1. GİRİŞ

Herhangi bir bilginin gizliliğinden dolayısıyla da güvenliğinden bahsedebilmek için kimlik doğrulama kavramı oldukça önemlidir. Bilgi, gönderilmek istenen kişiye veya kuruma değil de başka kişi veya kuruma gönderilirse istenmeyen sonuçlar ortaya çıkabilir. Özellikle tıp ya da savunma sanayi gibi sektörlerde çok önemli boyutlarda kayıptan bahsedilmek zorunda kalınabilir.

Bilgi güvenliği için kullanılan kimlik doğrulama işlemi genel olarak bilgi temelli, aidiyet temelli ve biyometrik temelli olmak üzere üç farklı şekilde incelenebilir. Bu çalışmanın konusu biyometrik temelli güvenlik sistemleridir.

Bilgi temelli kimliklendirme kullanıcıların ve sözkonusu sistemi yöneten kişi(ler)in belirli bilgilere sahip olması gerekir. Bu bilgiler, kullanıcı adı ve şifre olabileceği gibi, pin olarak ifade edilen numara dizileri de olabilir. Bu çeşit sistemlerde kullanıcılar ve karşılık gelen bilgiler (şifre, pin vs) bir veritabanında tutulur. Kullanıcılar bilgilerini sisteme girdiklerinde veritabanında karşılaştırma yapılır. Eğer karşılaştırma sonucu birbirini tutuyorsa doğru kullanıcı olduğu anlaşılır ve sözkonusu kullanıcının sisteme giriş yapmasına ve sistemde yetkisi dahilindeki işlemleri gerçekleştirmesine izin verilir. Bu tip sistemlerin en önemli dezavantajı kullanıcının şifre-pin bilgilerini unutmasının ya da bu bilgilerin bir başkası tarafından elde edilmesinin kolay oluşudur [1].

Kimlik doğrulamanın diğer bir çeşidi olan aidiyet temelli kimliklendirmede; kullanıcılar kendileri ile eşleşen bir objeye sahiptirler. Bu obje genelde manyetik kart, rozet veya  anahtardır [1]. Sözkonusu sisteme giriş, kullanıcılar tarafından bu objeler kullanılarak yapılır. Objenin içerisinde sisteme giriş yapanın kim olduğunu belli edecek ve kimlik doğrulaması yapacak bilgiler mevcuttur. Bu çeşit sistemlerde de kişinin sözkonusu objeyi unutması, kaybetmesi, çaldırması ihtimali bir dezavantaj yaratmaktadır.

Biyometrik temelli kimliklendirme sistemlerinde kullanıcı sisteme kendisine ait olan ve üzerinde her daim taşıdığı parmakizi, iris, ses, el geometrisi, yüz gibi bir fizyolojik özelliğini veya imza atış, yürüyüş gibi bir davranışsal özelliğini kullanarak giriş yapar  [2]. Kullanıcı bu şekildeki bir sisteme giriş yapmak istediğinde, sistem tarafından kullanıcının uygun biyometrik bilgisi (parmak izi, retina, ses retina) alınır. Alınan bu bilgi aynı kişiden alınıp veritabanına kaydedilmiş biyometri bilgi ile karşılaştırılır. Karşılaştırma sonucu doğru ise aynı ise kişinin kimlik doğrulandırılması gerçekleştirilmiş olur.

2. BİYOMETRİK SİSTEMLER

Biyometrik sistemlerin en basit halleri ile binlerce yıl önceden beri kullanıldığı bilinmektedir [3]. Yakın zamanda ise araşatırmacıların insanların fiziksel özellikleri ve karakteristiklerin suça eğilimleri ile bir ilgisinin olup olmadığını araştırmaları biyometri alanına ilgiyi arttırmıştır.

Günümüzde biyometrik incelemelerin boyutu, çeşitliliği ve kullanım alanları artmıştır. Bu sayede de pek çok yeni biyometrik kimlik doğrulama sistemi yerini almıştır.

Biyometrik sistemlerin uygulama alanları günümüzde oldukça çeşitlidir [4]. Özellikle havaalanları giriş ve çıkış işlemleri, kredi kartları, kriminal amaçlı teşhis ve tespit uygulamaları, sigorta şirketleri, sosyal güvenlik, vergi süreçleri gibi kamu hizmetleri, e-ticaret, elektronik imza uygulamaları, İnternet bankacılığı, ATM'ler, çağrı merkezleri, personel takibi gibi sosyal sistemlerde kullanılmalarının yanında artık, bilgisayarlar, PDA’lar, cep telefonları ve kilit sistemlerinde de kullanılmaktadırlar [5]. Örneğin; parmak izi tanıma sistemini barındıran bir bilgisayar, kimliğini doğrulayamayan kullanıcıların sistemi açmasına ve işlem yapmasına izin vermemektedir.

