Uzun süredir yazmadım ama bu seferki yazı konuya şimdiye kadar dahil olan veya olmayanlar için umarım aydınlatıcı olur.

Yaklaşık 2-3 yıldır giderek popüler hale gelen elektronik imza bir çok kişi tarafından çok fazla bilinmiyor. Aslında böyle olması bilgi teknolojileri gibi bir yandan çok hızlı ilerleyen ama bir yandan da yıllardır aynı teknojinin etrafında oluşan yeni fikirlerle (unix, internet, cpu ...) ilerleyen bir yerde normal sayılabilir.

Konuyu dağıtmadan elektronik imza internette heryerde bulabileceğiniz bilgilere göre 70'lerin sonunda keşfedilmiş basit matematiksel işlemlere dayalı bir "ispat" mekanizması.

Kullanımının pratik olmaması nedeniyle şimdiye size hissettirmeden, e-ticaret, kredi kartları yada bankaya giriş yaparken kullandığınız şifreniz vs gibi pratik olabilecek hemen her alanlarda kullanıldı ama bildiğimiz anlamdaki imza olarak kullanılması (en azından Türkiye'de) 2004 yılına kadar bekledi. Halen bir sürü ülkede yasal kabul edilmediğini düşünürsek bu konuda diğer ülkelere göre ilerdeyiz.

Elektronik imza ile ilgili çıkan kanun doğal olarak herhangi bir teknojiyi referans almadan genel prensipleri söylüyor. Bu konu ile ilgili teknik düzenlemeleride eski adıyla Telekomikasyon Kurumu yeni adıyla Bilgi Teknojileri ve İletişim Kurumu'na delege etmiş durumda.

Buraya kadar olan herşey gayet can sıkıcı bilgiler ve olması gerektiği gibi.

Bu konuya devletteki bazı kurumlar ve özel sektör el attığında bize özgü problemlerimizi de yaşamaya başladık. Konunun sadece "para" olduğu durumda özel sektör'e hizmet verenler sadece satmak, devlet'e hizmet verenlerde eşi dostu sevindirmek için olabildiğinde bu konunun canını çıkardılar. Tabiki bu problemler şu anda hissedilmiyor ancak elektronik imzanın içerisindeki kriterlerden biri olan "zaman" ilerlediğinde çok ciddi problemler çıkmaya başlayacağını tahmin ediyorum.

En azından merak edip, öğrenmek isteyenler için bazı temel bilgileri vereyim dedim. İçerisinde teknik tanımlar geçebilir ancak yerine koyabileceğimiz başka bir bilgi henüz yok.

Sertifika

* Elektronik imza kullanabilmek için bir sertifika edinmeniz gereklidir.
* Kullanacağınız sertifikaları Devlet'in sertifika dağıtmaya izin verdiği belirli ESHS adı verilen kuruluşlardan alabilirsiniz. Bunların dışındaki yerlerden aldığınız (Verisign gibi) sertifikalar yasal olarak anlamlı değildir.
* Kullanacağınız sertifika kimlik belgeniz karşılığında sadece sizin şahsınıza Dongle, Token, Okuyucu Cihaz gibi envai isimler verilen bir cihaz içerisinde verilir. Bu cihaz sadece şifrenizi girdiğiniz zaman imzalama işlemi yapar ve içerisindeki bilgiler dışarı çıkarılamaması için mühürlenmiştir. Bunların dışındaki bir ortamdaki (dosya olarak, internetten indirdiğiniz vs.) sertifikalar niteliksiz kabul edildiğinden geçersizdir.
* ESHS'lerden aldığınız sertifikaların hepsinin belirli bir ömrü (1-3 yıl arası) bulunur. Bu süre bittiğinde sertifikanızı yenilemek zorundasınızdır. Aksi halde attığınız imzalar geçersiz kabul edilir.
* Size verilen sertifikalara benzer olarak ESHS'lerinde kendilerine ait sertifikaları bulunur. Bu sertifikalar sizinkine göre daha uzun süreli (10 yıl gibi) ve yeni sertifikalar üretebilecek niteliktedir.
* Kök sertifikaların ömrü dolduğunda yada iptal edildiğinde üretilen tüm sertifikalarda geçersiz hale gelir.

İmzalama ve Doğrulama araçları

Şu anda yerli ve yabancı kaynaklı kullanabileceğiniz bir çok imzalama ve doğrulama araçları piyasada bulunuyor. İnternet üzerinde basit aramalarla bu araçlara ulaşabilirsiniz. Bu araçlar çoğunlukla belirli standartlarda imza bilgisi üretir ve doğrularlar. Bu aşamada önemli olan bilgi aracın mutlaka standartlara bağlı kalması ve hangi standartları (formatlar kısmında detayı) desteklediğidir. Böylece farklı araçlar arasında karşılıklı alışveriş yapabilirsiniz.

İmzalama ve doğrulama işlemlerinde uygulanacak prosedürler içinde CWA-1470 ve CWA-1471 adı verilen belirli standartlar oluşturulmuştur. Bu standartları uygulamayan araçları kolaylıkla listenizden çıkarabilirsiniz.

Bu araçlar içerisinde ilgili standartları denetleyen bir tetkik mekanizması varmı bilmiyorum. Varsa da şimdilik ciddi bir tetkik yapılmadığını biliyorum.

Zaman Damgası

Zaman damgası genellikle ESHS'ler tarafından verilen güvenilir ve ispat edilebilir içerisinde zaman'ı içeren basit anlamda yine bir elektronik imzadır. Basitçe zaman damgasına elinizdeki bir "özet" bilgi ile gidersiniz ve o size "özet"+zaman bilgisi içeren bir elektronik imza üreterek cevap verir.

* Zaman damgası ile içerisindeki zamana ait o "özet" bilgisinin var olduğunu ispat edersiniz. Böylece size ait bilgi çalındığında o tarihte sizde ve böyle bir bilginin varlığını ispat edebilir hale gelirsiniz.
* Zaman damgası kesinlikle ve kesinlikle imza atılan bilgisayarın tarihi değildir. Tarih bilgisinin güvenilir bir kaynak olması şarttır.

Zaman damgası için herhangi bir sertifikaya ihtiyaç duymadan benimde geliştirme ekibinde olduğum Tasdix uygulamasını kullanabilirsiniz.

İmza Formatları

BES

* BES adı verilen en temel imza formatıdır, içerisinde sadece zorunlu olarak imza bilgisi bulunur. Bu formatta imzanın size ait olduğu ve imza attığınız zamandan itibaren değişmediğini size ispat eder.
* BES formatındaki elektronik imzalar sertifikanın ömrü kadar süre içerisinde geçerlidir. İçerisinde herhangi bir zaman bilgisi içermediğinden sertifika geçersiz hale geldiğinde kullanılan tüm imzalarda geçersiz hale gelir.
* İmzaladığınız sertifikanın herhangi bir nedenle eğer iptal (Revoke deniyor) edilmiş ise doğrulama işlemi yapılamaz.

Şu anda bir çok elektronik imza destekli uygulama BES formatında imzalama yapar. Buna MS Office (Word, Excel, Outlook ..), Acrobat (PDF) dahildir. Bu uygulamalar kendi elektronik imza formatlarını kullandıklarından en azından uzun bir süre içinde bu formatın ilerisini kullanmayacaklardır. Özet olarak kritik işlerinizde bu araçları kullanmayın.

Cades-BES

A

Çok eski bir format olan BES'e eklenti olarak gelmiş bir formattır. Meraklısı için bu linkten teknik detaylara ulaşılabilir.

* Cades-BES olarak atılan imza formatları BES formatına göre daha fazla bir şey vadetmez. Ancak daha sonra uzun süreli geçerli olabilecek imza formatlarına dönüşüm için gerekli altyapıyı sağlar. Hayır BES formatındaki bir imzayı Cades-BES'e dönüştüremezsiniz.
* Cades çok az ve yeni araç tarafından desteklenir ve filtrelemek için iyi bir kriterdir.
* Doğrulama işlemleri sırasında kullanılan sertifikanın halen geçerli olup olmadığını ilgili ESHS'lere ağ üzerinden bağlanarak kontrol eder.
* BES'le aynı şekilde kullandığınız serifikanız iptal edildiğinde tüm imzaladığınız bilgilerde geçersiz olur.

Cades-T

Cades-BES üzerinde zaman damgası bilgisinin eklenmiş halidir. Cades formatları içerisinde bu format pek fazla kullanılabilir değil ancak sonraki formatlara geçiş yapabilmenizi sağlar.

* Cades-BES üzerinde zaman damgası eklenerek oluşturulur. İmzalama işleminden hemen sonra eklenmesi gereklidir.
* Cades-BES'e ek olarak o tarihde imzalanan bilginin varlığını ispat eder. Ancak sertifika ile ilgili herhangi bir bilgi vermez.
* İmzalama sırasında kullanacağınız Zaman Damgası sunucusuna bağlanmak için ESHS'ye ağ bağlantısı gerektirir.
* Doğrulama sırasında kullanılan sertifikanın zaman damgası içerisindeki belirtilen tarihte geçerli olup olmadığını yine ilgili ESHS'lere ağ üzerinden bağlanarak kontrol eder.
* BES'den farklı olarak sertifikanın iptal edilmeden önce imzaladığınız bilgilerin doğru kabul edilmesini sağlar. Böylece sertifikanın ömrü dolsa bile imzanın geçerli olmasını sağlar.

Cades-X

Aslında X ile T formatı arasında bir C ismi verilen bir format daha var detay olduğunu düşündüğüm için atlıyorum. Meraklısı verdiğim rfc link'i üzerinden detay bilgi edinebilir.

* İmzalayan ve zaman damgasına ait kök sertifikalar da dahil olmak üzere tüm doğrulama bilgisini içerir.
* Doğrulama sırasında herhangi bir ağ bağlantısı gerektirmez.
* İmzalama zamanını ve o anda o sertifikanın geçerli olduğunu ispat eder.
* Cades-T'ye ek olarak ESHS'lere ait kök sertifikalar eskidiğinde yada iptal edildiğinde dahi imzanın doğrulanabilir olmasını sağlar.

Cadex-A

Son ve nihai olarak A'dan anlaşılacağı üzere arşivleme amaçlı olarak kullanılır.

* Cades-X'deki bilgilere ek belirli sürelerde zaman damgaları eklenerek oluşturulur.
* Kullanılan özet yada imza algoritmalarının ilerleyen teknoloji ile "kırılabilir" olması durumunda ispat sağlar.

Özet

Şimdi tüm bu bilgileri okuyan herhangi birisi "ya ne gerek var bu karmaşaya ? atıyoruz işte kalemle güzel" diyebilir. Çoğu alan için hak verebilirim ancak elektronik imza kullanımı bir çok alanda pratik faydalar sağlayabilir.

Örneğin benim en sevmediğim, basit bir dilekçeyi teslim etmek için Devlet Daire'lerindeki bitmek bilmeyen sıralarda boşuna beklemek zorunda değilsiniz. Yada en kötü senaryo ile imza attığınız herhangi bir evrak üzerindeki tarih bilgisi hiç bir kritere bağlı değil ve bunu kötü amaçla değiştirip kullanmayanlarda yok değil. Bu yüzden prosedürlerin çok ve adaletin yavaş işlediği memleketimizde elektronik imza bir çok yerde bize fayda sağlayabilir.

Tüm bu formatlar içerisinden rahatlıkla Cades-X sizin için en uygun sayılabilecek ve herhangi bir imzayı 25-30 yıl için geçerli kılan bir imza formatıdır. Teknoloji'deki eksik bilgi çoğunlukla "fazla" zararlı olmaz ancak elektronik imzayı kullanırken çok dikkatli bir şekilde uygulamak zorundasınız.

Biraz uzun ve sıkıcı bir yazı oldu affola.