Ersin GÜLAÇTI  Elektronik İmza: E-İmza Standartları ve İlgili Mevzuat

 1.Giriş  firma ve kurumlar da, fiili standarda uyumlu ürün ve hizmetler  IETF (Internet Engineering Task Force:  üreticisi 14 üye ülkenin akredite olmuş  Elektronik İmza Kanunu, Bilgi
 sunarak, standardın daha yaygın ve güçlü hale gelmesine neden  Internet Mühendisliği Görev Gücü):  laboratuarlarından alınabilir. CC  Teknolojileri ve İletişim Kurumu’na (BTK)
 E-imza, elektronik ortamda kimlik doğrulama ve onay verme  olurlar. Fiili standartlar genelde kamuya açık olarak yayınlanırlar.  1986’da ABD’de devlet tarafından  sertifikasının seviyesi EAL (Evaulation  elektronik imza kanununun uygulanması
 amacıyla kullanılan en güvenli ve en yaygın teknik araçtır. Bu  desteklenen araştırmacıların bir araya  Assurance Level: Değerlendirme Güvence  ile ilgili usul ve esaslar hakkında
 nedenle, dünyanın birçok ülkesinde e-imzanın elektronik  Internet standartları genellikle IETF (Internet Engineering  gelmesiyle çalışmaları başlayan bir  Seviyesi) ile ifade edilir (1-7 arasında).  yönetmelik hazırlanması görevini vermiştir.
 ortamdaki iş süreçlerinde kullanımı, kanunlarla ve ilgili ikincil  Task Force: Internet Mühendisliği Görev Gücü) ve W3C (World  kuruluştur. 1992’de kurulan Internet  Yine 5070 sayılı kanun BTK’ya Sertifika
 mevzuatla (yönetmelik, genelge, tebliğ vb) düzenlenmiştir. E-  Wide Web Consortium: Dünya Çapında Ağ Birliği) kuruluşları  Toplumu (Internet Society) kuruluşu  FIPS (Federal Information Processing  Mali Sorumluluk Sigortası Yönetmeliği
 imza, hukuk ve teknolojinin kesiştiği bir alanda yer aldığı için  tarafından oluşturulan ve internet ortamında kullanılan  şemsiyesi altında uluslararası hale gelmiştir.  Standards: Federal Bilgi İşleme  hazırlanması görevini de vermiştir.
 konuyla ilgili ikincil mevzuat yoğun bir şekilde teknik  protokolleri ve veri biçimlerini tanımlayan standartlardır.  Internet ve bilişimle ilgili RFC (Request  Standartları): ABD NIST (National
 standartlara atıfta bulunmaktadır.  Internet standartları, konuyla ilgili herkesin katılabileceği  For Comments) adı verilen belgeleri  Institute of Standards and Technology:  BTK tarafından hazırlanan “Elektronik
 süreçlerden geçerek hazırlanır ve kamuya açık olarak yayınlanır.  oluşturan ve bir süreç sonunda bu  Ulusal Standart ve Teknoloji Enstitüsü)  İmza Kanununun Uygulanması İle İlgili
 E-imza ve ilgili teknolojilerin yaygın kullanıma girmesi,  kurumu tarafından bilgisayar sistemlerinde  Usul ve Esaslar Hakkında Yönetmelik”teki
 1990’ların ikinci yarısında başlamış ve uluslararası standartların  Standardizasyon kuruluşlarının hazırladığı standartlar belirli  belgelerden bazılarını internet standardı  kullanılmak üzere geliştirilen ve yayınlanan  34ncü madde gereğince yine BTK
 yazılması bu gelişmeye paralel olarak gerçekleşmiştir. Standart  bir alanda uzmanlaşmış, üyelik esasına göre çalışan uluslararası  olarak yayınlayan kuruluştur. IETF altında  standartlardır. ABD tarafından  tarafından “Elektronik İmza ile İlgili
 hazırlayan kurum ve kuruluşlar tarafından yürütülen birçok e-  kurumlar veya ulusal standart oluşturma kurumları tarafından  çalışma gruplarından PKIX (Public Key  yayınlanmasına rağmen uluslararası kabul  Süreçlere İlişkin Tebliğ” yayınlanmıştır.
 imza standardizasyon çalışması bulunmaktadır. Standartlarla  hazırlanır. Örneğin ISO (International Organization for  Infrastructure X.509: Açık Anahtar  görmüştür.  Yönetmelik’te yer alan 35nci madde
 ilgili bölümde, bu çalışmalar hakkında bilgi verilmektedir.  Standardization: Uluslararası Standardizasyon Kuruluşu), ITU  Altyapısı X.509) elektronik sertifika ve e-  Yönetmelikte hüküm bulunmayan
 (International Telecommunication Union: Uluslararası  imza konusundaki standartları hazırlar.  E-imza ile ilgili en önemli fiili  durumlar için, Kurul Kararı ile düzenleme
 Dünyada e-imzanın hukuki düzenlemeleri konusunda, iki  Telekomünikasyon Birliği), ANSI (American National  standartların bazıları aşağıda belirtilen
 temel yaklaşım bulunduğu söylenebilir: serbest ve sıkı düzenleme  Standardization Organization) bu tür kuruluşlardır. Bu şekilde  ETSI (European Telecommunications  kurumlarca oluşturulur.  yapılabileceğini belirtmektedir.
