1. Elektronik İmza, Elektronik Sertifika, Güvenli Elektronik İmza, Nitelikli Elektronik Sertifika, İmza Oluşturma Verisi, İmza Doğrulama Verisi Nedir?

5070 sayılı Elektronik İmza Kanunu'nda tanımlandığı şekliyle; "elektronik imza" başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi, "elektronik sertifika" imza sahibinin imza doğrulama verisini ve kimlik bilgilerini birbirine bağlayan elektronik kaydı, "güvenli elektronik imza" elle atılan imza ile aynı hukuki sonucu doğuran ve Kanun'da belirtilen özel şartları taşıyan elektronik imzayı, "nitelikli elektronik sertifika" kanun'da belirtilen koşulları sağlayan, güvenli elektronik imza oluşturmak için sahip olunması gereken elektronik sertifikayı, "imza oluşturma verisi" imza sahibine ait olan, imza sahibi tarafından elektronik imza oluşturma amacıyla kullanılan ve bir eşi daha olmayan şifreler, kriptografik gizli anahtarlar gibi verileri, "imza doğrulama verisi; elektronik imzayı doğrulamak için kullanılan şifreler, kriptografik açık anahtarlar gibi verileri ifade eder.

2. Elektronik İmza Neden ve Hangi Uygulamalarda Kullanılır?

5070 Sayılı Elektronik İmza Kanunu, kağıt ortamında yürütülen işlemlerin elektronik ortamda güvenli ve hukuki sonuç doğuracak biçimde yürütülebilmesi için büyük bir olanak sağlamıştır. Böylece zamandan, paradan ve iş gücünden tasarruf etmek üzere, kişisel veya kurumsal işlerinizi elektronik ortama taşıyarak NES ve e-İmza kullanabilirsiniz. E-imzanızı;

Bankacılık işlemleri ile diğer finansal uygulamalarda,
Kamu kuruluşlarına yapılan çeşitli başvurular ve yürütülen işlemlerde,
Elektronik yazışma ve sözleşmelerde,
Elektronik haberleşmelerde,
Sigortacılık işlemlerinde,
Hukuki işlemlerde,
Kurumsal kaynak planlama uygulamalarında,
E-devlet, e-ticaret, e-iş uygulamalarında kullanabilirsiniz.

3. Elektronik İmzanın Avantajları Nelerdir?

Elektronik imza, elle atılan imzaya eşdeğer nitelikte kullanılabildiği için, elektronik ortamda her türlü resmi işlemin, kağıt ortamına göre daha hızlı, güvenilir ve maliyet etkin biçimde yürütülmesini sağlar. Bu bağlamda elektronik imza, kamu kuruluşlarıyla yapılan işlemlerde, bankacılık ve sigortacılık işlemlerinde, e-devlet, e-iş ve e-ticaret uygulamalarında, elektronik haberleşme ve sözleşmelerde kısaca 5070 sayılı Elektronik İmza Kanunu kapsamındaki tüm işlemlerde kullanılabilir.

4. Açık anahtar altyapısı nedir? Neden kullanılır? Ne sağlar?

Açık anahtar altyapısı, elektronik imzanın güvenli ve güvenilir biçimde uygulanmasını sağlamak için kullanılan bir teknolojidir. Açık anahtar altyapısı kullanılarak oluşturulan bir elektronik imzanın kimden geldiğinin belirlenmesi, imzalanmış metnin elektronik ortamdaki doğruluğunun ve bütünlüğünün sağlanması, atılan imzanın imza sahibi tarafından inkar edilememesi sağlanmış olur. Kanun'da yer alan güvenli elektronik imzanın özelliklerinin sağlanması için kullanılır.

5. Zaman damgası nedir? Neden ve hangi uygulamalarda kullanılır?

Zaman damgası Kanun'da "bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve/veya kaydedildiği zamanın tespit edilmesi amacıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kayıt" olarak tanımlanır. Elektronik ortamda doküman, kayıt, sözleşme gibi elektronik verilerin, belirli bir zamandan önce var olduğunu kanıtlamak için kullanılır. Elektronik ortamdaki işlemlere güvenilir zaman bilgisi eklenebilmesini sağlar. Üzerinde zaman bilgisi olması gereken elektronik başvuru, tutanak, sözleşme ve benzeri her türlü elektronik veri üzerinde kullanılabilir.

