ELEKTRONİK İMZA (e-imza)

Transkript

1 ELEKTRONİK İMZA (e-imza) Prof.Dr. Şeref SAĞIROĞLU Gazi Üniversitesi Mühendislik-Mimarlık Fakültesi Bilgisayar Mühendisliği Bölümü Maltepe/Ankara E-imza? Kanunu Ne kadar güvenli? Donanımları ÖZET Gizlilik Şifreleme algoritmaları E-imza çalışma mekanizması Uygulama Alanları Kurumsal Uygulamalar Sonuç ve Değerlendirme Geleneksel İmzanın Kullanımı ve Özellikleri Geleneksel imza, elle atılır imzalayanın adı ve soyadını içerir değişmeyen bir şekle sahiptir imzalayan kişinin, imzalanan dokümanın içeriğini anladığını ve onayladığını gösterir imza yerine kullanılan en eski yöntem mühürlerdir Elektronik İmza Kriptografik dönüşümdür Mesajın sonuna eklenir Mesaj alıcısının, mesajın göndericisinin kimliğini doğrulamasını ve mesajın bütünlüğünü kontrolünü sağlar Kimliğini açıkça duyurma hizmetini sağlar Asimetrik kriptografi kullanır. E-imza Çift anahtarlı bir şifreleme yöntemine dayanarak, bir elektronik verinin özetinin şifrelenmesiyle oluşturulan veri İmza için ön koşul, şifreleme yönteminin kendisiyle sağlanıyor Anahtar çifti gizli ve açık bir ikiliden oluşuyor Çiftin birinin şifrelediğini diğeri çözebiliyor Açık anahtardan gizli anahtar elde edilemiyor Gizli anahtar imza sahibinde saklı kalıyor 5070 Sayılı E-imza Kanunu 15 Ocak 2004 tarihinde TBMM Genel Kurulunda kabul edildi. 23 Ocak 2004 tarihinde sayılı Resmi Gazetede yayımlandı ve yasalaştı. 23 Ocak 2005 (uygulama başlangıç tarihi) 1

2 E-imza nedir? E-imza nedir? 5070 sayılı Elektronik İmza Kanunu Elektronik imza, başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veridir. Elle atılan imzanın elektronik formda ifade edilmiş şeklidir. Kullanıcı kimliği ve şifrelerini kapsar. Tekildir. Hukuken geçerlidir. Güvenli elektronik imza? Elektronik İmza a) Münhasıran imza sahibine bağlı olan b) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan c) Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan = = e894859f dab45454ca0908d8809 Niçin E-imza? Kullanıcı Kimliği Güncel teknolojileri kullanarak; işlemleri güvenli bir şekilde yapmak, iş verimliliğini arttırmak, iş akışını, iş ve işlemleri hızlandırmak, bürokrasiyi azaltmak, dünya ile hızlıca entegre olmak dünya pazarlarına açılmak kağıttan elektronik belgelemeye geçişi sağlamak hayatı kolaylaştırmak. Seri No 9999 Sertifika Sahibi Kurum Yayınlayan E-posta Adresi Şeref Sağıroğlu Gazi Üniversitesi Tübitak ss@gazi.edu.tr Yayın Tarihi Son Kullanım Tübitak Sayısal e894859f dab45454ca09 08d8809 Ae89349c989893e d b0802 3f9e903fbafde345l62e234 2

3 Elektronik İmza Güvenli mi? 64 bitlik bir anahtar = bitlik bir anahtarı tahmin yoluyla elde etme olasılığı 1/2 64 = 1/10 19 Bir anahtarın denemeyle bulunması Anahtar Uzunluğu Sayı Değeri 10 6 şifre/s 10 9 şifre/s şifre/s 32 bit ~4x dak 2.16 s 2.16 ms 40 bit ~ gün 9 dak 1 s 56 bit ~7.2x yıl 1 yıl 2 ay 10 saat 64 bit 1.8x yıl 292 yıl 3.5 ay 128 bit 1.7x x10 24 yıl 5.4x10 21 yıl 5.4x10 18 yıl Elektronik İmza Elektronik İmza Donanımları Şifreleme Algoritmaları? Şifreleme Algoritmaları? Bilgileri korumak için kullanılırlar. Bilgiyi bir formdan diğerine aktarırlar. Matematiksel ifadelerdir. Bilinseler bile çözümleri yıllarca sürebilir. Simetrik ve Asimetrik olabilirler. Gizlilik, bütünlük, kimlik doğrulama desteği verebilirler. Güvenilirlikleri anahtar uzunluğuna bağlıdır. Anahtar Anahtar Şifreli Mesaj Şifreleme Algoritması Y=f(X) Deşifreleme Algoritması X=f -1(Y) Şifreli Mesaj 3

4 Şifreleme Algoritmaları (SİMETRİK) Simetrik (Gizli Anahtarlı) Şifreleme Açık Metin Şifreleme işlemi Şifrelenmiş Bilgi veya Açık Metin Şifre çözme işlemi ŞİFRELEME ALGORİTMASI Şifrelenmiş Mesaj ğ87.9!^f +^%/d %++TGHEé^ Rşou wrfhwrf RWR^^! ^^+..iü(()qedfhf sjsd ŞİFRE ÇÖZME ALGORİTMASI Gizli Anahtar Şifreleme Algoritmaları (ASİMETRİK) Asimetrik (lı) Şifreleme Bilgi veya Açık Metin şifreleme işlemi Şifrelenmiş Bilgi Şifre çözme işlemi Bilgi veya Açık Metin ŞİFRELEME ALGORİTMASI Şifrelenmiş Mesaj Daı389.şi;;Ü134Qwer h.ıemeeeç..i!^e3e1o Ğ5we!%kog0*fh9fgkss r490kd*45kmfzğc-0hh ŞİFRE ÇÖZME ALGORİTMASI Alıcının Açık Anahtarı Alıcının Özel Anahtarı E-imza Çalışma Mekanizması? E-imza ile Bütünlük Sağlama Göndericinin Özel Anahtarı İMZALAMA ALGORİTMASI + Mesajın Açık ve İmzalı Mesaj Mesajın Göndericinin Açık Anahtarı ONAYLAMA ALGORİTMASI =? Gizli Anahtar Özetleme Algoritması Mesaj Özeti İMZALAMA ALGORİTMASI + Özetin Açık Mesaj Özetin Özetleme Algoritması Mesaj Özeti Açık Anahtar ONAYLAMA ALGORİTMASI =? 4

5 Özetleme Fonksiyonu Özetleme Fonksiyonu Sabit çıkış uzunluğu (mesajdan çok kısa) Mesajdaki küçük değişiklikler bile özette büyük değişikliklere yol açabilir. Kriptografik tek yönlü fonksiyon Bir mesajın özetini elde etmek kolay Bir özetten asıl mesajı çıkarmak çok zor E-İmza ile Bilgi Güvenliğin Boyutu? Kimlik kanıtlama Gizlilik (kısmen) Bütünlük (kısmen) İnkar edememe Süreklilik AAA Neden Gereklidir? Asimetrik kriptografi sistemlerini gerçekleştirmek, Açık ve özel anahtarları yönetmek Güvenlik boyutunu sağlamak Gizlilik, Bütünlük, İnkar Edememe, Kimlik Kanıtlama, Süreklilik, Hukukî geçerliliğini desteklemek Anti-virüs Güvenlik Duvarları Erişim Denetimi Şifreleme Sayısal İmza Kimlik Doğrulama Gizlilik Bütünlük İnkâr Edememe Altyapısı Altyapısı Kök Sertifikasyon Makamı Prensip Yönetim Makamı Örnek E-imza veya Sertifika Dizin Sunucu/ Sertifika Deposu Sertifikasyon Makamı 1 Ayşe Internet/Intranet A Bora Sertifikasyon Makamı N Web Sunucusu Web Sertifikasyon Prensipleri Sertifika Uygulama Kuralları Açık anahtarı taşıyan X.509 Sertifikası Özel anahtar Seri No 9999 Sertifika Sahibi Kurum Yayınlayan E-posta Adresi Şeref Sağıroğlu Gazi Üniversitesi Tübitak Ss@gazi.edu.tr Yayın Tarihi Son Kullanım Tübitak Sayısal e894859f dab45454ca09 08d8809 Ae89349c989893e d b0802 3f9e903fbafde345l62e234 Bora 5

6 Sertifikalar Sertifikasyon Prensipleri Sertifika Makamı e-ticaret dünyasının güvenilen kurumlarıdır sayısal sertifikaların sahiplerini ispat etmelidirler güvenli ve güvenilir olmalıdırlar sertifikaların yaşam sürecini yönetebilmelidirler (sertifika verme, iptal etme, yenileme, sonlandırma) Seri No 9999 Sertifika Sahibi Kurum Yayınlayan E-posta Adresi Şeref Sağıroğlu Gazi Üniversitesi Tübitak Yayın Tarihi Son Kullanım Prensip Tübitak Sayısal E-posta imzalama, dosya imzalama e894859f dab45454ca09 08d8809 Ae89349c989893e d b0802 3f9e903fbafde345l62e234 Akıllı Kart / Token Cihazları SERTİFİKA KULLANIM ALANLARI Akıllı kartlar kullanıcılara ait özel anahtarların muhafaza edilmesi için en güvenli ortamı sunar. Akıllı kartlar, programlanabilir alanları olan, dayanıklı, taşınabilir bilgisayarlardır. Bir kredi kartı ile aynı büyüklükte ve şekildedir. Veri güvenliği, kimlik gizliliği ve mobil kullanıcı ihtiyaçlarına sahip sistemlerde faydalıdır. Güvenli e-posta haberleşmesi Bilgisayar ortamında saklanan verilerin imzalı ve şifreli saklanması (Masaüstü Güvenliği/Desktop Security) Akıllı Kartla Güvenli Oturum Açma (Windows Logon) İmzalı Formlar (Signed Forms) Sayısal Noter Kod İmzalama XML İmzalama İnternet protokolü Güvenliği (Internet Protokol Security) Taşıma Katmanı Güvenliği Güvenli Yuvalar Katmanı Güvenilir Zaman Damgası Sanal Özel Ağ E-İmzanın Uygulama Alanları Sosyal güvenlik uygulamaları Kurum içi veya dışı resmi yazışmalar Vergi ve prim ödemeleri Ticari, hukuki bireysel ve kurumsal resmi başvuru işlemleri ve sonuçları Oy verme işlemleri Bankacılık/Finans Sigortacılık işlemleri Ticari sözleşmeler Elektronik alışveriş Altyapısı (AAA) Prensipler/Politikalar Kayıt Makamı Sertifika Makamı Dizin Sunucu Sertifika Sunucu Kullanıcılar Kök Sertifika Makamı 6

