XAdES Elektronik İmza Formatı ve Tipleri


XAdES elektronik imza formatı, xml olsun olmasın verilerin imzalandığı ve sonuç olarak XML (eXtended Markup Language) tipinde çıktı veren imzalama formatıdır. XAdES formatında, detached (ayrık) imza atılabilir, yani XML imza URI ile veriye bağlanabilir. İmza, imzalanan veri ile aynı seviyede veya imza imzalanan verinin içinde enveloped (zarflanmış) olabilir. İmzalanan veri imzanın içinde enveloping (zarflayan) olabilir. CAdES imza formatında olduğu gibi XAdES imza formatında da paralel (independent signature) ve seri (countersignature) imza atılabilir. XAdES elektronik imza formatının standartları ETSI TS 101 903 dokümanında belirlenmiştir. XAdES imza formatı altında imza içerisindeki verilere ve doğrulanma sürelerine göre farklı imza tipleri bulunmaktadır.

XAdES Basic Electronic Signature (XAdES-BES)

XAdES imza formatı XMLDSIG üzerine inşa edilir. Standartta belirtilen temel nitelikteki özellikleri XMLDSIG üzerine ekleyerek Basit Elektronik imza tipinde imza elde edilir. XAdES imza formatında BES imza tipi isminden de anlaşılacağı üzere en basit imza tipidir. XAdES-BES tipinde imzalanan bir veri içerisinde aşağıdaki özelliklerden birisinin eklenmesi zorunludur;

  • Signed property (İmzalı özellik) olarak SigningCertificate (İmzalama Sertifikası) değerinin, veya
  • SigningCertificate (İmzalama Sertifikası) değerini direk olarak eklemek yerine ds:KeyInfo elementinin içinde eklenmesi.

Eklenmesi zorunlu olan verilerin yanında birde eklenebilir diğer veriler bulunmaktadır. Signed property (İmzalı Özellik) olarak;

  • Signing Time,
  • DataObjectFormat,
  • CommitmentTypeIndication
  • SignerRole
  • SignatureProductionPlace
  • bir veya daha fazla IndividualDataObjectsTimeStamp veya AllDataObjectTimeStamp

Unsigned property (İmzasız Özellik) olarak;

  • bir veya daha fazla CounterSignature (Seri İmza)

değerleri imza içerisine eklenebilir. Tüm yazılanlar yapısal olarak XML içerisinde şu şekilde yer alacaktır;

XAdES Explicit Policy Electronic Signature (XAdES-EPES)

XAdES-EPES Genişletilmiş Politika Tabanlı Elektronik İmza olarak Türkçe’ye çevrilebilir. XMLDSIG veya XAdES-BES tipinde imza üzerine SignaturePolicyIdentifier Signed property (İmzalı Özellik) öğesi eklenerek XAdES-EPES tipinde imza elde edilebilir. Bu öğe, imzalama ve imza doğrulama işlemleri için bir politika belirlendiğini ve imzalama ve imza doğrulama işlemlerinde bu politikaya uyulması gerektiğini belirtir. XAdES-EPES tipinde elektronik imzanın yapısı şu şekilde olmalıdır;

XAdES Electronic Signature with Time (XAdES-T)

XAdES-BES veya XAdES-EPES imza tipindeki elektronik imzalı veriye Zaman Damgası eklenmesiyle elde edilen imza tipidir. XAdES-T imza tipinde XAdES formatta imzalanan veri SignatureTimeStamp öğesini içermelidir. Zaman Damgası eklenen elektronik imzalı veri uzun süreli doğrulama sağlayabilir. İmzacı sertifikası süresi dolsa da imza doğrulanabilir. Çünkü zaman damgası alındığı anda imzacı sertifikası ve imza geçerli ise zaman damgası bunun kanıtı olarak daha uzun süre doğrulama sağlayabilir. Doğrulama için dış kaynaklara ihtiyaç duyulmaktadır. XAdES-T tipinde imzanın yapısı aşağıdaki gibi olmalıdır;

XAdES Electronic Signature with Complete Validation Data References (XAdES-C)

XAdES-C, eksiksiz CompleteCertificateRefs ve CompleteRevocationRefs (doğrulama veri referans) bilgilerinin imza içerisine eklenmesiyle elde edilen XAdES imza tipidir. XAdES-T tipinde imza üzerine inşaa edilir. Eğer imza da Attribute Certificate (Önitelik Sertifikaları) bulunuyorsa, AttributeCertificateRefs ve AttributeRevocationRefs elemanlarının da eklenmesi gerekmektedir. Burada dikkat edilmesi gereken, CompleteCertificateRefs elemanının imza içerisindeki tüm sertifikaların ve bu sertifikalara ait alt ve üst kök sertifikalarının da referans değerlerinin bu eleman içine eklenmesidir. Aynı şekilde CompleteRevocationRefs elemanı içerisine imza içerisinde bulunan tüm sertifikaların ve bu sertifikalara ait alt ve üst kök sertifikaların iptal referans bilgilerinin eklenmesi gerekmektedir.

XAdES-C tipinde imza atılırken CAdES İmza Formatı ve Tipleri’nde anlatıldığı gibi OCSP ve CRL güvenilirliği ve Grace Period (Kesinleşme Zamanı) gibi konulara dikkat edilmelidir. Bu gibi durumlarda Doğrulama adımları 3’e ayrılmaktadır;

  • Geçersiz,
  • Tamamlanmamış Doğrulama,
  • Geçerli.

Geçersiz denildiğinde, imza formatında veya elektronik imza içerisindeki sertifikalar geçersiz veya iptal olmuş olabilir.

Tamamlanmamış Doğrulama denildiğinde, elektronik imzanın geçerli olup olmadığının bilinmediği durumlarda kullanılır. Örneğin doğrulama için gerekli olan tüm sertifikalara ait bilgilerin bulunamadığı durumda tamamlanmamış doğrulama durumu oluşur. Bu durumda grace period ile verilen süre içerisinde doğrulama tekrar denenerek imza doğrulama için gerekli veriler tekrar elde edilmeye çalışır.

Geçerli denildiğinde, elektronik imza içerisindeki imza değeri ve sertifika bilgileri başarılı bir şekilde doğrulanmıştır.

XAdES Extended Signatures with Time Forms (XAdES-X)

XAdES-X, CompleteCertificateRefs ve CompleteRevocationRefs özelliklerini içeren imza üzerine bir veya daha fazla zaman damgası eklenmesiyle elde edilen elektronik imza tipidir. Zaman damgasının eklendiği verilere göre iki farklı imza tipi oluşur;

  1. XAdES-X Type 1 tipinde imza içerisine SigAndRefsTimeStamp elemanı eklenir ve zaman damgası SignatureValue ile birlikte CompleteCertificateRefs ve  CompleteRevocationRefs elemanlarına eklenir.
  2. XAdES-X Type 2 tipinde imza içerisine RefsOnlyTimeStamp elemanı eklenir ve zaman damgası yalnızca CompleteCertificateRefs ve  CompleteRevocationRefs elemanlarına eklenir.

XAdES Extended Long Electronic Signature with Time (XAdES-X-L)

XAdES-X-L, XAdES-X Type 1 veya XAdES-X Type 2 tipindeki imza üzerine CertificateValues ve RevocationValues elemanları eklenerek elde edilir. CertificateValues elemanı içerisinde elektronik imzada kullanılan tüm sertifikaların ve bu sertifikalara ait alt ve kök sertifikaların değerleri bulunmaktadır. RevocationValues içerisinde ise elektronik imza içerisinde yer alan tüm sertifikalara ait iptal bilgilerinin verileri yer almaktadır. Bu veriler doğrulamada kullanılmak üzere elektronik imzalı veri içerisinde tutulur. Böylece elektronik imza doğrulanırken dışarıdan hiç bir veriye ihtiyaç duymadan doğrulanabilir, çünkü doğrulama için gerekli olan tüm veriler imza içerisindedir.

XAdES Archival Electronic Signature (XAdES-A)

XAdES-A, XAdES-X-L tipinde imzalı veri içerisine xadesv141:ArchiveTimeStamp elemanı eklenerek elde edilir. Elektronik imza içerisindeki sertifikaların ve iptal bilgilerinin sürelerinin dolmasına veya sertifikaların iptal olmasına ve sertifika algoritmalarının geçersiz olmasına karşı doğrulama yapılabilmesi için elektronik imzalı verinin doğrulama süresini uzatır. XAdES-A adımında imzaya eklenen zaman damgası ile bu tarihten önce bu imza içerisindeki sertifikalar ve iptal bilgilerinin süreleri ve algoritmaları geçerlidir denilir. Elektronik imza içerisindeki sertifikaların bitiş sürelerine yaklaşıldığında, sertifikaların iptal olduğu veya algoritmalarının güvensiz olduğu duyurulduğunda imza üzerine arşiv zaman damgası eklenerek doğrulama süresi uzatılabilir.

Sonuç

CAdES imza formatının bir çok kullanım alanı olsa da XAdES imza formatı da E-Fatura, E-Reçete, KEP gibi bir çok büyük projede kullanılmaktadır. XAdES tipinde imza atmadan önce imzanın detach (ayrık)enveloped (zarflanmış)enveloping (zarflayan) seçeneklerinde hangisinde atılacağı, indipendent siganture (paralel imza) veya countersignature (seri imza) seçeneklerinden hangisiyle atılacağı kararlaştırılarak bu şekilde bir yapı oluşuturulmalıdırç

Referanslar

https://www.etsi.org/deliver/etsi_ts/101900_101999/101903/01.04.02_60/ts_101903v010402p.pdf
https://yazilim.kamusm.gov.tr/eit-wiki/doku.php?id=xades
https://yazilim.kamusm.gov.tr/eit-wiki/doku.php?id=xades_bes
https://yazilim.kamusm.gov.tr/eit-wiki/doku.php?id=xades-t
https://yazilim.kamusm.gov.tr/eit-wiki/doku.php?id=xades_x-long
https://yazilim.kamusm.gov.tr/eit-wiki/doku.php?id=xades-a
https://yazilim.kamusm.gov.tr/esya-api/doku.php?id=esya:xades:eimza-xades-kutuphanesi


 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir