1 / 39

Sanal Ortamda Kimlik Tanıma Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI)

Sanal Ortamda Kimlik Tanıma Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI). KOBIL Systems GmbH (www.kobil.com). Güvenliğin Temel Ögeleri. INTERNET. MÜŞTERİ. “Bir zincir en zayıf halkası kadar sağlamdır”. BANKA. Kimlik Doğrulama (Authentication) Müşterinin Bankayı Tanıması

stu
Download Presentation

Sanal Ortamda Kimlik Tanıma Bir Defalık Şifreler (OTP) Açık Anahtar Altyapıları (PKI)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Sanal Ortamda Kimlik TanımaBir Defalık Şifreler (OTP)Açık Anahtar Altyapıları (PKI) KOBIL Systems GmbH (www.kobil.com)

  2. Güvenliğin Temel Ögeleri INTERNET MÜŞTERİ “Bir zincir en zayıf halkası kadar sağlamdır” BANKA • Kimlik Doğrulama (Authentication) • Müşterinin Bankayı Tanıması • Bankanın Müşteriyi Tanıması • Gidip Gelen Bilgilerin Doğruluğu (Integrity) • Gidip Gelen Bilgilerin Gizliliği (Confidentiality) MÜŞTERİ

  3. Güvenlikteki Dengeler • Ulaşılacak miktar arttıkça, kötü niyetli kişiler sistemi kırmak için • daha fazla para, zaman ve emek harcayacaktır • Güvenliği artırmak için sistem maliyetleri artacaktır Güvenliği arttırmak için harcanan para Güvenlik (Security) Kullanılabilirlik (Usability) Sistemi kırmak için harcanan para • Hedef güvenliği arttırarak sistemi kırma maaliyetlerini arttırmak, • kullanılabilirliği ve sistem maliyetlerini makul seviyede tutmak • olmalıdır

  4. MÜŞTERİ ATM INTERNET MÜŞTERİ Farklı Dağıtım Kanallarında Farklı Kimlik Tanıma Yöntemi KİMLİK + İMZA ŞUBE MÜŞTERİ KART + PİN BANKA KOD + ŞİFRE

  5. TEHDİT 1: İçeride Banka Çalışanları INTERNET MÜŞTERİ BANKA BANKA ÇALIŞANI MÜŞTERİ

  6. 1. ADIM : Banka İçinde Güvenliğin Sağlanması INTERNET MÜŞTERİ • Banka içi Network Güvenliği • Müşteri Veri Tabanının Güvenliği • Yetkili Kişilerin Belirlenmesi • Yetki Sınırlarının Belirlenmesi • Odalara ve Sistemlere Giriş Kontrolü • Antivirüs Programları • ....... BANKA BANKA ÇALIŞANI MÜŞTERİ

  7. TEHDİT 2 : Dışarıdan Sistemlere Ulaşabilenler INTERNET MÜŞTERİ BANKA MÜŞTERİ

  8. 2. ADIM : Dışarıdan Sisteme Giriş Kontrölü INTERNET MÜŞTERİ BANKA • Firewall • Intrusion Detection • ....... MÜŞTERİ

  9. TEHDİT 3 : Network Paketlerine Ulaşabilenler INTERNET MÜŞTERİ BANKA MÜŞTERİ

  10. 3. ADIM : 128 bit SSL Kullanılması SSL INTERNET MÜŞTERİ BANKA SSL SSL MÜŞTERİ

  11. TEHDİT 4 : Müşteri Bilgisayarına Ulaşabilenler SSL INTERNET MÜŞTERİ BANKA SSL MÜŞTERİ

  12. TEHDİT 4b : Müşteri Şifresini Ele Geçirenler SSL INTERNET MÜŞTERİ SSL BANKA SSL MÜŞTERİ

  13. SSL in Öbür Ucundaki Kişi Gerçekte Kimdir ? SSL ? INTERNET MÜŞTERİ BANKA ? SSL MÜŞTERİ ???

  14. Kimlik Tanımadaki Faktörler • Bildiğin Birşey (Örnek : Şifre, Anne kızlık soyadı, doğum yeri...) • Sahip Olduğun Birşey (Kopyalanamamalı, Örnek : Akıllı Kart) • Sadece Kişiye ait bir Özellik (Eşsiz olmalı, Örnek : Biometrik özellikler)

