yazılım geyiklemeleri

e-Haciz, e-İhale (EKAP) derken geldi, geliyor denecek olan e-Fatura'da sonunda 5 mart tarihiyle kullanıma açıldı.

Bu tür kullanım kolaylıklarının yaygınlaşması Türkiye'deki hem teknoji anlamında hemde yazılım pazarını sevindiren yenilikler ama hukuki şartları olması yüzünden bu teknolojiye su kaçırmamak gerekiyor.

Şimdiye kadar e-Haciz'de XML formatındaki bir dosyanın binary formatta imzalanması, sonra sıkıştırılıp üstüne birde şifrelenmesini gördük. Sabahın 4'ünde gönderdiği isteğe imzalı cevap bekleyen web servisleri yüzünden ne gelirse gelsin otomatik imzalayan yazılımlar gördük. Sadece geri dönüp birde topuğundan vurmadığımız kaldı.

e-İhale'de "Evet zaman bilgisi gerekli" diyip belge değil mesaj sıfatında imzalar, ETSI standartlarıyla hiç bir ilgisi olmayan bir zaman damgası formatı gördük. Yine bilgisayarın başında birisi bekleyemeyeceği için ne gelirse otomatik imzalayan yazılımlar burada da bir zorunluluk olarak var.

Bu projelerdeki veri alışverişinde imzalı bilgileri uzun süre için saklamak kritik bir konu değil ama konu fatura'ya geldiğinde olaylar çok farklı. Bildiğim kadarıyla faturaların saklama süresi 5 yada 10 yıl zorunluluk. Zira iş mahkemeye geldiğinde 10 yıllık bir zaman verilmiş. Yani sizin ürettiğiniz yada size gelen bir elektronik fatura'nın minimum 10 yıl boyunca geçerliliğini koruması gerekiyor. Şu anda sertifika sağlayıcıları en fazla 1 ile 3 yıl arasında geçerlilik süresi olan sertifikalar veriyor. Zira her yenileme işlemi bu firmalar için para kazancı demek.

Bu yazıyı yazdığım gün itibariyle e-Fatura teknik dokümanlarınında imzalama formatı olarak <strong>XmlDSig</strong> adı verilen xml tabanlı imza formatı kullanılmasına karar verilmiş. Bu format daha önceki yazdığım elektronik imza'daki BES'in xml hali.

Belki tekrar etmekte fayda var;

BES formatı zaman bilgisi içermediğinden bu format sertifikanın geçerlilik süresi kadar ayakta kalabilir, kullanığınız sertifikayı çaldırmak gibi herhangi bir nedenle iptal ettiğinizde tüm imzaladığınız bilgilerde artık geçersiz hale gelir.

Şimdi bu formatın kullanılmasına karar verenlere şunların sorulması lazım;

* Geçerli saydığınız bu formatta iptal edilmiş çalıntı bir sertifika ile imzalama yapılabildiğinin ve size böyle bir fatura iletildiğinde farkına varamayacağınızın farkında mısınız ?
* Türkiye'deki standart olarak kabul edilmiş ETSI ile uyumlu olmadığının farkında mısınız ?
* İletilen PDF halindeki bazı faturalarda hiç imza olmadığının farkında mısınız ?
* Gönderdiğiniz imzalı PDF dosyalarındaki zaman bilgisinin bilgisayarın saatinden alındığı için herhangi bir güvence sağlamadığını biliyor musunuz?
* Kullanılan sertifikaların sağlayan kurumda kök sertifikaları kaybetmesi (mesela binada yangın çıktığında yada üzerine uçak yada meteor düşdüğünde) durumunda tüm (evet kullanılan gelmiş geçmiş tümü) faturaların geçersiz olacağının farkında mısınız ?
* Yarın yurtdışındaki (özellikle de Avrupa Birliğindeki ülkelerideki) firmalar ile belge alışverişi yapılmak istendiğinde elinizdeki tüm imzaların geçersiz kabul edileceğini biliyormusunuz ?
* Herhangi bir şekilde şimdiye kadar imzalanmış olan belgeleri artık bu durumdan kurtaramayacağınızın farkında mısınız ?
* Bu teknojilerin kullanıcılarını kullandığınız formatın evrensel standartlarla uyumsuz olması yüzünden yerel ve küçük sağlayıcılara mecbur bıraktığınızın farkında mısınız ?

Bunun gibi daha çok soru var ancak sıkmamak için bırakıyorum. Bu soruların muhtemelen bir cevabı hayır, eğer evet ise sistem basit olsun diye ancak göz ardı edilmiş olabilir diye umuyorum.

Tüm bu sorunlar için yapılacak tek şey bu sistemi kullanmak isteyenler için aynı yazılım ve aynı sağlayıcılarla sadece bir kaç tane ek bilgi eklenerek imza formatının XAdES formatına çevirilmesi. XAdES önceki yazımdaki CAdES-BES ile aynı format ancak fazladan birkaç alan var. İçerisinde bilgiyi imzalayan sertifikanın özeti ve sertifikayı sağlayan kuruluşa ait bilgiler var. Bu format ile başlayan imzaları daha sonra isterseniz 100 yıl boyunca bile geçerli kılabilirsiniz.

Tüm bu olanlar için kızgınım ancak teknojileri kullanıma açan bürokrasi'ye değil (zira bu onların işi değil) bu teknolojileri sağlayan firma ve danışmanlara kullandıkları teknolojinin altını boşaltıp, kendi bindikleri dalı kesikleri için kızıyorum.

Umarım bu yazıyı okurlarda bu hatadan geri dönülür.