Yükseköğretim Kurulu’nun Yeni Nesil İmzalara Yaklaşımı
YÜKSEKÖĞRETİM KURULU’NUN YENİ NESİL İMZALARA YAKLAŞIMI
I. Genel Bakış
Her an değişim ve gelişim halinde olan dinamik yapıdaki teknolojinin hukuk ile teması gün geçtikçe artmaktadır. Bu temas özellikle hukuki süreçlerde yansımasını göstermektedir. Zira elektronik, dijital vb. ortamlarda yapılan tüm işlemler tek bir klik ile kolay ve hızlıca gerçekleşirken tüm bu işlemlere ilişkin olabilecek uyuşmazlıkların hukuki çerçevede ispatı noktasında yine dijital ve elektronik kayıtlar devreye girmektedir.
Hukuk sistemimizde imza şartı arayan pek çok iş ve işlem bulunmaktadır. Elektronik sistemler üzerinde gerçekleştirilecek işlemlerin imza şartının tamamlanabilmesi adına hukuk sistemimizce de kabul gören çeşitli yeni nesil imzalar bulunmaktadır. Dijital imza, biyometrik imza, mobil imza ve elektronik imza bunlardandır.
Teknik anlamda nitelikli elektronik imza elektronik ortamda oluşturulan dokümanların imzalanmasında kullanılan ve elektronik işlemlerde gönderilen bilginin gönderim sırasında değişmediğini, gönderen kişiye ait olduğunu ve inkâr edilemeyeceğini garantileyen sayısal verilerdir. 5070 Sayılı Elektronik İmza Kanunu’na göre ise elektronik imza başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik verilerdir. Elektronik imza; bir bilginin üçüncü tarafların erişimine kapalı bir ortamda, bütünlüğü bozulmadan (bilgiyi ileten tarafın oluşturduğu orijinal haliyle) ve tarafların kimlikleri doğrulanarak iletildiğini elektronik veya benzeri araçlarla garanti eden harf, karakter veya sembollerden oluşmaktadır. Elektronik imza e-imza şeklinde de ifade edilebilmektedir.
Dijital imzalar ise teknik anlamda dijital mesajların veya belgelerin gerçekliğini doğrulamak için imza ve matematiksel bir şema olarak tanımlanabilecektir. Dijital imzalar genellikle, bir imzanın amacını taşıyan elektronik verileri içeren elektronik imzaları uygulamak için kullanılmakta, ancak tüm elektronik imzalar dijital imza kullanmamaktadır. O halde her dijital imza bir elektronik imza iken her elektronik imza bir dijital imza değildir. Elektronik imza basitçe kimlik doğrulayabilmek için ıslak imzanın yerine kullanılabilen bir teknolojidir. Elektronik imza, elektronik belgeye yerleştirilen herhangi bir işaret iken dijital imza, elektronik bir parmak izi yaratmakta; e-imza, şifreleme kullanmazken, dijital imza şifreleme kullanmaktadır.
Biyometrik imza ise imza sahiplerinin belirli biyometrik verilerini kullanarak imzalarını özel bir tablet/ ped üzerinde oluşturmaları ve genellikle bu verilerin imzalanan belgeye çözülemez biçimde bağlanmasıyla elde edilmektedir.
Son olarak mobil imza cep telefonu ve GSM SIM kart kullanılarak gerçekleştirilen 5070 sayılı Elektronik İmza Kanunu ve ilgili yasal mevzuata uygun olarak ıslak imza niteliğinde güvenli bir biçimde elektronik imza işlemi yapılmasına imkân sağlayan uygulamadır. Mobil imza elektronik ortamda oluşturulan dokümanların imzalanmasında kullanılan ve elektronik işlemlerde gönderilen bilginin gönderim sırasında değişmediğini, gönderen kişiye ait olduğunu ve inkâr edilemeyeceğini garantileyen sayısal verilerdir. Mobil imza, elle atılan imza ile aynı hukukî sonucu doğurmaktadır.
II. İmza Türleri Karşılaştırması
- Islak İmzaya Denklik
Biyometrik imza uygulanması için imza atan kişinin biyometrik verilerini yakalayabilecek kabiliyete sahip özel bir cihaza bağlantı olması gerekmektedir. Bunun için imza tablet, cep telefonu veya bilgisayar üzerine özel bir kalem kullanılarak atılmaktadır. Bu cihazlar hem statik verileri (imzanın resmi gibi) hem de dinamik verileri (hızlanma, hız, eğim açısı, basınç vb.) yakalamakta ve kaydetmektedir. Böylece, hem statik hem de dinamik veriler elektronik belgede saklanmaktadır. Buna karşın biyometrik imza henüz belirli bir standart çerçevesinde tanımlanmamıştır. Dolayısıyla her somut olayın kendi şartlarına göre değerlendirilmesi gerekmektedir. Bu yüzden biyometrik imza eIDAS (Elektronik Kimlik Belirleme ve Güven Hizmetleri Düzenlemesi) tüzüğüne göre yasal olarak geçerli olmasına rağmen ıslak imzayla denk sayılmamaktadır.
Nitelikli elektronik imza ise hem eIDAS tüzüğüne göre yasal olarak geçerlidir hem de 5070 sayılı Elektronik İmza Kanunu’na göre ıslak imza ile eşdeğerdir.
Dijital imza bir nevi elektronik imza olduğundan belgeyi imzalayan kişiyi tanımlayan özel ve benzersiz şifreli bilgiler barındırdığından ıslak imza yerine geçmektedir.
Mobil imza da ıslak imza ile kanunen eşdeğer sonucu doğurmaktadır.
- İmza Oluşturma Verisinin Güvenliği
Biyometrik imza bireyin özel bir kalemle vasıtasıyla attığı “X,Y,Z koordinat”, “Eğim”, “Basınç”, “Hız” ve “İvme” gibi belirleyici özelliklerin sayısallaştırılarak oluşturduğu veri kümesidir. Bu imza türünde her imza veri kümesine yakınlığı mertebesinde doğrulanmakta, kayıt altına alınan veriler “davranışsal” bir bütün oluşturmakta ve sistem bu sayede aradaki farkların da aynı kişiye ait olduğunu saptamaktadır. O halde biyometrik imzanın biyometrik veri niteliğini haiz olduğunu söylemek yanlış olmayacaktır. Her ne kadar Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat kapsamında alınan açık rıza ile biyometrik imza oluşturulsa da imza atılırken kullanılan teknik donanım imza oluşturma verisini güvenlik zafiyetlerine karşı açık hale getirmektedir.
Nitelikli elektronik imzada ise imza doğrulama verisiyle (açık anahtar) matematiksel olarak ilişkilendirilmiş imza oluşturma verisi (özel anahtar), güvenli elektronik imza oluşturma aracı içerisinde tutulmakta ve özel anahtara yalnızca imzacı tarafından erişilmektedir. Bu haliyle elektronik imza imza oluşturma verisinin güvenliği bakımından biyometrik imzaya göre daha güvenlidir.
Dijital imzada ise hash fonksiyonları, açık anahtar kriptografisi ve şifreleme teknikleri gibi teknikler kullandığından imza oluşturma verisinin güvenliği bakımından elektronik imzaya göre daha güvenlidir.
Mobil imza oluşturabilmek için mobil telefon ve GSM SIM kartı gerekmekte olup mobil imzanın elektronik imzadan tek farkı elektronik imza oluşturma aracı olarak mobil bir cihaz içerisine konulan SIM kartın kullanılmasıdır. Dolayısıyla imza oluşturma verisinin güvenliği bakımından mobil imzanın elektronik imzadan farkı olmayacaktır.
- İmzalayanla Benzersiz Bağlantı
Biyometrik imza, kişiye özel olan ve bir başkası tarafından taklit ve tekrar edilemeyen verilerin birleşiminden oluşmaktadır. Ancak imza oluşturma verisinin güvenliğinin tehlikeye girmesi durumunda biyometrik imzanın imzacıyla olan bağlantısı da riske girebilecektir.
Nitelikli elektronik imza açık anahtar kriptografisine dayanmaktadır. Açık anahtarlı kriptografide kullanılan özel anahtar sadece sahibi tarafından kullanılabilmektedir. Herkesin erişimine ve kullanımına açık olan açık anahtarla matematiksel bağlantısı da bulunmaktadır. Şifreleme yöntemleri sayesinde, elektronik olarak imzalanan bir belgenin, sadece elektronik imzanın sahibi olan kimse tarafından düzenlendiği tespit edilebilmektedir. Dolayısıyla elektronik imza ile gönderilen bir mesaj alıcının gizli anahtarına sahip olmayan biri tarafından açılamayacaktır.
Dijital imza, “Açık Anahtar Altyapısı” (AAA) veya Public Key Interface (PKI) olarak adlandırılan bir şifreleme mekanizmasına; bu mekanizma da kişilerin kart, cep telefonu veya USB belleklerde gizlilik içinde sakladığı elektronik imzalarını kullanmalarına dayanmaktadır. Dijital imza kişinin yanında taşıyıp bir kart şifresiyle koruma altına aldığı kredi kartı gibidir. İhtiyaç duyduğunda (imza atmak istediğinde) kredi kartı kullanımına benzer bir mantıkla kullanılmaktadır. Bu durumda bir elektronik imza çeşidi olan dijital imza da elektronik imzada olduğu gibi imza sahibiyle benzersiz bir bağlantı içerisindedir.
Mobil imzada, imzalama süreci mobil cihazda gerçekleştirildiğinden kullanıcılar için en uygun yöntem, SIM kart ve güvenli imza oluşturma fonksiyonlarını ihtiva eden tek bir akıllı kartın kullanımıdır. Bu ise SIM kart içerisinde daha sonra imza oluşturma cihazı bileşenlerinin yüklenebileceği boş yer bırakılarak veya ilk kullanım anında etkinleştirilebilmesi mümkün olan imzalama fonksiyonlarının önceden yüklenmesiyle mümkün olabilmektedir. Kullanıcılar bu akıllı kartlar ile dokümanları kolaylıkla imzalayabilmekte ve bunları kendi cep telefonlarının GPRS ya da UMTS servisleri gibi iletişim hizmetleri yoluyla dağıtabilmektedirler. Mobil imzanın ETSI standartlarında yer alan gereksinimleri sağlamak için, imzalama fonksiyonlarında güvenilir erişim kontrollerinin bazılarını sağlaması gerekmektedir. Mobil cihaz fonksiyonlarına erişim kontrolü olarak kullanılan alışılmış PIN yeterli olmamakta zira kullanıcılar araçlarını kolaylıkla kullanabilmek için telefonlarının SIM kilidini açık tutabilmektedir. Bu nedenle geleneksel imza kartları gibi bu kartlarda da imzalamaya özel bir PIN şifresi olması gerekmektedir. Yine mobil imzada da nitelikli elektronik imzada olduğu gibi açık anahtar alt yapısı (private key) kullanıldığından imza sahibiyle benzersiz bir bağlantı içerisindedir. Bununla beraber, birçok amaç için tek akıllı kart kullanımı yeni soruların ve iddiaların ortaya çıkmasına sebep olmaktadır. Örneğin, SSCD (Secure Signature Creation Device) ESHS tarafından sunulurken, SIM kart GSM operatörü tarafından sunulmaktadır. İkisinin fonksiyonlarını bir kartta birleştirmek kart üzerindeki anahtarları ve sertifikaları kimin kontrol edeceği konusundaki yeni soruları ortaya çıkarmaktadır.
- İmzalayanı Belirleme Yeteneği
Biyometrik imza uygulamaları, aynı kullanıcının farklı zamanlarda oluşturduğu imzaları her defasında önceki örneklerle kıyaslayarak imzacı ile imza arasında eşleştirme sağlamaktadır. Ancak imza oluşturma verisinin güvenliğinin tehlikeye girmesi durumunda imzacının belirlenmesi de risk yaratabilecektir.
Nitelikli elektronik imzada ise elektronik sertifika, sahibinin kişisel bilgilerini ve bu kişisel bilgilere ait açık anahtar bilgisini taşımakta ve taşıdığı açık anahtar bilgisinin belirtilen kişi veya kuruma ait olduğunu temin etmektedir. Elektronik imza, sadece imzalayana bağlı olup, imzalayanın kimliğini belirlemeye imkân vermekte sadece imzalayanın kontrolü altında tutabileceği araçlarla yaratılmakta ve verilerde sonradan yapılacak değişikliklerin bilinmesini sağlamaktadır.
Dijital imza, elektronik bir kaydın bütünlüğü ve doğruluğunun ispatı ile kaydın sahibi arasında ilişki kuran elektronik bir kayıttır. Bu itibarla imza sahibinin kişisel bilgilerini ve bu kişisel bilgilere ait açık anahtar bilgisini taşımakta ve taşıdığı açık anahtar bilgisinin belirtilen kişi veya kuruma ait olduğunu tıpkı elektronik imzada olduğu gibi temin etmektedir. Dijital imza, el yazısı ile imzada olduğu gibi imza sahibinin isim ve soyadından değil, gönderilen metnin şifrelenmiş bir özetinden ibaret olduğundan, imza sahibinin kimliğinin doğrudan doğruya bu imza vasıtasıyla tespiti mümkün değildir. Bununla beraber, dijital imzada kimlik tespit etme işlevi, bir defaya mahsus alınan anahtar çiftinin, sertifika hizmet sağlayıcıları tarafından belirli bir kişiye izafesi ile sağlanmaktadır. Bu izafe, bir imza anahtarı sertifikası ile belgelenmektedir. Böylece, imza sahibinin açık anahtarını bilen muhatap, kamuya açık sertifikalar vasıtasıyla bu kişinin kimliği ve diğer hususlar hakkında (örneğin, imzanın kullanım sınırları) kesin bilgi sahibi olabilmektedir.
Mobil elektronik imzanın kullanımı için, nitelikli elektronik imza kullanımında olduğu gibi, açık anahtar altyapısı (private key) kullanılmakta, bu yapı da elektronik sertifika hizmet sağlayıcıları ve GSM operatörleri tarafından birlikte sağlanmaktadır. Mobil elektronik imza ile güvenli elektronik imza arasındaki fark, mobil imzada ayrıca bu hizmeti sunan operatörlerin de işbirliğinde bulunmasıdır. Dolayısıyla mobil elektronik imza kullanabilmek için bu GSM operatörlerinden SIM kartının alınması gerekmektedir. İmzalayanın belirlenmesi yeteneği bakımından söz konusu anahtar alt yapılarını aşmak zor olacak ancak iş birliğinde bulunan operatör şirketinin risk teşkil edebilecek faaliyetleri bunu kolaylaştırabilecektir.
- İmzalayanın Kendi Kontrolü Altındaki İmza Oluşturma Verilerini Kullanması
Biyometrik imzada imzalayan kişi ıslak imzaya benzer şekilde imzalama işlemini gerçekleştirmektedir. Ancak imza oluşturma verisinin güvenliğinin tehlikeye girmesi durumunda imza üzerinde tam kontrol sağlanamayacaktır.
İmzacı, güvenli elektronik imza oluşturma aracı içerisinde yer alan imza oluşturma verisine PIN ile giriş yaparak erişim sağlamaktadır.
Dijital imza oluşturmak için ise kimliği kanıtlayan sertifikanın imzalanması gerekmektedir. Noter gibi bir tüzel kişilik olan sertifika yetkilisi tarafından verilen bu sertifikalar çoğunlukla bir yıl geçerlidir. Yapılması gereken tek işlem gönderilecek olan belgeye bir dijital imza alanın yerleştirilmesidir. Örneğin e-posta ile imzalamak üzere bir belge alındığında, kimlik doğrulaması yapılmalı ve ardından bir formu çevrimiçi doldurarak belge imzalanmalıdır. Dijital olarak imzalanmış bir belge gönderildiğinde, sertifika ve bir ortak anahtar da gönderilmiş olur.
Mobil imza mobil imzayı destekleyen bir uygulama üzerinden elektronik ortamda sunulan bir işlemi veya belgeyi onaylamak için sırasıyla aşağıdaki örnek aşamalar tamamlanarak gerçekleşebilmektedir:
- Uygulama ekranında bulunan İMZALA tuşuna basılması,
- Bu tuşa basıldığında imzala talebinin GSM şebekesi üzerinden cep telefonuna iletilmesi,
- Telefonda görünen işlem açıklamasının TAMAM tuşuna basarak onaylanması,
- Onaydan sonra uygulama ekranında ve cep telefonunda eş zamanlı olarak işlemin PARMAKİZİ bilgisi görüntülenmesi,
- Ekrandaki ve telefondaki PARMAKİZİ bilgisinin uyuşması durumunda TAMAM tuşuna basılarak bir sonraki adıma geçilmesi.
6. İmzalanan Belgeyle İmza Arasındaki Bağlantı
Bazı biyometrik imza uygulamaları imzalanan belgenin özet değeriyle biyometrik veriyi şifreleyerek paket halinde tutma kabiliyetine sahiptir. Ancak tüm uygulamalarda biyometrik imzanın oluşturulduğu cihazda imzacıya gösterilen belgenin imzalandığı garanti edilemeyecektir.
Nitelikli elektronik imza içerisinde imzalanan belgenin özet değeri yer almakta bu sayede imzanın imzalanan belgeyle ilişkisi koruma altında olmaktadır.
Bir manipülasyon durumu ortaya çıkmadığı takdirde, dijital imza, imzanın gerçekliğini, yani beyanın gerçekten imza sahibinden neşet ettiğini ve bu beyanın sonradan değiştirilmediğini göstermektedir. Bu işlev, dijital imza teknolojisindeki metin ve imza arasındaki sıkı mantıki bağ sayesinde temin edilmektedir. İmza sahibinin, bilgisayar ekranında görmediği bir metni imzalaması tehlikesine karşı, onun dijital imzayı güvenli bir ortamda atması gereğine işaret edilmekte ve sertifika hizmet sağlayıcıları imza anahtarı sahiplerini, alması gereken tedbirler hakkında açıkça bilgilendirme yükümü altına sokulmaktadır. Diğer taraftan, dijital imzalı belgelerin hazırlanmasından yıllar sonra da, gerçekliğini muhafaza etmesinin gerektiği durumlar (örneğin, ticaret sicilinde) söz konusu olabilir; buna karşılık birkaç yıl sonra, daha hızlı işlemciler ve gelişmiş şifre çözme teknikleriyle, daha önce usulüne uygun olarak imzalanmış bir belgenin, arkasında iz bırakmaksızın değiştirilmesi daha kolay olabilir. Bu ihtimal, uzun süre muhafazası gereken belgelerde dijital imzanın gerçeklik işlevini zayıflatmaktadır.
Mobil imza hizmetinde, imzalama işlemi SIM kart üzerindeki özel me-imza bölgesinde gerçekleştirilmektedir. Devam eden çalışmalar sertifikaların nitelikli olması için ülkemizdeki e-imzaya ilişkin tüm teknik ve hukuki kriterlere ve ETSI’nın me-imza standartlarına uygun olacak şekilde sürdürülmektedir. Anahtar çiftleri ve şifre SIM kart üzerinde yaratılmakta ve kullanılmaktadır. İmzalama işlemi SIM kart üzerinde gerçekleştirilmekte ve güvenli imza oluşturma aracı olarak kullanılan SIM kartın dışına çıkarılmamaktadır. Me-imza, imzalama PIN’i, altı basamak olmak kaydıyla mobil cihaz PIN kodundan farklı olarak sadece sahibi tarafından belirlenmektedir. Her ne kadar me-imza platformu ile kart arasındaki iletişim 3DES1 ile şifreli bir kanal içerisinde sağlanmakta ve bu kanal içerisinde özetleme algoritmasına göre özetlenmiş veya imzalanmış şifreli veri iletilmekte ise de özetleme tarafında muhtemel olarak meydana gelecek açıkların da ortadan kaldırılması gereklidir.
- İmzalı Verilere Bağlı Olarak Daha Sonra Yapılacak Değişikliklerin Tespit Edilebilmesi
İmza işlemi sırasında oluşturulan belgeyi şifreleme kabiliyetine sahip biyometrik imza uygulamaları mevcuttur. Ancak şifreleme yapılmadığında imzalı veri üzerinde sonradan değişiklik yapılabilir.
Nitelikli elektronik imza açık anahtarlı kriptografiye dayandığı için imzalı veride yapılacak herhangi bir değişiklik imzanın bozulmasına sebep olur.
Dijital imzalama için ilk önce, gönderilecek elektronik metnin tamamı seçilmekte ve şifreleme programı çağrılmaktadır. Program ilk aşamada, bu metne hash algoritmasını tatbik ederek, metni harf ve rakamlardan oluşan bir mesaj özetine, diğer bir deyimle hash değerine (Hashwert, Hash-Code) çevirmektedir. Bilgisayar terminolojisinde “hash (öz)” yazılan bir metnin kısaltılmış şeklini ifade etmektedir. Metnin bu şekilde kısaltılma sebeplerinden biri, asimetrik kriptografi (şifreleme) prosedürünün fazla zaman almasıdır. Bu şekilde atılmış dijital imza, imzalanan belgenin özünü içerecektir”. Hash algoritmasının tatbiki esnasında program, metnin karakteristik özelliklerinin tümünü (işaretlerin türünü, sırasını ve sayısını) dikkate alarak metnin hash değerini elde etmektedir. Bu nedenle elde edilen değer, tamamen bilgisayarda seçilen ve işaretlenen metne özgü olup, bu metinde yapılacak bir değişiklik, elde edilen hash değerini değiştirecektir. Diğer bir deyişle bir dokümanı tamamlayıp imzaladığınızda oluşan hash değeri, mesaj özeti, onu üreten – ve sayısal imzanızı içeren-bilgisayara özel olarak, geri dönüşsüz ve eşsiz (unique) olarak oluşmaktadır. İkinci aşamada, şifreleme programı, elde edilen bu hash değerini (mesaj özetini), göndericinin özel anahtarı ve asimetrik şifreleme sistemi vasıtasıyla şifrelemekte ve bu şekilde şifrelenen hash değeri (mesaj özeti), elektronik metne eklenerek muhataba gönderilmektedir. Sonuç olarak dijital imzanın, göndericinin gizli anahtarı ile şifrelenmiş mesaj özetinden ibaret olduğu söylenebilir. Bu şekilde elde edilen dijital imza, sadece imzalanan metne ve gizli anahtarın sahibine özgü bir imzadır; zira gerek metindeki, gerekse gizli anahtardaki bir değişiklik farklı bir dijital imza ortaya çıkaracaktır. Böylece bir kere digital olarak imzalanmakla, dokümanı üzerinde değişiklik yapılması imkânsız olmaktadır.
