Elektronik İmza nedir? Kanundaki yeri, özellikleri, kullanım alanları ..

14 Temmuz 2008

elektronik imza

Elektronik İmza

(Not: Dijital İmza olarak da bilinir ama doğrusu Elektronik İmza şeklinde kullanılmasıdır..)

5070 sayılı Elektronik İmza Kanunu’nda yer alan şekliyle elektronik imza; başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi tanımlar. Elektronik imza; bir bilginin üçüncü tarafların erişimine kapalı bir ortamda, bütünlüğü bozulmadan (bilgiyi ileten tarafın oluşturduğu orijinal haliyle) ve tarafların kimlikleri doğrulanarak iletildiğini elektronik veya benzeri araçlarla garanti eden harf, karakter veya sembollerden oluşur.

Elektronik imza kavramı çok genel bir tanım olup kişilerin elle atmış olduğu imzaların tarayıcıdan geçirilmiş hali olan sayısallaştırılmış imzaları, kişilerin göz retinası, parmak izi ya da ses gibi biyolojik özelliklerinin kaydedilerek kullanıldığı biyometrik önlemleri içeren elektronik imzaları veya bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları içermektedir.

Sayısal imza, imzalanan metine göre farklılık gösterir ve içeriğin matematiksel fonksiyonlardan geçirilerek eşsiz olduğu düşünülen bir değer bulunması sureti ile elde edilir. Yani kişilerin, elle atılan imzada olduğu şekilde tek imzası yoktur; bunun yerine imzalamada kullanılan anahtarları vardır.

5070 sayılı Elektronik İmza Kanunu’nda ve bu metinde geçen “elektronik imza” kavramı sayısal imzayı işaret etmektedir.

Elektronik Sertifika ve Nitelikli Elektronik Sertifika

Elektronik sertifika, elektronik imzanın doğrulanması için gerekli olan veriyi ve imza sahibinin kimlik bilgilerini içeren elektronik kaydı ifade etmektedir. Elektronik sertifikalar, kanuna uygun olarak faaliyette bulunacak elektronik sertifika hizmet sağlayıcılarından belirli bir ücret karşılığında temin edilecektir.

Elektronik sertifika hizmet sağlayıcısının sertifika üzerindeki elektronik imzası, sertifikanın bütünlüğünü ve doğruluğunu garanti edecektir. Elektronik sertifikalar, atılan imzanın doğruluğunun teyit edilebilmesi için gereklidir.

Nitelikli elektronik sertifikalar; Kanunun 9 uncu maddesinde belirtildiği şekilde “nitelikli sertifika” olduğuna dair bir ibareyi, sertifika hizmet sağlayıcısının kimlik bilgilerini ve kurulduğu ülke adını, imza sahibinin teşhis edilebileceği kimlik bilgilerini, sertifikanın geçerli olduğu süreyi ve sertifikanın seri numarasını barındıran elektronik sertifikalardır.


Elektronik İmzanın Özellikleri

Elektronik imza kullanıcılarına aşağıda belirtilen üç temel özelliği sağlamaktadır:

Veri Bütünlüğü: Verinin izinsiz ya da yanlışlıkla değiştirilmesini, silinmesini ve veriye ekleme yapılmasını önlemek,

Kimlik Doğrulama ve Onaylama: Mesajın ve mesaj sahibinin iletiminin geçerliliğini sağlamak,

İnkar Edilemezlik: Bireylerin elektronik ortamda gerçekleştirdikleri işlemleri inkar etmelerini önlemek.


Elektronik İmza Oluşturma Araçları

İmza oluşturma araçları; elektronik imza oluşturmak üzere kullanılan yazılım veya donanımı ifade etmektedir. 5070 sayılı Kanun’da “güvenli” elektronik imza oluşturma araçlarına değinilmiş ve aşağıdaki özelliklerin sağlanması şart koşulmuştur:


Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmaması,

Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiç bir biçimde çıkarılamamasını ve gizliliğini sağlaması,

Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin, üçüncü kişilerce elde edilememesi, kullanılamaması ve elektronik imzanın sahteciliğe karşı koruması,

İmzalanacak verinin imza sahibi dışında değiştirilememesi ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesi.


