Zaman Damgası Nedir, Nasıl Çalışır?


Zaman Damgası çoğunlukla elektronik imza işlemleriyle anılsada, tek kullanım alanı bu değildir. Öncelikle zaman damgası nedir, nasıl çalışır gibi konuları öğrenmekte fayda var. Sonrasında zaman damgasının kullanım alanlarından bahsedebiliriz.

Zaman Damgası Nedir?

Türkiye’de Geçerli Zaman Damgası hizmeti Elektronik Sertifika Hizmet Sağlayıcılar (ESHS) tarafından verilmektedir. Geçerli olması, hukuki olarak kanıtlanabilmesi açısından önem arz etmektedir. Aksi takdirde herkes kendi bilgisayarına bir zaman damgası sunucu uygulaması kurup, kendi ürettiği sertifikalarla zaman damgası işlemini gerçekleştirebilir.

Şimdi Zaman Damgası nedir? sorusuna açıklık getirelim. En genel tanımıyla; Zaman Damgası üzerine eklenen verinin, üzerine eklendiği zamandan önce varolduğunu kanıtlamak amacıyla kullanılır. Bu veri elektronik imza işlemlerinde imzanın belli bir tarihten önce atıldığını kanıtladığı gibi geçerlilik süresini de uzatmaktadır. Dijital ortamdaki her türlü elektronik veriye zaman damgası eklenebilir.

Zaman Damgası Nasıl Çalışır?

Zaman damgalanacak veri hazırlanır ve güvenli bir özet algoritmasıyla (SHA256, SHA512, ECC384 vb.) özet (hash) değeri hesaplanır.

Özet değeri Zaman Damgası sunucusuna gönderilir.

Bu sunucuya gelen özet değeri atomik/uydu kaynaklarından zaman bilgisini alarak özet değeriyle birlikte bir veri oluşturur.

HSM cihazları içerisinde Zaman Damgası için üretilen anahtarlarla imzalama işlemi gerçekleştirir. Imzalanan veri kullanıcıya tekrar gönderilir ve bu şekilde özet değeri hesaplanan verinin zaman damgası tarihinden önce varolduğu kanıtlanabilir hale gelir. ESHS’ler kendi zaman damgalarının kullanılabilmesi için API’lar geliştirmişlerdir ve bu şekilde Zaman Damgası işlemlerinin gerçekleştirilmesini sağlamaktadırlar. Zaman damgası işlemlerinin nasıl çalıştığı KamuSM web sitesinde güzel ve açıklayıcı bir şekilde anlatılmıştır.

Kullanım Alanı Nerelerdir?

Elektronik imza verilerinin doğruluğunu uzun süreler kanıtlayabilmek için Zaman Damgası kullanılmaktadır. Ayrıca, İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmelik gereğinceyer sağlayıcılar, “Yer sağlayıcı trafik bilgisini altı ay saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü, oluşan verilerin dosya bütünlük değerlerini zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle” yükümlüdür. Bunun dışında, bir çok ESHS kendi Zaman Damgası hizmetlerini, sanatçılar, tasarımcılar, yazarlar gibi bir çok meslek dalında eserlerin üzerinde fikri ve mülki kullanım hakkı elde edebilmeleri için sunmaktadırlar. EGüven firmasına ait tasdix ve pikzum gibi hizmetler yine verilerin güvenliği için sağlanan servislerdir. Yurtdışında da bu hizmetleri sunan yapılar bulunmaktadır.

Nereden Temin Edilir?

Yazının başında da belirttiğim gibi Zaman Damgası hizmetinden alınan verinin kanıtlanabilir ve hukuki olarak geçerli olması için ülkemizde, Elektronik Sertifika Hizmet Sağlayıcılardan alınmalıdır. Tüm ESHS firmaları kendi zaman damgası sunucularından hizmet alınabilmesi için API’lar geliştirmişlerdir. Burada dikkat edilmesi gereken konu zaman damgası hizmeti alındığında zaman damgasını kullanabilecek API’ında ayrıca alınması gerekliliğidir. Firmaların hemen hemen hepsi Zaman Damgası ücretlendirmesini işlem başı kontör düşecek şekilde tasarlamışlardır. Tubitak KamuSM test zaman damgası hizmeti vermektedir.

Geliştiriciler için ise şöyle bir seçenek sunabilirim. Bir Isveç firması olan PrimeKeytarafından geliştirilmiş SignServer ürünü zaman damgası hizmeti de sunmaktadır. Bir sunucu veya sanal sunucu üzerine bu ürünün kurulumunu yapabilir ve zaman damgası hizmetini test etmek için kendi ortamınızı kurabilirsiniz. Elbette burası biraz karışık çünkü SignServer ile zaman damgası işlemlerini gerçekleştirmek için anahtar çifti (public, private key) üretmelisiniz ve bu anahtar çifti ile zaman damgası işlemleri yapmalısınız. Bu anahtar çiftini de yine PrimeKey ürünü olan EJBCA ürününü kurarak gerçekleştirebilirsiniz, fakat bunu bir seferlik yapacak ve test edecekseniz daha kolay yöntemler (kod üzerinden anahtar çifti üretmek gibi) kullanabilirsiniz.

Çevrimdışı Zaman Damgası

Tubitak KamuSM tarafından ülkemizde ZDC-500 ismi ile üretilen hem HSM cihazı hem Zaman Damgası sunucusu ile kurumlar kendi iç ağlarında internet ile herhangi bir bağlantı kurmadan verilere Zaman Damgası ekleyebilmektedir. ZDC-500 ile ilgili detaylı bilgiye buradan ulaşılabilir.

Sonuç

Günümüzde veri çok önemli bir yere sahip olmaya başladı. Elbette önemi arttıkça dijital ortamda kirli verinin yanı sıra kopya verilerde çoğalmaya başladı. Eğer bahsi geçen veri önemsiz ise bu verinin kopyalanması değiştirilmesi sahibini çok etkilemeyecektir, fakat bu veri sahibine para kazandırıyor, değiştirilmesini istemiyor ve kendine ait olduğunu kanıtlamak istiyorsa Zaman Damgası hizmetlerinden faydalanılabilir.

Referanslar


 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir