Elektronik İmza İlgili Bilmeniz Gereken Herşey

Sertifika

Öncelikle elektronik imza kullanabilmek için bir sertifika edinmeniz gereklidir. Kullanacağınız sertifikaları BTK tarafından yetkilendirilmiş sertifika dağıtmaya izin verdiği belirli ESHS adı verilen kuruluşlardan alabilirsiniz. Bunların dışındaki yerlerden aldığınız (Verisign gibi) sertifikalar SSL gibi kullanımlar için geçerli olsa da yasal olarak anlamlı değildir.

Bir çok ESHS sertifikaları nitelikli ve niteliksiz şekilde verir, SSL veya kod imzalama gibi sertifikalar sadece güvenlik amaçlı kullanıldığından niteliksiz sertifika olarak verilir ama kişisel imzalar için kullanılacak sertifikalar nitelikli sertifikadır ve ancak kimlik belgenizi göstererek ederek alabilirsiniz.

Bunun dışında elektronik kalem gibi görsel yada benzeri şekillerde imza atan cihazların herhangi bir yasal geçerliliği yoktur.

Kullanacağınız nitelikli sertifika kimlik belgeniz karşılığında sadece sizin şahsınıza Dongle, Token, Okuyucu Cihaz gibi çeşitli isimler verilen bir cihaz içerisinde verilir. Bu cihaz sadece şifrenizi girdiğiniz zaman imzalama işlemi yapar ve içerisindeki bilgiler dışarı çıkarılamaması için güvenli şekilde mühürlenmiştir.

Bunların dışındaki bir ortamdaki (dosya olarak, internetten indirdiğiniz vs.) sertifikalar niteliksiz kabul edildiğinden geçersizdir.

ESHS’lerden aldığınız sertifikaların hepsinin belirli bir ömrü (1-3 yıl arası) bulunur. Bu süre bittiğinde sertifikanızı yenilemek zorundasınızdır. Aksi halde attığınız imzalar aşağıda anlatılan gerekli önlemler alınmamış ise geçersiz kabul edilir.

Size verilen sertifikalara benzer olarak ESHS’lerinde kendilerine ait sertifikaları bulunur. Bu sertifikalara kök sertifika denir ve sizin kullanıklarınıza göre daha uzun süreli (10 yıl gibi) ve yeni sertifikalar üretebilir. Kök sertifikaların ömrü dolduğunda yada iptal edildiğinde üretilen tüm sertifikalarda geçersiz hale gelir.

İmzalama ve Doğrulama araçları

Kolay İmza’ya ek olarak şu anda yerli ve yabancı kaynaklı kullanabileceğiniz bir çok imzalama ve doğrulama araçları piyasada bulunuyor. İnternet üzerinde basit aramalarla bu araçlara ulaşabilirsiniz. Bu araçlar çoğunlukla belirli standartlarda imza bilgisi üretir ve doğrularlar. Bu aşamada önemli olan bilgi aracın mutlaka standartlara bağlı kalması ve aşağıda anlatacağımız standartları desteklediğidir. Böylece farklı araçlar arasında karşılıklı şekilde imza alışveriş yapabilirsiniz.

İmzalama ve doğrulama işlemlerinde uygulanacak prosedürler içinde CWA-1470 ve CWA-1471 adı verilen belirli standartlar oluşturulmuştur. Bu standartları uygulamayan araçları kolaylıkla listenizden çıkarabilirsiniz.

Bu araçlar içerisinde ilgili standartları denetleyen bir tetkik mekanizması ilk zamanlar yoktu ancak Tübitak bu konuda tüm araçları listeleyen bir portal oluşturdu. Kolay İmza henüz çok yeni olduğundan henüz başvurumuzu yapmadık ancak bizim de kullandığımız e-imza kütüphanesini kullanan bir çok sertifikaları uygulama bu listede var, yani üretilen tüm imzalar diğer araçlarla uyumlu.

Zaman Damgası

Zaman damgası genellikle ESHS’ler tarafından verilen içerisinde güvenilir ve ispat edilebilir zaman’ı içeren basit anlamda yine bir elektronik imzadır. Basitçe zaman damgasına elinizdeki bir “özet” bilgi ile gidersiniz ve o size “özet”+zaman bilgisi içeren bir elektronik imza üreterek cevap verir.

Zaman damgası ile içerisindeki zamana ait o “özet” bilgisinin var olduğunu ispat edersiniz. Böylece size ait bilgi çalındığında o tarihte siz de böyle bir bilginin varlığını ispat edebilir hale gelirsiniz.

Zaman damgası kesinlikle ve kesinlikle imza atılan bilgisayarın tarihi değildir. Tarih bilgisinin güvenilir bir kaynak olması şarttır.

Zaman damgası için herhangi bir sertifikaya ihtiyaç duymadan Tasdix, Zamane gibi bir çok uygulamayı kullanabilirsiniz. Bu araçlar genellikle fikir haklarını korumak amacıyla kullanılır, örneğin yazdığınız bir roman, şiir gibi bir içerik var ve kopyalanmasını istemiyorsanız bu araçlar ile zaman damgası alarak size ait olduğunu ispat edebilirsiniz. Dikkat etmeniz gereken tek şey sizden önce başka birisinin zaman damgası almamış olması gerekli, çünkü en erken tarihe ait zaman damgası kabul edilecektir.

İmza Formatları

BES

BES adı verilen en temel imza biçimidir, içerisinde sadece zorunlu olarak imza bilgisi bulunur. Bu formatta imzanın size ait olduğu ve imza attığınızdan itibaren bir değişiklik yapılmadığını ispat eder.

BES biçimindeki elektronik imzalar sertifikanın ömrü kadar süre içerisinde geçerlidir. İçerisinde herhangi bir zaman bilgisi içermediğinden sertifika geçersiz hale geldiğinde kullanılan tüm imzalarda geçersiz hale gelir.

İmzaladığınız sertifikanın herhangi bir nedenle eğer iptal (Revoke adı verilir) edilmiş ise doğrulama işlemi yapılamaz.

Şu anda bir çok elektronik imza destekli uygulama genelde BES formatında imzalama yapar ancak hızla diğer formatlara geçiş yapılıyor. Bu uygulamalar kendi elektronik imza formatlarını kullandıklarından en azından uzun bir süre içinde bu formatın ilerisini kullanmayacaklardır.

Özet olarak kritik işlerinizde bu araçları kullanmayın. Sadece bir sisteme giriş yapmak gibi kısa süreli kimliğinizi ispatlamak amaçlı kullanılabilir.

Cades-BES

Çok eski bir format olan BES’e eklenti olarak gelmiş bir imza biçimidir. Bu imza biçimi BES formatına göre daha fazla bir şey vadetmez ama daha sonra uzun süreli geçerli olabilecek imza formatlarına dönüşüm için gerekli altyapıyı sağlar. BES biçimindeki bir imzayı daha sonra Cades-BES’e dönüştüremezsiniz.

Doğrulama işlemleri sırasında kullanılan sertifikanın halen geçerli olup olmadığını ilgili ESHS’lere ağ üzerinden bağlanarak kontrol eder. Bu yüzden doğrulama sırasında ESHS’ye internet yada başka bir şekilde bağlantı gerektirir. Bu bağlantı sağlanmadan imzanın içeriği doğru olsa bile geçerli yada geçersiz olup olmadığı belirsiz bir durumdadır.

BES’le aynı şekilde kullandığınız serifikanız iptal edildiğinde tüm imzaladığınız bilgiler de geçersiz olur.

BES’e benzer şekilde kritik işlerde bu biçim kullanılmamalı, kısa zamanlı işlemler için kullanılmalıdır.

Cades-T

Cades-BES üzerinde zaman damgası bilgisinin eklenmiş halidir. Cades formatları içerisinde bu biçim pek fazla kullanılmaz ama sonraki daha gelişmiş biçimlere geçiş yapabilmeyi sağlar.

Cades-BES üzerinde zaman damgası eklenerek oluşturulur. İmzalama işleminden hemen sonra zaman damgasının eklenmesi gerekir. Bu yüzdende imzalama işlemi sırasında yine ağ bağlantısı gerekir. Zaman damgası ne kadar geç atılırsa imzanın güvenliği de o kadar risk’e atılır.

Cades-BES’e ek olarak o tarihde imzalanan bilginin varlığını ispat eder. Ancak sertifikanın geçerli olup olmadığı ile ilgili herhangi bir bilgi vermez.

Doğrulama sırasında kullanılan sertifikanın zaman damgası içerisindeki belirtilen tarihte geçerli olup olmadığını yine ilgili ESHS’lere ağ üzerinden bağlanarak kontrol eder.

BES’den farklı olarak sertifikanın iptal edilmeden önce imzaladığınız bilgilerin doğru kabul edilmesini sağlar. Böylece sertifikanın ömrü dolsa bile imzanın geçerli olmasını sağlar.

Cades-X

Aslında Cades-X ile Cades-T formatı arasında bir Cades-C ismi verilen bir format daha var detay olduğunu düşündüğüm için atlıyorum çünkü pratik bir kullanımı yok.

İmzalayan ve zaman damgasına ait kök sertifikalar da dahil olmak üzere tüm doğrulama bilgisini içerir. Bu yüzden doğrulama sırasında herhangi bir ağ bağlantısı gerektirmez.

Cades-T’ye ek olarak ESHS’lere ait kök sertifikalar eskidiğinde yada iptal edildiğinde dahi imzanın doğrulanabilir olmasını sağlar.

Bu imza biçimi en güvenilir imzadır. Kullandığınız ESHS kapansa dahil imza geçerli olmaya yıllar boyunca devam eder.

Bundan sonraki A biçimli imzaya göre tek farkı kullanılan özet algoritması (SHA-1, SHA-256) adı verilen algortimayı koruyamaz. Şu anda neredeyse tüm imza araçları SHA-256 kullanıyor ve şu anki teknoloji ile tek şifreyi kırmak için yıllar süren bir çaba gerekli. Merak edenler bu link üzerinden tahminlere bakabilir.

Cadex-A

Son ve nihai olarak A’dan anlaşılacağı üzere arşiv amaçlı olarak kullanılır.

Cades-X’deki bilgilere ek belirli aralıklarda zaman damgaları eklenerek oluşturulur. Örneğin elinizde imza arşivi var ise bu imzalara 5 yıllık aralıklarla zaman damgası ekleyerek arşivin çok çok çok uzun süreler boyunca geçerli olacak şekilde saklanmasını sağlayabilirsiniz.

Kullanılan özet yada imza algoritmalarının ilerleyen teknoloji ile “kırılabilir” olması durumunda ispat sağlar.