11. NES’in Yenilenmesi 22
1.3 Kullanıcılar
e-Güven NES sahipleri ve zaman damgası hizmetine ihtiyaç duyan herkes kullanıcı olabilir 1.4 Zaman Damgası Uygulama Esasları (ZDUE) ve Zaman Damgası İlkeleri
(ZDİ)
1.4.1 Amaç
ZDUE ve ZDİ tüm kullanıcılara ve üçüncü kişilerin erişimine açıktır. ZDUE ve ZDİ’nin dağıtımı NESUE 9.5 hükümlerine tabidir. ZDUE ve ZDİ’de zaman damgası hizmetleri, hizmetlerin yönetimi ve tarafların yükümlülükleri belirlenmiştir. Personel yönetimi, personel seçimi ve fiziksel güvenlik konularında NESUE’nin ilgili hükümlerine atıflar yapılmıştır.
1.4.2 Özellik Seviyesi
ZDİ zaman damgası çıkarılması ve yöneltilmesinde geçerli olacak kuralların sadece genel olanlarını tanımlamaktadır. Sistemin detaylı tanımı, ZDUE ve genelde kamuya açık olmayan ek dokümanlarda verilir. Kamuya açık olmayan dokümanlarla birlikte raporlar, ekipman
değerlendirme ve dahili kontrol sonuçları, dokümantasyon dizisini meydana getirir ve sadece yetkili personel ile Telekomünikasyon Kurumu’nun kontrolüne açıktır.
1.4.3 Yaklaşım
ZDİ; e-Güven ESHS Zaman Damgası Sağlayıcısının işleyiş ve yönetim anlamında çerçevesini belirler, ilgili tarafların yükümlülüklerini ve sorumluluklarını ortaya koyar.
2. ZDİ
2.1 Genel
e-Güven Zaman Damgası İlkeleri; NESUE 6.8 de yer alan ZDUE belgesiyle detaylı olarak açıklanan, e-Güven tarafından yaratılan zaman damgası belirteçlerinin üretilmesi işleminin çerçevesini belirler.
2.2 Tanımlama
e-Güven ETSI 102 023 standardına uygun olarak Zaman Damgası İlkeleri için aşağıdaki belirteçleri kullanır.
itu-t(0) identified-organization(4) etsi(0) time-stamp-policy(02023) policy-identifiers(1) baseline-ts-policy (1)
ZDİ OID - 2.16.792.3.0.1.1.3
2.3 Kullanılabilirlik
ZDİ, e-Güven Zaman Damgası Sağlayıcısı tarafından çıkarılan zaman damgalarını kapsar;
bahsedilen zaman damgalarının kamuya açık veya sınırlı/kapalı bir ortamda sağlanmış olması mevcut ZDİ’nin kullanılabilirliği açısından fark yaratmaz. e-Güven ileride vereceği zaman damgası hizmetlerinin kullanım alanı ve sınırlamalar bakımından farklılaşması halinde farklı alanları düzenleyen başka zaman damgası ilkeleri yayınlayabilir.
2.4 Uyumluluk
ZDİ “Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ”de belirtilen ETSI TS 102 023 standardına uygun olarak hazırlanmıştır. e-Güven zaman damgası hizmetlerinde CWA 14167-1 ve ETSI TS 101 861 standartlarına uyar.
3. Sorumluluklar ve Yükümlülükler
3.1 ESHS’nin Yükümlülükleri
Güven’in zaman damgası kullanıcılarıyla yaptığı anlaşmalar ve üçüncü kişi bildirimleri; e-Güven ve diğer katılımcıların karşılıklı sorumluluk ve yükümlülüklerini belirler.
e-Güven önceden takvime bağlanmış ve ayrı dokümanlarda belirtilmiş ekipman ve sistem bakımıyla ilgili teknik çalışmama zamanları dışında zaman damgası hizmetlerine sürekli erişimi garanti eder. Zaman damgası içine yerleştirilen UTC zamanı ±100 ms doğruluk oranı sunar. Servis birçok eş zamanlı bağlantı arasında doğruluk ve kesinlik sunar ve doğruluk oranı
±30 s olacak şekilde değiştirilebilir. Servisin ağır yüklenmesi durumunda, bu doğruluk oranı değişebilir.
e-Güven ESHS Zaman Damgası Sağlayıcı olarak işleyişinde kullandığı imzalama ve anahtar saklama araçları CWA 14171-2 standardına uymaktadır.