7 AAA Bileşenleri Altyapısı (AAA) Kök SM Sertifikasyon Makamı Kayıt Makamı Sertifika Deposu Arşiv Modülü Sertifika Kullanıcılar Kriptografik Anahtar Çiftleri Sayısal Sertifikalar Sertifika İptal Listesi (SİL) Sertifikasyon Prensipleri Sertifikasyon Yolu Akıllı Kart / Token Cihazları AAA Yönetim Protokolleri Prensipler/ Politikalar Kayıt Makamı Kullanıcılar Sertifika Makamı (Kullanıcılar için Sertifika ve Anahtar Yönetimi) Sertifika Sunucu (Talep, Erişim) Kök Sertifika Makamı (SM ler için) Dizin Sunucu (Kişisel Bilgiler, SİL) Altyapısı (AAA) AAA (Kök Sertifika Makamı ve SM) Kimlik kanıtlama Gizlilik Bütünlük İnkar edememe Süreklilik Özel SM TRANSCOM Kök SM SM Kamu SM SM-1 SM-2 Maliye Nüfus SM SM AAA Mimarisi (Hiyerarşik) Ülkemiz AAA Yapısı Kök SM Kök SM Kök Sertifika Makamı (TÜBİTAK/UEKAE) SM1 SM2 SM1 SM2 Kamu Sertifika Merkezi (Makamı) (TÜBİTAK/UEKAE) e- Güven SM-1 TürkTrust SM-2 SM3 SM4 SM3 SM4 SM5 Telekomünikasyo Maliye n Kurumu (TK) Bakanlığı Gazi Üniversitesi Yeni SM eklemek kolaydır TK çalışanları Maliye B. çalışanları Gazi Üniv. çalışanları e- vatandaşlar e-kuruluş e-şirket e-banka 7

8 AAA Niçin Önemli? (1) AAA Niçin Önemli? (2) İş ve işlem sürelerini kısaltmak, Hizmet ve yaşam kalitesini arttırmak, Uluslararası işbirliği sağlamak, arttırmak ve hızlandırmak, Mevcut kaynakların verimli kullanımını sağlamak, Kişi ve kurumların, güvenli ve hızlı haberleşmelerini desteklemek, Ortamdan bağımsız güvenlik sağlamak, Düşük maliyetli ve yüksek güvenlikli haberleşme sistemleri oluşturmak, Ulusal ve uluslararası ekonomik işbirliğini arttırmak ve hızlandırmak, Ülke bilgi güvenliğinin sağlanmasına katkıda bulunmak, Ulusal, kurumsal ve kişisel bilgi güvenliğinin sağlanmasını desteklemek, Bilişim teknolojilerinin güvenli olarak kullanımının sağlanmasına katkıda bulunmak, Hukuki sorumlulukları yerine getirmek, Bilişim teknolojilerinin kullanımının yaygınlaştırılmasına katkıda bulunmak, Bilişim suçlarının artmasını önlemek, AAA Niçin Önemli? (3) Karşılaşılabilecek Problemler? (1) AB ye geçiş ve entegrasyon sürecini hızlandırmak, Teknolojinin nimetlerinden faydalanmak, Uluslararası standartları kullanmak ve uygulamak, Kayıtların, elektronik ortamlarda kolaylıkla arşivlemesini ve kontrolünü sağlamak, E-devlet e geçiş sürecini hızlandırmak, Kime güvenmeliyim? Niçin? Anahtarım kopyalanabilir mi? Doğrulamayı yapan bilgisayar güvenli mi? Benim ismimde başka bir kullanıcı var mı? SM ye gerçekten güvenmeli miyim? Kullanıcı olarak güvenlik tasarımının bir parçası mıyım? Bu teknolojiyi kullanmak için güvenlik uzmanı mı olmalıyım? Bu sistemlerin hiç açıkları yok mu? Karşılaşılabilecek Problemler? (2) Altyapısı Kök Sertifikasyon Makamı Prensip Yönetim Makamı Bilgi ve bilgisayar sistemleri güvenliğinin bilinmesi zorunluluğu, Kayıt esnasında yaşanabilecek zorluklar, Ücretli olarak sertifikaların sunulması, Sertifikaların tekrar üretilmesinde karşılaşılan problemler, Kullanılacak makamlara güven sorunu, İptal edilmiş sertifikaların zamanında öğrenilememesi, Sertifika iptalinin getirdiği ek yükler, Uygulamalarda yaşanabilecek, fakat o ana kadar karşılaşılmayan problemler, Sunucu bilgisayarların sistemler arası bilgi alışverişini otomatik olarak yapmalarından dolayı karşılaşılabilecek sorunlar Dizin Sunucu/ Sertifika Deposu Sertifikasyon Makamı 1 Ayşe Internet/Intranet A Bora Bora Sertifikasyon Makamı N Web Sunucusu Web Sertifikasyon Sertifika Prensipleri Uygulama Kuralları Açık anahtarı taşıyan X.509 Sertifikası Özel anahtar 8

9 Örnek E-imza veya Sertifika Sertifikasyon Prensipleri Seri No 9999 Sertifika Sahibi Kurum Yayınlayan E-posta Adresi Şeref Sağıroğlu Gazi Üniversitesi Tübitak Yayın Tarihi Son Kullanım Tübitak Sayısal e894859f dab45454ca09 08d8809 Ae89349c989893e d b0802 3f9e903fbafde345l62e234 Seri No 9999 Sertifika Sahibi Kurum Yayınlayan E-posta Adresi Şeref Sağıroğlu Gazi Üniversitesi Tübitak Yayın Tarihi Son Kullanım Prensip Tübitak Sayısal E-posta imzalama, dosya imzalama e894859f dab45454ca09 08d8809 Ae89349c989893e d b0802 3f9e903fbafde345l62e234 AAA da Haberleşme? (1) AAA da Haberleşme? (2) Sertifika Deposu Kök SM Sertifika Deposu SM SM A nın sertifikası? İnternet A A B Özel Anahtar A B AAA da Haberleşme? (3) SERTİFİKA KULLANIM ALANLARI A nın sertifikası? A Sertifika Deposu İnternet SM A B Güvenli e-posta haberleşmesi Bilgisayar ortamında saklanan verilerin imzalı ve şifreli saklanması (Masaüstü Güvenliği/Desktop Security) Akıllı Kartla Güvenli Oturum Açma (Windows Logon) İmzalı Formlar (Signed Forms) Sayısal Noter Kod İmzalama XML İmzalama İnternet protokolü Güvenliği (Internet Protokol Security) Taşıma Katmanı Güvenliği Güvenli Yuvalar Katmanı Güvenilir Zaman Damgası Sanal Özel Ağ 9

