CAdES Elektronik İmza Formatı ve Tipleri


Bir önceki yazımda Elektronik İmza Nedir? sorusunun cevabını vermeye çalışmış ve yazının sonlarına doğru elektronik imza formatları ve tipleri hakkında genel bir bilgi vermiştim. Bu yazımda ise, elektronik imza formatlarından CAdES formatının detaylarından ve CAdES imza tiplerinden bahsedeceğim. Sonraki yazılarımda ise XAdES ve PAdES tipinde imzaların detaylarından bahsedeceğim.

CAdES (CMS Advanced Electronic Signature)

CAdES elektronik imza formatı byte array veri yapısındaki tüm verileri imzalayabilen elektronik imza formatıdır. CAdES imza tipinde imzalar ayrık veya bütünleşik olarak atılabilir, yani imza ayrı bir yerde verinin kendisi ayrı bir yerde saklanabilir veya imzalanan veri, imzanın içerisinde bir bütün olarak tutularak bütünleşik olarak saklanabilir. İmzalar paralel veya seri olarak atılabilir, yani bir veriye bir imza atılır ve ikinci imza birinci imzayı imzalayabilir (seri imza) veya bir veriye bir imza atılır, aynı veriye birden fazla kez imza atılarak diğer imzanın yanına bu imzalar eklenebilir (paralel imza). CAdES elektronik imza formatının standartları ETSI 101 733 dokümanında belirlenmiştir.

CAdES Basic Electronic Signature (CAdES-BES)

CAdES-BES imza tipi elektronik imza yapısında en basit tipte olan imza türüdür. Bir veri kullanıcı tarafından yalnızca elektronik imza ile imzalanır ve sonrasında imzalanan veriye başka hiç bir bilgi eklenmezse bu imza tipi BES olur, yani Basit Elektronik İmza (Basic Electronic Signature). BES tipinde imzalanmış bir veri içerisinde Signer Document, Signed Attributes, Digital Signature değerleri vardır. Aslında standarttan çok kopmamak adına ingilizce terimler kullandım fakat Türkçe’ye çevirirsek, imzalanan doküman bilgisi, imzalı özellikler ve elektronik imza değerleri vardır. Bunu ETSI TS 101 703 standart dokümanından aldığım görsel üzerinden daha rahat anlatabileceğimi düşünüyorum.

CAdES Explicit Policy-based Electronic Signature (CAdES-EPES)

CAdES-EPES, Elektronik imza yapısını oluşturma ve doğrulama kurallarını belirleyen politikaların imzalanan veri içerisine eklendiği BES tipinde elektronik imza tipidir. Bazı durumlarda Elektronik imza yapılarının nasıl oluşturulması gerektiği ve oluşturulan bu yapıların nasıl doğrulanması gerektiği bir takım ek bilgiler elektronik imza içerisine eklenebilir. Örneğin; ülkemizde BTK tarafından belirlenen P1, P2, P3 ve P4 profilleri, elektronik imza yapıları birer politika içerir ve bu profillere uygun atılan elektronik imzalarda bu politikalar belirtilir. İçerisine eklenen politika haricinde yapısı ve doğrulanabilirliği BES tipinde imzalarla aynıdır. Politika eklenerek oluşturulan imzalarda İmza Politika ID’si (Signature Policy ID) değeri olmalıdır. ETSI standartlarında yapısı şu şekilde gösterilmiştir.

CAdES Electronic Signature with Time (CAdES-T)

CAdES-T, güvenilir zaman verisiyle ilişkilendirilmiş elektronik imza tipidir. CAdES BES veya CAdES EPES tipinde imzalanmış verilere sunucu zamanı veya imza atılan bilgisayar zamanı signing time olarak eklenebilir. Eklenen signing time güvenilir zaman verisi değildir, yalnızca bilgi amaçlı eklenir ve elektronik imza da kanıt olarak geçerliliği yoktur. Güvenilir zaman verisi, Zaman Damgası Sağlayıcılar tarafından sağlanan bir veridir. Yalnız unutulmamalı ki kendi sunucularımıza kuracağımız SignServer vb. zaman damgası uygulamalarıyla güvenilir zaman elde edemeyiz. Ülkemizde BTK tarafından yetkilendirilmiş Elektronik Sertifika Hizmet Sağlayıcılar (ESHS) tarafından verilen Zaman Damgası hizmetinden faydalanarak Güvenilir Zaman Verisine ulaşılabilir. CAdES BES veya CAdES EPES tipinde imzalanmış veriye güvenilir zaman verisinin eklenmesiyle CAdES-T tipinde, daha uzun süre doğrulanabilir imza yapısı elde edilir. CAdES-T tipinde imzalanan verilerin, zaman damgası verisindeki zamandan önce imzalandığı kanıtlanmış olur. Zaman damgası işlemi imzalama işleminden hemen sonra yapılmalıdır ki, imzada bulunan sertifikaların iptal olmadığı veya sürelerinin dolmadığı kanıtlanabilsin. ETSI TS 101 733 standardında CAdES-T imza tipi şu şekilde gösterilmektedir.

CAdES Electronic Signature with Complete Validation Data References(CAdES-C)

CAdES-C, güvenilir zaman verisi eklenmiş elektronik imzalı veriye, imzada yer alan tüm sertifikalara ait kök ve alt kök sertifika referans değerleriyle, bu sertifikalara ait CRL (Certificate Revocation List) (SİL — Sertifika İptal Listesi) ve/veya OCSP (Online Certificate Status Protocol) (ÇiSDuP — Çevrimiçi Sertifika Durum Protokolü) kontrol sonuçlarının referans değerlerinin eklenmesiyle elde edilen imza tipidir. Kök ve alt kök sertifikaları ve sertifikalara ait iptal kontrolleri sonuçları doğrudan imza içerisine eklenmez, bu verilere nereden erişileceğini belirten eşsiz referans değerleri eklenir. Bu şekilde imza boyutu daha küçük kalırken, doğrulama için gerekli veriler farklı bir ortamda saklanabilir. Kullanımı tavsiye edilmeyen bir imza türü olmasına rağmen uygun olduğu durumlarda kullanılabilir.

CAdES-C imza tipinde işin içine bir de iptal verilerinin ne kadar güvenilir olduğu sorunu giriyor. Burada OCSP (ÇiSDuP) daha güvenilir bir sonuç verecek şekilde düşünülse de, CRL (SİL) için aynı durum söz konusu değildir.

Grace Period (Kesinleşme Zamanı)

Kötü bir senaryo düşünelim;
Tarih: 21.07.2020 Saat: 08:35 CRL ESHS tarafından üretildi ve yayınlandı.
21.07.2020’de saatler 09:00’ı gösterdiğinde A kişisi olduğu makamdan uzaklaştırıldı ve kurum tarafından sertifikasının iptali için başvuru yapıldı. A kişisi ESHS tarafından bir sonraki CRL üretilene kadar istediği kadar imza atabilir ve bu imzalar yalnızca CRL kontrolünün olduğu durumda başarılı bir şekilde CAdES-A tipine kadar yükseltilebilir.

Bu gibi durumların önüne geçmek için grace period (kesinleşme zamanı) olarak bir tampon bölge oluşturulur. Grace period süresinde imzaya bir ön doğrulama yapılır, fakat esas doğrulama sonucunun elde edilmesi için grace period için verilen zaman beklenir ve ardından nihai doğrulama işlemi yapılır. Nihai doğrulama işlemi başarılı olduğu takdirde imza tipi eğer isteniyorsa CAdES-C veya daha üst imza tiplerine çıkarılabilir. Bu şekilde yaşanacak hatalı durumların önüne geçilmiş olur.

CAdES EXtended Long Electronic Signature (CAdES-X Long)

CAdES-X Long, imzada yer alan tüm sertifikalara ait kök ve alt kök sertifikaların ve bu sertifikalara ait CRL (Certificate Revocation List) (SİL — Sertifika İptal Listesi) ve/veya OCSP (Online Certificate Status Protocol) (ÇiSDuP — Çevrimiçi Sertifika Durum Protokolü) kontrol sonuç verilerinin imza içerisine eklenmesiyle elde edilen imza tipidir. Kısaca CAdES-C tipinde imza içerisine referansları eklenen verilerin, kendilerinin imza içerisine eklenmesiyle CAdES-X Long tipinde imza elde edilir. Bu şekilde oluşturulan bir imza yapısıyla imzanın doğrulanması için dışarıdan herhangi bir kaynağa ihtiyacı kalmaz ve verilerin kaybolması gibi bir riskte ortadan kalkmış olur. Bu şekilde oluşturulan imza farklı yerlere gönderildiği takdirde ekstra bir bilgiye ihtiyaç duyulmadığından rahatlıkla doğrulabilir. Bu sebeple tercih edilen bir imza tipidir.

CAdES EXtended Electronic Signature with Time Type 1 (CAdES-X Type 1)

CAdES-X Type 1, imza içerisindeki zaman damgasına ve imzayı doğrulamak için gerekli referans değerlerine zaman damgası eklenerek oluşturulan imza tipidir. CAdES-C tipindeki imza verisine zaman damgası eklenmesiyle CAdES-X Type1 tipinde imza verisi oluşur. İmzaya eklenen zaman damgasıyla imza üzerinde bulunan referans değerleri ve diğer veriler koruma altına alınmış olur. Bu imza tipinde CAdES-T adımından hariç bir kez daha zaman damgası alındığı için çok tercih edilen bir imza tipi değildir.

CAdES EXtended Electronic Signature with Time Type 2(CAdES-X Type 2)

CAdES-X Type 2, imza içerisinde bulunan imzayı doğrulamak için gerekli referans değerlerine zaman damgası eklenmesiyle elde edilen imza tipidir. CAdES-X Type 1 imza tipinde imza içerisindeki tüm verilere zaman damgası eklenirken, CAdES-X Type 2 imza tipinde yalnızca tüm sertifika ve iptal bilgilerinin referans değerlerine zaman damgası eklenir. CAdES-X Type 1 ve CAdES-X Type 2 imza üzerinde aynı koruma seviyesine sahiptir.

CAdES EXtended Long Electronic Signature with Time (CAdES-X Long Type 1 or 2)

CAdES-X Long Type 1 or 2, CAdES-X Long tipinde imza ile CAdES-X Type 1 veya CAdES-X Type 2 tipinde imzalardan birinin kombinasyonundan oluşan imza tipidir. CAdES-C tipinde bir imza üzerinden, ya imzanın tamamına (CAdES-X Type 1) ya da yalnızca doğrulama için gerekli referans değerlerine (CAdES-X Type 2) zaman damgası basılarak yanına tüm sertifikaların ve iptal bilgilerinin veri olarak eklendiği imza tipidir. CAdES-X Long tipinde imzadan farkı bir adet fazla zaman damgası içermesidir. ETSI TS 101 733 standardında şu şekilde gösterilir;

CAdES Archival Electronic Signature (CAdES-A)

Bazı özel durumlarda verilerin sistemlerde uzun süreler saklanması gerekir. Bu nedenle devlet dairelerinde, üniversitelerde arşiv bölümleri bulunmaktadır. Elektronik ortamda elektronik olarak imzalanmış verilerin kök ve alt kök sertifikaların geçerlilik sürelerinden daha uzun süre saklanması gerektiği durumlar olabilir. Bu gibi durumlarda imza üzerine arşiv zaman damgası eklenerek imzalı verinin geçerliliği daha da uzatılabilir. ETSI TS 101 733 standardı içerisinde iki tip arşiv formu tanımlanır. Bunlar ATSv2 ve ATSv3 ‘tür. CAdES-A imza tipi uzun süreli imzaların arşivlenmesi için kullanılır. Ayrıca arşiv zaman damgası imza içerisindeki sertifikaların sürelerinin dolmasına yakın, sertifikalar içerisindeki algoritmaların kırılmasıyla veya sertifikaların iptal edilmesiyle birlikte imzaya eklenerek, geçerlilik süresini uzatmış olur.

ATSv2 geriye dönük uyumluluk gerektiren yani önceden CAdES-X Long, CAdES-X Long Type 1 veya CAdES-X Long Type 2 tipinde imzalanmış veriler üzerine bir veya birden fazla zaman damgası eklenmesi yoluyla elde edilen CAdES-A imza tipidir.

ATSv3 CAdES-BES, CAdES-EPES, CAdES-T, CAdES-C, CAdES-X, CAdES-XL tipinde imzalar üzerine bir veya birden fazla zaman damgası eklenmesi yoluyla elde edilen CAdES-A imza tipidir.

CAdES Long-Term Electronic Signature (CAdES-LT)

ETSI TS 101 733 standardı içerisinde CAdES-LT tipinde bir imza formatı daha anlatılmaktadır, fakat bu imza formatı artık kullanımda olmadığı için detaylarını burada açıklamak gereksiz olacaktır.


Sonuç

Elektronik imza işlemlerinin bir çoğu byte array imzalama niteliğinden dolayı CAdES formatında imzalar ile gerçekleştirilebilir. CAdES formatında imza atmadan önce imzanın ayrık mı yoksa bütünleşik mi atılacağına, eğer veri üzerinden birden fazla imza olacaksa bu imzaların seri mi yoksa paralel mi olacağı gibi durumlar göz önünde bulundurulmalıdır. CAdES tipte imzalama yapıldıktan sonra mutlaka doğrulaması yapılmalıdır.


 

Bir cevap

  1. […] imza atılırken CAdES İmza Formatı ve Tipleri’nde anlatıldığı gibi OCSP ve CRL güvenilirliği ve Grace Period (Kesinleşme Zamanı) […]

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir