Ana sayfa BT Gündem Mühürden Elektronik İmzaya…

Mühürden Elektronik İmzaya…

245
0

İnsanoğlu varlığını dokümante ettiğinden bu yana günlük ticari hayatındaki işlemler için de kontratlar kullanmış. Insanlık tarihinde şimdiye kadar bulunmuş en eski kontrat günümüz Güney Irak sınırları içinde kalan bir bölgede gerçekleşen arazi satışı ile ilgili kontrat;“Ilı-Eribu nun oğlu Sini İştar ve kardeşi Apil-li, Sini İştar ile Minaninin evine komşu, sokağa cepheli, Migrat-Sin oğlu Minaniye ait olup içinde hali hazırda evi olan 1/3 şar araziyi anlaştıkları fiyat olan 4.5 sekel gümüşten almışlardır. Minani’nin bu satışdan dolayı hiç bir hakkı kalmamıştır. Kralın huzurunda yemin ettiler. Tebet ayı, Büyük Karra-Şarma duvarı yılı.

14 şahit adları ve imzaları”

Bu sözleşmenin tarihi MÖ 2000 yıllarına rastlıyor. Yine bilinen bir başka sözleşme ise esir satışına ilişkin ve MÖ 2300 yılına ait.
Bu sözleşmeler modern zamanın standart sözleşmelerinde olması gereken ögelerin hepsini taşıyor; tarih, taraflar, değiş tokuşun şekli, ve hepsinden önemlisi şahit imzalar. Mamafih bu imzalar yaş kil üzerine bastırılan üçgen biçimli işaretler olsa da günümüz imzaları ile eşdeğer işleve haizler.

Hergün onlarca imza atıyoruz; mektuplar, çekler, faturalar, teslimat makbuzları, sözleşmeler vs. Ama gerçekten kağıdın üzerindeki o mürekkep izinin ne anlama geldiğini o an düşünüyor muyuz?
“Imza” kelimesi Arapça kökü “meza” yani “zaman” dan geliyor. Ingilizce “Signature” ise Latincedeki “Signare” kökünden gelen “Signum” dan geliyor yani “işaret”.

Hukuksal olarak bakıldığında işaretimizi, izimizi farklı nedenlerden ötürü belgelerin üzerine ekleriz.

Seremoni ya da Tören: Imza gerektiren birçok belge büyük ya da küçük montanlı parasal hareket içerir. Bu tip işlemlerde tören talep edilmesinin nedeni ise işlemin önemini vurgulamak ve hukuki olarak geçerli kılmak içindir.

Delil: Bir belgeyi imzaladığımızda onun üzerinde kendimize ait belirgin bir iz bırakırız. Imzalarken “tebelluğ ettim”, “okudum” vb kendimize ait kelimeler de kullanırız.

Onay: Kişinin işareti genelde o dokümanı, içeriğini ve hukuksal yaptırımını onayladığının ifadesidir. Yani kısaca bu belgede söylenenleri kabul ediyorum anlamına gelir.

Lojistik: Bir belgenin imzalanması paranın el değiştirmesi, malın sahip değiştirmesi vb bir seri işlevi de beraberinde getirir. Bir belgenin imzalanmaması ise yukarıda anılan işlemlerin olmamasını sağlar.
Imzayı genelde bir kişinin adı gibi algılasak da genelde böyle gerçekleşmeyebilir. Bir filmde aktör kocaman bir X harfi ile belgeleri imzalıyordu. Kimi zaman bilgisayara resim olarak kopyalanmış imzalar bilgisayar tarafından üretilen faturaların üzerine eklenir. Hatta banknotların üzerinde Merkez Bankası başkanının matbaa da oluşturulmuş imzası vardır. Bunun dışında mühür ya da soğuk damga da hukuk sisteminde imza olarak kabul edilir. Büyükninemin kadife kesesinde sakladığı pirinç mühürü çocukluğumdan kalma anılardan biriydi ve ninem onu her türlü resmi işinde kullanırdı.
Dolayısı ile imza ister kişinin adı, ister X, ister mühür, ister soğuk damga olsun hukuki açıdan farketmiyor. Önemli olan, o kişinin o belgede yazanları kabul ettiği ve işlemlerin başlamasına onay verip vermediğidir.

