Akıllı kartlarda yeni güvenlik sistemlerinin incelenmesi

Abstract

Son yıllarda teknolojinin hızlı bir şekilde ilerlemesi, elektronik cihazların günlük yaşantımızda kullanımını arttırmıştır, özellikle internet kullanımının artmasıyla birlikte elektronik ticaret hızla yayılmıştır. Otomasyonun, zaman harcamasını ve bürokrasi engellerini minimize etmesi kullanımı arttırmakta dolayısıyla verilerin ve elektronik cihazların korunması hayatımızında önemli bir yer tutmaktadır. Bir doğa kanunu olarak ilerleyen, gelişen teknolojilerinin açıklarını yakalayıp çeşitli zararlar veren dolandırıcıhlarm sayısındaki artma maalesef kaçınılmaz olmuştur. Bu sebeple kötü niyetli şahıslara ve kurumlara karşı sistemlerin güvenliğini sağlamak için birçok araştırmacı çeşitli yöntemler geliştirmiştir. Akıllı kartlar bu çalışmaların en son adımıdır. 20 yıla yakın bir süredir kullanılmasına rağmen son yıllarda yapılan geliştirmeler ve mevcut sistemlerin artık yetersizliği, bu sistemlerin kullanılmasını kaçınılmaz hale getirmiştir. Bu tezde akıllı kartlar incelenmiş, şu anda sahip olduğu kriptografik kabiliyetlerinin detayları ele alınmıştır. Bunun yanında mevcut algoritmaların artık yeterli güvenliği tesis edemediğinden dolayı gelecekte kullanılması zorunlu olacak yeni algoritmalar ve fonksiyonlar da incelenmiştir. Uzun yıllardır insanoğlununa hizmet etmiş, çeşitli sistemlerde yapılan işlemlerde güvenlik sağlayan DES(Data Encryption Standard) algoritması incelenmiştir. DES algortimasının gerçeklenmesindeki detaylar verilmiş ve DES'in modları ve güvenliği ele alınmıştır. Kriptografi dünyasının, DES'in güvenliğinin yetersiz kalmasını fikir birliği ile kabul etmesinin hemen ardından yeni standart olarak kabul edilen AES (Advanced Encryption Standard) algoritması anlatılmıştır. AES'in tasarım kriterleri, avantajları ve dezavantajları da ele alınmıştır. Bir asimetrik algoritma olan RSA (Rivest Shamir Adleman) algoritmasının tanımı ve çeşitli metodlarla gerçeklenmesi incelenmiştir. RSA' in güvenliği ele alınarak diğer kripto sistemlerle karşılaştırılması verilmiştir. Yeni simetrik algoritmanın (AES) standartlaştırılmasıyla birlikte mevcut öz alma fonksiyonlarının, yeni algoritmanın blok uzunluğuna uygun olarak elden geçirilmesi zorunlu hale gelmiştir. Bu amaçla tasarlanan daha geniş bit uzunluklu ve yavaş olmasına rağmen daha karmaşık ama güvenlik açısından daha güçlü olan yeni öz alma fonksiyonları ele alınmıştır. Bunlarla birlikte akıllı kartların iç yapıları, işleyişi, güvenliği, asıllama metodları, akıllı kart çeşitleri ve uygulamaları üzerinde durulmuş ve de bir işletim sisteminin ne tür özelliklere sahip olması gerektiği verilmiştir. Yapılan araştırmalar, yazılım ve donanım çalışmalarıyla pekiştirilmiş, teorik çalışmaların pratik olarak gerçeklemesi yapılmıştır. Kısaca yapılan çalışmaları özetleyecek olursak: Bankacılık uygulamalarında sıkça kullanılan ve ATM kart sahibinin şifresini RSA algoritmasını kullanarak şifreleyen Pinpad cihazının donanımı tasarlanmış ve kriptografi fonksiyonları hazırlanmıştır. Bu projeyle ilgili olarak tasarımı yapılan donanımın testleri için bir arayüz tasarlanmıştır. Bu proje Türkiye'de yapılan ilk çalışmadır. İncelenen algoritmaların testlerinin yapılıp, performanslarını analiz etmek için tümleşik bir yazılım hazırlanmıştır. Hazırlanan yazılamlar bir dil dosyasına taşınarak internet ortamında koşacak bir yazılımla insanların kullanımına sunulmuştur.

Rapid grown in the technologies in recent years makes the usage of the electronic devices evitable. As the world becomes more connected, the demand for information and electronic devices increased. Since automation minimizes the time consuming and the bureaucracy, exchange of the information through the internet is common practice. So protecting data and electronic systems is crucial to our way of living. Despite increase in the usage of the electronic systems, as natural fact, number of the adversary and fraudness increases. As a result of this, several resarchers work on the developing new methods. Smarts cards is the final step of the investigations. Although they have been being used for 2 decades, new approaches and developments in the securing information and financial transactions make it more popular and comfortable. In this thesis it is worked on smart cards and smart card technologies. Cryptographic capability of them investigated detailly. Because of the insecure current algorithms, obligible algorithms to be used in the future was tackled with. DES (Data Encryption Standard) is the most common algorithm which is used for several years and secures the electronic systems, was worked. Implementation details, modes and security of it were given as well. After agreement on the insuffient security of DES, new symmetric algorithm AES (Advanced Encryption Standard) was accepted as a new standard instead of DES. Implementation, design creteria, advantages and disadvantages of AES was dealed with. Public key cryptography (known asymmetric as well) represents the final step of the interesting cryptography history. The most common asymmetric algorithm RSA is worked. Definition of it, implementation using with different methods and comparision with other crypto systems were given. With the new symmetric standard AES, necessity of the new hash functions regarding of the block length of the algorithm become obligible. As a result, new hash functions with longer bit lengths which are slower but more sophisticated and powerful ones were given. And also historical foundation for smart card description components such as types of cards, processors, commands, operating system, security and applications were given. Conselidation of the theorical studies, hardware and software implementations were done. Pinpad which is used in banking applications for cash payment with using POS and ATM card, protects the pin of the card holder. Its hardware and its cryptographic functions were designed. And also test software which runs on PC designed. It was the first RSA pinpad designed in Turkey. In order to testing and analyzing results of the given algorithms an integrated software was prepared. This software was transformed into a dll file for working under an internet program. It is published to people who are interested on cryptography.