Kullanılacak donanım/yazilimin özellikleri ve standartları Kurum tarafından yapılacak düzenlemelerle belirlenecektir


Elektronik İmzanın Hukuki Sonuçları

Elektronik İmza Kanunu’nda; güvenli elektronik imza, elle atılan imzaya eşdeğer kabul edilmiş ve elektronik imza ile oluşturulmuş verilerin senet hükmünde olacağı belirtilmiştir. Ancak kanunların resmi şekle veya özel bir merasime tabi tuttuğu hukuki işlemler ile teminat sözleşmelerinin güvenli elektronik imza ile gerçekleştirilemeyeceği hükme bağlanmıştır. Diğer bir deyişle, kanunların merasimi ya da üçüncü tarafların şahitliğini gerek gördüğü emlak alım satımı, veraset ve intikal, evlenme gibi işlemler elektronik imza ile gerçekleştirilememektedir.

Elektronik İmzanın Uygulama Alanları

Elektronik imzanın; bankalar ve finans kurumları, şube ağına sahip sigorta şirketleri, kamu kurum ve kuruluşları, holdingler ve diğer büyük şirketler, üniversiteler, yüksek iletişim ve bilgi güvenliği gereksinimi olan organizasyonlar başta olmak üzere orta ve uzun vadede yaygın bir uygulama alanı bulabileceği değerlendirilmektedir. Gerek kamusal gerekse ticari alandaki muhtemel elektronik imza uygulamaları arasında aşağıdakiler sayılabilir:

Kamusal Alandaki Uygulamalar

Her türlü başvurular (ÖSS, KPSS, LES, pasaport vb)
Kurumlararası iletişim (Emniyet Müdürlükleri, Nüfus ve Vatandaşlık İşleri Müdürlükleri vb)
Sosyal güvenlik uygulamaları
Sağlık uygulamaları (Sağlık personeli - hastaneler - eczaneler)
Vergi ödemeleri
Elektronik oy verme işlemleri


Ticari Alandaki Uygulamalar

İnternet bankacılığı
Sigortacılık işlemleri
Kağıtsız ofisler
e-Sözleşmeler
e-Sipariş


5070 Sayılı Elektronik İmza Kanunu'nun Uygulanmasına Yönelik Faaliyetler

Adalet Bakanlığı koordinasyonunda hazırlanarak 23 Ocak 2004 tarih ve 25355 sayılı Resmi Gazete’de yayımlanmış olan “Elektronik İmzanın Düzenlenmesi Hakkında Kanun”, yayımı tarihinden altı ay sonra yürürlüğe girecektir. Kanunun uygulanmasına yönelik ikincil düzenlemeler ise, Kanunun yürürlük tarihinden itibaren altı ay içerisinde yani 23 Ocak 2005 tarihine kadar Telekomünikasyon Kurumu tarafından yapılacaktır.

Kurum’a yapacakları bildirimi müteakip 2 ay sonra faaliyete geçecek olan sertifika hizmet sağlayıcılarının faaliyet ve işlemlerinin Kanun ve ikincil düzenlemelere uygunluğunu yine Telekomünikasyon Kurumu denetleyecektir.


Sıkça Sorulan Sorular


1) Elektronik İmza Nedir?

5070 sayılı Elektronik İmza Kanunu’nda yer alan şekliyle elektronik imza; başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi tanımlar. Elektronik imza; bir bilginin üçüncü tarafların erişimine kapalı bir ortamda, bütünlüğü bozulmadan (bilgiyi ileten tarafın oluşturduğu orijinal haliyle) ve tarafların kimlikleri doğrulanarak iletildiğini elektronik veya benzeri araçlarla garanti eden harf, karakter veya sembollerden oluşur.

Elektronik imza kavramı çok genel bir tanım olup kişilerin elle atmış olduğu imzaların tarayıcıdan geçirilmiş hali olan sayısallaştırılmış imzaları, kişilerin göz retinası, parmak izi ya da ses gibi biyolojik özelliklerinin kaydedilerek kullanıldığı biyometrik önlemleri içeren elektronik imzaları veya bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları içermektedir.

Sayısal imza, imzalanan metine göre farklılık gösterir ve içeriğin matematiksel fonksiyonlardan geçirilerek eşsiz olduğu düşünülen bir değer bulunması sureti ile elde edilir. Yani kişilerin, elle atılan imzada olduğu şekilde tek imzası yoktur; bunun yerine imzalamada kullanılan anahtarları vardır.

5070 sayılı Elektronik İmza Kanunu’nda ve bu metinde geçen “elektronik imza” kavramı sayısal imzayı işaret etmektedir.


2) Bir çok farklı terim duyuyoruz; dijital imza, elektronik imza, güvenli elektronik imza... Bunlar arasındaki fark nedir?