Neden Sayısal Imza?
Malum Internet hepimizin hayatına öyle ya da bu şekilde girdi. İşimizi yapabilmek için her geçen gün daha fazla sistemde “Online” olmamız gerekiyor. Her gün eskisinden daha fazla belgeyi sayısal olarak üretiyoruz, sayısal olarak işliyor ve sayısal olarak saklıyoruz. Bu şekilde gelişen iş dünyasında belgelerin elektronik olarak imzalanmasının işlemleri hızlandıracağı kesinlik kazanınca sayısal imza da hayatımızda yerini aldı.
“Islak Imza” (wet signature) kalem ve mürekkeple kağıt üzerine atılır ve yüzyıllardır yukarıda belirtilen işlevleri yerine getirir. İmzalayanın kimliği ya şahit (ve/veya noter) huzurunda onaylanır ya da elyazısı uzmanlarının onayı ile gerçekleşir. Belgenin aslı geçerlidir fax ya da kopyası ile geçerli olamaz. Islak imza her zaman geçerli olarak kabul edilir, ancak şüpheli durum olduğunda kontrol edilme gereksinimi doğar.
Sayısal imza için onay standartları ise çok daha fazladır. Alınan ya da gönderilen verinin herkese açık olan bir ortamda değişime uğramamasının sağlanması gerekir.
Sayısal İmza Nedir?
Sayısal imza nedirden önce “sayısal imza ne değildir?” ile başlamak belki daha uygun olacaktır. Sayısal imza hiç bir şekilde kişinin el ile atılmış imzasının uzantısı değildir. Bazılarımız elektronik pad üzerine imza atmışızdır bu şekilde imzamızın resmini sisteme vermişizdir, bu sadece sayısallaştırılmış imza olup sayısal imza değildir. Sayısal imza karmaşık (complex) algoritmaların meydana getirdiği şifreleme teknolojisini kullanarak oluşturulmuş sayılar serisidir. Yani belgenin içeriğinin şifrelenerek saklanmasıdır.
Sayısal teknolojinin arkasındaki matematik 70’li yıllardan bu yana hayli kullanılıyorsa da günümüzde PKI olarak kısaca anılan Public Key Infrastructure frameworkunun kullanılması ile yaygınlaşmıştır.
PKI Nedir?
Açık Anahtar Atyapısı ya da kısaca AAA olarak da bilien Public Key Infrastructure (PKI) sayısal imza endüstrisinde çalışan şirket, insan ve teknolojileri birlikteliğini ifade eder ki bunlar da:
Kişinin kimliğinin teyidi
Sayısal Sertifikaların üretilmesi ve yönetilmesi
Kişinin Sayısal Sertifikasına anahtar kodunun ilişkilendirilmesi
Anahtar (Key) kod ve şifreleme teknolojilerinin güvenliği
Altyapının desteklenmesi ve yaygınlaştırılması
PKI teknolojisinin kalbi Asimetrik kriptolojidir. Birçok kripto yöntemi günümüzde simetric teknolojiyi kullanir. Asimetrik kripto, private ve public key olarak iki farklı anahtarla çalışır. Her iki anahtar farklı işler için kullanılır.
Private key özgün matematik fonksiyonları ile üretilmiş uzunca bir sayıdır. Private Key sayısal imza oluştururken kullanılan ana ögedir. Oluşturan kişiye ait olup, kesinlikle gizlidir ve kişiye özeldir. Zira kişiyi tanımlar. Private key genelde password ile korunur ve USB token veya kart üzerindeki smart card üzerinde saklanır.
Public key diğer bir kişinin kendisine gönderilen belgeyi ve imzayı doğrulamada kullandığı ikinci uzun sayı dizisidir. Private Key ve Public key matematiksel olarak birbirleri ile ilintili olsalar da Public Key den Private Key üretmek imkansıza yakındır.
Private Key ve Public Key beraber birçift oluştururlar. Public Key sayısal sertifika (“digital certificate”) oluşturulduğunda açık anahtar haline gelir. Sayısal sertifikayı bir nevi “imzalama lisansı” gibi düşünülebilir. Public Key de yeralan bilgiler
Sertifika sahibinin adı
Sahibi hakkında detay bilgi (e-mail, şehir, ülke vb)
Sahibine ait Public Key
Sertifikanının oluşturulduğu tarih ve son kullanım tarihi
Sertifkayı veren makamın Onay damgası (bir başka imza)
Sayısal imza Certification Authority (CA) olarak bilinen merci tarafından oluşturulur. PKI endüstrisi CA lere sertifika oluşturma, iptal etme, yeniden oluşturma, sertifika sahiplerinin kimliklerini onaylama gibi konularda yetki vermiştir. CA ler pasaport, ehliyet, kimlik vb konularda sertifika oluşturmadan önce o kişilerin doğrulamasını da yapar. Dolayısı ile sıklıkla denetçilerin denetimine tabi olmak zorundadırlar.
Private Key ve Public Key sayısal imza oluştururken nasıl kullanılır?
Sayısal imza teknolojisinin özü evrak her ne olursa olsun 1 ve 0 dan oluşan sayılardır. Dolayısı ile her türlü matematiksel işlem bunların üzerinde yapılır.
Proses önce imzalanmamış evrak ile başlar:
1. Sayısal Belge imzalanmaya hazır hale gelince, bu belgenin sayısal kodları “HASH” fonksiyonu denilen özgün bir matematiksel işleme tabi tutulur. Bu şekilde belgenin “parmak izi” oluşturulur. Kısaca buna “message digest” da denir.
2. Belgenin parmak izi ve Private Key ikinci bir işleme tabi olur ki buna imza fonksiyonu denir. Bu işlem belgenin parmak izini Private Key ile şifreleyerek sayısal imzayı oluşturur. Sayısal imza belgenin parmakizini içeren Private Key ile kilitlenmiş sadece Public Key ile açılabilen bir kutu gibi düşünülebilir.
3. Sayısal imza orjinal belgenin içine eklenir böylece sayısal imzalanmış belge oluşturulmuş olur.
Public Key Sayısal Imzanın Doğrulanmasından nasıl kullanılır?
Sayısal belge imzalandıktan sonra ilgili kişilere gödnerilebilir. Sayısal imzalanmış bir belgeyi alanın ilk yapacağı iş bu belgenin ve imzanın gerçek olup olmadığını kontrol etmektir. Geçerlilik kontrolünde belgeyi imzalayanın bu belgeyi imzalama hakkının olup olmadığı ve belgenin kendisinde bir değişiklik yapılıp yapılmadığının kontrolü gerçekleştirilir.
“Validation process” sayısal belgenin imzalanması ile başlar:
1. Orjinal belge ve sayısal imza birbirinden ayrılır. Orjinal belge aynı HASH fonksiyonu kullanılarak belgenin parmakizi oluşturulur.
2. Imzalayanın sayısal sertifikası CA’in online repositorysinden edinilir. Bu sertifika imzayı atan kişinin Public Key’ini içerir. Public Key sadece Private Key ile imzalanmış belgeleri açmak için kullanıldığından doğru anahtarın kullanılması kritik bir noktadır.
3. Public Key sayısal imza ile imzalanmış belgenin açılması için kullanılır böylece orjinal dokümanın parmakizi açığa çıkar.
4. Açığa çıkan parmakizi ile belgeden oluşturulan parmakizleri karşılaştırılır. Geçerli dosya için bu iki parmakizlerinin birbirleri ile birebir aynı olması gerekir. Eğer imzayı oluşturan PrivateKey mesajı açan Public Key in çifti değilse, belgede değişiklik yapılmışsa imzalı döküman geçersiz hale gelecektir.
5. Eğer her iki parmakizi (message digest) birbirinin aynısı ise imzalanan belge hukuki ve meşru kabul edilecektir.
Böylelikle sayısal imza tüm gerekleri yerine getirmiş; belgeyi imzalayan kişiyi, belgeyi tanımlamış, ne imzanın ne de belgenin sahte ya da değişikliğe uğramamış olduğunu teyid etmiştir.