6. Elektronik Sertifika Hizmet Sağlayıcısı (ESHS) nedir? Görevleri nelerdir?

Elektronik Sertifika Hizmet Sağlayıcısı (ESHS), Kanun'da "elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişileri" olarak tanımlanır. ESHS'ler, kayıt merkezleri aracılığıyla aldıkları elektronik sertifika başvurularını değerlendirip güvenli koşullar altında işleyerek elektronik sertifikaları üretir, sertifika başvuru sahiplerine ulaştırır. Bunun yanı sıra, sertifika yenileme ve iptal hizmetlerini, sertifika ve iptal durumu yayımlama hizmetlerini ve zaman damgası hizmetlerini verir.

7. ESHS'lerin yükümlülükleri nelerdir? ESHS olmak için hangi özellikleri sağlamak gerekir?

5070 sayılı Elektronik İmza Kanunu ve ilgili yönetmelikler gereği ESHS'ler:

Hizmetin gerektirdiği nitelikte personel istihdam etmekle,

Nitelikli sertifika verdiği kişilerin kimliğini resmi belgelere göre güvenilir bir biçimde tespit etmekle,

Sertifika sahibinin diğer bir kişi adına hareket edebilme yetkisi, mesleki veya diğer kişisel bilgilerinin sertifikada bulunması durumunda, bu bilgileri de resmi belgelere dayandırarak güvenilir bir biçimde belirlemekle,

İmza oluşturma verisinin sertifika hizmet sağlayıcısı tarafından veya sertifika talep eden kişi tarafından sertifika hizmet sağlayıcısına ait yerlerde üretilmesi durumunda bu işlemin gizliliğini sağlamak veya sertifika hizmet sağlayıcısının sağladığı araçlarla üretilmesi durumunda, bu işleyişin güvenliğini sağlamakla,

Sertifikanın kullanımına ilişkin özelliklerin ve uyuşmazlıkların çözüm yolları ile ilgili şartların ve kanunlarda öngörülen sınırlamalar saklı kalmak üzere güvenli elektronik imzanın elle atılan imza ile eşdeğer olduğu hakkında sertifika talep eden kişiyi sertifikanın tesliminden önce yazılı olarak bilgilendirmekle,

Sertifikada bulunan imza doğrulama verisine karşılık gelen imza oluşturma verisini başkasına kullandırmaması konusunda, sertifika sahibini yazılı olarak uyarmak ve bilgilendirmekle,

Yaptığı hizmetlere ilişkin tüm kayıtları yönetmelikle belirlenen süreyle saklamakla,

Faaliyetine son vereceği tarihten en az üç ay önce durumu Bilgi Teknolojileri ve İletişim Kurumuna ve elektronik sertifika sahibine bildirmekle yükümlüdür. ESHS'lerin faaliyete geçebilmesi için güvenli ürün ve sistemleri kullanmak, hizmeti güvenilir bir biçimde yürütmek, sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri almakla ilgili şartları sağladığını göstermesi gerekir. ESHS'ler, üretilen imza oluşturma verisinin bir kopyasını alamaz veya bu veriyi saklayamaz.

8. Türkiye'deki ESHS yapısı nasıldır?

Kanun gereği, Türkiye'de elektronik imzanın hukuki ve teknik yönleri ile uygulanmasına ilişkin usul ve esasları düzenleme ve ESHS'lerin faaliyetlerini denetleme görevi Bilgi Teknolojileri ve İletişim Kurumu'na (BTK) verilmiştir. Kurum, gerekli gördüğü zamanlarda ESHS'leri denetleyebilir. Kanundaki şartları yerine getiren gerçek veya özel hukuk tüzel kişileri, TK denetimi sonrası ESHS olarak faaliyete geçebilir. İlgili Başbakanlık genelgesi gereği kamu kurum ve kuruluşları için TÜBİTAK'a bağlı bir sertifikasyon merkezi oluşturulmuştur. Kamu kapsamının dışında kalan sertifika başvuru sahiplerine yönelik olarak, TK denetiminden geçmiş yetkili ESHS'ler elektronik sertifika hizmetleri verirler.

9. Sertifikalar ne kadar süreyle kullanılır? Neden?

Elektronik sertifikaların geçerlilik süreleri güvenlik nedeniyle sınırlandırılmıştır. Geçerlilik süresi sonunda, sertifika sahiplerinin elektronik sertifika kullanımına devam etmek istemeleri halinde sertifikalarını ESHS'lerin bildirecekleri yöntemler uyarınca yenilemeleri gerekir. Nitelikli elektronik sertifikalar için genel olarak 1 (bir), 2 (iki) veya 3 (üç) yıllık geçerlilik süreleri kullanılır.

10. Sunucu (SSL) Sertifikası nedir? Ne sağlar, nelerde kullanılır?

Sunucu (SSL) sertifikaları, İnternet ve her türlü ağ üzerinde istemci bağlantılarını karşılayan sunucuların, bağlanan kullanıcılar tarafından doğrulanması amacıyla kullanılır. Eğer sunucuya bağlanan kullanıcı da elektronik sertifika sahibiyse, sunucu bağlantısı sırasında kullanıcının da kimliğinin doğrulanması mümkündür. Bu tür bir bağlantı sırasında istemci ve sunucu arasında güvenli bir iletişim kanalı oluşturulur ve gönderilip alınan bilgiler şifrelenerek transfer edilir. Sunucu (SSL) sertifikaları, özellikle İnternet üzerinde hizmet veren web sunucularının bağlantı güvenliğinin sağlanması amacıyla kullanılır. Bankacılık, e-ticaret ve e-devlet uygulamaları sunucu (SSL) sertifikalarının sık kullanıldığı alanlardır.

11. Kök sertifika ne demektir?

Bir ESHS'nin, başvuru sahiplerine yönelik olarak sertifika üretebilmesini sağlayan, ürettiği nitelikli elektronik sertifikalar ve sunucu sertifikaları gibi sertifikaları imzalamakta kullandığı imza oluşturma verisine karşılık gelen imza doğrulama verisiyle ESHS'nin kurumsal kimliği arasında bağ kuran, yine ESHS'nin kendi imza oluşturma verisiyle imzalanmış sertifikasına kök sertifika adı verilir. 5070 sayılı Elektronik İmza Kanunu uyarınca BTK tarafından yayımlanan "Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik" gereği, ESHS faaliyete geçmesini müteakip yedi (7) gün içinde; kök sertifikasının sertifika özet değerini ve özetleme algoritmasını kendi İnternet sayfasında yayımlar, ulusal yayın yapan en yüksek tirajlı üç (3) gazetede ilan vermek suretiyle kamuoyuna duyurur ve gazete ilanlarının bir örneğini BTK'ya iletir.

12. Elektronik sertifikaların içeriğinde hangi bilgiler vardır?

Elektronik sertifikalarda temel olarak aşağıdaki alanlar bulunur:
Sertifika sahibi bilgileri (isim, şirket, çalışılan birim, yer, ülke, e-posta vb.)
Sunucu sertifikalarında sunucu bilgileri (alan adı, sunucu adı, şirket adı vb.)
Ülke adı TR (Türkiye) olmak üzere ESHS bilgileri
Sertifika geçerlilik süresinin başlangıç ve bitiş zamanı
Kullanılan elektronik imza oluşturma algoritmaları
Sertifika sahibi imza doğrulama verisi
Sertifika seri numarası
ESHS'nin imzası

Nitelikli elektronik sertifikalarda, Kanun gereği aşağıdaki bilgiler de yer alır:

Sertifikanın "nitelikli elektronik sertifika" olduğuna dair bir ibare
Sertifika sahibi diğer bir kişi adına hareket ediyorsa bu yetkisine ilişkin bilgi,
Sertifika sahibi talep ederse meslekî veya diğer kişisel bilgileri,
Varsa sertifikanın kullanım şartları ve sertifika kullanımına yönelik maddi işlem sınırı.

13. Elektronik imza oluşturma ve doğrulama araçları nedir? Özellikleri ne olmalıdır?

5070 sayılı Elektronik İmza Kanunu gereği güvenli elektronik imza oluşturma araçları;

Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmamasını,
Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiçbir biçimde çıkarılamamasını ve gizliliğini,
Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin, üçüncü kişilerce elde edilememesini, kullanılamamasını ve elektronik imzanın sahteciliğe karşı korunmasını,
İmzalanacak verinin imza sahibi dışında değiştirilememesini ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesini,
sağlayan imza oluşturma araçlarıdır.
Güvenli elektronik imza doğrulama araçları ise;
İmzanın doğrulanması için kullanılan verileri, değiştirmeksizin doğrulama yapan kişiye gösteren,
İmza doğrulama işlemini güvenilir ve kesin bir biçimde çalıştıran ve doğrulama sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren,
Gerektiğinde, imzalanmış verinin güvenilir bir biçimde gösterilmesini sağlayan,
İmzanın doğrulanması için kullanılan elektronik sertifikanın doğruluğunu ve geçerliliğini güvenilir bir biçimde tespit ederek sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren,
İmza sahibinin kimliğini değiştirmeksizin doğrulama yapan kişiye gösteren,
İmzanın doğrulanması ile ilgili şartlara etki edecek değişikliklerin tespit edilebilmesini sağlayan,
imza doğrulama araçlarıdır.

