İmza, kişinin; o belgede yazanı onayladığını ve ona uyacağını gösteren işarettir. Bilgisayarlar hayatımıza girdiğinden beri belgeler bilgisayarlarda üretilir oldular ama sonuçta yazıcılardan çıkıp fiziksel olarak önümüze geldiler ve kalem mürekkep ile ıslak olarak imzalandılar. Günümüzde kurumlar ve devlet birimleri dijital dönüşüm ile gittikçe daha kağıtsız bir yapıya kavuşuyor. Belgeler bilgisayarlarda üretiliyor, hiç kağıda yazılmıyor ve tamamen elektronik ortamda kalıyorlar.
Bulut imza, Signature as a Service (Bulut Bilişim ile ilgili yazımıza buradan ulaşabilirsiniz) şeklinde kullanılmak üzere ve dijital dönüşüm yapbozundaki yasal/hukuki eksiği tamamlamak için geliyor. Bu büyük yeniliği anlamak için gelin şu anda elektronik ortamda imza nasıl atılıyor ve hangi zorlukları içeriyor bakalım. Sonra bulut imzayı tanıyalım ve ülkemizde teknik ve yasal mevzuat bakımından ne durumda olduğu ile yazımızı sonlandıralım.
Elektronik ve Dijital İmza
Elektronik imza; elektronik ortamdaki bir veriye eklenen ve imzayı atan kişinin kimliğini içeren bir başka elektronik veridir. Bu veri örneğin PDF belgesinin altına eklenen bir isim kadar basit olabilir. Ancak bizim bu yazıda konuşacağımız imza; elektronik imzanın özel bir alt türüdür: Dijital İmza, namıdiğer Sayısal İmza. Dijital İmza; imzalanan veri ile ispatlanabilir bir matematiksel ilişkisi olan ve imzalayan kişinin kimliğini garanti eden elektronik imzadır. Dijital imza aşağıdaki özelliklere sahiptir:
- Veri bütünlüğü (Integrity): İmzalanan belge sonradan değiştirilemez, belge imzalandıktan sonra değişmişse imza geçerliliği bozulur
- İnkar edememe (Non-repudiation): İmzalayan kişi "imzayı ben atmadım”, “imzam taklit edilmiş" şeklinde iddialarda bulunamaz, imza geçerli ise belirttiği kişi tarafından atılmıştır
- Kimlik doğrulama (Authentication): İmzalayan kişinin kimliği ispatlanabilir olarak imza içindedir
Bunların nasıl sağlandığı, matematiksel temelleri ve ispatları kriptografinin ilgi alanı içinde; yazımızın ise kapsamı dışındadır. Bu yazı açısından önemli olan şudur: Dijital İmza; kişilerin bir otorite tarafından kimliklendirilmesi ve imza atma işleminin yalnızca kendi kontrollerinde olması ile mümkün ve güvenlidir.
Elektronik Sertifikalar ve Özel Anahtarlar
Elektronik sertifikalar bir tür elektronik kimlik belgeleridir. Sertifikayı veren makam, sertifika sahibi (özel veya tüzel kişi), sertifika sahibinin kimlik tanımlayıcıları ve sertifikanın geçerlilik süresi gibi bilgiler içerirler. Başvuru üzerine Sertifika Makamları tarafından üretilirler. Başvuru sonucu üretilen tek şey sertifika değildir, aynı zamanda sertifika ile kriptografik olarak ilişkili olan ve özel anahtar olarak adlandırılan bir veri ile bu özel anahtarın kullanımını sağlayan ve PIN olarak da adlandırılan bir parola da üretilir. Dijital imzalama işleminde sertifika sahibinin PIN girmesi ve özel anahtarın kullanımına yetki vermesi istenir. Özel anahtar oluşan imzada sertifika sahibinin kimliğini kriptografik açıdan ispatlanabilir olarak belirtmek için kullanılır. Özel anahtar ve PIN sertifika sahibi tarafından gizli tutulmalı ve sadece imzalama sırasında kullanımlarına izin verilmelidir.
Sertifikalar dijital imza için gerekli kimliklendirmeyi sağlar. Özel anahtar ve PIN de, gizli tutulmaları ve sadece imzalama aşamasında kullanılmaları bakımından imzalamanın sertifika sahibi kontrolünde yapılmasını sağlar.
“Nitelikli” Elektronik Sertifikalar ve 5070 sayılı kanun
Kimliklendirmeyi (yani sertifika üretmeyi) yasal olarak belirlenmiş kurumlar yaptığında ve sertifika içine kimlik tanımlayıcı olarak sertifika sahibinin resmi bir bilgisi yazıldığında (örn TCKN) ortaya çıkan sertifikalar Nitelikli Elektronik Sertifika olarak adlandırılır ve bunlarla atılan imzalar yasal ve hukuki olarak ıslak imza ile aynı geçerliliğe sahip olur.
Ülkemizde nitelikli elektronik sertifika ve yasal geçerlilikte dijital imza kullanımı 5070 sayılı Elektronik İmza Kanunu ile düzenlenmiştir. Nitelikli elektronik sertifikaların hangi kurumlar (Elektronik Sertifika Hizmet Sağlayıcı olarak anılmaktadırlar) tarafından üretilebileceği Bilgi Teknolojileri ve İletişim Kurumu'nca (BTK) belirlenmektedir. Bu kurumlar tarafından üretilen sertifikalar (ve özel anahtarlarla) yapılan imzalamalar, kanunda belirtilen teknik gerekleri de sağlamaları durumunda ıslak imza ile aynı geçerlilikte sayılır ve Türkiye mahkemelerince bu şekilde ele alınır.
Neredeyiz: Islak değil ama yine de fiziksel imza
Bulut imzayı ve sağladığı fayda ve yenilikleri açıklamak için gelin “özel anahtarı gizli tutma ve imzayı yetkilendirmenin” günümüzde nasıl uygulandığına bakalım.
 |
Bir akıllı kart ve takıldığı USB okuyucu
|
Yasal olarak hukuki geçerliliğe sahip sertifikalar ve ilişkili özel anahtarlar, Sertifika makamlarında üretildikten sonra;
akıllı kart denen, telefon SIM kartlarına benzeyen özel kartlara yazılır. Akıllı kartlar; özel anahtarın dışarıdan okunmasına izin vermez, imzalama işlemi için gerekli matematiksel işlemleri,
girilen PIN'i doğruladıktan sonra kendi üzerlerinde yapan özel donanımlardır. Sertifika makamları tarafından yaygın olarak USB belleklere benzer boyuttaki bir okuyucu içine takılmış şekilde sertifika sahibine
fiziksel olarak ulaştırılırlar. Özel anahtar kullanımını yetkilendiren
PIN de, genellikle kağıda yazılı olarak zarf içinde sertifika sahibine ulaştırılan kargoda yer alır.
Dijital imza atılmak istendiğinde kullanıcı yanında taşıdığı akıllı kartı (daha doğrusu onu içeren USB okuyucuyu) bilgisayara takmak ve imza atılan sistemin / yazılımın yönlendirmeleri ile istendiğinde PIN girerek imza işlemini yetkilendirmek zorundadır. Bir benzetme yaparsak ıslak imzadaki kalem ve mürekkebin yerini akıllı kart ve içindeki özel anahtar almaktadır:
- Akıllı kart fiziksel olarak elde tutulması gereken kalemin
- Özel anahtar kalemin içinde olan ve imzayı atan mürekkebin
- PIN de kalemi kullanılır hale getirmek için düğmesine basarak veya gövdesini çevirerek açma hareketinin yerini almaktadır.
Günümüzdeki haliyle dijital imza
ıslak değil ama
fizikseldir.
Neden hala buradayız ?
Dijital imza teknolojileri yaklaşık 20 yıldır var. Dünyada bir çok ülkede ve ülkemizde de yasal düzenlemeler de yapılmış durumda. 5070 sayılı kanun 2004 tarihli. TÜBİTAK ve özellikle bünyesindeki MA3 (Milli Açık Anahtar Altyapısı) biriminin büyük eforları, geliştirdiği yazılım bileşen ve kütüphaneleri, gerçekleştirdiği eğitim ve bilgilendirme faaliyetlerine rağmen dijital imza kullanımı istenen seviyede değil. Dijital imzanın hem kullanıcılar hem de yazılım geliştiriciler açısından yaygınlaşmasını engelleyen etkenlerin çoğu mevcut fiziksel yapısından kaynaklanıyor diyebiliriz:
- Kullanıcı akıllı kart ve okuyucuyu sürekli yanında bulundurmalıdır, ıslak imza herhangi bir kalem ile atılabilir ancak dijital imza için aynı durum söz konusu değildir
- Bazı kurum ve ortamlarda akıllı kart okuyucunun takılacağı USB portlarının kullanımı güvenlik ve/veya kurum politikası gereği kısıtlı veya tamamen engellenmiş durumdadır
- Akıllı telefon ve tabletlerde okuyucu tarzı USB cihazlarının kullanımı çoğunlukla mümkün değildir ya da bluetooth alıcı verici gibi üreticiye has ek donanımlarla mümkün olabilmektedir
- USB cihaz kullanımının yaygın ve kolay olduğu masaüstü/dizüstü bilgisayarlarda akıllı kart ve okuyucu sürücülerinin kurulması ve versiyonlarının güncellenmesi birden fazla işletim sisteminin varlığı göz önünde tutulduğunda ciddi bir bilgi işlem eforu gerektirmektedir
- Web teknolojileri ile tarayıcılar üzerindeki uygulamalar geleneksel uygulamaların yerini almakta ancak Web USB, Web Crypto gibi çabalara rağmen tarayıcılar USB cihazlarına akıllı kart için erişim sağlamamaktadır. Web uygulamalarında dijital imza entegrasyonu için Revivius Yazılım tarafından sunulan UZİM gibi ek yazılımlara veya tarayıcı pluginlerine ihtiyaç duyulmaktadır
Nereye gidiyoruz: Bulut İmza, eIDAS ve EN-419 241 Standardı
Bulut imza bir önceki bölümde sıralanan tüm sorunları çözen ve dijital imzanın yaygınlaştırılmasını amaçlayan bir yenilik.