Mobil imzada da imza anından sonra imza üzerinde yapılan her türlü değişikliğin tespit edilmesi mümkündür. Bu özellik verinin izinsiz veya yanlışlıkla değiştirilmesini, silinmesini ve veriye ekleme yapılmasını önlemeye yaramaktadır.
- İmza Doğrulama Verisinin Erişilebilirliği
İmza doğrulama genellikle anlık değil, itilaf olması durumunda mahkemece imzacının imzasıyla mevcut imzanın kıyaslanması yordamıyla yapılmaktadır. Bazı uygulamalar ise imzacının biyometrik verilerini önceden alarak sistemlerinde saklar ve oluşturulan imzaları anlık doğrulayabilir.
İmza doğrulama anlık olarak yapılır. İmza doğrulama verilerine nitelikli elektronik imza içerisinden veya ESHS aracılığıyla erişilebilir.
Dijital imzalar, imzalayanın kimliğini doğrulamak için sertifika tabanlı dijital kimlikler kullanır ve her bir imzayı şifreleme yoluyla belgeye bağlayarak imza kanıtını gösterir. Doğrulama, güvenilir sertifika yetkilileri (CA’lar) veya güvenilir hizmet sağlayıcıları (TSP’ler) aracılığıyla gerçekleştirilir.
Mobil imzada imza işlemi başlatıldığında ekranda mobil cihazınıza ait telefon numarası ve şebekeyi gösteren iletişim penceresi görüntülenir. Bilgilerin doğruluğu kontrol edilerek “İmzala ve Gönder” butonuna basılır. Ekranda açılan bilgi penceresinde bir “Parmak İzi Şifresi” oluşturulur ve bu şifrenin aynısı doğrulama yapabilmesi için mobil cihaza gönderilir. Mobil cihaza gelen şifre bilgisayar ekranındaki şifreyle karşılaştırılarak doğruluğunun teyit edilmesi için “Tamam” Butonuna basılır. Açılan şifre ekranına mobil sim kartla birlikte verilen şifre girilir ve tamam butonuna basılır.
- Standardizasyon
Biyometrik verilerin yakalanmasıyla ilgili uluslararası standartlar bulunmasına karşın biyometrik imzanın oluşturulmasıyla ilgili herhangi bir standart bulunmamaktadır.
Nitelikli elektronik imza formatları uluslararası standartlar ile belirlenmektedir. Mob
Dijital imza, en katı yasal düzenlemelerle uyumlu olan ve imzalayanın kimliğine dair en yüksek düzeyde güvence sağlayan belirli bir e-imza türüdür. Mobil imzada ise ülkelere has bir güven modeli bulunmadığı, genellikle uygulamalara yönelik olarak farklı çözümlerin ve standartların kullanıldığı tespit edilmiştir.
- İmzanın Uzun Dönemli Doğrulanabilirliği
Biyometrik imza, belirli bir standart kapsamında olmadığından imza oluşturma esnasında kullanılan cihaza bağlı olarak biyometrik verinin doğrulanmasında farklılıklar oluşabilmektedir. Tanımlanmış bir arşivleme mekanizması bulunmadığından imzanın uzun dönemli korunması garanti edilememektedir.
Nitelikli elektronik imza belirli formatlarda oluşturulmaktadır. Kullanılan imza uygulaması imza doğrulama sonucunu etkilememektedir. Uluslararası standartlarda imzanın uzun dönemli korunması için arşivleme mekanizmaları tanımlanmaktadır.
Dijital imza oluşturmak için kimliği kanıtlayan sertifika yetkilisi tarafından verilen sertifikalar çoğunlukla bir yıl geçerlidir. Dolayısıyla uzun dönemli doğrulanabilirlikten bahsedilemeyecektir. Sertifikanın geçerlilik süresi içinde oluşturulmuş olan imza, bu sertifikanın geçerlilik süresi dolduğunda veya sertifika iptal edildiğinde geçersiz duruma düşecektir. İmzayı atan kişinin belirleyeceği imza tarihi verisi de imzanın doğrulanması sırasında güvenilir olarak kabul edilemeyecektir çünkü kişi bu tarihi istediği şekilde belirleyebilmektedir. Bu noktada; imzada, imza tarihi dışında güvenilir bir zaman verisinin ve sertifikanın bu güvenilir tarihte geçerli olduğuna dair bir ispatın bulunmasının önemi belirginleşmektedir. İmzaya eklenen güvenilir zaman verisi, imzanın bu güvenilir tarihten önce var olduğunun garantisidir. İmzanın geçerliliği, dolasıyla sertifikanın geçerliliği güvenilir zamana göre kontrol edileceğinden sertifika, zaman damgasının alındığı tarihten sonra iptal edilmiş olsa bile imza geçerli olacaktır. Ancak imzaya güvenilir zaman verisinin eklenmesi de imzanın sürekli olarak geçerli olduğunu garanti etmemektedir. Bu nedenle, imzanın geçerliliğinin kontrol edildiği sertifika iptal listesi (SİL / Certificate Revocation List – CRL), çevrimiçi sertifika durum kontrolü bilgisi (ÇİSDUP / Online Certificate Status Protocol – OCSP) gibi birtakım ek kontrol bilgilerinin de imzaya eklenmesi gerekmektedir.
