Elektronik İmza Nedir?


Bu başlık altında Elektronik İmza Nedir? genel olarak elektronik imza formatları ve tipleri neler, hangi standartlar ile imzalama formatları belirleniyor, kavramsal olarak digital signature, electronic signature farklılıklarından bahsedeceğim.

Türkçemizde elektronik ortamda atılan, bize özel üretilmiş sertifikalarla dijital ortamdaki parmak izlerimizi temsil eden yapılara Elektronik İmza diyoruz. Fakat ingilizcede bu kavram digital signature ve electronic signature olarak farklılaşarak aslında farklı yapıları anlatmaktadır. Yukarıdaki görselde güzel bir şekilde anlatılmış olan yapıyı sözel olarak özetlemekte fayda var. Electronic Signature olarak nitelenen yapıda üretilen bir sertifika veya kişiye özel bir belirleyici matematiksel bir yapı bulunmamaktadır. Yalnızca elektronik bir cihaz üzerine elektronik bir kalem yardımıyla kağıt üzerine ıslak imza atar gibi imza atılmasıyla oluşan yapıdır. Digital Signature ise bir sertifika makamı tarafından kişinin kimlik bilgileri doğrulanarak, kişiye özel olarak üretilen sertifikalar ile matematiksel olarak kanıtlanabilir yapıda atılan imza şeklidir.

Sertifika Makamları tarafından üretilmiş dijital sertifikalarla imzalama işlemleri üç temel özelliği desteklerler, bu özellikler Açık Anahtar Altyapısının desteklediği özelliklerdir;

  1. Kimlik Doğrulama
  2. Veri Bütünlüğü
  3. İnkar Edilememezlik

Bildiğiniz üzere Açık Anahtar Altyapısının desteklediği özellikler arasında ‘Gizlilik’ seçeneği de vardı. Burada dikkatimizi çeken konu elektronik imzanın tek başına Gizlilik özelliğini sağlamamasıdır. Gizlilik özelliği için ayrıca veri şifreleme yapılması gerekmektedir. Buradaki yapıyı bir devlet dairesinde imzalanan bir belgenin koridorda ulaşması gereken yere giderken herkes tarafından okunabileceği durum ile örnekleyebiliriz. Şimdi gelelim elektronik imzanın özelliklerinin detaylarına;

  1. Kimlik Doğrulama, imzalanan verinin imzalayan kişiye ait olduğunu kanıtlar.
  2. Veri Bütünlüğü, imzalanan veriye ekleme çıkarma yaparak değiştirilmesini önler.
  3. İnkar Edilememezlik, kişilerin dijital sertifikalarıyla matematiksel bağlantı kurularak yapılan imzalama işlemleri sonucunda imzalanan verinin imzalayan kişiye ait olduğu matematiksel olarak kanıtlanabilir hale gelir.

Ülkemizde bir çok irili ufaklı firma tarafından elektronik imza API’ları geliştirilmekte ve projelere entegre edilerek kullanılmaktadır. Tüm bunların yanında Tubitak bünyesinde KamuSM (Kamu Sertifikasyon Makamı), uyması gereken tüm dünya standartlarına uygun bir Elektronik İmza API’ı (Java ve .NET) hazırlamış ve bu API’ların dağıtımını ücretsiz yapmaktadır. Hali hazırda diğer elektronik imza API’larının da standartlara uygunluğu ülkemizde yine KamuSM tarafından denetlenmektedir. KamuSM’nin sunduğu bu yazılım hizmetlerin tümüne http://yazilim.kamusm.gov.tr adresinden ulaşabilirsiniz.

Bir önceki yazımda Public Key Infrastructure — Açık Anahtar Altyapısı Nedir? bahsettiğim gibi Açık Anahtar Altyapısının en önemli somut örneği elektronik imzadır. Ülkemizde KamuSM haricinde özel şirket olarak gerekli standartlara uygunluk sağlayarak Açık Anahtar Altyapısı kuran ve Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından Elektronik Sertifika Hizmet Sağlayıcı (ESHS) olarak yetkilendirilen firmalar vardır. Bu firmalara Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) sayfasından veya direk olarak buradan ulaşılabilir. Türkiye’de ESHS olma hakkına sahip olmuş firmalar şu şekildedir;

  • TUBITAK-UEKAE (Kamu Sertifikasyon Merkezi)
  • Elektronik Bilgi Güvenliği A.Ş. (E-Güven)
  • TürkTrust Bilgi, İletişim ve Bilişim Güvenliği Hizmetleri A.Ş.
  • EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. (E-Tuğra)
  • Emniyet Genel Müdürlüğü Sertifikasyon Merkezi (EGMSM)
  • E-İmza Bilgi Güvenliği Hizmetleri A.Ş. (e-İmzaTR)

BTK web sitesindeki bilgiler 23.11.2019 itibari ile bu şekildedir. İlerde yeni eklenenler veya ESHS hizmeti vermekten vazgeçen firmalar olabilir.

Elektronik İmza Nasıl Çalışır?

Elektronik İmza’nın temelleri Açık Anahtar Altyapısına dayanmaktadır. 1970’li yıllarda Diffie-Helmann anahtar değişim algoritması ve sonrasında Rivest, Shamir ve Adleman tarafından asimetrik anahtarlama algoritmasının bulunması güvenli iletişimi tümüyle değiştirmiştir.[1] Sonraki dönemde internetin ortaya çıkması ve internet kullanıcılarının birbirleriyle güvenli iletişim kurabilmeleri zaruri bir ihtiyaç haline gelmeye başlamıştır. Tüm bu ihtiyaçlar nihayetinde internet üzerinde güvenli iletişimin sağlanmasına olanak veren anahtar değişimi, sunucu ve/veya istemcilerin yetkilendirilmesi yani SSL protokolünün ortaya çıkmasına sebep olmuştur. Bu yapıların kurulması sonucunda Açık Anahtar Altyapısının temelleri atılmıştır.

Açık Anahtar Altyapısının gelişmesiyle birlikte Sertifika Makamları ve Sertifika Makamlarının büyük ölçekli işletmelerde yükünü azaltması için Kayıt Makamları ortaya çıkmıştır. Sertifika Makamlarında kullanıcıların kimlik tespitleri yapılarak, kullanıcıya özel dijital sertifikalar üretilmeye başlanmıştır. Bu sertifikaların matematiksel olarak bağlı oldukları özel anahtarlar da üretilmektedir. Fakat buradaki güvenlik problemi Özel Anahtarların alelade bir şekilde disk üzerinde bir dosya yolunda tutulmasıdır. Bu sebeple USB Tokenlar üzerinde yalnızca elektronik imza uygulamasının bulunduğu bir dijital kart üzerinde tutulmaya başlanmıştır. Elbette işin içine donanım girince bir çok firma farklı modellerde Elektronik imza tokenları üretmeye başlamıştır. Aşağıdaki görselde bu tokenlardan yalnızca bir kaçını görebilirsiniz.


Digital Sertifikalar üretilip kullanıcının özel anahtarı güvenli bir şekilde token içerisinde yerleştirildikten sonra kullanıcıya verilir ve kullanıcı elektronik imza ilklendirme (PIN kodu belirleme) işlemini gerçekleştirdikten sonra elektronik ortamda elektronik imzalama uygulamaları ile imzalama işlemini yapmaya başlayabilir. Burada dikkat edilmesi gereken önemli konu elektronik imza işlemlerinde imzalama ve doğrulamada aynı asimetrik şifrelemede olduğu gibi açık ve özel (public & private keys) anahtar çifti kullanılmaktadır. Asimetrik şifreleme işlemlerinde veri açık anahtar ile şifrelenir, özel anahtar ile şifresi çözülür. Elektronik imzalama işleminde ise veri özel anahtar ile imzalanır ve açık anahtar ile doğrulanır. İşin birazda teknik kısmından bahsetmeye başlayalım. Kullanıcı ekranda imzalayacağı veriyi görür (5070 sayılı elektronik imza kanununda Madde 6 d) alanında kullanıcı imzalayacağı veriyi görmelidir diyor) Elektronik İmzasına ait PIN bilgisini girer ve imzalama işleminin gerçekleşmesi için yaklaşık olarak 1–2 saniye beklemeye başlar. Şimdi bu 1–2 saniyelik sürede neler olduğuna bir bakalım;

  1. İmzalanacak verinin özet değeri geçerli bir özet algoritmasıyla hesaplandı (örn. SHA-256)
  2. Ardından özet değeri kullanıcının akıllı kartına ulaştı ve akıllı kart içerisinde gelen PIN değeri doğrumu kontrol edildi.
  3. PIN değerinin doğru olduğu görüldü ve veri matematiksel olarak RSAWithSHA-256 vb. algoritmalara tabii tutularak şifrelendi ve ortaya yeni bir veri çıktı.
  4. Ortaya çıkan veri kullanıcıya tekrar verildi sonuç olarak ilk baştaki veri kullanıcının dijital sertifikasıyla ilişkili özel anahtarı ile imzalamış oldu.

Şimdi mikroskobun başından kalkalım ve biraz daha elimizdeki verilere odaklanalım. Yukarıdaki adımları izleyerek yapılan imzalama işlemi sonrasında Basic Elektronik Signature (BES) tipinde bir imza elde edilmiş olur. Bu şekilde imza tipleri doğrulama süreleri uzatılarak arttırılabilir. İmzalanan veri uzantıları elektronik imza formatlarının belirlenmesinde rol oynar. Üç farklı dosya uzantısı imzalama formatı vardır, bunlar;

  • CAdES
  • XAdES
  • PAdES

CAdES Elektronik İmza formatı ile byte array yapıdaki tüm veriler imzalanabilirken, XAdES Elektronik İmza formatı ile ‘xml’ uzantılı veriler imzalanabilir. PAdES Elektronik İmza formatı ile ‘pdf’ uzantılı veriler imzalanabilir. İmzalama formatlarının, doğrulama sürelerini arttırma durumlarına göre imza tipleri ise şu şekildedir;

CAdES (CMS Advanced Electronic Signature)[3]

  • Basic Electronic Signature (CAdES-BES)
  • Explicit Policy-based Electronic Signature (CAdES-EPES)
  • Electronic Signature with Time (CAdES-T)
  • Electronic Signature with Complete Validation Data References(CAdES-C)
  • Extended Electronic Signature with Time Type 1 (CAdES-X Type 1)
  • Extended Electronic Signature with Time Type 2 (CAdES-X Type 2)
  • Extended Electronic Signature with Time (CAdES-X Long Type 1 or 2)
  • Archival Electronic Signature (CAdES-A)
  • Long-Term Electronic Signature (CAdES-LT)

XAdES (XML Advanced Electronic Signature)[4]

  • Basic Electronic Signature (XAdES-BES)
  • Explicit Policy Electronic Signature (XAdES-EPES)
  • Electronic Signature with Time (XAdES-T)
  • Electronic Signature with Complete Validation Data References (XAdES-C)
  • Extended Signatures with Tİme Forms (XAdES-X)
  • Extended Long Electronic Signature with Time (XAdES-X-L)
  • Archival Electronic Signature (XAdES-A)

PAdES (Pdf Advanced Electronic Signatures)[5]

  • Basic Electronic Signature (PAdES-BES)
  • Explicit Policy Electronic Signature (PAdES-EPES)
  • Electronic Signature Long-Term Validation (PAdES-LTV)

CAdES formatında elektronik imzalama işlemlerinin standartları ETSI TS 101 733 dokümanında belirtilmektedir.

XAdES formatında elektronik imzalama işlemlerinin standartları ETSI TS 101 903 dokümanında belirtilmektedir.

PAdES formatınd aelektronik imzalama işlemlerinin standartları ETSI TS 102 778–1, 2, 3, 4 ve 5 dokümanlarında belirtilmektedir.

Sonuç

Belirtilen elektronik imza formatları ve bu formatların tipleri arasında doğrulama sürelerini etkileyecek önemli farklar bulunmaktadır. Veriler üzerindeki elektronik imzaların geçerlilik süreleri dikkatli bir şekilde belirlenerek imza formatları ve tipleri seçilmelidir.

Referanslar

[1]https://www.wikizeroo.org/index.php?q=aHR0cHM6Ly90ci53aWtpcGVkaWEub3JnL3dpa2kvQcOnxLFrX2FuYWh0YXJfYWx0eWFwxLFzxLE
[2]https://yazilim.kamusm.gov.tr/esya-api/doku.php?id=esya:eimza:tipler
[3]https://www.etsi.org/deliver/etsi_ts/101700_101799/101733/02.02.01_60/ts_101733v020201p.pdf
[4]https://www.etsi.org/deliver/etsi_ts/101900_101999/101903/01.04.02_60/ts_101903v010402p.pdf
[5]https://www.etsi.org/deliver/etsi_ts/102700_102799/10277805/01.01.02_60/ts_10277805v010102p.pdf


 

2 cevap

  1. […] önceki yazımda Elektronik İmza Nedir? sorusunun cevabını vermeye çalışmış ve yazının sonlarına doğru elektronik imza […]

  2. […] üzerine eklendiği zamandan önce varolduğunu kanıtlamak amacıyla kullanılır. Bu veri elektronik imza işlemlerinde imzanın belli bir tarihten önce atıldığını kanıtladığı gibi geçerlilik […]

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir