Avukatlara UYAP için E-İMZA bilgileri

E-İmza

Elektronik imza nedir, E-İmza ne demek?

5070 sayılı Elektronik İmza Kanunu‘ndaki ifadesiyle e-imza; başka bir elektronik veriye eklenen yada elektronik veri ile mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi tanımlar. E-imza; bir bilginin üçüncü tarafın erişimine kapalı bir ortamda, bütünlüğü bozulmadan (bilgiyi iletenin oluşturduğu orijinal şekliyle) ve tarafların kimlikleri doğrulanarak iletildiğini elektronik yada benzeri araçlar ile garanti eden harf, karakter veya sembollerden oluşur.

E-imza terimi çok genel bir kavram olup, kişilerin elle atmış olduğu imzaların tarayıcıdan geçirilmiş hali olan sayısallaştırılmış imzaları (e-imzası), kişilerin göz retinası, parmak izi ya da ses gibi biyolojik özelliklerinin kaydedilerek kullanıldığı biometrik önlemleri içeren elektronik imzaları veya bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları kapsamaktadır. 

Sayısal imza, imzalanan metine göre farklılık gösterir ve içeriğin matematiksel fonksiyonlardan geçirilerek eşsiz olduğu düşünülen bir değer bulunması sureti ile elde edilir. Yani kişilerin, el ile atılan imzada olduğu şekilde tek imzası yoktur; bunun yerine imzalamada kullanılan anahtarları vardır.

5070 sayılı E-İmza Kanunu’nda ve bu metinde geçen “elektronik imza” kavramı sayısal imzayı işaret etmektedir.

E-imzanın özellikleri nelerdir?

Elektronik imza kullanıcılarına şu üç ana özelliği sağlar:

  • Veri Bütünlüğü: Verinin izinsiz ya da yanlışlıkla değiştirilmesini, silinmesini ve veriye ekleme yapılmasını önlemek,
  • Kimlik Doğrulama ve Onaylama: Mesajın ve mesaj sahibinin iletiminin geçerliliğini sağlamak,
  • İnkar Edilemezlik: Bireylerin elektronik ortamda gerçekleştirdikleri işlemleri inkar etmelerini önlemek.

Elektronik Sertifika ve Nitelikli Elektronik Sertifika nedir?

Elektronik sertifika, e-imzanın doğrulanması için gerekli olan veriyi ve imza sahibinin kimlik bilgilerini içeren elektronik kaydı ifade etmektedir. Elektronik sertifikalar, kanuna uygun olarak faaliyette bulunacak elektronik sertifika hizmet sağlayıcılarından belirli bir ücret karşılığında temin edilecektir.

Elektronik sertifika hizmet sağlayıcısının sertifika üzerindeki e-imzası, sertifikanın bütünlüğünü ve doğruluğunu garanti edecektir. Elektronik sertifikalar, atılan imzanın doğruluğunun onaylanabilmesi için gereklidir.

Nitelikli elektronik sertifikalar; Kanunun 9 uncu maddesinde belirtildiği şekilde “nitelikli sertifika” olduğuna dair bir ibareyi, sertifika hizmet sağlayıcısının kimlik bilgilerini ve kurulduğu ülke adını, imza sahibinin teşhis edilebileceği kimlik bilgilerini, sertifikanın geçerli olduğu süreyi ve sertifikanın seri numarasını barındıran elektronik sertifikalardır.

E-imza oluşturma araçları nelerdir?

E-imza oluşturma araçları; elektronik imza oluşturmak üzere kullanılan yazılım veya donanımı ifade etmektedir. 5070 sayılı Kanun‘da  “güvenlie-imza oluşturma araçlarına değinilmiş ve aşağıdaki özelliklerin sağlanması şart koşulmuştur:

  • Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmaması,
  • Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiç bir biçimde çıkarılamamasını ve gizliliğini sağlaması,
  • Üzerinde kayıtlı olan elektronik imza  oluşturma verilerinin, üçüncü kişilerce elde edilememesi, kullanılamaması ve elektronik imzanın sahteciliğe karşı koruması,
  • İmzalanacak verinin imza sahibi dışında değiştirilememesi ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesi.

E-İmza’nın hukuki sonuçları nelerdir?

Elektronik İmza Kanunu’nda; güvenli e-imza, elle atılan imzaya eşdeğer kabul edilmiş ve elektronik imza ile oluşturulmuş verilerin senet hükmünde olacağı belirtilmiştir. Ancak kanunların resmi şekle veya özel bir merasime tabi tuttuğu hukuki işlemler ile teminat sözleşmelerinin güvenli elektronik imza ile gerçekleştirilemeyeceği hükme bağlanmıştır.  Diğer bir ifadeyle, kanunların merasimi veya üçüncü tarafların şahitliğine gerek gördüğü emlak alım satımı, veraset ve intikal, evlenme gibi işlemler e-imza ile gerçekleştirilememektedir.

E-imzanın uygulama alanları nerelerdir?

Elektronik imzanın; bankalar ve finans kurumları, şube ağına sahip sigorta şirketleri, kamu kurum ve kuruluşları, holdingler ve diğer büyük şirketler, üniversiteler, yüksek iletişim ve bilgi güvenliği gereksinimi olan organizasyonlar başta olmak üzere orta ve uzun vadede yaygın bir uygulama alanı bulabileceği değerlendirilmektedir. Gerek kamusal gerekse ticari alandaki muhtemel elektronik imza uygulamaları arasında aşağıdakiler sayılabilir:

Kamusal Uygulamalar 

  • Her türlü başvurular (ÖSS, KPSS, LES, pasaport vs.)
  • Kurumlararası iletişim (Emniyet Müdürlükleri, Nüfus ve Vatandaşlık İşleri Müdürlükleri vs.)
  • Sosyal güvenlik uygulamaları
  • Sağlık uygulamaları (Sağlık personeli – hastaneler – eczaneler)
  • Vergi ödemeleri
  • Elektronik oy verme işlemleri

Ticari Uygulamaları  

  • İnternet bankacılığı
  • Sigortacılık işlemleri
  • Kağıtsız ofisler
  • e-Sözleşmeler
  • e-Sipariş

Yabancı bir ülkeden alınan e-imza sertifikası Türkiye’de kullanılabilir mi?

Yabancı bir ülkeden alınan e-imzanın Türkiye’de kullanılabilmesi için, yabancı bir ülkede kurulu bir Elektronik Sertifika Hizmet Sağlayıcı tarafından verilen elektronik sertifikaların Türkiye’de kurulu bir Elektronik Sertifika Hizmet Sağlayıcı tarafından kabul edilmiş olması gereklidir.

Güvenli E-İmza nasıl temin edilebilir ?

Güvenli Elektronik İmza ancak Nitelikli Elektronik Sertifika ile sağlanabilir. Nitelikli Elektronik Sertifika almak için başvurulabilecek yerler olan Elektronik Sertifika Hizmet Sağlayıcıları Telekomünikasyon Kurumu’nun internet sayfasında yayımlanacaktır.

E- imzaya ilişkin yasal düzenlemeler nelerdir?

  • 5070 sayılı Elektronik İmza Kanunu (23 Ocak 2004 tarih ve 25355 sayılı Resmi Gazete)
  • Sertifika Mali Sorumluluk Sigortası Yönetmeliği (26 Ağustos 2004 tarih ve 25565 sayılı Resmi Gazete)
  • 2004/21 sayılı Başbakanlık Genelgesi  (6 Eylül 2004 tarih ve 25575 sayılı Resmi Gazete)
  • 5070 Sayılı Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (6 Ocak 2005 tarih ve  25692 sayılı Resmi Gazete)
  • Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ (6 Ocak 2005 tarih ve 25692 sayılı Resmi Gazete)
  • Zorunlu Sertifika Mali Sorumluluk Sigortası Genel Şartları (27 Ocak 2005 tarih ve 25709 sayılı Resmi Gazete)
  • Sertifika Mali Sorumluluk Sigortası Tarife ve Talimatı (27 Ocak 2005 tarih ve 25709  sayılı Resmi Gazete)

E-imza altyapısı nasıl çalışır ?

  • Kullanıcı elektronik sertifika için elektronik sertifika hizmet sağlayıcısına başvurur.
  • Sertifika hizmet sağlayıcısı kullanıcının kimliğini geçerli ve güvenilir belgelerle tasdik eder.
  • Sertifika hizmet sağlayıcısı sertifikanın kaydını bir dizinde toplar.
  • Kullanıcı kendi gizli anahtarıyla mesaj sahibinin kimlik doğrulaması, mesajın bütünlüğünü ve inkar edilemezliğini sağlayarak mesajı imzalar ve karşı tarafa gönderir.
  • Karşı taraf mesajı alır. Elektronik imzasını kullanıcının açık anahtarıyla onaylar ve kullanıcının sertifikasının geçerliliğini ve durumunu kontrol etmek için veri kütüğünde sorgulama yapar.
  • Veri kütüğü sertifikanın geçerli/iptal durum bilgilerini karşı tarafa iletir.

Elektronik sertifika hizmet sağlayıcıları kimlerdir? Ne yaparlar?

5070 sayılı kanuna göre Elektronik sertifika hizmet sağlayıcısı; “Elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir.”

E-imza hizmetleri sunanlar kullanıcılar için sertifika yayımlar, sertifika durum bilgilerini güncel tutar ve sertifika iptal listeleri hazırlar, güncel sertifikaları ve sertifika iptal listelerini isteyen kişilere sunar, süresi dolan ya da iptal edilen sertifikaların arşivini tutar.

Elektronik sertifika hizmet sağlayıcılarının faaliyet durumlarına ilişkin bilgiler  Telekomünikasyon kurumunun internet sayfasında yayınlanmaktadır.

Elektronik Sertifika Hizmet Sağlayıcısının yükümlülükleri nedir ?

Elektronik Sertifika Hizmet Sağlayıcıları;

  • Güvenli ürün ve sistemleri kullanmak,
  • Hizmeti güvenilir bir biçimde yürütmek,
  • Sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri alma ile ilgili şartları sağlamakla yükümlüdür.

Nitelikli elektronik sertifika sahibinin yükümlülükleri nelerdir ?

Nitelikli elektronik sertifika sahipleri;

·        Nitelikli elektronik sertifika almak için gerekli tüm bilgi ve belgeleri eksiksiz ve doğru olarak sağlamakla,

·        ESHS’ye vermiş olduğu bilgilerde değişiklik meydana gelmesi halinde ESHS’yi derhal bilgilendirmekle,

·       İmza oluşturma verisini kendisi üretmesi durumunda Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere  İlişkin Tebliğ ile belirlenen algoritmaları ve parametreleri kullanmakla,

·       İmza oluşturma ve doğrulama verilerini sadece elektronik imza oluşturma ve doğrulama amaçlı olarak ve nitelikli elektronik sertifikanın içerdiği kullanıma ve maddi kapsama ilişkin sınırlamalar dahilinde kullanmakla,

·       İmza oluşturma verisini başkalarına kullandırmamakla ve bu konuda gerekli tedbirleri almakla,

·  İmza oluşturma verisinin gizliliğinden veya güvenliğinden şüphe etmesi durumunda ESHS’yi derhal bilgilendirmekle,

·     Güvenli elektronik imza oluşturma aracını kullanmakla,

·       İmza oluşturma ve doğrulama verilerinin ESHS’ye ait olmayan yerlerde ve araçlarla üretilmesi durumunda gerekli güvenliği sağlamakla,

·    İmza oluşturma aracının veya erişim verisinin kaybolması, çalınması, güvenilirliğinden şüphe edilmesi durumunda ESHS’yi derhal bilgilendirmekle yükümlüdür.

Üçüncü kişilerin yükümlülükleri nelerdir?

Üçüncü şahıslar;

  • Sertifikanın “nitelikli elektronik sertifika” olup olmadığını kontrol etmekle,
  • Nitelikli elektronik sertifikanın iptal ve geçerlilik durumunu kontrol etmekle veya güvenli elektronik imza doğrulama aracı kullanmakla,
  • Nitelikli elektronik sertifikanın kullanımına yönelik herhangi bir kısıtlamanın olup olmadığını kontrol etmekle yükümlüdür.

Telekomünikasyon Kurumunun kamudaki e-imza yapılanmasına ilişkin rolü nedir?

Kamu hizmetlerinin daha hızlı sunulması, yaygınlaştırılması, doğru ve yeterli bilgi sağlanması, işletme giderlerinin azaltılmasını da beraberinde getirmiştir. Bu durumdan hareketle, Ülkemizde kullanımı giderek yaygınlaşacak olan elektronik imza uygulamaları kapsamında kamuda gereksiz mükerrer yatırımların önlenmesi, uyumlu, birlikte ve güvenilir bir yapıda çalışılmasını sağlamak maksadıyla, Kurumumuz tarafından yapılan öneri doğrultusunda 10 Haziran 2004 tarihli e-Dönüşüm Türkiye VI. İcra Kurulu Toplantısı’nda kamu çalışanlarının kurumsal sertifikalarının tek merkezden sağlanması yönünde karar alınması sağlanmıştır. Bu karar uyarınca Kamu Sertifikasyon Merkezi yapısının kurulması ve işletilmesi görev ve sorumluluğu TÜBİTAK-UEKAE’ye verilmiştir. Tüm kamu kurum ve kuruluşlarının aynı kurumsal sertifika yapısı altında toplanmasını hedefleyen, sadece kamu kurum ve kuruluşlarına kurumsal sertifikaların oluşturulması ve sertifika yaşam çevriminin yönetilmesini sağlayacak bu yapının gözden geçirilmesi ve uygunluğunun izlenmesi görev ve sorumluluğu ise Telekomünikasyon Kurumu’na aittir.

E-imza almak istiyorum, nereden alabilirim, ne yapmalıyım ?

E-imza almak için öncelikle bir elektronik sertifika sahibi olmanız gereklidir. Eğer kamu kurumunda çalışıyorsanız ve imzanızı kurum içi ve kamu kurumları arasında işlemlerde kullanacaksanız, sertifikanızı Başbakanlık Genelgesi gereği TÜBİTAK UEKAE’den almanız gereklidir. Bunun için çalıştığınız kurumun TÜBİTAK UEKAE’ye kurumsal başvuru yapması gerekir. Eğer kamu kurumu çalışanı değilseniz veya kamu çalışanı olduğunuz halde vatandaş olarak kurum dışındaki işlemlerinizde e-imza kullanmak istiyorsanız, bu işi yapmaya yetkili özel şirketlerden, yani elektronik sertifika hizmet sağlayıcısı firmalardan, sertifikanızı ücret karşılığında almanız gerekiyor. Telekomünikasyon Kurumu nitelikli elektronik sertifika vermeye yetkili olan kuruluşları kendi internet sayfasında duyurmaktadır. Telekomünikasyon kurumu sitesinde duyurulan hizmet sağlayıcısı firmalar dışındaki kişi ve kuruluşlardan elektronik sertifika alınmamalıdır.

Elektronik sertifika hizmet sağlayıcısı olmak için ne yapmalı, bunun maliyeti yüksek midir?

Elektronik İmza Kanununa göre; sertifika hizmet sağlayıcısı güvenli ürün ve sistemleri kullanmak, hizmeti güvenilir bir biçimde yürütmek ve sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri almakla ilgili şartları sağladığını ayrıntılı bir biçimde gösterir ve Telekomünikasyon Kurumuna bildirimde bulunur. Bu bildirimde Kurumumuza sunulması gereken bilgi ve belgeler yönetmelikle belirlenmiştir. Telekomünikasyon Kurumu yapılan bildirimi incelemeye alır. Bildirim şartlarını eksiksiz olarak yerine getiren elektronik sertifika hizmet sağlayıcısı, bildirim yaptığı tarihten 2 ay sonra faaliyete geçebilir. Elektronik sertifika hizmet sağlayıcılığı yapmak için gerekli olan altyapı, yüksek güvenlik gereklilikleri nedeni ile oldukça pahalıdır, maliyeti 3-8 Milyon Euro arasında değişebilmektedir.

Elektronik imza sertifikaları kimlik doğrulama amaçlı kullanılabilir mi?

İlgili mevzuat gereğince sertifikaların sisteme giriş gibi kullanıcı doğrulama amaçlı kullanılması mümkün değildir. Bu nedenle kullanıcı doğrulama amacıyla başka sertifikalar üretilmesi gerekir. Ancak, sisteme girişin bir imzalama (sistem giriş formu imzalama gibi) işlemine dönüştürülebildiği durumlarda elektronik imza sertifikaları da bu amaçla kullanılabilecektir.

E-imza sertifikaları şifreleme amaçlı kullanılabilir mi?

Hayır. Elektronik imza teknolojisi ile şifreleme teknik olarak mümkün olsa da e-imza farklı bir kullanım alanına ve amacına sahiptir. Elektronik İmza Kanunu sadece elektronik imzayı düzenler, kriptografi (şifreleme) ise milli güvenlik gibi farklı boyutlar nedeniyle dünyada farklı kanunlar ile düzenlenmektedir. E-imza oluşturma verisi ne kadar sık kullanılırsa elde edilme ihtimali, dolayısıyla güvenliğinin ve güvenilirliğinin azalması ihtimali o kadar artar. Bu nedenle e-imza oluşturma verisinin sadece imza oluşturma amacıyla kullanılması uygundur. Nitekim; Telekomünikasyon Kurumu tarafından 6 Ocak 2005 tarihinde yayımlanmış bulunan Elektronik İmza Kanunun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 15. maddesi d fıkrası ile sertifika sahibi “İmza oluşturma ve doğrulama verilerini sadece elektronik imza oluşturma ve doğrulama amaçlı olarak ve nitelikli elektronik sertifikanın içerdiği kullanıma ve maddi kapsama ilişkin sınırlamalar dahilinde kullanmakla,” yükümlü kılınmıştır. Bu hüküm ile sertifika ile birlikte sunulan açık ve özel anahtarın şifreleme amaçlı kullanımı engellenmiştir.

Elektronik sertifikaların geçerlilik süresi ne kadar?

Elektronik sertifikaların kullanım süreleri sınırlıdır. Her elektronik sertifikanın açık olarak belirtilen bir kullanıma başlama ve bitiş zamanı vardır. Birçok uygulama, elektronik sertifikalarla işlem yapmadan önce sertifikanın geçerlilik süresini kontrol ederler. Genel olarak bu süre bir yıldır.

Not: Bu yazı BTK Bilgi Teknolojileri ve İletişim Kurumu’nun http://www.tk.gov.tr adresindeki internet sitesinden kısmen değiştirilerek yazılmıştır.

Author: admin

Admin bir hukukçu, istanbul'da oturur, kahraman değildir, ukala değildir, kendini beğenmiş değildir. Ama adı gizlidir.

Bir yanıt yazın