İmzanın uzun dönem doğrulanabilirliği bakımından yukarıda açıklananlar mobil imza için de geçerlidir.
- İmza Zamanının Tespit Edilebilmesi
Biyometrik veri içerisine imzalama zamanı eklenerek paket halinde saklanabilir. Ayrıca zaman damgasıyla biyometrik veriyi koruma altına alan uygulamalar da mevcuttur.
Nitelikli elektronik imza içerisine beyan edilen imza zamanı eklenebilir veya imza zaman damgası ile imzanın belli bir zamandan önce var olduğu ispatlanabilir. Bu durum dijital ve mobil imzalar için de geçerlidir.
- İmzanın Özgünlüğü
Biyometrik veri ele geçirildiği durumda herhangi bir belgeye iliştirilerek tekrar kullanılabilmesi mümkündür.
Nitelikli elektronik imza değeri, her imzalanan belge için eşsizdir. İmzalanan belge içerisinden elde edilen imza değerinin başka bir belgeye iliştirilerek kullanılması söz konusu değildir.
Dijital imza, sadece imzalanan metne ve gizli anahtarın sahibine özgü bir imzadır; zira gerek metindeki, gerekse gizli anahtardaki bir değişiklik farklı bir dijital imza ortaya çıkaracaktır. Bu durum mobil imza için de geçerlidir.
- Kullanım Kolaylığı
İmzacı, imza oluşturma cihazı üzerinde imzalama işlemi için tasarlanmış imza kalemini kullanarak imzasını oluşturur. İmza oluşturma işlemi ıslak imzaya benzer şekilde gerçekleştirildiğinden kullanım kolaylığı sağlanmaktadır.
İmza oluşturma işlemi öncesinde imzacının nitelikli bir ESHS’den nitelikli elektronik sertifika temin etmesi gerekmektedir. Ayrıca imza oluşturma işlemi için güvenli elektronik imza oluşturma aracı kullanımı zorunludur.
Dijital imza için her şeyden önce, aralarında matematiksel bir bağlantı olan ve fonksiyonel olarak bir birlik arz eden iki ayrı şifreye ihtiyaç vardır. Bu anahtar çifti, ya sertifika hizmet sağlayıcıları (Zertifikatdienstanbieter, Certification Service Provider, Certification Authority, Trust Center) tarafından üretilir ve sahibine teslim edilir; ya da kişiler tarafından bizzat off line şekilde bilgisayarda bir şifreleme programı aracılığıyla (örneğin PGP – pretty good privacy) elde edilir. Üretilen şifrelerden gizli anahtar, ya bilgisayarın ana belliğine, diske veya diskete kopyalanır ve üçüncü kişilerin bu şifreyi okumasını engelleyici tedbirler alınır; ya da gizli anahtar akıllı kart olarak da adlandırılan chip karta yerleştirilir. Gizli anahtarın chip karta kaydedilmesi durumunda, imza işlemi için bilgisayar yanında, kartın okunması için bir kart okuyucusuna da ihtiyaç vardır.
Bir cep telefonu içerisinde üretilen mobil imza mobil cihazların özelliklerinden bağımsız olarak teknik gereksinimlerinin tanımlandığı ETSI tarafından yayımlanan standartlarda “bir kullanıcının bir antlaşmayla ilgili kararının onayını mobil bir aletle almak için kullanılan evrensel yöntem” olarak tanımlanmaktadır. Bu tanımda evrensel yöntem; son kullanıcı ve servis sağlayıcı için en büyük interaktif topluluk veya uyumluluğu artıran ve kurulum maliyetini düşüren bir mimari, mobil alet; iletişim kanalı olarak mobil ağ kullanan mobil telefon, PDA gibi her türlü alet, antlaşma kavramı ise; kullanıcının onayının beklendiği ve tüm detaylarının onay aşamasından önce kullanıcının mobil telefonuna gönderildiği ve ekranında gösterildiği etkileşim olarak kabul edilmiştir.
- Cihaz Bağımlılığı
Tablet veya imza pedi gibi biyometrik verileri yakalama kabiliyetine sahip cihaz zorunluluğu vardır. Bu cihazların sağlaması gereken koşullarla ilgili eIDAS tüzüğünde herhangi bir kısıtlama bulunmamaktadır.
Güvenli elektronik imza oluşturma aracı kullanımı zorunludur. Bu aracın sağlaması gereken koşullar eIDAS tüzüğünde tanımlanmıştır.
