E-imza Nedir?

5070 Sayılı Elektronik İmza Kanunu'na göre Elektronik İmza;

Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi,

Güvenli elektronik imza;

- Münhasıran imza sahibine bağlı olan,
- Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan,
- Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan,
- İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imzadır.

Elektronik imza, aslında kapsamlı bir güvenlik teknolojisi içerisinde yer alan, teknolojinin gelişimiyle birlikte artan fonksiyonları da bünyesine katarak genişleyen bir veri güvenliği uygulamasıdır. Veriler, ağ sistemleri içersinde yer alan bilgi parçacıklarıdır. İletişim ve şu anda elektronik ortamda gördüğümüz tüm uygulamaların temelinde veri sistemleri bulunmaktadır. Verilerin güvenliğini sağlamak aynı zamanda bunların oluşturduğu uygulamaların da (programların, elektronik belgelerin v.b.) bir ölçüde güvenliğini sağlamak anlamına gelmektedir.

Esasen "elektronik imza" çok genel bir kavram olup, kişilerin elle atmış olduğu imzaların tarayıcıdan geçirilmiş hali olan sayısallaştırılmış imzaları, kişilerin göz retinası, parmak izi ya da ses gibi biyolojik özelliklerinin kaydedilerek kullanıldığı biyometrik önlemleri içeren elektronik imzaları veya bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaların tamamını içermektedir.

Sayısal imza, imzalanan metine göre farklılık gösterir ve içeriğin matematiksel fonksiyonlardan geçirilerek eşsiz olduğu düşünülen bir değer bulunması sureti ile elde edilir. Yani kişilerin, elle atılan imzada olduğu şekilde tek imzası yoktur; bunun yerine imzalamada kullanılan anahtarları vardır.

5070 sayılı Elektronik İmza Kanunu'nda geçen "elektronik imza" kavramı sayısal imzayı işaret etmektedir.

E-imzanın Faydaları Nelerdir?

İmza, günlük yaşamamızda yazılı iletişimde bulunan tarafların kimliklerini doğrulamak amacıyla kullanılan bir teknolojik uygulamadır. Elle attığımız imza da aslında bir teknolojik uygulamadır, ancak yüzyıllardır kullanılagelen bir uygulama olduğundan artık, günlük yaşamsal fonksiyonlarımızla bütünleşmiştir. Örneğin, elle imza atabilmek için objektif olarak kağıt ya da üzerinde imza atmaya elverişli bir ortam, imzamızı atabilme imkanı sağlayan bir araç (kalem veya tükenmez kalem v.b), okuma yazma bilme, kalem kullanabilme gibi araçlara ve niteliklere sahip olmalıyız. Bununla birlikte hukuki açıdan imzaya bağlanan bir takım sonuçlar olduğundan, kişilerin fiil ehliyeti dediğimiz hak ve borçları üstlenebilme ehliyetine, buna bağlı olarak akıl sağlığına ve yaptığı işlemin sonuçlarını idrak edebilecek bir zihin yapısına da sahip olması gerekmektedir. Tüm bunlar aslında, bir kişinin yazılı olarak iradesini aktardığı veya yazılı olarak kişinin iradesiyle uyuşan bir metin üzerinde o kişinin varlığını ortaya koyabilmesi için asgari sayıda gerekli olan unsurların bir araya geldiği bir teknolojiyi temsil etmektedir.

Elektronik imza da, aynen günlük hayatımızda kullandığımız ıslak imzalar gibi bir takım asgari unsurların bir araya gelmesi sonucu ortaya çıkmaktadır. Bu unsurlar genel olarak;

- Elektronik imza yaratmak amaçlı kullanacağımız sadece sahibi tarafımızdan bilinen ve sadece sahibi tarafından aktif konuma getirilebilecek imza oluşturma verisi,
- İçeriğine herkes tarafından ulaşılabilen imza oluşturma verisi ile imzalanan verinin gerçekten o imza oluşturma verisi ile mi oluşturulduğunu doğrulama imkanı tanıyan doğrulama verileri,
- İmza doğrulama verisini içersinde taşıyan ve elektronik kimlik kartı olarak da kullanabileceğimiz bir elektronik kayıt (elektronik sertifika),
- Elektronik imza ile ilişkilendireceğimiz veri (elektronik belge, herhangi bir elektronik uygulama veya elektronik posta mesajı) şeklindedir.

