ELEKTRONİK İMZA (e-imza)



Benzer belgeler
E-imza, eimza, Elektronik İmza Kanunu, Yasası sayılı, numaralı, nolu kanun, yasa, imzalama, e imza ELEKTRONİK İMZA KANUNU. Kanun Numarası : 5070

Kanun No Kabul Tarihi :

ELEKTRONİK İMZA KANUNU (1)

ELEKTRONİK İMZA KANUNU (1)

Kanun 5070 sayılı Kanunun değişen maddeleri giriş tarihi , 17, 18, 19 8/2/2008 ELEKTRONİK İMZA KANUNU (1) BİRİNCİ KISIM

MADDE 1.- Bu Kanunun amacı, elektronik imzanın hukuki ve teknik yönleri ile kullanımına ilişkin esasları düzenlemektir.

ELEKTRONİK İMZA MEVZUATI

TAŞMAN & ŞANVER. Persembepazarı Cd. No 9 Kat: 5 / Karaköy / İstanbul Tel: Fax : inbox@sanver.gen.

ELEKTRONİK İMZA UZAKTAN EĞİTİM KAYNAK BİLGİ DÖKÜMANI

KUZEY KIBRIS TÜRK CUMHURİYETİ RESMİ GAZETE EK I. Sayı : Aralık, 2007

ELEKTRONİK İMZA YASASI İÇDÜZENİ. BİRİNCİ KISIM Genel Kurallar

ELEKTRONİK İMZA KANUNU

ELEKTRONİK İMZA KANUNU

T.C. MİLLİ EĞİTİM BAKANLIĞI BALIKESİR / BANDIRMA İLÇE MİLLİ EĞİTİM MÜDÜRLÜĞÜ. Büro Yönetimi ve Resmi Yazışma Kuralları Kursu

E-İmza Kavramı. Bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları da içermektedir.

ITMS DAYS Information Technologies Management Systems Days

E-İmza ve M-İmza. Hasan Hüseyin SUBAŞI. Danışman, Mühendis, MBA, PhD Adayı

TODAİE edevlet MERKEZİ UYGULAMALI E-İMZA SEMİNERİ KASIM E-imza Teknolojisi. TODAİE Sunumu

TÜRKİYE BİLİŞİM DERNEĞİ Bilişim Mevzuatı El Kitabı Sürüm 1.0 TBD Kamu BİB Türkiye Bilişim Derneği yayınları 2006 i TBD

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

Bakanlığımız Tüketici ve Rekabetin Korunması Genel Müdürlüğü'nce yürütülen,

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

E-İMZA. Uğur Nasırlıel. EMO Ankara Şubesi Nisan 2008, Ankara

ELEKTRONİK İMZA. Elektronik sertifika hizmet sağlayıcısının Hukukî sorumlulukları

TNB E-İMZA, TNB Elektronik İmza A.Ş. adı ile Türkiye Noterler Birliği Vakfı tarafından kurulmuştur. Elektronik İmza hizmeti vermektedir, Aynı zamanda

T.C. KUZEY ANADOLU KALKINMA AJANSI. Elektronik Yazışma ve Belge Yönetim Sistemi Yönergesi

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

Elektronik Hizmetler ve Elektronik İmza

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

Daha komplike uygulamalar elektronik ticaret, elektronik kimlik belgeleme, güvenli e-posta,

ELEKTRONİK VE MOBİL İMZA UYGULAMALARI. Veysel KARATAŞ

ELEKTRONĐK ĐMZA ve MEVZUAT DEĞĐŞĐKLĐK ÖNERĐLERĐ

için Cenk Serdar Katma Değerli Servisler

Çok Önemli Not : ilgili yasaya ilişkin görüş ve yorumlarını yansıtmaktadır. Hiçbir kurum ve kuruluşu bağlayıcı niteliği yoktur.

SERTİFİKA MALİ SORUMLULUK SİGORTASI

Elektronik Đmza ve Güvenlik

Türkiye nin Her Yerinde Bir Güven Kurumu

1. E-TİCARETTE MAL ve HİZMET ALIP SATMAK 1.1. E- Ticaretin Ögeleri E-Posta Elektronik Firma (e-firma) Alıcı

ve diğer Yerel Mevzuat Kapsamında Zaman Damgası

Türk Eczacıları Birliği Elektronik İmza Projesi

Güncel Kriptografik Sistemler

TÜBİTAK ULAKBİM ELEKTRONİK İMZA ENTEGRASYONU HİZMET ALIMI TEKNİK ŞARTNAMESİ

KAYITLI ELEKTRONİK POSTA SİSTEMİNDE MEVCUT DURUM ANALİZİ. Demet KABASAKAL , İstanbul

DTÜ BİLGİ İŞLEM DAİRE

İSTANBUL, SİRKÜLER ( 2010/11 ) Konu: Faturanın elektronik belge olarak düzenlenmesine ilişkin usul ve esaslar

BAĞIMSIZ DENETİM RESMİ SİCİL TEBLİĞİ. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

TÜBİTAK KAMU SERTİFİKASYON MERKEZİ EĞİTİM KATALOĞU (2012) Sürüm 1.0

Kamu Sertifikasyon Merkezi

3. ELEKTRONİK BELGE YÖNETİMİ. Öğretim Görevlisi Meral GÜNEŞ ERGİN

Türkiye İş Kurumundan: TÜRKİYE İŞ KURUMU HİZMETLERİNİN ELEKTRONİK ORTAMDA YÜRÜTÜLMESİ HAKKINDA YÖNETMELİK. Resmi Gazete Sayısı. Resmi Gazete Tarihi

BİLGİ GÜVENLİĞİ POLİTİKASI

Elektronik İmzalı Belgelerin Delil Niteliği

Kamuda Elektronik İmza Uygulamaları

ELEKTRONIK IMZA KANUNU

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

istanbul TicARET ODASı YAYıN NO:

5651 Sayılı Kanun Hakkında Kanunla ilgili detay bilgiler

ELEKTRONİK İMZA KANUNUNUN UYGULANMASINA İLİŞKİN USUL VE ESASLAR HAKKINDA YÖNETMELİK BİRİNCİ BÖLÜM. Genel Hükümler

Kayıtlı Elektronik Posta (KEP)

E-İMZA. H. Mehmet ÇEKİCİ - Sayıştay Başdenetçisi Serkan KAYA - Sayıştay Başdenetçisi. Giriş. E-imza nedir?

Kurumlarda E-imzaya Yapılması Gerekenler TODAİE E Sunumu. Ferda Topcan Başuzman Araştırmacı ferdat@uekae.tubitak.gov.tr (312)

KAYITLI ELEKTRONĐK POSTA (KEP) SĐSTEMĐ. Doç. Dr. Mustafa ALKAN Bilgi Teknolojileri ve Đletişim Kurumu Kurum Başkan Yardımcısı

BİLGİ GÜVENLİĞİ POLİTİKASI

Yasal Çerçeve (Bilgi Edinme Kanunu ve Diğer Gelişmeler) KAY 465 Ders 1(2) 22 Haziran 2007

Bankacılık İşlemlerinde Güvenli Elektronik İmza Kullanımı. Taner Kerman. Philip Morris SA Finans Direktörü Yönetim Kurulu Üyesi.

