0
Herkesin “e – imza”sı Olacak
Bildiğimiz gibi, internet üzerinden yapılan kişisel ve kurumsal ticari işlemlerin ve iletişimde basit şifreler kullanılması güvenlik açısından sakıncalar yaratıyor. Benzer şekilde, kişiler ya da kurumlar arası işlemlerde işlemi yapan kişinin, kurumun ya da sunucunun kimliğini doğrulanması konusunda sıkıntılar yaşanıyor ve atılan ilgili mesajın doğru kişi ya da kurum tarafından gönderildiğini garanti edilemiyor. İşte güvenlik konusunda yaşanan bu sorunlar, konunun büyüklüğüne göre de çok daha büyük problemleri beraberinde getiriyor. Bu anlamda e – imza’nın ortaya çıkışı yaşanan bu sıkıntılara bağlanıyor. Bu durumda da, elektronik ortamda iletişimde bulunan kişiler, kurumlar ve şirketler artık, güvenli işlemler yapmak için elektronik sertifikaya bağlı bir e - imza kullanmak zorunda kalmaya başladılar. Ayrıca çeşitli amaçlarla belge, bilgi ve doküman paylaşan kurumlar ve şirketler de erişim kontrolü, kimlik doğrulama ve onay amacına yönelik olarak artık e - imza’ya ihtiyaç duyuyor. Çünkü elektronik ticaret, güvenli veri iletişimi ve internet bankacılığı gibi alanlarda elektronik sertifika ve buna bağlı e – imza’lar güvenlik sorununun ortadan kaldırıyor.
E – imza nedir?
O halde hayatımıza girmeye başlayan e – imza nedir? E – imza’nın tanımını Doç. Dr. İbrahim Kırcova’dan öğreniyoruz. E – imza’yı “internet ve e - posta gibi elektronik ortamlarda kullanılan elektronik belgelerin yazarlarını ya da sahiplerini tanımlamak amacıyla kullanılan imza türü” olarak tanımlayan Kırcova; elektronik imza kullanmak için dijital sertifika kullanmak gerektiğini, dijital sertifikanın, elektronik imzayı yaratmak ve doğrulamak için kullanıldığını ifade ediyor ve ekliyor: “Alışverişte, banka işlemlerinde, yasal başvurularda güvenli işlemler yapabilmek için herkesin bir dijital sertifikası olması gerekir.” Elektronik imzanın temel işlevlerinden birini, “kişiler ya da kurumlar arası işlemlerde işlemi yapan kişinin, kurumun ya da sunucunun kimliğini doğrulamak” olduğunu belirten Kırcova; böylelikle imzanın ilgili kişi ya da kurum tarafından atıldığını, mesajın doğru kişi ya da kurum tarafından gönderildiğinin garanti altına alındığını ifade ediyor.
Reddedilemezlik, veri bütünlüğü ve gizlilik
Elektronik imzanın en önemli özelliklerinden birinin mesajın yazarı ya da imza sahibine kimliğini ispatlama imkanı vermesi olduğunu belirten Kırcova; bu reddedilemezlik özelliği ile imzanın, ileride bir işleme veya iletişime kimlerin katıldığını kanıtlanmasına imkan verdiğinden, bir dokümanı imzalayıp gönderen veya o dokümanı alan kişi ya da kurumların, daha sonra herhangi bir nedenle ihtilaf söz konusu olduğunda ilgili işlemleri yaptığını inkar edemeyeceklerini belirtiyor. “Elektronik imzalar bir yerden bir başka yere transfer edilen verinin bütünlüğünü koruyarak aldığınız herhangi bir mesajın size gelene kadar üçüncü şahıs ya da kurumlar tarafından istemeden ya da kötü niyetli olarak değiştirilip, değiştirilmediğini garanti eder” diyen Kırcova; elektronik imzanın kurumsal ya da kişisel gizli verilerin güvenilir bir biçimde iletilmesi amacıyla kullanılması nedeniyle, gizlilik için şifrelemeye ihtiyaç duyulduğunu belirtiyor.