E-imza sayesinde kişiler zamandan tasarruf ederek işlemleri kolay yoldan halletmenin tadını çıkartacaktır.

UYAP ile E-İmza Adaletin Hizmetinde!

Adalet Bakanlığı e-devlet uygulaması olan Ulusal Yargı Ağı Projesi (UYAP) ile vatandaşlar artık duruşma tarihini ve dava aşamalarını öğrenmek için adliyelere gitmeyecek ve davalarının seyrini internet üzerinden öğrenebilecekler.

Avukat Bilgi Sistemi de, UYAP'ın avukatlara sağladığı bir hizmettir. Avukat Bilgi Sistemi sayesinde avukatlar, UYAP üzerinden mevcut davalarını takip edebilir, yeni bir dava açabilir, dava dosyalarına her türlü evrakı gönderebilir, yargılama harcı, ücret ve diğer masraflara ilişkin her türlü para transferini on-line olarak gerçekleştirebilir, vekâletnamesi bulunmayan dosyaları ilgili hâkimin bilgisi dâhilinde inceleyebilirler.

Avukatların, UYAP kapsamında kullanacakları nitelikli e-imza sertifikaları (NES) başvurularını Telekomünikasyon Kurumu tarafından yetkilendirilmiş sertifika hizmet sağlayıcılarına (ESHS) yapmaları gerekmektedir.

Detaylı bilgi için 5070 Sayılı Elektronik İmza Kanunu'nu inceleyebilirsiniz:

http://www.mevzuat.adalet.gov.tr/html/1328.html

E-İMZA ve E-KİMLİK TESPİTİ HAKKINDAKİ AVRUPA EYLEM PLANI

28 Kasım 2008 tarihinde Avrupa Komisyonu "Sınır ötesi kamu hizmetlerinin Avrupa Tek Pazarı'nda sunulmasını kolaylaştırmak için e-İmza ve e-Kimlik Tespiti Hakkında Bir Eylem Planı" kabul etmiştir. Kamu kurumları, kamu hizmetlerini ve aynı şekilde kamu ihale prosedürlerini gittikçe daha çok elektronik ortam ve araçlar yardımıyla sunmaktadırlar. Ancak; uygulamalar şimdiye kadar genellikle ulusal ihtiyaçlar ve olanaklara yoğunlaşmıştır. Bu yaklaşım ise; söz konusu kamu hizmetlerine diğer üye devlet vatandaşlarının veya teşebbüslerinin erişimini sınırladığı için, sınır ötesi pazarın önünde bir "e-bariyer" oluşturmakta ve Tek Pazarın iyi bir şekilde işlemesine engel olmaktadır.

Eylem Planı kamu hizmetlerinin online kullanımını AB çapında yaygınlaştırmak için çözüm aramakta ve kapsamlı bir yaklaşım önermektedir. Eylem Planı Üye Devletlere, bilgi toplumunda kamu hizmetlerinin sınır ötesi gerçekleştirilmesini kolaylaştırmak amacıyla, karşılıklı olarak tanınan ve karşılıklı işler elektronik imza ve kimlik tespiti çözümlerinin uygulanmasında yardımcı olmayı hedeflemektedir. Eylem Planı esas olarak e-devlet uygulamalarına odaklanmışsa da, önerilen eylemler B2B (işletme-işletme) ve B2C (işletme-tüketici) işlemleri bakımından da uygulanabilecektir.

Eylem Planına ilişkin detaylı bilgi aşağıdaki adreste yer almaktadır:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0798:FIN:EN:PDF

Mühürden Elektronik İmzaya...
Zafer BABÜR, 16.01.2006

İnsanoğlu varlığını dokümante ettiğinden bu yana günlük ticari hayatındaki işlemler için de kontratlar kullanmış. Insanlık tarihinde şimdiye kadar bulunmuş en eski kontrat günümüz Güney Irak sınırları içinde kalan bir bölgede gerçekleşen arazi satışı ile ilgili kontrat;

"Ilı-Eribu nun oğlu Sini İştar ve kardeşi Apil-li, Sini İştar ile Minaninin evine komşu, sokağa cepheli, Migrat-Sin oğlu Minaniye ait olup içinde hali hazırda evi olan 1/3 şar araziyi anlaştıkları fiyat olan 4.5 sekel gümüşten almışlardır. Minani'nin bu satışdan dolayı hiç bir hakkı kalmamıştır. Kralın huzurunda yemin ettiler. Tebet ayı, Büyük Karra-Şarma duvarı yılı.

14 şahit adları ve imzaları"

Bu sözleşmenin tarihi MÖ 2000 yıllarına rastlıyor. Yine bilinen bir başka sözleşme ise esir satışına ilişkin ve MÖ 2300 yılına ait.
Bu sözleşmeler modern zamanın standart sözleşmelerinde olması gereken ögelerin hepsini taşıyor; tarih, taraflar, değiş tokuşun şekli, ve hepsinden önemlisi şahit imzalar. Mamafih bu imzalar yaş kil üzerine bastırılan üçgen biçimli işaretler olsa da günümüz imzaları ile eşdeğer işleve haizler.

Hergün onlarca imza atıyoruz; mektuplar, çekler, faturalar, teslimat makbuzları, sözleşmeler vs. Ama gerçekten kağıdın üzerindeki o mürekkep izinin ne anlama geldiğini o an düşünüyor muyuz?
"Imza" kelimesi Arapça kökü "meza" yani "zaman" dan geliyor. Ingilizce "Signature" ise Latincedeki "Signare" kökünden gelen "Signum" dan geliyor yani "işaret".

Hukuksal olarak bakıldığında işaretimizi, izimizi farklı nedenlerden ötürü belgelerin üzerine ekleriz.

Seremoni ya da Tören: Imza gerektiren birçok belge büyük ya da küçük montanlı parasal hareket içerir. Bu tip işlemlerde tören talep edilmesinin nedeni ise işlemin önemini vurgulamak ve hukuki olarak geçerli kılmak içindir.

Delil: Bir belgeyi imzaladığımızda onun üzerinde kendimize ait belirgin bir iz bırakırız. Imzalarken "tebelluğ ettim", "okudum" vb kendimize ait kelimeler de kullanırız.

Onay: Kişinin işareti genelde o dokümanı, içeriğini ve hukuksal yaptırımını onayladığının ifadesidir. Yani kısaca bu belgede söylenenleri kabul ediyorum anlamına gelir.

Lojistik: Bir belgenin imzalanması paranın el değiştirmesi, malın sahip değiştirmesi vb bir seri işlevi de beraberinde getirir. Bir belgenin imzalanmaması ise yukarıda anılan işlemlerin olmamasını sağlar.
Imzayı genelde bir kişinin adı gibi algılasak da genelde böyle gerçekleşmeyebilir. Bir filmde aktör kocaman bir X harfi ile belgeleri imzalıyordu. Kimi zaman bilgisayara resim olarak kopyalanmış imzalar bilgisayar tarafından üretilen faturaların üzerine eklenir. Hatta banknotların üzerinde Merkez Bankası başkanının matbaa da oluşturulmuş imzası vardır. Bunun dışında mühür ya da soğuk damga da hukuk sisteminde imza olarak kabul edilir. Büyükninemin kadife kesesinde sakladığı pirinç mühürü çocukluğumdan kalma anılardan biriydi ve ninem onu her türlü resmi işinde kullanırdı.
Dolayısı ile imza ister kişinin adı, ister X, ister mühür, ister soğuk damga olsun hukuki açıdan farketmiyor. Önemli olan, o kişinin o belgede yazanları kabul ettiği ve işlemlerin başlamasına onay verip vermediğidir.

