T
TéuféL
Guest
BİYOMETRİK GÜVENLİK
1. İÇİNDEKİLER
2. GİRİŞ 3
3. BİYOMETRİK ÖLÇÜLER
3.1 Parmak izi
3.2 El Geometrisi
3.3 İris Taraması
3.4 Retina Taraması
3.5 Yüz Şekli Taraması
4. KULLANICI TABANLI ŞİFRELEME ANAHTARLARI
4.1 Kullanıcı Kimlikli ve Biyometri tabanlı Anahtarlar Arasındaki Benzerlikler ve Farklar
4.2 Kullanıcıya Bağlı Anahtar Üretimi
4.2.1 Metot 1
4.2.2 Metot 2
4.2.3 Metot 3
5. BİYOMETRİK ŞİFRELEME
5.1.1 Biyometrik Şifreleme Algoritması
5.1.2 Kayıt
5.1.2.1 E1 Safhasındaki Resim İşleme
5.1.2.2 E2 Safhasındaki Bağlantı Algoritması
5.1.2.2 E3 Safhasındaki Kimlik Kodu
5.1.3 Doğrulama
6. DEZAVANTAJLAR
7. YANILTMA YÖNTEMLERİ VE SALDIRILAR
8. KULLANIM ALANLARI
9. SONUÇ
10. REFERANSLAR
2. GİRİŞ
Biyometri, otomatik olarak tanımlama veya doğrulama için kullanılan, insana ait, ölçülebilir, eşsiz fizyolojik ölçülerdir. Biyometrik ise, bu biyolojik karakteristiklerini istatistiksel olarak analiz edilmesi olarak bilinir. Bu ölçülerin kaybolması, unutulması ve bir başkası tarafından kullanılması, fiziksel saldırılar dışında pratikte imkansız kabul edildiği gibi taklit edilmeleri de çok zordur. Biyometri üzerine geliştirilen teknolojileri kullanarak her ortamda kişinin el, parmak izi, ses, göz, imza, retina, kulak şekli, DNA, klavyeye basış deseni, koku ve yürüyüş kıstasların ölçülerek tanınması mümkün.[5]
İnsan gözünün iris dokusundan kim olduğunu belirleme fikri yıllar önce sadece bilimkurgu filmlerine konu olabilecek iken, yakın zamanda hayatımızdaki bütün şifre, parola, kimlik yada anahtar gibi güvenlik araçlarının yerine geçmeye aday hale gelmiştir.
İnternet teknolojileri gelişiyor ve dünya dijitalleşiyor. Tabi bu değişim yanında birçok sorunu da gündeme getiriyor. Bu sorunlardan en büyüğü güvenlik. Eskiden sadece binalarının çevresinde güvenlik önlemleri alan büyük şirketler günümüzde birçok dijital suçu da düşünmek zorundalar. Artık dijital ağlarının güvenliği de en az bina güvenliği kadar önemli. Sanal dünyadaki en zor problemlerden biri karşınızdaki insanın gerçekten kim olduğunun tespit edilmesi. Örneğin gelen e-postaların altındaki imzalar doğru mu? Ürün siparişi için verilen kredi kartı bilgileri gerçek mi? Yapılan başvurulardaki isimleri bir başkası kullanıyor olamaz mı? Günde milyonlarca dolarlık paranın döndüğü internet üzerinde sadece birkaç haneden oluşan şifreler nereye kadar yeterli olacak?
Bu ve bunun gibi soruların hiçbirine şu an için kesin yanıtlar verilemiyor. Sürekli bir endişe ve sürekli bir savunma durumu söz konusu, işte bu endişeleri ortadan kaldırabilmek için dünya üzerinde büyük bir sektör oluşmuş durumda. Biyometrik güvenlik sektörü. Peki bu sektör güvenlik sorunlarına ne gibi çözümler getirebilir?
