E-imza tekeline doğru

Tempo dergisinin bu haftaki sayısında TUBİTAK ile ilgili olarak yapılan haberi görünce şaşırdığımı söyleyemeyeceğim. Haberde TUBİTAK’ın farklı sivil kurum ve kuruluşlar için yaptığı üç kriptonun delindiğinden; başkanın değişmesiyle birlikte, kadroda hızlı bir değişimin yaşanmaya başladığından; kurumun insan kaynaklarının insanların haleti ruhiyesinden daha iyi anlarlar diye ‘tarikatlarla ilişkisi şüpheli’ kişilere bırakıldığından bahsediliyor. Bir ekleme de ben yapmak isterim. TUBİTAK tekelcilik yapıyor. Dijital imza konusunda yetkilerini aşarak tekelciliğin yolunu açıyor. Kamu kurum çalışanlarına sertifika vermeye tek yetkili kurum olan TUBİTAK UEKAE, bu kurumlara sertifikaları dağıtırken kurumlara kart, kart okuyucusu ve bileşenlerini seçme hakkı tanımıyor. Sadece kendisinin belirttiği kart ve kart okuyucularının kullanılması halinde vereceğini dikte ediyor. Kurumların ihtiyaçlarını göardı ederek, kendi kart ve kart okuyucularını üreteceğini belirtiyor. Aslında bir güvenlik uygulaması olan dijital imzaya TUBİTAK UEKAE’nin el atmasının ardından neler yaşanabileceğini varın siz düşünün.

Sanal ortamda atılacak dijital imzanın ıslak imzaya eşdeğer kabul edilmesini sağlayan yasa 2005 yılının başında “dijital imza kanunu” adıyla çıktı ve ardından yönetmelikler belirlendi. Bu yasa ile hukuki bağlayıcılığa da kavuşan dijital imza kullanımının yasal düzenlemelerin ardından hızla yaygınlaşması bekleniyordu. Ancak kanunda sertifika otoritesi olarak adledilen TUBİTAK UEKAE’nin ‘tekelci’ tutumu bu teknolojinin yaygınlaşmasının önünü tıkıyor.

TUBİTAK Yetkisini Dışında Uygulamalar Yapıyor

Kamu kurumlarına sadece sertifika dağıtma yetkisi verilen TUBITAK UEKAE; kurumlara, kullanılacak kart ve karta ait yazılım bileşenleri için tercih hakkı tanımıyor. Kurumların ihtiyaçlarını gözardı ederken, dijital imza kanununa uygun olmasına rağmen piyasadan temin edilecek kartlara sertifika basmayacağını ifade ediyor. Tekelci bir zihniyetle ve yetkisi olmayarak kurumlara sadece bir Fransız firmasının kartlarını veren TUBİTAK UEKAE, akıllı kart okuyucusu olarak da Alman Omnikey firmasının okuyucularını (piyasa fiyatının üzerinde) veriyor. Kurumların piyasadan farklı okuyucular talep etmesi durumunda ise oluşabilecek uyumsuzluklar için kurumu sorumlu tutuyor. Yani bir nevi okuyucu tekeli de oluşturuyor. Bu gibi dayatmalarla kamuda dijital imza teknolojisinin yaygınlaşmasını engelleyen TUBİTAK UEKAE’nin tekelci tavrı ve kamu kurumlarındaki negatif yorumlar, gidişatın hiç de olumlu olmadığını gösteriyor.

TUBİTAK’ın Kartları Hazır Değil

Aslında dijital sertifikaların ne tip cihazlarda saklanacağı ve hangi uygulamalara nasıl entegre edileceği kamu kurumlarına bırakıldı. Burada tek bağlayıcı olan kanunda yer alan “Güvenli Elektronik İmza Oluşturma Aracı” tanımı. Kamu kurum ve kuruluşları 5070 sayılı Elektronik İmza Kanunu’na uygun olmak şartıyla piyasadaki akıllı kart ve okuyucuları ya da USB token tarzı ürünleri kullanabilmeleri gerekiyor. Rekabeti, ürün kalitesini ve fiyat avantajlarını artırmak için de piyasadaki tüm akıllı kart, akıllı kart okuyucu ve USB token markaları ve diğer ürünler de 5070 sayılı Elektronik İmza Kanunu’na uygun olmak şartıyla erişilebilir olmalıdır. Aynı şekilde bu ürünlere ait yazılımlar, API’ler, sistemler de rekabetçi bir ortamda kamuya sunulabilmelidir.

Ancak TUBİTAK UEKAE, kamuya sadece kendi geliştirmekte olduğu kartların verileceğini ve piyasada hiç kimsenin kamuya akıllı kart hizmeti sunamayacağını belirtiyor. TUBİTAK UEKAE kendi akıllı kartlarını henüz hazır edemediği için de, şu an kamuya bir Fransız şirketine ait kartları sunuyor.

Dünyadaki Trendlerin Tersi Uygulanıyor

Akıllı kartlar, ISO 7810 ve 7816 standardlarında belirtildiği gibi SIM (cep telefonu kartları boyutlarında) boyutunda veya kredi kartı boyutunda olmak üzere fiziksel olarak 2 çeşide ayrılır. Ancak TUBİTAK UEKAE akıllı kartları da tek tip olarak (kredi kartı boyutunda) vereceğini kamuya dikte ederek, SIM boyutlu kartların kullanımını desteklemiyor. Oysaki dünyada trend, mobilite sağlayan ve kullanımı daha kolay olan USB token tarzı akıllı kart okuyuculara kayıyor ve SIM boyutlu kartlar bu tokenlarla birlikte kullanılabiliyor. TUBİTAK’ın bu kararı dünyadaki gelişmelerin tersine Türkiye’de USB token kullanımını devre dışı bırakacak.

TUBİTAK’ın Okuyucu Tarafında da Tekel Planları Var

Akıllı kart ve uygulamalarda tekelcilik ‘akıllı kart okuyucusu’ tarafında da sürüyor. Akıllı kart ve okuyucularda ISO 7816 standartları vardır. Yani bu standardı destekleyen kartlar, yine aynı standardı destekleyen kart okuyucularda çalışır. Ancak bu standartlar esnek olduğundan, farklı firmaların okuyucuları farklı kartlarla uyumsuzluk yaşayabilmektedir. Okuyucularda ‘Firmware Güncelleme’ özelliği varsa teknik olarak bu sorun da çözülebiliyor. Ancak TUBİTAK UEKAE kendi dizayn ettiği bir okuyucuyu yerli üreticilere ürettirerek kamuya vermeyi planlıyor. Bu okuyucunun piyasadaki akıllı kartlarla çalışıp çalışmayacağını ise umursamıyor.

Kamuda Projeler Raflarda Bekliyor

Aslında Başbakanlık tarafından TUBİTAK UEKAE’ye verilen yetki kamu personeline sadece elektronik sertifika dağıtımı ile sınırlı. Dijital İmza yasalaştıktan sonra Başbakanlık bir kararla “Kamu Sertifikasyon Merkezi’ oluşturulması için bir genelge yayınladı.

“…tüm kamu kurum ve kuruluşlarının, kurumsal sertifika (kamu çalışanlarınca kurum içi ve kurumlar arası işlemlerde kullanılacak sertifika) ihtiyaçlarının karşılanması amacıyla bir Kamu Sertifikasyon Yapısı oluşturulması kararlaştırılmıştır….. Kamu Sertifikasyon Yapısının kurulması ve işletilmesi görev ve sorumluluğu Türkiye Bilimsel ve Teknik Araştırma Kurumu’na bağlı Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü Müdürlüğü’ne (UEKAE) verilmiştir. Söz konusu yapının gözden geçirilmesi ve uygunluğunun izlenmesi görev ve sorumluluğu ise Telekomünikasyon Kurumu’na verilmiştir.”

Bu genelge ile amaçlanan, dijital imzada daha işin başındayken, kamuda disiplini ve düzeni sağlamak, tek merkezden tüm kamu çalışanlarına elektronik sertifika hizmetini sağlamaktı. Bu sayede dijital imzanın gelişimi ve yaygınlaşması çok daha sağlıklı olacaktı. Ancak karar vericilerle uygulayıcılar farklı kişiler olunca ve işe farklı yorumlar eklenince amaçlanan hedef ile ulaşılan hedef birbirinden farklı oldu. TUBİTAK UEKAE’nin bu tavrı kamudaki bir çok projenin gecikmesine ya da rafa kaldırılmasına neden oldu. Oysaki dünyadaki diğer örnekleri gibi dijital imzanın başlangıç ve yayılma noktası kamu kurum ve kuruluşları olacak. Örneğin Adalet Bakanlığı, Maliye Bakanlığı, SSK, Nüfus İdaresi gibi pekçok kamu kurumu iç ve dış yazışmaları ile ileride vatandaşlara internet üzerinden sunacağı hizmetlerde ıslak imza yerine dijital imza kabul edecek. Bu sayede kağıt ortamında ağır aksak yürüyen pek çok işlem tam anlamıyla elektronik ortama geçmiş ve otomasyonu sağlanmış olacak. Bu sayede vatadaşlar daha kaliteli ve hızlı hizmet alabilecek ve devlet harcamalarından trilyonlarca lira tasarruf sağlanacak.

Ancak TUBİTAK UEKAE yetkisi dışında olmasına rağmen aldığı kararlar ve uygulamalarıyla bu gelişmeleri geciktiriyor. Dijital imza teknolojilerinin daha sağlıklı gelişmesi ve yaygınlaşması için TUBİTAK UEKAE ve TK’nın özel sektörle, dijital imza konusunda ürün ve hizmet sunan firmalarlada kucaklaşması gerekir. TUBİTAK UEKAE’nin bu tavrını devam ettirmesi tekelciliğin kapılarını açacak gibi görünüyor.

Daha Fazla Göster

İlgili Makaleler

Bir yanıt yazın

Başa dön tuşu