Biyometri uygulayıcılarının genel amacı kişilerin kimliklerini doğrulayabilmeleri için, akıllarında tutmaları gereken herhangi bir bilgi ya da yanlarında taşımak, kaybetmemek ya da unutmamak zorunda oldukları kart, anahtar gibi araçların yerine; kopyalanması ya da taklit edilmesi imkansız olan özelliklerini kullanmalarını sağlamaktır. Biyometrik sistemlerde, kimlik belirleme işlemi, kişilerin fiziksel ya da davranışsal özelliğine dayanarak gerçekleştirildiği için başkasına devredilmesi, unutulması ya da kaybedilmesi durumu söz konusu değildir. Diğer yöntemlere göre çok daha risksizdir. Ancak biyometrik sistemlerin oluşturulabilmesi için bazı standart ölçüler kullanılmalıdır. Biyometrik ölçüler olarak adlandırılan bu ölçülerin şifrelerde kullanımı için INCITS [6] (International Committee for Information Technology Standarts-Uluslararası Bilgi Teknolojileri Standartları Komitesi) tarafından oluşturulmuş uluslararası bir standart mevcuttur.

3. BİYOMETRİK SİSTEM ÇEŞİTLERİ

Günümüzdeki mevcut biyometrik tanıma sistemleri (her geçen gün yenileri çıkmakla beraber) genel olarak şu kategorilerde incelenmektedir:

Fizyolojik özellikler [7], parmak izi, retina, DNA, damar, yüz, el geometrisi, ses, yüz termogramı, iris; davranışsal özellikler, imza atımı, yürüyüş şekli, tuş vuruşu, konuşma 

Kullanılan biyometrik sistemlerin belki de en önemlisi polis merkezlerinde, pasaport ve vize başvurularında (İngiltere 2007 yılından beri vize başvurularında, başvuran kişiden biyometrik veriler almaktadır [8]) kullanılan parmak izi sistemleridir. 

3.1 Parmak İzi

Parmak izi en fazla kullanılan, taklit edilemez ve bir biyometrik bilgidir. İlk kullanılmaya başlandığı yıllardan bu yana gerek yazılım gerekse donanım alanında parmak izi sistemlerinde önemli ilerlemeler kaydedilmiştir [9]. Bir otomatik parmak izi tanıma sisteminde (OPTS) parmak izi tanıma genellikle parmak izinde bulunan özellik noktalarının ve bunlara ait parametrelerin karşılaştırılması esasına dayanır [10].

Bir Parmak İzi Örneği

Bu sistemlerin en önemli dezavantajı, parmak izinin taklit edilmesi durumunda sistemin yanılabilmesidir. Diğer bir dezavantajı, bazı kişilerin pek çok sebepten ötürü (organ eksikliği, yanma, deri hastalıkları) parmak izlerinin bulunmamasıdır. Parmak izi taklit problemi, parmak izinin alındığı parmağın canlılığını test edecek gelişmiş sensörlerin kullanılması ile giderilebilecekken parmak izinin bulunmaması probleminin çözümü bulunmadığından bu sistem bu tip kişilerde uygulanamaz.

3.2 DNA

Kişinin saç, tırnak, deri parçası, kan, sperm veya herhangi diğer bir biyolojik materyali ele alınarak hücre içerisinde bulunan DNA moleküllerindeki dizilim incelenir. Özellikle emniyet güçleri tarafından cinayet mahallinde kalan biyolojik materyaller incelenerek katillere ulaşılması veya babalık davalarının sonuçlanması işlemlerinde kullanılmaktadır.

Doğruluğu çok yüksek bir yöntem olmasına rağmen maalesef pek çok dezavantaja da sahiptir. DNA’nın elde edileceği biyolojik dokunun kirlenmesi gibi durumlarda örnek kalitesi düşeceğinden analiz yapmak zorlaşır. Diğer dezavantajları işlemin 24 saat gibi bir sürede gerçekleştirilme zorunluluğu ve yüksek maliyet olarak sayılabilir.

3.3 El Geometrisi

Kişinin elinin veya kullanılan sisteme göre iki parmağının geometrik yapısı analiz edilir [11]. Sözkonusu yöntemde belirleyici özellikler parmakların uzunluğu, genişliği ve büküm noktalarıdır. Özellikle Amerika’da havaalanları ve nükleer güç istasyonlarında kullanılır.