Şifreler çalınabilir ancak insanın parmak izi, fiziksel müdahale olmadan çalınamaz. Öyleyse neden şifre yerine parmak izi kullanmayalım. Kredi kartımın gerçek sahibinin kim olduğunu anlamak için imza yada 3 haneli güvenlik numarası yerine iris kontrolü yapılamaz mı? Bu ve bunun gibi fizyolojik parametrelerin kullanıldığı alternatif çözümler gerçekten oldukça çarpıcı. Zaten bu konudaki çalışmalar tüm hızıyla sürüyor. Parmak izi taraması yapabilen klavye ve fareler üretiliyor, bankaların ATM’lerine iris taraması yapabilen cihazlar ekleniyor. Şifre, parola gibi suiistimale ve hataya imkan veren sistemler giderek yerlerini parmak izi, iris tanıma gibi kaybedilemeyen, çalınamayan, bir yerde unutulması mümkün olmayan ve taklit edilemeyen biyometrik ölçülerin kullanıldığı sistemlere bırakıyorlar. Hatta günümüzde çok yaygın olmamakla beraber insanı nefesinden tanımak için bile bir takım sistemler geliştiriliyor ve kullanılıyor.
Dünyada birbirine bağlı milyarlarca bilgisayar olmasından ötürü, güvenlik, çözülmesi gereken en kritik sorun haline gelmektedir. Bu sorunun üstesinden gelebilmek için kullanıcının karakteristik özelliklerinden yararlanılan bir çözüm düşünülebilir. Sisteme tam yetki kontrolu sağlayan kullanıcı adı ve parola kombinasyonu kullanan sistemler, yeterince güvenli değildirler. 140000 Unix şifresi üzerinde yapılan bir araştırmayla, bu şifrelerin %25’ine yakınının yalnızca 3x106 kelimelik bir sözlük saldırısıyla elde edilmiştir.[8] Bu tür sistemlerin güvenliğini arttırmak için Biyometrik bilgi, şifrelerin içine gömülebilir.
3. BİYOMETRİK ÖLÇÜLER
Biyometri uygulayıcılarının amacı insanların hiçbir kart, kimlik yada anahtar taşımadan veya şifre ezberlemeden evlerinden çıkıp her türlü işlerini rahatça halledebilmeleri. Yani bu sistemlerin hayatın her alanına yayılması. Tabii ki devlet dairesinde imza atmak yerine parmağımızı yada gözümüzü okutmak şu an için çok ütopik gelebilir ancak dünya üzerinde bu sistemlerin fiilen kullanıldığı bir çok çarpıcı örnek mevcut. Bu örneklerde en çok karşımıza çıkan teknoloji parmak izi sistemleri. Nedeni ise ucuz olması. Mürekkep bazlı olarak çok uzun zamandan beri kullanılan parmak izi taraması geçtiğimiz yıllarda dijital hale getirildi. Artık modem elektronik sistemler geleneksel parmak izi ölçümlerini nümerik kodlara çevirerek saniyeler içinde karşılaştırmalar yapabiliyor. Örneğin Arjantin, parmak izi kayıtlarını dijital bir hale getirmek için beş yıl süren bir çalışma sonucunda bir milyar dolar harcadı.
Şifrelerde sayı yerine insan vücudunun Biyometrik ölçülerinin kullanımı için, güvenlik sistemleri konusunda uluslararası bir standart da söz konusu. International Committee for Information Technology Standards (INCITS) (Uluslararası Bilgi Teknolojileri Standartları Komitesi) tarafından, parmak izi, iris, retina tabakası, ses tanımı gibi biyometrik tanımlama sistemlerinde kullanılacak işlemlere uluslararası bir standart getirme çabası sonucunda, örneğin, Türkiye’de bir banka hesabı ve parmak izi tanıma sistemi bulunan bankamatiklerden, bankamatik veya kredi kartı kullanmadan sadece parmak izini göstererek para çekebilen, bankacılık işlemlerine ulaşabilen bir kullanıcının dünyanın başka bir ülkesindeki bir bankanın da bankamatik cihazından, Türkiye’deki mevduat veya kredi hesabına ulaşarak, işlem yapmasını mümkün kılmak için gerekli olan standartlar belirleniyor. [11]
3.1 Parmak izi
Uygulaması en basit ve ucuz biyometri teknolojisi olduğu için hızla hayatımıza giren parmak izi tanımlama sistemleri, aslında yüzlerce yıldır insanların imzaları olarak kullandıkları parmak izlerini dijital teknoloji ile buluşturuyor. Dizüstü bilgisayar sistemlerinin çalınması veya izinsiz kullanılmasına ya da kullanıcıların sık sık bilgisayarlarındaki onca şifreyi unutmasına karşılık, IBM’in, kolay ve etkili bir güvenlik sistemi olarak kullanmaya başladığı parmak izi sistemleri, hızla yayılarak mini USB sabitdisklere hatta farelere kadar her cihazın üzerinde görülmeye başlandı. Bağlı olduğu cihazı, tanımlı kullanıcılardan başkasının kullanmasına izin vermeyen parmak izi sistemlerinin yaygınlaşacağı ve bankamatik makinelerindeki işlemlerden, mağazalarda alışveriş yapmaya kadar pek çok alanda kullanılacağı tahmin ediliyor. Elbette, parmak izini yanında taşıyan kullanıcıların da cüzdanlarını onlarca banka ve kerdi kartı ile doldurmalarına ve şifre hatırlamaya çalışmasına gerek kalmayacak. Ülkemizde de kolayca bulunan teknolojinin örneklerini parmak izi kontrolü destekli mouse (Secudesktop 2000) veya sadece parmak izi kontrolü yapan bir aparat ile (EyeD Hamster) gibi ürünlerde incelemek mümkün. Windows’u açmak, ekran korucuyu kapatmak, klasörleri gizlemek veya açmak gibi şifre girişi isteyen uygulamaları parmak izinin tespitine bağlayan farenin üzerindeki okuyucuya parmak bastırmak yeterli oluyor. Şifre hatırlamaya çalışmaktan, şifre çaldırma tehlikesinden, şifre yazma külfetinden kurtaran pratik ve güvenli bir teknolojidir.
Parmak izi taramasında parmaktaki delta noktaları, ana çizgiler, yükselti sayısı, desen alanı gibi belirleyici unsurlar taranarak, bu verilere göre bir giriş şifresi oluşturulup, konroller de bu değişkenlere göre olur.
3.2 El Geometrisi
Parmak izinden sonra en yaygın olan yöntem ise el geometrisi taramasıdır. Elin bir kısmının veya tamamının, el ölçülerine göre taranmasını içeren bu yöntem, belirli kriterlere göre elin şeklini analiz ederek gerçeğiyle uyumluluğunu test eder. Halen birçok havaalanında, ofislerde, fabrikalarda, okullarda, hastanelerde, nükleer güç merkezlerinde ve yüksek güvenlikli hükümet binalarında girişleri kontrol etmek amacıyla kullanılıyor. Bu teknolojinin en iyi bilinen örneği ABD’ye sık seyahat edenlerin göçmen sıralamasını kontrol altında tutan ve yedi büyük havaalanında bulunan INSPASS programıdır. El geometrisi yönteminin kullanım performansı yüksektir ve kolay uygulanabilir. Sistemde çok fazla yük olduğu durumlardaki kullanımlar için idealdir ve birçok uygulama alanında kullanılabilir. Bu yöntem, diğer yöntemlerle birlikte kullanılıp güvenlik daha üst seviyelere çıkartılabilir.
3.3 İris Taraması
İris, göz bebeğini çeviren renkli çember kısımdır ve iris taraması yöntemiyle göz, gözle görülebilen kızılötesi ışıkla taranır. Video kamera vasıtasıyla iristeki çeşitli noktalardan alınan ölçümler sayesinde kişi tanımlanabilir. Bu tarama sonucunda 512-byte büyüklüğünde biyometrik kalıp, iris dokusundaki, çemberlere, çizgilere ve çillere göre oluşturulur.
Özellikle bilimkurgu filmlerinde izlediğimiz bu sistemler diğerlerine göre en güvenilir olanı. Tabii aynı zamanda en pahalı olanı da. Amerika’daki yirmi hapishanede personel, mahkum ve ziyaretçilerin kimlik tespitinde göz tarama sistemi kullanılıyor, iris tarayıcılar aynı zamanda İngiltere, Japonya ve ABD’de bazı bankalar tarafından ATM kullanıcılarının kimlik tespitinde de test aşamasında. Ayrıca Amerikan Havayolları yine aynı sistemi deneme amaçlı olarak iki havaalanına yerleştirdi.
Ülkemizde de bu sistemlerin bir çoğu halihazırda kullanılıyor ancak belli başlı problemler hala aşılabilmiş değil. Bu sistemlerin ülkemizde çok yaygınlaşamamasının en büyük sebebi ise çok fazla bilinmemesi ve tanınmaması.
1. İÇİNDEKİLER
2. GİRİŞ 3
3. BİYOMETRİK ÖLÇÜLER
3.1 Parmak izi
3.2 El Geometrisi
3.3 İris Taraması
3.4 Retina Taraması
3.5 Yüz Şekli Taraması
4. KULLANICI TABANLI ŞİFRELEME ANAHTARLARI
4.1 Kullanıcı Kimlikli ve Biyometri tabanlı Anahtarlar Arasındaki Benzerlikler ve Farklar
4.2 Kullanıcıya Bağlı Anahtar Üretimi
4.2.1 Metot 1
4.2.2 Metot 2
4.2.3 Metot 3
5. BİYOMETRİK ŞİFRELEME
5.1.1 Biyometrik Şifreleme Algoritması
5.1.2 Kayıt
5.1.2.1 E1 Safhasındaki Resim İşleme
5.1.2.2 E2 Safhasındaki Bağlantı Algoritması
5.1.2.2 E3 Safhasındaki Kimlik Kodu
5.1.3 Doğrulama
6. DEZAVANTAJLAR
7. YANILTMA YÖNTEMLERİ VE SALDIRILAR
8. KULLANIM ALANLARI
9. SONUÇ
10. REFERANSLAR
2. GİRİŞ
Biyometri, otomatik olarak tanımlama veya doğrulama için kullanılan, insana ait, ölçülebilir, eşsiz fizyolojik ölçülerdir. Biyometrik ise, bu biyolojik karakteristiklerini istatistiksel olarak analiz edilmesi olarak bilinir. Bu ölçülerin kaybolması, unutulması ve bir başkası tarafından kullanılması, fiziksel saldırılar dışında pratikte imkansız kabul edildiği gibi taklit edilmeleri de çok zordur. Biyometri üzerine geliştirilen teknolojileri kullanarak her ortamda kişinin el, parmak izi, ses, göz, imza, retina, kulak şekli, DNA, klavyeye basış deseni, koku ve yürüyüş kıstasların ölçülerek tanınması mümkün.[5]
İnsan gözünün iris dokusundan kim olduğunu belirleme fikri yıllar önce sadece bilimkurgu filmlerine konu olabilecek iken, yakın zamanda hayatımızdaki bütün şifre, parola, kimlik yada anahtar gibi güvenlik araçlarının yerine geçmeye aday hale gelmiştir.
İnternet teknolojileri gelişiyor ve dünya dijitalleşiyor. Tabi bu değişim yanında birçok sorunu da gündeme getiriyor. Bu sorunlardan en büyüğü güvenlik. Eskiden sadece binalarının çevresinde güvenlik önlemleri alan büyük şirketler günümüzde birçok dijital suçu da düşünmek zorundalar. Artık dijital ağlarının güvenliği de en az bina güvenliği kadar önemli. Sanal dünyadaki en zor problemlerden biri karşınızdaki insanın gerçekten kim olduğunun tespit edilmesi. Örneğin gelen e-postaların altındaki imzalar doğru mu? Ürün siparişi için verilen kredi kartı bilgileri gerçek mi? Yapılan başvurulardaki isimleri bir başkası kullanıyor olamaz mı? Günde milyonlarca dolarlık paranın döndüğü internet üzerinde sadece birkaç haneden oluşan şifreler nereye kadar yeterli olacak?
Bu ve bunun gibi soruların hiçbirine şu an için kesin yanıtlar verilemiyor. Sürekli bir endişe ve sürekli bir savunma durumu söz konusu, işte bu endişeleri ortadan kaldırabilmek için dünya üzerinde büyük bir sektör oluşmuş durumda. Biyometrik güvenlik sektörü. Peki bu sektör güvenlik sorunlarına ne gibi çözümler getirebilir?
