Hakkında Künye

Sanal Ortamda Güvenli Belgeler İçin

Bayram nedeniyle birkaç gün sizi sabırsızlandırdıktan sonra, ekim sayımızla karşınızdayız. Tüm okuyucularımızın bayramını kutlarken, bu ayki yazımda sizleri teknolojinin hayatımıza kattığı bir yenilik olan sayısal imza konusunda aydınlatmaya çalışacağım. Yenilik desem de, aslında sayısal imza fikrinin ortaya çıkması 1980lere kadar uzanmaktadır. Ancak dünyanın çeşitli bölgelerinde bu uygulamanın hukuksal boyutu farklı şekillerde kabul edildiği için, her ülkenin sayısal imzayla tanışması farklı zamanlarda görülmektedir. Sayısal imza bir çeşit elektronik imzadır ve sanal ortamdaki verilerin korunmasında elektronik imza olarak; mobil imza, imza dosyaları ve biyometri tekniği (Ağustos 2008 sayımızdaki Biyometrik Sistemler yazımızda ayrıntılı bilgiyi bulabilirsiniz) de kullanılmaktadır. Birçok kurumun fiziksel ortamda imzalayıp sanal ortama aktardıkları dökümanlarının iletimi de bir çeşit elektronik imza uygulamasıdır. Tüm yönleriyle inceleyeceğimiz sayısal imza uygulamasının ilk önce ne olduğunu öğrenelim.

Sayısal İmza Nedir?

Açıkcası benim sayısal imza ile tam olarak tanışmam bir kriptoloji konferansında gerçekleşti. Sanal ortamda bilgi güvenliğinin sağlanması konusununda en önemli bilim dalı olan kriptolojinin küçük bir uygulama alanı olan sayısal imza ile böyle bir ortamda karşılaşmak hiç de şaşırtıcı değildi. Sayısal imzanın çalışma prensibini açıklarken kriptoloji ile olan ilişkisini daha yakından görebileceğiz. Peki kriptolojiyle haşır neşir olan, bir çeşit güvenlik sağlayan, içinde bir de imza geçen bu terim tam olarak nedir? Sayısal imza (digital signature), aynı gerçek hayatta imzaladığımız belgelerde olduğu gibi, sanal ortamdaki belgelerde kullandığımız kişisel imzamızdır. Günümüzün yüksek güvenlik gereksinimini karşılamada kullanılan, sanal dünya kimlik belirtecidir. Sayısal imza yerine dijital imza adı da kullanılmaktadır. Sayısal imzanın resmi tanımı için Elektronik Ticaret Koordinasyon Kurulu Hukuk Raporu'na göz atarsak, sayısal imza: "Elektronik imzanın özel bir çeşidi olup, bir anahtar çifti (açık ve gizli anahtarlar) ile elektronik ortamda iletilen veriye vurulan bir mühürdür. Sayısal imzalar göndericinin kimliğinin açık ve net bir biçimde teyidini, elektronik dokümanın orijinalliğini ve güvenilirliğini mümkün kılar. Gönderici için ve mesajın gönderildiği taraf için tek olan sayısal imzalar doğrulanabilir ve inkar edilemez."

Tarihine göz atarsak, sayısal imza fikri ilk olarak Whitfield Diffie ve Martin Hellman'in "New Directions in Cryptography" adlı ünlü makalesinde ortaya çıkmıştır. Daha sonra dijital imza oluşturulmasına temel hazırlayacak olan RSA algoritması icat edilmiş ve 1989 yılında RSA tabanlı sayısal imzayı sunan ilk yazılım olan Lotus Notes 1.0 piyasaya sürülmüştür. Sadece RSA kullanımının güvenli olmaması üzerine, Lamport imzaları, Merkle imzaları ve Rabin imzaları geliştirilmiştir. 1984'te dijital imzanın gereklilikleri ilk kez kesin çizgilerle çizilmiş, ve bunun sonucunda birazdan anlatacağım imzalamanın şifrelemeye, onaylanmanın da deşifrelemeye karşılık geldiği genel anahtar kriptografisi (public key cryptography) kullanılmaya başlanmıştır.

Sayısal imza bilgi güvenliğinin teknoloji gelişimiyle başa çıkabilmesi için duyulan ihtiyaç sonucu ortaya çıkan bir teknolojidir. Kullanıcı güvenliğinin gelişen teknolojide arka planda kalması sonucunda, kişisel ve ticari bilgiler internetin yaygın kullanımı sırasında ele geçmeye başlamıştır. Örneğin, kötü niyetli kişiler sistem açıklarından faydalanarak başka kullanıcıların bilgilerini ele geçirerek onların kılığına girip banka hesapları ile oynamışlardır. Bunun sonucunda gerçek kişilerin sanal ortamda kesin tanıtılması mecbur kılınmıştır ve bu noktada sayısal imza karşımıza çıkar. E-postalar, e-ticaret işlemleri, elektronik ortamdaki sözleşmeler, banka işlemleri, başvurular, devlet hizmetleri, dilekçeler gibi onaylanması gereken önemli uygulamalarda, işlemi yapanın veya yazanın tanımlanması için dijital imzalar kullanılır. Sayısal imzaların temel işlevlerini üç başlık altında toplayabiliriz.

Tanılama veya Sayısal Tanıma

Kimliğinizi gösterip yetkili olduğunuz bir yere girmeniz gibi, veya retinal tarayıcı ile irisinizden kimliğinizin tanımlanması gibi; tanılama sizin siz olduğunuzu ve imzaladığınız verinin size ait olduğunu garantileyen sayısal imza özelliğidir. Gönderen kullanıcı, kurum veya sunucunun kimliğini kesinlikle teyit eder, yetkinliğini onaylar ve işleme katılanları belirleme ile bilginin sabitliğini sağlar.

Gizlilik ve Veri Bütünlüğü

Dijital imza ile doğrulanan bilginin imzalandıktan sonra değiştirilememesi, yani verinin doğruluğu sağlanır. Veri akışı esnasında bilgilerin içeriği korunur, ele geçirilmesi veya değiştirilmesi engellenir. Bilinçli ya da bilinçsiz bir şekilde verinin değiştirilmesinin önlemesi, imzanın tüm belgenin karımını (hash) taşımasıyla gerçekleşir. Çalışma mantığına değindiğimizde bu bölüm biraz daha anlaşılır hale gelecek. Verinin gizliliği ise sadece alıcının belgeyi okuyabilmesini ifade eder. Dijital imza normal imzalardan belki de bu noktada ayrılmaktadır. Diyelim bir çek yazıp imzaladınız. Biri çekin miktarını değiştirdiği anda çekin üstünde bir "geçersiz" etiketi belirmesi, sanırım sadece sayısal imzanın özelliği :)

İnkar Edememe

Belgeyi imzalayanın kimliğini kanıtlayabilmesi, inkar edilememe ilkesinin temelidir. İmzalayan ileride çıkacak bir sorunda o belgeyi kendisinin imzaladığını sayısal imza sayesinde göstererek, hem kendisinin bu belgeyi gönderdiğinin hem de alıcı tarafından alındığının inkar edilememesini sağlar. Kısaca ıslak imza veya parmak izi, bağlayıcılığıyla belgeyi nasıl özel ve inkar edilemez kılıyorsa, aynı özellik sayısal imzada da mevcuttur.

Bir süre dijital imzayı unutarak günlük yaşamdaki imzaya bakalım. Her ne kadar bize doğal gelse de, aslında imzamız da bir çeşit teknolojik uygulamadır; çünkü yazılı iletişim sırasında tarafların kimliklerini doğrulamaya yarayan imza, imza atılacak ortam (kağıt, tablo, papirüs, vb.), imza atmaya yarayan araç (kalem, stilo, tüy, vb.), okuyabilme, yazabilme gibi araçlara ve niteliklere sahip olunmadan gerçekleştirilemez. Bunun yanında imza hukuki açıdan bazı sorumluluklar taşıdığından, kişilerin fiil ehliyetine (hak ve borçları üstlenebilme ehliyeti), akıl sağlığına ve yaptığı işlemin sonuçlarını idrak edebilme kapasitesine de sahip olması gerekmektedir. Tüm bunlar kişinin iradesini yazılı olarak ortaya koymasının minimum gereklilikleridir. Normal imzanın bu özelliklerini tabi ki sayısal imzanın da taşıması gerekir, bunun için:

  • Sayısal imza yaratmak için sadece sahibi tarafından bilinen ve sadece sahibi tarafından aktif konuma getirilebilecek imza oluşturma verisi,
  • İçeriğine herkes tarafından ulaşılabilen imza oluşturma verisi,
  • İmzalanan verinin gerçekten o imza oluşturma verisi ile mi oluşturulduğunu doğrulama imkanı tanıyan doğrulama verileri,
  • İmza doğrulama verisini taşıyan ve elektronik kimlik kartı olarak da kullanılabilen bir elektronik kayıt (sayısal sertifika),
  • Elektronik imza ile ilişkilendirilen veri (elektronik belge, elektronik uygulama veya e-posta)

gibi özellikler sayısal imzanın, hatta çoğu elektronik imzanın değişmez unsurlarıdır. Bu unsurlar sayısal imzanın yetkilendirme (authentication) ve bütünlük (integrity) ilkelerini yerine getirmesini sağlar. Bunlara ek olarak dijital imza kolay taşınabilir, taklit edilemez ve otomatik olarak zaman eklentilidir. Sayısal imzaların gerçek imzaların yerini tutması için gereken hukuki altyapı, uluslararası hukuk kurumları tarafından hazırlanmaktadır, birazdan bu sürece ayrıntılarıyla değineceğiz.

Sayısal Sertifika Nedir?

Sayısal imzaların sağ kolu ise sayısal sertifikalar, bir diğer adıyla elektronik sertifikalar (digital certificates)dır; çünkü sayısal imzalar sayısal sertifikalar ile yaratılır ve onaylanır. Bir rehbere benzeyen sayısal sertifikalar; yetkili bir otoriteye başvurduktan sonra, belli bir ücret karşılığında kişiye özel olarak hazırlanır. Bilgi güvenliğinin sağlanması için, herkesin kendi el yazısı kadar özel olan bir dijital sertifikaya ihtiyacı vardır. Bu sertifika içerisinde imza sahibinin kimlik doğrulamasını sağlayacak bilgiler ve gönderdiği imzalı belgelerin kendisinden geldiğini kanıtlayacak veriler içerir. Sayısal imzaların çalışma mantığını anlattığım bölümde daha da netleşeceği gibi, normal bir dijital sertifika kullanıcının kimlik bilgilerini, gizli anahtarın kendisine ait olduğunu gösteren verileri ve kullanıcının genel anahtarını içerir. Genelde bir yıl olmak üzere sayısal sertifikaların belli bir kullanım süresi vardır ve dijital sertifika kullanan programlar ilk önce sertifikanın bu süresini denetler. Dijital sertifika, yasal düzenleme izni olan kurumlar tarafından hazırlanan, belli bir formattaki (X.509) bir çeşit elektronik kayıttır. Sayısal sertifikaları hazırlayan bu kurumlara "Sertifikasyon Otoritesi", "Onay Makamı", "Servis Sağlayıcı" veya "Elektronik Sertifika Sağlayıcı" gibi çeşitli isimler verilmiştir (Genelde Certification Authority – CA olarak geçer). Servis sağlayıcılar sertifika üzerine imza atarak, sertifikanın bütünlüğünü ve doğruluğunu garanti etmektedir. Yani iki taraftan da bağımsız, iki tarafın da güvendiği bir üçüncü şahıs olarak belgeye şahitlik eder. Ayrıca bu kuruluşun diğer bi fonksiyonu da, sertifika ile gönderilen belgelerin birebir kopyasını ulaşılamaz ve bulunamaz bir biçimde ve konumda saklamasıdır. Eğer bir elektronik sertifika normal bir elektronik sertifikaya ek olarak,   Sayısal sertifika örneği

  • Seri numarası
  • Sürüm
  • Veren kurumun adı ve ülkesi
  • Kullanılan kriptografik algoritmalar
  • Geçerlilik süresi
  • Sayısal imza

içeriyorsa, bu sertifika "nitelikli sayısal sertifika"dır. Bir de “kök sertifika” kavramı vardır, bu da onay makamının kendi sertifikasıdır. İçerisinde onay makamının bilgileri ve imzasını doğrulayan açık anahtarı vardır. Buna karşılık gelen özel anahtarı ise kurum tarafından verilen sertifikaları imzalamak için kullanılır. Sayısal sertifikalar ve sayısal imzaların birlikte kullanımı sayesinde: Bütünlük, kimlik denetimi ve inkar edememezlik; erişim kontrolü; belge iletiminin ispatı; belge arşivi ve edinilmesi olmak üzere dört özellik kullanıcıya sağlanmış olur.

