Dijital İmza

Dijital İmza

İmza, bir kimsenin, bir yazının altına bu yazıyı yazdığını veya onayladığını belirtmek için her zaman aynı biçimde yazdığı ad veya işarettir. Bu tanımdan imzanın, kişinin adının ve soyadının yan yana gelmiş harflerden oluşan, her zaman aynı şekilde yazdığı yazı olması gerektiği anlaşılmaktadır. Yaşamımız boyunca binlerce kere attığımız imzamız, hukuk aleminde çok önemli sonuçlar doğuran bir işlemdir. Maddi değeri en yüksek varlığımız olan imzamız ile yüksek miktarda borç altına girebilir, tüm malvarlığınızı başka bir kimseye bağışlayabilir, pek çok suçu farkında olmadan işleyebilir ve daha bir çok hukuki işlemi yapabiliriz.
Bilgisayarın da hayatımızdaki önemi, tıpkı imza gibi yadsınamazdır. Hesap makinesiyle işlem yaparken, ATM’den para çekerken, dilekçe yazarken, süpermarketten alış veriş yaparken ve hayatımızdaki daha bir çok işlemi gerçekleştirirken ister istemez bilgisayarı kullanmaktayız.
Bilgisayarın en lezzetli meyvesi, 1957’de Sovyet Rusya’nın Spuntik’i fırlatmasıyla başlayan ARPA projesi sayesinde hayat bulan insanoğlunun “internet” adlı bebeği, her geçen gün büyümektedir. Geçen 20 yılda küçük adımlarını atmaya başlayan bu bebek, şimdi koşmaya başlamıştır ve bizlerin de onu yetiştirmek için büyük çaba harcamamız gerektiği açıktır. Dünyada sınırları kaldıran, uzağı yakına getiren bu oluşumun içine girmemiz uzun zaman almış, fakat bu bebeğe alışmamız çok kısa sürmüştür.
Her alanda olduğu gibi, ticari hayat da artık elektronik ortama taşınmıştır. İnternet üzerinden yapılan sözleşmelerin ve pazarlamaların geçerliliği ve güvenliği için bir çok ülkede hukuki düzenlemelerin yapılması gereği doğmuştur. Bu yüzden Birleşmiş Milletler Uluslararası Ticaret Komisyonu tarafından hazırlanan, orijinal adıyla “Uncitral Model Law on Electronic Commerce”, Türkçe ifadesiyle “Örnek Elektronik Ticaret Kanunu”, Birleşmiş Milletler genel kurulunda 16 Aralık 1996 tarihinde 51/162 sayılı karar ile kabul edilmiştir. Bu kanun, elektronik ticaret konusunda uluslararası ilk metindir ve elektronik ortamdaki diğer düzenlemelere de öncülük etmiştir. Kanunun 5. maddesinde belirtilen “Bilgi, sırf sayısal veri olmasından dolayı hukuki sonuç, geçerlilik ve icra edilebilirlikten mahrum bırakılmamalıdır” ifadesi ile sayısal verilerin hukuki boyutuna değinilmiş ve e-imza kavramının önü açılmıştır.
E-ticaret, e-sözleşmeler vasıtasıyla gerçekleşmektedir. Elektronik sözleşmelere borçlar hukuku yönünden bakılınca, icap ve kabul beyanlarının ne zaman gerçekleşeceği ve sözleşmeyi yapacak kişinin gerçekten bilgisayar başında irade açıklaması yapan kişinin olup olmadığı konuları önem taşımaktadır. İşte, Örnek Elektronik Ticaret Kanunu’na göre; mesajın gönderildiği an, gönderenin kontrolünden çıktığı andır. Mesajın gönderilenin egemenlik alanına girmesi ise, mesajın gönderilene erişmesi ile aynı andır. Bu esnada sözleşmeyi yapanın kimliği hakkında bilgiyi bize verecek olan, dijital imzanın ta kendisi olacaktır. Kanaatimce akdin oluşmasında esas alınması gereken değer, dijital imzalı irade beyanının alıcı tarafından “okunuldu” onayının verildiği veya aynı yolla teyit edildiği andır. Kişinin doğruluğunu kanıtlamanın yanı sıra elektronik sözleşme kapsamındaki alıcının cevabi onayı çok önemlidir.
E-imza, 5070 sayılı “Elektronik İmza Kanunu”nda, başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi kapsamaktadır. Bu karışık anlatımın yerine e-imza için kısaca, “elektronik ortamda kişinin doğruluğunu kanıtlama tekniğidir” diyebiliriz. Kişinin doğruluğu kağıt ortamında el imzası, mühür veya pul ve sair şekillerle kanıtlanırken, elektronik ortamda da e-imza ile kanıtlanmaktadır. Fakat e-imza ile kavramı çok genel, üst bir tanımdır. Kişilerin elle atmış olduğu imzaların tarayıcıdan geçirilmiş hali olan sayısallaştırılmış imzaları, kişilerin göz retinası, parmak izi ya da ses gibi biyolojik özelliklerinin kaydedilerek kullanıldığı biyometrik önlemleri içeren e- imzaları veya bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları içermektedir. Dijital imza ise, diğer bir deyişle sayısal imza, asimetrik şifreleme tekniğine dayanmaktadır. İçeriğin matematiksel fonksiyonlardan geçirilerek eşsiz olduğu düşünülen bir değer bulunması sureti ile elde edilmektedir.
PKI isimli projedeki modeller örnek alınarak, açık yöntemli gizli anahtar anlaşmalı şifreler üretilmekte ve bunlar vasıtasıyla dijital imza yaratılmaktadır. Peki, bu şifreleme ne kadar güvenli olacaktır? Bunu bir örnekle açıklamak gerekirse; şifreleme tekniğindeki anahtarı deneme yanılma yoluyla bulmaya çalışırsak, yaklaşık 100 bitlik bir anahtar uzunluğu olan bir şifreyi, bugünkü süper bilgisayarlardan milyonlarca kat daha hızlı çalışan bir bilgisayarla bile, milyarlarca yıl süren bir zaman diliminde belki bulabiliriz. Genelde kullanılan IDEA şifreleme algoritması, 128 bitlik anahtar uzunluğu kullanmaktadır; fakat bu bit uzunluğu gelişen teknoloji ile şu an için 256’ya kadar çıkmıştır. Dünyada başlıca SSL dağıtıcıları “Verisign, Thawte, InstantSSL, Entrust, Baltimore, Geotrust” olup, bu dağıtıcıların hepsi en az 128 bitlik anahtarı sağlamaktadır.
Açık anahtar altyapı sisteminde, anahtarlardan birinin şifrelediği veriyi yalnızca diğer anahtar çözebilir. Anahtarlardan birine açık anahtar, diğerine gizli anahtar adı verilir; açık anahtar herkese açıklanmaktadır. Açık anahtar altyapı sistemi ile çalışan dijital imzanın kullanımı genel hatlarıyla şu şekilde açıklanır; dijital imza kullanımında bu anahtarlardan yararlanan kişi öncelikle bir dijital sertifikaya ihtiyaç duymaktadır. Bu sertifikayı aracı kurumlar vermektedir. Alınan sertifika, özel ve genel anahtarlar olmak üzere iki anahtardan oluşur. Özel anahtar bir başkasına e-posta gönderirken mesajınızı şifrelemek amacı ile, genel anahtar ise şifrelediğiniz metnin açılması için kullanılmaktadır. Özel anahtar bilgisayarınızda, genel anahtar ise aracı kurumda saklanmaktadır. Sertifika ise hem kişinin bilgisayarında hem de aracı kurumun herkesçe ulaşılabilen sunucularında tutulmaktadır.
Örneğin A kullanıcısı bir dijital sertifika almış ve B kullanıcısına elektronik imzalı e-posta göndermek istemiştir. Bu durumda A kullanıcısı öncelikle göndereceği e-posta metnini yazmalı, daha sonra kendisine verilen özel anahtar ile yazdığı bu metni şifrelemelidir. Şifrelediği bu metni de normal metnin altına kopyalamalı ve e-postasını B kullanıcısına göndermelidir. Şifrelenecek olan metnin e-postanın tüm içeriği olmasına gerek yoktur. Metinden alınan bir parçanın şifrelenmesi yeterlidir.
A kullanıcısının gönderdiği e-posta öncelikle aracı kurumun kontrol sunucularına gider. Burada otomatik olarak sertifikanın geçerlilik kontrolü yapılır ve e-posta A kullanıcısının genel anahtarıyla beraber B kullanıcısına ulaştırılır. B kullanıcısının yapması gereken işlem, genel anahtar ile e-posta metninin şifrelenmiş kısmını deşifre etmek ve e-postanın gerçekten A kullanıcısından gelip gelmediğini kontrol etmek olacaktır. Deşifre edilen metin ile e-postadaki şifrelenmemiş metnin sadece bir karakterinin bile farklı olması e-postanın bir şekilde değişikliğe uğradığına işaret etmektedir. Bu durumda e-postanın A kullanıcısından gelmediği ya da gönderimden sonra 3. bir şahıs tarafından müdahale edildiği sonucuna ulaşılabilir.