Kayıtlı e-posta (KEP) güvenli e- posta hizmetidir ve bu yönü ile standart e- posta sistemlerinden ayrılır.

E-imza E-sertifika SSS

ERK Denetim ve Yeminli Mali Müşavirlik Hizmetleri Ltd. Şti. Tarih Konu Özet tarihine kadar

Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik. BİRİNCİ BÖLÜM Genel Hükümler

birlesikuzmanlar-it.com Dynamics AX E-fatura Çözümü

İHALELERE KATILACAK GERÇEK VE TÜZEL KİŞİLERİN ELEKTRONİK KAMU ALIMLARI PLATFORMUNU KULLANIMINA İLİŞKİN PROTOKOL

TİCARİ İLETİŞİM VE TİCARİ ELEKTRONİK İLETİLER HAKKINDA YÖNETMELİK YAYIMLANDI

SİRKÜLER İstanbul, Konu: GÜMRÜK VE TİCARET BAKANLIĞI NCA MUHATAPLARINA TEBLİĞ EDİLECEK EVRAKLAR ELEKTRONİK ORTAMDA TEBLİĞ EDİLEBİLECEKTİR

ELEKTRONİK TİCARETTE HİZMET SAĞLAYICI VE ARACI HİZMET SAĞLAYICILAR HAKKINDA YÖNETMELİK YAYIMLANDI:

ELEKTRONİK TİCARETTE SÖZLEŞME VE SİPARİŞLER HAKKINDA YÖNETMELİK TASLAĞI. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

BAKIŞ MEVZUAT BAŞLIK. Sayı 2018/27

E-imza nedir? Elektronik İmza (E-imza):

TASNİF DIŞI TÜBİTAK BİLGEM KAMU SERTİFİKASYON MAKAMI YENİ NESİL ÖKC SAYISAL SERTİFİKA YAŞAM DÖNGÜSÜ 01 TEMMUZ 2015 TÜBİTAK BİLGEM

Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik

KAYITLI ELEKTRONİK POSTA (KEP) yasal ve güvenli e-posta

E- FATURA UYGULAMASI BAŞVURU

ELEKTRONİK TİCARETİN DÜZENLENMESİ HAKKINDA KANUN

ELEKTRONİK TİCARETİN DÜZENLENMESİ HAKKINDA KANUN

T.C. ULAġTIRMA BAKANLIĞI Sivil Havacılık Genel Müdürlüğü ELEKTRONĠK YAZIġMA VE BELGE YÖNETĠM SĠSTEMĠ TALĠMATI SHT EBYS-1

SEÇKİN ONUR. Doküman No: Rev.Tarihi Yayın Tarihi Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI

T.C. BAŞBAKANLIK Basın- Yayın ve Enformasyon Genel Müdürlüğü ELEKTRONİK BELGE YÖNETİM SİSTEMİ UYGULAMA YÖNERGESİ BİRİNCİ BÖLÜM

TEBLİĞ. e) Firma: TAREKS aracılığıyla yapılan denetim, uygunluk ve izin işlemlerine konu olan kamu kurumları dâhil, tüm gerçek ve tüzel kişileri,

SİRKÜLER NO: POZ-2018 / 27 İST,

Türkiye de E-devlet ve E-imza Uygulamaları: E-belge Yönetimi Açısından Bir Değerlendirme Denemesi ESİN ALTIN

Güven Kurumları ve İtibar Yönetimi Oturumu Can ORHUN

ELEKTRONİK İMZADA GÜVENLİK VE STANDARTLAR

BİLGİ, BELGE VE AÇIKLAMALARIN ELEKTRONİK ORTAMDA İMZALANARAK KAMUYU AYDINLATMA PLATFORMUNA GÖNDERİLMESİNE İLİŞKİN ESASLAR HAKKINDA TEBLİĞ

ULUSAL GRID ÇALIŞTAYI 2005

Yahya YILMAZ Kamu Satış Yöneticisi. Kayıtlı Elektronik Posta ve E-Tebligat

SİRKÜLER NO: POZ-2018 / 66 İST,

e-müstahsil Makbuzu Nedir?

Transkript:

ELEKTRONİK İMZA (e-imza) Prof.Dr. Şeref SAĞIROĞLU Gazi Üniversitesi Mühendislik-Mimarlık Fakültesi Bilgisayar Mühendisliği Bölümü Maltepe/Ankara ss@gazi.edu.tr E-imza? Kanunu Ne kadar güvenli? Donanımları ÖZET Gizlilik Şifreleme algoritmaları E-imza çalışma mekanizması Uygulama Alanları Kurumsal Uygulamalar Sonuç ve Değerlendirme Geleneksel İmzanın Kullanımı ve Özellikleri Geleneksel imza, elle atılır imzalayanın adı ve soyadını içerir değişmeyen bir şekle sahiptir imzalayan kişinin, imzalanan dokümanın içeriğini anladığını ve onayladığını gösterir imza yerine kullanılan en eski yöntem mühürlerdir Elektronik İmza Kriptografik dönüşümdür Mesajın sonuna eklenir Mesaj alıcısının, mesajın göndericisinin kimliğini doğrulamasını ve mesajın bütünlüğünü kontrolünü sağlar Kimliğini açıkça duyurma hizmetini sağlar Asimetrik kriptografi kullanır. E-imza Çift anahtarlı bir şifreleme yöntemine dayanarak, bir elektronik verinin özetinin şifrelenmesiyle oluşturulan veri İmza için ön koşul, şifreleme yönteminin kendisiyle sağlanıyor Anahtar çifti gizli ve açık bir ikiliden oluşuyor Çiftin birinin şifrelediğini diğeri çözebiliyor Açık anahtardan gizli anahtar elde edilemiyor Gizli anahtar imza sahibinde saklı kalıyor 5070 Sayılı E-imza Kanunu 15 Ocak 2004 tarihinde TBMM Genel Kurulunda kabul edildi. 23 Ocak 2004 tarihinde 25355 sayılı Resmi Gazetede yayımlandı ve yasalaştı. 23 Ocak 2005 (uygulama başlangıç tarihi) 1

E-imza nedir? E-imza nedir? 5070 sayılı Elektronik İmza Kanunu Elektronik imza, başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veridir. Elle atılan imzanın elektronik formda ifade edilmiş şeklidir. Kullanıcı kimliği ve şifrelerini kapsar. Tekildir. Hukuken geçerlidir. Güvenli elektronik imza? Elektronik İmza a) Münhasıran imza sahibine bağlı olan b) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan c) Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan = = 1100101010110001 0001101000000111 0110100010011110 1100111010011011 2489349e894859f454894 50dab45454ca0908d8809 Niçin E-imza? Kullanıcı Kimliği Güncel teknolojileri kullanarak; işlemleri güvenli bir şekilde yapmak, iş verimliliğini arttırmak, iş akışını, iş ve işlemleri hızlandırmak, bürokrasiyi azaltmak, dünya ile hızlıca entegre olmak dünya pazarlarına açılmak kağıttan elektronik belgelemeye geçişi sağlamak hayatı kolaylaştırmak. Seri No 9999 Sertifika Sahibi Kurum Yayınlayan E-posta Adresi Şeref Sağıroğlu Gazi Üniversitesi Tübitak ss@gazi.edu.tr Yayın Tarihi 01.12.2004 Son Kullanım 01.12.2005 Tübitak Sayısal 2489349e894859f45489450dab45454ca09 08d8809 Ae89349c989893e8989548d0823048b0802 3f9e903fbafde345l62e234 2

Elektronik İmza Güvenli mi? 64 bitlik bir anahtar = 1100101010110001 0001101000000111 0110100010011110 1100111010011011 64 bitlik bir anahtarı tahmin yoluyla elde etme olasılığı 1/2 64 = 1/10 19 Bir anahtarın denemeyle bulunması Anahtar Uzunluğu Sayı Değeri 10 6 şifre/s 10 9 şifre/s 10 12 şifre/s 32 bit ~4x10 9 36 dak 2.16 s 2.16 ms 40 bit ~10 12 6 gün 9 dak 1 s 56 bit ~7.2x10 16 1142 yıl 1 yıl 2 ay 10 saat 64 bit 1.8x10 19 292 000 yıl 292 yıl 3.5 ay 128 bit 1.7x10 38 5.4x10 24 yıl 5.4x10 21 yıl 5.4x10 18 yıl Elektronik İmza Elektronik İmza Donanımları Şifreleme Algoritmaları? Şifreleme Algoritmaları? Bilgileri korumak için kullanılırlar. Bilgiyi bir formdan diğerine aktarırlar. Matematiksel ifadelerdir. Bilinseler bile çözümleri yıllarca sürebilir. Simetrik ve Asimetrik olabilirler. Gizlilik, bütünlük, kimlik doğrulama desteği verebilirler. Güvenilirlikleri anahtar uzunluğuna bağlıdır. Anahtar 010010110111 Anahtar 010010110111 Şifreli Mesaj Şifreleme Algoritması Y=f(X) Deşifreleme Algoritması X=f -1(Y) Şifreli Mesaj 3

Şifreleme Algoritmaları (SİMETRİK) Simetrik (Gizli Anahtarlı) Şifreleme 1100101010110001 0001101000000111 0110100010011110 1100111010011011 Açık Metin Şifreleme işlemi Şifrelenmiş Bilgi veya Açık Metin Şifre çözme işlemi ŞİFRELEME ALGORİTMASI Şifrelenmiş Mesaj ğ87.9!^f +^%/d %++TGHEé^ ^@V Rşou wrfhwrf RWR^^! ^^+..iü(()qedfhf sjsd ŞİFRE ÇÖZME ALGORİTMASI Gizli Anahtar Şifreleme Algoritmaları (ASİMETRİK) Asimetrik (lı) Şifreleme 1100101010110001 0001101000000111 0110100010011110 1100111010011011 1101111110110001 1101101000000111 1110100010011110 1111111010011011 Bilgi veya Açık Metin şifreleme işlemi Şifrelenmiş Bilgi Şifre çözme işlemi Bilgi veya Açık Metin ŞİFRELEME ALGORİTMASI Şifrelenmiş Mesaj Daı389.şi;;Ü134Qwer h.ıemeeeç..i!^e3e1o Ğ5we!%kog0*fh9fgkss r490kd*45kmfzğc-0hh ŞİFRE ÇÖZME ALGORİTMASI Alıcının Açık Anahtarı Alıcının Özel Anahtarı E-imza Çalışma Mekanizması? E-imza ile Bütünlük Sağlama Göndericinin Özel Anahtarı İMZALAMA ALGORİTMASI + Mesajın Açık ve İmzalı Mesaj Mesajın Göndericinin Açık Anahtarı ONAYLAMA ALGORİTMASI =? Gizli Anahtar Özetleme Algoritması Mesaj Özeti İMZALAMA ALGORİTMASI + Özetin Açık Mesaj Özetin Özetleme Algoritması Mesaj Özeti Açık Anahtar ONAYLAMA ALGORİTMASI =? 4

Özetleme Fonksiyonu Özetleme Fonksiyonu Sabit çıkış uzunluğu (mesajdan çok kısa) Mesajdaki küçük değişiklikler bile özette büyük değişikliklere yol açabilir. Kriptografik tek yönlü fonksiyon Bir mesajın özetini elde etmek kolay Bir özetten asıl mesajı çıkarmak çok zor E-İmza ile Bilgi Güvenliğin Boyutu? Kimlik kanıtlama Gizlilik (kısmen) Bütünlük (kısmen) İnkar edememe Süreklilik AAA Neden Gereklidir? Asimetrik kriptografi sistemlerini gerçekleştirmek, Açık ve özel anahtarları yönetmek Güvenlik boyutunu sağlamak Gizlilik, Bütünlük, İnkar Edememe, Kimlik Kanıtlama, Süreklilik, Hukukî geçerliliğini desteklemek Anti-virüs Güvenlik Duvarları Erişim Denetimi Şifreleme Sayısal İmza Kimlik Doğrulama Gizlilik Bütünlük İnkâr Edememe Altyapısı Altyapısı Kök Sertifikasyon Makamı Prensip Yönetim Makamı Örnek E-imza veya Sertifika Dizin Sunucu/ Sertifika Deposu Sertifikasyon Makamı 1 Ayşe Internet/Intranet A Bora Sertifikasyon Makamı N Web Sunucusu Web Sertifikasyon Prensipleri Sertifika Uygulama Kuralları Açık anahtarı taşıyan X.509 Sertifikası Özel anahtar Seri No 9999 Sertifika Sahibi Kurum Yayınlayan E-posta Adresi Şeref Sağıroğlu Gazi Üniversitesi Tübitak Ss@gazi.edu.tr Yayın Tarihi 01.12.2004 Son Kullanım 01.12.2005 Tübitak Sayısal 2489349e894859f45489450dab45454ca09 08d8809 Ae89349c989893e8989548d0823048b0802 3f9e903fbafde345l62e234 Bora 5

Sertifikalar Sertifikasyon Prensipleri Sertifika Makamı e-ticaret dünyasının güvenilen kurumlarıdır sayısal sertifikaların sahiplerini ispat etmelidirler güvenli ve güvenilir olmalıdırlar sertifikaların yaşam sürecini yönetebilmelidirler (sertifika verme, iptal etme, yenileme, sonlandırma) Seri No 9999 Sertifika Sahibi Kurum Yayınlayan E-posta Adresi Şeref Sağıroğlu Gazi Üniversitesi Tübitak ss@gazi.edu.tr Yayın Tarihi 01.12.2004 Son Kullanım 01.12.2005 Prensip Tübitak Sayısal E-posta imzalama, dosya imzalama 2489349e894859f45489450dab45454ca09 08d8809 Ae89349c989893e8989548d0823048b0802 3f9e903fbafde345l62e234 Akıllı Kart / Token Cihazları SERTİFİKA KULLANIM ALANLARI Akıllı kartlar kullanıcılara ait özel anahtarların muhafaza edilmesi için en güvenli ortamı sunar. Akıllı kartlar, programlanabilir alanları olan, dayanıklı, taşınabilir bilgisayarlardır. Bir kredi kartı ile aynı büyüklükte ve şekildedir. Veri güvenliği, kimlik gizliliği ve mobil kullanıcı ihtiyaçlarına sahip sistemlerde faydalıdır. Güvenli e-posta haberleşmesi Bilgisayar ortamında saklanan verilerin imzalı ve şifreli saklanması (Masaüstü Güvenliği/Desktop Security) Akıllı Kartla Güvenli Oturum Açma (Windows Logon) İmzalı Formlar (Signed Forms) Sayısal Noter Kod İmzalama XML İmzalama İnternet protokolü Güvenliği (Internet Protokol Security) Taşıma Katmanı Güvenliği Güvenli Yuvalar Katmanı Güvenilir Zaman Damgası Sanal Özel Ağ E-İmzanın Uygulama Alanları Sosyal güvenlik uygulamaları Kurum içi veya dışı resmi yazışmalar Vergi ve prim ödemeleri Ticari, hukuki bireysel ve kurumsal resmi başvuru işlemleri ve sonuçları Oy verme işlemleri Bankacılık/Finans Sigortacılık işlemleri Ticari sözleşmeler Elektronik alışveriş Altyapısı (AAA) Prensipler/Politikalar Kayıt Makamı Sertifika Makamı Dizin Sunucu Sertifika Sunucu Kullanıcılar Kök Sertifika Makamı 6

AAA Bileşenleri Altyapısı (AAA) Kök SM Sertifikasyon Makamı Kayıt Makamı Sertifika Deposu Arşiv Modülü Sertifika Kullanıcılar Kriptografik Anahtar Çiftleri Sayısal Sertifikalar Sertifika İptal Listesi (SİL) Sertifikasyon Prensipleri Sertifikasyon Yolu Akıllı Kart / Token Cihazları AAA Yönetim Protokolleri Prensipler/ Politikalar Kayıt Makamı Kullanıcılar Sertifika Makamı (Kullanıcılar için Sertifika ve Anahtar Yönetimi) Sertifika Sunucu (Talep, Erişim) Kök Sertifika Makamı (SM ler için) Dizin Sunucu (Kişisel Bilgiler, SİL) Altyapısı (AAA) AAA (Kök Sertifika Makamı ve SM) Kimlik kanıtlama Gizlilik Bütünlük İnkar edememe Süreklilik Özel SM TRANSCOM Kök SM SM Kamu SM SM-1 SM-2 Maliye Nüfus SM SM AAA Mimarisi (Hiyerarşik) Ülkemiz AAA Yapısı Kök SM Kök SM Kök Sertifika Makamı (TÜBİTAK/UEKAE) SM1 SM2 SM1 SM2 Kamu Sertifika Merkezi (Makamı) (TÜBİTAK/UEKAE) e- Güven SM-1 TürkTrust SM-2 SM3 SM4 SM3 SM4 SM5 Telekomünikasyo Maliye n Kurumu (TK) Bakanlığı Gazi Üniversitesi Yeni SM eklemek kolaydır TK çalışanları Maliye B. çalışanları Gazi Üniv. çalışanları e- vatandaşlar e-kuruluş e-şirket e-banka 7

AAA Niçin Önemli? (1) AAA Niçin Önemli? (2) İş ve işlem sürelerini kısaltmak, Hizmet ve yaşam kalitesini arttırmak, Uluslararası işbirliği sağlamak, arttırmak ve hızlandırmak, Mevcut kaynakların verimli kullanımını sağlamak, Kişi ve kurumların, güvenli ve hızlı haberleşmelerini desteklemek, Ortamdan bağımsız güvenlik sağlamak, Düşük maliyetli ve yüksek güvenlikli haberleşme sistemleri oluşturmak, Ulusal ve uluslararası ekonomik işbirliğini arttırmak ve hızlandırmak, Ülke bilgi güvenliğinin sağlanmasına katkıda bulunmak, Ulusal, kurumsal ve kişisel bilgi güvenliğinin sağlanmasını desteklemek, Bilişim teknolojilerinin güvenli olarak kullanımının sağlanmasına katkıda bulunmak, Hukuki sorumlulukları yerine getirmek, Bilişim teknolojilerinin kullanımının yaygınlaştırılmasına katkıda bulunmak, Bilişim suçlarının artmasını önlemek, AAA Niçin Önemli? (3) Karşılaşılabilecek Problemler? (1) AB ye geçiş ve entegrasyon sürecini hızlandırmak, Teknolojinin nimetlerinden faydalanmak, Uluslararası standartları kullanmak ve uygulamak, Kayıtların, elektronik ortamlarda kolaylıkla arşivlemesini ve kontrolünü sağlamak, E-devlet e geçiş sürecini hızlandırmak, Kime güvenmeliyim? Niçin? Anahtarım kopyalanabilir mi? Doğrulamayı yapan bilgisayar güvenli mi? Benim ismimde başka bir kullanıcı var mı? SM ye gerçekten güvenmeli miyim? Kullanıcı olarak güvenlik tasarımının bir parçası mıyım? Bu teknolojiyi kullanmak için güvenlik uzmanı mı olmalıyım? Bu sistemlerin hiç açıkları yok mu? Karşılaşılabilecek Problemler? (2) Altyapısı Kök Sertifikasyon Makamı Prensip Yönetim Makamı Bilgi ve bilgisayar sistemleri güvenliğinin bilinmesi zorunluluğu, Kayıt esnasında yaşanabilecek zorluklar, Ücretli olarak sertifikaların sunulması, Sertifikaların tekrar üretilmesinde karşılaşılan problemler, Kullanılacak makamlara güven sorunu, İptal edilmiş sertifikaların zamanında öğrenilememesi, Sertifika iptalinin getirdiği ek yükler, Uygulamalarda yaşanabilecek, fakat o ana kadar karşılaşılmayan problemler, Sunucu bilgisayarların sistemler arası bilgi alışverişini otomatik olarak yapmalarından dolayı karşılaşılabilecek sorunlar Dizin Sunucu/ Sertifika Deposu Sertifikasyon Makamı 1 Ayşe Internet/Intranet A Bora Bora Sertifikasyon Makamı N Web Sunucusu Web Sertifikasyon Sertifika Prensipleri Uygulama Kuralları Açık anahtarı taşıyan X.509 Sertifikası Özel anahtar 8