 yaklaşımı. Birincil mevzuat olan kanunlarda, genellikle e-  hazırlanan standartların bazıları (örneğin ISO standartları)  Standards Institute: Avrupa  Bu durumda Türkiye’deki e-imza
 imzanın teknik yönü ile ilgili bağlayıcı bir teknolojik tanım  ancak ücret karşılığı elde edilebilir ve kamuya açık olarak  Telekomünikasyon Standartları Enstitüsü):  PKCS (Public Key Cryptography  mevzuatı aşağıdaki şekilde oluşmaktadır
 bulunmamaktadır. Ancak ikincil mevzuatta, ülkenin e-imza  yayınlanmaz.  Ağırlıklı olarak Avrupa ülkeleri ve  Standards: Açık Anahtarlı Kriptografi  (aşağıdaki mevzuat Resmi Gazete’de
 uygulaması ile ilgili teknik ve standartlara bağlantı  kuruluşlarının üye olduğu, bağımsız ve  Standartları): RSA firması tarafından  belirtilen tarihte yayınlanmıştır):
 kurulmaktadır. Hukuki düzenlemeleri serbest yaklaşımda  Çoğu zaman standartlar ihtiyaçlardan dolayı ortaya çıkarlar  kar amacı gütmeyen bir standardizasyon  oluşturulan ve yayınlanan, açık anahtarlı
 gerçekleştiren ülkeler, ikincil mevzuatta daha esnek kurallar  ancak her zaman ihtiyaçları karşılamakta yeterli olmayabilirler.  kuruluşudur. 1988’de kurulan ETSI’nin  algoritmaların kullanımıyla ilgili  •  5070 Sayılı Elektronik İmza Kanunu
 getirmektedir, örneğin e-imza araçlarının mutlaka donanım  Özellikle çok sayıda uzmanın ve üye kuruluşun/ülkenin dahil  yayınladığı GSM ve TETRA standartları  standartlardır. Fiili olarak e-imza dünyasını  (23.01.2004 tarihli)
 olması zorunluluğu yoktur. Hukuki düzenlemeleri sıkı  olduğu standart oluşturma çalışmaları yavaş ilerler. Bunun  tüm dünyada yaygın kullanım alanı  yönlendiren standartlardır.
 yaklaşımda gerçekleştiren ülkeler ise, e-imza ile ilgili teknik  başlıca nedeni, çalışmaya katılan her üyenin, hazırlanmakta  bulmuştur. E-imza ile ilgili olarak da IETF  •  Elektronik İmza Kanununun
 kriterleri, güvenlik ve karşılıklı çalışabilirlik gerekçeleriyle çok  olan standardı, kendi amacına ve çıkarına en uygun duruma  grubu tarafından yayımlanan temel  PCSC (Personal Computer SmartCard  Uygulanmasına İlişkin Usul ve Esaslar
 daha ayrıntılı belirlemişlerdir.  getirme çabasıdır. Bu nedenle bazen çalışmalar yıllar boyunca  standartları geliştiren ve kullanım alanını  Workgroup: Kişisel Bilgisayar Akıllı Kart  Hakkında Yönetmelik (06.01.2005)
 sürebilir veya standart yetersiz bir içerikle yayınlanabilir.  genişleten çalışmalar ETSI ESI (Electronic  Çalışma Grubu): Microsoft, Oracle,  •  Elektronik İmza ile İlgili Süreçlere ve
 Yazının e-imza mevzuatı ile ilgili bölümünde, Türkiye’deki  Signatures and Infrastructures: Elektronik  Gemalto ve Oracle firmalarının
 ve Avrupa Birliği’ndeki mevzuat ile ilgili bilgiler verilmektedir.  Fiili standartların ihtiyaçları karşılama açısından üstünlüğü  İmzalar ve Altyapılar) teknik komitesi  önderliğine bilişim endüstrisinde akıllı  Teknik Kriterlere İlişkin Tebliğ
 bulunmaktadır. Fiili standartlar genellikle bir kurumun kendi  tarafından hazırlanmıştır.  kart ve kart okuyucuların standartlaşması  (06.01.2005)
 2. Standartların Gelişimi  ticari ürün ve hizmetleri ile ilgili olarak oluşturduğu  için çalışan bir gruptur. Kişisel  •  Sertifika Mali Sorumluluk Sigortası
 çalışmalardır. Bu nedenle belirli bir hedefe odaklı ve bütünlük  CEN (Comite Europeen de  bilgisayarların işletim sistemleri tarafından
 E-imza standartlarını incelemeye başlamadan önce, genel  içeren standart tanımları üretmekte daha iyi sonuç verirler. Bu  Normalisation: Avrupa Standardizasyon  kullanılan PCSC standardını oluşturan ve  Yönetmeliği (26.08.2004)
 olarak standartların nasıl hazırlandığını ve bu konuda hangi  standartlar da, genellikle bir süre sonra internet standardı  Komitesi): 1961’de kurulan ve 30 üye  yayınlayan önemli bir uluslararası  Sertifika Mali Sorumluluk Sigortası
 kurum ve kuruluşların rol aldığını bilmek yararlı olacaktır.  olarak, uluslararası bir çalışma grubu tarafından yayınlanırlar  ülkenin katılımıyla çalışmalarını yürüten  organizasyondur.  Yönetmeliği’ni tamamlayıcı nitelikte olan
 Standartları en genel anlamda ulusal ve uluslararası olarak  (örneğin IETF tarafından).  bir kuruluştur. Avrupa Komisyonu  aşağıda düzenlemeler de, Hazine
 sınıflandırmak mümkündür. Günümüzde uluslararası  tarafından başlatılan EESSI (European  3. E-İmza Mevzuatı  Müsteşarlığı tarafından hazırlanmış ve
 standartların önemi çok artmıştır. Ürün ve hizmetlerin tüm  E-imza ile ilgili çok çeşitli standartlar bulunmaktadır. Bunlar  Electronic Signature Standardization  belirtilen tarihlerde Resmi Gazete’de
 dünyada pazarlanabilecek şekilde geliştirilmesinin en önemli  dördüncü bölümde ayrıntılı olarak görülebilir. Bu standartların  Initiative: Avrupa Elektronik İmza  Türk hukuk sisteminde kanuni  yayınlanmıştır.
 koşulu, uluslararası standartlara uyumdur.  bir bölümü aşağıda belirtilen uluslararası kuruluşların alt  Standardizasyonu Girişimi) kapsamında  düzenlemeler yukarıdan aşağıya doğru şu
 çalışma grupları tarafından hazırlanır.  düzenlenen çalıştaylara öncülük etmiş ve  şekilde sıralanırlar: taraf olunan  •  Zorunlu Sertifika Mali Sorumluluk
 Bilişim dünyasında geçerli olan uluslararası standartları  CWA (CEN Workshop Agreement: CEN  uluslararası anlaşmalarla yapılan  Sigortası Genel Şartları (27.01.2005)
 aşağıdaki şekilde sınıflandırmak mümkündür:  ITU (International Telecommunication Union: Uluslararası  Çalıştay Anlaşması) adı verilen  düzenlemeler, anayasa, kanun, kanun
 Telekomünikasyon Birliği) : 1865’de kurulan birlik, 1947’de  hükmünde kararname, tüzük, bakanlar  •  Sertifika Mali Sorumluluk Sigortası
 •  Fiili (de facto) standartlar  Birleşmiş Milletlere bağlı bir kuruluş haline gelmiştir. 192 üye  standartların oluşturulmasını sağlamıştır.  kurulu kararları, yönetmelik, yönerge, usul  Tarife ve Talimatı (27.01.2005)

 •  Internet standartları  ülke ve 700 üye kuruluşu bünyesinde barındırır. X.500-530  CC (Common Criteria: Ortak Kriterler):  ve esaslar, genelge, tebliğ, tamim, talimat.  Bu hukuki düzenlemelere ek olarak,
 Dizin standartları, X.680-699 ASN (Abstract Syntax Notation:  ISO tarafından yayınlanan 15408 numaralı  Bu normlar hiyerarşisinde elektronik imza
 •  Standardizasyon kuruluşlarının hazırladığı standartlar  Soyut Sözdizimi Biçimi) standartları gibi çok sayıda bilişim  standarttır. Bilgi güvenliği ürünleri ve  ile ilgili düzenleme yapmak için ilk olarak  kamu kurumlarının elektronik sertifika
 standardını hazırlayan kuruluştur. E-imza açısından en önemli  sistemlerinin güvenlik testleri ve  2004 yılında 5070 sayılı Elektronik İmza  temini yöntemlerini tanımlayan iki
 Fiili standartlar genellikle patent sahibi veya tekel konumunda  standart olan X.509 Açık Anahtar ve Nitelik Sertifikaları  sertifikasyonu için kullanılır. CC sertifikası  Başbakanlık Genelgesi yayınlanmıştır.
 olan özel şirketler tarafından geliştirilir. İlgili sektördeki diğer  Kanunu kabul edilmiştir.
 standardının ilk sürümünü 1988 yılında yayınlamıştır.  Türkiye’nin de aralarında olduğu sertifika

 54  Sayı 06   Mayıs-Ağustos 2011  http://www.bilgem.tubitak.gov.tr/  55
 ·