Şifreleme ve anahtar gerekiyor
Bu noktada elektronik imzanın nasıl oluşturulacağını da Kırcova şöyle aktarıyor: “Elektronik imza bir sertifikaya bağlı olarak çalışır. Elektronik sertifikalar bu konuda hizmet veren kurumlar tarafından yaratılır ve kullanıma sunulurlar. Elektronik imza oluşturmak ve kullanmak için şifreleme teknolojilerinden yararlanılır. Şifreleme, okunabilir biçimdeki herhangi bir bilginin sadece istediğimiz kişi ve kuruluşların okuyabileceği biçime dönüştürülmesi işlemidir. Bu süreçte, bilgi hedeflenen alıcı dışında bir başkasının okuyamayacağı veya değiştiremeyeceği bir şekilde kodlanır. Bu bilgi bir yere iletilmek veya saklanmak amacıyla şifrelenen bir bilgi olabilir. İletilen veya saklanan bu bilgi zamanı geldiğinde deşifre edilerek ilgili kişi ya da kurum tarafından okunur. Şifreleme ve deşifreleme, verinin okunabilir ve kodlanmış formatlara dönüştürülmesini sağlayan bir matematiksel formül veya ‘algoritma’ ile bir anahtar gerektirir.
Anahtar nedir? Nasıl kullanılır?
Anahtarın, “şifreleme algoritmasının kullandığı uzun sayı dizisi anlamına gelen rakamsal bir değer” olduğunu ifade eden Kırcova; elektronik imzayı veya şifreli mesajı üretmek için ham metin ile birleştirilmiş özel bir sayı olan bu anahtarın, veri ya da mesaja iletim anında üçüncü şahısların eline geçse bile mesajı deşifre etme araçlarına sahip olmayan bir kişi veya kurum tarafından kesinlikle okunamayacağını belirtiyor ve şöyle devam ediyor: “Elektronik imzalar anonim anahtar şifreleme sistemini kullanırlar. Buna göre; bir mesajı şifrelemede ve deşifre etmede iki anahtar kullanılır. Veriyi gönderen kendi özel anahtarını kullanarak dijital imzayı yaratır. Alıcı, o kişinin ‘anonim’ anahtarını kullanarak imzayı kontrol eder ve mesajın gerçekten o kişiden gelip gelmediğini öğrenir.”
Kullanıcıya özel anahtar
Çift anahtarlı şifreleme sisteminde açık ve gizli anahtar olarak adlandırılmış olan bir anahtar çifti kullanıldığını belirten Kırcova; anahtar çiftlerini üreten algoritmaların matematiksel özelliklerinden dolayı açık - gizli anahtar çiftlerinin her kişi için farklı olduğunu, başka bir ifadeyle de her kullanıcının açık - gizli anahtar çiftinin yalnızca o kullanıcıya özel olduğunu ifade ediyor. “Gizli anahtar, adından da anlaşıldığı gibi kişinin kendisi dışında kimsenin bilmemesi gereken ve saklı tutması zorunlu olan gizli bir bilgidir. Açık anahtar kamuya açıktır, elektronik kimlik belgelerinin içinde diğer kişisel bilgilerle birlikte tutulur ve herkes birbirinin açık anahtarını e - kimliklerine ulaşmak suretiyle istediği zaman elde edebilir.”
Türkiye’de e- imza
Diğer yandan önemli olan bir konu da, doğru tanımlama yapabilmek için imza sertifikasını veren kuruluşun tarafsız, güvenilir ve tanınan bir kurum olması… Bu çerçevede elektronik sertifika ve ona bağlı imza, bu konuda yasa ile yetkilendirilen tarafsız ve güvenilir üçüncü taraf olarak belirlenen Elektronik Sertifika kurumları tarafından sağlanıyor. Bu kurumların temel işlevleri ise, kişiler ve kurumlar tarafından talep edilen elektronik sertifikaların hazırlanması, yönetimi, ilan edilmesi, dondurulması ve iptal edilmesi. Ülkemizde de TBMM tarafından kabul edilen e - imza yasasına göre de, e – imza’lar da ıslak imzalar gibi hukuken bağlayıcı. E - imza kullanabilmek için de, e - imza veren sertifika sağlayan kuruluşlara başvurmak gerekiyor.
Peki Türkiye’de bu konuda bugüne kadar yaşanan gelişmeler neler? Elektronik imza uygulamasına geçmek isteyen şirketler öncelikle hangi alt yapı çalışmalarını gerçekleştirmeli? Tüm bu sorunların cevabını e- imza konusunda Türkiye’de yapılan çalışmaların başından beri içinde bulunan, yasal bağlayıcı e - imza uygulamaları konusunda dünya lideri olan iSentry Ltd. Şirketi’nin Türkiye ve bölge operasyonları danışmanı Mete Varas’tan öğreniyoruz.
E - imza ile ilgili Türkiye'de gerçekleştirilen düzenlemelerden bahsedebilir misiniz?
Türkiye'de elektronik imzanın hukuki ve teknik yönleri ile kullanımına ilişkin esasları düzenleyen 5070 sayılı Elektronik İmza Kanunu 23 Ocak 2004 tarihinde 25355 sayılı Resmi Gazete’de yayımlanmış, 23 Temmuz 2004 tarihinde ise yürürlüğe girmiştir. Kanunla, elektronik sertifika hizmet sağlayıcılarını denetleme yetkisi Telekomünikasyon Kurumu’na verilmiş, Kanunun yürürlük tarihinden itibaren altı ay içinde yani 23 Ocak 2005 tarihine kadar ikincil mevzuat düzenlemelerinin tamamlanması için süre tanınmıştır. Elektronik İmza Kanunu’nun 13. maddesi uyarınca Hazine Müsteşarlığı’nın görüşü alındıktan sonra yine Telekomünikasyon Kurumu tarafından hazırlanması öngörülen “Sertifika Mali Sorumluluk Sigortası Yönetmeliği” 26 Mayıs 2004 tarih ve 25565 sayılı Resmi Gazete’de yayınlanmıştır. Ayrıca Telekomünikasyon Kurumu, 6 Ocak 2005 tarihli Resmi Gazete’de yayınlanarak yürürlüğe giren “Elektronik İmza Kanunu’nun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” ve “Elektronik İmza İle İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ”leri hazırlamıştır. Kamu tarafında ise Kamu Kurum ve Kuruluşları İçin Sertifikasyon Merkezinin Oluşturulması” hakkında karar 6 Eylül 2004 tarihinde Resmi Gazete’de yayınlanmıştır. Buna göre de tüm kamu kurumlarının dijital sertifika ihtiyacı TUBİTAK - UEKAE tarafından karşılanacaktır.
Elektronik imza kullanımı şirketlerde hangi alt yapı uygulamalarının gerçekleştirilmesini zorunlu kılıyor?
Şirketler uygulama sağlayıcısı rolünü üstleneceği için ihtiyaçlar da farklı olacaktır. Bunun için öncelikle elektronik imza’nın tanımını anlatmak daha doğru olacaktır. 5070 sayılı yasada elektronik imza “Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veridir.” Güvenli elektronik imza ise; “Münhasıran imza sahibine bağlı olan, Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan” e – imza’dır. Güvenli elektronik imza, elle atılan imza ile aynı hukuki sonucu doğurur.
Bu nedenle şirketlerin, ihtiyaçlarının kapsam ve çeşidine göre kurumların dijital sertifika ve / veya hizmeti, güvenli imzalama ve doğrulama araçları, yasal bağlayıcı e - iş geliştiren imzalama motoru ve ilgili donanım ve yazılım çalışmalarını yapmaları gerekmektedir.
Şirketler neden e- imza kullanmalı?
İmza; “Bir kimsenin, bir yazının altına bu yazıyı yazdığını veya onayladığını belirtmek için, her zaman, aynı biçimde yazdığı ad ve işaret” olarak tanımlanır. Toplumlar tarih boyunca döneme uygun imza ve iş yapış tarzları geliştirmiş ve değiştirmişlerdir. Daha önce daktilo ile yapılan işler önce harf işlemcisi daha sonra bilgisayarlar ile yapılmaktadır. Teknoloji bugün iş süreçlerinin güvenli şekilde en baştan sona tamamen elektronik şekilde sürdürülüp saklanabileceğini bizlere sunmaktadır. Bu, kurumlara müthiş verimlilik ve maliyet avantajı sağlarken rekabet üstünlüğü de getirmektedir.
Şirketler elektronik imza alırken nelere dikkat etmeli?
Şirketlerin dikkate alması gereken konuları şu şekilde sıralayabiliriz: İhtiyaçlarının ne olduğunu belirlemeli, uzun dönemli düşünmeli ve planlama yapmalı, tarafsız ve uzman bir kurumdan danışmanlık hizmeti almalı, eğer nitelikli sertifika alacaksa TK tarafından onaylanmış ESHS, yazılım ve donanım seçmeli, kesinlikle Standartlar Bazlı uygulama altyapısı kurmalı, işin kendisini değiştirmemeli, uygulamalar yapış tarzı kullanıcıların kabul edeceği, hiçbir ek yazılım ve donanım gerektirmeden, web bazlı yapılacak şekilde tasarlanmalıdır.