3.2 Kullanıcının Yükümlülükleri
Zaman damgalı bir ileti yaratan kullanıcı, ESHS Zaman Damgası Sağlayıcının elektronik imzasını doğrulamalı ve ESHS Zaman Damgası Sağlayıcının sertifikasının iptal durumunu ESHS Zaman Damgası Sağlayıcı Sertifikası İDK’sından kontrol etmelidir. ESHS Zaman Damgası Sağlayıcı Sertifikası İDK’sına http://crl.e-guven.com/ adresinden ulaşılabilir.
3.3 Üçüncü Kişilerin Yükümlülükleri
Üçüncü kişilerin genel yükümlülüğü zaman damgası imzasının doğrulanmasıdır. Üçüncü kişiler e-Güven ESHS Zaman Damgası Sağlayıcısının sertifikasının geçerliliğini ve geçerlilik süresini kontrol etmelidir. Zaman damgalarının doğrulanması konusunda, e-Güven ESHS Zaman Damgası Sağlayıcısının sertifikasının geçerliliğinin sona ermesinden sonra üçüncü kişiler :
• e-Güven ESHS Zaman Damgası Sağlayıcısının belirleyicisinin İDK’ye yerleştirilmediğini,
• Zaman damgasında kullanılan kriptografik hash fonksiyonun hala güvenli olduğunu,
• e-Güven ESHS Zaman Damgası Sağlayıcısının imza oluşturma verisinin boyutunun ve ilgili algoritmanın hala güvenli olduğunu doğrulamalıdır.
Üçüncü kişiler yukarıda sayılan yükümlülüklerini “güvenli elektronik imza doğrulama aracı”
kullanarak yerine getirebilirler. e-Güven üçüncü kişilerin e-Güven zaman damgalarına güvenerek işlem yapabilmek için bu zaman damgasını “güvenli elektronik imza doğrulama aracı” ile doğrulamalarını kesinlikle tavsiye eder.
4. Zaman Damgası Hizmetleri Operasyonel Gereklilikler
4.1 Anahtar Yönetimi Yaşam Döngüsü4.1.1 ESHS Zaman Damgası Hizmet, Anahtarı Yaratma
e-Güven ESHS Zaman Damgası Hizmeti anahtarları, tanımlanmış güvenilir rollere sahip güvenilir personel tarafından FIPS 140-1 seviye 3’e uygun olan donanım güvenlik modülü içinde üretilir. Personel seçimi gerekliliklerinin tanımlaması ise NESUE 5.3’de yapılmıştır. e-Güven ESHS Zaman Damgası Hizmeti anahtar üretimi ortamı güvenilir operasyonlar sistemi tavsiyeleri ile uyumludur.
4.1.2 Zaman Damgası Ünitesi Kapalı Anahtar Koruması
Felaket, sistem arızası ya da sistem korunması dolayısıyla uygulanması gereken e-Güven ESHS Zaman Damgası Hizmeti anahtarının kurtarılması prosedürleri, e-Güven dokümantasyonunun bir parçası olan ayrı dokümanlarda tanımlanmıştır ve denetleyici tarafından periyodik olarak kontrol edilir. e-Güven ESHS Zaman Damgası Hizmet, anahtar üretimi ile ilgili koşullar ve uygun prosedürler NESUE 6.2 Özel Anahtarların Korunması’nda açıklanmıştır. Çevrenin güvenlik seviyesi ve donanım güvenlik modülü NESUE 6.8.4.1.1’de açıklanmıştır.