Örnek E-imza veya Sertifika Sertifikasyon Prensipleri Seri No 9999 Sertifika Sahibi Kurum Yayınlayan E-posta Adresi Şeref Sağıroğlu Gazi Üniversitesi Tübitak Ss@gazi.edu.tr Yayın Tarihi 01.12.2004 Son Kullanım 01.12.2005 Tübitak Sayısal 2489349e894859f45489450dab45454ca09 08d8809 Ae89349c989893e8989548d0823048b0802 3f9e903fbafde345l62e234 Seri No 9999 Sertifika Sahibi Kurum Yayınlayan E-posta Adresi Şeref Sağıroğlu Gazi Üniversitesi Tübitak ss@gazi.edu.tr Yayın Tarihi 01.12.2004 Son Kullanım 01.12.2005 Prensip Tübitak Sayısal E-posta imzalama, dosya imzalama 2489349e894859f45489450dab45454ca09 08d8809 Ae89349c989893e8989548d0823048b0802 3f9e903fbafde345l62e234 AAA da Haberleşme? (1) AAA da Haberleşme? (2) Sertifika Deposu Kök SM Sertifika Deposu SM SM A nın sertifikası? İnternet A A B Özel Anahtar A B AAA da Haberleşme? (3) SERTİFİKA KULLANIM ALANLARI A nın sertifikası? A Sertifika Deposu İnternet SM A B Güvenli e-posta haberleşmesi Bilgisayar ortamında saklanan verilerin imzalı ve şifreli saklanması (Masaüstü Güvenliği/Desktop Security) Akıllı Kartla Güvenli Oturum Açma (Windows Logon) İmzalı Formlar (Signed Forms) Sayısal Noter Kod İmzalama XML İmzalama İnternet protokolü Güvenliği (Internet Protokol Security) Taşıma Katmanı Güvenliği Güvenli Yuvalar Katmanı Güvenilir Zaman Damgası Sanal Özel Ağ 9

E-imza Uygulamaları E-imza Uygulamaları E-İmzalı E-posta Bankacılığı Başlıyor Alman Bankaları Phishing'e Karşı e-imza Kullanıyor 01.04.2006 - Koçbank Koçbank müşterileri, hesapları ile ilgili bankaya göndermek istedikleri talimatları, digital imzalı e-posta aracılığıyla ulaştırabilecek. Müşterilerin göndereceği talimat e-postaları, Koçbank tarafından verilmiş olan elektronik sertifikalar ile imzalı olarak gönderilecek. Geçerli talimatlar, bağlı olunan şubenin sistemine aktarılacak ve işlemin gerçekleştirilmesini müşteri temsilcisi sağlayacak. Banka yaptığı duyuruda, müşterileri ile yapacakları bütün e-mail haberleşmelerinde elektronik imza kullanacaklar Bu yıl içerisinde uygulama yaygınlaştırılacak.. Pilot olarak uygulamak için altyapı çalışmaları sürüyor.. Postbank 11 milyon lokal ve 1,7 milyon online bankacılık müşterisi Sistemin tamamı henüz sadece Microsoft outlook tarafından destekleniyor. Almanya'da Postbank ya da diğer bankalara yapılan saldırıların, banka müşterilerinin % 80'inde sisteme karşı güvensizlik oluşturduğu bildiriliyor. Dış Ticaret Müsteşarlığı Kamuda ilk E-İmza Uygulayıcısı KURUMSAL UYGULAMALAR Dahilde İşleme Rejimi Otomasyon Projesi Ülkemiz genel ihracatının yarısına yakın bir bölümünün gerçekleştiği Dahilde İşleme Rejimi hazırlanan proje ile internetten başvurulabilir ve takip edilebilir duruma gelmiştir. DİR Otomasyon Projesi Dahilde İşleme İzin Belgelerinin, düzenlenme aşamasından taahhüt hesaplarının kapatılmasına kadar geçen süreci, hazırlanan web tabanlı (www.dtm.gov.tr) program ile internet üzerinden gerçekleştirmeyi sağlayan bir projedir. 10

DTM DİR Otomasyon Projesi Kamuda ilk elektronik imza uygulaması Dahilde İşleme İzin Belgeleri, Hariçte İşleme İzin Belgeleri, Yurtiçi Satış ve Teslim Belgeleri ile Vergi Resim ve Harç İstisnası Belgelerinin düzenlenme aşamasından taahhüt hesaplarının kapatılmasına kadar geçen süreci Gazi Üniversitesi ve e-imza Çalışmalar Şubat 2006 ayında başladı. Pilot olarak uygulamak için Gerekli girişimler yapıldı. Altyapı çalışmaları sürüyor.. Bu yıl içerisinde uygulama yaygınlaştırılacak.. Telekomünikasyon Kurumu DOĞAL GAZ Çalışmalar 2005 ayında başladı. Elektronik Dokümantasyon sistemi kuruldu, E-imza entegrasyonu sağlandı. Deneme yapılıyor. Birkaç ay içerisinde tamamen e-kurum olacak... İZGAZ ZETACAD isimli "Doğalgaz Projesi Tasarım Yazılımı"na gerçekleştirdiği e-imza entegrasyonu sayesinde doğalgaz sektöründe projeleri çizen mühendisler ve onaylayan gaz dağıtım şirketlerinin yetkilileri e-imza kullanmaya başladı. Hızla yaygınlaşan bu e-imza uygulamalı doğalgaz proje tasarımı, Bursa, Balıkesir, Bandırma, Kayseri ve Samsun, Ereğli, Düzce ve İzmit Şu ana kadar bu illerde 300'den fazla mühendis tarafından başarıyla kullanılıyor. Özellikle büyük şehirlerdeki gaz dağıtım şirketlerinin ve doğal gaz projesi çizen mühendislerin de e-imza uygulamasına geçmesiyle, kullanıcısı sayısının 5000'i geçeceği tahmin edilmektedir. Dijital olarak onaya gönderilen projeler, eğer elektronik olarak imzalanmışsa elle imza atmak için onay kurumuna gidilmesine gerek kalmamaktadır. Aynı zamanda proje çıktısı, istenirse artık sadece arşiv ve tesisat kabul kontrolü için alınacağından proje çıktıları daha basit usullerle ve daha az kopya sayısında alınmakta ve maliyetler oldukça düşmektedir. Güney Kore ÜLKE UYGULAMALARI 48 milyon nüfus; kişi başı 15,000 dolar milli gelir; yaygın ve geniş bant internet erişimi 1999 yılında ilk yasa; 2001 ve 2003 revizyonları 6 sertifika hizmet sağlayıcısı; 2000 yılında 50,000 kullanıcıdan 2003 yılında 7,000,000 kullanıcıya hızlı bir yaygınlaşma 11

Hong Kong 7 milyon nüfusa karşılık 6 milyonun üzerinde cep telefonu kullanıcısı; 2.5 milyon internet hesabı; yarısı geniş banttan erişiyor Kimlik belgelerinin akıllı kartlarla değiştirilmesine karar verilmiş; 4 yıllık bir geçiş planı hazırlanmış Diğer örnekler Finlandiya son 2 yılda sadece 14,000 kişiye akıllı kart üzerinde kimlik verebildi Almanya 1997 yasasını, 2001 yılında revize etti; 2001 yılında kadar sayısı 3 olan hizmet sağlayıcılar 20 ye kadar artmış ABD 2000 yılında federal yasayı çıkardı; 2003 yılı için kağıtsız devlet hedefini koydu Ülkemiz 4 ESHS (3 Özel+1 Kamu) Yaklaşık 12.000 in üzerinde kullanıcı 5 Kurumda kendi ESHS kurabilir. Hayatımıza Etkileri Dahili Kullanım Güvenilir tanımlama ve onay mekanizması Güvenli operasyon (İK kayıtları, bordro bildirimleri...) Azalan kağıt işlemi ve sarfiyatı Hızlı ve verimli hizmetler Kolaylıkla takip edilebilir işlemler Hayatımıza Etkileri Harici Kullanım E-ticaret işlemlerinde sahtekarlığın azaltılması Kağıt tabanlı işlemlerin ve bunu takip eden süreçlerin iyileştirilmesi E-ticaret aktivitelerin önünde yer alan bazı engellerin kaldırılması Daha ucuz ve daha hızlı servis verilmesi Yeni pazarlara açılma olasılığı Yeni hizmetlere olanak açılması Saptamalar Elektronik imza beklenen hızda yaygınlaşmıyor Yasalaşma bir gerekli koşul olmakla birlikte yeter koşul olarak algılanmamalı Genel sosyo-ekonomik düzey de gerekli olmakla birlikte yeterli görülmemeli Sayısal devlete geçiş yavaş Kaynak sıkıntısı bahane ediliyor. Uzman insan sayısı az.. 12

