AVRUPA BİRLİĞİ NDE ELEKTRONİK İMZA Köksal ÖZENÇ Telekomünikasyon Uzmanı Telekomünikasyon Kurumu kozenc@tk.gov.tr ABSTRACT In today information and communication technologies have been one of the most important factors in view of development of the countries and reforming state infrastructure. Within the concept of the globalization, production of information, processing, transmitting, sharing and using have been the most priority target to be achieved for the whole communities. For these targets, in the every fields of government services like electronic signature, e-world, e-europe, e-government, e-education, e-commerce etc., electronics processes and terms have been started. In this paper, a comparative analysis between Turkey and the EU countries has been discussed in terms of electronic signature services and applications, effects. ANAHTAR KELİMELER: E-imza, AB, e-avrupa, kripto, anahtar ÖZET Bilgi ve iletişim teknolojileri ülkelerin gelişmesinde ve devlet yapılarının yeniden şekillenmesinde en önemli etken haline gelmiştir. Küreselleşme olgusu içerisinde bilginin; üretilmesi, işlenmesi, iletilmesi, paylaşılması ve kullanılması tüm toplumların birinci öncelikli hedefi haline gelmiştir. Bu hedefler doğrultusunda elektronik imza, e-dünya, e-avrupa, e-devlet, e-eğitim, e-ticaret, vb. devlet hizmetlerinin her alanında elektronikleşme süreci başlamıştır. Bu çalışmada elektronik imza uygulamaları başta olmak üzere birçok alanda Türkiye ile AB ülkelerinin karşılaştırmalı bir analizi yapılmıştır. KEYWORDS: E-signature, EU, e-europa, crypto, keys Elektronik İmzada Sektörel Gelişme Teknolojik alanda yaşanan çok hızlı gelişmeler nedeniyle bilgi ve iletişim teknolojilerinde gerçekleştirilen işlemlerin güvenliği, inkar edilemezliği ve kişinin kimliğinin teyidinin çok büyük bir önemi bulunmaktadır. [1] AB tarafından e-imza konusundaki E-imza Direktifi nin Aralık 1999 da kabul edilerek 99/93/EC sayılı E-imza Direktifi olarak yayınlanması ile e-imzada sektörel gelişmenin hukuki zemini sağlanmıştır. [2] İtalya da şimdiye kadar 2 milyon adet nitelikli elektronik sertifika düzenlemiş olan 18 adet akredite ESHS (Elektronik Sertifika Hizmet Sağlayıcısı) bulunmaktadır. Ayrıca kamu sektöründeki hizmetlere erişim için her biri nitelikli elektronik sertifika ve doğrulama için olmak üzere 2 adet sertifika içeren 8 milyon adet ulusal hizmet kartı dağıtılmış bulunmaktadır. Yunanistan da ikisi nitelikli elektronik sertifika veren ESHS olmak üzere 5 adet ESHS bulunmakla beraber bunlardan bir tanesi faaliyetine son vermiştir. Gerekli her türlü e-imzaya ilişkin mevzuatın yürürlükte olmasına rağmen ülkede halen istenilen seviyede e-imza uygulaması yaygınlaştırılamamıştır. Avusturya da ise bir tanesi nitelikli elektronik sertifika, diğeri niteliksiz elektronik sertifika ve zaman damgası hizmeti sunan 2 adet ESHS olmak üzere toplam 4 adet hizmet sağlayıcı bulunmaktadır. Ancak buna karşın talep azlığı nedeniyle 1 adet ESHS kapanmıştır. Hollanda da halen 3 adet ESHS mevcut olup E- Devlet Kurumu, Savunma Bakanlığı ve Adalet Kurumu, ülkede sertifika vermeyi planlamakta ve ayrıca Almanya menşeli bir adet ESHS de halen nitelikli elektronik sertifika hizmeti sunmaktadır. Diğer taraftan Hollanda da nitelikli elektronik sertifika kullanımı henüz istenen seviyede yaygınlaştırılamamıştır. Bunun sebebinin ise elektronik imza uygulamalarının daha çok mobil telefon teknolojisinde e-imza uygulamasının yaygınlaşamamasına bağlanmaktadır. Zira insanlar artık her alanda mobilite talep etmektedirler. Macaristan da 3 tanesi nitelikli elektronik sertifika veren ESHS olmak üzere ülkede 5 adet ESHS mevcut olup, bunlardan bir tanesi ülkedeki en büyük telekomünikasyon işletmecisidir. Macaristan da bankalar, kayıt makamı (RA) ve ESHS gibi çalışabilmektedir.
Nitelikli elektronik sertifika kullanımının henüz çok yaygınlaşamadığı Danimarka da ESHS olan OCES tarafından 350 bin adet niteliksiz sertifika verilmiş bulunmaktadır. Norveç ve Slovakya da birisi nitelikli diğeri ise niteliksiz elektronik sertifika veren ESHS olmak üzere ikişer adet hizmet sağlayıcı bulunmaktadır. Elektronik İmzada Teknik Standartlar, Algoritma ve Parametreler Elektronik imza uygulamalarında kullanılan kripto algoritmaları ve anahtar büyüklüklerine ilişkin olarak AB üyesi ülkelerin incelenmesi sonucunda aşağıda belirtildiği üzere bazı ülkelerin bizdeki gibi düzenleme yaptıkları, bazı ülkelerin ise bu teknik kriterlere ilişkin herhangi bir düzenleme yapmayıp sektördeki teknik gelişmelere bıraktıkları gözlenmektedir. a) Düzenlemenin Yapıldığı Ülkelerdeki Durum i) Avusturya Avusturya da elektronik imza mevzuatı ekinde kullanılmasına izin verilen algoritma ve parametreler belirtilmiş olup ancak anahtar büyüklüklerinin kullanım ömrünün ne zaman sona ereceğine ilişkin herhangi bir hüküm bulunmamaktadır. RTR ve A-SIT ortaklaşa yaptıkları bir çalışma sonucu hukuki olarak bağlayıcı olmamakla beraber, Almanya da hazırlanan algoritma katoloğuna benzer bir dokümanı öneri mahiyetinde yayınlamışlardır. Bu çalışma sonucu SHA-1 de collision olayının önümüzdeki birkaç yıl içinde meydana gelmesinin muhtemel olduğu açıklanmış, bu çerçevede SHA- 1 in kullanımının ortadan kaldırılmasının planlandığı ifade edilmektedir. ii) Almanya Almanya da SHA-1 in durumunun tartışıldığı 2005 Algoritma Kataloğu adıyla yeni bir doküman yayınlanmıştır. Yapılan yeni bir düzenleme ile Almanya da telekomünikasyon sektörünün ve elektronik imza konusunda otoriter kurum olan RegTp, mevcut diğer görevlerine ilaveten elektronik imzadaki teknik hususlardan da sorumlu tutulmuştur. Almanya da RegTp tarafından her yıl yayınlanan doküman ile elektronik imzada kullanılabilecek tüm algoritma ve parametreler ilan edilmektedir. SHA-1 in 2010 yılına kadar kullanılabileceği ifade edilmekle beraber, SHA-224 için henüz bir değerlendirilmeye ya da teste tabi tutulmuş herhangi bir akıllı kartın mevcut olmadığı ifade edilmektedir. Almanya da RFC 3647 ve RFC 3739 u kabul ederek güncellenen ETSI TS 101 456 standardına ilişkin olarak e-imza mevzuatında gerekli güncellemeler yapılmıştır. Diğer taraftan elektronik imza uygulamalarında uyumlu çalışabilirlik hususu ne kadar önemli ise aynı zamanda teknolojideki gelişmeler de (işlemci hızının artması, kriptolojideki gelişmeler vs.) dikkate alınarak tüketici ve sektör ihtiyaçları doğrultusunda gerekli teknik, idari ve hukuki önlemlerin de aynı oranda alınması büyük önem arzetmektedir. Örneğin halen ortalama sade bir vatandaşın evinde kullandığı Intel Pentium 4 işlemcili bir PC de RSA 2048 bitlik kripto algoritması rahatlıkla kullanılabilirken teorik olarak kullanılabilmesi mümkün olsa dahi RSA 4096 bitlik kripto kullanılması durumunda PC de bu işlemin çok daha uzun bir süre gerektireceği aşikardır. Dolayısıyla elektronik imza uygulamalarında sadece kripto algoritmalarında kullanılan anahtar büyüklüklerinin tek başına artırılması güvenlik açısından bir şey ifade etmemektedir. Aynı zamanda kullanımının da kolay olması gerekmektedir. Diğer bir deyişle gereğinden çok uzun bir kripto anahtarının kullanılması durumunda belki nispeten diğer anahtar uzunluklarına göre daha güvenli bir iletişim sağlanacaktır ancak çok kısa bir mesajın dahi karşı tarafa gönderilmesi çok fazla beklemeyi gerektireceğinden çoğu kişi tarafından doğal olarak kullanılmayacaktır. Dolayısı ile burada önemli olan sadece anahtar uzunluklarının artırılması değil, aynı zamanda kullanım kolaylığının da sağlanması gerekmektedir. Bu husus da piyasada mevcut olan bilgisayarlardaki işlemcilerin hızı ile doğrudan ilişkili bir konudur. Örneğin Almanya da yapılan bir araştırma neticesinde anahtar büyüklüğünün 1024 den 1536 bit e çıkartılması durumunda kriptografik işlemlerdeki zorluk ve süre gereksiniminin 2.8 kat, 1536 dan 1984 e ya da 2048 bit e çıkartılması durumunda ise 4 kat artacağı ifade edilmiştir. Dolayısı ile burada sınırlayıcı faktör sadece RSA deki kripto algoritmasında kullanılacak bit sayısını artırmak değil ama aynı zamanda kullanılacak kripto algoritmalarındaki anahtar büyüklüklerinin de PC deki işlemci kapasitesi ve hızıyla da orantılı olması önem arzetmektedir. 1996 yılında Prof. Dr. Dobbertin tarafından MD5 de karşılaşılan collision nedeniyle 1997 yılından itibaren kullanımdan kaldırılan MD5 yerine RIPEMD-160 kullanılmaktadır. Almanya da herhangi bir ESHS nin kullandığı algoritmaların kırılması halinde, durumun aciliyetine, boyutuna ve önemine göre ya sertifikalar doğrudan iptal edilecek ya da sertifikaların kullanım süresi kısaltılacak ya da
önemli işlemlerde elektronik sertifikaların kullanılamaması yönünde bir hazırlık planı yapılmış durumdadır. iii) Fransa Fransa da DCSSI, yaptığı çalışmalar neticesinde EESSI Algo Paper da belirtilen yaklaşımın ülkede belirlenen teknik ve hukuki ilkelerle uyumlu olmadığı ifade edilmiş ve bu çerçevede Fransa da imza oluşturma uygulaması için kendi ülkesine ait ve kendi ihtiyaçları doğrultusunda cevap verebilecek CC (Common Criteria) koruma profilini geliştirmiştir. SHA-1 konusunda veri bütünlüğünün sağlanmasına ilişkin olarak herhangi bir endişe bulunmamakla beraber, ESHS lerin SHA-256 a geçiş için gerekli hazırlıkları ve ilgili uyumlu çalışabilirlik çalışmalarını tamamlamaları gerektiği yönünde bir karar alınmıştır. Fransa da DCSSI bünyesinde algoritma ve parametrelerin güvenilirliği konusunda görevli uzman bir kripto ekibi mevcut olup, yapılan çalışmalar neticesinde 2010 yılına kadar SHA-1 yeterli görülmekte, daha sonra ise SHA-256 ya da daha yüksek değerdeki bir parametreye sahip algoritmanın kullanılması önerilmektedir. Bununla beraber MD5 in kullanılması önerilmemektedir. Fransa da DCSSI (Bilgi Sistemleri Güvenliği Genel Müdürlüğü), hukuki yönden bağlayıcı olmamakla beraber, ETSI tarafından yayınlanmış olan ve kısa adı ETSI Algo Paper olarak da bilinen ETSI SR 002 176 standardı referans olarak kullanmakta olup ayrıca 2008 yılından itibaren e-devlet uygulamalarında 2048 bit RSA anahtarın kullanılması planlanmaktadır. Fransa da Haziran 2004 de yapılan yeni bir düzenleme ile (Sayısal Ekonomide Güven Kanunu), kriptografik ürün ve hizmetlerin ithalatı, tedariki ve kullanılmasının kontrolundaki tedbirleri hafifletecek şekilde hukuki önlemler alınmıştır. Bu kanunda ayrıca e-devlet hizmetlerinde alınacak güvenlik tedbirlerine ilişkin olarak bazı hükümler de ilave edilmiştir. ESHS lere uygulanacak onaylama prosedürleri ve elektronik imza sektöründe güvenlik referans politikasının hazırlanmasına yönelik olarak Ekim 2004 de kamu-özel sektör girişimi ile bir ortaklık kurulmuştur. Bu çalışmanın 2005 yılı içinde bitirilmesi planlanmaktadır. E-devlet konusunda hazırlanmakta olan mevzuat çalışmasına katkı sağlamakta olan DCSSI (Central directorate for information system security), CEN tarafından yayınlanmış bulunan ve başta CWA 14170 ve CWA 14171 standartları [3] olmak üzere ilgili diğer elektronik imza konusundaki standartlara uygun koruma profillerinin değerlendirilmesi, çeşitli kripto sistemlerinin kalite testine tabi tutulması konusunda çeşitli tavsiyelerde bulunmaktadır. Almanya ve Fransa örneğinde olduğu gibi elektronik imzada kullanılan algoritma ve parametrelere ilişkin olarak teknik altyapısı güçlü ülkelerin kamu kurumlarında konusunda uzman personeli istihdam ettirdikleri ve gerektiğinde ETSI ya da benzeri kuruluşlara rağmen kendi ülkelerinin teknik, hukuki ve idari ihtiyaçları dikkate alınarak algoritma ve parametrelerde düzenleme ya da ve değişiklik yaptıkları gözlenmektedir. b) Düzenlemenin Yapılmadığı Ülkelerdeki Durum i) Norveç Norveç te elektronik imzada kullanılan algoritmalara ilişkin herhangi bir düzenleme yapılmamıştır. Norveç te herhangi bir standardın uygulanması hukuki olarak zorunlu olmayıp, sadece sertifikayı veren işletmecinin açık adının sertifikada yer alması hukuken yeterli sayılmakta ve böylece her türlü sorumluluk sertifikayı veren işletmeye atfedilmiş sayılmaktadır. Bu ilkeden hareketle örneğin bazı bankalar da ESHS gibi sertifika verebilmektedir. ii) Belçika, Çekoslavakya Belçika ve Çekoslavakya da elektronik imzada hangi algoritmaların kullanılacağı hususunda herhangi bir kısıtlama bulunmamakla beraber, ETSI tarafından yayınlanmış bulunan EESSI Algo Paper, kaynak doküman olarak kullanılmaktadır. ii) Yunanistan ve İsveç Yunanistan ve İsveç te elektronik imzada kullanılan algoritmalara ilişkin herhangi bir düzenleme yapılmamıştır. Yukarıda yer alan ülkelerden özellikle Norveç gibi ülkelerde elektronik imzada kullanılan kripto algoritmaları ve teknik parametreler hususunda herhangi bir düzenleme yapılmaması ülkedeki elektronik imza uygulamaları kapsamında yer alan başta ESHS ler olmak üzere kullanıcılar ve kamudaki denetim mekanizmasının sağlıklı olarak işlediğinin bir işareti olarak sayılabilir. Halkı ve işletmecileri ilgili konuda bilgili ve bilinçli olduğu dikkate alınarak bazı ülkelerin her şeyi mevzuatta yazmadıkları görülmektedir. Esasında bu husus özellikle elektronik imza gibi bir sektörün çok hızlı bir değişim ve gelişim süreci geçirdiği bir konuda son derece önemlidir. Zira elektronik imza alanında meydana gelen her değişme ve gelişmeye paralel olarak mevzuat değişikliğine gidilmeyecek şekilde mevzuatın ana hatlarının belirlenmesi daha pratik bir yöntem olarak görülmektedir. Ancak burada önemli olan tüm sektör aktörlerinin konuyla ilgili olarak bilgili ve bilinçli olması ve ayrıca herkesin mevcut mevzuat ve uygulamalara harfiyen uyması
büyük önem arzetmektedir. Dolayısı ile elektronik imza uygulamaları kapsamında sektörde tam bir gelişme ve farkındalığın oluşturulduğu safhada bu tür bir yönteme uzun vadede ülkemizde de gidilmesinin uygun olabileceği değerlendirilmektedir. Böylece hem gereksiz yere teknik parametrelerle dolu bir mevzuat olmayacağından daha sade ve anlaşılır düzenleme olacak ve dolayısı ile uygulanması ve denetimi daha kolay olacaktır. iii) İtalya İtalya da SSCD ler CC ye göre teste tabi tutulup değerlendirilmekle beraber, buradaki sorumluluk ESHS ye verilmiştir. Dolayısı ile ESHS ler SSCD yi ve gerekli diğer yazılımları sağlamakla yükümlü kılınmıştır. Diğer ülkelerde belgelendirmeye tabi tutulmuş SSCD ler de kabul edilmektedir. Bununla beraber genel olarak konuya bakıldığında SSCD nin değerlendirilmesi için genelde bu konuya tahsis edilmiş bir kurumun bulunmaması da e-imza konusunda önemli sorunlardan birisi olarak görülmektedir. [4] c) Teknolojik Gelişmelere Göre Karar Veren Ülkelerdeki Durum i) Hollanda, Macaristan ve Danimarka Hollanda da elektronik imzada kullanılan algoritma ve parametreler günün teknolojik ihtiyacına cevap verecek şekilde seçilmiş olması şartı aranmakla beraber, halen 3 adet ESHS tarafından SHA-1 kullanılmaktadır. Bununla beraber, kullanılan algoritmaların kırılarak güvenilirliğinin ortadan kalkması durumunda ne yapılacağına ilişkin herhangi bir açıklayıcı ya da yol gösterici bir hüküm bulunmamaktadır. Benzer şekilde Macaristan da imzalanacak data için belirlenmiş herhangi bir format bulunmamaktadır. Macaristan da en son teknolojiye uygun algoritmaların kullanılması mevzuatta belirtilmiş olmakla beraber, aynı zamanda klavuz doküman olarak da EESSI Algo Paper da kullanılabilmektedir. Danimarka da algoritma ve parametreler konusunda herhangi bir düzenleme bulunmamakla beraber ESHS ler teknolojinin elverdiği ölçüde en güvenli sistemi, algoritmayı ve parametreyi kullanmakla yükümlü tutulmuşlardır. Yukarıda belirtilen ülkelerden de anlaşılacağı üzere elektronik imzada kullanılacak algoritma ve parametreler konusunda uygulanacak en iyi yöntem mevzuatta yazmak yerine belki de kendi güvenliklerini ve elektronik sertifika sahiplerinin kişisel bilgi güvenliğini sağlamakla yükümlü olan ESHS lere bu konuda insiyatifi ve sorumluluğu bırakmaktır. Zira ESHS ler doğrudan elektronik imzanın uygulayıcıları konumunda olduklarından olası problemleri ve uyuşmazlıkları doğrudan tespit etme ve giderme açısından teknik imkan ve uzman personele sahiptir. Diğer önemli bir husus ise, elektronik imzaya ilişkin olarak teknik anlamda algoritma ve parametrelerde çok hızlı bir gelişme ve değişim gözlenmekte ve diğer taraftan da PC lerde kullanılan işlemcilerin hızı da aynı ölçüde artmaktadır. Dolayısı ile tüm bu gelişmelerin yakından takip edilerek gerekli her türlü teknik ve idari önlemlerin mümkün mertebe en kısa sürede alınması elektronik imza uygulamalarında muhtemel tehdit ve riskleri de ortadan kaldıracaktır. iv) Finlandiya Finlandiya da kullanılan algoritma ve parametrelere ilişkin olarak herhangi bir kriter bulunmamakla beraber, bir algoritmanın kırıldığının tespit edilmesi halinde tüm sertifikalar iptal edilecektir. Zira FICORA (Finnish Communications Regulatory Authority), ne ETSI nin ne de AB Komisyonu nun bu konuda yeterli seviyede uzman olmadığını, konuya gereken gereken hassasiyette önem vermediğine işaret ederek kullanılması gereken algoritma ya da parametreler konusunda ETSI den ya da AB Komisyonu ndan herhangi bir telkin ya da öneri alınmasının gerekmediğini ifade etmektedir. Bununla beraber AB Komisyonu 8.8.2006 tarihinde e-imzada standardizasyon konusunda başlatmış olduğu çalışmaların [5] yakından takip edilmesi gerektiğinin altı önemle çizilmektedir. AB üyesi olmayan ülkelerinde üye olabildiği ve ülkeler arasında elektronik imza uygulamaları konusunda bilgi alışverişi yapılabilmesini teminen kurulmuş bulunan FESA da ve AB Komisyonunda yeterli sayıda teknik uzman bulunmadığı gerekçesiyle Finlandiya bu teşkilatlarda alınan kararlara uymayı reddetmektedir. Bu ilke çerçevesinde Finlandiya kendi bünyesinde elektronik imza ve kriptoloji konusunda çalıştırmış olduğu uzmanlara ETSI, FESA ve AB Komisyonundaki uzmanlara göre çok daha fazla güvendiği için bu kuruluşlara üye olsa dahi kendi ülkesinin ihtiyaçları ve eksiklikleri doğrultusunda bağımsız karar alabilme ve uygulayabilme yeteneğine sahiptir. Bu durum da doğal olarak bir ülkeye bir konuda diğer ülke ya da uluslararası teşkilatlardan bağımsız olarak hareket edebilme kapasitesinde olması o ülke açısından ayrı bir öneme sahiptir. FESA çevrelerinde SHA-1 in güvenilirliği konusunda duyulan endişeler üzerine sözkonusu teknik alanda yapılan çalışmalar yakından takip edilmekte olup, muhtemelen yakın bir gelecekte 128 bit lik SHA-1 yerine daha güçlü bir özetleme
algoritmasının kullanılacağı düşünülmektedir. Bu çerçevede İtalya gibi bazı ülkelerde olduğu gibi 128 bit lik SHA-1 yerine 256 bit lik versiyonunun kullanılması başlandığı gözlenmektedir. Bu çerçevede mevzuatta gerekli değişikliğin yapılması yakın bir süreçte gündeme gelebilir. Diğer taraftan günümüzde bilgi ve iletişim teknolojileri alanında olduğu kadar enformasyon sistemlerindeki bilgi güvenliği konusunda çeşitli ulusal ve uluslararası standardizasyon kuruluşlarında çok yoğun çalışma ve ARGE alanında çeşitli araştırmalar yapılmaktadır. Teknolojinin bu kadar hızla ilerlediği günümüz şartlarında doğal olarak mevzuatta atıf yapılmış olan standartlarda da hızlı bir gelişim ve değişim süreci yaşanmaktadır. Örneğin Kurumumuz tarafından hazırlanarak 6 Ocak 2005 tarihinde Resmi Gazete de yayınlanan Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ de atıf yapılan standartlardan üç tanesi (ETSI TS 101 456, ETSI SR 002 176 ve ISO/IEC 17799), sözkonusu Tebliğ daha 1. yılını doldurmadan güncellenmiştir. Halen sözkonusu Tebliğ de atıf yapılan standart sayısının 19 olduğu göz önüne alınırsa, bu Tebliğin muhtemelen yılda en az bir kez değiştirilmesi gerekeceği ortaya çıkar. Dolayısı ile mademki standartlar ESHS nin işleyişinin her aşamasında gerekli olan sistem, donanım, yazılım ve cihaz güvenliğini ve güvenilirliğini sağlamayı hedefliyorsa, ilgili e-imza mevzuatı gereğince de bu konuda ESHS ler yükümlü olduğuna göre ve bu standartları doğrudan uygulayacak olan da ESHS ler olduğundan bu standartlardaki gelişmelerin ESHS ler tarafından takip edilerek gerekli güncellemelerin bizzat ESHS ler tarafından yapılması hem gereksiz bürokrasiyi azaltacak ve hem de mevzuatın daha sadece ve anlaşılır hale gelmesi sağlanacaktır. Ayrıca e-imzaya ilişkin standartların Kurum tarafından değil de ESHS ler tarafından takip edilmesinin beraberinde getireceği başka bir avantaj daha bulunmaktadır. ESHS ler bu durumda hem uluslararası çalışma ve ARGE faaliyetlerini yakından takip etmek zorunda kalacakları için dolayısıyla e-imza sektöründe faaliyet gösteren ESHS lerin uluslararası çalışmalarda aktif birer katılımcı olmaları sağlanabilecektir. Sertifika Mali Sorumluluk Sigortası Avusturya da işlem başına uygulanacak maddi sınırlamalar sertifikada yazılmaktadır. Nitelikli sertifika veren ESHS lerin mevzuat gereğince her bir sertifikayı 3 ayrı olay başına 700.000 Euro ile sigortalaması zorunludur. Almanya da ESHS ler vermiş olduğu sertifikaları, her yıl 4 farklı olay için 2.5 milyon Euro ile sigortalaması zorunludur. Ayrıca banka teminatı da kullanılabilmektedir. İtalya ve Belçika da nitelikli elektronik sertifika veren ESHS lerin sertifikaları sigorta ettirme yükümlülüğü bulunmakta buna karşın Çekoslavakya da ise banka teminatı da kullanılabilmektedir. İsveç te ise, bireysel risk analizine dayalı sigorta prosedürü hukuki olarak zorunludur. Slovakya ve Norveç te ESHS, kendisinin yayınlamış olduğu ilkelerinde belirtilen işlem başına olan maddi zararı karşılamakla yükümlüdür. Hollanda da sertifikaların sigortalanmasına ilişkin herhangi bir hüküm ya da mevzuat bulunmamaktadır. Bununla beraber Hollanda da sertifikada bulunan maddi sınırlamalar çerçevesinde ESHS oluşan zararları karşılamakla yükümlüdür. Macaristan da sertifikalardaki sigorta miktarı, azami işlem değerine ve ESHS nin vermiş olduğu sertifikaların sayısına göre değişmektedir. Fransa da sertifikaların sigortalanması hususunda banka teminatı da kullanılabilmektedir. Danimarka da ESHS lerin maddi zararları karşılama sorumluluğu mevzuatta açıkça yazılmamış olmakla beraber, yapılan işin ya da alışverişin büyüklüğüne uygun olmalıdır. Danimarka da işlem başına uygulanacak maddi sınırlamalar sertifikada yazılmaktadır. Ayrıca banka teminatı da kullanılabilmektedir. Yukarıdaki örneklerden de görüleceği üzere bazı ülkeler bizim mevzuatımızda belirtildiği üzere her bir olay için ayrı ayrı maddi sınırlamalar ve ESHS tarafından karşılanacak zarar miktarı açıkça mevzuatta belirtmişken, bazı ülkeler de bu konuyu tamamen elektronik sertifika sahibi kişi ile ESHS arasındaki anlaşmaya bırakmışlardır. Bazı ülkelerde ise banka teminatı da kabul edilebilmektedir. Bizim mevzuatımızda hem olay başına ve hem de ESHS nin 1 yıl içinde karşılaması gereken toplam zarar bedeli açıkça yazılmıştır. Yukarıdaki ülkelerde elektronik sertifikaların sigortalanması hususunda farklı uygulamalar olduğu görülmekte ve bu uygulamalardan en pratik ve en sağlıklısının belki de kişi ile ESHS arasında varılacak mutabakat sonucu belirlenmesinin ve dolayısı ile bu konuya ne Kurumun müdahil olması ne de mevzuatta YTL bazında açıkça yazmasının günümüzün teknik, ekonomik ve sosyal şartları dikkate alındığında uygun olmadığı görülmektedir. Zira ESHS kendisine müracaat eden kişinin zaten para ve mal varlığını gösteren resmi belgeleri kişinin kendisinden talep edecektir. Diğer bir deyişle nasıl
ki ESHS kendisinin kullandığı sistem, cihaz ve yazılımların güvenliğini ve güvenilirliğini sağlamakla sorumlu ise, aynı derecede mali açıdanda ileride meydana gelebilecek maddi zararlara karşı da kendisini bir ölçüde korumak gereğini hissedecektir. ESHS nin kendisini maddi ve teknik yönlerden kendi güvenliğini sağlamak için alacağı her tedbir hususunda günümüzün şartları içinde uygun olmadığı ve dolayısı ile ileride bu konuda gerekli mevzuat değişikliğinin yapılmasının uygun olduğu mütalaa edilmektedir. Elektronik Sertifika Hizmet Sağlayıcılarının Denetimi Çekoslavakya da 1 Ocak 2005 tarihinden itibaren yeni bir elektronik imza kanunu ve yönetmeliği yayınlanmış olup, sözkonusu mevzuatta başta ETSI TS 101 456 standardı olmak üzere ETSI ve CEN in diğer standartları da referans alınmıştır. Çekoslavakya daki ESHS lerin akreditasyonu İsveç Metroloji ve Akreditasyon Federal Ofisi ne bağlı olan İsveç Akreditasyon Servisi (Swiss Accreditation Service SAS) tarafından yapılmaktadır. Bu çerçevede halen 1 adet ESHS, SAS dan gerekli akreditasyonu almış, diğer 2 ESHS ise akreditasyon almak üzere başvuruda bulunmuştur. Ürün belgelendirmesi zorunlu olmakla beraber, ülkede herhangi bir akreditasyon kurumu bulunmadığından belgelendirme işlemleri yabancı ülkelerdeki kuruluşlar vasıtasıyla yapılmaktadır. Slovakya da nitelikli ve niteliksiz sertifika veren 2 adet ESHS akredite edilmiş olup, 1 adet ESHS de akreditasyon için yeni başvuru yapmış bulunmaktadır. Slovakya da imza oluşturma uygulamaları ve akıllı kart okuyucularının belgelendirilmesi zorunludur. NSA (National Security Agency), aynı zamanda e-imza uygulamaları kapsamında güvenlik konularının sağlanmasından da sorumludur. Hollanda da bulunan 3 adet ESHS, TTP.NL tarafından akredite edilmiş olup, ESHS lerin denetlenmesi işi Ekonomik İşler Bakanlığı tarafından PriceWaterHouse Coopers adlı firmaya verilmiştir. Bununla beraber Hollanda da başlatılan yeni bir uygulama ile her yıl ESHS ler OPTA ya gerekli teknik, hukuki ve idari kriter ve standartları karşıladıklarına dair bir raporu sunmaları zorunlu hale getirilmiştir. Almanya da ESHS lerin akreditasyonu ve denetimi tamamen ilgili kamu kurumlarının müşterek çalışması sonucu yapılmaktadır. Bununla beraber akredite olmayan ESHS lerin vermiş olduğu nitelikli elektronik sertifikalar, beyan esas alınarak geçerli kabul edilmektedir. Almanya da akredite olmayan ESHS lerin nitelikli elektronik sertifika vermesi durumunda ise akıllı kart/token imalatçısının beyanı yeterli sayılmaktadır. Fransa da kamu kurumlarına ve kamu personeline nitelikli elektronik sertifika veren ESHS lerin akredite olması zorunludur. Fransa da kamu-özel sektör ortak girişimi sonucu kurulan bir ortaklıkla (PRIS), ESHS lerin onaylanması ve denetimlerinin yapılmasına ilişkin prosedür yürütülmektedir. Hollanda, Çekoslavakya, Macaristan, Danimarka, Fransa ve Belçika da sadece nitelikli elektronik sertifika veren ESHS ler denetlenmektedir. Yukarıda verilen ülke örneklerinin incelenmesinden de görüleceği üzere Almanya ve Fransa gibi bazı ülkeler ulusal düzenleyici kurumları vasıtasıyla denetim ve akreditasyon faaliyetini sürdürmekte bazı ülkeler ise bu faaliyetleri ya başka ülkelerdeki ilgili kurumlar ya da özel sektör aracılığı ile yaptırdıkları anlaşılmaktadır. Burada önemli olan husus bir ülkenin kendi ihtiyaçlarını dikkate alarak kendisine en uygun çözümü bulup uygulamasıdır. Esas itibariyle denetim ve akreditasyon faaliyetlerinin kim tarafından yapıldığı değil, nasıl yapıldığı daha önemli olan bir husustur. Herhangi bir sektörde regülasyon konusu ne kadar önemli ise denetim konusu da aynı derece önemli olmakla beraber yapılabilecek regülasyon (kanun, yönetmelik, tebliğ vs.) sayısı sınırlı olmakla beraber denetim mekanizmasının ise sınırsız bir işleyişi olmaktadır. Diğer bir deyişle uzun bir süre sonra e- imza sektöründe belki de hiç bir regülasyon yapma gereği olmayacak ancak denetim mekanizması süreklilik arzeden bir konudur. E-imza gibi oldukça önemli olan bir konuda maalesef ESHS lerin denetimi konusunda ilgili personelin bilgi, eğitim ve tecrübe eksikliği olduğu bir gerçektir. ESHS lerin denetiminin Kurum tarafından yapılması durumunda ilgili alanda çalışacak denetim personelinin bu konuda çok iyi eğitilmiş olması gerekmektedir. Eğer bu husus çok iyi başarılabilirse bazı ülkelerde ESHS lerin denetiminde ikili ya da çok taraflı işbirliğinde olduğu gibi Kurumumuzun başta Türk Cumhuriyetleri olmak üzere çevre ülkelerde denetim fonksiyonunun yerine getirilmesinde onlarla işbirliği anlaşması yapılabilir ya da bu konuda danışmanlık hizmeti verilebilir. Bu çerçevede e-imzadaki uygunluk değerlendirme kuruluşlarının tam bağımsız ve konusunda uzman personele sahip olmaları şartı aranması gerektiği yönünde AB Komisyon tarafından yayınlanmış bulunan Karara [6] ilişkin çalışmaların ve ETSI bünyesindeki standardizasyon çalışmalarının [7] yakından takip edilmesinde fayda mütalaa edilmektedir.
SONUÇ ve ÖNERİLER E-imza çalışmalarına ve uygulamalarına tam anlamıyla işlerlik kazandırılabilmesinde aşağıda belirtilen bazı önemli engellerin aşılması gerekmektedir. a) İnsanların günümüzde artık her alanda olduğu gibi e-imzada da mobilite talep etmeleri nedeniyle, bu hususun göz öüne alınması, b) bilgi ve iletişim teknolojilerindeki okur yazarlığın artırılması, c) telekomünikasyon işletmecilerinin sektöre girişinin kolaylaştırılması, d) işletmecilere ve kullanıcılara uygulanan vergi, harç, katılım payı vs. her türlü ödemelerde indirimin sağlanması, e) e-imza uygulamalarının kamu ve özel sektördeki uygulamalarının yaygınlaştırılmasının sağlanması, f) halkın bilgi ve telekomünikasyon teknolojileri konusunda bilgilenme ve bilinçlenmesi seviyesinin artırılması en önemli faktörler arasında yer almaktadır. Dolayısı ile elektronik imzanın kullanılması, uygulamalarının yaygınlaştırılması ve uyumlu çalışabilirliğin sağlanması konusunun sadece teknik boyutu bulunmamakta hukuki, sosyal, ekonomik, kültürel ve uluslararası açılardan çeşitli yönleri bulunmaktadır. Konunun bu açılardan değerlendirilerek çözüm önerilerinin getirilerek uygulanması gerekmektedir. Diğer taraftan e-imza hukuki olarak tanınmakla beraber, uluslararası alanda ikili anlaşmalar henüz tam olarak sağlanamadığı için e-imzada uluslararası karşılıklı tanınabilirlik ve uygulanabilirlik gerçekleştirilememiştir. [8] KAYNAKLAR [1] AB nin 99/93/EC sayılı E-imza Direktifi [2] AB Komisyonunun 15.3.2006 tarihli raporu [3] 2003/511/EC sayılı Komisyon Kararı [4] Dumortier J., Kelm S., The Legal and Market Aspects of Electronic Signatures, Sayfa 5, 2004 [5] AB Komisyonu yayını, DG/C1 D(2006) 722403, 8.8.2006 [6] 2000/709/EC sayılı AB Komisyonu Kararı [7] ETSI nin 21-22 Mart 2006 tarihli Barcelona Toplantı sonuç raporu, ETSI/TC ESI #13 [8] AB Komisyonunun 17.3.2006 tarihli basın bildirisi