Sayısal imza sahibi olmak için öncelikle bir elektronik sertifika sahibi olmanız gerekir. Bunun için de, eğer kamu kurumu çalışanıysanız ve imzanızı kamu kurumları arasındaki işlemlerde kullanacaksanız, sertifikanızı TÜBİTAK UEKAE’den edinmelisiniz. Çalıştığınız kurumun TÜBİTAK UEKAE’ye kurumsal başvuru yapmasıyla bu işlemi gerçekleştirebilirsiniz. Eğer kamu çalışanı değilseniz ya da kamu çalışanı olup kurum dışındaki işlemlerinizde de elektronik imzanızı kullanmak istiyorsanız, elektronik sertifika hizmet sağlayıcılardan, sertifikanızı ücret karşılığında hazırlatmanız gerekmektedir. Bu yetkili şirketleri de Telekomünikasyon Kurumu'nun internet sayfasında bulabilirsiniz.

Sayısal İmza Nasıl Çalışır?

Diyelim başka bir şehirdeki avukatınıza bir kontrat taslağı göndereceksiniz. Avukatınızın bu belgenin yolda değişmediğine ve sizden geldiğine emin olmasını sağlamak zorundasınız. Kontratı kopyalayıp bir e-postaya yapıştırıyorsunuz (en basitinden). Özel bir yazılım ile mailin matematiksel özetini, yani karımını (hashini) elde ediyorsunuz. Önceden yetkili bir yerden edindiğiniz özel anahtarınız ile karımı şifreliyorsunuz ve sayısal imzanız karşınızda! Avukatınız iletiyi alıyor, belgeden karımını çıkarıyor ve sizin genel anahtarınızı kullanarak karımı deşifre ediyor. Karımlar aynıysa, belgenin sizden ve değişmeden geldiğine emin oluyor. Kısaca, imzalanacak veri, mektup ya da belge sıkıştırılır, şifrelenir ve belgenin altına eklenir. Bu örneğin ışığında, sayısal imza kullanımını üç farklı bölüme ayıralım ve özetleyelim. İlk önce anahtar yaratma prosedürü, olası özel anahtarlar kümesinden rastgele bir anahtar seçer ve bu özel anahtar ile ona karşılık gelen genel anahtarı çıktı olarak verir. Daha sonra imzalama prosedürü, belgeyi ve özel anahtarı alıp, imzayı verir. Son olarak imza onaylayıcı prosedür, imzayı ve genel anahtarı alarak, bunu kabul eder veya reddeder. Böylece elektronik veri imzalanmış olur; ancak tabi ki her şey bu kadar basit değil.

   Basitçe sayısal imza

Buradaki şifreleme, gönderilen bilgiyi gönderim sırasında erişilse bile okunamayacak hale getirme işlemidir. Şifreleme hakkında Nisan 2008 sayımızdaki Şifrelerin Büyülü Dünyası yazımızda ayrıntıları bulabilirsiniz; ancak kısaca anlatmak gerekirse, şifrelemek ve şifreyi çözmek için bir algoritmaya bir de anahtara ihtiyaç vardır. Algoritma kısaca verinin nasıl şifreleneceği olup; anahtar ise, algoritmanın kullanacağı büyük bir sayı benzeri katardır. Sayısal imza oluşturmada kullanılan algoritma asimetrik anahtar kriptografisidir (anonim/genel anahtar kriptografisi de denir). İşlem süresince kullanılan tüm araçlarla beraber, asimetrik kriptosistem olarak adlandırılır. Bu yöntemde birbirine anahtar kilit ilişkisi gibi özgü olan iki farklı anahtar, göndericinin özel anahtarı (private key) ve tüm alıcılara gönderilen genel veya anonim anahtar (public key) kullanılır. Anahtarlar birbirleriyle bağıntılı da olsalar, birinden diğerinin elde edilmesi imkansızdır (irreversibility), bu da özel anahtarın korunmasına ve genel anahtarın dağıtılabilmesine olanak sağlar. Özel anahtarla şifrelenen belge gönderilir ve alıcı genel anahtara göre şifreyi çözer. Ancak bu algoritmanın yavaşlık ve şifrelerken verideki büyüme miktarı gibi dezavantajları vardır. İmzanın kısalması sonucu imzalarken zaman kazanılması (verimlilik), belge hangi tanım kümesinden olursa olsun imzanın aynı formata dönüştürülmesi (uyumluluk), ve büyük belgelerin bölünerek gönderilmemesi (bütünlük) için tüm belgenin şifrelenmesi yerine, belgenin sindirilmesi sonucu elde edilen değer, özel anahtar ile şifrelenerek, düz metnin altına eklenip alıcıya gönderilir. Şifrelenen bu eklenti, belgenin özetini içeren sayısal karakterler bütünüdür, yani bir çeşit karımdır (hash). Karım her belgeye özgü olduğundan, yani belgenin parmak izi yerini tuttuğundan, iletimde belgenin değişmediğini de garantiler. Karımın şifrelenmiş hali de sayısal imzanın ta kendisidir.

şifrelemeDijital imza ve dijital sertifika kullanımı

Yalnız imzalı karım tek başına yeterli olmadığından, bir de arada demin bahsettiğimiz onay makamı denilen ve kimlik teyidi yapan bir kuruluş bulunmaktadır; ki bu da dijital sertifikalar sayesinde olur. Gönderici ve alıcıların belirlenmesi için kullanılan sayısal sertifikaları düzenleyen kurumlar, kullanıcı ismi ile genel anahtarını içeren ve gizli anahtarın kullanıcıya aidiyetini doğrulayan sertifikaları düzenleyerek sayısal olarak imzalar. Yani alıcıya karımı ve genel anahtarı göndermek yerine, karımı ve sertifikayı göndermek, işlemi çok daha güvenli hale getirir. Sertifika kullanımı ile sayısal imza, güvenli elektronik imza statüsü kazanır.

Göndericinin belgenin hashini kendi özel anahtarı ile şifrelemesiyle sayısal imza yaratılır. Sayısal imza mesaja ve özel anahtara özgü olduğundan, değişmesi mümkün değildir. Sonra, yaratılan bu imza belgeye eklenir ve gönderenin anonim anahtarı ile birlikte alıcıya gönderilir. Alıcı belgeden karımı yani hashi tekrar yaratır ve genel anahtarla karımın şifresini çözer. Karımlar aynıysa, belgeyi gönderenin yetkinliği ve belgenin doğruluğu onaylanmıştır. Göndericinin özel anahtarı ile alıcıdaki genel anahtarın uyumluluğu, gönderenin kimliğini onaylar ve belgeyi kendisinin gönderdiğini inkar etmesini önler (tanıma ve inkar edememe). Bu alışveriş sırasında elektronik sertifika kullanılıyorsa, ayrıca göndericinin kimliği sertifika ile onaylanır ve belgenin bir kopyası onay makamınca (CA) alınır.

Bu işlemler sırasında ve aslında genel olarak bir özel anahtar sahibi olduğunuz sürece, belki de en önemli şey özel anahtarın korunmasıdır. Bu özel anahtarın kullanıcının bilgisayarında bir parola ile korunması ile sağlanabilir; ancak bunun iki dezavantajı vardır. Kullanıcı başka bir bilgisayarda belge imzalayamaz ve bilgisayarın güvenliği ile özel anahtarın güvenliği birdir. Bu sorunları aşmak için özel anahtarlar akıllı kart (smart card) denen minik cihazlarda saklanır. Cihazın pin kodu girildikten sonra, karımın şifresinin çözülmesi bu cihazda yapılır. Akıllı kart çalınırsa, birincisi kullanıcı bunu daha kolay fark eder, ikincisi de gizli anahtarı ele geçirmek için hala bir parolaya ihtiyaç vardır. İlaveten, bu parolanın keyloggerlara karşı korunması için bazı akıllı kartların kendi ayrı sayısal klavyeleri vardır.

Sayısal imzalarda tarih boyu avantajlarına ve yeterliliklerine göre bir çok algoritma kullanılmıştır. Bunlar; DSA, ECDSA, ElGamal imza şeması, SHA-1, Rabin imzası, Pointcheval-Stern imzası, Schnorr imzası ve çoklu imzadır. Günümüzde ise dijital imza elde etmek için kullanıcılar servis sağlayıcılarla paralel olarak dijital imza yazılımları kullanırlar. Sayısal imza yaratmak ve kullanmak için PGP (pretty good privacy) gibi programlar kullanıcı dostudur. Ayrıca bu yazılımlar, bir saldırı halinde imzalanacak verilerin kullanıcıya yanlış gösterilmesini de engellerler. Bu yazılımlar aracılığıyla dijital imza oluşturmayı, servis sağlayıcılardan dijital sertifika edinmeyi ve dijital imzayı posta okuyucularda kullanmayı diğer sayılarımıza bırakıyorum.

