USE OF SMART ID CARDS IN BANKING: POSSIBLE SECURITY THREATS AND MEASURES TO BE TAKEN
Year 2018,
, 745 - 760, 01.06.2018
Eyüp Burak Ceyhan
İsmail Fatih Ceyhan
,
Ebru Demiryürek
Rumeysa Bodur
Abstract
Smart cards have begun to be widely used along with the development of different technologies, especially computer technology. Multiple cards like bankcards, ID cards which are used by people for several purposes and should be carried along have been integrated in a single portable card. Although these cards are useful in many ways, in case of vulnerabilities they can be under attack. Security vulnerabilities and possible attack types that may be occur in smart card systems, issues to be considered in smart card systems and using smart cards in financial transactions were explained in this study. In addition, a literature review was made on the solutions of security problems in smart card systems and the measures that could be taken against the attacks. Recommendations were made to ensure the security of smart identity cards which will be available to all citizens in Turkey in the near future
References
- Ajanshaber. (2015). Yeni kimlikler ne zaman verilecek. Erişim Tarihi: 26.02.2016, http://www. ajanshaber.com/yeni-kimlikler-ne-zaman-verilecek-haberi/327952
- Al-Khouri, A. M. (2014). Electronic payments: Building the case for a national initiative. Advances in Social Sciences Research Journal, 1(3), 176-195.
- Anthes, G. (2015). Estonia: A model for e-government. Communications of the ACM, 68(6), 18-20.
- Ayyanna, K. (2007). Study of some fingerprint verification algorithms. (Yayınlanmamış Yüksek Lisans Tezi). Department of Electronics & Communication Engineering National Institute of Technology, Rourkela.
- Başak, M., & Bıyıklıoğlu, F. (2008). Bilgi güvenliği ve akıllı kartlar. II. Ağ ve Bilgi Güvenliği Ulusal Sempozyumu, KKTC, 213-215.
- Best. (2013). Biyometrik güvenlik sistemleri. Erişim Tarihi: 21.03.2018, http://www.bestdergisi. com.tr/arsiv/yazi/biyometrik-guvenlik-sistemleri
- Biometrics. (2004). Biometric application. Erişim Tarihi: 18.03.2018, http://www.geocities. ws/hnabhijith/Biometrics.htm#7
- Biometrics. (2005). Liveness detection for iris recognition. Erişim Tarihi: 21.03.2016, http:// www.biometrics.org/bc2005/Bios/RS/Bio%20Toth%20_%20RS.pdf
- Chemla, Y., & Richard, C. (2005). Security device, method and system for financial transactions, based on the identification of an individual using a biometric profile and a smart card. US Patent.
- CNN. (2014). Branding Nigeria: Mastercard-backed i.d. is also a debit card and a passport. Erişim Tarihi: 04.03.2018, http://edition.cnn.com/2014/09/25/business/branding- nigeria-mastercard-backed-i-d-/index.html
- Eaton, B., Hedman, J., & Medaglia, R. (2018). Three different ways to skin a cat: Financialization in the emergence of national e-id solutions. Journal of Information Technology, 33(1), 70-83.
- EKDS. (2015). Yeni kimlikler ilk hangi ilde dağıtılacak. Erişim Tarihi: 26.02.2016, http:// www.ekds.org/node/83
- Fastcompany, (2013). Nigeria’s futuristic national id cards are also debit cards. Erişim Tarihi: 04.03.2018, https://www.fastcompany.com/3009549/nigerias-futuristic-national-id- cards-are-also-debit-cards
- Gerrit, H. (2004). Biometric identity cards: Technical, legal, and policy issues. ISSE 2004 — Securing Electronic Business Processes, Editors: Sachar Paulus, Norbert Pohlmann, Helmut Reimer, Vieweg+Teubner Verlag, 1-11.
- Haber7. (2016). İşte yeni kimlik kartlarının dağıtım tarihi. Erişim Tarihi: 01.03.2018, http:// ekonomi.haber7.com/ekonomi/haber/1814858-iste-yeni-kimlik-kartlarinin-dagitim- tarihi
- House of Commons Science and Technology Committee. (2006). Identity card technologies: Scientific advice, risk and evidence. The Government Reply to the Sixth Report from the House of Commons Science and Technology Committee Session, 1-200.
- İnan, T. (2012). Akıllı kart teknolojisi. Erişim Tarihi: 16.03.2018, https://www.ce.yildiz.edu.tr/ personal/tevfik/file/1148/0113841+Mesleki+Terminoloji+II+-+SmartCard.pdf
- İTÜ. (2013). Şifreleme yöntemleri. Erişim Tarihi: 02.07.2018, https://bidb.itu.edu.tr/eskiler/ seyirdefteri/blog/2013/09/07/%C5%9Fifreleme-y%C3%B6ntemleri
- Jain, A. K., Hong, L., & Bolle, R. (1997). On-line fingerprint verification. IEEE Transactions on Pattern Analysis and Machine Intelligence, 19(4), 302-314.
- Jain, A. K., Ross, A., & Prabhakar, S. (2004). An introduction to biometric recognition. IEEE Transactions on Circuits and Systems for Video Technology, 14(1), 4-20.
- Karakülah, M., Danacı, M., & Ciritçi, İ. H. (2004). Biyometrik parmak izinin akıllı kartlarla kullanımı ve uygulaması. Pamukkale Üniversitesi Mühendislik Bilimleri Dergisi, 10(4), 13-16.
- Khan, G.A. (2014). Building robust identification systems. World Bank South-South Learning Forum, Rio de Janeiro, Brazil.
- Ko, H., & Caytiles, R. D. (2011). A review of smartcard security issues. Journal of Security Engineering, 8(3), 359-370.
- Koteswara, R. D. V. N., Kishore, G. S. N., & Vasavi, G. (2014). Adaptive fingerprint enhancement. International Journal of Future Generation Communication and Networking, 7(4), 159-170.
- Leparisien, (2011). Plus de 10 % des passeports biométriques seraient des faux. Erişim Tarihi: 21.03.2018, http://www.leparisien.fr/faits-divers/plus-de-10-des-passeports- biometriques-seraient-des-faux-19-12-2011-1775325.php
- Medaglia, R., Hedman, J., & Eaton, B. (2017). Public-private collaboration in the emergence of a national electronic identification policy: The case of nemid in Denmark. Proceedings of the 50th Hawaii International Conference on System Sciences, Hawaii, 2782-2791.
- Nandakumar, K., Jain, A. K., & Ross, A. (2009). Fusion in multibiometric ıdentification systems: What about the missing data?. The 3rd edition of the International Conference on Biometrics (ICB), Alghero, Italy, 743-752.
- Nyamulinda, P. (2014). Experience of Rwanda in implementing a national identification program. World Bank South-South Learning Forum, Rio de Janeiro, Brazil.
- Oranlı, G. (2007). Radyo frekansıyla tanımlama teknolojisinin uygulanması kararının bulanık analitik hiyerarşi yöntemi ile değerlendirilmesi: Bankacılık sektöründe bir uygulama. (Yayınlanmamış Yüksek Lisans Tezi). İTÜ Fen Bilimleri Enstitüsü, İstanbul.
- Özbey, R. (2006). Akıllı kart teknolojileri. Ulusal Elektronik İmza Sempozyumu, Ankara, 49.
- Pymnts, (2014). Estonian national id cards embrace electronic payment capabilities. Erişim Tarihi: 04.03.2018, https://www.pymnts.com/news/2014/estonian-national-id-cards- embrace-electronic-payment-capabilities
- Resmi Gazete. (2016). Kişisel verilerin korunması kanunu. Erişim Tarihi: 15.03.2018, http:// www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf
- Rissanen, T. (2010). Electronic identity in Finland: ID cards vs. Bank IDs. Identity in the Information Society, 3(1), 175-194.
- Roy. (2015). Saying no to biometrics. Erişim Tarihi: 20.03.2016, http://www.maurice-info.mu/ saying-no-biometrics-guru-dev-teeluckdharry.html
- Sağıroğlu, Ş., & Özkaya, N. (2006). Otomatik parmak izi tanıma sistemlerinde kullanılan önişlemler için yeni yaklaşımlar. Gazi Üniversitesi Mühendislik-Mimarlık Fakültesi Dergisi, 21(1), 11-19.
- Turkishtimedergi. (2015). İşte finansta yılın inovasyonları. Erişim Tarihi: 04.03.2018, http:// www.turkishtimedergi.com/finans/iste-finansta-yilin-inovasyonlari
- TÜBİTAK. (2006).Akıllı kartların kamuda kullanımı. Ön çalışma raporu.
- UK Government Biometrics Working Group (BWG). (2003). Biometric security concerns. CESG Technical report.
- Wrankl. (2016). Smart card applications. Erişim Tarihi: 28.02.2016, http://www.wrankl.de/ SCA/SCA.html
- Xiao, Q., & Savastano, M. (2007). An exploration on security and privacy ıssues of biometric smart id cards. Information Assurance and Security Workshop, West Point, NY, 228- 233.