Geleneksel iletişim yöntemlerinden elektronik iletişim yöntemine doğru hızlı bir değişim ve gelişim yaşanmaktadır. Bu gelişim ekonomik faaliyet alanlarında ve sosyal yaşamda yeni olanaklar yaratmaktadır. Günümüzde gelişen e-ticaret ve benzeri faaliyetler sonucunda elektronik imzanın çeşitli alanlarda kullanılması sonucu doğmuş ve mevzuatta düzenleme ihtiyacı ortaya çıkmıştır.
Türkiye’deki yasal sürece 30.07.2001 tarihinde DTM bünyesinde başlayan çalışmalarla adım atılmış, 14.01.2002’de başlayan Adalet Bakanlığı bünyesinde yapılan çalışmalarla devam edilmiştir. 15.1.2004 tarihinde kabul edilerek 23.01.2004 tarihinde 25355 Sayılı Resmi Gazetede yayınlanan ve 23.07.2004 tarihinde yürürlüğe giren 5070 sayılı Elektronik İmza Kanunu, geneli itibari ile AB’nin 99/93/EC sayılı “Elektronik İmzalarla İlgili Konsey – Komisyon Direktifi” ile uyumludur ve çoğu madde buradan alıntı olarak 5070 sayılı yasaya girmiştir.
Yasada sırasıyla amaç, kapsam ve tanımlar; güvenli e-imza ve sertifika hizmetleri; denetim ve ceza hükümleri yer almaktadır. Bu yasayla birlikte, diğer kanunlarda da değişikliklerin yapılmasına ihtiyaç duyulmuş ve yasanın 21. maddesi ve devamında bu değişiklikler gösterilmiştir. Özellikle 18.6.1927 tarihli ve 1086 sayılı Hukuk Usulü Muhakemeleri Kanununa 295 inci maddeden sonra gelmek üzere eklenen aşağıdaki 295/A maddesi usul bakımından çok önemli olmakla birlikte, madde metni şu şekildedir:
“Madde 295/A- Usulüne göre güvenli elektronik imza ile oluşturulan elektronik veriler senet hükmündedir. Bu veriler aksi ispat edilinceye kadar kesin delil sayılırlar. Dava sırasında bir taraf kendisine karşı ileri sürülen ve güvenli elektronik imza ile oluşturulmuş veriyi inkâr ederse, bu Kanunun 308 inci maddesi kıyas yoluyla uygulanır.”
Elektronik sertifika hizmet sağlayıcısı, kanunun 8. fıkrasında “elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir” şeklinde tanımlanmıştır. Maddenin devamında “Elektronik sertifika hizmet sağlayıcısı, Kuruma yapacağı bildirimden iki ay sonra faaliyete geçer” denilmiştir. Maddede sözü geçen kurum, Telekomünikasyon Kurumu’dur. Bildirimin niteliğini, kapsamını ve bu pazara giriş koşullarını Telekomünikasyon Kurumu düzenlemektedir. Kanundaki şartları yerine getiren gerçek veya özel hukuk tüzel kişileri, kurumun denetimi sonrası elektronik sertifika hizmet sağlayıcısı olarak faaliyete geçebilirler.
Dijital sertifika veren aracı kurumlar kanun çerçevesindeki işlemlerine 18.07.2005 tarihinden itibaren başlamışlardır. Bu kurumlar faaliyete başlama sırasına göre şöyledir; “Elektronik Bilgi Güvenliği A.Ş. (E-Güven); TÜBİTAK – UEKAE ; TürkTrust Bilgi, İletişim ve Bilişim Güvenliği Hizmetleri A.Ş.; EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. ( e-Tugra)”.
Sonuç olarak, kanunların resmi şekle veya özel bir merasime tabi tuttuğu hukuki işlemler ile teminat sözleşmelerinin güvenli elektronik imza ile gerçekleştirilemeyeceği hükme bağlandığı üzere; bu hükmün mefhumu muhalifinden, bunlar dışında kalan işlemlerde dijital imzamızı kullanabileceğimiz görülmektedir. Hatta yaptığımız bazı işlemlerde (ör: internet bankacılığı işlemleri) e-imza kullanımının zorunlu hale getirilmesi yerinde olacaktır. Dijital imzanın, toplumların çoğu tarafından henüz kullanılmayan ama gelecekte sıkça kullanılacak ve hayatı çok daha fazla kolaylaştıracak bir düzenleme olduğundan bahsedebiliriz. Teknolojiyi yakalama konusunda trene her zaman geciken toplumumuzun e-imza konusunda gereken bilgiye sahip olması ve kullanması özellikle e-ticaret konusunda bizleri ileri seviyelere çıkaracaktır.

Stj. Av. Emrah YAVUZCAN - Ocak 2007

Kutlarım seni Emrahcım...