Şifreler çalınabilir ancak insanın parmak izi, fiziksel müdahale olmadan çalınamaz. Öyleyse neden şifre yerine parmak izi kullanmayalım. Kredi kartımın gerçek sahibinin kim olduğunu anlamak için imza yada 3 haneli güvenlik numarası yerine iris kontrolü yapılamaz mı? Bu ve bunun gibi fizyolojik parametrelerin kullanıldığı alternatif çözümler gerçekten oldukça çarpıcı. Zaten bu konudaki çalışmalar tüm hızıyla sürüyor. Parmak izi taraması yapabilen klavye ve fareler üretiliyor, bankaların ATM’lerine iris taraması yapabilen cihazlar ekleniyor. Şifre, parola gibi suiistimale ve hataya imkan veren sistemler giderek yerlerini parmak izi, iris tanıma gibi kaybedilemeyen, çalınamayan, bir yerde unutulması mümkün olmayan ve taklit edilemeyen biyometrik ölçülerin kullanıldığı sistemlere bırakıyorlar. Hatta günümüzde çok yaygın olmamakla beraber insanı nefesinden tanımak için bile bir takım sistemler geliştiriliyor ve kullanılıyor.
Dünyada birbirine bağlı milyarlarca bilgisayar olmasından ötürü, güvenlik, çözülmesi gereken en kritik sorun haline gelmektedir. Bu sorunun üstesinden gelebilmek için kullanıcının karakteristik özelliklerinden yararlanılan bir çözüm düşünülebilir. Sisteme tam yetki kontrolu sağlayan kullanıcı adı ve parola kombinasyonu kullanan sistemler, yeterince güvenli değildirler. 140000 Unix şifresi üzerinde yapılan bir araştırmayla, bu şifrelerin %25’ine yakınının yalnızca 3x106 kelimelik bir sözlük saldırısıyla elde edilmiştir.[8] Bu tür sistemlerin güvenliğini arttırmak için Biyometrik bilgi, şifrelerin içine gömülebilir.
3. BİYOMETRİK ÖLÇÜLER
Biyometri uygulayıcılarının amacı insanların hiçbir kart, kimlik yada anahtar taşımadan veya şifre ezberlemeden evlerinden çıkıp her türlü işlerini rahatça halledebilmeleri. Yani bu sistemlerin hayatın her alanına yayılması. Tabii ki devlet dairesinde imza atmak yerine parmağımızı yada gözümüzü okutmak şu an için çok ütopik gelebilir ancak dünya üzerinde bu sistemlerin fiilen kullanıldığı bir çok çarpıcı örnek mevcut. Bu örneklerde en çok karşımıza çıkan teknoloji parmak izi sistemleri. Nedeni ise ucuz olması. Mürekkep bazlı olarak çok uzun zamandan beri kullanılan parmak izi taraması geçtiğimiz yıllarda dijital hale getirildi. Artık modem elektronik sistemler geleneksel parmak izi ölçümlerini nümerik kodlara çevirerek saniyeler içinde karşılaştırmalar yapabiliyor. Örneğin Arjantin, parmak izi kayıtlarını dijital bir hale getirmek için beş yıl süren bir çalışma sonucunda bir milyar dolar harcadı.
Şifrelerde sayı yerine insan vücudunun Biyometrik ölçülerinin kullanımı için, güvenlik sistemleri konusunda uluslararası bir standart da söz konusu. International Committee for Information Technology Standards (INCITS) (Uluslararası Bilgi Teknolojileri Standartları Komitesi) tarafından, parmak izi, iris, retina tabakası, ses tanımı gibi biyometrik tanımlama sistemlerinde kullanılacak işlemlere uluslararası bir standart getirme çabası sonucunda, örneğin, Türkiye’de bir banka hesabı ve parmak izi tanıma sistemi bulunan bankamatiklerden, bankamatik veya kredi kartı kullanmadan sadece parmak izini göstererek para çekebilen, bankacılık işlemlerine ulaşabilen bir kullanıcının dünyanın başka bir ülkesindeki bir bankanın da bankamatik cihazından, Türkiye’deki mevduat veya kredi hesabına ulaşarak, işlem yapmasını mümkün kılmak için gerekli olan standartlar belirleniyor. [11]
3.1 Parmak izi
