oluşturma
• E-imza Zamanının Belirlenmesi
• İlk İmza Doğrulama İşlemleri
• Sonraki İmza Doğrulama İşlemleri
• E-imzanın Arşivlenmesi

İmza mza Verisi Formatı
Format

4
E-imza Veri Formatı
ETSI: European Telecommunications Standards Institute
ETSI TS 101 733: Electronic Signatures and Infrastructures
(ESI); CMS Advanced Electronic Signatures (CAdES)
PKCS # 7: Cryptographic Message Syntax Standard
RFC 3852: Cryptographic Message Syntax (CMS)
ETSI TS 101 903: XML Advanced Electronic Signatures
(XAdES)
W3C/IETF Recommendation: "XML-Signature Syntax and Processing".

5
Elektronik İmzanın ETSI Formatında Saklanması
Merhaba
SHA-1
$½§
RSA
;+?(^!’
Elektronik imza
Ayrık imza
ETSI 101 733
;+?(^!’
Bitişik imza
ETSI 101 733
Merhaba
;+?(^!’

6
İmza Dosyasına Eklenebilecek Bilgiler (İmza Özellikleri)
İmza Dosyası
ETSI 101 733
Merhaba
İmzaya Dahil Olan
Bilgiler
İmzaya Dahil Olmayan
Bilgiler
;+?(^!’
İmza zamanı (signing time)
İmza politikaları (signature policies)
İmza amacı (commitment type)
Kullanılan sertifikayı tanımlayan bilgiler
(signing certificate)
Elektronik sertifikalar:
• İmza sahiplerine
ait sertifikalar
• ESHS’lere ait
sertifikalar
Sertifika iptal kontrol referans verisi
• OCSP referansı
•SİL numarası
Sertifika iptal kontrol verisi
•OCSP cevabı
•SİL
Zaman Damgası

7
Çoklu İmza: Seri ve Paralel İmza
ETSI 101 733
Merhaba
1. imza
2. imza
Seri İmza
ETSI 101 733
Merhaba
1. imza 2. imza
Paralel İmza

Elektronik İmza mza Oluşturma Olu turma

9
Elektronik İmzanın Oluşturulması
Merhaba
Elektronik sertifika
E-imza
Oluşturma
Yazılımı
“é!é+U%/(?(%(&^^fg€[
½]{]{9f\[{{’/+%/(^&/(+
&E556%/&&()&)(/=)(?=
)%&MS^!^^Y/)P??(/)%(
/%(%/((/{[{[==?\}][?/&?
özel anahtar dosyası
ETSI 101 733
Merhaba
İmza
sahibinin
sertifikası
Elektronik imza

10
Elektronik Sertifikanın Geçerlilik Kontrolleri
İMZA
OLUŞTURMA
UYGULAMASI
Elektronik
imzalı
veri
İMZA
DOĞRULAMA
UYGULAMASI
– Sertifika üzerindeki ESHS’nin imzası
– Sertifika geçerlilik süresi
– Sertifika kullanım amacı
Sertifika iptal
durum kontrolü
Sertifika iptal
durum kontrolü
– Sertifika iptal durum kontrolü
Sertifika
İptal
Listesi
(SİL)
OCSP
OCSP
Yanıtlayıcı
ESHS
Web
Sunucu
Dizin
Sunucu

E-imza imza Zamanının Zaman n
Belirlenmesi

12
Elektronik İmzaya Zaman Bilgisinin Eklenmesi
İmza zamanı olarak aşağıdakilerden birisi belirlenebilir:
1. Kullanıcı makinasındaki sistem saati veya kurumdaki bir
sunucudan alınan saat bilgisi imza dosyasına imzalı özellik
olarak eklenebilir. Ancak bu yöntem imza zamanının
belirlenmesinde güvenilir kabul edilmemektedir.
2. Zaman damgası (Time Stamp)

13
Elektronik İmzaya Zaman Damgası Eklenmesi
1. İmza oluşturulduktan sonra imzaya zaman damgası alınabilir:
Bu durumda imzanın zaman damgası alındığı tarihten önce
oluşturulduğu ispatlanır.
Zaman damgası imza dosyasına sonradan eklenir.
Zaman damgası imza dosyasına aşağıdaki zamanlarda
eklenebilir:
o Kullanıcı imzayı oluşturduktan hemen sonra kullanıcı
uygulaması zaman damgası alabilir.
o Kullanıcı imzalı belgeyi alıcı tarafa gönderdikten sonra alıcı
tarafın uygulaması zaman damgası alabilir.
2. İmza oluşturulmadan önce imzalanacak belgeye zaman
damgası alınabilir ve imza oluşturulurken alınan zaman
damgası da imzalanır:
Bu durumda belgenin zaman damgası alındığı tarihten önce
oluşturulduğu; imzanın ise zaman damgası alındığı tarihten
sonra oluşturulduğu ispatlanır.