Bulut imza eIDAS tarafından standartlaştırılma aşamasında. Electronic IDentification, Authentication and trust Services, yani Elektronik Kimlik Belirleme ve Güven Hizmetleri Düzenlemesi; eletkronik ortamda kimlik tanımlama ve güven hizmetleriyle ilgili bir Avrupa Birliği regülasyonudur.
Bu regülasyon, ülkemizdeki 5070 sayılı kanunun Avrupa Birliği üye ülkeleri için eşdeğeri olarak düşünülebilir ve 2018 yılından beri yürürlüktedir. eIDAS, dijital imza kullanımının yaygınlaşmasında yaşanan zorlukları adreslemek için "Trustworthy Systems Supporting Server Signing (TW4S)" / "
Sunucu Taraflı (Uzaktan) İmzayı Destekleyen Güvenilir Sistemler" isimli çalışmanın ilk versiyonunu 2019 yılında yayınlamıştır. Avrupa Telekomünikasyon Standartları Enstitüsü (kısaca
ETSI) bu çalışmayı
EN-419 241 adı altında 2 kısım olarak standartlaştırmıştır.
EN-419 214; kişilerin sertifikalarının ve özel anahtarlarının fiziksel olarak kendilerine ulaştırılmaları yerine, Güvenilir Hizmet Sağlayıcı (Trustworthy Service Provider) tarafından özel donanımlarda tutulmasına ve imza işlemi sırasında sertifika sahibi tarafından çok etkenli (Multi Factor) kimlik doğrulama ile yetkilendirilmesine imkan vermektedir. Bu şekilde atılan imzaya Uzak Nitelikli İmza (Remote Qualified Signature) adı verilmektedir.
Bulut (uzaktan) imzalamada, kimliklendirme ve sertifika üretimi bakımdan bir değişiklik bulunmamaktadır. Ancak üretilen sertifikaların ve özel anahtarların fiziksel olarak kullanıcılara ulaştırılması gerekmemektedir. Bu yaklaşım sayesinde:
- Kullanıcı akıllı kart, USB okuyucu vb donanım taşımak zorunda değildir
- Kullanıcı tarafında kart, USB sürücü, tarayıcı plugini vb ek yazılım kurulumuna gerek kalmamaktadır
- Akıllı kart, USB okuyucu gibi ek donanım ve bunların kullanıcıya iletilmesi için gereken zaman ve taşıma maliyetleri ortadan kalkmakdatır
- Özel donanım, sürücü, bağlantı noktası vb gerekmediğinden; mobil cihazlar ve hatta akıllı saat, akıllı televizyon gibi internete bağlanabilen her tür cihaz ile imza atılması mümkün olmaktadır
Tüm bu olumlu yönleri yanında bulut imza, merkezi olarak depolanan sertifika ve özel anahtarların sertifika sahibi dışında kullanılması gibi bir güvenlik zaafiyetine imkan vermemek adına çok etkenli kimlik doğrulama yöntemleri kullanmaktadır. Çok etkenli doğrulama; sertifika sahibinin PIN bilgisine ek olarak cep telefonu veya email gibi ek bir iletişim kanalına sahip olması ve bu kanala SMS, posta veya özel kimlik doğrulama yazılımı gibi yollarla iletilen tek seferlik parolalar (OTP) ile işlem yapmasını gerektirmektedir.
Bu yazımızda EN-419 214 standardının detaylarına, güvenliğin nasıl sağlandığına girmeyeceğiz ancak ana bileşenlerin genel bir şemasını vermekle yetineceğiz.
 |
(1) Kimlik Doğrulama (2) Çok Etkenli (MFA) Yetkilendirme (3) Bulut ortamında uzaktan imzalama
|
Ülkemizde Bulut İmza mevzuatı
Ülkemizde Bulut imza ile ilgili bir mevzuat veya yasal düzenleme henüz bulunmamaktadır. Öte yandan EN-419 214 standardını teknik olarak gerçeklemek için yazılım, donanım ve altyapı geliştirme çalışmaları sürmektedir. Ortaya çıkacak yazılım ve donanım bileşenleri 5070 sayılı kanun bulut imza için güncellenmeden veya ona bağlı yeni bir kanun çıkmadan yasal olarak hukuki geçerlilikte kullanılamayacaktır. Teknoloji geliştirici ile yasa yapıcının işbirliği bu noktada hayati önem taşımaktadır.
Bulut imza konusunda teknik ve mevzuat ile ilgili gelişmelerden sizleri Revivius Yazılım olarak haberdar etmeye devam edeceğiz.
Yorumlar
Yorum Gönder