14. Sertifika iptali, askıya alma, sertifika yenileme, anahtar yenileme nedir? Nasıl yapılır?

Sertifikanın kullanım süresi içinde geçerliliğini kaybetmesi durumunda sertifika iptal edilir. Aşağıda yer alan koşullar sertifikanın iptalini gerektirir:

ertifika sahibinin talebi,
Nitelikli elektronik sertifikaya ilişkin ESHS'de bulunan bilgilerin sahteliğinin veya yanlışlığının ortaya çıkması,
Sertifika içeriğinde yer alan sertifika sahibi bilgilerinde bir değişiklik olması,
Sertifika sahibinin fiil ehliyetinin sınırlandığının, iflasının veya gaipliğinin ya da ölümünün öğrenilmesi,
İmza oluşturma verisinin kaybedilmesi, çalınması, ortaya çıkması veya üçüncü kişilerin erişimi ve kullanımı tehlikesinin oluşması,
İmza oluşturma verisinin içinde bulunduğu güvenli elektronik imza oluşturma aracının kaybolması, bozulması veya güvenilirliğini kaybetmesi,
Sertifikanın, Sİ ve SUE kitapçıkları ile ESHS Sertifika Sahibi Sözleşmesi hükümlerine aykırı olarak kullanıldığının anlaşılması,
ESHS'nin sertifika hizmetleri vermeyi durdurması.

ESHS, elektronik sertifikaların iptal edildiği zamanın tam olarak tespit edilmesine imkan veren ve üçüncü kişilerin hızlı ve güvenli bir biçimde ulaşabileceği bir kayıt oluşturur. Bir sertifika iptal talebinin kaynağının doğrulanamadığı durumlarda doğrulama işlemi sonuçlanıncaya kadar, ya da son kullanıcı tarafından iptali gerektiren bir durumun olup olmadığından emin olunamadığı zamanlarda gelen talep üzerine, iptal işlemi yapmak yerine ilgili sertifikalar askıya alınır. Askı süresince sertifika üçüncü taraflar tarafından doğrulanamaz durumdadır. Kişisel kullanım amaçlı elektronik sertifikaların, geçerlilik sürelerinin sonunda kullanımına devam edilebilmesi için yenilenmesi gerekir. Sertifika yenileme, sertifikanın süresinin sonunda sertifika bilgilerinde bir değişiklik olmadığı durumlarda yapılır. Sertifika yenileme işlemi sırasında, sertifika sahibinin imza oluşturma ve imza doğrulama veri çifti de yenilenebilir.

15. Konuyla ilgili hukuksal dayanak nedir?

Elektronik imzanın Türkiye'de uygulanmasıyla ilgili hukuki dayanak, "5070 sayılı Elektronik İmza Kanunu" ile TK tarafından yayımlanmış olan "Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik" ve "Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ" dir.

16. Yabancı Sertifikalara güvenilebilir mi?

Kanun gereği, yabancı bir ülkede kurulu bir ESHS tarafından verilen elektronik sertifikaların hukukî sonuçları milletlerarası anlaşmalarla belirlenir. Yabancı bir ülkede kurulu bir ESHS tarafından verilen elektronik sertifikaların, Türkiye'de kurulu bir ESHS tarafından kabul edilmesi durumunda, bu elektronik sertifikalar nitelikli elektronik sertifika sayılır. Bu elektronik sertifikaların kullanılması sonucunda doğacak zararlardan, Türkiye'deki ESHS de sorumludur.

17. Elektronik sertifikalar ne tür yazılımlar ile kullanılabilir?

Elektronik sertifikaların bilgisayar sistemlerine tanıtılması ve elektronik imzalı metinlerin imza doğrulaması için çeşitli istemci yazılımları kullanılabilir. Bu yazılımlar uygulamaya özel geliştirilebileceği gibi, bu işlevi yerine getiren paket programlar da bulunabilir. Pek çok e-posta programı ve İnternet tarayıcısı da elektronik sertifika kullanım özelliklerine sahiptir.

18. Sertifika İlkeleri ve Sertifika Uygulama Esasları nedir? Ne amaçla kullanılır?

Sertifika İlkeleri, sertifika başvurularının alınması, sertifika üretimi ve yönetimi, sertifika yenileme ve iptal işlemleriyle ilgili tüm idari, teknik ve yasal gereklilikleri ortaya koyar; ESHS'nin, sertifika sahibinin ve üçüncü tarafların uygulama sorumluluklarını belirler. Sertifika Uygulama Esasları ise, Sertifika İlkeleri'nde belirlenen gerekliliklere ESHS, sertifika sahipleri ve üçüncü tarafların nasıl uyduğunu, bu gerekliliklerin nasıl hayata geçirildiğini açıklar. ESHS'ler, bağlı bulundukları Sertifika İlkeleri'nin koşullarını, Sertifika Uygulama Esasları uyarınca yürüttükleri işletme faaliyetleriyle sağlar.