E-imzanın kriptografik temelleri, imza formatları (PAdES/XAdES/CAdES), zaman damgası ve iptal kontrolü (OCSP/CRL), Türkiye'de 5070 ve BTK düzenlemeleri, AB'de eIDAS ve birlikte çalışabilirlik sorunları.
E-imza çoğu zaman "PDF'ye bir imza görseli koymak" gibi algılansa da teknik olarak kimliğe bağlı kriptografik kanıt, hukuken ise belgeyi imzalayana izafe eden ve sonradan değişmediğini gösteren bir güven mekanizmasıdır. Türkiye'de 5070 sayılı Kanun "güvenli elektronik imza"yı tanımlar ve doğru kurulmuş bir güvenli e-imzanın elle atılan imza ile aynı hukuki sonucu doğurduğunu açıkça belirtir. AB tarafında ise eIDAS, elektronik imzaları "basit-gelişmiş-nitelikli" katmanlarıyla ele alır; 2024'te eIDAS, Avrupa Dijital Kimlik Cüzdanı çerçevesiyle güncellenmiştir.
Pratikte "sayısal imza (digital signature)" kriptografik imzayı (asimetrik anahtarlarla üretilen imza değerini) anlatır. "Elektronik imza" ise daha geniş bir şemsiye kavramdır; eIDAS tanımı, "diğer veriye eklenen ya da mantıksal olarak bağlanan ve imzalayanın imzalamak için kullandığı elektronik veri" yaklaşımına dayanır. Türkiye'de mevzuat, AB Direktifi etkisiyle şekillenmiş; fakat eIDAS'taki üçlü ayrımı doğrudan kopyalamak yerine, "güvenli elektronik imza"yı merkez almıştır.
5070 sayılı Kanun madde 5, güvenli e-imzayı ıslak imza ile eşdeğer kabul eder; ancak kanunların resmî şekle/merasim şartına bağladığı işlemler ile bankacılık teminat mektupları dışındaki teminat sözleşmelerinde güvenli e-imza kullanılamaz. Bu nokta, ürün ekipleri için "her sözleşme e-imza ile imzalanır" varsayımının hatalı olabileceği anlamına gelir.
Güvenli e-imza ekosistemi tipik olarak Açık Anahtar Altyapısı (PKI) üzerine kurulur: imzalayana ait anahtar çifti, nitelikli elektronik sertifika ve sertifika zinciri doğrulaması. X.509 sertifika profili ve iptal listesi (CRL) modelinin internet ortamındaki standardizasyonu RFC 5280'de tariflenir. Sertifika doğrulama yalnızca "sertifika geçerli mi?" sorusu değildir; doğrulayıcı taraf, sertifikanın iptal edilip edilmediğini de kontrol etmelidir.
Sertifika iptal durumunun çevrimiçi sorgulanması için OCSP, RFC 6960 ile tanımlanır. Bu mekanizma, özellikle "uzun süre saklanacak sözleşmelerde" kritik hale gelir: sertifika, imza anında geçerli olsa bile yıllar sonra doğrularken iptal verisine erişemiyorsanız delil zinciri zayıflayabilir. Bu "uzun dönem doğrulama" senaryosu, hem standartlar hem de arşiv araştırmaları açısından en sık raporlanan uygulama risklerinden biridir.
Zaman damgası, bir verinin belirli bir zamanda var olduğunu kriptografik olarak kanıtlamak için kullanılır; istemci, verinin özetini (hash) gönderir ve yetkili zaman damgası otoritesinden imzalı bir yanıt alır. RFC 3161 bu isteğin/yanıtın format ve güvenlik gereksinimlerini tanımlar. Zaman damgası yanıtı çoğunlukla CMS (Cryptographic Message Syntax) kapsülü içindedir; CMS'nin kendisi RFC 5652'de standarttır.
E-imza "aynı kriptografi"yi kullansa da belge türüne göre farklı formatlarda taşınır:
Pratikte, farklı kurumların farklı formatlar seçmesi "bir kurumda yeşil tik olan PDF'nin başka sistemde uyarı vermesi" gibi birlikte çalışabilirlik (interop) sorunlarına yol açar. Türkiye'de bu riskin azaltılması için BTK, CAdES/XAdES/PAdES'i kapsayan imza profilleri ve doğrulama politikaları yayınlamıştır.
İmzaların oluşturulması-doğrulanması-raporlanması süreçleri için ETSI EN 319 102-1, "AdES oluşturma ve doğrulama prosedürleri"ni çerçeveler. LTV hedeflendiğinde yalnızca imza değeri değil; sertifika zinciri, iptal bilgisi ve zaman damgası gibi doğrulama verileri de imza içine ya da belgeye "gömülü" şekilde taşınır. Bu yaklaşım özellikle PAdES'te "-LT/-LTA" gibi profillerle somutlaşır.
İstanbul Üniversitesi'nde hazırlanmış bir doktora çalışması, kamu kurumlarında üretilen e-imzalı belgelerin uzun dönem korunmasında "arşivsel bağ, teknoloji koşulları ve kurumsal politika/prosedürler" yeterince güçlü değilse delil değerinin zamanla zayıflayabileceğini vurgular. Bu bulgu, teknik ürün ekipleri için çok net bir mesaj taşır: "Belgeyi imzalamak" işin başlangıcıdır; asıl risk yıllar sonra "bu imzayı ispatlayabiliyor muyuz?" sorusudur.
Türkiye'de mobil imza; GSM operatörleri aracılığıyla kimlik doğrulama ve imzalama deneyimini kolaylaştırdığı için benimsenen bir alternatiftir. Mobil imzanın PKI/anahtar altyapısı ihtiyacı ve mobil ortamın güvenli haberleşme gereksinimleri, akademik literatürde uzun süredir tartışılır.
Dijital imza mekanizmaları, bütünlük ve kaynak doğrulama sağlasa da kötü amaçlı yazılım ekosisteminde "imzalı içerik = güvenli içerik" yanılgısına yol açabilir; dijital imzalama kötüye kullanıldığında kullanıcılar imzaya aşırı güven duyabilir. Bu nedenle doğrulama ekranlarının UX'i (neye "güvenildiği") kritik bir güvenlik kontrolüdür.
E-imza projelerinde başarı; kriptografi + standart + mevzuat + arşiv + UX'in birlikte tasarlanmasına bağlıdır.
Sözleşme imzalama akışınızı örnek bir demo üzerinden inceleyin: e-imza + SMS bilgilendirme ile imza dönüşümünü artırın.
Nasıl Yapılır
E-imza ile müşteri onboarding'i nasıl hızlanır? Adım adım akış, mobil imza/e-Devlet giriş seçenekleri, UX ipuçları, hataları azaltan bildirim stratejileri ve ölçüm metrikleri.
Devamını oku
Faydalı İpuçlar
KVKK'da açık rıza nasıl alınır, ispat yükü kimde? E-imza süreçlerinde BTK profilleri, zaman damgası, doğrulama verisi, audit log ve arşiv stratejisiyle uyumu nasıl tasarlarsınız?
Devamını oku
Duyurular
Hesap güvenliğinizi maksimum düzeye çıkarmak için, telekomünikasyon sektöründe bir ilke daha imza atarak, marka ve kullanıcılarımızın dahada güvenli olması adına, 2 Adımlı Hesap Doğrulama (2FA) Sistemini, Ekim 2017'de yayına aldık.
Devamını oku