Hukuki Açıdan Sayısal İmza

Bilişim ve hukukun yolları son zamanlarda fazla kesişir oldu dediğinizi duyar gibiyim. Evet internet yayınının, internette bilgi güvenliğinin, hatta internet özgürlüğünün hukuksal maiyeti bu kadar tartışılırken, sayısal imza gibi sanal ortamda direk kişisel ve kurumsal her türlü yetkiyi koruyan bir teknoloji parçasının hukukçular açısından ne kadar karmaşık olduğunu tahmin edebiliriz. Dolayısıyla kanun koyucular bu kadar sınırsız bir ortamda belge alışverişi yapanların hak ve özgürlüklerini korumak için her ülkede birçok düzenlemeye başvurmaktadır. Ülkemizde ise sayısal imza ile ilgili Adalet Bakanlığı ve sivil toplum örgütlerinin işbirliğiyle hazırlanan bir tasarı yasalaşma sürecini henüz sonlandırmıştır. 5070 sayılı Elektronik İmza Kanunu'na göre sayısal imza;

Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi,

  • Münhasıran imza sahibine bağlı olan,
  • Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan,
  • Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan,
  • İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imzadır.

Birçok işlemde kullandığımız ıslak imza, kimliği teyit edilen kişi tarafından imzalanan belgenin her türlü sonucunun kabul edildiğini gösteren yasal bir araçtır. Bu yüzden Medeni Usul Kanunu'na göre imzalı bir belgeye karşı, ancak antitez niteliği taşıyan imzalı başka bir belge ispat olarak gösterilebilir. Yani e-postalar ve internet işlemleri altında isim olmasına veya göndereni belli olmasına rağmen mahkemelerde kanıt olarak kullanılamamaktadır; çünkü elektronik ortamdaki belgeler "kesin" değil "takdiri" kanıt sınıfındadır. Bu yüzden sanal belgelerimiz hukuki korumadan yoksundur. Peki bu koruma nasıl sağlanabilir? Çoğu şirket elektronik ortamdaki belgeleri fiziksel ortama geçirerek (veya tam tersi) imzalamakta, veya herhangi bir anlaşmazlık söz konusu olduğundan kendi kayıtlarının esas alınacağını önkoşul tutmaktadır. Ancak bunların hiçbiri kesin delil olarak tanınmamaktadır. Sayısal imzanın, ıslak imzanın sahip olduğu "el yazısıyla atılmalı" özelliği olmaması ve her zaman manipule edilebilme riski taşıması da önceki mevcut yasalara göre imza olarak kabul edilmemesini gerektirmektedir. Kısaca hukuksal olarak gerçek imzadan hiçbir farkı bulunmaması gereken sayısal imza, Türkiye'de daha yeni yeni yasalarla korunmaya başlanmıştır. Bu konuda çalışmalar Dış Ticaret Müsteşarlığı’na bağlı Elektronik Ticaret Koordinasyon Kurulu tarafından başlatılmış ve Adalet Bakanlığı tarafından geliştirilmektedir. Söz konusu tasarının ismi "Elektronik İmzanın Düzenlenmesi Hakkında Kanun Tasarısı" olup, ilk üç maddede amaç, kapsam ve tanımları içerirken, dördüncü maddede "güvenli elektronik imza" adı altında sayısal imzayı incelemektedir. Tasarı kapsamında; araç satışı, tapu devri ve vasiyet gibi merasime tabi sözleşmeler elektronik ortamda yapılamayacaktır; ama sayısal imza ıslak imzanının hukuki özelliklerinden yararlanabilecektir. Güvenli elektronik imza elle atılan imzaya eşdeğer tutulmuş ve sayısal imza ile oluşturulmuş verilerin senet hükmünde olacağı belirtilmiştir. Ayrıca sayısal imza araçlarının nitelikleri ve verinin değiştirilemezliği de açıkça belirtilmiştir. Tasarının ileriki maddelerinde; onay makamının (yani elektronik sertifika sağlayıcıların - service provider) görevleri, yetkileri, nitelikleri, diğer ülkelerle bağlantıları, cezai yaptırımları madde madde işlenmektedir. Konuyla ilgili tüm denetleme ve idari işler de Telekomünikasyon Kurumu'na verilmiştir. Böylece Adalet Bakanlığı koordinasyonunda hazırlanarak 23 Ocak 2004 tarih ve 25355 sayılı Resmi Gazete’de yayımlanmış olan “Elektronik İmzanın Düzenlenmesi Hakkında Kanun”, yayımı tarihinden altı ay sonra yürürlüğe girmiştir. Kanunun uygulanmasına yönelik ikincil düzenlemeler ise, Kanunun yürürlük tarihinden itibaren altı ay içerisinde yani 23 Ocak 2005 tarihine kadar Telekomünikasyon Kurumu tarafından yapılmıştır. Kamu sertifikasyon Merkezi kurulması ve işletilmesi görevi ise TÜBİTAK-UEKAE'ye verilmiştir.