AKILLI KİMLİK KARTLARININ FİNANSAL İŞLEMLERDE KULLANIMI: OLASI GÜVENLİK TEHDİTLERİ VE ALINACAK ÖNLEMLER
Year 2018,
, 745 - 760, 01.06.2018
Eyüp Burak Ceyhan
İsmail Fatih Ceyhan
,
Ebru Demiryürek
Rumeysa Bodur
Abstract
Akıllı kartlar başta bilgisayar teknolojileri olmak üzere farklı teknolojilerin gelişmesiyle birlikte yaygın olarak kullanılmaya başlanmıştır. İnsanların farklı işler için kullandığı, yanında taşıması gereken banka kartları, kimlik kartları gibi birçok kart tek bir taşınabilir kartta birleşmiştir. Bu kartlar birçok açıdan kullanışlı olsa da güvenlik açığı olması durumunda kötü niyetli kişilerin saldırılarına maruz kalabilmektedir. Bu çalışmada akıllı kart sistemlerinde bulunan güvenlik açıkları ve meydana gelebilecek saldırı çeşitleri, akıllı kart sistemlerinde dikkat edilmesi gereken hususlar ve akıllı kartların finansal işlemlerde kullanımı açıklanmıştır. Ayrıca akıllı kart sistemlerinde görülen güvenlik sorunlarının çözümleri ve saldırılara karşı alınabilecek önlemler ile ilgili bir yazın taraması yapılmıştır. Yakın gelecekte Türkiye’deki tüm vatandaşların kullanımına sunulacak olan akıllı kimlik kartlarının güvenliğinin sağlanması için önerilerde bulunulmuştur.
References
- Ajanshaber. (2015). Yeni kimlikler ne zaman verilecek. Erişim Tarihi: 26.02.2016, http://www. ajanshaber.com/yeni-kimlikler-ne-zaman-verilecek-haberi/327952
- Al-Khouri, A. M. (2014). Electronic payments: Building the case for a national initiative. Advances in Social Sciences Research Journal, 1(3), 176-195.
- Anthes, G. (2015). Estonia: A model for e-government. Communications of the ACM, 68(6), 18-20.
- Ayyanna, K. (2007). Study of some fingerprint verification algorithms. (Yayınlanmamış Yüksek Lisans Tezi). Department of Electronics & Communication Engineering National Institute of Technology, Rourkela.
- Başak, M., & Bıyıklıoğlu, F. (2008). Bilgi güvenliği ve akıllı kartlar. II. Ağ ve Bilgi Güvenliği Ulusal Sempozyumu, KKTC, 213-215.
- Best. (2013). Biyometrik güvenlik sistemleri. Erişim Tarihi: 21.03.2018, http://www.bestdergisi. com.tr/arsiv/yazi/biyometrik-guvenlik-sistemleri
- Biometrics. (2004). Biometric application. Erişim Tarihi: 18.03.2018, http://www.geocities. ws/hnabhijith/Biometrics.htm#7
- Biometrics. (2005). Liveness detection for iris recognition. Erişim Tarihi: 21.03.2016, http:// www.biometrics.org/bc2005/Bios/RS/Bio%20Toth%20_%20RS.pdf
- Chemla, Y., & Richard, C. (2005). Security device, method and system for financial transactions, based on the identification of an individual using a biometric profile and a smart card. US Patent.
- CNN. (2014). Branding Nigeria: Mastercard-backed i.d. is also a debit card and a passport. Erişim Tarihi: 04.03.2018, http://edition.cnn.com/2014/09/25/business/branding- nigeria-mastercard-backed-i-d-/index.html
- Eaton, B., Hedman, J., & Medaglia, R. (2018). Three different ways to skin a cat: Financialization in the emergence of national e-id solutions. Journal of Information Technology, 33(1), 70-83.
- EKDS. (2015). Yeni kimlikler ilk hangi ilde dağıtılacak. Erişim Tarihi: 26.02.2016, http:// www.ekds.org/node/83
- Fastcompany, (2013). Nigeria’s futuristic national id cards are also debit cards. Erişim Tarihi: 04.03.2018, https://www.fastcompany.com/3009549/nigerias-futuristic-national-id- cards-are-also-debit-cards
- Gerrit, H. (2004). Biometric identity cards: Technical, legal, and policy issues. ISSE 2004 — Securing Electronic Business Processes, Editors: Sachar Paulus, Norbert Pohlmann, Helmut Reimer, Vieweg+Teubner Verlag, 1-11.
- Haber7. (2016). İşte yeni kimlik kartlarının dağıtım tarihi. Erişim Tarihi: 01.03.2018, http:// ekonomi.haber7.com/ekonomi/haber/1814858-iste-yeni-kimlik-kartlarinin-dagitim- tarihi
- House of Commons Science and Technology Committee. (2006). Identity card technologies: Scientific advice, risk and evidence. The Government Reply to the Sixth Report from the House of Commons Science and Technology Committee Session, 1-200.