Elektronik imza kavramı çok genel, üst bir tanımdır. Kişilerin elle atmış olduğu imzaların tarayıcıdan geçirilmiş hali olan sayısallaştırılmış imzaları, kişilerin göz retinası, parmak izi ya da ses gibi biyolojik özelliklerinin kaydedilerek kullanıldığı biyometrik önlemleri içeren elektronik imzaları veya bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları içerir. Dijital imza, diğer bir deyişle sayısal imza, asimetrik şifreleme tekniğine dayanır. İçeriğin matematiksel fonksiyonlardan geçirilerek eşsiz olduğu düşünülen bir değer bulunması sureti ile elde edilir. Güvenli elektronik imza ise E-imza Kanununa göre elle atılan imza ile aynı hukuki sonucu doğurmaktadır. Güvenli elektronik imza nitelikli elektronik sertifikaya dayanarak ve güvenli elektronik imza oluşturma aracı ile oluşturulabilir.


3) Elektronik imza nasıl kullanılır?

Elektronik imza, imza oluşturma araçları olarak ifade edilen; elektronik imza oluşturmak üzere kullanılan yazılım ve akıllı kart veya token olarak adlandırılan donanımlar vasıtasıyla oluşturulur. Güvenli Elektronik İmza ancak Nitelikli Elektronik Sertifika ile sağlanabilir. Nitelikli Elektronik Sertifika almak için başvurulabilecek kuruluşlar Elektronik Sertifika Hizmet Sağlayıcılarıdır.


4) Elektronik imza ile ilgili sahtekarlık ve izinsiz kullanım durumları hakkında kısaca bilgi verir misiniz? Bunların yaşanması durumunda ne gibi yaptırımlar uygulanacaktır?

Nitelikli elektronik sertifika pazarının oluşmaya başlamasıyla bazı kişilerin yasadışı elektronik sertifika hizmet sağlayıcılığına soyunacağı tahmin edilmektedir.Özellikle pazarın gelişim sürecinde sahte elektronik sertifika oluşturma yoluna başvurabilecek kişilerin ortaya çıkabileceği öngörülmektedir. Ayrıca bir takım kimseler geçerli olarak oluşturulan elektronik sertifikaları taklit veya tahrif etmeye teşebbüs edebileceklerdir. Bu itibarla, tamamen veya kısmen sahte elektronik sertifikaları oluşturan ve elektronik sertifikaları taklit veya tahrif eden ve bu sertifikaları bilerek kullananların bu işlere kalkışırken iki yıldan beş yıla kadar hapis cezasını ve bir milyar liradan aşağı olmamak üzere ağır para cezasını göze almalarını tavsiye ederiz.


5) Elektronik İmza Türk Hukuk Düzenine Neler Getirdi?

Güvenli elektronik imza elle atılan imzaya eşdeğer olup elektronik imza ile oluşturulmuş veriler senet hükmündedir.Ancak kanunların resmi şekle veya özel bir merasime tabi tuttuğu hukuki işlemler ile teminat sözleşmelerinin güvenli elektronik imza ile gerçekleştirilememektedir. Diğer bir deyişle, kanunların merasimi ya da üçüncü tarafların şahitliğini gerek gördüğü emlak alım satımı, veraset ve intikal, evlenme gibi işlemlerde elektronik imza kullanılamamaktadır. Ayrıca güvenli elektronik imza elle atılan imza ile aynı ispat gücünü haiz olacaktır. Usulüne göre güvenli elektronik imza ile oluşturulan elektronik veriler senet hükmünde sayılacak, bu veriler aksi ispat edilinceye kadar kesin delil olarak kabul edilecektir.


6) Telekomünikasyon Kurumunun kamudaki elektronik imza yapılanmasına ilişkin rolü nedir?

Kamu hizmetlerinin daha hızlı sunulması, yaygınlaştırılması, doğru ve yeterli bilgi sağlanması, işletme giderlerinin azaltılmasını da beraberinde getirmiştir. Bu durumdan hareketle, Ülkemizde kullanımı giderek yaygınlaşacak olan elektronik imza uygulamaları kapsamında kamuda gereksiz mükerrer yatırımların önlenmesi, uyumlu, birlikte ve güvenilir bir yapıda çalışılmasını sağlamak maksadıyla, Kurumumuz tarafından yapılan öneri doğrultusunda 10 Haziran 2004 tarihli e-Dönüşüm Türkiye VI. İcra Kurulu Toplantısı’nda kamu çalışanlarının kurumsal sertifikalarının tek merkezden sağlanması yönünde karar alınması sağlanmıştır. Bu karar uyarınca Kamu Sertifikasyon Merkezi yapısının kurulması ve işletilmesi görev ve sorumluluğu TÜBİTAK-UEKAE’ye verilmiştir. Tüm kamu kurum ve kuruluşlarının aynı kurumsal sertifika yapısı altında toplanmasını hedefleyen, sadece kamu kurum ve kuruluşlarına kurumsal sertifikaların oluşturulması ve sertifika yaşam çevriminin yönetilmesini sağlayacak bu yapının gözden geçirilmesi ve uygunluğunun izlenmesi görev ve sorumluluğu ise Telekomünikasyon Kurumu'na aittir.


7) Elektronik imza almak istiyorum, ne yapmalıyım ?

Öncelikle bir elektronik sertifika sahibi olmanız gerekir. Eğer kamu kurumunda çalışıyorsanız ve imzanızı kurum içi ve kamu kurumları arasında işlemlerde kullanacaksanız, sertifikanızı Başbakanlık Genelgesi gereği TÜBİTAK UEKAE’den temin etmelisiniz. Bunun için çalıştığınız kurumun TÜBİTAK UEKAE’ye kurumsal başvuru yapması gerekir. Eğer kamu kurumu çalışanı değilseniz ya da kamu çalışanı olduğunuz halde vatandaş olarak kurum dışındaki işlemlerinizde elektronik imzayı kullanmak istiyorsanız, bu işi yapmaya yetkili özel şirketlerden, yani elektronik sertifika hizmet sağlayıcılardan, sertifikanızı ücret karşılığında almanız gerekiyor. Telekomünikasyon Kurumu nitelikli elektronik sertifika vermeye yetkili olan kuruluşları internet sayfasında duyurmaktadır. Burada önemli olan husus, internet sayfamızda duyurulan hizmet sağlayıcılar dışındaki kuruluşlardan elektronik sertifika temin edilmemesidir.


8) Elektronik sertifika hizmet sağlayıcısı olmak istiyorum, ne yapmalıyım?

Elektronik İmza Kanununa göre; sertifika hizmet sağlayıcısı güvenli ürün ve sistemleri kullanmak, hizmeti güvenilir bir biçimde yürütmek ve sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri almakla ilgili şartları sağladığını ayrıntılı bir biçimde gösterir ve Telekomünikasyon Kurumuna bildirimde bulunur. Bu bildirimde Kurumumuza sunulması gereken bilgi ve belgeler yönetmelikle belirlenmiştir. Telekomünikasyon Kurumu yapılan bildirimi incelemeye alır. Bildirim şartlarını eksiksiz olarak yerine getiren elektronik sertifika hizmet sağlayıcısı, bildirim yaptığı tarihten 2 ay sonra faaliyete geçebilir. Elektronik sertifika hizmet sağlayıcılığı yapmak için gerekli olan altyapı, yüksek güvenlik gereklilikleri nedeniyle oldukça pahalıdır, yurtdışındaki rakamlara göre maliyet 3-8 Milyon Euro arasındadır.


9) Elektronik sertifikaların uygulama alanları nelerdir?

Bütünlük, Kimlik Denetimi ve İnkar edememezlik: Kurumlar mesajların doğru kişi tarafından, içeriği değiştirilmeden ve karşı tarafın inkar edemeyeceği şekilde iletimini sağlamak için sayısal sertifikalar kullanırlar.
Erişim Kontrolü: Bilgisayar sistem ve terminallerine, Internet sitelerine, intranetlere ve diğer sayısal ağlara erişim kontrolü için kullanılırlar.
Belge iletiminin ispatı: Hayati belgelerin hukusal açıdan zamanını ve tarihini doğrulamak için zaman damgasına ihtiyaç vardır.
Belge arşivi ve edinilmesi: Kurumlar depolanmış mesajların değiştirilmediğinin doğrulanmasına gerek duyabilirler.

10) Kullanıcı imzasını doğrulama amaçlı kullanılabilir mi?

İlgili mevzuat gereğince sertifikaların sisteme giriş vb. amaçlı kullanıcı doğrulama işinde kullanılması mümkün değildir. Eğer sisteme giriş bir imzalama (sistem giriş formu imzalama gibi) işlemine dönüştürülebiliyorsa bu sorun çözülebilecektir. Linux gibi açık kaynak sistemlerde bu yöntem uygulanabilir olmakla birlikte, Windows benzeri kapalı sistemlerde böyle bir olanak bulunmamaktadır. Bu nedenle kullanıcı doğrulama amacıyla özel sertifikalar üretilmesi ve aynı güvenli donanım aracına yüklenmesi gerekecektir.


