ISTANBUL TİCARET ODASI ELEKTRONIK İMZA VE UYGULAMALARI. HAZIRLAYANLAR Doç. Dr. Şeref SAĞIROĞLU Doç. Dr. Mustafa ALKAN

ISTANBUL TİCARET ODASI ELEKTRONIK İMZA VE UYGULAMALARI HAZIRLAYANLAR Doç. Dr. Şeref SAĞIROĞLU Doç. Dr. Mustafa ALKAN YAYIN NO: 2007-56 İstanbul, 2007

Copyright ÎTO Tüm haklar sakhdır. Bu yayının hiç bir bölümü, yazarın ve İTO'nun önceden yazılı izni olmaksızın mekanik olarak, fotokopi yoluyla veya başka herhangi bir şekilde çoğaltılamaz. Eserin bazı bölümleri veya paragrafları, sadece araştırma veya özel çalışmalar amacıyla, yazarın adı ve İTO belirtilmek suretiyle kullanılabilir. ISBN 978-9944-60-216-7 İTO ÇAĞRI MERKEZİ Tel: (212) 444 0 486 İTO yayınları için ayrıntılı bilgi Bilgi ve Doküman Yönetimi Şubesi Dokümantasyon Servisi'nden alınabilir. Tel : (212) 455 63 29 Faks : (212)512 06 41 E-posta : ito.yayin@ito.org.tr <nternet : www.ito.org.tr Odamız yayınlarına tam metin ve ücretsiz olarak internetten ulaşabilirsiniz. YAYINA HAZIRLIK, BASKI, CİLT VİMEK AJANS Reklamcılık Matbaacılık Tel: 0212 577 49 12 Fax: 0212 577 49 44 www.vimekaj ans.com

ÖNSÖZ Bilişim teknolojileri alanında meydana gelen gelişmelerin insan hayatmdaki yeri ve önemi her geçen gün artmaktadır. Bu teknolojiler sayesinde kişiler, kurumlar, sivil toplum örgütleri, devletler ve ülkeler birbirine bağlanmıştır. İnternetle beraber ortaya çıkan e-ticaret kavramı önce gelişip sonra iş dünyasında yerini bulmuş ve bunun bir kaçınılmazı olarak da elektronik imza gündeme gelmiştir. Elektronik imza, e-ticarette gerekli kullanıcı güveninin ve sistemin güvenirliliğinin sağlanması açısından, aynı zamanda da geleneksel ticaretin önemli unsurlarından olan ıslak imzanın yerini alması açısından çok önemli bir unsurdur. Dünyanın değişik ülkelerinde son yıllarda gündemdeki konulardan biri olan elektronik imza, Avrupa ve Amerika'da çeşitli hukuk kurallarıyla yasalaştırılırken diğer ülkelerde ise yasalaşma çabaları sürmektedir. Türkiye'de e-imzanm hukuki olarak anlam kazanması ve e-imza kullanımının hukuken geçerli sayılması 5070 Sayılı ve 23 Ocak 2004 tarihli E-imza Kanunu'nun çıkarılmasıyla sağlanmıştır. E-devletin ve elektronit ticaretin altyapısı olan e-imza; internetin hızlı gelişimiyle elektronik ortama aktarılan kamusal ve ticari alandaki birçok uygulamayı güvenilir, etkin, verimli ve tasarruflu hale getirmektedir. Elektronik imzaya ilişkin bilgileri kapsayan, elektronik imza uygulamalarının ve hukuksal boyutunun ele alındığı, "Elektronik İmza ve Uygulamaları" isimli bu çalışmanın tüm ilgililere faydalı olmasını diler. Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Bilgisayar Mühendisliği Bölüm Başkanı Doç. Dr. Şeref Sağıroğlu'na ve Doç. Dr. Mustafa Alkan'a teşekkür ederim. Dr. Cengiz Ersun Genel Sekreter

İÇİNDEKİLER ÖNSÖZ 3 EKLER 9 TABLOLAR 10 ŞEKİLLER 11 GİRİŞ 13 KISIM I: TEMEL BİLGİLER 1. BİLGİ ÇAĞI, BİLGİ TOPLUMU VE E-DÖNÜŞÜM 21 2. BİLİŞİM SİSTEMLERİ GÜVENLİĞİ 24 2.1. BİLGİ, GÜVENLİK ve BİLGİ GÜVENLİĞİ KAVRAMLARI... 24 2.2. DÜNYADA BİLGİ TEKNOLOJİLERİ KULLANIMI 28 2.3. BİLGİ GÜVENLİĞİNİN ÖNEMİ 30 2.4. BİLGİ GÜVENLİĞİ İLE İLGİLİ BAZI İSTATİSTİKLER 33 2.5. BİLGİ GÜVENLİĞİ NASIL SAĞLANMALI 38 2.6. KARŞILAŞILABİLECEK TEHDİTLER 40 2.6.1. İZİNSİZ DEĞİŞİM 40 2.6.2. ZARAR VERME 41 2.6.3. DEĞİŞİKLİK YAPMA 41 2.6.4. ÜRETİM 42 2.7. ALINMASI GEREKEN ÖNLEMLER 42 3. KURUMSAL BİLGİ GÜVENLİĞİ ve BİLGİ GÜVENLİĞİ STANDARTLARI 44 3.1. GENEL BİLGİLER 44 3.2. TARİHÇE 45 3.3. KURUMSAL BİLGİ GÜVENLİĞİ 45 3.4. ISO/IEC 27000 KURUMSAL BİLGİ GÜVENLİĞİ STANDART SERİSİ 48 3.5. ISO/IEC 15408 ORTAK KRİTERLER STANDARDI 49 3.6. AÇIK ANAHTAR ALTYAPISI STANDARTLARI 52 4. ELEKTRONİK İMZA 53 4.1. TANIMLAR 53 4.2. DÜNYADA E-İMZA ÇALIŞMALARI 55 4.3. ÜLKEMİZDE E-İMZA ÇALIŞMALARI 58 4.4. E-İMZA TÜRLERİ 63 4.5. KİŞİ, KURUM ve SEKTÖR ÜZERİNE E-İMZANIN ETKİLERİ. 64 4.6. E-İMZA MEKANİZMALARI 65

4.6.1. E-İMZA İLE KİMLİK DOĞRULAMA VEYA İSPATLAMA. 68 4.6.2. E-İMZA MEKANİZMASI 69 4.6.3. E-İMZA MEKANİZMASI (MESAJ BÜTÜNLÜĞÜ) 70 4.6.4. E-İMZA MEKANİZMASI (DİĞER UNSURLAR) 71 5. E-İMZA TEKNİK ALTYAPISI 73 5.1. GİRİŞ 73 5.2. AÇIK ANAHTAR ALTYAPISI 74 5.2.1. KAYIT MAKAMI 76 5.2.2. SERTİFİKA MAKAMI 77 5.2.3. KÖK SERTİFİKA MAKAMI 78 5.3. SERTİFİKALAR 78 5.4. DİĞER AAA BİLEŞENLERİ 78 5.5. TÜRKİYE AAA YAPISI 79 5.6. AAA DONANIMLARI 80 5.7. AAA İÇERİSİNDE GÜVENLİ E-İMZA OLUŞTURMA 82 6. SERTİFİKALAR ve SERTİFİKA YÖNETİMİ 84 6.1. TANIMLAR 84 6.2. SERTİFİKALAR 85 6.3. SERTİFİKA TÜRLERİ 91 6.3.1. BİREYSEL SERTİFİKALAR 91 6.3.2. SUNUCU SERTİFİKALARI 92 6.3.3. YAZILIM SERTİFİKALARI 92 6.3.4. ÇOK AMAÇLI (WILDCARD) SERTİFİKALAR 92 6.4. SERTİFİKA YÖNETİMİ BİLEŞENLERİ 93 6.5. ANAHTAR ve SERTİFİKA YÖNETİMİ 94 6.6. SERTİFİKA İPTAL LİSTESİ 95 6.7. SERTİFİKA YÖNETİM PRENSİPLERİ 95 6.8. SERTİFİKA KULLANIM ALANLARI 97 6.9. SERTİFİKA FİYATLARI 97 7. MOBİL ELEKTRONİK İMZA 98 7.1. GENEL BİLGİLER 98 7.2. MOBİL ELEKTRONİK İMZA (ME-İMZA) 99 7.3. MOBİL ELEKTRONİK İMZA ve AÇIK ANAHTAR ALTYAPISI 100 7.4. SUNUCU TABANLI İMZALAR 101 7.5. İSTEMCİ TABANLI İMZALAR 102 7.6. ME-İMZA VE AAA UYGULAMA ÖRNEKLERİ 104 7.7. ÜLKEMİZDE ME-İMZA ÇALIŞMALARI 106 7.8. E-İMZA İLE ME-İMZANIN KARŞILAŞTIRILMASI 108

7.9. MOBÍL ELEKTRONİK İMZA STANDARTLARI 109 7.9.L ITU-T RECOMMENDATION X.1122 110 7.9.2. ETSITR 102 203 111 7.9.3. ETSITR 102 206 111 7.9.4. ETSITS 102 204 112 7.9.5. ETSITS 102 207 112 7.10. DİKKAT EDİLMESİ GEREKEN ÖNEMLİ HUSUSLAR 112 8. E-İMZA HİZMETİ SUNAN ŞİRKET VE KURUMLAR 113 8.1. TÜBİTAK-UEKAE KAMU SERTİFİKASYON MERKEZİ 114 8.2. E-GÜVEN SERTİFİKA HİZMET SAĞLAYICI 115 8.3. TÜRKTRUST SERTİFİKA HİZMET SAĞLAYICI 116 8.4. E-TUĞRA (EBG BİLİŞİM LTD. ŞTİ.) ESHS 117 9. E-İMZA İLE İLGİLİ HİZMET VEREN BİLGİ PORTALLARI 117 9.1. KAMU SERTİFİKAS YON MERKEZİ PORTALI 117 9.2. e-imza.gen.tr PORTALI ve BÜLTENİ 117 9.3. e-güven BÜLTENİ 118 9.4. www.eimza.org.tr PORTALI 118 10. BİLGİ EKONOMİSİ ve E-İMZA 119 10.1. TANIMLAR 119 10.2. BİLGİ EKONOMİSİ UNSURLARI 120 10.3. BİLGİ EKONOMİSİ ve TÜRKİYE 122 10.4. BİLGİ EKONOMİSİ ve E-İMZA 128 11. ELEKTRONİK TİCARET ve E-İMZA 129 11.1. ELEKTRONİK TİCARET 129 11.2. ELEKTRONİK TİCARET UYGULAMALARI 130 11.3. E-TİCARET'İN GÜNÜMÜZE ETKİLERİ 133 11.4. E-İMZANIN E-TİCARET ÜZERİNDEKİ ETKİLERİ 134 11.5. TÜRKİYEDEKİ DURUM VE GELECEK 138 12. E-İMZA HUKUKU ve DÜZENLEMELER 140 12.1. E-İMZA İLE İLGİLİ ULUSLARARASI DÜZENLEMELER... 140 12.2. E-İMZA İLE İLGİLİ ULUSAL DÜZENLEMELER 142 12.2.1. 5070 SAYILI ELEKTRONİK İMZA KANUNU 142 12.2.2. E-İMZA KANUNUN UYGULANMASINA İLİŞKİN UYGULANMASINA İLİŞKİN USUL ve ESASLAR HAKKINDA YÖNETMELİK 143 12.2.3. SERTİFİKA MALİ SORUMLULUK SİGORTASI YÖNETMELİĞİ 144