Neden Sayısal Imza?
Malum Internet hepimizin hayatına öyle ya da bu şekilde girdi. İşimizi yapabilmek için her geçen gün daha fazla sistemde "Online" olmamız gerekiyor. Her gün eskisinden daha fazla belgeyi sayısal olarak üretiyoruz, sayısal olarak işliyor ve sayısal olarak saklıyoruz. Bu şekilde gelişen iş dünyasında belgelerin elektronik olarak imzalanmasının işlemleri hızlandıracağı kesinlik kazanınca sayısal imza da hayatımızda yerini aldı.
"Islak Imza" (wet signature) kalem ve mürekkeple kağıt üzerine atılır ve yüzyıllardır yukarıda belirtilen işlevleri yerine getirir. İmzalayanın kimliği ya şahit (ve/veya noter) huzurunda onaylanır ya da elyazısı uzmanlarının onayı ile gerçekleşir. Belgenin aslı geçerlidir fax ya da kopyası ile geçerli olamaz. Islak imza her zaman geçerli olarak kabul edilir, ancak şüpheli durum olduğunda kontrol edilme gereksinimi doğar.
Sayısal imza için onay standartları ise çok daha fazladır. Alınan ya da gönderilen verinin herkese açık olan bir ortamda değişime uğramamasının sağlanması gerekir.

Sayısal İmza Nedir?
Sayısal imza nedirden önce "sayısal imza ne değildir?" ile başlamak belki daha uygun olacaktır. Sayısal imza hiç bir şekilde kişinin el ile atılmış imzasının uzantısı değildir. Bazılarımız elektronik pad üzerine imza atmışızdır bu şekilde imzamızın resmini sisteme vermişizdir, bu sadece sayısallaştırılmış imza olup sayısal imza değildir. Sayısal imza karmaşık (complex) algoritmaların meydana getirdiği şifreleme teknolojisini kullanarak oluşturulmuş sayılar serisidir. Yani belgenin içeriğinin şifrelenerek saklanmasıdır.
Sayısal teknolojinin arkasındaki matematik 70'li yıllardan bu yana hayli kullanılıyorsa da günümüzde PKI olarak kısaca anılan Public Key Infrastructure frameworkunun kullanılması ile yaygınlaşmıştır.

PKI Nedir?
Açık Anahtar Atyapısı ya da kısaca AAA olarak da bilien Public Key Infrastructure (PKI) sayısal imza endüstrisinde çalışan şirket, insan ve teknolojileri birlikteliğini ifade eder ki bunlar da:
Kişinin kimliğinin teyidi
Sayısal Sertifikaların üretilmesi ve yönetilmesi
Kişinin Sayısal Sertifikasına anahtar kodunun ilişkilendirilmesi
Anahtar (Key) kod ve şifreleme teknolojilerinin güvenliği
Altyapının desteklenmesi ve yaygınlaştırılması
PKI teknolojisinin kalbi Asimetrik kriptolojidir. Birçok kripto yöntemi günümüzde simetric teknolojiyi kullanir. Asimetrik kripto, private ve public key olarak iki farklı anahtarla çalışır. Her iki anahtar farklı işler için kullanılır.
Private key özgün matematik fonksiyonları ile üretilmiş uzunca bir sayıdır. Private Key sayısal imza oluştururken kullanılan ana ögedir. Oluşturan kişiye ait olup, kesinlikle gizlidir ve kişiye özeldir. Zira kişiyi tanımlar. Private key genelde password ile korunur ve USB token veya kart üzerindeki smart card üzerinde saklanır.
Public key diğer bir kişinin kendisine gönderilen belgeyi ve imzayı doğrulamada kullandığı ikinci uzun sayı dizisidir. Private Key ve Public key matematiksel olarak birbirleri ile ilintili olsalar da Public Key den Private Key üretmek imkansıza yakındır.
Private Key ve Public Key beraber birçift oluştururlar. Public Key sayısal sertifika ("digital certificate") oluşturulduğunda açık anahtar haline gelir. Sayısal sertifikayı bir nevi "imzalama lisansı" gibi düşünülebilir. Public Key de yeralan bilgiler
Sertifika sahibinin adı
Sahibi hakkında detay bilgi (e-mail, şehir, ülke vb)
Sahibine ait Public Key
Sertifikanının oluşturulduğu tarih ve son kullanım tarihi
Sertifkayı veren makamın Onay damgası (bir başka imza)
Sayısal imza Certification Authority (CA) olarak bilinen merci tarafından oluşturulur. PKI endüstrisi CA lere sertifika oluşturma, iptal etme, yeniden oluşturma, sertifika sahiplerinin kimliklerini onaylama gibi konularda yetki vermiştir. CA ler pasaport, ehliyet, kimlik vb konularda sertifika oluşturmadan önce o kişilerin doğrulamasını da yapar. Dolayısı ile sıklıkla denetçilerin denetimine tabi olmak zorundadırlar.
Private Key ve Public Key sayısal imza oluştururken nasıl kullanılır?
Sayısal imza teknolojisinin özü evrak her ne olursa olsun 1 ve 0 dan oluşan sayılardır. Dolayısı ile her türlü matematiksel işlem bunların üzerinde yapılır.
Proses önce imzalanmamış evrak ile başlar:
1. Sayısal Belge imzalanmaya hazır hale gelince, bu belgenin sayısal kodları "HASH" fonksiyonu denilen özgün bir matematiksel işleme tabi tutulur. Bu şekilde belgenin "parmak izi" oluşturulur. Kısaca buna "message digest" da denir.
2. Belgenin parmak izi ve Private Key ikinci bir işleme tabi olur ki buna imza fonksiyonu denir. Bu işlem belgenin parmak izini Private Key ile şifreleyerek sayısal imzayı oluşturur. Sayısal imza belgenin parmakizini içeren Private Key ile kilitlenmiş sadece Public Key ile açılabilen bir kutu gibi düşünülebilir.
3. Sayısal imza orjinal belgenin içine eklenir böylece sayısal imzalanmış belge oluşturulmuş olur.
Public Key Sayısal Imzanın Doğrulanmasından nasıl kullanılır?
Sayısal belge imzalandıktan sonra ilgili kişilere gödnerilebilir. Sayısal imzalanmış bir belgeyi alanın ilk yapacağı iş bu belgenin ve imzanın gerçek olup olmadığını kontrol etmektir. Geçerlilik kontrolünde belgeyi imzalayanın bu belgeyi imzalama hakkının olup olmadığı ve belgenin kendisinde bir değişiklik yapılıp yapılmadığının kontrolü gerçekleştirilir.
"Validation process" sayısal belgenin imzalanması ile başlar:
1. Orjinal belge ve sayısal imza birbirinden ayrılır. Orjinal belge aynı HASH fonksiyonu kullanılarak belgenin parmakizi oluşturulur.
2. Imzalayanın sayısal sertifikası CA'in online repositorysinden edinilir. Bu sertifika imzayı atan kişinin Public Key'ini içerir. Public Key sadece Private Key ile imzalanmış belgeleri açmak için kullanıldığından doğru anahtarın kullanılması kritik bir noktadır.
3. Public Key sayısal imza ile imzalanmış belgenin açılması için kullanılır böylece orjinal dokümanın parmakizi açığa çıkar.
4. Açığa çıkan parmakizi ile belgeden oluşturulan parmakizleri karşılaştırılır. Geçerli dosya için bu iki parmakizlerinin birbirleri ile birebir aynı olması gerekir. Eğer imzayı oluşturan PrivateKey mesajı açan Public Key in çifti değilse, belgede değişiklik yapılmışsa imzalı döküman geçersiz hale gelecektir.
5. Eğer her iki parmakizi (message digest) birbirinin aynısı ise imzalanan belge hukuki ve meşru kabul edilecektir.
Böylelikle sayısal imza tüm gerekleri yerine getirmiş; belgeyi imzalayan kişiyi, belgeyi tanımlamış, ne imzanın ne de belgenin sahte ya da değişikliğe uğramamış olduğunu teyid etmiştir.

Sayısal Imza ve Doğrulama Ne kadar Güvenlidir?
PKI ile ilgili herşey – dijital sertifika, Public Key, İmza ve Hash fonksiyonları herşey Public yani "herkese açık"dır. Gizli olan bireye ait olan Private Key dir. Private Key PKI altyapsında "tekerleğin dingil çivisidir" aslında, doğrulamanın çalışabilmesi için olmazsa olmazıdır. İmzalayanın "Private Key" si gizli kaldığı sürece tüm işlemler güvenlidir.
Private Key nin güvenirliği üç şekilde yitirilebilir ki
1. Private Key'nin sahibi bunu bir başkasına verir (kasdi ve bilerek veya başka bir biçimde)
2. Kullanıcının bilgisayarına girmiş kötü niyetli bir yazılım tarafından Private Key ele geçirilebilir
3. Kriptoanalizi sonucu Private Key oluşturulur
İlk senaryo en fazla olma olasılığı olan bir senaryo olup aynı zamanda kolaylıkla engellenebilir bir durumdur.
Mesela, sayısal imza sahibini arayan biri aşağıdaki şekilde konuşabilir
"Merhaba, Ahmet Bey. Ben Zeki Yandım Tubitak'dan. Geçtiğimiz gün fırtınada hatlarımıza yıldırım düştü ve tüm serverlarımız yandı. Backuplardan geri yükledik, mamafih sizin sayısal imzanızı doğrulamak zorundayız. Rica etsem private key inizi şu mail adresine gönderir misiniz?" Elbette Ahmet Bey, telefondaki kişiye cevabı "nazik bir teşekkür" olmalı ve anında CA i arayıp durumdan haberdar etmeli.
CA hiç bir zaman hiç bir şekilde "private key" i talep etmez. Private key hiç bir şekilde ne eşinize, ne arkadaşınıza verilmemelidir.
İkinci olasılık ise yazılım vasıtası ile Private Key nin kötü niyetli kişilerin eline geçmesidir. Bu da ancak kötü niyetli kişilerin sitelerinde Private Key inin kullanımı ile mümkündür ki bunu da önlemenin yolu imza yazılımlarınının güvenilir kaynaklardan temin edilmesidir.
Son olasılık ise kriptoanalizi ile private key oluşturulmasıdır ki Private key nin yapısı gereği bu da hemen hemen imkansızdır.
Kabul edilebilir güvenlik sınırları nerede başlar nerede biter? Örneğin masaj odasında kullandığınız kasalar ne kadar güvenlidir? Standart kombinasyon kilit 3 sayı ve 40 farklı pozisyondan oluşur bu da yaklaşık 64000 kombinasyon demektir ki her kombinasyonu 15 saniyede oluştursanız 11 günde dogru kombinasyona ulaşabilirsiniz.
Sayısal imza 1,024-bit şifrelemeyi kullanır. Private Key sonuçta "1" ve "0" dan oluşan 1024 lü serilerdir. Kombinasyonu iki olasılıklı 1,024 pozisyonlu bir sistemde toplam 1.8 x 10308 (18 E+307) olasılılkla karşılarız. Bu sayıları analiz edip ortaya çıkarmak varolan bilgisayar sistemleri ile dünyanın yaşı kadar bir zaman gerektirecek. Güvenlik danışmanlarına göre kişi "private key" sinin önemini bilip ona göre sakladığı müddetçe güvendedir.

Sonuç:
Eski zamanlardan günümüze insanoğlu farklı imleri imza olarak kullanmış, yeri gelmiş ıslak kil tablete demirden çivi ile kendine has işaretin izini bırakmış, yeri gelmiş demirden yapılmış silindiri döndürüp kabartma şekil çıkartmış, papirüsün üzerine çizgiler çekmiş, yeri gelmiş sıcak balmumu üzerine elindeki yüzüğün izini çıkartmış... Dünün standartı beyaz kağıt üzerine siyah çini mürekkebi idi zaman –her zaman olduğu gibi- değişiyor.
Belge işlemede "kağıt standartlarının" yeniden nasıl yazılıp uygulamaya geçeceğini bilgi çağında hep beraber görecek ve uygulayacağız. Bilgisayarlaşma daha önce görmediğimiz anında iletim, değişken arşiv ve saklama, zahmetsiz kopyalama gibi nimetleri bize sunarken, Sayısal Imza yüksek güvenlik standartları ile bize daha nice kolaylıklar sunacak gibi görünüyor.

http://www.btdunyasi.net/index.php?module=corner&corner_id=192&cat_id=22