  15. ETRAFINIZDAKİ KİŞİLER MÜŞTERİ BİLGİSAYARINA İNDİRİLEN SOLUCANLAR, TRUVA ATLARI BANKA ÇALIŞANI Sadece Bildiğin Birşeye Güvenmek(One Factor Authentication) Statik Şifre Doğum tarihi ...... SSL INTERNET ? Firewall MÜŞTERİ BANKA

  16. ETRAFINIZDAKİ KİŞİLER MÜŞTERİ BİLGİSAYARINA İNDİRİLEN SOLUCANLAR, TRUVA ATLARI BANKA ÇALIŞANI Bildiğin Birşeye + Sahip Olduğun Birşeye Güvenmek(Two Factor Authentication) SSL PIN INTERNET ? Firewall MÜŞTERİ BANKA

  17. İki Faktör Kimlik Tanıma YöntemleriBir Defalık Şifreler (OTP)Açık Anahtar Altyapıları (PKI) KOBIL Systems GmbH

  18. OTP PIN OTP OTP Senkronize Çalışır OTP sunucu OTP token Birdefalık Şifreler(One Time Password -OTP) SSL PIN INTERNET ? Firewall BANKA

  19. OTP + PIN OTP OTP + PIN Senkronize Çalışır OTP token Birdefalık Şifreler(One Time Password -OTP) SSL PIN INTERNET ? Firewall BANKA OTP sunucu

  20. EKRAN 2 Kullanıcı Kodu Şifre EKRAN 3 Statik Şifre OTP Mevcut Sistemde OTP Kullanım Şekli EKRAN 1

  21. Kullanıcı Kodu + Şifre 2. ekran + OTP Banka Sunucusunda OTP Kimlik Doğrulama Statik Şifre OTP sunucu WEB sunucu Static Şifre sunucu Kullanıcı Veri Tabanı

  22. OTP’nin Avantajları • İki faktör kimlik dogrulama sağlar • Banka tarafında ; • OTP sunucu kurulumu kolay • OTP dağıtımı kolay • Maliyeti diğer sistemlere göre düşük • Farklı kanallarda kullanılabilinir (Fonobank gibi...) • Müşteri tarafında ; • OTP Kullanımı kolay • OTP-Token taşınabilir olduğundan “Mobilite” sağlar • Yazılım yüklenmesi gerekmez • İşletim sisteminden bağımsız

  23. Yardım Masası Şubeler Telefon ile Aktivasyon Yeni Müşteri Listesi Email ile Aktivasyon CSP / PKCS11 Kayıt Kabulü Sayfa 1 Sayfa 2 Dağıtım TRUST CENTER Sertifika Otoritesi FILTER Veri Tabanı Sertifika Seri No, Kart No, PIN, PUK Kart Basım Modülü KullanıcıID... Yönetim Programı UserID, DN Açık Anahtar Altyapıları ve Dijital İmza Müşteri Web Browser SSL Kimlik Tanıma Web sunucu

  24. Açık anahtar Altyapısında (PKI) Temel Adımlar • KULLANICILARIN SİSTEME KATILIMI • Kullanıcı Kayıt ( Registration Authority - RA ) • Yetkili Merkezde Kart Basılması / Sertifia Dağıtımı ( CA ) • Basılan Kartların Kullanıcıya iletilmesi ve Aktif Edilmesi • UYGULAMALAR • CSP veya PKCS11 modülleri yardımıyla Akıllı Kart kullanımı • Diğer kullanıcılara ve sunuculara ait sertifikaların bulunması • İptal edilmiş sertifikaların (CRL) kontrolü • PERİYODİK İŞLEMLER • Sertifia Yenileme (1-2 yıl) • Kart ( anahtar ve sertifika ) yenileme (2-4 yıl) • DİĞER • Kart / PIN çalınması veya kullanıcı ayrılışında Sertifika İptali

  25. Her bir katman bir alt katmana bağlıdır Bu katmanda varolan kullanıcı veri tabanına entegrasyon önemlidir Uygulama ağındaki kullanıcıların Veri Tabanı ve Yönetim Programı PKI Uygulamalarındaki KATMANLAR Kart + Okuyucu Sertifika Yenileme Sistemi Sertifika Aktivasyon ve İptal İşlemleri Sertifika Dağıtım ve Kart Basım Yazılım ve Donanımları Sertikika Otoritesi Kimlik Tanıma, Gizlilik, Bilgi Bütünlüğü, ve İnkar Edememe gerektiren uygulamalar ( InternetExplorer, Outlook, Netscape .... )

  26. Bir PKI Uygulamasındaki GENEL KOMPONENTLER • Kullanıcı Veri Tabanı ve Kayıt Yönetim Sistemi (LDAP, AD, ACCESS, SQL Server... , Veri tabanı yönetim programı) • Sertifika Otorite Yazılımı (Microsoft CA) • Otomatik Sertifika Dağıtım ve Kart Basım Sistemi (Kart Yazıcısı, PIN/PUK Yazıcısı, Sertifika Dağıtım Programı) • Kullanıcı PC sindeki Yazılım ve Donanımlar (TCOS, CSP, P11, KOBIL kart okuyucu) • Aktivasyon ve Sertifika İşlemleri için Yönetim Sistemi (Veri tabanı yönetim programı) • Sertifika Yenileme Sistemi (Kullanıcı Veri Tabanında Yapılacak Kontroller) • Uygulamalar (Kullanıcı + Sunucu) (MS VPN, IE, Outlook, .NET, ...)

  27. PKI ve OTP Karşılaştırması • Her iki çözümde 2 faktör kimlik dogrulama sağlar • PKI’ın OTP ye göre dezavantajları ; • PKI kurulumu ve kart + okuyucu dağıtımı zordur • Müşteri bilgisayarına yazılım yüklenmektedir • Mobilite kolaylığı azalır • Her işletim sistemi desteklenmeyebilir • Kurulum ve İşletim Maliyetleri OTP ye göre yüksektir • PKI’ın OTP’ye göre avantajları ; • Kimlik doğrulama dışında şifreleme sağlar • Email ve Dosya şifreleme /imzalamada kullanılabilinir • B2B işlemlerde kullanılabilinir • “Dijital İmza Kanunu” ve hukuksal güvence • Transaction’ların imzalanması

  28. Email Server Güvenli E-mail Alış Verişi #$%&{**!!*+?? #$%&{**!!*+?? BANKA ÇALIŞANI PKI ile Şifreli ve İmzalı Email Alışverişi INTERNET PIN Firewall BANKA MÜŞTERİ

  29. File Server Güvenli Dosya Alış Verişi #$%&{**!!*+?? #$%&{**!!*+?? BANKA ÇALIŞANI PKI ile Şifreli ve İmzalı Dosya (Raporlar/Emirler) Alışverişi INTERNET PIN Firewall BANKA MÜŞTERİ

  30. PKI ve B2B INTERNET KURUMSAL MÜŞTERİ Kimlik Doğrulama, ve Para Transferi BANKA Alım ve Ödeme Emirleri KURUMSAL MÜŞTERİ B2B PAZARYERİ