Uygulaması en basit ve ucuz biyometri teknolojisi olduğu için hızla hayatımıza giren parmak izi tanımlama sistemleri, aslında yüzlerce yıldır insanların imzaları olarak kullandıkları parmak izlerini dijital teknoloji ile buluşturuyor. Dizüstü bilgisayar sistemlerinin çalınması veya izinsiz kullanılmasına ya da kullanıcıların sık sık bilgisayarlarındaki onca şifreyi unutmasına karşılık, IBM’in, kolay ve etkili bir güvenlik sistemi olarak kullanmaya başladığı parmak izi sistemleri, hızla yayılarak mini USB sabitdisklere hatta farelere kadar her cihazın üzerinde görülmeye başlandı. Bağlı olduğu cihazı, tanımlı kullanıcılardan başkasının kullanmasına izin vermeyen parmak izi sistemlerinin yaygınlaşacağı ve bankamatik makinelerindeki işlemlerden, mağazalarda alışveriş yapmaya kadar pek çok alanda kullanılacağı tahmin ediliyor. Elbette, parmak izini yanında taşıyan kullanıcıların da cüzdanlarını onlarca banka ve kerdi kartı ile doldurmalarına ve şifre hatırlamaya çalışmasına gerek kalmayacak. Ülkemizde de kolayca bulunan teknolojinin örneklerini parmak izi kontrolü destekli mouse (Secudesktop 2000) veya sadece parmak izi kontrolü yapan bir aparat ile (EyeD Hamster) gibi ürünlerde incelemek mümkün. Windows’u açmak, ekran korucuyu kapatmak, klasörleri gizlemek veya açmak gibi şifre girişi isteyen uygulamaları parmak izinin tespitine bağlayan farenin üzerindeki okuyucuya parmak bastırmak yeterli oluyor. Şifre hatırlamaya çalışmaktan, şifre çaldırma tehlikesinden, şifre yazma külfetinden kurtaran pratik ve güvenli bir teknolojidir.
Parmak izi taramasında parmaktaki delta noktaları, ana çizgiler, yükselti sayısı, desen alanı gibi belirleyici unsurlar taranarak, bu verilere göre bir giriş şifresi oluşturulup, konroller de bu değişkenlere göre olur.
3.2 El Geometrisi
Parmak izinden sonra en yaygın olan yöntem ise el geometrisi taramasıdır. Elin bir kısmının veya tamamının, el ölçülerine göre taranmasını içeren bu yöntem, belirli kriterlere göre elin şeklini analiz ederek gerçeğiyle uyumluluğunu test eder. Halen birçok havaalanında, ofislerde, fabrikalarda, okullarda, hastanelerde, nükleer güç merkezlerinde ve yüksek güvenlikli hükümet binalarında girişleri kontrol etmek amacıyla kullanılıyor. Bu teknolojinin en iyi bilinen örneği ABD’ye sık seyahat edenlerin göçmen sıralamasını kontrol altında tutan ve yedi büyük havaalanında bulunan INSPASS programıdır. El geometrisi yönteminin kullanım performansı yüksektir ve kolay uygulanabilir. Sistemde çok fazla yük olduğu durumlardaki kullanımlar için idealdir ve birçok uygulama alanında kullanılabilir. Bu yöntem, diğer yöntemlerle birlikte kullanılıp güvenlik daha üst seviyelere çıkartılabilir.
3.3 İris Taraması
İris, göz bebeğini çeviren renkli çember kısımdır ve iris taraması yöntemiyle göz, gözle görülebilen kızılötesi ışıkla taranır. Video kamera vasıtasıyla iristeki çeşitli noktalardan alınan ölçümler sayesinde kişi tanımlanabilir. Bu tarama sonucunda 512-byte büyüklüğünde biyometrik kalıp, iris dokusundaki, çemberlere, çizgilere ve çillere göre oluşturulur.
Özellikle bilimkurgu filmlerinde izlediğimiz bu sistemler diğerlerine göre en güvenilir olanı. Tabii aynı zamanda en pahalı olanı da. Amerika’daki yirmi hapishanede personel, mahkum ve ziyaretçilerin kimlik tespitinde göz tarama sistemi kullanılıyor, iris tarayıcılar aynı zamanda İngiltere, Japonya ve ABD’de bazı bankalar tarafından ATM kullanıcılarının kimlik tespitinde de test aşamasında. Ayrıca Amerikan Havayolları yine aynı sistemi deneme amaçlı olarak iki havaalanına yerleştirdi.
Ülkemizde de bu sistemlerin bir çoğu halihazırda kullanılıyor ancak belli başlı problemler hala aşılabilmiş değil. Bu sistemlerin ülkemizde çok yaygınlaşamamasının en büyük sebebi ise çok fazla bilinmemesi ve tanınmaması.