Page 57 - bilgem-teknoloji-dergisi-6
P. 57
Ersin GÜLAÇTI Elektronik İmza: E-İmza Standartları ve İlgili Mevzuat
1.Giriş firma ve kurumlar da, fiili standarda uyumlu ürün ve hizmetler IETF (Internet Engineering Task Force: üreticisi 14 üye ülkenin akredite olmuş Elektronik İmza Kanunu, Bilgi
sunarak, standardın daha yaygın ve güçlü hale gelmesine neden Internet Mühendisliği Görev Gücü): laboratuarlarından alınabilir. CC Teknolojileri ve İletişim Kurumu’na (BTK)
E-imza, elektronik ortamda kimlik doğrulama ve onay verme olurlar. Fiili standartlar genelde kamuya açık olarak yayınlanırlar. 1986’da ABD’de devlet tarafından sertifikasının seviyesi EAL (Evaulation elektronik imza kanununun uygulanması
amacıyla kullanılan en güvenli ve en yaygın teknik araçtır. Bu desteklenen araştırmacıların bir araya Assurance Level: Değerlendirme Güvence ile ilgili usul ve esaslar hakkında
nedenle, dünyanın birçok ülkesinde e-imzanın elektronik Internet standartları genellikle IETF (Internet Engineering gelmesiyle çalışmaları başlayan bir Seviyesi) ile ifade edilir (1-7 arasında). yönetmelik hazırlanması görevini vermiştir.
ortamdaki iş süreçlerinde kullanımı, kanunlarla ve ilgili ikincil Task Force: Internet Mühendisliği Görev Gücü) ve W3C (World kuruluştur. 1992’de kurulan Internet Yine 5070 sayılı kanun BTK’ya Sertifika
mevzuatla (yönetmelik, genelge, tebliğ vb) düzenlenmiştir. E- Wide Web Consortium: Dünya Çapında Ağ Birliği) kuruluşları Toplumu (Internet Society) kuruluşu FIPS (Federal Information Processing Mali Sorumluluk Sigortası Yönetmeliği
imza, hukuk ve teknolojinin kesiştiği bir alanda yer aldığı için tarafından oluşturulan ve internet ortamında kullanılan şemsiyesi altında uluslararası hale gelmiştir. Standards: Federal Bilgi İşleme hazırlanması görevini de vermiştir.
konuyla ilgili ikincil mevzuat yoğun bir şekilde teknik protokolleri ve veri biçimlerini tanımlayan standartlardır. Internet ve bilişimle ilgili RFC (Request Standartları): ABD NIST (National
standartlara atıfta bulunmaktadır. Internet standartları, konuyla ilgili herkesin katılabileceği For Comments) adı verilen belgeleri Institute of Standards and Technology: BTK tarafından hazırlanan “Elektronik
süreçlerden geçerek hazırlanır ve kamuya açık olarak yayınlanır. oluşturan ve bir süreç sonunda bu Ulusal Standart ve Teknoloji Enstitüsü) İmza Kanununun Uygulanması İle İlgili
E-imza ve ilgili teknolojilerin yaygın kullanıma girmesi, kurumu tarafından bilgisayar sistemlerinde Usul ve Esaslar Hakkında Yönetmelik”teki
1990’ların ikinci yarısında başlamış ve uluslararası standartların Standardizasyon kuruluşlarının hazırladığı standartlar belirli belgelerden bazılarını internet standardı kullanılmak üzere geliştirilen ve yayınlanan 34ncü madde gereğince yine BTK
yazılması bu gelişmeye paralel olarak gerçekleşmiştir. Standart bir alanda uzmanlaşmış, üyelik esasına göre çalışan uluslararası olarak yayınlayan kuruluştur. IETF altında standartlardır. ABD tarafından tarafından “Elektronik İmza ile İlgili
hazırlayan kurum ve kuruluşlar tarafından yürütülen birçok e- kurumlar veya ulusal standart oluşturma kurumları tarafından çalışma gruplarından PKIX (Public Key yayınlanmasına rağmen uluslararası kabul Süreçlere İlişkin Tebliğ” yayınlanmıştır.
imza standardizasyon çalışması bulunmaktadır. Standartlarla hazırlanır. Örneğin ISO (International Organization for Infrastructure X.509: Açık Anahtar görmüştür. Yönetmelik’te yer alan 35nci madde
ilgili bölümde, bu çalışmalar hakkında bilgi verilmektedir. Standardization: Uluslararası Standardizasyon Kuruluşu), ITU Altyapısı X.509) elektronik sertifika ve e- Yönetmelikte hüküm bulunmayan
(International Telecommunication Union: Uluslararası imza konusundaki standartları hazırlar. E-imza ile ilgili en önemli fiili durumlar için, Kurul Kararı ile düzenleme
Dünyada e-imzanın hukuki düzenlemeleri konusunda, iki Telekomünikasyon Birliği), ANSI (American National standartların bazıları aşağıda belirtilen
temel yaklaşım bulunduğu söylenebilir: serbest ve sıkı düzenleme Standardization Organization) bu tür kuruluşlardır. Bu şekilde ETSI (European Telecommunications kurumlarca oluşturulur. yapılabileceğini belirtmektedir.
yaklaşımı. Birincil mevzuat olan kanunlarda, genellikle e- hazırlanan standartların bazıları (örneğin ISO standartları) Standards Institute: Avrupa Bu durumda Türkiye’deki e-imza
imzanın teknik yönü ile ilgili bağlayıcı bir teknolojik tanım ancak ücret karşılığı elde edilebilir ve kamuya açık olarak Telekomünikasyon Standartları Enstitüsü): PKCS (Public Key Cryptography mevzuatı aşağıdaki şekilde oluşmaktadır
bulunmamaktadır. Ancak ikincil mevzuatta, ülkenin e-imza yayınlanmaz. Ağırlıklı olarak Avrupa ülkeleri ve Standards: Açık Anahtarlı Kriptografi (aşağıdaki mevzuat Resmi Gazete’de
uygulaması ile ilgili teknik ve standartlara bağlantı kuruluşlarının üye olduğu, bağımsız ve Standartları): RSA firması tarafından belirtilen tarihte yayınlanmıştır):
kurulmaktadır. Hukuki düzenlemeleri serbest yaklaşımda Çoğu zaman standartlar ihtiyaçlardan dolayı ortaya çıkarlar kar amacı gütmeyen bir standardizasyon oluşturulan ve yayınlanan, açık anahtarlı
gerçekleştiren ülkeler, ikincil mevzuatta daha esnek kurallar ancak her zaman ihtiyaçları karşılamakta yeterli olmayabilirler. kuruluşudur. 1988’de kurulan ETSI’nin algoritmaların kullanımıyla ilgili • 5070 Sayılı Elektronik İmza Kanunu
getirmektedir, örneğin e-imza araçlarının mutlaka donanım Özellikle çok sayıda uzmanın ve üye kuruluşun/ülkenin dahil yayınladığı GSM ve TETRA standartları standartlardır. Fiili olarak e-imza dünyasını (23.01.2004 tarihli)
olması zorunluluğu yoktur. Hukuki düzenlemeleri sıkı olduğu standart oluşturma çalışmaları yavaş ilerler. Bunun tüm dünyada yaygın kullanım alanı yönlendiren standartlardır.
yaklaşımda gerçekleştiren ülkeler ise, e-imza ile ilgili teknik başlıca nedeni, çalışmaya katılan her üyenin, hazırlanmakta bulmuştur. E-imza ile ilgili olarak da IETF • Elektronik İmza Kanununun
kriterleri, güvenlik ve karşılıklı çalışabilirlik gerekçeleriyle çok olan standardı, kendi amacına ve çıkarına en uygun duruma grubu tarafından yayımlanan temel PCSC (Personal Computer SmartCard Uygulanmasına İlişkin Usul ve Esaslar
daha ayrıntılı belirlemişlerdir. getirme çabasıdır. Bu nedenle bazen çalışmalar yıllar boyunca standartları geliştiren ve kullanım alanını Workgroup: Kişisel Bilgisayar Akıllı Kart Hakkında Yönetmelik (06.01.2005)
sürebilir veya standart yetersiz bir içerikle yayınlanabilir. genişleten çalışmalar ETSI ESI (Electronic Çalışma Grubu): Microsoft, Oracle, • Elektronik İmza ile İlgili Süreçlere ve
Yazının e-imza mevzuatı ile ilgili bölümünde, Türkiye’deki Signatures and Infrastructures: Elektronik Gemalto ve Oracle firmalarının
ve Avrupa Birliği’ndeki mevzuat ile ilgili bilgiler verilmektedir. Fiili standartların ihtiyaçları karşılama açısından üstünlüğü İmzalar ve Altyapılar) teknik komitesi önderliğine bilişim endüstrisinde akıllı Teknik Kriterlere İlişkin Tebliğ
bulunmaktadır. Fiili standartlar genellikle bir kurumun kendi tarafından hazırlanmıştır. kart ve kart okuyucuların standartlaşması (06.01.2005)
2. Standartların Gelişimi ticari ürün ve hizmetleri ile ilgili olarak oluşturduğu için çalışan bir gruptur. Kişisel • Sertifika Mali Sorumluluk Sigortası
çalışmalardır. Bu nedenle belirli bir hedefe odaklı ve bütünlük CEN (Comite Europeen de bilgisayarların işletim sistemleri tarafından
E-imza standartlarını incelemeye başlamadan önce, genel içeren standart tanımları üretmekte daha iyi sonuç verirler. Bu Normalisation: Avrupa Standardizasyon kullanılan PCSC standardını oluşturan ve Yönetmeliği (26.08.2004)
olarak standartların nasıl hazırlandığını ve bu konuda hangi standartlar da, genellikle bir süre sonra internet standardı Komitesi): 1961’de kurulan ve 30 üye yayınlayan önemli bir uluslararası Sertifika Mali Sorumluluk Sigortası
kurum ve kuruluşların rol aldığını bilmek yararlı olacaktır. olarak, uluslararası bir çalışma grubu tarafından yayınlanırlar ülkenin katılımıyla çalışmalarını yürüten organizasyondur. Yönetmeliği’ni tamamlayıcı nitelikte olan
Standartları en genel anlamda ulusal ve uluslararası olarak (örneğin IETF tarafından). bir kuruluştur. Avrupa Komisyonu aşağıda düzenlemeler de, Hazine
sınıflandırmak mümkündür. Günümüzde uluslararası tarafından başlatılan EESSI (European 3. E-İmza Mevzuatı Müsteşarlığı tarafından hazırlanmış ve
standartların önemi çok artmıştır. Ürün ve hizmetlerin tüm E-imza ile ilgili çok çeşitli standartlar bulunmaktadır. Bunlar Electronic Signature Standardization belirtilen tarihlerde Resmi Gazete’de
dünyada pazarlanabilecek şekilde geliştirilmesinin en önemli dördüncü bölümde ayrıntılı olarak görülebilir. Bu standartların Initiative: Avrupa Elektronik İmza Türk hukuk sisteminde kanuni yayınlanmıştır.
koşulu, uluslararası standartlara uyumdur. bir bölümü aşağıda belirtilen uluslararası kuruluşların alt Standardizasyonu Girişimi) kapsamında düzenlemeler yukarıdan aşağıya doğru şu
çalışma grupları tarafından hazırlanır. düzenlenen çalıştaylara öncülük etmiş ve şekilde sıralanırlar: taraf olunan • Zorunlu Sertifika Mali Sorumluluk
Bilişim dünyasında geçerli olan uluslararası standartları CWA (CEN Workshop Agreement: CEN uluslararası anlaşmalarla yapılan Sigortası Genel Şartları (27.01.2005)
aşağıdaki şekilde sınıflandırmak mümkündür: ITU (International Telecommunication Union: Uluslararası Çalıştay Anlaşması) adı verilen düzenlemeler, anayasa, kanun, kanun
Telekomünikasyon Birliği) : 1865’de kurulan birlik, 1947’de hükmünde kararname, tüzük, bakanlar • Sertifika Mali Sorumluluk Sigortası
• Fiili (de facto) standartlar Birleşmiş Milletlere bağlı bir kuruluş haline gelmiştir. 192 üye standartların oluşturulmasını sağlamıştır. kurulu kararları, yönetmelik, yönerge, usul Tarife ve Talimatı (27.01.2005)
• Internet standartları ülke ve 700 üye kuruluşu bünyesinde barındırır. X.500-530 CC (Common Criteria: Ortak Kriterler): ve esaslar, genelge, tebliğ, tamim, talimat. Bu hukuki düzenlemelere ek olarak,
Dizin standartları, X.680-699 ASN (Abstract Syntax Notation: ISO tarafından yayınlanan 15408 numaralı Bu normlar hiyerarşisinde elektronik imza
• Standardizasyon kuruluşlarının hazırladığı standartlar Soyut Sözdizimi Biçimi) standartları gibi çok sayıda bilişim standarttır. Bilgi güvenliği ürünleri ve ile ilgili düzenleme yapmak için ilk olarak kamu kurumlarının elektronik sertifika
standardını hazırlayan kuruluştur. E-imza açısından en önemli sistemlerinin güvenlik testleri ve 2004 yılında 5070 sayılı Elektronik İmza temini yöntemlerini tanımlayan iki
Fiili standartlar genellikle patent sahibi veya tekel konumunda standart olan X.509 Açık Anahtar ve Nitelik Sertifikaları sertifikasyonu için kullanılır. CC sertifikası Başbakanlık Genelgesi yayınlanmıştır.
olan özel şirketler tarafından geliştirilir. İlgili sektördeki diğer Kanunu kabul edilmiştir.
standardının ilk sürümünü 1988 yılında yayınlamıştır. Türkiye’nin de aralarında olduğu sertifika
54 Sayı 06 Mayıs-Ağustos 2011 http://www.bilgem.tubitak.gov.tr/ 55
·