12.2.4. E-İMZA ile İLGİLİ SÜREÇLERE ve TEKNİK KRİTERLERE İLİŞKİN TEBLİĞ 145 12.2.5. BAŞBAKANLIK GENELGELERİ 146 13. E-DEVLET UYGULAMALARINDA HUKUKİ ALTYAPI ve E-İMZA 147 KISIM II: UYGULAMALI BİLGİLER 14. E-İMZA ile İLGİLİ PRATİK BİLGİLER 153 14.1. E-İMZA BAŞVURULARI 153 14.2. AKILLI KARTLARI BİLGİSAYARA TANITMA 154 14.3. SERTİFİKA BİLGİLERİNİ BİLGİSAYARA AKTARMA 155 14.4. OUTLOOK'TA E-İMZA KULLANIMI 156 14.5. WEBTEN NİTELİKSİZ SERTİFİKA ELDE ETME 161 15. E-DEVLET UYGULAMALARINDA E-İMZA KULLANIMI 161 15.1. KAMU HİZMETLERİ ve E-DEVLET KAVRAMI 161 15.2. E-KURUM PROJELERİNDE HİZMETLER VE YAPILANDIRMA 162 15.3. ÜLKEMİZDE E-DEVLET ÖRNEKLERİ 163 15.3.1. SSK e-bildirge 163 15.3.2. MALİYE BAKANLIĞI e-beyanname 164 15.3.3. ADALET BAKANLIĞI ULUSAL YARGI AĞI PROJESİ.. 164 15.3.4. SPK KAMU AYDINLATMA PLATFORMU 165 15.3.5. DIŞ TİCARET MÜSTEŞARLIĞI DİR PROJESİ 165 15.3.6. İNTERNET BANKACILIĞI UYGULAMALARI 166 15.3.7. TELEKOMÜNİKASYON KURUMU E-KURUM PROJESİ 167 16. DEĞERLENDİRMELER 168 16.1. MEVCUT DURUM ANALİZİ 168 16.2. BEKLENTİLER 170 16.3. YAPILMASI GEREKENLER 170 16.4. KAZANIMLAR 171 16.5. KARŞILAŞILABİLECEK PROBLEMLER VE DİKKAT EDİLMESİ GEREKEN HUSUSLAR 172 16.6. GENEL DEĞERLENDİRMELER 174 16.7. ÖNERİLER 184 16.8. SONUÇLAR 186

EKLER EK-A: 5070 SAYILI ELEKTRONİK İMZA KANUNU 189 EK-B: ELEKTRONİK İMZA İLE İLGİLİ SÜREÇLERE VE TEKNİK KRİTERLERE İLİŞKİN YÖNETMELİK 199 EK-C: KAMU SERTİFİKASYON MERKEZİ OLUŞTURULMASI HAKKINDA BAŞBAKANLIK GENELGESİ 213 EK-D: ELEKTRONİK İMZA İLE İLGİLİ SÜREÇLERE VE TEKNİK KRİTERLERE İLİŞKİN TEBLİĞİ 217 EK-E: ELEKTRONİK İMZA İLE İLGİLİ SÜREÇLERE VE TEKNİK KRİTERLERE İLİŞKİN TEBLİĞ'DE DEĞİŞİKLİK YAPILMASINA DAİR TEBLİĞ 221 EK-F: ZORUNLU SERTİFİKA MALİ SORUMLULUK SİGORTASI TEBLİĞİ 223 EK-G: SERTİFİKA MALİ SORUMLULUK SİGORTASI YÖNETMELİĞİ 229 KAYNAKLAR 231

TABLOLAR Tablo 3.L ISO 27000 Serisi Standartları 48 Tablo 4.1. Dünyada Elektronik İmza Yasaları Uygulama Yılları 57 Tablo 4.2. Türkiye E-İmza Yol Haritası 60 Tablo 6.1. AAA Yazılımları Fiyat-Uç Karşılaştırması 98 Tablo 6.2. Sertifika Ücretleri 98 Tablo 7.1. E-İmza ve Me-İmza Karşılaştırması 109 Tablo 8.1. Tübitak Sertifika Özetleri 115 Tablo 8.2. E-Güven Sertifika Özeti 116 Tablo 8.3. Türktrust Sertifika ÖzeÜeri 117

ŞEKİLLER Şekil 2.1. Bölgelere Göre Dünya İnternet İstatikleri 29 Şekil 2.2. Ülkemizde Bilişim Teknolojileri Kullanımı 30 Şekil 2.3. Yıllara Göre Zaafiyet Sayıları 38 Şekil 2.4. İzinsiz Erişim 41 Şekil 2.5. Hizmet Durdurma ve Zarar Verme 41 Şekil 2.6. Değişiklik Yapma 42 Şekil 2.7. Veri Üretimi 42 Şekil 3.1. Bilgi Güvenliği Genel Konsepti 46 Şekil 4.1. Gizli (Özel) Anahtarlı Şifreleme 66 Şekil 4.2. Açık Anahtarlı (Asimetrik) Şifreleme 67 Şekil 4.3. Açık Anahtarlı Şifreleme İle Kimlik Doğrulama 68 Şekil 4.4. E-İmzalama Süreci 70 Şekil 4.5. Özetleme Algoritması Kullanılarak Mesaj İmzalama 72 Şekil 5.1. Sertifika Makamları ve Detayları 75 Şekil 5.2. AAA Donanımlarına Örnekler 81 Şekil 5.3. İdeal Bir ESHS Güvenlik Merkezi (Trust-Center) 83 Şekil 6.1. Genel Bir X. 509 Sertifika Formatı 87 Şekil 6.2. İTO Bilgi İşlem Merkezine Ait Bir Sertifika Örneği 88 Şekil 6.3. Sayısal Formda Açık Anahtar Sertifika Örneği 89 Şekil 6.4. Windows Ortamında Bir Sayısal Sertefika 90 Şekil 6.5. Sertifika Örneği 96 Şekil 7.1. Sunucu Tabanlı Me-İmza İşleyişi 102 Şekil 7.2. İstem.ci Tabanlı Me-İmza İşleyişi 103 Şekil 7.3. Vodafo'nun İngiltere Mobil Açık Anahtar Altyapısı 106 Şekil 14.1. E-îmzalı Mesaj Gönderme Ekranı 157 Şekil 14.2. E-İmzalı Mesaj Gönderme İşlemi Ekranı 158 Şekil 14.3. E-İmzah Mesaj Alma Ekranı 158 Şekil 14.4. E-İmzalı Mesaj Alma Ekranı 159 Şekil 14.5. E-İmzah Mesaj Alma Ekranı 159

GÎRÎŞ Günümüz dünyasmda gelişmelerin gerektirdiği değişim insanlığm artan ihtiyaçları ve beklentileri arttırmış, yeni değişimler ve gelişmeler de dolayısıyla yeni teknolojileri de beraberinde getirmiştir. Değişimin yönetilebilmesi için yönetimin değiştirilmesi, dinamik politikalar yürütülmesi ve yönetim ile karar alma süreçlerinin esnekleştirilmesi gereklidir. Dönüşüm sürecinin iyi yönetilebilmeli için klasik reflekslerin, davranış biçimlerinin ve yönetim anlayışının değiştirilmesi zorunludur. Çağa adını veren bilişim teknolojileri, bu beklentilere cevap verebilecek ve ihtiyaçları karşılayabilecek gelişmelerin başında yer almaktadır. Bilişim teknolojilerindeki gelişmeler; insan, toplum ve dolayısıyla devlet yapısında değişimleri, dönüşümleri ve gelişmeleri zorunlu kılmaktadır. Bu zorunluluk, bilişim teknolojilerinin kamu hizmetlerinin ve özel hizmetlerin; daha hızlı sunulması, yaygınlaştırılması, doğru ve yeterli bilgiye hızlıca ulaşabilme, teknolojileri güvenle ve güvenli olarak kullanabilme, düşük maliyet ve şeffaflaşma gibi beklentileri de beraberinde getirmiştir. Bilişim teknolojilerinin hayatımıza girmesi ve kullanılması ile iş ve işlemleri yapış şeklimiz değişmeye başlamış, verimlilik artışı sağlanmış, bilgilerin üretimi, kullanımı ve yaygınlaştırılması kolaylaşmış, bilgilerin depolanması, aktarımı ve tekrar elde edilmesi kolaylaşmış, işlemler hızlanmış ve sonuçta üretkenlik arttığı gibi hizmet kalitesi de doğal olarak yükselecektir. Bilişim toplumu olmak için bilişim teknolojileri üretimini arttırmak, kullanımını yaygınlaştırmak, etkin bilişim teknolojileri kullanımı bilincini oluşturmak, politikalar ve hedefler ortaya koymak, yöntemler geliştirmek, örgütsel yapılar kurmak ve bu tür projeleri kısa sürede hayata geçirmek gerekmektedir. Bilginin sürekli olarak kullanıma açık olması sebebiyle güvenliğinin de sağlanması çok önemlidir. Bunun için, bilginin bir varlık olarak karşılaşılabilecek tehlikelerden her şekilde korunması ve bu korumanın yasal olarak ta desteklenmesi gerekmektedir. Günümüzde bilgi güvenliğini sağlamak için birçok teknik, yaklaşım, metot ve metodolojiler bulunmaktadır. Arzu edilen bir seviyede güvenliği sağlamak için; gizlilik, bütünlük ve erişilebilirlik temel gereksinimler olsa da bilgi bulunduran ortamlarda kimlik kanıtlama veya doğrulama, inkâr edememe, fiziksel güvenlik, insan faktörü (sosyal mühendislik), güvenlik duvarları.

anti-casus ve anti-virüs yazılımlar, atak tespit sistemleri, sayısal imza, şifreleme ve açık anahtar altyapısı gibi çözümlerin kullanılması gerekmektedir. Elektronik ortamda gönderilen veya alman bilgilerin, bunları gönderen kişi veya kuruma ait olduğunun doğrulanması, iletilen veya alman verilerin bildiğimiz (tanıdığımız) kişiler tarafından gönderildiğinin belirlenmesi, verileri gönderenlerin gönderdiğini ve alanların da aldığını inkâr edememesi, gönderilen veya alman bilgilerin içeriğinin değiştirilmediğinden emin olunması, başkaları tarafından elde edilse bile içeriğinin anlaşılamamasınm garanti edilmesi gerekmektedir. Bütün bunlar için, elektronik ortamda güvenli haberleşmeye ihtiyaç vardır. ELEKTRONİK İMZA ve AÇIK ANAHTAR ALTYAPISI bu güvenli haberleşme ortamını sağlayan çözümlerin başında gelmektedir. Açık anahtar altyapısının, elektronik imza (e-imza) ile kullanılmasıyla hukukî açıklar kapatılacak, yasal zorunluluklar yerine getirilecek, kayıplar en aza indirilebilecek, bilgi toplumu olma süreci kısalacak ve yukarıda belirtilen hususlar yerine getirilebilecek ve sonuçta arzu edilen seviyede bir bilgi güvenliği sağlanabilecektir. Elektronik İmza Kanunu'nun ülkemizde Ocak 2005'den itibaren artık yürürlükte olması, güvenli elektronik imzanın elle atılan imza ile aynı hukukî sonucu doğuracağı ortadadır. Elektronik imzanın hukukî yapısı, elektronik sertifika hizmet sağlayıcılarının faaliyetleri ve her alanda elektronik imzanın kullanımına ilişkin işlemlerin nasıl yapılması gerektiği bu kanunda yer almaktadır. E-imza uygulamaları, dünyada olduğu gibi ülkemizde de Elektronik İmza Kanunu'nun yürürlüğe girmesiyle yeni yeni kullanılmaya başlanmıştır. Bu konuda, dünyada yaşanan olumsuzlukların ülkemizde de yaşanmaması için dünya tecrübelerinden faydalanmak, akademik çalışmalar yapmak, kamu-üniversite-sanayi işbirliğini sağlamak, e-imza veya daha geniş anlamıyla bilgi güvenliği konusunda toplumsal duyarlılığı arttırmanın sadece kişisel ve kurumsal bilgi güvenliğimize değil ulusal bilgi güvenliğimize de katkılar sağlayacağı değerlendirilmektedir. Bugüne kadar vermiş olduğumuz seminerler, içinde bulunduğumuz e-imza çahşma grupları, katıldığımız paneller, konferanslarda sunmuş olduğumuz bildiriler, düzenlemiş olduğumuz ulusal sempozyumlar ve uluslararası kongreler bu alanda daha fazla bilgi birikimine, kaynaklara ve işbirliğine

ihtiyaç duyulduğunu bizlere göstermiştir. İstanbul Ticaret Odası'nm bu konuda bir kitap hazırlanması yönündeki teklifi bizde büyük bir heyecan yaratmıştır. Bu kitabın belirtilen ihtiyaçları karşılayacak bir kaynak olması ve bunun geniş kitlelere ulaştırılmasını sağlama yönündeki desteği için İTO'ya teşekkür ederiz. Bu kitap, e-imza'nm farklı açılardan kolaylıkla değerlendirilmesini sağlamak amacıyla geniş bir bakış açısıyla hazırlanmıştır. Ayrıca, e-imzaya ilgi duyanların ufkunu açmak, e-imzaya olabilecek ilgiyi arttırmak, e-imzanm kazanımıarmı farklı açılardan sunabilmek ve kullanıcılarmm merak ettiği her konuyu bulabilmelerini sağlamak bu kitabın ana hedefleri arasındadır.. Genel olarak bu kitapta, Bölüm l'de, bilgi çağı, bilgi toplumu ve e-dönüşüm kapsamlı bir şekilde değerlendirilmiştir. Bölüm 2'de bilişim sistemleri güvenliği konusunda temel kavramlar açıklanmış, bilgi güvenliğinin önemi bazı istatistikler ile vurgulanmış, bilgi güvenliğinin nasıl sağlanması gerektiği üzerinde durulmuş, karşılaşılabilecek tehditler ile alınması gereken önlemler sunulmuştur. Bölüm 3'te kurumsal bilgi ve sistem güvenliği konusunda kullanılan uluslararası standartlardan ISO/IEC 27000 serisi ve ISO/IEC 15408 ana hatları ile açıklanmış, kurumsal bilgi güvenliği ve tarihçesi özetlenmiştir. Açık anahtar altyapısında (AAA) kullanılan standartlar kısaca tanıtılmıştır. Bölüm 4'te, ıslak imza ve e-imza türleri, e-imza yapılanmasının tarihçesi, dünya uygulamaları, ülkemizdeki e-imza çahşmaları, e-imzanm çalışma mekanizması örneklerle açıklanmış, kişi, kurum ve sektör üzerine etkileri ve beklentiler ile e-imza'nm farklı güvenlik seviyelerinde uygulamaları sunulmuştur. Bölüm 5'de, A A Anın önemi, üstünlükleri, oluşturulması, önemli bileşenleri, makamlar, sertifikalar, kullanılan yapılar, ülkemizin AAA yapısı, AAA içerisinde güvenli e-imza oluşturma yaklaşımları özetlenmiştir. Bölüm 6'da güvenli bir haberleşmenin temel unsurlarından olan sertifikalar, sertifika ve anahtar yönetimi, sertifika yönetim prensipleri ve bileşenleri, iptal listesi ve kullanım alanları sunulmuştur. Bölüm 7'de günümüzün en güncel konularından olan mobil elektronik imza ayrıntılı bir şekilde ele alınmıştır.

Bölüm 8'de e-imza hizmeti sunan şirket ve kurumlar ile ilgili detaylı bilgiler verilmiştir. Bölüm 9'da e-imza konusunda kendisini geliştirmek isteyen okuyucularımızın e-imza ile ilgili hizmet veren bilgi portallarına kolaylıkla erişmelerini sağlamak için detaylı bilgiler verilmiştir. Bölüm lo'da bilgi toplumunun temel unsurlarından olan bilgi ekonomisi, farklı yönleriyle değerlendirilmiş, ülkemizde bilgi ekonomisi analiz edilerek dünya ülkeleriyle karşılaştırması yapılmaya çalışılmıştır. Bilgi ekonomisine, e-imzanm katkısı yine bu bölümde değerlendirilmiştir. Bölüm irde e-imzanın en önemli uygulama alanlarından olan e-ticaret farklı boyutuyla ele alınmıştır. Ülkemizdeki mevcut durum ve e-ticaretin ülkemizde yaygınlaşması için yapılması gerekenler ile bunlara e-imzanm katkısı da bu bölümde ayrıca değerlendirilmiştir. Bölüm 12'de elektronik imza'nm hukuki ve teknik düzenlemeleri ile ilgili kanun, yönetmelik ve tebliğler sunulmuştur. Bölüm 13'de e-devlet uygulamaları ile bu uygulamalarda e-imza kullanımı incelenmiştir. Bölüm 14'de e-imza ile ilgili pratik bilgiler ve uygulama örnekleri verilmiştir. Bölüm 15'de e-devlet uygulamaları ile ilgili ülkemizde yapılan çalışmalar sunulmuştur. Bölüm 16'da ise e-imza ile ilgili genel bir değerlendirme yapılarak, mevcut durum analizi yapılmış, beklentiler, kazanımlar, yapılması gerekenler özetlenmiş, karşılaşılabilecek problemlerden bahsedilerek çözüm önerileri geliştirilmeye çalışılmıştır. Kitabın ekler bölümünde ise; çıkarılan E-İmza Kanunu, bu kanun ile ilgili olarak çıkan Yönetmelik, Başbakanlık Genelgesi, Tebliğler sırasıyla Ek-A, Ek-B, Ek-C, Ek-D, Ek-F ve Ek-G'de sunulmuştur. Bu kitabın hayata geçirilmesi esnasında kaynaklarından faydalandığımız araştırmacılara, kurum ve kuruluşlara, bizlerden desteklerini esirgemeyen kişilere ve kuruluşlara şükranlarımızı sunuyoruz.

Kitabımızın sadece "Elektronik İmza ve Açık Anahtar Altyapısının" ülkemizde yaygınlaştırılması değil, yeni yaklaşımların ve sistemlerin geliştirilmesi başta olmak üzere, tüm bilgi güvenliği ve e-dönüşüm süreçlerine önemli katkılar sağlamasını diler, bu çalışmamızın büyük kitlelerle ulaştırılmasına katkı sağlayan İstanbul Ticaret Odasına teşekkür ederiz. Ankara, Temmuz 2007. Doç. Dr. Şeref Sağıroğlu Doç. Dr. Mustafa Alkan

KISIM I: TEMEL BİLGİLER

1. BİLGİ ÇAĞI, BİLGİ TOPLUMU VE E-DÖNÜŞÜM "Ekonomisi bilgiye dayalı toplumlar" bilgi toplumları olarak tanımlanmıştır [14]. Bilgi teknolojileri (BT) üretken teknolojiler olması sebebiyle ekonomik olarak gelişmişliğin yanı sıra toplumsal hayatın tüm alanlarını değiştirmeye aday teknolojilerdir. BT'ler beraberinde bilgi toplumlarını da yaratmışlardır. Bilgi toplumlarının bilgiyi paylaşma ihtiyacı etkileşimli iletişimi, bu da tüm bilgi ve verilerin elektronik ortama taşınmasını sağlamıştır. Bu gelişmeler bir takım "e-" gibi tanımların doğmasına sebep olmuştur. E-Devlet bu tanımlardan sadece birisidir. E-Devletin birçok defa tanımı yapılmıştır, bu tanımların sonucu olarak anlaşılması gereken; "Devletin vatandaşlara karşı yerine getirmekle yükümlü olduğu görev ve hizmetler ile vatandaşların buna karşılık devlete karşı olan görev ve hizmetlerinin karşılıklı olarak elektronik ortamda kesintisiz ve güvenli olarak yürütülmesidir." Bu hizmetlerin gerçekleştirilebilmesi devlet yapısının yeniden şekillenmesi köklü ve yapısal değişikliklerin gerçekleştirilmesiyle mümkün olacaktır. İnsanlık tarihi esas itibariyle değişimlerin, dönüşümlerin ve gelişmelerin tarihidir. Tarih boyunca devam eden değişim, son yıllarda baş döndüren bir hıza ulaşmıştır. Bu büyük ve hızlı değişimin arkasında pek çok sebep var olsa da en önemlisi şüphesiz ki bilgi ve iletişim teknolojileri alanındaki hızlı gelişmelerdir. Tarihi boyunca tarım çağı ve sanayi çağını yaşayan insanoğlu BT'lerin bu son derece hızlı gelişimi ve yayılımı ile birlikte üçüncü bir dalga ile karşı karşıya kalmış ve Bilgi Çağını yaşamaya ve toplumlar Bilgi Toplumuna dönüşmeye başlamıştır [21,22,25]. Bilgi ve iletişim teknolojilerinin son yıllardaki hızlı gelişimi ve yayılımı, bilim, sanat, edebiyat, sosyal iletişim, güvenlik, politika, eğlence ve ticaret dahil yaşamı ilgilendiren her alanı etkilemiş ve dünya çapında ekonomik, politik, sosyal ve kültürel dönüşümlere yol açmıştır. Bu dönüşüm ile birlikte klasik çalışma, düşünme, eğlenme metotları değişime uğramış ve yaşam yeni şekilleriyle sanal ortama taşınmıştır. Yazılı bilgilerin yerini elektronik ortamdaki bilgiler almaya başlamış, işler ve işlemler elektronik ortamda yapılır hale gelmiştir. Günümüzde iş ve işlemler her yönüyle sayısallaşmada büyük yol kat edilmiş ise de bu süreçte varılacak son nokta istisnasız her şeyin sayısallaştığı, uluslar arası protokollerin ve standartların hayatın tüm evrelerine nüfuz ettiği siber dünya olacaktır [22].

Tarım toplumundan sanayi toplumuna dönüşümün 200 yıllık bir geçmişi bulunmaktadır. Sanayi toplumundan bilgi toplumuna geçiş de akşamdan sabaha gerçekleşecek bir olay değil, belki yüzyıllar sürecek bir dönüşüm sürecidir. Sanayi toplumuna dönüşümün ulusal niteliğine karşılık bilgi toplumuna dönüşümün küresel bir nitelik taşıdığı ve daha karmaşık bir süreç olduğu da unutulmamalıdır [21]. Bu sürecin gerektiği gibi değerlendirilmemesi halinde tıpkı sanayi çağında olduğu gibi ülkeler, gruplar ve bireyler arası farklılıklar ortaya çıkacak, bu durum düşmanlıkları körükleyecek, küresel ve yerel barış sağlanamayacak ve tüm dünya çapında insanların bir kısmı bilgi toplumuna adapte olurken diğer kısmı sanayi toplumunun ve belki de tarım toplumunun öngördüğü bir hayat standardını yaşamak zorunda kalacaklardır. Bu durum da küresel bir dönüşüme değil, küresel sorunlara yol açacak ve insanlığı derinden sarsan bunalımlara sebep olacaktır [82]. Tüm bu hususlar göz önüne alınarak, sanayi toplumuna dönüşümü tam olarak gerçekleştiremeyen, süreci geriden takip eden ve bu yüzden o dönemin muhtemel katkılarından faydalanamayan ülkemizin yeni şekillenmekte olan küresel bilgi toplumuna adapte edilmesi ve gerektiğinde yönlendirebilmesi sağlanmalıdır. Değişimin yönetilebilmesi için yönetimin değiştirilmesi, dinamik politikalar yürütülmesi ve yönetim ile karar alma süreçlerinin esnekleştirilmesi gereklidir. Dönüşüm sürecinin iyi yönetilebilmesi için klasik reflekslerin, davranış biçimlerinin ve yönetim anlayışının değiştirilmesi zorunludur. Köydeki yaşamı, şehirde aynı şekilde devam ettirmek şehirleşmek olarak görülemeyeceği gibi önceki çağların değerleriyle, anlayışlarıyla ve kabulleriyle bilgi çağını takip etmek, yorumlamak ve yönlendirmek de bilgi toplumuna dönüşüm olarak görülmemelidir. Tarım ve sanayi çağının yerleşik kalıpları, inanışları, kabulleri bir kenara bırakılmalı, bu süreçte paradigmaların dahi değiştiği dikkate alınmalı ve stratejik zihniyet ürünü yepyeni bir vizyon ve misyon ile toplumun karşısına çıkılmalı, liderlik yapılmalı ve ekonomik, sosyal ve politik dönüşüm sağlanmalıdır [27]. Bunun için toplumun tüm kesimlerinin katılımıyla bilgi toplumuna top yekûn bir dönüşüm sağlanmalıdır. Bu dönüşümün, asgari maliyetle, azami fayda sağlanarak ve en kısa sürede tamamlanması beklenen yararların elde edilebilmesi bağlamında olmazsa olmaz bir şart olarak görülmektedir. Bunu teminen stratejik planlama tabanlı çalışmalar yapılmalıdır.

Tüm ülke çapmda bir dönüşüm ve hareketlilik sağlayacak, tüm kurum ve kuruluşlar ile birlikte tüm vatandaşları da çok yakından etkileyecek olan böyle bir stratejik planın uygulamasında sorun yaşanmaması için siyasi idarenin açık ve net bir şekilde desteği sağlanmalıdır. Siyasi iradenin teşvik ettiği kurum ve kuruluşların, toplumun tüm kesimlerinin katkıda bulunduğu ve desteklediği bir dönüşüm süreci başarıya ulaşmayı sağlayacaktır [177]. Ülkemizin bilgi toplumuna dönüşümünün sağlanabilmesi ve bilgi çağma öncülük edebilmesi yukarıda da ifade edildiği üzere stratejik zihniyet, stratejik planlama ve siyasi irade ile yakından ilgilidir. Bu üç unsur da karar alma süreçleriyle doğrudan ilişkilidir [27]. Politik ve idari açıdan güçlü olmayan, istikrarlı bir yapıya sahip olmayan ve karar alma ve alman kararları uygulama mekanizmaları sağlıklı çalışmayan ülkelerin amaçlarına ve hedeflerine ulaşabilmesi mümkün değildir. Karar alma ve uygulama konumu gerektiği gibi değilse sonuç da istendiği gibi olamamaktadır. Beklenen yararlara ve arzulanan hedeflere ulaşmayı sağlayacak kararların alınabilmesi ise her şeyden önce "doğru bilgiye" "kısa sürede" ulaşabilmekle mümkün olabilmektedir [21-29]. Bu noktada bilgi ve iletişim teknolojileri; Tam ve doğru bilgilere çok kısa süreler içinde ulaşılmasını ve bunlara dayanarak karar verilmesini, Alman kararların en kısa sürede ilgililere duyurulmasını, Karar alma süreçlerinde katılımcılığın sağlanmasını, Alman kararların uygulanmasını, koordinasyonunu ve takibini, Bürokratik engellerin, keyfiliğin ve hantallığın aşılmasını, Alınan kararlar konusunda kamuoyunun bilgilendirilmesi ve ikna edilmesini ve Kamuoyunun farklı konulardaki görüşlerini politik ve idari gücü elinde bulunduran karar vericilere iletebilmelerini sağlamakta ve bu itibarla hayati bir önem arz etmektedir. Günümüzde toplumumuz değişim karşısında ani refleksler geliştirip geri çekilen bir yapıya değil tam tersine değişimi ilgiyle izleyen ve hızla uyum sağlayan bir yapıya sahiptir. Buna paralel olarak toplumumuz bilgi toplumuna dönüşüm sürecini büyük bir ilgi ve merakla izlemekte ve takip etmektedir. Değişime açık kültürel ve toplumsal yapımızın bir sonucu olarak

milletimiz bilgi ve iletişim teknolojilerine ciddi bir ilgi duymuş ve kullanım oranları ciddi boyutlara ulaşmıştır. Bugün ülkemizde 20 milyonun üzerinde sabit hat, 55 milyon civarında GSM ve 20 milyon civarında internet kullanıcısı bulunmaktadır. Ülkemizin Büyükşehirlerinde de en ücra köşelerinde de genci-yaslısı, erkeği-kadım tarafından bu teknolojiler yoğun ve etkin olarak kullanılmaktadır [146]. Bilgi ve iletişim teknolojileri bize, bilgiye ulaşma imkanı sunmaktadır. Böylehkle, bilgiye ulaşma, onu kullanma, dağıtma ve yeniden üretme, dolayısıyla bilimsel açıdan gelişme imkanını bizlere sunmaktadır. Ülkemizin kısa sürede bilgi toplumuna dönüştürülmesi ve e-dönüşüm Türkiye projelerinin ve stratejilerinin hayata geçirilmesi için DPT Bilgi Toplumu Dairesinin oluşturulması ve yapılan çalışmaların web sitelerinde yayımlanması, içerisinde stratejik birçok dokümanın bulunması, Lizbon Stratejisi ve bilgi toplumu, e-devlet projeleri, dünya bilgi toplumu zirvesine ait birçok dokümanın bu web sitesinde yayınlanması sevindiricidir [20]. Ulu Önder Mustafa Kemal ATATÜRK "Hayatta en hakiki mürşit ilimdir" demiştir. Bilgi ve iletişim teknolojileri tarihin hiçbir döneminde olmadığı şekilde bize en hakiki mürşit olan ilim alanında gelişme imkânları sunduğunun farkında olunmalı ve bilgi toplumu olma yolunda daha çok çaba harcamalı, yeni hedeflere kısa sürede ulaşmak için gerekli adımlar atılmalıdır. 2, BİLİŞİM SİSTEMLERİ GÜVENLİĞİ Kurum ve kuruluşlarda bilgi ve bilgisayar sistemleri güvenliğinin sağlanması, güvenlik kavramlarını iyi anlamak, uygulamak, denetlemek ve iyileştirmekle sağlanabilir. Yüksek seviyede bir bilgi güvenliğinin sağlanabilmesi için güvenlik farklı başlıklar altında bu bölümde incelenmiş, tanıtılmış ve değerlendirilmiştir. 2.L BıLGL GÜVENLIK ve Bilişim telcnolojilerinin kullanımının hızla arttığı ve kullanım alanlarının yaygınlaştığı günümüzde, bilgi, bilgisayar ve bilgisayar sistemleri güvenliği en önemli konuların başında yer almaktadır. Kurum, kuruluş ve şirketlerde "Bilgi ve Bilgisayar Sistemleri Güvenliğini" sağlamanın yolu "veri", "bilgi", "özbilgi" ve "güvenlik" gibi bu alandaki

temel kavramları anlamak ve kavramaktan geçmektedir. İlk önce bu kavramları aşağıda birer birer açıklayalım. Türk Dil Kurumumuzun web sitesinde [1] bilgi; 1. insan aklının erebilecegi olgu, gerçek ve ilkelerin bütünü, bili, malumat. 2. Öğrenme, araştırma veya gözlem yolu ile elde edilen gerçek, malumat, vukuf. 3. İnsan zekâsının çalışması sonucu ortaya çıkan düşünce ürünü, malumat, vukuf. 4. Bilim: ''Doğa bilgisir-. 5. bilişim Kurallardan yararlanarak kişinin veriye yönelttiği anlam. olarak tanımlanmaktadır. Sözlük anlamıyla bilginin, "öğrenme, araştırma ve gözlem yoluyla elde edilen her türlü gerçek, malumat ve kavrayışın tümü" olduğu ifade edilmektedir. Bilgi tanımını yapan kaynaklara bir göz atıldığında, bilginin yapılan tanımlarında bazı farklılıklar olduğu görülebilir. Sahip olunan bilgi birikimi, alman eğitim, yaşanılan kültürün bu tanımları etkilediği görülmüştür. Bilginin literatürde farklı tanımları da mevcuttur. Bazı bilim insanlarına göre bilgi; "doğruluğu ispatlanmış inançlardır." [2], "sosyal varlık olan insanlar arasındaki iletişim sırasında paylaşılan, aktarılan ve yeniden şekillendirilen tecrübe ve bilgiler" [3], bazılarına göre ise "insanların ve organizasyonların etkin bir biçimde eylem gerçekleştirmeleri için sahip olmaları gereken kapasitedir [4]. TDK web sitesinde [4] verinin tanımıda aşağıda verildiği yapılmaktadır. şekliyle 1. Bir araştırmanın, bir tartışmanın, bir muhakemenin temeli olan ana öğe, mute, done: "İstatistik veriler.''-. 2. Bir sanat eserine veya bir edebi esere temel olan ana ilkeler: ''Bir romanın verileri.''-. 3. Bilgi, data. 4. matematik Bir problemde bilinen, belirtilmiş anlatımlardan bilinmeyeni bulmaya yarayan şey. 5. bilişim Olgu, kavram veya komutların, iletişim, yorum ve işlem için elverişli biçimli gösterimi.