Ülkemizde Neler yapılabilir? E-dokümantasyon çalışmaları hızlanmalı Bilgi güvenliği bilinci yaygınlaştırılmalı Dokümantasyon takip sistemi içerisinde e- imza kullanımı başlamalı Sınavlara e-imzalı müracaat yolu açılmalı E-devlet çerçevesinde diğer birimlerle haberleşme teşvik edilmeli veya bazı kurumlar zorlanmalı Günlük hayatta kullanım.. E-imza konusunda genel bir eğitim verilmeli ELEKTRONİK İMZA WEB PORTALI http://www.e-imza.gen.tr/ Kitap: Her Yönüyle E-İmza E-İMZA KANUNU BİRİNCİ KISIM Amaç, Kapsam ve Tanımlar Amaç MADDE 1. Bu Kanunun amacı, elektronik imzanın hukukî ve teknik yönleri ile kullanımına ilişkin esasları düzenlemektir. Kapsam MADDE 2. Bu Kanun, elektronik imzanın hukukî yapısını, elektronik sertifika hizmet sağlayıcılarının faaliyetlerini ve her alanda elektronik imzanın kullanımına ilişkin işlemleri kapsar. Tanımlar MADDE 3. Bu Kanunda geçen; a) Elektronik veri: Elektronik, optik veya benzeri yollarla üretilen, taşınan veya saklanan kayıtları, b) Elektronik imza: Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi, c) İmza sahibi: Elektronik imza oluşturmak amacıyla bir imza oluşturma aracını kullanan gerçek kişiyi, d) İmza oluşturma verisi: İmza sahibine ait olan, imza sahibi tarafından elektronik imza oluşturma amacıyla kullanılan ve bir eşi daha olmayan şifreler, kriptografik gizli anahtarlar gibi verileri, e) İmza oluşturma aracı: Elektronik imza oluşturmak üzere, imza oluşturma verisini kullanan yazılım veya donanım aracını, BİRİNCİ KISIM Amaç, Kapsam ve Tanımlar Amaç f) İmza doğrulama verisi: Elektronik imzayı doğrulamak için kullanılan şifreler, kriptografik açık anahtarlar gibi verileri, g) İmza doğrulama aracı: Elektronik imzayı doğrulamak amacıyla imza doğrulama verisini kullanan yazılım veya donanım aracını, h) Zaman damgası: Bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve / veya kaydedildiği zamanın tespit edilmesi amacıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kaydı, ı) Elektronik sertifika: İmza sahibinin imza doğrulama verisini ve kimlik bilgilerini birbirine bağlayan elektronik kaydı, j) Kurum: Telekomünikasyon Kurumunu, İKİNCİ KISIM Güvenli Elektronik İmza ve Sertifika Hizmetleri BİRİNCİ BÖLÜM Güvenli Elektronik İmza, Güvenli Elektronik İmza Oluşturma ve Doğrulama Araçları Güvenli elektronik imza MADDE 4. Güvenli elektronik imza; a) Münhasıran imza sahibine bağlı olan, b) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, c) Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan, Elektronik imzadır. İfade eder. 13