10 E-imza Uygulamaları E-imza Uygulamaları E-İmzalı E-posta Bankacılığı Başlıyor Alman Bankaları Phishing'e Karşı e-imza Kullanıyor Koçbank Koçbank müşterileri, hesapları ile ilgili bankaya göndermek istedikleri talimatları, digital imzalı e-posta aracılığıyla ulaştırabilecek. Müşterilerin göndereceği talimat e-postaları, Koçbank tarafından verilmiş olan elektronik sertifikalar ile imzalı olarak gönderilecek. Geçerli talimatlar, bağlı olunan şubenin sistemine aktarılacak ve işlemin gerçekleştirilmesini müşteri temsilcisi sağlayacak. Banka yaptığı duyuruda, müşterileri ile yapacakları bütün haberleşmelerinde elektronik imza kullanacaklar Bu yıl içerisinde uygulama yaygınlaştırılacak.. Pilot olarak uygulamak için altyapı çalışmaları sürüyor.. Postbank 11 milyon lokal ve 1,7 milyon online bankacılık müşterisi Sistemin tamamı henüz sadece Microsoft outlook tarafından destekleniyor. Almanya'da Postbank ya da diğer bankalara yapılan saldırıların, banka müşterilerinin % 80'inde sisteme karşı güvensizlik oluşturduğu bildiriliyor. Dış Ticaret Müsteşarlığı Kamuda ilk E-İmza Uygulayıcısı KURUMSAL UYGULAMALAR Dahilde İşleme Rejimi Otomasyon Projesi Ülkemiz genel ihracatının yarısına yakın bir bölümünün gerçekleştiği Dahilde İşleme Rejimi hazırlanan proje ile internetten başvurulabilir ve takip edilebilir duruma gelmiştir. DİR Otomasyon Projesi Dahilde İşleme İzin Belgelerinin, düzenlenme aşamasından taahhüt hesaplarının kapatılmasına kadar geçen süreci, hazırlanan web tabanlı ( program ile internet üzerinden gerçekleştirmeyi sağlayan bir projedir. 10

11 DTM DİR Otomasyon Projesi Kamuda ilk elektronik imza uygulaması Dahilde İşleme İzin Belgeleri, Hariçte İşleme İzin Belgeleri, Yurtiçi Satış ve Teslim Belgeleri ile Vergi Resim ve Harç İstisnası Belgelerinin düzenlenme aşamasından taahhüt hesaplarının kapatılmasına kadar geçen süreci Gazi Üniversitesi ve e-imza Çalışmalar Şubat 2006 ayında başladı. Pilot olarak uygulamak için Gerekli girişimler yapıldı. Altyapı çalışmaları sürüyor.. Bu yıl içerisinde uygulama yaygınlaştırılacak.. Telekomünikasyon Kurumu DOĞAL GAZ Çalışmalar 2005 ayında başladı. Elektronik Dokümantasyon sistemi kuruldu, E-imza entegrasyonu sağlandı. Deneme yapılıyor. Birkaç ay içerisinde tamamen e-kurum olacak... İZGAZ ZETACAD isimli "Doğalgaz Projesi Tasarım Yazılımı"na gerçekleştirdiği e-imza entegrasyonu sayesinde doğalgaz sektöründe projeleri çizen mühendisler ve onaylayan gaz dağıtım şirketlerinin yetkilileri e-imza kullanmaya başladı. Hızla yaygınlaşan bu e-imza uygulamalı doğalgaz proje tasarımı, Bursa, Balıkesir, Bandırma, Kayseri ve Samsun, Ereğli, Düzce ve İzmit Şu ana kadar bu illerde 300'den fazla mühendis tarafından başarıyla kullanılıyor. Özellikle büyük şehirlerdeki gaz dağıtım şirketlerinin ve doğal gaz projesi çizen mühendislerin de e-imza uygulamasına geçmesiyle, kullanıcısı sayısının 5000'i geçeceği tahmin edilmektedir. Dijital olarak onaya gönderilen projeler, eğer elektronik olarak imzalanmışsa elle imza atmak için onay kurumuna gidilmesine gerek kalmamaktadır. Aynı zamanda proje çıktısı, istenirse artık sadece arşiv ve tesisat kabul kontrolü için alınacağından proje çıktıları daha basit usullerle ve daha az kopya sayısında alınmakta ve maliyetler oldukça düşmektedir. Güney Kore ÜLKE UYGULAMALARI 48 milyon nüfus; kişi başı 15,000 dolar milli gelir; yaygın ve geniş bant internet erişimi 1999 yılında ilk yasa; 2001 ve 2003 revizyonları 6 sertifika hizmet sağlayıcısı; 2000 yılında 50,000 kullanıcıdan 2003 yılında 7,000,000 kullanıcıya hızlı bir yaygınlaşma 11

12 Hong Kong 7 milyon nüfusa karşılık 6 milyonun üzerinde cep telefonu kullanıcısı; 2.5 milyon internet hesabı; yarısı geniş banttan erişiyor Kimlik belgelerinin akıllı kartlarla değiştirilmesine karar verilmiş; 4 yıllık bir geçiş planı hazırlanmış Diğer örnekler Finlandiya son 2 yılda sadece 14,000 kişiye akıllı kart üzerinde kimlik verebildi Almanya 1997 yasasını, 2001 yılında revize etti; 2001 yılında kadar sayısı 3 olan hizmet sağlayıcılar 20 ye kadar artmış ABD 2000 yılında federal yasayı çıkardı; 2003 yılı için kağıtsız devlet hedefini koydu Ülkemiz 4 ESHS (3 Özel+1 Kamu) Yaklaşık in üzerinde kullanıcı 5 Kurumda kendi ESHS kurabilir. Hayatımıza Etkileri Dahili Kullanım Güvenilir tanımlama ve onay mekanizması Güvenli operasyon (İK kayıtları, bordro bildirimleri...) Azalan kağıt işlemi ve sarfiyatı Hızlı ve verimli hizmetler Kolaylıkla takip edilebilir işlemler Hayatımıza Etkileri Harici Kullanım E-ticaret işlemlerinde sahtekarlığın azaltılması Kağıt tabanlı işlemlerin ve bunu takip eden süreçlerin iyileştirilmesi E-ticaret aktivitelerin önünde yer alan bazı engellerin kaldırılması Daha ucuz ve daha hızlı servis verilmesi Yeni pazarlara açılma olasılığı Yeni hizmetlere olanak açılması Saptamalar Elektronik imza beklenen hızda yaygınlaşmıyor Yasalaşma bir gerekli koşul olmakla birlikte yeter koşul olarak algılanmamalı Genel sosyo-ekonomik düzey de gerekli olmakla birlikte yeterli görülmemeli Sayısal devlete geçiş yavaş Kaynak sıkıntısı bahane ediliyor. Uzman insan sayısı az.. 12

13 Ülkemizde Neler yapılabilir? E-dokümantasyon çalışmaları hızlanmalı Bilgi güvenliği bilinci yaygınlaştırılmalı Dokümantasyon takip sistemi içerisinde e- imza kullanımı başlamalı Sınavlara e-imzalı müracaat yolu açılmalı E-devlet çerçevesinde diğer birimlerle haberleşme teşvik edilmeli veya bazı kurumlar zorlanmalı Günlük hayatta kullanım.. E-imza konusunda genel bir eğitim verilmeli ELEKTRONİK İMZA WEB PORTALI Kitap: Her Yönüyle E-İmza E-İMZA KANUNU BİRİNCİ KISIM Amaç, Kapsam ve Tanımlar Amaç MADDE 1. Bu Kanunun amacı, elektronik imzanın hukukî ve teknik yönleri ile kullanımına ilişkin esasları düzenlemektir. Kapsam MADDE 2. Bu Kanun, elektronik imzanın hukukî yapısını, elektronik sertifika hizmet sağlayıcılarının faaliyetlerini ve her alanda elektronik imzanın kullanımına ilişkin işlemleri kapsar. Tanımlar MADDE 3. Bu Kanunda geçen; a) Elektronik veri: Elektronik, optik veya benzeri yollarla üretilen, taşınan veya saklanan kayıtları, b) Elektronik imza: Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi, c) İmza sahibi: Elektronik imza oluşturmak amacıyla bir imza oluşturma aracını kullanan gerçek kişiyi, d) İmza oluşturma verisi: İmza sahibine ait olan, imza sahibi tarafından elektronik imza oluşturma amacıyla kullanılan ve bir eşi daha olmayan şifreler, kriptografik gizli anahtarlar gibi verileri, e) İmza oluşturma aracı: Elektronik imza oluşturmak üzere, imza oluşturma verisini kullanan yazılım veya donanım aracını, BİRİNCİ KISIM Amaç, Kapsam ve Tanımlar Amaç f) İmza doğrulama verisi: Elektronik imzayı doğrulamak için kullanılan şifreler, kriptografik açık anahtarlar gibi verileri, g) İmza doğrulama aracı: Elektronik imzayı doğrulamak amacıyla imza doğrulama verisini kullanan yazılım veya donanım aracını, h) Zaman damgası: Bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve / veya kaydedildiği zamanın tespit edilmesi amacıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kaydı, ı) Elektronik sertifika: İmza sahibinin imza doğrulama verisini ve kimlik bilgilerini birbirine bağlayan elektronik kaydı, j) Kurum: Telekomünikasyon Kurumunu, İKİNCİ KISIM Güvenli Elektronik İmza ve Sertifika Hizmetleri BİRİNCİ BÖLÜM Güvenli Elektronik İmza, Güvenli Elektronik İmza Oluşturma ve Doğrulama Araçları Güvenli elektronik imza MADDE 4. Güvenli elektronik imza; a) Münhasıran imza sahibine bağlı olan, b) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, c) Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan, Elektronik imzadır. İfade eder. 13