El geometrisi de diğer biyometrik yöntemler gibi doğruluk oranı yüksek bir yöntemdir. Ancak büyük ve ağır okuma cihazları nedeniyle maliyet ve kullanım açısından, resmin alınma süresinin uzun oluşu nedeniyle hız açısından dezavantajlara sahiptir. Bunun dışında elde bulunan yüzük gibi aksesuarlar, yara bandı gibi maddeler sebebiyle ya da yaralanma ve parmakların kaybedilmesi, gut veya kireçlenme gibi bir takım hastalıklar nedeniyle elin tanınması zorlaşır. Çocuklarda ve el ve ayakların çok hızlı büyüdüğü hastalıklara sahip olan kişilerde ise bu sistem kullanılamamaktadır.

 El Geometrisi

3.4 Yüz

Biyometrik teknolojide devrim sayılabilecek buluşlardan bir tanesi olan yüz tanıma sistemleri gelişen bir çok teknolojide olduğu gibi ilk kez askerîyede kullanılmıştır. Yüksek teknoloji silahlarının yönetimi için, özellikle ABD’de sıkça kullanılan bu sistemler bunun dışında, caddelere yerleştirilen güvenlik kameraları ile caddelerin izlenmesi ve aranmakta olan bir suçlunun bu şekilde yakalanması gibi uygulamalarda da kendilerine yer edinmişlerdir [12]. Özellikle son 10 yıldır uygulama alanlarının artması nedeniyle yüzlerin otomatik olarak tanınması popüler bir konu haline gelmiştir [13].

3.5 İris

Yaklaşık 30 senedir kullanılan iri tanıma sistemlerinin çıkış noktası, kişinin sahip olduğu iris şeklinin ömrü boyunca değişmemesi ve diğer biyometrik sistemlere göre gözün daha az deforme olacak ve dış etkenlerden daha az zarar görecek bir yapıya sahip olmasıdır. Uykusuzluk, gözyaşı, hastalıklar iris yapısını etkilemekle beraber diğer yöntemlerdeki kadar bariz bir etkilenme sözkonusu değildir. Elbette ki bu yöntem gözü olmayan, gözleri görmeyen, Nistagmus hastalığına sahip (gözleri titreyen) veya irisleri olmayan kişilerde uygulanamaz. Ancak bu kişiler dışında havaalanı gibi kimlik doğrulamanın mutlak surette önemli olduğı yerlerde oldukça yüksek bir doğruluk oranı ile uygulanabilmektedir.

Genel olarak parmakizi tanımaya benzetilen bu sistemin, parmakizine göre en önemli avantajı, parmak izi kullanılan biyometrik sistemlerde 60 veya 70 karşılaştırma noktası bulunurken, iris taramada karşılaştırma için yaklaşık 200 referans noktası kullanılmasıdır [14].

Göz Yapısı

3.6 İmza

Bir kişinin, herhangi bir yazının altına sözkonusu bu yazıyı yazdığını, okuduğunu veya onayladığını belirtmek için her zaman aynı biçimde yazdığı ad veya işaretler olarak tanımlanabilen imza kişiler tarafından yaşamları boyunca pek çok kez kullanılmaktadır. Özellikle hukuksal açıdan büyük yaptırımlarının bulunması ve taklit edilmesi sonucunda kişiyi borç altına sokabilmesi, tüm malvarlığını başka bir kimseye bağışlamasına sebep olması, işlemediği suçların üzerine kalmasına neden olması gibi sebeplerle hayatî önem taşımaktadır. Dolayısıyla kimlik doğrulamasında belki de en sık kullanılan yöntem olan imzanın gerçekten o kişi tarafından atılıp atılmadığının belirlenmesi önemli bir sorun olarak karşımıza çıkmaktadır. Bu sebeple kullanılan imza tanıma sistemlerinde imzayı tanımak için iki tip bilgi kullanılmaktadır. Bunlardan ilki imzalama süresi, hızı, ivmesi, kalemin basım şiddeti, kalemin gibi kişinin imzalama işlemi ile ilgili özellikler, diğeri ise bir desen olarak imzaya ait özelliklerdir. Bir imzayı taklit eden herhangi bir kişi desen olarak imzayı taklit edebilse bile imza atış şeklini (süre, ivme, kalemi yerden kaldırma miktarı vs) tekrarlaması güçtür.

İmza tanıma sistemlerinin dezavantajları, sistemin kullanıcının hızını, imza atma davranışını vs. öğrenebilmesi için uygun sayıda örneğe ihtiyaç duyması ve imza atımının kullanıcının o anki ruh haline, özellikle de acelesi olup olmadığına bağlı olarak değişmesidir.