14
Elektronik İmzaya Zaman Damgası Eklenmesi
ETSI 101 733
Merhaba
İmza
sahibinin
sertifikası
Elektronik imza
Elektronik imza
Zaman Damgası
Özetleme
algoritması
İmzanın Özet
Değeri
İmzanın Özet
Değeri
Zaman Bilgisi
ESHS’nin
İmzası
Zaman Damgası
GÜVENİLİR
ZAMAN KAYNAĞI
ESHS
Zaman
Damgası
Sunucusu

İlk lk İmza mza Doğrulama Do rulama
İşlemleri İşlemleri

16
İlk İmza Doğrulama İşlemi
• İmza oluşturulduktan ertelenme süresi (grace period)
kadar zaman geçtikten sonra gerçekleştirilir.
ESHS’nin
iptal bilgisi
yayınlama
zamanı
İmza zamanı ESHS’nin
iptal bilgisi
yayınlama
zamanı
Ertelenme Süresi
Sertifika iptal
kontrolünün
yapıldığı zaman

17
İlk İmza Doğrulama İşlemi
• İmza oluşturulup, alıcıya gönderildikten sonra alıcı
tarafından gerçekleştirilebilir.
• İmza sahibinin sertifikasının ve güven zincirindeki tüm
ESHS sertifikalarının geçerlilik kontrolleri yapılmalıdır.
• ESHS’ye ait diğer sertifikaların (OCSP/SİL İmzalama,
Zaman Damgası) geçerlilik kontrolleri yapılmalıdır.
• SİL veya OCSP cevaplarının geçerlilik kontrolü
yapılmalıdır.
• Zaman damgasının geçerlilik kontrolü yapılmalıdır.
• Doğrulama verileri toplanmalıdır.

18
İlk İmza Doğrulama İşlemi
• İlk imza doğrulama sırasında toplanan “doğrulama
verileri” aşağıdaki verilerdir:
– Kullanıcı sertifikası
– Kullanıcı sertifikasını imzalayan ESHS sertifikası ve sertifika
güven zincirindeki diğer ESHS sertifikaları
– Kullanıcı sertifikası ile ilgili SİL veya OCSP cevabı
– Sertifika güven zincirindeki ESHS sertifikaları ile ilgili SİL
veya OCSP cevapları
– Zaman damgası
– Zaman damgası ile ilgili SİL veya OCSP cevabı
– SİL/OCSP ve zaman damgasını imzalayan ESHS sertifikaları
• Doğrulama verileri “sonraki imza doğrulama”
işlemlerinde kullanılır.

19
İlk İmza Doğrulama İşlemi
• İmza doğrulama sırasında kullanılan
“doğrulama verileri” aşağıdaki
yöntemlerden birisi kullanılarak
saklanır:
– İmza doğrulaması yapacak tüm
kullanıcıların ulaşabileceği ortak bir
alanda “doğrulama verileri” saklanır.
– “Doğrulama verileri” imza dosyasının
içeriğine “imzaya dahil olmayan
(unsigned attributes)” imza özellikleri
olarak eklenir.
Sertifika ve
SİL/OCSP
Deposu
OCSP
Cevabı
ETSI 101 733
Merhaba
İmza
sahibinin
sertifikası
Elektronik imza
Zaman Damgası
OCSP
Cevabı

Sonraki İmza mza Doğrulama Do rulama
İşlemleri İşlemleri

21
Sonraki İmza Doğrulama İşlemi
• İlk imza doğrulamadan sonra yapılan doğrulama
işlemleridir.
• İlk imza doğrulamada kullanılan “doğrulama verileri”
kullanılır.
• “Doğrulama verileri” aşağıdaki yöntemlerden birisi ile
elde edilir:
– Tüm kullanıcıların ulaşabileceği ortak bir alandan elde edilir.
– İmza dosyasının içeriğinden elde edilir.
• İlk imza doğrulaması sırasında yapılan tüm kontrollerin
aynısı imzanın atıldığı tarih referans alınarak tekrar
yapılır.

22
Sonraki İmza Doğrulama İşlemi
ETSI 101 733
Merhaba
İmza
sahibinin
sertifikası
Elektronik imza
Zaman Damgası
OCSP
Cevabı
Sonraki İmza
Doğrulama
Yazılımı
ETSI 101 733
Merhaba
İmza
sahibinin
sertifikası
Elektronik imza
Zaman Damgası
Sertifika ve
SİL/OCSP
Deposu
OCSP
Cevabı

Elektronik İmzan mzanın
Arşivlenmesi
Ar ivlenmesi

24
Elektronik İmzanın Arşivlenmesi
• Elektronik imzalı dokümanların uzun dönem
saklanması gerektiğinde arşivleme yapılır.
• Geçmişte kullanılan algoritmaların veya anahtarların
artık güvenli kabul edilmediği durumlardaarşivleme
yapılır.
• ESHS Zaman Damgası sunucularına bağlanılarak,
eskiden oluşturulmuş imza dosyalarına Zaman
Damgası alınması yoluyla arşivleme yapılır.
• Arşivleme ilerleyen zamanlarda gerektikçe tekrarlanır.

25
Arşiv Zaman Damgası
ETSI 101 733
Merhaba
İmza
sahibinin
sertifikası
Elektronik imza
Zaman Damgası
ETSI 101 733
Doğrulama
Verileri
5/)=hf+%
Arşivleme
ESHS
Zaman
Damgası
Sunucusu
Zaman Damgası