Mesaj Göndericisinin Yetki Kontrolü

14/07/2018

Mesajın alıcısı durumundaki u􀬶 kullanıcısı mesaj şifresini çözme ve imzasını doğrulama işlemlerini tamamladığında m􀬵 mesajını elde etmektedir. Bu mesaj göndericinin hazırlayıp yetkilendirme nitelik sertifikalarını eklediği mesajdır. RFC 3851 S/MIME [Ramsdell, 2004] standardının uygulandığı uygulamalarda sertifikaların kullanımını ve nasıl ele alınması gerektiğini anlatan RFC 3850 [Ramsdell, 2004] standardında S/MIME uyumlu mesajlaşma arayüzlerinin mesaja bağlanmış olan nitelik sertifikalarının çözümlenmesini desteklemesi gerektiği belirtilmiştir. Bu çözümleme işlemi sonucunda elde edilen nitelik sertifikaların kullanım amacı uygulamaya bırakılmış durumdadır. Kurum adresinden gönderilmiş olan m􀬵 mesajından elde edilen nitelik sertifikaları rol nitelik sertifikalarıdır ve kurum adına kişinin yetkilendirme bilgisini tutmaktadır. Bu çalışmada rol nitelik sertifikaları kullanılarak mesajı gönderen gerçek kişinin mesajın göndericisi olarak gözüken tüzel kişi olan kurum adına yetkilendirilmiş olup olmadığının kontrolü için kullanılacaktır. Bu doğrulama ile mesaj kaynağının kimlik doğrulaması yapılmış olacaktır.

Açık sistemlerde kimlik doğrulama çatısının anlatıldığı X.811 standardında [ITU-T X.811, 1995] verinin kaynağının kimlik doğrulaması için veri bütünlüğünün korunduğunun ispat edilmesi gerektiği belirtilmektedir. Mesajın üzerindeki imza doğrulandığı için alıcı mesajı gönderen kişinin kimliğini ve mesajın taşınması esnasında mesajın hiçbir değişikliğe uğramadığına dair kanıtları elde etmiştir. Mesaj bütünlüğünden emin olunamadığı (imzasının doğrulanamaması) durumunda bu bölümde anlatılan işlemlere devam edilmemelidir.

Mesajın imzasının doğrulanması aşamasında yapılan çözümleme ile elde edilen nitelik sertifikalarını yani RAC ve RSC'yi de çözümlenmeli ve geçerlik kontrolleri yapmalıdır. Mesaj üzerindeki imzayı doğrulayan ve sertifikaların kontrollerini yapan mesajlaşma arayüzünün elinde mesajı imzalayan gerçek kişinin nitelikli açık anahtar sertifikası ve bu kişiye kurum adına mesaj gönderme yetkisini veren RAC ve kurum e-posta adresinin belirtildiği RSC vardır. Mesajın imzası doğrulandığı için mesajın gerçekten belirtilen kişi tarafından gönderildiği ispatlanmıştır. Mesaja kriptografik olarak bağlanmış olan RAC'nin doğrulaması yapılarak kişinin kurum adına mesajgönderme yetkisinin olup olmadığı kontrol edilmelidir. Bu kontrol yapılırken RAC'nin "Holder" alanında kişinin elektronik sertifika bilgisinin olup olmadığına bakılmalıdır. Böylelikle bu yetkilendirme sertifikasının o kişi için üretildiği anlaşılabilir. Ayrıca mesaja kriptografik olarak bağlanmış olan RSC'nin doğrulaması yapılarak mesajın gönderildiği adresin o kuruma ait olduğu bilgisi kontrol edilmelidir. Yetkilendirme sertifikalarının kontrolünde diğer bir önemli kontrol ise geçerlilik zamanı ve iptal durumu kontrolüdür. Mesajın oluşturulduğu tarihte sertifikalar iptal edilmiş veya geçerlilik süreleri geçmiş ise mesajın alıcısı uyarılmalıdır. Mesajın gönderildiği zamanın doğrulanması için sistemde zaman damgası sunucusu kullanılmalı ve gönderilen mesajlara zaman damgası eklenmelidir. Tüm bu geçerlemeler sonucunda mesajın, mesajda belirtilen kurumun e-posta adresinden ve bu kurum adına yetkilendirilmiş kişi tarafından gönderildiği ispatlanmış olur. Mesajlaşma arayüzü imzası başarıyla doğrulanan bir mesajı alıcıya gösterirken imzalayan alanında yetkili kişinin kimliğini ve hangi kurum adına bu mesajı gönderdiği bilgisini göstermelidir. Mesajın güvenlik doğrulamasında herhangi bir hata alınırsa imza yapısının geçersiz olduğunu da alıcıya göstermelidir.