  31. SSL Bankacılık İşlemleri PKI Güvenliğinde, Bankacılık İşlemlerinin Muhasebe Programlarına Entegrasyonu Firewall INTERNET BANKA KURUMSAL MÜŞTERİ Muhasebe İşlemleri

  32. PKI Güvenliğinde, Bankacılık İşlemlerinin Muhasebe Programlarına Entegrasyonu Muhasebe ve Bankacılık İşlemleri Firewall INTERNET KURUMSAL MÜŞTERİ BANKA

  33. PKI’ın Getirdiği Avantajlar • Bugün Fax ile, kurye ile yada floppy-disk üzerinde şubeye gönderilen raporlar, sıralı işlemler, v.s. gibi pekçok bankacılık hizmeti, İnternet üzerinde online olarak anında gerçekleşebilir • Yazılı olarak (hard copy) veya dijital olarak (soft copy) gelen pek çok işlem, kontröller için ve işlemlerin gerçekleştirilmesi için ekstra personel çalışmaktadır • Dolayısıyla PKI kullanımına geçmek başlangıç maaliyetleri arttırsada, orta ve uzun vadede maaliyetleri düşürecektir

  34. PKI Uygulamasındaki Riskler • PKI ın güvenliği anahtar-yönetimine (anahtar üretim, dağıtım, yenileme, iptal işlemleri) ve müşteri anahtarlarını saklama, kullanma yöntemlerine bağlıdır • PKI kurulumunda veya sistemin işletilmesinde yapılacak hatalar büyük güvenlik riskleri oluşturabilir • Sisteme dahil olan tüm kullanıcılar yeterli güvenlik bilgisine sahip olmalıdır. Aksi halde kullanıcılar zararlı programlarla yanıltılabilirler (Örneğin. Kullanıcı PC sindeki CA sertifikalarının değiştirilmesi veya program arayüzlerini taklit ederek kart ve PIN girişi istenmesi)

  35. Kullanıcılara ait Gizli Anahtarların Güvenliği • Anahtar üretimi ve yönetimi merkezde kurulacak bir TRUST CENTER da yapılmalıdır • Anahtarlar fiziksel güvenlik sağlayan akıllı kartlara yazılmalıdır • Akıllı kartlar PIN ile korunmalıdır • PIN üretimi ve dağıtımı en az anahtarlar kadar güvenli olmalıdır

  36. İdeal Anahtar Üretimi ve Kullanımı • Anahtarlar Trust-Center da Offline olarak ve Güvenli bir ortamda basılır • Anahtarlar asla kartı terk etmez • Client tarafında asla anahtar üretilmez • Sertifika yenileme işleminde farklı anahtar kullanabilmek için, Trust-Center da kart basım esnasında karta birden fazla anahtar çifti yüklenir ve ilk anahtar çifti ile ilişkili tek bir sertifika yazılır • Her sertifika yenileme işleminde bir başka anahtar çifti kullanılır. Eski sertifika silinir.

  37. İdeal TRUST CENTER Yazılım veya Donanım Olabilir PIN/PUK Üretim RSA Anahtar Üretim PIN/PUK Anahtar Sertifika Kullanıcı VeriTabanı KART BASIM Programı PIN/PUK Sertifika Otoritesi HSM BU MERKEZ OFF-LİNE ÇALIŞMALI VE GÜVENLİĞİ SAĞLANMALIDIR

  38. Akıllı Kart ve Okuyucu Seçimi • Müşteri anahtarları akıllı kartı asla terk etmemeli ve crypto coprocessor e sahip kartlar kullanılmalıdır. Bu sayede RSA işlemleri on-board gerçekleştirilmelidir • Anahtarları kart üzerinde koruyan PIN de en az anahtarlar kadar önemlidir. PIN leri korumak içinde üzerinde keypad i olan ve secure-PIN-entry imkanı sunan kart okuyucuları kullanılmalıdır

  39. Akıllı Kart Terminalleri Sınıf -2 Sınıf -1 Sınıf -3

More Related