Page 96 - bilgem-teknoloji-dergisi-11
P. 96
Elektronik İmza BILGEM
TEKNOLOJI
e-İmza Uygulamanız,
Sertifika ve zaman damgası
geçerlilik kontrollerini yerine geti-
rebiliyor mu?
Geçersiz imzalı bir dosyayı ya-
kalama kabiliyetine sahip mi?
Uzun dönemli saklama için ar-
şivleme senaryolarının tamamını
sağlıyor mu?
Elektronik imza hakkında tüm bu
ve benzeri sorularınızın cevabını
e-İmza Test Suit Portalında bula-
bilirsiniz.
Siz de e-imza uygulamanızın
Elektronik imza uygulamalarının, imzalama işlemi İmza Doğrulama Test Suiti imza oluşturma, doğrulama ve
öncesi imzacı sertifikası ve zincirdeki tüm sertifika- İmza doğrulama test suiti, Avrupa Telekomüni- arşivleme bileşenlerinin standartlara uygun ça-
ların geçerlilik kontrollerini yapması gerekmektedir. kasyon Standartları Enstitüsü (ETSI) tarafından e-İmza Test Suit Portalı lışıp çalışmadığını merak ediyorsanız Test Suit
tanımlanan CAdES [1], XAdES [2] ve PAdES [3] Test Suit Portalı, e-imza teknolojileri farkındalığının Portalına şu adresten erişerek testlerinizi ger-
İptal ve geçerlilik süresi gibi sertifika doğrulama imza formatları ve bu formatların alt tiplerinde artırılması, uyum değerlendirme hizmeti öncesi test çekleştirebilirsiniz:
kontrollerini yerine getirmeyen uygulamalar, ya- imzalı dosyaları barındırmaktadır (Şekil 3). İmzalı prosedürlerinin incelenmesi ve uygulamaların test- https://yazilim.kamusm.gov.tr/eit-wiki/doku.php
sal olarak geçersiz imza oluşturulmasına sebe- dosyalar; sertifika doğrulama, zaman damgası ve lere hazır hale gelmesini sağlamak amacıyla oluş-
biyet verecektir. imza tipine özgü geliştirilmiş senaryoları kapsa- turulmuştur. Uyum değerlendirme kapsamındaki Kaynakça
maktadır. uygulamaların yanı sıra diğer elektronik imza uygu- [1] ETSI TS 101 733, Electronic Signatures and Infrastructures
Zaman damgası (ZD), bir elektronik verinin; üretil- lamalarının da bu test ortamından faydalanması ve (ESI); CMS Advanced Electronic Signatures (CAdES) (2009).
diği, değiştirildiği, gönderildiği, alındığı ve/veya kay- Test suit kapsamında 1182 adet imzalı dosya bu- ortak çalışabilirliğin tüm elektronik imza uygulama- [2] ETSI TS 101 903, Electronic Signatures and Infrastructures
dedildiği zamanın tespit edilmesi amacıyla, ESHS lunmaktadır. Test edilecek uygulamanın destek- larına yayılması hedeflenmektedir. (ESI); XML Advanced Electronic Signatures (XAdES) (2010).
tarafından elektronik imzayla doğrulanan kaydı ifa- lediği imza formatlarına göre ilgili dosyalar kulla- [3] ETSI TS 102 778, Electronic Signatures and Infrastructures
de eder. Zaman bilgisinin ispatı için kullanılır. nılarak detaylı değerlendirme yapılmaktadır. (ESI); PDF Advanced Electronic Signatures (PAdES) (2009).
İmzaya eklenen ve imza zamanını belirten zaman Güvenli elektronik imza uygulamalarının, imza
damgası, uzun dönemli imzalar için bulunması doğrulama test suiti içerisinde yer alan imzalı
zorunlu bir bileşendir. Bu sebeple zaman damgalı dosyaları standartlara uygun şekilde doğrulama-
imza oluşturan uygulamaların, imzalama işlemi sı gerekmektedir.
sırasında zaman damgası geçerlilik kontrollerini
yapması gerekmektedir. İmza Arşivleme Test Suiti
İmza arşivleme test suiti, arşivleme ihtiyacı ge-
Güvenilir elektronik imzanın oluşturulması için rektirecek senaryoları kapsayan imzalı dosyaları
sertifika ve zaman damgası kontrolleri kritik öne- içermektedir (Şekil 4).
me sahiptir. Elektronik imza uygulamalarının bu
kontrolleri eksiksiz bir şekilde yerine getiriyor ol- Arşivleme, sertifika makamına ait sertifikaların
ması gerekmektedir. geçerlilik süresinin sonuna yaklaşılması, sertifi-
kaların iptal olması, kullanılan algoritmaların ge-
çerliliğini yitirmesi veya kök sertifikasının güven-
siz hale gelmesi durumlarında yapılan, zayıflayan
imzaya imzadaki tüm eklentileri kapsayacak şe-
kilde bir zaman damgası eklenmesidir. Eklenen bu
zaman damgası, arşiv zaman damgasıdır.
Elektronik imzalı dosyaların uzun dönemli ve krip-
tografik ataklara karşı dayanıklı bir şekilde sakla-
nabilmesi için elektronik imza uygulamalarında
gerekli arşivleme altyapısı sağlanmalıdır.
94 95