14 İKİNCİ KISIM Güvenli Elektronik İmza ve Sertifika Hizmetleri BİRİNCİ BÖLÜM Güvenli Elektronik İmza, Güvenli Elektronik İmza Oluşturma ve Doğrulama Araçları İKİNCİ KISIM Güvenli Elektronik İmza ve Sertifika Hizmetleri BİRİNCİ BÖLÜM Güvenli Elektronik İmza, Güvenli Elektronik İmza Oluşturma ve Doğrulama Araçları Güvenli elektronik imzanın hukukî sonucu ve uygulama alanı MADDE 5. Güvenli elektronik imza, elle atılan imza ile aynı hukukî sonucu doğurur. Kanunların resmî şekle veya özel bir merasime tabi tuttuğu hukukî işlemler ile teminat sözleşmeleri güvenli elektronik imza ile gerçekleştirilemez. Güvenli elektronik imza oluşturma araçları MADDE 6. Güvenli elektronik imza oluşturma araçları; a) Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmamasını, b) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiçbir biçimde çıkarılamamasını ve gizliliğini, c) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin, üçüncü kişilerce elde edilememesini, kullanılamamasını ve elektronik imzanın sahteciliğe karşı korunmasını, d) İmzalanacak verinin imza sahibi dışında değiştirilememesini ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesini, Sağlayan imza oluşturma araçlarıdır. İKİNCİ KISIM Güvenli Elektronik İmza ve Sertifika Hizmetleri BİRİNCİ BÖLÜM Güvenli Elektronik İmza, Güvenli Elektronik İmza Oluşturma ve Doğrulama Araçları Güvenli elektronik imza doğrulama araçları MADDE 7. Güvenli elektronik imza doğrulama araçları; a) İmzanın doğrulanması için kullanılan verileri, değiştirmeksizin doğrulama yapan kişiye gösteren, b) İmza doğrulama işlemini güvenilir ve kesin bir biçimde çalıştıran ve doğrulama sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren, c) Gerektiğinde, imzalanmış verinin güvenilir bir biçimde gösterilmesini sağlayan, d) İmzanın doğrulanması için kullanılan elektronik sertifikanın doğruluğunu ve geçerliliğini güvenilir bir biçimde tespit ederek sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren, e) İmza sahibinin kimliğini değiştirmeksizin doğrulama yapan kişiye gösteren, f) İmzanın doğrulanması ile ilgili şartlara etki edecek değişikliklerin tespit edilebilmesini sağlayan, İmza doğrulama araçlarıdır. İKİNCİ BÖLÜM Elektronik Sertifika Hizmet Sağlayıcısı, Nitelikli Elektronik Sertifika ve Yabancı Elektronik Sertifikalar MADDE 8. Elektronik sertifika hizmet sağlayıcısı, elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir. Elektronik sertifika hizmet sağlayıcısı, Kuruma yapacağı bildirimden iki ay sonra faaliyete geçer. Elektronik sertifika hizmet sağlayıcısı yapacağı bildirimde; a) Güvenli ürün ve sistemleri kullanmak, b) Hizmeti güvenilir bir biçimde yürütmek, c) Sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri almak, İle ilgili şartları sağladığını ayrıntılı bir biçimde gösterir. Kurum, yukarıdaki şartlardan birinin eksikliğini veya yerine getirilmediğini tespit ederse, bu eksikliklerin giderilmesi için, elektronik sertifika hizmet sağlayıcısına bir ayı geçmemek üzere bir süre verir, bu süre içinde elektronik sertifika hizmet sağlayıcısının faaliyetlerini durdurur. Sürenin sonunda eksikliklerin giderilmemesi halinde elektronik sertifika hizmet sağlayıcısının faaliyetine son verir. Kurumun bu kararlarına karşı 19 uncu maddenin ikinci fıkrası hükümleri gereğince itiraz edilebilir. Elektronik sertifika hizmet sağlayıcılarının faaliyetlerinin devamı sırasında bu maddede gösterilen şartları kaybetmeleri hâlinde de yukarıdaki fıkra hükümleri uygulanır. Elektronik sertifika hizmet sağlayıcıları, Kurumun belirleyeceği ücret alt ve üst sınırlarına uymak zorundadır. İKİNCİ BÖLÜM Elektronik Sertifika Hizmet Sağlayıcısı, Nitelikli Elektronik Sertifika ve Yabancı Elektronik Sertifikalar MADDE 9. Nitelikli elektronik sertifika da; a) Sertifikanın "nitelikli elektronik sertifika" olduğuna dair bir ibarenin, b) Sertifika hizmet sağlayıcısının kimlik bilgileri ve kurulduğu ülke adının, c) İmza sahibinin teşhis edilebileceği kimlik bilgilerinin, d) Elektronik imza oluşturma verisine karşılık gelen imza doğrulama verisinin, e) Sertifikanın geçerlilik süresinin başlangıç ve bitiş tarihlerinin, f) Sertifikanın seri numarasının, g) Sertifika sahibi diğer bir kişi adına hareket ediyorsa bu yetkisine ilişkin bilginin, h) Sertifika sahibi talep ederse meslekî veya diğer kişisel bilgilerinin, ı) Varsa sertifikanın kullanım şartları ve kullanılacağı işlemlerdeki maddî sınırlamalara ilişkin bilgilerin, j) Sertifika hizmet sağlayıcısının sertifikada yer alan bilgileri doğrulayan güvenli elektronik imzasının, Bulunması zorunludur. Elektronik sertifika hizmet sağlayıcısının yükümlülükleri MADDE 10. Elektronik sertifika hizmet sağlayıcısı; a) Hizmetin gerektirdiği nitelikte personel istihdam etmekle, b) Nitelikli sertifika verdiği kişilerin kimliğini resmî belgelere göre güvenilir bir biçimde tespit etmekle, c) Sertifika sahibinin diğer bir kişi adına hareket edebilme yetkisi, meslekî veya diğer kişisel bilgilerinin sertifikada bulunması durumunda, bu bilgileri de resmî belgelere dayandırarak güvenilir bir biçimde belirlemekle, d) İmza oluşturma verisinin sertifika hizmet sağlayıcısı tarafından veya sertifika talep eden kişi tarafından sertifika hizmet sağlayıcısına ait yerlerde üretilmesi durumunda bu işlemin gizliliğini sağlamak veya sertifika hizmet sağlayıcısının sağladığı araçlarla üretilmesi durumunda, bu işleyişin güvenliğini sağlamakla, e) Sertifikanın kullanımına ilişkin özelliklerin ve uyuşmazlıkların çözüm yolları ile ilgili şartların ve kanunlarda öngörülen sınırlamalar saklı kalmak üzere güvenli elektronik imzanın elle atılan imza ile eşdeğer olduğu hakkında sertifika talep eden kişiyi sertifikanın tesliminden önce yazılı olarak bilgilendirmekle, f) Sertifikada bulunan imza doğrulama verisine karşılık gelen imza oluşturma verisini başkasına kullandırmaması konusunda, sertifika sahibini yazılı olarak uyarmak ve bilgilendirmekle, g)yaptığı hizmetlere ilişkin tüm kayıtları yönetmelikle belirlenen süreyle saklamakla, h) Faaliyetine son vereceği tarihten en az üç ay önce durumu Kuruma ve elektronik sertifika sahibine bildirmekle, Yükümlüdür. Elektronik sertifika hizmet sağlayıcısı üretilen imza oluşturma verisinin bir kopyasını alamaz veya bu veriyi saklayamaz. 14

15 Nitelikli elektronik sertifikaların iptal edilmesi MADDE 11. Elektronik sertifika hizmet sağlayıcısı; a) Nitelikli elektronik sertifika sahibinin talebi, b) Sağladığı nitelikli elektronik sertifikaya ilişkin veri tabanında bulunan bilgilerin sahteliğinin veya yanlışlığının ortaya çıkması veya bilgilerin değişmesi, c) Nitelikli elektronik sertifika sahibinin fiil ehliyetinin sınırlandığının, iflâsının veya gaipliğinin ya da ölümünün öğrenilmesi, Durumunda vermiş olduğu nitelikli elektronik sertifikaları derhâl iptal eder. Elektronik sertifika hizmet sağlayıcısı, nitelikli elektronik sertifikaların iptal edildiği zamanın tam olarak tespit edilmesine imkân veren ve üçüncü kişilerin hızlı ve güvenli bir biçimde ulaşabileceği bir kayıt oluşturur. Elektronik sertifika hizmet sağlayıcısı, faaliyetine son vermesi ve vermiş olduğu nitelikli elektronik sertifikaların başka bir elektronik sertifika hizmet sağlayıcısı tarafından kullanımının sağlanamaması durumunda vermiş olduğu nitelikli elektronik sertifikaları derhâl iptal eder. Elektronik sertifika hizmet sağlayıcısının faaliyetine Kurum tarafından son verilmesi halinde Kurum, faaliyetine son verilen elektronik sertifika hizmet sağlayıcısının vermiş olduğu nitelikli elektronik sertifikaların başka bir elektronik sertifika hizmet sağlayıcısına devredilmesine karar verir ve durumu ilgililere duyurur. Elektronik sertifika hizmet sağlayıcısı geçmişe yönelik olarak nitelikli elektronik sertifika iptal edemez. Bilgilerin korunması MADDE 12. Elektronik sertifika hizmet sağlayıcısı; a) Elektronik sertifika talep eden kişiden, elektronik sertifika vermek için gerekli bilgiler hariç bilgi talep edemez ve bu bilgileri kişinin rızası dışında elde edemez, b) Elektronik sertifika sahibinin izni olmaksızın sertifikayı üçüncü kişilerin ulaşabileceği ortamlarda bulunduramaz, c) Elektronik sertifika talep eden kişinin yazılı rızası olmaksızın üçüncü kişilerin kişisel verileri elde etmesini engeller. Bu bilgileri sertifika sahibinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz. Hukukî sorumluluk MADDE 13. Elektronik sertifika hizmet sağlayıcısının, elektronik sertifika sahibine karşı sorumluluğu genel hükümlere tâbidir. Elektronik sertifika hizmet sağlayıcısı, bu Kanun veya bu Kanuna dayanılarak çıkarılan yönetmelik hükümlerinin ihlâli suretiyle üçüncü kişilere verdiği zararları tazminle yükümlüdür. Elektronik sertifika hizmet sağlayıcısı kusursuzluğunu ispat ettiği takdirde tazminat ödeme yükümlülüğü doğmaz. Elektronik sertifika hizmet sağlayıcısı, söz konusu yükümlülük ihlâlinin istihdam ettiği kişilerin davranışına dayanması hâlinde de zarardan sorumlu olup, elektronik sertifika hizmet sağlayıcısı, bu sorumluluğundan, Borçlar Kanununun 55 inci maddesinde öngörülen türden bir kurtuluş kanıtı getirerek kurtulamaz. Nitelikli elektronik sertifikanın içerdiği kullanım ve maddî kapsamına ilişkin sınırlamalar hariç olmak üzere, elektronik sertifika hizmet sağlayıcısının üçüncü kişilere ve nitelikli elektronik imza sahibine karşı sorumluluğunu ortadan kaldıran veya sınırlandıran her türlü şart geçersizdir. Elektronik sertifika hizmet sağlayıcısı, bu Kanundan doğan yükümlülüklerini yerine getirmemesi sonucu doğan zararların karşılanması amacıyla sertifika malî sorumluluk sigortası yaptırmak zorundadır. Sigortaya ilişkin usul ve esaslar Hazine Müsteşarlığının görüşü alınarak Kurum tarafından çıkarılacak yönetmelikle belirlenir. Bu maddede öngörülen sertifika malî sorumluluk sigortası Türkiye de ilgili branşta çalışmaya yetkili olan sigorta şirketleri tarafından yapılır. Bu sigorta şirketleri sertifika malî sorumluluk sigortasını yapmakla yükümlüdürler. Bu yükümlülüğe uymayan sigorta şirketlerine Hazine Müsteşarlığınca sekizmilyar lira idarî para cezası verilir. Bu para cezasının tahsilinde ve cezaya itiraz usulünde 18 inci madde hükümleri uygulanır. Elektronik sertifika hizmet sağlayıcısı, nitelikli elektronik sertifikayı elektronik imza sahibine sigorta ettirerek teslim etmekle yükümlüdür. ÜÇÜNCÜ KISIM Denetim ve Ceza Hükümleri MADDE 14. Yabancı bir ülkede kurulu bir elektronik sertifika hizmet sağlayıcısı tarafından verilen elektronik sertifikaların hukukî sonuçları milletlerarası anlaşmalarla belirlenir. Yabancı bir ülkede kurulu bir elektronik sertifika hizmet sağlayıcısı tarafından verilen elektronik sertifikaların, Türkiye de kurulu bir elektronik sertifika hizmet sağlayıcısı tarafından kabul edilmesi durumunda, bu elektronik sertifikalar nitelikli elektronik sertifika sayılır. Bu elektronik sertifikaların kullanılması sonucunda doğacak zararlardan, Türkiye deki elektronik sertifika hizmet sağlayıcısı da sorumludur. Nitelikli elektronik sertifikaların iptal edilmesi Denetim MADDE 15. Elektronik sertifika hizmet sağlayıcılarının bu Kanunun uygulanmasına ilişkin faaliyet ve işlemlerinin denetimi Kurumca yerine getirilir. Kurum, gerekli gördüğü zamanlarda elektronik sertifika hizmet sağlayıcılarını denetleyebilir. Denetleme sırasında, denetleme yapmaya yetkili görevliler tarafından her türlü defter, belge ve kayıtların verilmesi, yönetim yerleri, binalar ve eklentilerine girme, yazılı ve sözlü bilgi alma, örnek alma ve işlem ve hesapları denetleme isteminin elektronik sertifika hizmet sağlayıcıları ve ilgililer tarafından yerine getirilmesi zorunludur. Nitelikli elektronik sertifikaların iptal edilmesi İmza oluşturma verilerinin izinsiz kullanımı MADDE 16.. Elektronik imza oluşturma amacı ile ilgili kişinin rızası dışında; imza oluşturma verisi veya imza oluşturma aracını elde eden, veren, kopyalayan ve bu araçları yeniden oluşturanlar ile izinsiz elde edilen imza oluşturma araçlarını kullanarak izinsiz elektronik imza oluşturanlar bir yıldan üç yıla kadar hapis ve beşyüz milyon liradan aşağı olmamak üzere ağır para cezasıyla cezalandırılırlar. Yukarıdaki fıkrada işlenen suçlar elektronik sertifika hizmet sağlayıcısı çalışanları tarafından işlenirse bu cezalar yarısına kadar artırılır. Bu maddedeki suçlar nedeniyle oluşan zarar ayrıca tazmin ettirilir. 15

16 Nitelikli elektronik sertifikaların iptal edilmesi Elektronik sertifikalarda sahtekârlık MADDE 17. Tamamen veya kısmen sahte elektronik sertifika oluşturanlar veya geçerli olarak oluşturulan elektronik sertifikaları taklit veya tahrif edenler ile yetkisi olmadan elektronik sertifika oluşturanlar veya bu elektronik sertifikaları bilerek kullananlar, fiilleri başka bir suç oluştursa bile ayrıca, iki yıldan beş yıla kadar hapis ve birmilyar liradan aşağı olmamak üzere ağır para cezasıyla cezalandırılırlar. Yukarıdaki fıkrada işlenen suçlar elektronik sertifika hizmet sağlayıcısı çalışanları tarafından işlenirse bu cezalar yarısına kadar artırılır. Bu maddedeki suçlar nedeniyle oluşan zarar ayrıca tazmin ettirilir. Nitelikli elektronik sertifikaların iptal edilmesi İdarî nitelikteki suçların tekrarı ve kapatma MADDE inci maddedeki suçları işleyenlerin bu suçları işledikleri tarihten itibaren geriye doğru üç yıl içinde ikinci kez işlemeleri hâlinde para cezaları iki kat olarak uygulanır, üçüncü kez işlemeleri hâlinde ise Kurum tarafından elektronik sertifika hizmet sağlayıcıları hakkında kapatma cezası verilir. Kapatma cezası verilmesine ilişkin karar 7201 sayılı Tebligat Kanununa göre ilgililere tebliğ edilir. Bu karara karşı tebliğ tarihinden itibaren en geç yedi gün içinde yetkili idare mahkemesine itiraz edilebilir. İtiraz, yetkili makam tarafından verilen kapatma kararının yerine getirilmesini durdurmaz. İtiraz, zaruret görülmeyen hâllerde, evrak üzerinden inceleme yapılarak en kısa sürede sonuçlandırılır. İtiraz üzerine verilen kararlara karşı Bölge İdare Mahkemesine başvurulabilir. Bölge İdare Mahkemesinin verdiği kararlar kesindir. Kaynak DPT. Bilgi Toplumu Dairesi Başkanlığı mevzuat/ _eimza.pdf TEŞEKKÜRLER! SORULARINIZ? 16