Sayısal Imza ve Doğrulama Ne kadar Güvenlidir?
PKI ile ilgili herşey – dijital sertifika, Public Key, İmza ve Hash fonksiyonları herşey Public yani “herkese açık”dır. Gizli olan bireye ait olan Private Key dir. Private Key PKI altyapsında “tekerleğin dingil çivisidir” aslında, doğrulamanın çalışabilmesi için olmazsa olmazıdır. İmzalayanın “Private Key” si gizli kaldığı sürece tüm işlemler güvenlidir.
Private Key nin güvenirliği üç şekilde yitirilebilir ki
1. Private Key’nin sahibi bunu bir başkasına verir (kasdi ve bilerek veya başka bir biçimde)
2. Kullanıcının bilgisayarına girmiş kötü niyetli bir yazılım tarafından Private Key ele geçirilebilir
3. Kriptoanalizi sonucu Private Key oluşturulur
İlk senaryo en fazla olma olasılığı olan bir senaryo olup aynı zamanda kolaylıkla engellenebilir bir durumdur.
Mesela, sayısal imza sahibini arayan biri aşağıdaki şekilde konuşabilir
“Merhaba, Ahmet Bey. Ben Zeki Yandım Tubitak’dan. Geçtiğimiz gün fırtınada hatlarımıza yıldırım düştü ve tüm serverlarımız yandı. Backuplardan geri yükledik, mamafih sizin sayısal imzanızı doğrulamak zorundayız. Rica etsem private key inizi şu mail adresine gönderir misiniz?” Elbette Ahmet Bey, telefondaki kişiye cevabı “nazik bir teşekkür” olmalı ve anında CA i arayıp durumdan haberdar etmeli.
CA hiç bir zaman hiç bir şekilde “private key” i talep etmez. Private key hiç bir şekilde ne eşinize, ne arkadaşınıza verilmemelidir.
İkinci olasılık ise yazılım vasıtası ile Private Key nin kötü niyetli kişilerin eline geçmesidir. Bu da ancak kötü niyetli kişilerin sitelerinde Private Key inin kullanımı ile mümkündür ki bunu da önlemenin yolu imza yazılımlarınının güvenilir kaynaklardan temin edilmesidir.
Son olasılık ise kriptoanalizi ile private key oluşturulmasıdır ki Private key nin yapısı gereği bu da hemen hemen imkansızdır.
Kabul edilebilir güvenlik sınırları nerede başlar nerede biter? Örneğin masaj odasında kullandığınız kasalar ne kadar güvenlidir? Standart kombinasyon kilit 3 sayı ve 40 farklı pozisyondan oluşur bu da yaklaşık 64000 kombinasyon demektir ki her kombinasyonu 15 saniyede oluştursanız 11 günde dogru kombinasyona ulaşabilirsiniz.
Sayısal imza 1,024-bit şifrelemeyi kullanır. Private Key sonuçta “1” ve “0” dan oluşan 1024 lü serilerdir. Kombinasyonu iki olasılıklı 1,024 pozisyonlu bir sistemde toplam 1.8 x 10308 (18 E+307) olasılılkla karşılarız. Bu sayıları analiz edip ortaya çıkarmak varolan bilgisayar sistemleri ile dünyanın yaşı kadar bir zaman gerektirecek. Güvenlik danışmanlarına göre kişi “private key” sinin önemini bilip ona göre sakladığı müddetçe güvendedir.

Sonuç:
Eski zamanlardan günümüze insanoğlu farklı imleri imza olarak kullanmış, yeri gelmiş ıslak kil tablete demirden çivi ile kendine has işaretin izini bırakmış, yeri gelmiş demirden yapılmış silindiri döndürüp kabartma şekil çıkartmış, papirüsün üzerine çizgiler çekmiş, yeri gelmiş sıcak balmumu üzerine elindeki yüzüğün izini çıkartmış… Dünün standartı beyaz kağıt üzerine siyah çini mürekkebi idi zaman –her zaman olduğu gibi- değişiyor.
Belge işlemede “kağıt standartlarının” yeniden nasıl yazılıp uygulamaya geçeceğini bilgi çağında hep beraber görecek ve uygulayacağız. Bilgisayarlaşma daha önce görmediğimiz anında iletim, değişken arşiv ve saklama, zahmetsiz kopyalama gibi nimetleri bize sunarken, Sayısal Imza yüksek güvenlik standartları ile bize daha nice kolaylıklar sunacak gibi görünüyor.