4. SONUÇ

Bu çalışmada kağıt üzerinde yapılan pek çok işlemin dijital ortama geçirilmesi sonucunda bir gereksinim olarak ortaya çıkan dijital kimlik doğrulama yöntemlerinden biri olan biyometrik güvenlik yöntemleri incelenmiştir. Kişinin şifresini kendi üzerinde taşıması olarak ifade edebileceğimiz biyometrik güvenlik sistemleri, gerçek anlamda sosyal hayatta kısa bir zaman öncesinde kullanılmaya başlanmasına rağmen, her geçen gün daha fazla yerde kendini göstermektedir. Kişilerin parmak izi, iris, yüz gibi fiziksel sabit özellikler veya imza atış şekli, yürüme şekli gibi davranışsal özelliklerin herhangi birisini kullanan sistemler günümüzde oldukça rağbet görmektedir.

Kullanılan her güvenlik sisteminde olduğu gibi, biyometrik tabanlı güvenlik sistemlerinde de sistemin kullandığı herhangi bir yazılıma ya da donanıma yapılabilecek saldırılar mevcuttur. Biyometrik verileri algılayan cihazlara yapılan saldırılar olduğu gibi, biyometrik verileri taklit etmeye yönelik saldırılar da bulunmaktadır. Ayrıca  iletişim kanalı saldırıları ya da ma-in-the-middle saldırılar olarak adlandırılan ve kullanılan sisteme gizlice girip bilgi elde eden ve hatta bu bilgileri değiştiren saldırılar da biyometrik sistemler için birer tehdit unsurudur.

Bu saldırılardan korunabilmek kimlik doğrulama sağlayan sözkonusu biyometri sistemlerinde hayatî bir öneme sahiptir. Bu yüzden tüm bu saldırılar ve bunların kombinasyonları biyometrik güvenlik sistemlerinde iyi tanımlanmalı ve saldırılardan korunmak için gerekli önlemler alınmalıdır.

• İnternet: Bilgisayarlara biyometrik bir okuyucunun entegre edilmesi ve bu sayede internetten yapılabilecek bankacılık işlemleri, resmî işlemler, pasaport vs başvuruları gibi dijital işlemlerin  biyometrik kimlik doğrulama sayesinde yapılabilmesi işlemi oldukça ön plana çıkmaktadır.

• Telefon: Bu yöntemde internette olduğu gibi telefon cihazlarına entegre edilecek bir aygıt ile kişinin telefon üzerinden alışveriş vs işlemlerini gerçekleştirilmesi amaçlanmaktadır. Ancak, telefon cihazının, hatlarının ve kullanıcı ortamlarının sabit olmayışı bu yöntemi zor kılar.

• ATM: Pek çok kullanıcısı olan ve bu kullanıcıların sıklıkla işlem yaptığı bankalarda sahteciliğin boyutları göz önüne alındığında bankaların bu sorunu biyometri teknolojisi kullanarak çözme çabası uygun bir çözüm olarak görünmektedir.

Biyometrik güvenlik sistemleri, genelde ek maliyet getirmeleri, kullanımlarının bazen uzmanlık gerektirmesi, ele geçirildiği anda yenilenme şansı olmamasından dolayı geçerliliğinini kalmaması gibi dezavantajlarının yanında kişinin kendisi dışında ek bir bilgi, donanım, yazılım, şifre, araç kullanmak zorunluluğunun olmaması, çalınma, unutulma, kaybolma gibi tehlikelerin yok denebilecek kadar az olması gibi avantajları ile biyometrik sistemler gelecekte daha çok yer edinecek gibi görünmektedir.

Kaynaklar:

[1] Açık Anahtar Altyapısı ve Biyometrik Teknikler, Necla Özkaya,  Şeref Sağıroğlu

[2] Bilgisayar Destekli Kimlik Tespit Sistemlerinde Biometrik Yöntemlerin Değerlendirilmesi Taha Saday, Nurdan Akhan

[3]http://www.turkeyforum.com/satforum/archive/index.php/t-202.html

[4]http://www.vizyotek.com/Teknoloji/Iris_Tanıma.htm

[5] Mücahit YOZGAT, “Bilgisayarda Parmak İzi Tanıma”, Gazi Üniversitesi Elektronik ve Bilgisayar Bölümü, Yüksek Lisans Tezi

[6] www.incits.org

[7] Halici U.; Jain L. C.; Hayashi, I.; Lee, S.B.; Tsutsui T., Intelligent Biometric Techniques in Fingerprint and Face Recognition, CRC press, USA, 1999.