İKİNCİ KISIM Güvenli Elektronik İmza ve Sertifika Hizmetleri BİRİNCİ BÖLÜM Güvenli Elektronik İmza, Güvenli Elektronik İmza Oluşturma ve Doğrulama Araçları İKİNCİ KISIM Güvenli Elektronik İmza ve Sertifika Hizmetleri BİRİNCİ BÖLÜM Güvenli Elektronik İmza, Güvenli Elektronik İmza Oluşturma ve Doğrulama Araçları Güvenli elektronik imzanın hukukî sonucu ve uygulama alanı MADDE 5. Güvenli elektronik imza, elle atılan imza ile aynı hukukî sonucu doğurur. Kanunların resmî şekle veya özel bir merasime tabi tuttuğu hukukî işlemler ile teminat sözleşmeleri güvenli elektronik imza ile gerçekleştirilemez. Güvenli elektronik imza oluşturma araçları MADDE 6. Güvenli elektronik imza oluşturma araçları; a) Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmamasını, b) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiçbir biçimde çıkarılamamasını ve gizliliğini, c) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin, üçüncü kişilerce elde edilememesini, kullanılamamasını ve elektronik imzanın sahteciliğe karşı korunmasını, d) İmzalanacak verinin imza sahibi dışında değiştirilememesini ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesini, Sağlayan imza oluşturma araçlarıdır. İKİNCİ KISIM Güvenli Elektronik İmza ve Sertifika Hizmetleri BİRİNCİ BÖLÜM Güvenli Elektronik İmza, Güvenli Elektronik İmza Oluşturma ve Doğrulama Araçları Güvenli elektronik imza doğrulama araçları MADDE 7. Güvenli elektronik imza doğrulama araçları; a) İmzanın doğrulanması için kullanılan verileri, değiştirmeksizin doğrulama yapan kişiye gösteren, b) İmza doğrulama işlemini güvenilir ve kesin bir biçimde çalıştıran ve doğrulama sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren, c) Gerektiğinde, imzalanmış verinin güvenilir bir biçimde gösterilmesini sağlayan, d) İmzanın doğrulanması için kullanılan elektronik sertifikanın doğruluğunu ve geçerliliğini güvenilir bir biçimde tespit ederek sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren, e) İmza sahibinin kimliğini değiştirmeksizin doğrulama yapan kişiye gösteren, f) İmzanın doğrulanması ile ilgili şartlara etki edecek değişikliklerin tespit edilebilmesini sağlayan, İmza doğrulama araçlarıdır. İKİNCİ BÖLÜM Elektronik Sertifika Hizmet Sağlayıcısı, Nitelikli Elektronik Sertifika ve Yabancı Elektronik Sertifikalar MADDE 8. Elektronik sertifika hizmet sağlayıcısı, elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir. Elektronik sertifika hizmet sağlayıcısı, Kuruma yapacağı bildirimden iki ay sonra faaliyete geçer. Elektronik sertifika hizmet sağlayıcısı yapacağı bildirimde; a) Güvenli ürün ve sistemleri kullanmak, b) Hizmeti güvenilir bir biçimde yürütmek, c) Sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri almak, İle ilgili şartları sağladığını ayrıntılı bir biçimde gösterir. Kurum, yukarıdaki şartlardan birinin eksikliğini veya yerine getirilmediğini tespit ederse, bu eksikliklerin giderilmesi için, elektronik sertifika hizmet sağlayıcısına bir ayı geçmemek üzere bir süre verir, bu süre içinde elektronik sertifika hizmet sağlayıcısının faaliyetlerini durdurur. Sürenin sonunda eksikliklerin giderilmemesi halinde elektronik sertifika hizmet sağlayıcısının faaliyetine son verir. Kurumun bu kararlarına karşı 19 uncu maddenin ikinci fıkrası hükümleri gereğince itiraz edilebilir. Elektronik sertifika hizmet sağlayıcılarının faaliyetlerinin devamı sırasında bu maddede gösterilen şartları kaybetmeleri hâlinde de yukarıdaki fıkra hükümleri uygulanır. Elektronik sertifika hizmet sağlayıcıları, Kurumun belirleyeceği ücret alt ve üst sınırlarına uymak zorundadır. İKİNCİ BÖLÜM Elektronik Sertifika Hizmet Sağlayıcısı, Nitelikli Elektronik Sertifika ve Yabancı Elektronik Sertifikalar MADDE 9. Nitelikli elektronik sertifika da; a) Sertifikanın "nitelikli elektronik sertifika" olduğuna dair bir ibarenin, b) Sertifika hizmet sağlayıcısının kimlik bilgileri ve kurulduğu ülke adının, c) İmza sahibinin teşhis edilebileceği kimlik bilgilerinin, d) Elektronik imza oluşturma verisine karşılık gelen imza doğrulama verisinin, e) Sertifikanın geçerlilik süresinin başlangıç ve bitiş tarihlerinin, f) Sertifikanın seri numarasının, g) Sertifika sahibi diğer bir kişi adına hareket ediyorsa bu yetkisine ilişkin bilginin, h) Sertifika sahibi talep ederse meslekî veya diğer kişisel bilgilerinin, ı) Varsa sertifikanın kullanım şartları ve kullanılacağı işlemlerdeki maddî sınırlamalara ilişkin bilgilerin, j) Sertifika hizmet sağlayıcısının sertifikada yer alan bilgileri doğrulayan güvenli elektronik imzasının, Bulunması zorunludur. Elektronik sertifika hizmet sağlayıcısının yükümlülükleri MADDE 10. Elektronik sertifika hizmet sağlayıcısı; a) Hizmetin gerektirdiği nitelikte personel istihdam etmekle, b) Nitelikli sertifika verdiği kişilerin kimliğini resmî belgelere göre güvenilir bir biçimde tespit etmekle, c) Sertifika sahibinin diğer bir kişi adına hareket edebilme yetkisi, meslekî veya diğer kişisel bilgilerinin sertifikada bulunması durumunda, bu bilgileri de resmî belgelere dayandırarak güvenilir bir biçimde belirlemekle, d) İmza oluşturma verisinin sertifika hizmet sağlayıcısı tarafından veya sertifika talep eden kişi tarafından sertifika hizmet sağlayıcısına ait yerlerde üretilmesi durumunda bu işlemin gizliliğini sağlamak veya sertifika hizmet sağlayıcısının sağladığı araçlarla üretilmesi durumunda, bu işleyişin güvenliğini sağlamakla, e) Sertifikanın kullanımına ilişkin özelliklerin ve uyuşmazlıkların çözüm yolları ile ilgili şartların ve kanunlarda öngörülen sınırlamalar saklı kalmak üzere güvenli elektronik imzanın elle atılan imza ile eşdeğer olduğu hakkında sertifika talep eden kişiyi sertifikanın tesliminden önce yazılı olarak bilgilendirmekle, f) Sertifikada bulunan imza doğrulama verisine karşılık gelen imza oluşturma verisini başkasına kullandırmaması konusunda, sertifika sahibini yazılı olarak uyarmak ve bilgilendirmekle, g)yaptığı hizmetlere ilişkin tüm kayıtları yönetmelikle belirlenen süreyle saklamakla, h) Faaliyetine son vereceği tarihten en az üç ay önce durumu Kuruma ve elektronik sertifika sahibine bildirmekle, Yükümlüdür. Elektronik sertifika hizmet sağlayıcısı üretilen imza oluşturma verisinin bir kopyasını alamaz veya bu veriyi saklayamaz. 14

