Aşağıdaki makalede e-imza nedir? e-imza iyi mi alınır ve iyi mi kullanılır? e-imzada sahtecilik mümkün mü? e-imza sahteciliğinde kullanılan en yaygın hücum senaryoları ve bunlardan korunma şekilleri üstünde durulmaktadır.
e-imza nedir?
E-imza (elektronik imza), kâğıt üstündeki ıslak imzanın dijital ortamdaki karşılığıdır. Elektronik belgelerin kim tarafınca oluşturulduğunu doğrulamak, belge içinde ne olduğunun sonradan değiştirilmediğini güvence etmek ve yasal geçerlilik sağlamak için kullanılır.
Temel özellikleri:
Kimlik doğrulama: İmzanın hakkaten size ilişkin bulunduğunu kanıtlar.
Bütünlük: İmzalanan belgenin sonradan değiştirilmediğini güvence eder.
İnkâr edilememe: İmza sahibi, imzaladığını sonradan inkâr edemez (yasal olarak bağlayıcıdır).
Türkiye’de 5070 sayılı Elektronik İmza Kanunu ile düzenlenmiştir ve nitelikli elektronik sertifika (NES) ile oluşturulan e-imza, ıslak imza ile aynı hukuki geçerliliğe haizdir. Kullanım alanlarına örnek:
E-devlet işlemleri
Şirket içi resmi yazışmalar
İhale başvuruları
Elektronik sözleşmeler
e-imza Iyi mi Alınır ve Iyi mi Kullanılır?
1) Neye ihtiyacın var?
Nitelikli Elektronik Sertifika (NES): e-imzanın kalbi. Yetkili Elektronik Sertifika Hizmet Sağlayıcıları (ESHS)’nden alınır. BTK, yetkili sağlayıcıların güncel listesini yayınlar.
Donanım / yöntem:
Klasik: akıllı kart + USB kart okuyucu yada USB token
Alternatif: uzaktan/bulut e-imza (donanım yok; sağlayıcının mobil/onay uygulamasıyla imzalanır—sağlayıcına göre değişiklik gösterir). (Genel çerçeve için BTK sayfaları.)
2) E-imza (NES) iyi mi alınır?
Sağlayıcı seç: BTK’nın yetkili ESHS listesine bak. BTK
Müracaat yap: Sağlayıcının sitesinden bireysel/kurumsal müracaat formu doldurulur; kimlik doğrulaması karşı karşıya yada uzaktan yapılır (sağlayıcı prosedürüne gore). (ESHS süreçleri BTK denetimindedir.)
Sözleşme ve ödeme: Sertifika süresi (genel anlamda 1–3 yıl) seçilir.
Teslimat: Donanımlı tercih ettiysen kart/token + PIN/PUK kuryeyle gelir; uzaktan e-imza ise hesabın etkinleştirilir.
Hukuki dayanak: 5070 sayılı Kanun, nitelikli e-imzaya ıslak imza ile aynı hukuki sonucu tanır. Türkiye Barolar Birliği
3) Bilgisayara kurulum (donanımlı e-imza)
Kart okuyucu/USB token sürücüsü ve orta katman (middleware) yazılımını kur. (Sağlayıcın verir; ek olarak KamuSM’nin sürücü yükleme servisi destek sunar.) Kamus M
Kök/ara sertifikaları yükle (Windows/macOS). Birçok doğrulama için TÜBİTAK KamuSM kök/alt kök sertifikaları gereklidir.
Tarayıcı ve e-Devlet e-İmza Uygulaması: e-Devlet’e e-imza ile girmek için masaüstü e-Devlet e-İmza Uygulamasını indirmen gerekebilir. e-Devlet,Türkiye Gov
4) e-Devlet’te e-imza ile giriş (süratli rehber)
T.C. Kimlik No’nu gir.
Bilgisayarında e-Devlet e-İmza Uygulamasını açıp ekrandaki işlem kodunu uygulamaya yaz.
PIN’ini girip imzala; birkaç saniye içinde giriş tamamlanır.
5) Belgeleri imzalama (örnek: PDF)
Adobe Acrobat Reader şeklinde bir programda “Dijital İmzalar/Certificates” bölümünden imzalama yapılır; kart/token takılıyken PIN istenir. (Yazılım adımları programına göre değişiklik gösterir.)
İmzayı ve sertifikayı doğrulamak için sisteminin güvenilen sertifika kökleri yüklü olmalı (bkz. KamuSM kök/alt kök).
6) Uzaktan/Bulut e-imza kullanımı (var ise)
Donanım yerine, sağlayıcının mobil/onay uygulaması ve iki-aşamalı doğrulama ile imzalanır. Kurulum daha kolaydır; kapsam ve kabul alanı sağlayıcıya ve entegrasyona bağlıdır. (Kavram çerçevesi için BTK genel informasyon sayfasına bakılabilir.) BTK
7) Mesele yok etme – en yaygınları
PIN kilitlenmesi: PUK ile aç yada sağlayıcından yeni PIN/tekrardan yükleme talep et. (Sertifika yönetimi ve askıya alma süreçleri için KamuSM yönlendirmeleri iyi bir referanstır.)
Tarayıcı görmüyor: Kart okuyucu/token sürücüsünü ve middleware’i tekrardan kur; kök sertifikaların yüklü olduğundan güvenli ol.
e-Devlet giriş olmuyor: Masaüstü e-Devlet e-İmza Uygulaması kurulumu ve çalıştığından güvenli ol; ekrandaki işlem kodunu doğru yaz.
8) Güvenlik ve yönetim
PIN/PUK’u güvenli sakla; yetkisiz paylaşma.
Kart/token kaybolursa yada şüpheli durum var ise sertifikanı askıya al ve sağlayıcına bildir. (Askıya alma & yönetim adımlarına dair yönlendirmeler.)
e-imzada Sahtecilik mümkün mü?
E-imzada sahtecilik, doğru şekilde uygulandığında ve güvenlik kuralları takip edildiğinde pratikte oldukça zor ve klasik ıslak imzaya kıyasla oldukça daha güvenli kabul edilir.
Bunun sebebi:
Kriptografi temelli güvenlik: E-imza, asimetrik şifreleme (public/private key) ile çalışır. Hususi anahtar (private key) bir tek senin donanımında yada güvenli ortamında bulunur ve dışarı çıkarılamaz.
Sertifika doğrulaması: İmzaya bağlı olan nitelikli elektronik sertifika (NES) yetkili bir Elektronik Sertifika Hizmet Sağlayıcısı (ESHS) tarafınca verilmiştir ve her imza doğrulamada sertifikanın geçerli olup olmadığı denetim edilir.
Bütünlük kontrolü: İmzalanan belgenin tek bir harfi bile değişirse imza geçersiz olur.
Fakat şu durumlarda risk oluşabilir:
PIN/PUK’un ele geçirilmesi → Başkası donanımını kullanarak imza atabilir.
Donanımın (kart/token) çalınması → Fena niyetli şahıs PIN’i de biliyorsa imza atabilir.
Fena amaçlı yazılım → Bilgisayarına yerleşmiş zararı olan yazılımlar imza işlemlerini manipüle edebilir.
Düzmece web/uygulama ortamı → Phishing ile seni düzmece e-imza onay ekranına yönlendirip değişik belge imzalatabilirler.
Özet: Direkt “kriptografik” anlamda e-imzayı düzmece üretmek bugünkü teknolojiyle imkânsıza yakın; riskler genel anlamda kullanıcı hatası yada aygıt/PIN güvenliğinin ihlali kaynaklıdır. Bu yüzden:
PIN/PUK bilgini asla paylaşma.
Donanımını fizyolojik olarak koru.
Yalnız resmi yazılımlar ve güvenilir cihazlarda imza at.
Sertifikanı yitik/çalıntı durumunda derhal askıya al.
En Yaygın Hücum Senaryoları ve Bunlardan Korunma Şekilleri
e-imza sahteciliğinde kullanılan en yaygın hücum senaryoları ve bunlardan korunma şekilleri ile ilgili net ve ergonomik bir tablo:
Hücum Senaristliği
Iyi mi İşler?
Korunma Şekilleri
PIN/PUK Ele Geçirme
Dolandırıcı toplumsal mühendislik (telefon, e-posta) yada gözlem kanalıyla PIN’ini öğrenir, donanımına erişirse imza atabilir.
PIN/PUK’u kimselerle paylaşma, girerken ekranı gizle, kolay tahmin edilebilir PIN kullanma.
Donanım (kart/token) Hırsızlığı
Fizyolojik cihazın çalınır, PIN de biliniyorsa imza atılabilir.
Donanımı yanında taşı, kaybolduğunda sertifikanı derhal askıya al.
Fena Amaçlı Yazılım (Malware)
Bilgisayarına bulaşan zararı olan yazılım imza sürecine müdahale eder yada belgeyi değiştirir.
Güncel antivirüs kullan, imza işlemlerini güvenilir ve güncel cihazlarda yap.
Phishing / Düzmece E-imza Ekranı
Düzmece internet sayfası yada uygulama üstünden seni imza atmaya yönlendirir; gerçekte değişik belge imzalanır.
Adres çubuğunu ve sertifikayı denetim et, bir tek resmi uygulamalardan giriş yap.
Man-in-the-Middle (Ortadaki Adam) Saldırısı
Ağ trafiğini dinleyerek yada değiştirerek imza sürecine müdahale eder.
VPN yada güvenli ağ kullan, halka açık Wi-Fi’da imza atma.
Yetkilendirilmiş Kullanıcı Kötüye Kullanımı
Şirket ortamında e-imza aletine erişim yetkisi olan biri izinsiz imza atar.
Aygıt erişimini sınırla, işlem loglarını tut, oldukça faktörlü kimlik doğrulama kullan.
Ek güvenlik tavsiyesi:
Sertifikayı BTK tarafınca yetkilendirilmiş hizmet sağlayıcıdan al.
Cihazın firmware ve yazılımlarını resmi kaynaklardan güncel tut.
Şüpheli durumlarda sertifikayı askıya al yada iptal ettir.