4.1.3 Zaman Damgası Ünitesi Açık Anahtar Dağıtımı Bkz. NESUE 6.1.4
4.1.4 Zaman Damgası Ünitesi Anahtarının Yeniden Anahtarlanması
e-Güven ESHS Zaman Damgası Hizmetinin sertifikasının yaşam süresi seçilen algoritma ve anahtar uzunluğunun kabul edilmiş olan geçerlilik süresinden uzun olamaz.
4.1.5 Zaman Damgası Ünitesi Anahtar Yaşam Döngüsünün Sonlandırılması e-Güven ESHS Zaman Damgası Hizmetinin imza oluşturma verisi geçerlilik süresinin ardından kesinlikle kullanılmamaktadır. e-Güven ESHS Zaman Damgası Hizmetine ait zaman damgası ünitesinin imza oluşturma verisi geçerlilik süresinin bitmesinin ardından gerekli operasyonel ve teknik süreçleri işleme koyar.
4.1.6 Zaman Damgası Hizmetinde Kullanılan Şifreleme Modüllerinin Yaşam Döngüsü Yönetimi
e-Güven ESHS Zaman Damgası Hizmeti, zaman damgası hizmetleri kapsamında şifreleme donanımlarının yaşam döngüsü sürecinde güvenliğini sağlamaktadır.
e-Güven ESHS Zaman Damgası Hizmeti zaman damgası hizmetleri ayrıca;
a) Zaman damgasının imza oluşturma verisine ait şifreleme donanımının taşınma sırasında güvende olmasını,
b) Zaman damgasının imza oluşturma verisine ait şifreleme donanımının saklanması sırasında güvende olmasını,
c) Zaman damgasının imza oluşturma verisinin şifreleme cihazlarında kurulum, aktivasyon ve çoğaltma işlemlerinin güvenli personel tarafından, güvenli fiziksel ortamda birden fazla kişinin varlığı gerektiren süreçler içerisinde gerçekleştirilmesini, d) Zaman damgasının imza oluşturma verisine ait şifreleme donanımının doğru
çalışmasını
sağlar.
4.2 Zaman Damgası Hizmeti
4.2.1 Zaman Damgası
e-Güven ESHS Zaman Damgası Hizmeti kaspamında çıkarılan her zaman damgası bilgisi özel bir tanımlayıcı içerir. e-Güven ESHS Zaman Damgası Hizmeti tarafından çıkarılan her zaman damgası gerçek UTC zaman değerine kadar geriye doğru izlenebilecek tarih ve zaman değeri içermektedir. Temel saat GPS uydu alıcısı ve atomik saati ile sunulmaktadır. e-Güven Zaman Damgası Hizmeti, uydu saatinin arızalanması durumunda ikincil saatlere sahiptir.
Zaman damgasında kullanılan zamanın doğruluğu NESUE 6.8.3.1 de açıklanmıştır.
Ana saatin bozulması ya da kalibrasyona ihtiyaç duyması halinde, e-Güven ESHS Zaman Damgası Hizmeti zamanı ikincil saatten öğrenir.
Zaman damgası, zaman damgası talebi (TSQ) yapan öznelerin verdiği veriye göre çıkarılır.
Yanıttaki (TSR) belirteçleri, TSQ belirteçte sunulan veriyi içerir. Zaman damgası tanımlayıcı, ETSI 102 023 standardının 7.3.1 h başlığında belirtilen “Zaman Damgası Tanımlayıcı”
gerekliliklerine uyar.
e-Güven ESHS Zaman Damgası Sağlayıcı zaman damgası hizmeti şu esaslarla çalışır:
• Elektronik bir zaman damgası yaratılması, güvenilir bir kaynaktan zamanın alınması ve bu zaman bilgisinin zaman damgasıyla ilişkilendirilecek verinin parmak izi bilgisiyle birleştirilmesiyle gerçekleşir
• Zaman damgasına e-Güven ESHS Zaman Damgası Hizmetinin elektronik imzasıyla imzalanmasıyla “Elektronik Makbuz” elde edilir,
• “Elektronik Makbuz” talep eden tarafa iletilir,
• “Elektronik Makbuz” ve ilgili bilgi saklanır.
4.2.2 UTC ile Saat Senkronizasyonu
e-Güven ESHS Zaman Damgası Hizmeti, zaman damgası içindeki saati NESUE 6.8.3.1 de açıklanan doğrulukla ayarlar.
Güven ESHS Zaman Damgası Hizmeti zaman bilgisini güvenilir bir kaynaktan alır. e-Güven ESHS Zaman Damgası Hizmeti, zaman damgasında kullandığı zamanı GPS uydularından almaktadır.
e-Güven ESHS Zaman Damgası Hizmeti yetkisiz kullanımı önleyecek güvenlik kontrollerine sahiptir. Bu sayede saatin kalibrasyonun bozulması, saatle oynanması ya da saatin fiziksel zarar görmesi engellenmiş olur.
4.3 ESHS Zaman Damgası Hizmeti Yönetimi ve Operasyonları
4.3.1 Güvenlik Yönetimi Bkz. NESUE 5.2
4.3.2 Risk Değerlendirmesi Bkz. NESUE 5.1.1
4.3.3 Personel Güvenliği Bkz. NESUE 5.3
4.3.4 Fiziksel ve Çevresel Güvenlik
Fiziksel ve çevresel güvenliğin tanımı NESUE 5.1 de verilmektedir. Bu güvenlik kontrolleri BS 7799 -2normatif gerekliliklerine uymaktadır.
4.3.5 Operasyon Yönetimi
e-Güven ESHS Zaman Damgası Hizmetine ait sistemler WebTrust gerekliliklerine uygun bir şekilde prosedürel güvenliğe sahiptir. Bu dokümanlar genel olarak şirket içi belgelerdir ve düzenli olarak kontrolöre sunulurlar.
4.3.6 Sistem Erişimi Yönetimi Bkz. NESUE 6.4 , NESUE 6.5 4.3.7 Güvenilir Ortam
e-Güven ESHS Zaman Damgası Hizmeti anahtar üretimi her zaman NESUE 6.8.4.1.1 de açıklandığı şekilde güvenilir ortamda gerçekleştirilir. Sistem EAL4 gerekliliklerine uymaktadır. Sistemdeki her değişiklik görüntülenir ve faaliyet günlüğüne kaydedilir.
4.3.8 ESHS Zaman Damgası Hizmeti İmza Oluşturma Verisinin Açığa Çıkması e-Güven ESHS Zaman Damgası Sağlayıcı imza oluşturma verilerinin açığa çıkması
durumunda, NESUE 5.7 ‘de açıklanan prosedürler uygulanır.
4.3.9 ESHS Zaman Damgası Sağlayıcı İptali Bkz. NESUE 5.8
4.3.10 Yasal Gerekliliklere Uyumluluk
ZDİ “Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ”de belirtilen ETSI TS 102 023 standardına uygun olarak hazırlanmıştır. e-Güven zaman damgası hizmetlerinde CWA 14167-1 ve ETSI TS 101 861 standartlarına uyar.
4.3.11 ESHS Zaman Damgası Hizmeti Faaliyet Günlüğü
e-Güven ESHS Zaman Damgası Hizmeti sistemi günlük mekanizmalarını kapsar ve bu sayede zaman damgası çıkarılmasıyla ilgili her türlü faaliyetin kaydedilmesini sağlar.
5. Organizasyonel Plan
e-Güven Türkiye sınırları içerisinde mukim zaman damgası hizmetleri sağlayan bir Elektronik Sertifika Hizmet Sağlayıcısıdır.