Güvenilir işletim ortamı teknolojisi kullanılarak mobil kimlik uygulaması geliştirilmesi

Abstract

Nüfus cüzdanlarının yerine kullanılmaya başlanan yeni kimlik kartları elektronik ortamda da kimlik doğrulama amacıyla kullanılabilecek teknolojiye sahiptir. Öte yandan, akıllı kart okuyucusu gereksinimi, yazılım kütüphanesinin mobil işletim sistemlerine uyumlu olmaması gibi nedenlerden ötürü yeni kimlik kartlarının akıllı telefonlar üzerinden kullanımı çok kolay değildir. Bu çalışmada, söz konusu teknik zorlukları aşmak için Android ortamında çalışan bir Mobil Kimlik çözümü tanıtılmaktadır. Çözümümüz, iki temel bileşenden oluşmaktadır. Mobil telefon uygulaması, Güvenilir İşletim Ortamı teknolojisini kullanarak açık anahtar ve özel anahtar çifti üretir. Özel anahtar, Güvenilir İşletim Ortamından çıkmaz ve bu sayede Zengin Android ortamına ilişkin tehditlere karşın korunmuş olur. Masaüstü uygulaması ise, mobil telefondan gelen açık anahtarı kullanıcının kimlik kartında mevcut özel anahtar ile imzalatır (bir anlamda, sayısal sertifika üretmiş olur) ve üçüncü partiler kimlik doğrulama amacıyla mobil telefon uygulamasının ürettiği sayısal imzaları doğrularken açık anahtar ile kullanıcı arasındaki bağın güvenli bir şekilde kurulmasını sağlar. Geliştirdiğimiz çözümün, başta E-devlet uygulamaları olmak üzere mevcut mobil kimlik doğrulama çözümlerine güvenli ve kullanışlı bir alternatif olduğu düşünülmektedir.

New identity cards in Turkey, which are started to be used instead of old ones, have the technology to be used for authentication purposes also in electronic environments. On the other hand, it is not straightforward to use the new ID cards on smartphones due to the smart card reader requirements and compatibility issues with respect to software library. This study introduces a Mobile Identity solution that works in the Android environment to overcome these technical challenges. Our solution consists of two basic components. The mobile phone application generates a public key and private key pair using Trusted Execution Environment technology. The private key does not exit the Trusted Execution Environment and is thus protected from threats from the Rich Android environment. With the desktop application, the public key obtained from the mobile phone is signed with the private key on the user's identity card (in a sense, a digital certificate is generated) and the third parties could authenticate digital signatures generated by the mobile phone application for authentication purposes by ensuring the secure connection between the public key and the user. The solution we have developed is considered to be a secure and usable alternative to existing mobile authentication solutions, especially for e-government applications.