- İnan, T. (2012). Akıllı kart teknolojisi. Erişim Tarihi: 16.03.2018, https://www.ce.yildiz.edu.tr/ personal/tevfik/file/1148/0113841+Mesleki+Terminoloji+II+-+SmartCard.pdf
- İTÜ. (2013). Şifreleme yöntemleri. Erişim Tarihi: 02.07.2018, https://bidb.itu.edu.tr/eskiler/ seyirdefteri/blog/2013/09/07/%C5%9Fifreleme-y%C3%B6ntemleri
- Jain, A. K., Hong, L., & Bolle, R. (1997). On-line fingerprint verification. IEEE Transactions on Pattern Analysis and Machine Intelligence, 19(4), 302-314.
- Jain, A. K., Ross, A., & Prabhakar, S. (2004). An introduction to biometric recognition. IEEE Transactions on Circuits and Systems for Video Technology, 14(1), 4-20.
- Karakülah, M., Danacı, M., & Ciritçi, İ. H. (2004). Biyometrik parmak izinin akıllı kartlarla kullanımı ve uygulaması. Pamukkale Üniversitesi Mühendislik Bilimleri Dergisi, 10(4), 13-16.
- Khan, G.A. (2014). Building robust identification systems. World Bank South-South Learning Forum, Rio de Janeiro, Brazil.
- Ko, H., & Caytiles, R. D. (2011). A review of smartcard security issues. Journal of Security Engineering, 8(3), 359-370.
- Koteswara, R. D. V. N., Kishore, G. S. N., & Vasavi, G. (2014). Adaptive fingerprint enhancement. International Journal of Future Generation Communication and Networking, 7(4), 159-170.
- Leparisien, (2011). Plus de 10 % des passeports biométriques seraient des faux. Erişim Tarihi: 21.03.2018, http://www.leparisien.fr/faits-divers/plus-de-10-des-passeports- biometriques-seraient-des-faux-19-12-2011-1775325.php
- Medaglia, R., Hedman, J., & Eaton, B. (2017). Public-private collaboration in the emergence of a national electronic identification policy: The case of nemid in Denmark. Proceedings of the 50th Hawaii International Conference on System Sciences, Hawaii, 2782-2791.
- Nandakumar, K., Jain, A. K., & Ross, A. (2009). Fusion in multibiometric ıdentification systems: What about the missing data?. The 3rd edition of the International Conference on Biometrics (ICB), Alghero, Italy, 743-752.
- Nyamulinda, P. (2014). Experience of Rwanda in implementing a national identification program. World Bank South-South Learning Forum, Rio de Janeiro, Brazil.
- Oranlı, G. (2007). Radyo frekansıyla tanımlama teknolojisinin uygulanması kararının bulanık analitik hiyerarşi yöntemi ile değerlendirilmesi: Bankacılık sektöründe bir uygulama. (Yayınlanmamış Yüksek Lisans Tezi). İTÜ Fen Bilimleri Enstitüsü, İstanbul.
- Özbey, R. (2006). Akıllı kart teknolojileri. Ulusal Elektronik İmza Sempozyumu, Ankara, 49.
- Pymnts, (2014). Estonian national id cards embrace electronic payment capabilities. Erişim Tarihi: 04.03.2018, https://www.pymnts.com/news/2014/estonian-national-id-cards- embrace-electronic-payment-capabilities
- Resmi Gazete. (2016). Kişisel verilerin korunması kanunu. Erişim Tarihi: 15.03.2018, http:// www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf
- Rissanen, T. (2010). Electronic identity in Finland: ID cards vs. Bank IDs. Identity in the Information Society, 3(1), 175-194.
- Roy. (2015). Saying no to biometrics. Erişim Tarihi: 20.03.2016, http://www.maurice-info.mu/ saying-no-biometrics-guru-dev-teeluckdharry.html
- Sağıroğlu, Ş., & Özkaya, N. (2006). Otomatik parmak izi tanıma sistemlerinde kullanılan önişlemler için yeni yaklaşımlar. Gazi Üniversitesi Mühendislik-Mimarlık Fakültesi Dergisi, 21(1), 11-19.
- Turkishtimedergi. (2015). İşte finansta yılın inovasyonları. Erişim Tarihi: 04.03.2018, http:// www.turkishtimedergi.com/finans/iste-finansta-yilin-inovasyonlari
- TÜBİTAK. (2006).Akıllı kartların kamuda kullanımı. Ön çalışma raporu.
- UK Government Biometrics Working Group (BWG). (2003). Biometric security concerns. CESG Technical report.
- Wrankl. (2016). Smart card applications. Erişim Tarihi: 28.02.2016, http://www.wrankl.de/ SCA/SCA.html
- Xiao, Q., & Savastano, M. (2007). An exploration on security and privacy ıssues of biometric smart id cards. Information Assurance and Security Workshop, West Point, NY, 228- 233.