ISC 2007 İzlenimlerim

ISC (Information Security & Cryptology – Bilgi Güvenliği ve Kriptoloji) konferansı 13-14 Aralık 2007 tarihlerinde Ankara Sheraton otelinde uluslararası katılımla gerçekleşti. Bu sene 2.si düzenlenen konferansın konusu mobil elektronik imza idi. Geçen seneki ISC konferansının konusu e-imza idi ve o tutmuş olacak ki bu seneki konuyu da e-imzadan pek de farklı bir alt yapıya sahip olmayan mobil elektronik imza olarak seçmişler.

Konferansta anlatılanlara geçmeden önceden konferansın yapısı hakkıda düşüncelerimi belirtmek istiyorum. Geçen sene 2 adet kriptoloji konferansımız vardı. Bir tanesi belirttiğim gibi ISC’nin 1.siydi. Diğeri ise geçen sene 2.si ODTÜ ve Tübitak UEKAE tarafından ODTÜ’de düzenlenmiş olan Ulusal Kriptoloji Sempozyumu idi. Bu sempozyumun ISC’den farkı ağırlıklı olarak akademik içerikli olmasıydı. Bu sene ODTÜ’de ISC konferansına katıldı ve Ulusal Kriptoloji Sempozyumunun 3.sü düzenlenmeyecekmiş. Peki bunun ne gibi getirileri ne gibi götürüleri var. Bence bu seneki ISC konferansında akademik kısma hakettiği önem verilmedi. Buna 20şer dakikalık akademik çalışmalar 3 salonda aynı anda sunulurken, katılımcı firmalara aynı anda başka oturum yapılmadan 1 saat gibi bir süre verilmesi güzel bir örnek oluşturuyor. Elbette pratikteki uygulamaların topluma sunulmasının yararı yadsınamaz ama umarım bunu yapabilmek için akademik bir sempozyuma duyulan gereksinim gözardı edilmez. Çünkü bu pratik bilgilerin oluşmasının altında oldukça yüksek düzeyde akademik çalışma yatıyor ve toplumumuzun yapısı akademik çalışmaya hak ettiği önemi vermeden pratik uygulamayı kullanmaya oldukça müsait.

Kısa bir özeleştiriden sonra konferansın içeriğine geçebiliriz. Konferansın açılışında verilen istatistik ağırlıklı bilgiler her ne kadar kriptoloji ile doğrudan ilgili olmasa da sizinle paylaşmak istiyorum. Örneğin 1995 yılında dünyada 14milyon internet kullanıcısı ve 100bin alan adı varken, 2007 yılında internet kullanıcısı sayısı 1milyara ve alan adı sayısı ise 140milyona ulaşmış. Türkiye’de ise, galiba 95 yılındaki sayılar çok yüz kızartıcıydı, 2002 yılında 5milyon internet kullanıcısı varken, 2007 yılında bu sayı 20milyon olmuş. Biraz daha konumuzla ilişkili olarak ise Türkiye’de şu an 15000 e-imza kullanıcısı olduğu bilgisi verildi. Dijital dünyanın firmalara sağladığı maliyet düşüşünü Visa Europe temsilcisi somut bir şekilde dile getirdi: Örneğin bir kimsenin şubeden yapacağı bir işlemin bankaya maliyeti 1,7$ iken, internetten yapacağı işlemin maliyeti 1cent imiş. Elbette bankalar yaptıkları güvenlik adımlarını saydılar, tek seferlik şifre üreteci (token), cep telefonu ile yapılan uygulamalar, kişiselleştirilebilir güvenlik ayarları, e-imza uygulamaları ve özellikle phishing uygulamalarına karşı müşterilerin bilgilendirilmesi bunlardan bazıları. İlerleyen sunumlarda Valimo (Finlandiya) firmasından katılan Tapio Vailahti, bankaların müşterileri internetteki işlemlerinde oluşacak zarara karşı sigortaladıklarını ama bunun bile insanların internetteki işlemlere karşı güven duymasını sağlayamadığını, insanların öncelikle böyle bir olayın yaşanmamasını istediğini belirtti.

Gelelim konferansın can alıcı konusu mobil elektronik imzaya. Öncelikle nedir mobil elektronik imza, yenir mi içilir mi :-p Aslında mantık elektronik imza üzerine kurulu. E-imza için öncelikle bir ESHS‘ya (Elektronik Sertifika Hizmet Sağlayıcı, örn: TurkTrust, EGüven, VeriSign ) gidip kendiniz için bir anahtar çifti (açık ve özel) ve sertifika ürettirmeniz gerekiyor. NES (Nitelikli Elektronik Sertifika) aldıysanız ESHS sizin için sertifikanızı duyuruyor ve artık o e-imza ile imzaladığınız belgelerden kanun önünde sorumlu oluyorsunuz. Islak imzayı inkar etme şansınız olsa da, onun yerine geçen e-imzayı sayısal verilere dayandığı için inkar etme gibi bir şansınız da yok. Fakat bu kadar güzel bütünlük ve kimlik doğruluğu sağlayan uygulamanın dezavantajı nedir de yaygınlaşmıyor? Öncelikle e-imza atabilmeniz için (özel anahtarınız içinden çıkartılamayan bir akıllı kartta saklandığından) bir kart okuyucuya ihtiyacınız var. Ayrıca bir bilgisayara ve bilgisayarda kurulu olması gereken bir yazılıma ihtiyacınız var. Tabii ki akıllı kartınız imza atmak istediğiniz zaman yanınızda olmalı. İşte tam bu noktada mobil e-imza getirdiği pratik çözümlerle devreye giriyor. Telefonda kullandığınız sim kartın da bir akıllı kart olduğunu farkeden üreticiler, zaten herkes cep telefonu taşıyor; öyleyse neden akıllı kart olarak sim kartı, kart okuyucu olarak da telefonu kullanmıyoruz diyorlar ve demekle de kalmayıp bunu uygulamaya da geçiriyorlar.

Mobil imzanın Türkiye’deki öncülerinden Turkcell‘in bu işi nasıl yaptığından yoğun bir şekilde bahsedildi konferansta. Finlandiya’lı firma Valimo ile birlikte çalışmışlar ve tecrübelerinden faydalanmışlar. Türkiye’de sertifikaların üretilip saklanması için EGüven ile birlikte çalışıyorlar. Turkcell kullanıyor iseniz bu sayfadan nasıl mobil imza alabileceğinizi öğrenebilirsiniz. Bir diğer operator AVEA ise TurkTrust ile çalışıyormuş ve 24 Aralık’ta mobil imza hizmeti vermeye başlayacakmış. Burda nasıl mobil imza alacağınızı anlatacak değilim, bunu operatorlerin sitelerinden öğrenebilirsiniz. Sadece bir belgeyi nasıl imzalayacağınızdan ve konferansta verilen ilginç bilgilerden bahsetmek istiyorum. Mesela internet bankacılığında bir havale yapacaksınız, banka telefonunuza bir mesaj gönderiyor, şu kişiye şu miktarda havale yapıyorsunuz diye, siz de onay veriyorsanız telefonunuzda imzalıyorsunuz ve belge geri bankaya gönderiliyor. İmzalama işlemi simkart üzerinde yapıldığı için telefondan bağımsız ve güvenli olduğu söyleniyor. İlginç bilgilere gelirsek; Turkcell’den mobil imza hizmeti aldığınızda sim kartınız değiştiriliyor ve size verilen sim kartta ilk aldığınızda herhangi bir bilgi bulunmuyor. Siz mobil imza hizmetinizi başlattığınızda anahtar çiftiniz sim kart üzerinde üretiliyormuş. Mobil imza şu anda Türkiye’de Adalet Bakanlığı UYAP projesinde, Sanayi Bakanlığı‘nda, 11 bankada, gümrük başvurusunda, aile hekimliği sisteminde, 2 belediyede (Fatih, Şişli) ve 1 hastanede kullanılıyormuş. Dünyadaki kullanım alanları ise oldukça ilginç. Örneğin mobil imza Finlandiya’da vatandaşlık ve adres bilgilerini değiştirmekte, askerlik, e-fatura, marka, patent ve çalışma bakanlığı işlemlerinde; Estonya’da park ücretlerini ödemede; Norveç’te mobil ticarette, bankacılık işlemlerinde; Fransa’da otopark ücretlerini ödemede, at yarışında, oyun makinalarında (yaş onaylaması için) veya telefonla dondurma siparişi vermekte kullanılabiliyormuş. Ayrıca Finlandiya ile Norveç arasında iki taraflı mobil imza uyumluluğu anlaşması imzalanmış. Mobil imza ile e-imza atmak da mümkünmüş, bilgi için Turkcell ve Egüven’in hizmeti olan imzamatik.com adresine bakabilirsiniz. Valimo firmasından gelen Tapio Vailahti’nin söylediği bir kaç sözü belirtmeden geçemeyeceğim. Avrupa’da 73milyon kişi online bankacılık kullanıyormuş, bunun yanında 84milyon kişi düzenli internet kullanmasına rağmen internet bankacılığı kullanmıyormuş, elbette insanların güvenini kazanmak için m-imza gibi yeni yollara başvuruyorlar. Tapio Vailahti’nin sunumunda yazan bir cümleyi buraya aynen yazmak istiyorum: “Globally Turkey is the most advanced country both in technology and usage. Also EU countries can learn from Turkey’s visionary and business driven scheme.”. Gönül ister ki bu genel geçer bir cümle olsun ama m-imza için geçerli. Tabii ki bu söylediklerinde samimiyetinden emin değilim, belki de bizi gaza getiriyorlar 🙂 Öyle de olsa bu cümleleri sunumunda görmek beni mutlu etti. Umarım diğer alanlarda da daha ileriye gideriz. Son bir bilgi ise m-imza Türkiye’de evlilik ve tapu işlemleri gibi tören ve şahit gerektiren işlemlerde kullanılamıyor, m-imza ile evlenmeyi düşünenler için üzgünüm 🙂

Aklımdaki ve not aldığım herşeyi tam olarak yazamasam da oldukça uzun bir yazı oldu. Elimden geldiğince en ilginç bilgileri sizinle paylaşmaya çalıştım ama konferans bitti mi bitmedi 🙂 Konferansta başka nelerden bahsedildi; pdf ile yapılabilecekler, pdf ile imzalama, güncel tehditler, yeni bir biyometrik güvenlik ürünü: avuçiçi okuyucu , usb ile yayılan bir virüsün incelenmesi, ve aselsan 2 adet şifreleme ürünü. Bunlar ise diğer yazımın içeriğini oluşturacak…

Not: Konferanstaki akademik çalışmalardan burada bahsedemeyeceğim. 20 dakikaya sığdırılan ve oldukça güzel sunumlar vardı konferansta. İlgilenenler için sanıyorum yakın bir zamanda www.iscturkey.org adresinde bildiriler yayınlanacakmış. Ayrıca ISC’yi düzenleyenlerin yayınladıkları sonuç bildirgesine buradan ulaşabilirsiniz.