E-imza ile İlgili Sıkça Sorulan Sorular
5070 sayılı Elektronik İmza Kanunu’nda yer alan şekliyle elektronik imza; başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi tanımlar. Elektronik imza; bir bilginin üçüncü tarafların erişimine kapalı bir ortamda, bütünlüğü bozulmadan (bilgiyi ileten tarafın oluşturduğu orijinal haliyle) ve tarafların kimlikleri doğrulanarak iletildiğini elektronik veya benzeri araçlarla garanti eden harf, karakter veya sembollerden oluşur.
Elektronik imza, imzalanan metine göre farklılık gösterir ve içeriğin matematiksel fonksiyonlardan geçirilerek eşsiz olduğu düşünülen bir değer bulunması sureti ile elde edilir. Yani kişilerin, elle atılan imzada olduğu şekilde tek imzası yoktur; bunun yerine imzalamada kullanılan anahtarları vardır.
Elektronik imza kullanıcılarına aşağıda belirtilen üç temel özelliği sağlamaktadır:
- Veri Bütünlüğü: Verinin izinsiz ya da yanlışlıkla değiştirilmesini, silinmesini ve veriye ekleme yapılmasını önlemek,
- Kimlik Doğrulama ve Onaylama: Mesajın ve mesaj sahibinin iletiminin geçerliliğini sağlamak,
- İnkar Edilemezlik: Bireylerin elektronik ortamda gerçekleştirdikleri işlemleri inkar etmelerini önlemek.
5070 sayılı Elektronik İmza Kanunu’nda elektronik sertifika, elektronik imzanın doğrulanması için gerekli olan veriyi ve imza sahibinin kimlik bilgilerini içeren elektronik kayıt olarak tanımlanmıştır. Elektronik sertifikalar, kanuna uygun olarak faaliyette bulunan elektronik sertifika hizmet sağlayıcılarından belirli bir ücret karşılığında temin edilmelidir.
Elektronik sertifikalar, atılan imzanın doğruluğunun teyit edilebilmesi için gereklidir.
Nitelikli elektronik sertifikalar; Kanunun 9 uncu maddesinde belirtildiği şekilde “nitelikli sertifika” olduğuna dair bir ibareyi, sertifika hizmet sağlayıcısının kimlik bilgilerini ve kurulduğu ülke adını, imza sahibinin teşhis edilebileceği kimlik bilgilerini, sertifikanın geçerli olduğu süreyi ve sertifikanın seri numarasını barındıran elektronik sertifikalardır.
İmza oluşturma araçları; elektronik imza oluşturmak üzere kullanılan yazılım veya donanımı ifade etmektedir. 5070 sayılı Kanun’da “güvenli” elektronik imza oluşturma araçlarına değinilmiş ve aşağıdaki özelliklerin sağlanması şart koşulmuştur:
- Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmaması,
- Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiç bir biçimde çıkarılamamasını ve gizliliğini sağlaması,
- Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin, üçüncü kişilerce elde edilememesi, kullanılamaması ve elektronik imzanın sahteciliğe karşı koruması,
- İmzalanacak verinin imza sahibi dışında değiştirilememesi ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesi.
Elektronik İmza Kanunu’nda; Güvenli Elektronik İmza, elle atılan imzaya eşdeğer kabul edilmiş ve Güvenli Elektronik İmza ile oluşturulmuş verilerin senet hükmünde olacağı, bu verilerin aksi ispat edilinceye kadar kesin delil sayılacağı belirtilmiştir. Ancak kanunların resmi şekle veya özel bir merasime tabi tuttuğu hukuki işlemler ile teminat sözleşmelerinin Güvenli Elektronik İmza ile gerçekleştirilemeyeceği hükme bağlanmıştır. Diğer bir deyişle, kanunların merasimi ya da üçüncü tarafların şahitliğini gerek gördüğü emlak alım satımı, veraset ve intikal, evlenme gibi işlemler elektronik imza ile gerçekleştirilememektedir.
Elektronik imzanın; bankalar ve finans kurumları, şube ağına sahip sigorta şirketleri, kamu kurum ve kuruluşları, holdingler ve diğer büyük şirketler, üniversiteler, yüksek iletişim ve bilgi güvenliği gereksinimi olan organizasyonlar başta olmak üzere orta ve uzun vadede yaygın bir uygulama alanı bulabileceği değerlendirilmektedir. Gerek kamusal gerekse ticari alandaki muhtemel elektronik imza uygulamaları arasında aşağıdakiler sayılabilir:
Kamusal Alandaki Uygulamalar
- Her türlü başvurular (ÖSS, KPSS, LES, pasaport vb)
- Kurumlararası iletişim (Emniyet Müdürlükleri, Nüfus ve Vatandaşlık İşleri Müdürlükleri vb)
- Sosyal güvenlik uygulamaları
- Sağlık uygulamaları (Sağlık personeli - hastaneler - eczaneler)
- Vergi ödemeleri
- Elektronik oy verme işlemleri
Ticari Alandaki Uygulamalar
- İnternet bankacılığı
- Sigortacılık işlemleri
- Kağıtsız ofisler
- e-Sözleşmeler
- e-Sipariş
5070 sayılı Elektronik İmza Kanunu’na göre yabancı bir ülkede kurulu bir Elektronik Sertifika Hizmet Sağlayıcı tarafından verilen elektronik sertifikaların hukukî sonuçları milletlerarası anlaşmalarla belirlenir. Yabancı bir ülkeden alınan elektronik imzanın Ülkemizde kullanılabilmesi için, yabancı bir ülkede kurulu bir Elektronik Sertifika Hizmet Sağlayıcı tarafından verilen elektronik sertifikaların Türkiye’de kurulu bir Elektronik Sertifika Hizmet Sağlayıcı tarafından kabul edilmesi halinde bu elektronik sertifikalar nitelikli elektronik sertifika sayılır. Bu elektronik sertifikaların kullanılması sonucunda doğacak zararlardan, Türkiye'deki ESHS de sorumludur.
Güvenli Elektronik İmza ancak Nitelikli Elektronik Sertifika ile sağlanabilir. Nitelikli Elektronik Sertifika almak için başvurulabilecek yerler olan Elektronik Sertifika Hizmet Sağlayıcıları Bilgi Teknolojileri ve İletişim Kurumu’nun internet sayfasında yayımlanmaktadır.
- 5070 sayılı Elektronik İmza Kanunu (23 Ocak 2004 tarih ve 25355 sayılı Resmi Gazete)
- Sertifika Mali Sorumluluk Sigortası Yönetmeliği (26 Ağustos 2004 tarih ve 25565 sayılı Resmi Gazete)
- 2004/21 sayılı Başbakanlık Genelgesi (6 Eylül 2004 tarih ve 25575 sayılı Resmi Gazete)
- 5070 Sayılı Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (6 Ocak 2005 tarih ve 25692 sayılı Resmi Gazete)
- Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ (6 Ocak 2005 tarih ve 25692 sayılı Resmi Gazete)
- Zorunlu Sertifika Mali Sorumluluk Sigortası Genel Şartları (27 Ocak 2005 tarih ve 25709 sayılı Resmi Gazete)
- Sertifika Mali Sorumluluk Sigortası Tarife ve Talimatı (27 Ocak 2005 tarih ve 25709 sayılı Resmi Gazete)
- 2006/13 Sayılı Başbakanlık Genelgesi (19.04.2006 tarih ve 26144 sayılı Resmi Gazete)
- Nitelikli Elektronik Sertifika, SİL ve OCSP İstek/Cevap Mesajları Profilleri Rehberi’ne İlişkin Kurul Kararı (18.04.2007 tarih ve 2007/DK-77/207 sayılı Kurul Kararı)
Ek: Nitelikli Elektronik Sertifika, SİL ve OCSP İstek/Cevap Mesajları Profilleri Rehberi
- Nitelikli Elektronik Sertifika, Zaman Damgası ve İlgili Hizmetlerin Ücretlerinin Belirlenmesine İlişkin Kurul Kararı (20.12.2006 tarih ve 2006/DK-77/760 sayılı Kurul Kararı)
- Güvenli Elektronik İmza Oluşturma ve Doğrulama Uygulamaları ile Güvenli Elektronik İmza Formatlarına Dair Usul ve Esaslar Hakkında Kurul Kararı (01.06.2006 tarih ve 2006/DK-77/353 sayılı Kurul Kararı)
İmza oluşturma araçları; elektronik imza oluşturmak üzere kullanılan yazılım veya donanımı ifade etmektedir. 5070 sayılı Kanun’da “güvenli” elektronik imza oluşturma araçlarına değinilmiş ve aşağıdaki özelliklerin sağlanması şart koşulmuştur:
- Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmaması,
- Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiç bir biçimde çıkarılamamasını ve gizliliğini sağlaması,
- Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin, üçüncü kişilerce elde edilememesi, kullanılamaması ve elektronik imzanın sahteciliğe karşı koruması,
- İmzalanacak verinin imza sahibi dışında değiştirilememesi ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesi.
Elektronik Sertifika Hizmet Sağlayıcısı 5070 sayılı Kanununa göre; “Elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir.”
Kullanıcılar için sertifika yayımlar, sertifika durum bilgilerini güncel tutar ve sertifika iptal listeleri hazırlar, güncel sertifikaları ve sertifika iptal listelerini isteyen kişilere sunar, süresi dolan ya da iptal edilen sertifikaların arşivini tutar.
Elektronik Sertifika Hizmet Sağlayıcılarının faaliyet durumlarına ilişkin bilgiler Kurumumuzun internet sayfasında yayınlanmaktadır.
Elektronik Sertifika Hizmet Sağlayıcısı;
- Güvenli ürün ve sistemleri kullanmak,
- Hizmeti güvenilir bir biçimde yürütmek,
- Sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri alma ile ilgili şartları sağlamakla yükümlüdür.
Kamu hizmetlerinin daha hızlı sunulması, yaygınlaştırılması, doğru ve yeterli bilgi sağlanması, işletme giderlerinin azaltılmasını da beraberinde getirmiştir. Bu durumdan hareketle, Ülkemizde kullanımı giderek yaygınlaşacak olan elektronik imza uygulamaları kapsamında kamuda gereksiz mükerrer yatırımların önlenmesi, uyumlu, birlikte ve güvenilir bir yapıda çalışılmasını sağlamak maksadıyla, Kurumumuz tarafından yapılan öneri doğrultusunda 10 Haziran 2004 tarihli e-Dönüşüm Türkiye VI. İcra Kurulu Toplantısı’nda kamu çalışanlarının kurumsal sertifikalarının tek merkezden sağlanması yönünde karar alınması sağlanmıştır. Bu karar uyarınca Kamu Sertifikasyon Merkezi yapısının kurulması ve işletilmesi görev ve sorumluluğu TÜBİTAK-UEKAE’ye verilmiştir. Tüm kamu kurum ve kuruluşlarının aynı kurumsal sertifika yapısı altında toplanmasını hedefleyen, sadece kamu kurum ve kuruluşlarına kurumsal sertifikaların oluşturulması ve sertifika yaşam çevriminin yönetilmesini sağlayacak bu yapının gözden geçirilmesi ve uygunluğunun izlenmesi görev ve sorumluluğu ise Telekomünikasyon Kurumu'na aittir.
Elektronik sertifika ve e-imza ile ilgili Kurum tarafından herhangi bir işlem yapılmamaktadır. Elektronik sertifika sahibi olmak için yetkilendirilmiş Elektronik Sertifika Hizmet Sağlayıcılarından (http://www.btk.gov.tr/bilgi_teknolojileri/elektronik_imza/eshs.php) birisine başvuruda bulunmalısınız. ESHS’lere ilişkin iletişim bilgilerine yukarıda yer alan linkten ulaşabilirsiniz.
Eğer kamu kurumunda çalışıyorsanız ve imzanızı kurum içi ve kamu kurumları arasında işlemlerde kullanacaksanız, sertifikanızı Başbakanlık Genelgesi gereği TÜBİTAK UEKAE’den temin etmelisiniz. Bunun için çalıştığınız kurumun TÜBİTAK UEKAE’ye kurumsal başvuru yapması gerekir.
İnternet sayfamızda duyurulan hizmet sağlayıcılar dışındaki kuruluşlardan elektronik sertifika temin edilmemelidir.
Elektronik İmza Kanununa göre; sertifika hizmet sağlayıcısı güvenli ürün ve sistemleri kullanmak, hizmeti güvenilir bir biçimde yürütmek ve sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri almakla ilgili şartları sağladığını ayrıntılı bir biçimde gösterir ve Bilgi teknolojileri ve İletişim Kurumu’na bildirimde bulunur. Bu bildirimde Kurumumuza sunulması gereken bilgi ve belgeler 6 Ocak 2005 tarih ve 25692 sayılı Resmi Gazete’de yayımlanan “5070 Sayılı Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” ile belirlenmiştir. Bilgi Teknolojileri ve İletişim Kurumu yapılan bildirimi incelemeye alır. Bildirim şartlarını eksiksiz olarak yerine getiren Elektronik Sertifika Hizmet Sağlayıcısı, bildirim yaptığı tarihten 2 ay sonra faaliyete geçebilir. Elektronik Sertifika Hizmet Sağlayıcılığı yapmak için gerekli olan altyapı, yüksek güvenlik gereklilikleri nedeniyle oldukça pahalıdır, maliyet 3-8 Milyon Euro arasında değişebilmektedir.
İlgili mevzuat gereğince sertifikaların sisteme giriş gibi kullanıcı doğrulama amaçlı kullanılması mümkün değildir. Bu nedenle kullanıcı doğrulama amacıyla başka sertifikalar üretilmesi gerekir. Ancak, sisteme girişin bir imzalama (sistem giriş formu imzalama gibi) işlemine dönüştürülebildiği durumlarda elektronik imza sertifikaları da bu amaçla kullanılabilecektir.
Hayır. E-imza teknolojisi ile şifreleme teknik olarak mümkün olsa da e-imza farklı bir kullanım alanına ve amacına sahiptir. Elektronik İmza Kanunu sadece elektronik imzayı düzenler, kriptografi (şifreleme) ise milli güvenlik gibi farklı boyutlar nedeniyle dünyada farklı kanunlar ile düzenlenmektedir. E-imza oluşturma verisi ne kadar sık kullanılırsa elde edilme ihtimali, dolayısıyla güvenliğinin ve güvenilirliğinin azalması ihtimali o kadar artar. Bu nedenle e-imza oluşturma verisinin sadece imza oluşturma amacıyla kullanılması uygundur. Nitekim; Telekomünikasyon Kurumu tarafından 6 Ocak 2005 tarihinde yayımlanmış bulunan Elektronik İmza Kanunun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik'in 15. maddesi d fıkrası ile sertifika sahibi “İmza oluşturma ve doğrulama verilerini sadece elektronik imza oluşturma ve doğrulama amaçlı olarak ve nitelikli elektronik sertifikanın içerdiği kullanıma ve maddi kapsama ilişkin sınırlamalar dahilinde kullanmakla,” yükümlü kılınmıştır. Bu hüküm ile sertifika ile birlikte sunulan açık ve özel anahtarın şifreleme amaçlı kullanımı engellenmiştir
Evet. Her elektronik sertifikanın açık olarak belirtilen bir kullanıma başlama ve bitiş zamanı vardır. Çoğu uygulamalar, elektronik sertifikalarla işlem yapmadan önce sertifikanın geçerlilik süresini kontrol ederler. Genelde bu süre bir yıl ile üç yıl arasında değişmektedir.
Mobil elektronik imza, mobil bir cihaz kullanılarak oluşturulan elektronik imza olarak tanımlanabilir. Mobil elektronik imzanın, elektronik imzadan tek farkı elektronik imza oluşturma aracı olarak mobil bir cihaz içerisine konulan SIM kartın kullanılmasıdır. Elektronik imzaya ilişkin mevzuat mobil elektronik imzayı da kapsadığı için mobil elektronik imza da elektronik ortamda güvenli elektronik imzanın sağladığı hukuksal geçerliliği sağlar.
Günümüzde elektronik ortamın çok yoğun bir şekilde kullanılmaya başlanması bazı taleplerin ve güven sorununun ortaya çıkmasına sebep olmuştur. İşte bu noktada, gizlilik, kimlik doğrulama, veri bütünlüğü ve inkâr edilemezliği sağlayan elektronik imza uygulaması ortaya çıkmıştır. Elektronik imzanın bu dört temel özelliğiyle birlikte, elektronik ticaretin ve kamu alanında yürütülmekte olan e-dönüşüm projelerinin elektronik ortamda güvenli işlemleri yapabilme imkânları genişletilmiş ve 5070 sayılı Elektronik İmza Kanunu ve Kurumumuz tarafından yapılan ikincil düzenlemelerle desteklenerek bu ortamlarda yapılan iş ve işlemlerin hukuki boyutta da geçerliliği sağlanmıştır. Elektronik İmza Kanunu ve ikincil düzenlemeler ile elektronik imzanın elle atılan ıslak imza ile aynı hukuki sonucu doğuracağı ve kesin delil olarak kabul edileceği hükme bağlanmıştır. Kısacası elektronik imza elektronik ortamda yapılan işlemlere hukuksal geçerlilik sağlaması açısından önemlidir. Bu nedenle de elektronik ortamda hukuksal geçerlilik kazandırılmak istenen her işlemde elektronik ya da mobil imzanın kullanılması kaçınılmaz bir gerçektir.
Nitelikli Elektronik Sertifika sahibi;
- Nitelikli elektronik sertifika almak için gerekli tüm bilgi ve belgeleri eksiksiz ve doğru olarak sağlamakla,
- ESHS’ye vermiş olduğu bilgilerde değişiklik meydana gelmesi halinde Elektronik Sertifika Hizmet Sağlayıcısı’nı derhal bilgilendirmekle,
- İmza oluşturma verisini kendisi üretmesi durumunda “Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ” ile belirlenen algoritmaları ve parametreleri kullanmakla,
- İmza oluşturma ve doğrulama verilerini sadece elektronik imza oluşturma ve doğrulama amaçlı olarak ve nitelikli elektronik sertifikanın içerdiği kullanıma ve maddi kapsama ilişkin sınırlamalar dâhilinde kullanmakla,
- İmza oluşturma verisini başkalarına kullandırmamakla ve bu konuda gerekli tedbirleri almakla,
- İmza oluşturma verisinin gizliliğinden veya güvenliğinden şüphe etmesi durumunda Elektronik Sertifika Hizmet Sağlayıcısı’nı derhal bilgilendirmekle,
- Güvenli elektronik imza oluşturma aracını kullanmakla,
- İmza oluşturma ve doğrulama verilerinin Elektronik Sertifika Hizmet Sağlayıcısı’na ait olmayan yerlerde ve araçlarla üretilmesi durumunda gerekli güvenliği sağlamakla,
- İmza oluşturma aracının veya erişim verisinin kaybolması, çalınması, güvenilirliğinden şüphe edilmesi durumunda Elektronik Sertifika Hizmet Sağlayıcısı’nı derhal bilgilendirmekle yükümlüdür.
Üçüncü kişiler;
- Sertifikanın “Nitelikli Elektronik Sertifika” olup olmadığını kontrol etmekle,
- Nitelikli Elektronik Sertifikanın iptal ve geçerlilik durumunu kontrol etmekle veya güvenli elektronik imza doğrulama aracı kullanmakla,
- Nitelikli Elektronik Sertifikanın kullanımına yönelik herhangi bir kısıtlamanın olup olmadığını kontrol etmekle yükümlüdür.
Zaman damgası 5070 sayılı Elektronik İmza Kanunu’nda "bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve / veya kaydedildiği zamanın tespit edilmesi amacıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kayıt" olarak tanımlanır. Elektronik ortamda doküman, kayıt, sözleşme gibi elektronik verilerin, belirli bir zamandan önce var olduğunu kanıtlamak için kullanılır. Elektronik ortamdaki işlemlere güvenilir zaman bilgisi eklenebilmesini sağlar. Üzerinde zaman bilgisi olması gereken elektronik başvuru, tutanak, sözleşme ve benzeri her türlü elektronik veri üzerinde kullanılabilir.