Ana içeriğe atla

Uzaktan / Bulut İmza (Remote / Cloud Signature)

İmza, kişinin; o belgede yazanı onayladığını ve ona uyacağını gösteren işarettir. Bilgisayarlar hayatımıza girdiğinden beri belgeler bilgisayarlarda üretilir oldular ama sonuçta yazıcılardan çıkıp fiziksel olarak önümüze geldiler ve kalem mürekkep ile ıslak olarak imzalandılar. Günümüzde kurumlar ve devlet birimleri dijital dönüşüm ile gittikçe daha kağıtsız bir yapıya kavuşuyor. Belgeler bilgisayarlarda üretiliyor, hiç kağıda yazılmıyor ve tamamen elektronik ortamda kalıyorlar. 

Bulut imza, Signature as a Service (Bulut Bilişim ile ilgili yazımıza buradan ulaşabilirsiniz) şeklinde kullanılmak üzere ve dijital dönüşüm yapbozundaki yasal/hukuki eksiği tamamlamak için geliyor. Bu büyük yeniliği anlamak için gelin şu anda elektronik ortamda imza nasıl atılıyor ve hangi zorlukları içeriyor bakalım. Sonra bulut imzayı tanıyalım ve ülkemizde teknik ve yasal mevzuat bakımından ne durumda olduğu ile yazımızı sonlandıralım.


Elektronik ve Dijital İmza

Elektronik imza; elektronik ortamdaki bir veriye eklenen ve imzayı atan kişinin kimliğini içeren bir başka elektronik veridir. Bu veri örneğin PDF belgesinin altına eklenen bir isim kadar basit olabilir. Ancak bizim bu yazıda konuşacağımız imza; elektronik imzanın özel bir alt türüdür: Dijital İmza, namıdiğer Sayısal İmza. Dijital İmza; imzalanan veri ile ispatlanabilir bir matematiksel ilişkisi olan ve imzalayan kişinin kimliğini garanti eden elektronik imzadır. Dijital imza aşağıdaki özelliklere sahiptir:
  • Veri bütünlüğü (Integrity): İmzalanan belge sonradan değiştirilemez, belge imzalandıktan sonra değişmişse imza geçerliliği bozulur
  • İnkar edememe (Non-repudiation): İmzalayan kişi "imzayı ben atmadım”, “imzam taklit edilmiş" şeklinde iddialarda bulunamaz, imza geçerli ise belirttiği kişi tarafından atılmıştır
  • Kimlik doğrulama (Authentication): İmzalayan kişinin kimliği ispatlanabilir olarak imza içindedir

Bunların nasıl sağlandığı, matematiksel temelleri ve ispatları kriptografinin ilgi alanı içinde; yazımızın ise kapsamı dışındadır. Bu yazı açısından önemli olan şudur: Dijital İmza; kişilerin bir otorite tarafından kimliklendirilmesi ve imza atma işleminin yalnızca kendi kontrollerinde olması ile mümkün ve güvenlidir.


Elektronik Sertifikalar ve Özel Anahtarlar

Elektronik sertifikalar bir tür elektronik kimlik belgeleridir. Sertifikayı veren makam, sertifika sahibi (özel veya tüzel kişi), sertifika sahibinin kimlik tanımlayıcıları ve sertifikanın geçerlilik süresi gibi bilgiler içerirler. Başvuru üzerine Sertifika Makamları tarafından üretilirler. Başvuru sonucu üretilen tek şey sertifika değildir, aynı zamanda sertifika ile kriptografik olarak ilişkili olan ve özel anahtar olarak adlandırılan bir veri ile bu özel anahtarın kullanımını sağlayan ve PIN olarak da adlandırılan bir parola da üretilir. Dijital imzalama işleminde sertifika sahibinin PIN girmesi ve özel anahtarın kullanımına yetki vermesi istenir. Özel anahtar oluşan imzada sertifika sahibinin kimliğini kriptografik açıdan ispatlanabilir olarak belirtmek için kullanılır. Özel anahtar ve PIN sertifika sahibi tarafından gizli tutulmalı ve sadece imzalama sırasında kullanımlarına izin verilmelidir.

Sertifikalar dijital imza için gerekli kimliklendirmeyi sağlar. Özel anahtar ve PIN de, gizli tutulmaları ve sadece imzalama aşamasında kullanılmaları bakımından imzalamanın sertifika sahibi kontrolünde yapılmasını sağlar.

“Nitelikli” Elektronik Sertifikalar ve 5070 sayılı kanun

Kimliklendirmeyi (yani sertifika üretmeyi) yasal olarak belirlenmiş kurumlar yaptığında ve sertifika içine kimlik tanımlayıcı olarak sertifika sahibinin resmi bir bilgisi yazıldığında (örn TCKN) ortaya çıkan sertifikalar Nitelikli Elektronik Sertifika olarak adlandırılır ve bunlarla atılan imzalar yasal ve hukuki olarak ıslak imza ile aynı geçerliliğe sahip olur. 

Ülkemizde nitelikli elektronik sertifika ve yasal geçerlilikte dijital imza kullanımı 5070 sayılı Elektronik İmza Kanunu ile düzenlenmiştir. Nitelikli elektronik sertifikaların hangi kurumlar (Elektronik Sertifika Hizmet Sağlayıcı olarak anılmaktadırlar) tarafından üretilebileceği Bilgi Teknolojileri ve İletişim Kurumu'nca (BTK) belirlenmektedir. Bu kurumlar tarafından üretilen sertifikalar (ve özel anahtarlarla) yapılan imzalamalar, kanunda belirtilen teknik gerekleri de sağlamaları durumunda ıslak imza ile aynı geçerlilikte sayılır ve Türkiye mahkemelerince bu şekilde ele alınır.

Neredeyiz: Islak değil ama yine de fiziksel imza

Bulut imzayı ve sağladığı fayda ve yenilikleri açıklamak için gelin “özel anahtarı gizli tutma ve imzayı yetkilendirmenin” günümüzde nasıl uygulandığına bakalım.
 
Akıllı kart ve USB okuyucu
Bir akıllı kart ve takıldığı USB okuyucu
Yasal olarak hukuki geçerliliğe sahip sertifikalar ve ilişkili özel anahtarlar, Sertifika makamlarında üretildikten sonra; akıllı kart denen, telefon SIM kartlarına benzeyen özel kartlara yazılır. Akıllı kartlar; özel anahtarın dışarıdan okunmasına izin vermez, imzalama işlemi için gerekli matematiksel işlemleri, girilen PIN'i doğruladıktan sonra kendi üzerlerinde yapan özel donanımlardır. Sertifika makamları tarafından yaygın olarak USB belleklere benzer boyuttaki bir okuyucu içine takılmış şekilde sertifika sahibine fiziksel olarak ulaştırılırlar. Özel anahtar kullanımını yetkilendiren PIN de, genellikle kağıda yazılı olarak zarf içinde sertifika sahibine ulaştırılan kargoda yer alır.

Dijital imza atılmak istendiğinde kullanıcı yanında taşıdığı akıllı kartı (daha doğrusu onu içeren USB okuyucuyu) bilgisayara takmak ve imza atılan sistemin / yazılımın yönlendirmeleri ile istendiğinde PIN girerek imza işlemini yetkilendirmek zorundadır. Bir benzetme yaparsak ıslak imzadaki kalem ve mürekkebin yerini akıllı kart ve içindeki özel anahtar almaktadır:
  • Akıllı kart fiziksel olarak elde tutulması gereken kalemin
  • Özel anahtar kalemin içinde olan ve imzayı atan mürekkebin
  • PIN de kalemi kullanılır hale getirmek için düğmesine basarak veya gövdesini çevirerek açma hareketinin yerini almaktadır. 
Günümüzdeki haliyle dijital imza ıslak değil ama fizikseldir

Neden hala buradayız ?

Dijital imza teknolojileri yaklaşık 20 yıldır var. Dünyada bir çok ülkede ve ülkemizde de yasal düzenlemeler de yapılmış durumda. 5070 sayılı kanun 2004 tarihli. TÜBİTAK ve özellikle bünyesindeki MA3 (Milli Açık Anahtar Altyapısı) biriminin büyük eforları, geliştirdiği yazılım bileşen ve kütüphaneleri, gerçekleştirdiği eğitim ve bilgilendirme faaliyetlerine rağmen dijital imza kullanımı istenen seviyede değil. Dijital imzanın hem kullanıcılar hem de yazılım geliştiriciler açısından yaygınlaşmasını engelleyen etkenlerin çoğu mevcut fiziksel yapısından kaynaklanıyor diyebiliriz:
  1. Kullanıcı akıllı kart ve okuyucuyu sürekli yanında bulundurmalıdır, ıslak imza herhangi bir kalem ile atılabilir ancak dijital imza için aynı durum söz konusu değildir
  2. Bazı kurum ve ortamlarda akıllı kart okuyucunun takılacağı USB portlarının kullanımı güvenlik ve/veya kurum politikası gereği kısıtlı veya tamamen engellenmiş durumdadır
  3. Akıllı telefon ve tabletlerde okuyucu tarzı USB cihazlarının kullanımı çoğunlukla mümkün değildir ya da bluetooth alıcı verici gibi üreticiye has ek donanımlarla mümkün olabilmektedir
  4. USB cihaz kullanımının yaygın ve kolay olduğu masaüstü/dizüstü bilgisayarlarda akıllı kart ve okuyucu sürücülerinin kurulması ve versiyonlarının güncellenmesi birden fazla işletim sisteminin varlığı göz önünde tutulduğunda ciddi bir bilgi işlem eforu gerektirmektedir
  5. Web teknolojileri ile tarayıcılar üzerindeki uygulamalar geleneksel uygulamaların yerini almakta ancak Web USB, Web Crypto gibi çabalara rağmen tarayıcılar USB cihazlarına akıllı kart için erişim sağlamamaktadır. Web uygulamalarında dijital imza entegrasyonu için Revivius Yazılım tarafından sunulan UZİM gibi ek yazılımlara veya tarayıcı pluginlerine ihtiyaç duyulmaktadır


Nereye gidiyoruz: Bulut İmza, eIDAS ve EN-419 241 Standardı

Bulut imza bir önceki bölümde sıralanan tüm sorunları çözen ve dijital imzanın yaygınlaştırılmasını amaçlayan bir yenilik. 
 
Bulut imza eIDAS tarafından standartlaştırılma aşamasında. Electronic IDentification, Authentication and trust Services, yani Elektronik Kimlik Belirleme ve Güven Hizmetleri Düzenlemesi; eletkronik ortamda kimlik tanımlama ve güven hizmetleriyle ilgili bir Avrupa Birliği regülasyonudur. 

Bu regülasyon, ülkemizdeki 5070 sayılı kanunun Avrupa Birliği üye ülkeleri için eşdeğeri olarak düşünülebilir ve 2018 yılından beri yürürlüktedir. eIDAS, dijital imza kullanımının yaygınlaşmasında yaşanan zorlukları adreslemek için "Trustworthy Systems Supporting Server Signing (TW4S)" / "Sunucu Taraflı (Uzaktan) İmzayı Destekleyen Güvenilir Sistemler" isimli çalışmanın ilk versiyonunu 2019 yılında yayınlamıştır. Avrupa Telekomünikasyon Standartları Enstitüsü (kısaca ETSI) bu çalışmayı EN-419 241 adı altında 2 kısım olarak standartlaştırmıştır.

EN-419 214; kişilerin sertifikalarının ve özel anahtarlarının fiziksel olarak kendilerine ulaştırılmaları yerine, Güvenilir Hizmet Sağlayıcı (Trustworthy Service Provider) tarafından özel donanımlarda tutulmasına ve imza işlemi sırasında sertifika sahibi tarafından çok etkenli (Multi Factor) kimlik doğrulama ile yetkilendirilmesine imkan vermektedir. Bu şekilde atılan imzaya Uzak Nitelikli İmza (Remote Qualified Signature) adı verilmektedir.
 
Bulut (uzaktan) imzalamada, kimliklendirme ve sertifika üretimi bakımdan bir değişiklik bulunmamaktadır. Ancak üretilen sertifikaların ve özel anahtarların fiziksel olarak kullanıcılara ulaştırılması gerekmemektedir. Bu yaklaşım sayesinde:
  • Kullanıcı akıllı kart, USB okuyucu vb donanım taşımak zorunda değildir
  • Kullanıcı tarafında kart, USB sürücü, tarayıcı plugini vb ek yazılım kurulumuna gerek kalmamaktadır
  • Akıllı kart, USB okuyucu gibi ek donanım ve bunların kullanıcıya iletilmesi için gereken zaman ve taşıma maliyetleri ortadan kalkmakdatır
  • Özel donanım, sürücü, bağlantı noktası vb gerekmediğinden; mobil cihazlar ve hatta akıllı saat, akıllı televizyon gibi internete bağlanabilen her tür cihaz ile imza atılması mümkün olmaktadır
Tüm bu olumlu yönleri yanında bulut imza, merkezi olarak depolanan sertifika ve özel anahtarların sertifika sahibi dışında kullanılması gibi bir güvenlik zaafiyetine imkan vermemek adına çok etkenli kimlik doğrulama yöntemleri kullanmaktadır. Çok etkenli doğrulama; sertifika sahibinin PIN bilgisine ek olarak cep telefonu veya email gibi ek bir iletişim kanalına sahip olması ve bu kanala SMS, posta veya özel kimlik doğrulama yazılımı gibi yollarla iletilen tek seferlik parolalar (OTP) ile işlem yapmasını gerektirmektedir.

Bu yazımızda EN-419 214 standardının detaylarına, güvenliğin nasıl sağlandığına girmeyeceğiz ancak ana bileşenlerin genel bir şemasını vermekle yetineceğiz.
 
1. Kimlik Doğrulama, 2. Çok etkenli yetkilendirme, 3. Bulut ortamında uzaktan imza
(1) Kimlik Doğrulama (2) Çok Etkenli (MFA) Yetkilendirme (3) Bulut ortamında uzaktan imzalama

Ülkemizde Bulut İmza mevzuatı

Ülkemizde Bulut imza ile ilgili bir mevzuat veya yasal düzenleme henüz bulunmamaktadır. Öte yandan EN-419 214 standardını teknik olarak gerçeklemek için yazılım, donanım ve altyapı geliştirme çalışmaları sürmektedir. Ortaya çıkacak yazılım ve donanım bileşenleri 5070 sayılı kanun bulut imza için güncellenmeden veya ona bağlı yeni bir kanun çıkmadan yasal olarak hukuki geçerlilikte kullanılamayacaktır. Teknoloji geliştirici ile yasa yapıcının işbirliği bu noktada hayati önem taşımaktadır.

Bulut imza konusunda teknik ve mevzuat ile ilgili gelişmelerden sizleri Revivius Yazılım olarak haberdar etmeye devam edeceğiz.



 

Yorumlar

Bu blogdaki popüler yayınlar

Tip Sistemleri ve Programlama Dilleri

Tip Sistemi kavramı, günlük hayatlarının bir parçası olmasına rağmen bir çok yazılım profesyoneli için bile kulağa yabancı gelebilir. Tip Sistemleri; matematik ve mantık dallarındaki zengin bir konu olan "Tip Teorisinin" yazılım geliştirme ve programlama dillerine bir yansımasıdır. Tip sistemlerinin programlama dilleri için oldukça önemli ve belirleyici olduğunu söyleyebiliriz.  Bu yazıda herhangi bir programlama diline odaklanmadan teorik düzeyde tip sistemlerinden bahsetmekle yetineceğiz. Tip sistemleri; bir programlama dilindeki değişken, fonksiyon vb yapı taşlarınının kullanım ve birbirleri ile etkileşimlerini, belli kurallara bağlayarak, oluşabilecek belirsizlikleri ve hataları engellemeye yönelik mantıksal sistemlerdir. Havalı cümlemizi kurduğumuza göre daha anlaşılır olarak açıklamak gerekirse örneğin bir değişkenin hangi türde değerleri tutabileceği bir fonksiyonun hangi türde parametrelerle çağrılması gerektiği yine bir fonksiyonun bir değer üretip üretmediği ve üre...

AWS, GCP, Azure... Yok mu bu bulutun bir kolayı ?

AWS - Amazon Web Services, GCP - Google Cloud Platform, Microsoft Azure... 3 büyük bulut sağlayıcı. Bulut bilişim konusu biliyorsunuz çok revaçta. Geliştiricilier, proje yöneticileri ve hatta siyasetçiler bile buluttan bahsediyor. İlk başta göze korkutucu geliyor. Bulut bilişim ile ilişkili ve bir manada o sayede mümkün bir çok yeni kavram var. Bahsettiğimiz 3 büyük sağlayıcının her biri yüzlerce farklı servis sunuyor. Tüm detayları konuşmak mümkün değil elbet ama yok mu bu konuya giriş yapmanın, detaylı olarak incelemeden önce ana hatlarıyla konuyu akılda oturtmanın bir yolu ? Bu yazımızda bunu deneyeceğiz.   Nedir bu Bulut Bilişim ? Gelin önce şu "servis" kelimesinden bahsedelim. Çok geniş anlamda kullanılıyor ancak şu yaygın tanımı tam da konumuza göre: "Taşıma, iletişim, elektrik, gaz vb gibi temel ortak ihtiyaçları herkese açık olarak veren sistemler". Elektrik ve gaz kısmını boşverirsek (hele 1 ocak sonrası) bu tanım şu önemli 2 özelliği öne çıkarıyor: O siste...