Dijital imza, şifreleme programı yardımıyla, elektronik bir metin üzerinde uygulanan iki aşamalı bir prosedürün sonucudur. İmzalayan bu prosedüre optik olarak vakıf olmadığı gibi, dijital imzanın özel bir program olmaksızın, muhteva itibarıyla (temsili bir şekilde) gözle görülmesi mümkün değildir. Dijital imzalama için ilk önce, gönderilecek elektronik metnin tamamı seçilmekte ve şifreleme programı çağrılmaktadır. Program ilk aşamada, bu metne hash algoritmasını tatbik ederek, metni harf ve rakamlardan oluşan bir mesaj özetine, diğer bir deyimle hash değerine (Hashwert, Hash-Code) çevirmektedir. Bilgisayar terminolojisinde “hash (öz)” yazılan bir metnin kısaltılmış şeklini ifade etmektedir. Metnin bu şekilde kısaltılma sebeplerinden biri, asimetrik kriptografi (şifreleme) prosedürünün fazla zaman almasıdır. Bu şekilde atılmış dijital imza, imzalanan belgenin özünü içerecektir”. Hash algoritmasının tatbiki esnasında program, metnin karakteristik özelliklerinin tümünü (işaretlerin türünü, sırasını ve sayısını) dikkate alarak metnin hash değerini elde etmektedir. Bu nedenle elde edilen değer, tamamen bilgisayarda seçilen ve işaretlenen metne özgü olup, bu metinde yapılacak bir değişiklik, elde edilen hash değerini değiştirecektir. İkinci aşamada, şifreleme programı, elde edilen bu hash değerini (mesaj özetini), göndericinin özel anahtarı ve asimetrik şifreleme sistemi vasıtasıyla şifrelemekte ve bu şekilde şifrelenen hash değeri (mesaj özeti), elektronik metne eklenerek muhataba gönderilmektedir. Sonuç olarak dijital imzanın, göndericinin gizli anahtarı ile şifrelenmiş mesaj özetinden ibaret olduğu söylenebilir. Bu şekilde elde edilen dijital imza, sadece imzalanan metne ve gizli anahtarın sahibine özgü bir imzadır; zira gerek metindeki, gerekse gizli anahtardaki bir değişiklik farklı bir dijital imza ortaya çıkaracaktır. Muhatap ise, elektronik belgeyi kendisine gönderenin kimliğinin doğruluğunu ve belgenin metninde gönderme esnasında veya sonradan bir değişiklik yapılıp yapılmadığını tespit için, bu metnin yine bir program aracılığıyla hash değerini hesaplayacaktır. Daha sonra, elektronik belgedeki dijital imzayı, gönderenin açık anahtarını kullanarak deşifre edecektir. Göndericinin gizli anahtar ile şifrelenen metin, yine ancak bu gizli anahtarla matematiksel bağlantı içinde olan göndericinin açık anahtarı ile deşifre edilebilir. Açık anahtarı gönderici bizzat muhataba iletebilir veya muhatap bunu sertifika hizmet sağlayıcılarından temin edebilir. Dijital imzanın, açık anahtarlarla deşifre edilmesi sonucu orijinal metnin hash değeri (mesaj özeti) elde edilir. Muhatap bu şekilde elde ettiği hash değeri (mesaj özeti) ile kendisine gönderilen elektronik belgenin metninin hash değerini (mesaj özetini) karşılaştıracaktır. Bu iki değer birbiriyle örtüşüyorsa, metnin göndericinin gizli anahtarı ile imzalanmış olduğundan ve elektronik belgenin metninin, gönderme esnasında veya sonradan üçüncü kişiler tarafından değiştirilmemiş olduğundan emin olacaktır.
Mobil imza genel olarak, mobil bir cihaz kullanılarak oluşturulan ve telekomünikasyon ortamından bağımsız bir konumda imza veya sertifikasyon hizmetleri verilen mobil güvenliğin sağlanmasında kullanılmaktadır. Araya da mobil hizmeti sunan operatörler bulunmaktadır. Bir akıllı kart ve kart okuyucuya ihtiyaç bulunmamakta buna karşılık mobil telefon kullanımı gerekmektedir.
III. Yükseköğretim Mevzuatı Kapsamında Kullanılan İmzalar
Yükseköğretim Kurulu’nun birincil ve ikincil tüm mevzuatı incelendiğinde imzanın tek başına kullanıldığı fark edilecektir. Yani imza yöntemine dair herhangi bir detaya yer verilmemiş, yeni nesil imzalara değinilmemiş yalnızca ilgili belgenin imzalanması gerektiğinden bahsedilmiştir. Bunun yanı sıra imza ya da imzalamak kavramının geçtiği hükümlerde imzanın nasıl atılması gerektiğine, hangi koşullarda geçerlilik kazanacağına yahut imzalamanın usulüne ilişkin hiçbir detaya yer verilmemiştir. Bununla birlikte yapılan mevzuat taramasında yalnızca “Yurtdışı Yükseköğretim Diplomaları Tanıma Ve Denklik Yönetmeliği”nde bir defaya mahsus olacak şekilde yürürlükten kaldırılan yönetmelik başlıklı 15. maddenin 1. ek maddesinin 3. fıkrasında ıslak imza ve elektronik imza kavramına rastlanmıştır. İlgili hüküm aşağıdaki şekildedir:
Yürürlükten kaldırılan yönetmelik
MADDE 15 – (1) 20/2/2016 tarihli ve 29630 sayılı Resmî Gazete’de yayımlanan Yurtdışı Yükseköğretim Diplomaları Tanıma ve Denklik Yönetmeliği yürürlükten kaldırılmıştır.
EK MADDE 1 – (Ek:RG-30/7/2019-30847)
(1) Denklik ön başvuruları online olarak e-devlet veya Yükseköğretim Kurulu web sayfası üzerinden yapılır.
(2) Denklik ön başvurusu sırasında sisteme yüklenen belgeler ile Yönetmeliğin 4 üncü maddesinde sayılan belge asıllarının kontrolü yapıldıktan sonra belgelerin üzerine “görülmüştür” kaşesi basılarak denklik başvurusu tamamlanır. Belge asılları başvuru sahibine veya resmi vekâletnamesi bulunan vekiline iade edilir.
(3) Denklik işlemleri Denklik Otomasyon Sistemi üzerinden yürütülür. Bu işlemler sırasında yapılan hazırlık, bilimsel inceleme, Komisyon görüşü ve onay işlemlerinde ıslak imza veya elektronik imza yerine log kayıtları esas alınır.
IV. Değerlendirme ve Görüşümüz
Ülkemizde ıslak imzaya alternatif olarak hakkında yasal düzenleme yapılan tek elektronik imza türü dijital imzadır.
5 Ocak 2004 tarih ve 5070 numaralı Elektronik İmza Kanunu elektronik imza konusunda temel yasal düzenlemedir. Bu kanun ile elektronik imzanın hukuki yapısı, elektronik sertifika hizmet sağlayıcılarının faaliyetleri ve elektronik imzanın kullanımına ilişkin bağlayıcı temel hususlar düzenlenmektedir. Kanun, düzenleyici kurum olarak Bilgi Teknolojileri ve İletişim Kurumunu atamakta ve ikincil düzenleme yetkisini bu kuruma bırakmaktadır. Kanun yayımı tarihinden altı ay sonra (23 Temmuz 2004) yürürlüğe girmiş ve ikincil düzenlemeler için bir yıl süre (23 Ocak 2005) tanımıştır.
Düzenleyici kurum olarak atanan BTK’nın İnternet Sitesi’nde E-İmza başlıklı sayfada dijital imzanın ülkemizdeki durumu aşağıdaki şekilde özetlenmektedir.
Kamusal ve ticari iş ve işlemlerin elektronik ortamda yapılmaya başlaması ile birlikte, bu iş ve işlemlerin geçerliliğinin, bütünlüğünün, erişilebilirliğinin ve inkâr edilemezliğinin sağlanması sorunu ortaya çıkmıştır. Bu sorunu çözmek için en uygun çözüm olarak elektronik imza uygulaması başlatılmış ve tüm dünyada kullanılmaya başlanmıştır.
Ülkemizde bu konudaki yasal boşluğu gidermek için 5070 sayılı Elektronik İmza Kanunu hazırlanmış ve 23 Temmuz 2004 tarihinde yürürlüğe girmiştir.
Kanuna göre elektronik imza, başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri olarak tanımlanmaktadır.
Kanunda tanımlanan güvenli elektronik imzanın, elle atılan imza ile aynı hukukî sonucu doğurması, elle atılan imza ile aynı ispat gücünü haiz olması, usulüne göre güvenli elektronik imza ile oluşturulan elektronik verilerin senet hükmünde olması ve bu verilerin aksi ispat edilinceye kadar kesin delil sayılması Kanunun hukuki açıdan getirmiş olduğu en önemli yeniliklerdir.
Ülkemizde on beş yılı aşkın geçmişi bulunan dijital imza mevzuatı kanun, yönetmelikler, tebliğler, genelgeler, tarifeler, kurul kararları, rehberler vb. metinlerle olgunluk dönemine erişmiş olup sektörel uygulamaların yaygınlaşması aşamasına gelebilmiştir.
Biyometrik imza ile ilgili ülkemizde yasal bir düzenleme bulunmamaktadır. Ayrıca, hiçbir ticari şirkete veya kamu kurumuna vatandaşların el yazısı imzasının biyometrik verisini alma yetkisi veya izni de verilmiş değildir. Ancak şirketlerin elektronik otomasyon sistemlerindeki verimliliği arttırmaları ve kâğıda dayalı süreçlerin maliyetlerini azaltmaları için elektronik imza süreçleri gereklidir. Yasal açıdan geçerli dijital imzanın yaygınlaşmasındaki yavaşlık bazı büyük şirketleri alternatif arayışına itmektedir. Ülkemizde bugüne kadar biyometrik imza ilk akla gelen seçenek olmuştur.
Biyometrik imza ile ilgili ilk çalışmalar bankalar ve kurye firmalarında başlamıştır. Bazı kurye firmaları dönemin teknik imkânları ıslak imza bakımından ciddi bir tehdit oluşturmadığından birtakım çalışmalarda bulunmuş ancak kullanılan cihazların kalitesinin zayıflığı biyometrik imza yeteneklerini karşılama bakımından yetersiz kalmıştır. Bankalar ise gördükleri riskler, teknolojinin ve çözüm sağlayıcı firmaların henüz olgunlaşmamış olması ve mevzuata dair çekinceleri nedeniyle projelerini rafa kaldırmışlardır.
Günümüzde ise uygulamalar açısından Türkiye’deki mevcut duruma bakıldığında; kurumsal işlemlerin ve vatandaşa yönelik hizmetlerin elektronik ortama aktarılmakta olduğu, bu anlamda kamu sektöründe birbirinden bağımsız çalışmalar yapıldığı, kurumların bilgi verme amaçlı olarak altyapı oluşturduğu, ancak elektronik işlem yapılması çalışmalarının henüz tamamlanmamış olduğu görülmektedir.
Her ne kadar elektronik imza kullanımı ülkemizde fazla yaygınlaşmamış olsa da, gerek devlet gerek özel sektörde elektronik imza uygulamaları kullanılmakta, bu konuyla ilgili AR-GE yatırımları yapılmakta ve bu uygulamaların etkin olacağı kullanım ve güvenlik alanları oluşturulmaktadır.
Türkiye’de kurumların sertifika ihtiyacının yetki verilen özel ESHS’ler tarafından karşılanması ile ilgili yasal düzenleme yapılmıştır. ESHS hizmeti veren kurumlar E-güven Elektronik Bilgi Güvenliği A.Ş. (E-Güven) ve TürkTrust Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. (TürkTrust)’dir. Ülkemizde yapılan yasal düzenlemeler kapsamında, yürüttükleri görevler açısından özel niteliği haiz olan ve yukarıda belirtilen kurumlar sertifika hizmet sistemlerini oluşturabileceklerdir.
Bununla birlikte, biyometrik imzaların yasal geçerliliği olmadığından sözleşmeler için kullanılamamakta ancak adres değişikliği, kampanya değişikliği gibi basit talimat işlemleri için ses imzası gibi biyometrik imzaların kullanıldığı görülmektedir.