11) Elektronik imza kullanmanın avantajları nelerdir?

Elektronik imzanın; bankalar ve finans kurumları, şube ağına sahip sigorta şirketleri, kamu kurum ve kuruluşları, holdingler ve diğer büyük şirketler, üniversiteler, yüksek iletişim ve bilgi güvenliği gereksinimi olan organizasyonlar başta olmak üzere orta ve uzun vadede yaygın bir uygulama alanı bulabileceği değerlendirilmektedir.


12)İmza sertifikaları ile şifreleme yapılabilir mi?

TK tarafından 6 Ocak 2005 tarihinde yayımlanmış bulunan Elektronik İmza Kanunun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik'in 15. maddesi d fıkrası ile sertifika sahibi “İmza oluşturma ve doğrulama verilerini sadece elektronik imza oluşturma ve doğrulama amaçlı olarak ve nitelikli elektronik sertifikanın içerdiği kullanıma ve maddi kapsama ilişkin sınırlamalar dahilinde kullanmakla,” yükümlü kılınmıştır. Bu hüküm ile sertifika ile birlikte sunulan açık ve özel anahtarın şifreleme amaçlı kullanımı engellenmiştir.


13) Kök Sertifika nedir?

Elektronik sertifika hizmet sağlayıcısının sayısal imzasına kök sertifika denir. İçindeki açık anahtar sertifika hizmet sağlayıcısının imzasını doğrulamak, özel anahtar ise verilecek sertifikaları imzalamak için kullanılır. Kök sertifika açık anahtarın sertifika hizmet sağlayıcısının olduğunu onaylar. Kök sertifika elde edilerek, kullanıcı sertifika hizmet sağlayıcısına olan güvenini temin eder.


14) Elektronik sertifikaların kullanım süresi sınırlı mıdır?

Evet. Her elektronik sertifikanın açık olarak belirtilen bir kullanıma başlama ve bitiş zamanı vardır. Çoğu uygulamalar, elektronik sertifikalarla işlem yapmadan önce sertifikanın geçerlilik süresini kontrol ederler. Genelde bu süre bir yıldır.


15) Elektronik Sertifika Hizmet Sağlayıcısı nedir?

Elektronik Sertifika Hizmet Sağlayıcısı, elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir.

Elektronik sertifika hizmet sağlayıcısı yapacağı bildirimde;
i. Güvenli ürün ve sistemleri kullanmak,
ii. Hizmeti güvenilir bir biçimde yürütmek,
iii. Sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri almak,

ile ilgili şartları sağladığını ayrıntılı bir biçimde gösterir. Her sertifika hizmet sağlayıcısı, başvuruları doğrulamak için gereken metotları anlatan Sertifika Uygulama Esasları (SUE) ve Sertifika İlkeleri (Sİ) adlı belgeleri sağlamalıdır.


16) Nitelikli Elektronik Sertifikalarda ne tür bilgiler yer alır?

i. Sertifika seri numarası
ii. Sertifika sahibinin ismi
iii. Sertifika sahibinin özel anahtarına karşı gelen açık anahtar
iv. Sertifikayı veren kurumun adı
v. Sertifika sürümü
vi. Kullanılan kriptografik algoritmalar
vii. Geçerlilik süresi
viii. Sertifikanın sayısal imzası


17) ESHS’nin geçerliliğini nasıl öğrenebilirim?

SHS’lere ve faaliyet durumlarına ilişkin bilgiler Telekomünikasyon Kurumu http://www.tk.gov.tr/ web sitesinde yayımlanmaktadır. Vatandaşlar bu adresten ayrıntılı bilgi edinebilirler.


keywords: elektronik imza, dijital imza, e-imza, kriptografi, anahtar, e-posta, e-mail, hash, şifre, algoritma, simetrik, güvenlik, 5070 sayılı kanun, yasa, telekomünikasyon kurumu, tübitak, uekae, sertifika, şifreleme, nedir, nasıl, nitelikli, sağlayıcı, usb token, akıllı kart, smart card, kimlik, doğrulama, veri, bütünlük

1 yorum var.. (Yorum Oku - Yorum Ekle):

Adsız 3 Kasım 2009 21:18  

emeginize saglık çok teşekkürler

Yorum Gönder

-> "Anonim" seçeneğiyle isim vermeden yorum yazılabilir.
-> "Adı/URL" seçeneğiyle sadece isim verilerek de yorum eklenebilir.
-> Yorum yazarken anlaşılır olmaya ve Türkçe yazım kurallarına uymaya çalışınız!

YUKARI