Tasarıya yöneltilen bazı eleştiriler de bulunmaktadır. Öncelikle bu tasarı tüm elektronik imzaları kapsamadığından, adının "Sayısal İmza Tasarısı" olarak değiştirilmesi öne sürülmektedir. Diğer bir sorunsa, yurt dışındaki servis sağlayıcıların kimlik bilgilerine erişiminin ulusal çıkarlarla çelişmesidir. Ayrıca noterlerin bazı görevlerinin, noter güvenilirliğine sahip olmayanlara devredilmesi de bazı çevreleri rahatsız etmektedir. En önemli sorun ise, diğer yasalarla birlikte ele alındığında, vatandaşın devletin hiçbir kurumuna elektronik dilekçe gönderemeyecek olmasıdır.

Ülkemizde durum buyken, bir de diğer ülkelere soralım. Çoğu ülkede dijital imza, elektronik olarak imzalanan belgenin, imzalayanı yasal olarak belgedeki verilere bağlamasını esas alır. Sayısal imzanın sahip olması gereken nitelikler bellidir. Bunlar; kaliteli (güvenli) şifreleme algoritması, algoritmanın kaliteli gerçeklenmesi, özel anahtarın gizli kalması, genel anahtarın sahibinin doğrulanabilmesi ve kullanıcıların (ve yazılımların) imza protokolünü düzgün yerine getirmeleridir. Böylece amerikan hükümeti tarafından sayısal imzaya standartlar (DSS - digital signature standards) getirilmiştir. DSS'e göre, DSA (Digital Signature Algorithm), RSA ve ECDSA (Elliptic Curve Digital Signature Algorithm) dijital imzalama algoritmaları kullanılmalıdır. İlk önce Utah ve Massachusetts eyaletleri tarafından hukuksal olarak kabul edilen sayısal imza yasaları, 1996 yılından itibaren Avrupa tarafından da ele alınmaya başlanmıştır. UNCITRAL model yasaları ve Avrupa Birliği direktifleri çoğu ülkeye sayısal imza konusunda yol göstermiştir.

Sayısal İmza Kullanmanın Yararları

Sayısal imzanın çoğu özelliğini gözden geçirdiğimize göre, şimdi bunların hayatımıza kattıklarını inceleyebiliriz. Sayısal imza prosedürü güvenlik ve işleyiş açısından noter ile gönderilen bir ihtarnameye benzer. Sadece noter yerine onay kurumu kimlikleri karşılaştırıp, ihtarnamenin bir nüshasını saklar. Bir de tabi notere gidip sıra beklemek, fotokopi çektirmek, kimlik beyanı yaptırmak gibi basamakları atladığından, çok daha hızlıdır :) Sayısal imza sayesinde;

  1. Kullanıcı gönderdiği bilgilerin kesinlikle kendisi tarafından gönderildiğini onaylar, yani başkası tarafından gönderilebilmiş olması mümkün değildir. Bu da normal imzadaki taklit edilebilirliği sayısal imzada ortadan kaldırır.
  2. Kullanıcının gönderdiği veriler üçüncü kişilerin eline geçemez veya üçüncü kişilerce değiştirilemez; çünkü değiştirildiği anda imza da değişeceğinden mesaj geçersiz kılınır.
  3. Gönderilen veriler kimse tarafından inkar edilemez; çünkü değil üçüncü şahıslar, gönderici ve alıcı bile gönderilen veriyi değiştiremez. Zaten verinin bir kopyası onay kurumunca saklanmaktadır.
  4. Veriler tarih damgasına sahip olduğundan kolay arşivlenebilir.
  5. Verilerin iletim hızı kağıt, matbaa, posta gibi materyallere bağlı olmadığından çok daha hızlı ve ucuzdur.

Ayrıca sayısal imzanın kamuya girmesi ile kamu hizmetlerinin daha hızlı sunulması, yaygınlaştırılması, doğru ve yeterli bilgi sağlanması, işletme giderlerinin azaltılması, kamuda gereksiz mükerrer yatırımların önlenmesi ve uyumlu, birlikte ve güvenilir bir yapıda çalışılması sağlanmıştır.

Sayısal imzanın kendi başına çözemediği birkaç sorun da vardır. Birincisi, otomatik eklenen zaman damgasının tam güvenilir olmayabilmesi, yani göndericinin zaman ayarlarıyla oynayarak zaman etiketini farklı eklemiş olma ihtimalidir. Bunu önlemek için dijital imza güvenilir zaman damgalama ile birlikte kullanılmalıdır. Bir diğer sorun ise, imzalanacak belgedeki verilerin, belgeyi bitlerden anlaşılır işaretlere dönüştüren işleme veya uygulamaya müdahele ederek imzalayana farklı gösterilebilmesidir. Biliyorsunuz belge bilgisayarda herhangi bir 0101010111.. dizisinden başka bir şey değil ve bazı yazılım donanım işbirliği sonucu gerçekleşen işlemler sonucu bu dizi imzalanacak belgeye dönüşmekte. Ama bu belge değiştirilmiş bir işleme tabi tutulursa, çok daha farklı bilgiler imzalanması için karşımıza getirilebilir ve imzalanan şeyde belirsizlik yaratılabilir. Bunun önlenmesi içinse sayısal imzanın WYSIWYS (What You See İs What You Sign - Gördüğünüz İmzaladığınızdır) özelliği olmalıdır. WYSIWYS, imzalanmış bir mesajın semantik gösteriminin değiştirilemeyeceğini ve göndericinin farkında olmadığı saklanmış veriler içeremeyeceğini garantiler. Bilgisayar sistemlerinin gelişmesi karşısında bu özellik güvenlik açısından yarar sağlamaktadır.

Sayısal İmzanın Uygulama Alanları

  • Her türlü başvuru (ÖSS, KPSS, LES, pasaport, vb.)
  • Kamu kurum ve kuruluşlarında kurumlararası iletişim (Emniyet Müdürlükleri, Nüfus ve Vatandaşlık İşleri Müdürlükleri, vb.)
  • Sosyal güvenlik uygulamaları
  • Sağlık uygulamaları (Sağlık personeli, hastaneler, eczaneler)
  • Vergi ödemeleri
  • Elektronik oy verme işlemleri
  • Bankalar ve finans kurumlarındaki her türlü internet bankacılığı
  • Şube ağına sahip sigorta şirketleri için sigortacılık işlemleri
  • Kağıtsız ofisler
  • e-Sözleşmeler ve e-Sipariş
  • Ve holdingler, şirketler, üniversiteler, yüksek iletişim ve bilgi güvenliği gereksinimi olan organizasyonlar başta olmak üzere orta ve uzun vadede yaygın bir uygulama alanı bulabileceği değerlendirilmektedir.
  • Sisteme girişte kullanıcı doğrulama amaçlı kullanılabilirler; ancak bunun için sisteme giriş işleminin bir imzalama işlemine dönüştürülebilmesi gerekir. Bu da sadece açık kaynak kodlu sistemlerde uygulanabilmektedir.
  • Genel olarak dijital imzaların ve dijital sertifikaların kullanıldığı programlar: Netscape Communicator 4.0, ICQ, Microsoft Outlook Express, Microsoft Outlook, SSE TrustedMIME, WorldTalk WorldSecure Client, Baltimore MailSecure, Qualcomm Eudora, Microsoft Exchange, Lotus Notes, Mozilla Thunderbird, Adobe Acrobat, Adobe Reader.

Son Söz

Ayrıntılara girmeden anlatmaya çalıştıysam da, sanırım biraz kapsamlı bir yazı oldu; fakat sayısal imza konusunda aklınızdaki çoğu soru işaretini silebildiğimi umut ediyorum. Konu hakkında daha fazla bilgi almak için aşağıda bol bol verdiğim kaynaklara baş vurabilirsiniz :) Özel anahtarlarınız gizli, sertifikalarınız güvenli, belgeleriniz imzalı kalsın :) Benim için bergimiz açısından özellikle önemi olan bu sayımızı bitirirken, hepinizi ekim sayımızdaki dijital yolculuğunuzla başbaşa bırakıyorum. Gelecek ay görüşmek üzere =)

Kaynaklar:



İlke Demir
- 1 -