Nitelikli elektronik sertifikaların iptal edilmesi MADDE 11. Elektronik sertifika hizmet sağlayıcısı; a) Nitelikli elektronik sertifika sahibinin talebi, b) Sağladığı nitelikli elektronik sertifikaya ilişkin veri tabanında bulunan bilgilerin sahteliğinin veya yanlışlığının ortaya çıkması veya bilgilerin değişmesi, c) Nitelikli elektronik sertifika sahibinin fiil ehliyetinin sınırlandığının, iflâsının veya gaipliğinin ya da ölümünün öğrenilmesi, Durumunda vermiş olduğu nitelikli elektronik sertifikaları derhâl iptal eder. Elektronik sertifika hizmet sağlayıcısı, nitelikli elektronik sertifikaların iptal edildiği zamanın tam olarak tespit edilmesine imkân veren ve üçüncü kişilerin hızlı ve güvenli bir biçimde ulaşabileceği bir kayıt oluşturur. Elektronik sertifika hizmet sağlayıcısı, faaliyetine son vermesi ve vermiş olduğu nitelikli elektronik sertifikaların başka bir elektronik sertifika hizmet sağlayıcısı tarafından kullanımının sağlanamaması durumunda vermiş olduğu nitelikli elektronik sertifikaları derhâl iptal eder. Elektronik sertifika hizmet sağlayıcısının faaliyetine Kurum tarafından son verilmesi halinde Kurum, faaliyetine son verilen elektronik sertifika hizmet sağlayıcısının vermiş olduğu nitelikli elektronik sertifikaların başka bir elektronik sertifika hizmet sağlayıcısına devredilmesine karar verir ve durumu ilgililere duyurur. Elektronik sertifika hizmet sağlayıcısı geçmişe yönelik olarak nitelikli elektronik sertifika iptal edemez. Bilgilerin korunması MADDE 12. Elektronik sertifika hizmet sağlayıcısı; a) Elektronik sertifika talep eden kişiden, elektronik sertifika vermek için gerekli bilgiler hariç bilgi talep edemez ve bu bilgileri kişinin rızası dışında elde edemez, b) Elektronik sertifika sahibinin izni olmaksızın sertifikayı üçüncü kişilerin ulaşabileceği ortamlarda bulunduramaz, c) Elektronik sertifika talep eden kişinin yazılı rızası olmaksızın üçüncü kişilerin kişisel verileri elde etmesini engeller. Bu bilgileri sertifika sahibinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz. Hukukî sorumluluk MADDE 13. Elektronik sertifika hizmet sağlayıcısının, elektronik sertifika sahibine karşı sorumluluğu genel hükümlere tâbidir. Elektronik sertifika hizmet sağlayıcısı, bu Kanun veya bu Kanuna dayanılarak çıkarılan yönetmelik hükümlerinin ihlâli suretiyle üçüncü kişilere verdiği zararları tazminle yükümlüdür. Elektronik sertifika hizmet sağlayıcısı kusursuzluğunu ispat ettiği takdirde tazminat ödeme yükümlülüğü doğmaz. Elektronik sertifika hizmet sağlayıcısı, söz konusu yükümlülük ihlâlinin istihdam ettiği kişilerin davranışına dayanması hâlinde de zarardan sorumlu olup, elektronik sertifika hizmet sağlayıcısı, bu sorumluluğundan, Borçlar Kanununun 55 inci maddesinde öngörülen türden bir kurtuluş kanıtı getirerek kurtulamaz. Nitelikli elektronik sertifikanın içerdiği kullanım ve maddî kapsamına ilişkin sınırlamalar hariç olmak üzere, elektronik sertifika hizmet sağlayıcısının üçüncü kişilere ve nitelikli elektronik imza sahibine karşı sorumluluğunu ortadan kaldıran veya sınırlandıran her türlü şart geçersizdir. Elektronik sertifika hizmet sağlayıcısı, bu Kanundan doğan yükümlülüklerini yerine getirmemesi sonucu doğan zararların karşılanması amacıyla sertifika malî sorumluluk sigortası yaptırmak zorundadır. Sigortaya ilişkin usul ve esaslar Hazine Müsteşarlığının görüşü alınarak Kurum tarafından çıkarılacak yönetmelikle belirlenir. Bu maddede öngörülen sertifika malî sorumluluk sigortası Türkiye de ilgili branşta çalışmaya yetkili olan sigorta şirketleri tarafından yapılır. Bu sigorta şirketleri sertifika malî sorumluluk sigortasını yapmakla yükümlüdürler. Bu yükümlülüğe uymayan sigorta şirketlerine Hazine Müsteşarlığınca sekizmilyar lira idarî para cezası verilir. Bu para cezasının tahsilinde ve cezaya itiraz usulünde 18 inci madde hükümleri uygulanır. Elektronik sertifika hizmet sağlayıcısı, nitelikli elektronik sertifikayı elektronik imza sahibine sigorta ettirerek teslim etmekle yükümlüdür. ÜÇÜNCÜ KISIM Denetim ve Ceza Hükümleri MADDE 14. Yabancı bir ülkede kurulu bir elektronik sertifika hizmet sağlayıcısı tarafından verilen elektronik sertifikaların hukukî sonuçları milletlerarası anlaşmalarla belirlenir. Yabancı bir ülkede kurulu bir elektronik sertifika hizmet sağlayıcısı tarafından verilen elektronik sertifikaların, Türkiye de kurulu bir elektronik sertifika hizmet sağlayıcısı tarafından kabul edilmesi durumunda, bu elektronik sertifikalar nitelikli elektronik sertifika sayılır. Bu elektronik sertifikaların kullanılması sonucunda doğacak zararlardan, Türkiye deki elektronik sertifika hizmet sağlayıcısı da sorumludur. Nitelikli elektronik sertifikaların iptal edilmesi Denetim MADDE 15. Elektronik sertifika hizmet sağlayıcılarının bu Kanunun uygulanmasına ilişkin faaliyet ve işlemlerinin denetimi Kurumca yerine getirilir. Kurum, gerekli gördüğü zamanlarda elektronik sertifika hizmet sağlayıcılarını denetleyebilir. Denetleme sırasında, denetleme yapmaya yetkili görevliler tarafından her türlü defter, belge ve kayıtların verilmesi, yönetim yerleri, binalar ve eklentilerine girme, yazılı ve sözlü bilgi alma, örnek alma ve işlem ve hesapları denetleme isteminin elektronik sertifika hizmet sağlayıcıları ve ilgililer tarafından yerine getirilmesi zorunludur. Nitelikli elektronik sertifikaların iptal edilmesi İmza oluşturma verilerinin izinsiz kullanımı MADDE 16.. Elektronik imza oluşturma amacı ile ilgili kişinin rızası dışında; imza oluşturma verisi veya imza oluşturma aracını elde eden, veren, kopyalayan ve bu araçları yeniden oluşturanlar ile izinsiz elde edilen imza oluşturma araçlarını kullanarak izinsiz elektronik imza oluşturanlar bir yıldan üç yıla kadar hapis ve beşyüz milyon liradan aşağı olmamak üzere ağır para cezasıyla cezalandırılırlar. Yukarıdaki fıkrada işlenen suçlar elektronik sertifika hizmet sağlayıcısı çalışanları tarafından işlenirse bu cezalar yarısına kadar artırılır. Bu maddedeki suçlar nedeniyle oluşan zarar ayrıca tazmin ettirilir. 15

Nitelikli elektronik sertifikaların iptal edilmesi Elektronik sertifikalarda sahtekârlık MADDE 17. Tamamen veya kısmen sahte elektronik sertifika oluşturanlar veya geçerli olarak oluşturulan elektronik sertifikaları taklit veya tahrif edenler ile yetkisi olmadan elektronik sertifika oluşturanlar veya bu elektronik sertifikaları bilerek kullananlar, fiilleri başka bir suç oluştursa bile ayrıca, iki yıldan beş yıla kadar hapis ve birmilyar liradan aşağı olmamak üzere ağır para cezasıyla cezalandırılırlar. Yukarıdaki fıkrada işlenen suçlar elektronik sertifika hizmet sağlayıcısı çalışanları tarafından işlenirse bu cezalar yarısına kadar artırılır. Bu maddedeki suçlar nedeniyle oluşan zarar ayrıca tazmin ettirilir. Nitelikli elektronik sertifikaların iptal edilmesi İdarî nitelikteki suçların tekrarı ve kapatma MADDE 19.. 18 inci maddedeki suçları işleyenlerin bu suçları işledikleri tarihten itibaren geriye doğru üç yıl içinde ikinci kez işlemeleri hâlinde para cezaları iki kat olarak uygulanır, üçüncü kez işlemeleri hâlinde ise Kurum tarafından elektronik sertifika hizmet sağlayıcıları hakkında kapatma cezası verilir. Kapatma cezası verilmesine ilişkin karar 7201 sayılı Tebligat Kanununa göre ilgililere tebliğ edilir. Bu karara karşı tebliğ tarihinden itibaren en geç yedi gün içinde yetkili idare mahkemesine itiraz edilebilir. İtiraz, yetkili makam tarafından verilen kapatma kararının yerine getirilmesini durdurmaz. İtiraz, zaruret görülmeyen hâllerde, evrak üzerinden inceleme yapılarak en kısa sürede sonuçlandırılır. İtiraz üzerine verilen kararlara karşı Bölge İdare Mahkemesine başvurulabilir. Bölge İdare Mahkemesinin verdiği kararlar kesindir. Kaynak DPT. Bilgi Toplumu Dairesi Başkanlığı http://www.bilgitoplumu.gov.tr/ mevzuat/20040123_eimza.pdf TEŞEKKÜRLER! SORULARINIZ? 16

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim