Elektronik imza
Bu maddede yer alan bilgiler belli bir bölgenin bakış açısından ele alınmıştır ve içeriğinin fazla yerel olduğu düşünülmektedir. Maddenin evrenselleştirilmesi ve uygun hâle getirilmesi için lütfen tartışmaya katılınız. |
Elektronik imza ya da sayısal imza, başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veridir. E-imza olarak da bilinir. Elektronik ortamlarda imza yerine kullanılabilen yasal kimlik doğrulama sistemidir.[1] Elektronik imza, elektronik belge'ye girilen bir isim kadar basit olabilir. Dijital imzalar, elektronik imzaları kriptografik olarak korunan bir şekilde uygulamak için e-ticarette ve düzenleyici dosyalarda giderek daha fazla kullanılmaktadır. Özellikle e-ticaretin hızlı yükselişi nedeniyle daha fazla önem kazanmştır. Elektronik imza sayesinde imzalanmış verinin, kimin tarafından imzalandığı ve güvenilirliği kontrol edilmiş olur. Elektronik imza; iletilen bilginin bütünlüğünün bozulmadığını, bilginin tarafların kimlikleri doğrulanmak suretiyle iletildiğini garanti eder. Ulusal Standartlar ve Teknoloji Enstitüsü veya ETSI gibi standardizasyon ajansları, bunların uygulanması için standartlar sağlar (örneğin, Dijital İmza Algoritması, XAdES veya PAdES).
Elektronik imza özellikleri
[değiştir | kaynağı değiştir]Elektronik imza aşağıdaki özellikleri sağlar:[2]
- Kimlik doğrulama (Authentication)
- Veri bütünlüğü (Integrity)
- İnkâr edememe (Non-repudiation)
Kimlik doğrulama
[değiştir | kaynağı değiştir]Kimlik doğrulama işlemi, basit olarak bir el sıkışma (hand-shake) işlemidir. Bu, bir kişinin (ya da ev sahibi firma, sunucu, müşteri) kimliğinin onaylanmasıdır. Bilgiyi imzalayanın yetkinliğini, işleme kimlerin katıldığını, bir başkası tarafından bilginin değiştirilmediğini garanti eder. Öne sürülen kimliğin doğruluğunu onaylayarak bir sisteme giriş yapmak isteyen kullanıcının doğru kimliğini belirler.[3]
Elektronik imza, bilginin doğruluğunu onaylar. Okunan mesajın yanlışlıkla ya da kasten değiştirilmediğini ispatlar. Teknik açıdan elektronik imza, imzalanmış doküman bir özet değeri içerir. İçerikte yapılacak herhangi bir değişiklik özet değerini de değiştireceği için imzanın geçerliliğini sona erdirecektir.
İnkâr edememe
[değiştir | kaynağı değiştir]Elektronik imzanın sağladığı özelliklerden birisi, imzalayan tarafa (e-postanın yazarı) kimliğini kanıtlama şansı vermesidir.
İnkâr edememe, size daha sonra o işleme kimlerin katıldığını kanıtlama imkânı verir. Gönderim sırasında ne bilgiyi imzalayan gönderici mesajı gönderdiğini inkâr edebilir, ne de alıcı mesajı almadığını iddia edebilir. Basit anlatımıyla inkâr edememe, yazılı bir belgedeki imzanın bağlayıcılığına benzer olarak bilginin inkârının yapılamaması demektir.[4] [5]
Elektronik imzanın bileşenleri
[değiştir | kaynağı değiştir]Şifreleyici
[değiştir | kaynağı değiştir]Şifreleyici (kriptograf) okunabilir durumdaki bir bilginin kimsenin okuyamayacağı bir bilgi haline dönüştürülmesini sağlayan araçtır. Bu süreçte bilgi, söz konusu alıcı dışında kimsenin okuyamayacağı ya da değiştiremeyeceği bir şekilde şifrelenir. Bilginin iletiminde araya girilebilir, ancak mesaj çözme kabiliyetine sahip olmayan bir kişi mesajı okuyamaz (şifreyi çözemez).
Şifreleme ve şifreyi çözme, verinin okunabilir biçimden şifreli biçime geçişini yapabilmesi için bir algoritmaya (ya da matematiksel bir formüle) ve bir anahtara ihtiyaç duyar. Anahtar, elektronik imzanın ya da şifreli mesajın oluşturulması için düz yazıya eklenmiş basit bir sayıdır.
Anahtar
[değiştir | kaynağı değiştir]Simetrik anahtar algoritmalarında, şifreleme ve şifre çözme için aynı anahtar kullanılır. Asimetrik anahtar algoritmalarında ise açık anahtar sadece mesajı şifrelerken gizli anahtar da mesajın şifresini çözmek için kullanılır. (→ daha fazla bilgi için Açık anahtarlı şifreleme)
Elektronik imzanın onayı
[değiştir | kaynağı değiştir]Bir elektronik imza yaratmak için, imzalayan, mesajın kısaltılmış bir sürümü olan bir Hash fonksiyonu ve bu Hash fonksiyonunu şifrelemek için kendi özel/gizli anahtarını kullanır. Şifrelenmiş Hash fonksiyonu elektronik imzadır. Eğer mesaj herhangi bir nedenden dolayı değişikliğe uğrarsa, değişmiş olan mesajın Hash fonksiyonu de orijinal Hash fonksiyonundan farklı olacaktır. Elektronik imza, mesaj için de onu yaratan özel anahtar için de tek olduğundan değiştirilmesi mümkün değildir. Daha sonra elektronik imza, mesaja eklenir ve ikisi birden alıcıya gönderilir. Alıcı, gelen mesajdan Hash fonksiyonunu tekrar yaratır ve gönderenin açık anahtarını gelen mesajdaki Hash fonksiyonunun şifresini çözmede kullanılır. Eğer alıcının hesaplamış olduğu Hash fonksiyonu ile mesajın içerisinde yer alan Hash fonksiyonu aynı ise şu iki şey doğrulanmış olur:
- Elektronik imza gönderenin özel/gizli anahtarı kullanılarak yaratılmıştır. Bu gönderenin yetkinliğini tanılar ve gönderen mesajı imzalamadığını iddia edemez. Kimse gönderenin adını kullanmaya çalışmamıştır.
- Mesaj değiştirilmemiştir. Bu mesajın doğruluğu onaylanmıştır.
Kapsamı
[değiştir | kaynağı değiştir]- kişilerin elle atmış olduğu imzaların tarayıcıdan geçirilmiş hali olan
- sayısallaştırılmış imzaları,
- kişilerin göz retinası,
- ses
gibi biyolojik özelliklerinin kaydedilerek kullanıldığı biyometrik önlemleri içeren elektronik imzaları veya bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan elektronik imzaları içermektedir.
Elektronik imza, imzalanan metine göre farklılık gösterir ve içeriğin matematiksel fonksiyonlardan geçirilerek eşsiz olduğu düşünülen bir değer bulunması sureti ile elde edilir. Elektronik imza, her imzalanan dokümana göre farklı olmaktadır. Kişilerin, elle atılan imzada olduğu şekilde bir tane elektronik imzası bulunmamaktadır.
Elektronik imza, Bilgi Teknolojileri ve İletişim Kurumu tarafından yetkilendirilmiş Elektronik Sertifika Hizmet Sağlayıcılar tarafından 1,2 ve 3 yıllık olarak verilebilmektedir. Bu süreler bittikten sonra kişiye özel olan nitelikli sertifikanın yenilenmesi gerekmektedir, bu işleme e-imza yenileme adı verilmektedir. İkinci yöntem ise e-imza süresi bittikten sonra yeniden alım da yapılabilir. Kişi isterse kendisine ait birden fazla e-imza alabilmektedir.
Kaynakça
[değiştir | kaynağı değiştir]- ^ "E-İmza Nedir?". 13 Ocak 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Ocak 2017.
- ^ "Digital Signature Standart (DSS)" (PDF). 2013. 27 Aralık 2016 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 11 Ocak 2017.
- ^ "authentication". 13 Ocak 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Ocak 2017.
- ^ "Non-repudiation". 25 Aralık 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Ocak 2017.
- ^ "What is a digital signature?". 13 Ocak 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Ocak 2017.
Dış bağlatılar
[değiştir | kaynağı değiştir]- Kamu Sertifikasyon Merkezi - Elektronik Sertifika Hizmetleri ve E-imza Çözümleri 29 Mart 2007 tarihinde Wayback Machine sitesinde arşivlendi.
- EGMSM 2 Nisan 2020 tarihinde Wayback Machine sitesinde arşivlendi.
- E-İMZATR 2 Nisan 2020[Tarih uyuşmuyor] tarihinde Wayback Machine sitesinde arşivlendi.