Elektronik imza
Elektronik imza ya da sayısal imza, başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veridir. E-imza olarak da bilinir. Elektronik ortamlarda imza yerine kullanılabilen yasal kimlik doğrulama sistemidir.[1] Özellikle e-ticaretin hızlı yükselişi nedeniyle daha fazla önem kazanmştır. Elektronik imza sayesinde imzalanmış verinin, kimin tarafından imzalandığı ve güvenilirliği kontrol edilmiş olur. Elektronik imza; iletilen bilginin bütünlüğünün bozulmadığını, bilginin tarafların kimlikleri doğrulanmak suretiyle iletildiğini garanti eder.
Elektronik imza özellikleri
Elektronik imza aşağıdaki özellikleri sağlar:[2]
- Kimlik doğrulama (Authentication)
- Veri bütünlüğü (Integrity)
- İnkar edememe (Non-repudiation)
Kimlik doğrulama
Kimlik doğrulama işlemi, basit olarak bir el sıkışma (hand-shake) işlemidir. Bu, bir kişinin (ya da ev sahibi firma, sunucu, müşteri) kimliğinin onaylanmasıdır. Bilgiyi imzalayanın yetkinliğini, işleme kimlerin katıldığını, bir başkası tarafından bilginin değiştirilmediğini garanti eder. Öne sürülen kimliğin doğruluğunu onaylayarak bir sisteme giriş yapmak isteyen kullanıcının doğru kimliğini belirler.[3]
Veri bütünlüğü
Elektronik imza, bilginin doğruluğunu onaylar. Okunan mesajın yanlışlıkla ya da kasten değiştirilmediğini ispatlar. Teknik açıdan elektronik imza, imzalanmış doküman bir özet değeri içerir. İçerikte yapılacak herhangi bir değişiklik özet değerini de değiştireceği için imzanın geçerliliğini sona erdirecektir.
İnkar edememe
Elektronik imzanın sağladığı özelliklerden birisi, imzalayan tarafa (e-postanın yazarı) kimliğini kanıtlama şansı vermesidir.
İnkar edememe, size daha sonra o işleme kimlerin katıldığını kanıtlama imkânı verir. Gönderim sırasında ne bilgiyi imzalayan gönderici mesajı gönderdiğini inkar edebilir, ne de alıcı mesajı almadığını iddia edebilir. Basit anlatımıyla inkar edememe, yazılı bir belgedeki imzanın bağlayıcılığına benzer olarak bilginin inkarının yapılamaması demektir.[4] [5]
Elektronik imzanın bileşenleri
Şifreleyici
Şifreleyici (kriptograf) okunabilir durumdaki bir bilginin kimsenin okuyamayacağı bir bilgi haline dönüştürülmesini sağlayan araçtır. Bu süreçte bilgi, söz konusu alıcı dışında kimsenin okuyamayacağı ya da değiştiremeyeceği bir şekilde şifrelenir. Bilginin iletiminde araya girilebilir, ancak mesaj çözme kabiliyetine sahip olmayan bir kişi mesajı okuyamaz (şifreyi çözemez).
Şifreleme ve şifreyi çözme, verinin okunabilir biçimden şifreli biçime geçişini yapabilmesi için bir algoritmaya (ya da matematiksel bir formüle) ve bir anahtara ihtiyaç duyar. Anahtar, elektronik imzanın ya da şifreli mesajın oluşturulması için düz yazıya eklenmiş basit bir sayıdır.
Anahtar
Simetrik anahtar algoritmalarında, şifreleme ve şifre çözme için aynı anahtar kullanılır. Asimetrik anahtar algoritmalarında ise açık anahtar sadece mesajı şifrelerken gizli anahtar da mesajın şifresini çözmek için kullanılır. (→ daha fazla bilgi için Açık anahtarlı şifreleme)
Elektronik imzanın onayı
Bir elektronik imza yaratmak için, imzalayan, mesajın kısaltılmış bir sürümü olan bir özet değeri ve bu özet değerini şifrelemek için kendi özel/gizli anahtarını kullanır. Şifrelenmiş özet değeri elektronik imzadır. Eğer mesaj herhangi bir nedenden dolayı değişikliğe uğrarsa, değişmiş olan mesajın özet değeri de orijinal özet değerinden farklı olacaktır. Elektronik imza, mesaj için de onu yaratan özel anahtar için de tek olduğundan değiştirilmesi mümkün değildir. Daha sonra elektronik imza, mesaja eklenir ve ikisi birden alıcıya gönderilir. Alıcı, gelen mesajdan özet değerini tekrar yaratır ve gönderenin açık anahtarını gelen mesajdaki özet değerinin şifresini çözmede kullanılır. Eğer alıcının hesaplamış olduğu özet değeri ile mesajın içerisinde yer alan özet değerleri aynı ise şu iki şey doğrulanmış olur:
- Elektronik imza gönderenin özel/gizli anahtarı kullanılarak yaratılmıştır. Bu gönderenin yetkinliğini tanılar ve gönderen mesajı imzalamadığını iddia edemez. Kimse gönderenin adını kullanmaya çalışmamıştır.
- Mesaj değiştirilmemiştir. Bu mesajın doğruluğu onaylanmıştır.
Kapsamı
- kişilerin elle atmış olduğu imzaların tarayıcıdan geçirilmiş hali olan
- sayısallaştırılmış imzaları,
- kişilerin göz retinası,
- ses
gibi biyolojik özelliklerinin kaydedilerek kullanıldığı biyometrik önlemleri içeren elektronik imzaları veya bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan elektronik imzaları içermektedir.
Elektronik imza, imzalanan metine göre farklılık gösterir ve içeriğin matematiksel fonksiyonlardan geçirilerek eşsiz olduğu düşünülen bir değer bulunması sureti ile elde edilir. Elektronik imza, her imzalanan dokümana göre farklı olmaktadır. Kişilerin, elle atılan imzada olduğu şekilde bir tane elektronik imzası bulunmamaktadır.
Elektronik imza süreleri 1,2 ve 3 yıllık olabilmektedir. Bu süreler bittikten sonra kişiye özel olan nitelikli sertifikanın yenilenmesi gerekmektedir, bu işleme e-imza yenileme adı verilmektedir. İkinci yöntem ise e-imza süresi bittikten sonra yeniden alım da yapılabilir. Kişi isterse kendisine ait birden fazla e-imza alabilmektedir.
Kaynakça
- ↑ "E-İmza Nedir?". http://www.turkkep.com.tr/e-imza-nedir/. Erişim tarihi: 2017/01/11.
- ↑ "Digital Signature Standart (DSS)". 2013. http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-4.pdf. Erişim tarihi: 2017/01/11.
- ↑ "authentication". http://www.webopedia.com/TERM/A/authentication.html. Erişim tarihi: 2017/01/11.
- ↑ "Non-repudiation". https://en.wikipedia.org/wiki/Non-repudiation. Erişim tarihi: 2017/01/11.
- ↑ "What is a digital signature?". https://technet.microsoft.com/en-us/library/cc545901(v=office.12).aspx. Erişim tarihi: 2017/01/11.
Dış bağlantılar
- E-İMZATR
- (PTT E-İMZA)
- Kamu Sertifikasyon Merkezi - Elektronik Sertifika Hizmetleri ve E-imza Çözümleri