Page 37 - bilgem-teknoloji-dergisi-7
P. 37
Ersin GÜLAÇTI Elektronik İmza: Kamu Sertifikasyon Merkezi
1. GİRİŞ • Elektronik imza konusunda özgürlükçü bir yaklaşım Tablo 1. Kamu sertifikasyon merkezi tarihçesi.
izlenmesi halinde birçok kamu kurumunun kendi
Türkiye Cumhuriyeti’nde elektronik imza ile ilgili en üst bünyesinde ESHS kurma çalışması başlatacağı ve çok sayıda Tarih Açıklama Tarih Açıklama Tarih Açıklama
düzey mevzuat 23 Ocak 2004 tarihli, 5070 sayılı Elektronik kamu ESHS’nin ortaya çıkacağı görülmüştü. Örneğin
İmza Kanunu’dur. Kanunun yürütülmesi ile ilgili olarak ABD’de eyaletler ve bakanlıklar seviyesinde çok sayıda ESHS 10.06.2004 E-Dönüşüm Türkiye İcra Kurulu 6. 01.05.2007 Kamu SM ilgili mevzuat gereği 21.01.2010 Kamu SM sürüm 3 kök sertifikası
sertifika talebi yapan kamu
Mozilla firmasının güvenilen kök
Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından bulunmaktadır ve bunlar arasında birlikte çalışabilirliğin toplantısında “Kamu Kurum ve personelinin doldurduğu başvuru sertifikalar listesine alındı. Firefox
Kuruluşları için Sertifikasyon
yayınlanan “Elektronik İmza Kanunu’nun Uygulanması İle sağlanması için köprü sertifikasyon makamı gibi oldukça Merkezi Oluşturulması” kararı formlarını internet sitesi üzerinden 3.6 ve sonrası sürümlerde kök
İlgili Usul ve Esaslar Hakkında Yönetmelik” en temel ikincil karışık teknolojilerin kullanılması gerekmektedir. alındı. almaya başladı. sertifikası otomatik olarak yer
mevzuattır. Bu yönetmelik elektronik imza için kullanılan almaya başladı.
Kamu SM, elektronik sertifika
elektronik sertifikaları üreten ve bu sertifikalarla ilgili • Bir ESHS’nin kurulması için yapılması gereken donanım, 06.09.2004 2004/21 sayılı “Kamu Sertifikasyon 24.07.2007 üretiminde Ortak Kriterler CC EAL
hizmetleri veren elektronik sertifika hizmet sağlayıcılarının yazılım, personel, danışmanlık-eğitim alımı ve fiziksel Merkezi Oluşturulması” hakkında 4+ belgelendirmesine hak kazanan 12.04.2010 Kamu SM Kök Sertifika Hizmet
(ESHS) kuruluş, başvuru, çalışma ve denetim usullerini altyapının hazırlanması gibi yatırımlar bulunmaktadır. En Başbakanlık Genelgesi yayınlandı. AKIS 1.0 kartlarını kullanmaya Sağlayıcısı sisteminde, Ortak
Kriterler CC EAL 4+
ayrıntılı olarak anlatır. küçük ölçekte çalışacak bir ESHS için bile bu yatırımın başladı.
maliyeti birkaç milyon TL’yi bulmaktadır. Ayrıca ESHS belgelendirmesine hak kazanan
Elektronik İmza Kanunu’nun yayınlanmasının ardından faaliyete geçtikten sonraki işletme maliyeti de ciddi bir gider 01.10.2004 TÜBİTAK UEKAE bünyesinde Kamu 24.08.2007 Kamu SM, ticari uygulamalarla ESYA 1.0 yazılımına yükseltme
çalışması yapıldı.
“Kamu kurumları elektronik imza hizmetlerinden oluşturmaktadır. Sertifikasyon Merkezi kurma uyum sağlamak için 2048 bit RSA
anahtarına sahip sürüm 3 kök
yararlanmak amacıyla çalışanları için elektronik sertifikaları çalışmaları başlatıldı. sertifikasını yayınladı.
nasıl temin edecekler?” sorusu gündeme gelmiştir. Kanunun • Bir kamu kurumu kendi iç işleyişinde ve muhatap 06.09.2010 UEKAE ve BTE enstitüleri yeni
kurulan TÜBİTAK BİLGEM’e
ve ilgili yönetmeliğin tanımladığı şekliyle elektronik sertifika olduğu kurumlarla iletişimde işlettiği ESHS’nin sunduğu 17.03.2005 Kamu Sertifikasyon Merkezi, 13.09.2007 Kamu SM, BTK tarafından bağlandı. Yeni organizasyon
hizmeti vermek için uluslararası standartlarda çalışan, hizmetlerden faydalanabilir. Ancak hukuki açıdan bir sorun “Kamu SM” markasını tescil ettirdi. hazırlanan yönetmeliğe uygun yapısında Kamu SM doğrudan
olarak işlettiği Bilgi Güvenliği
elektronik sertifika teknolojisine hakim ve bilgi çıktığında veya bir risk oluştuğunda kamu kurumu kendi Yönetim Sistemine, bağımsız dış TÜBİTAK BİLGEM Başkanlığına bağlı
teknolojilerinde yetkin personel kadrosuna ihtiyaç vardır. içindeki ESHS’nin faaliyetlerine müdahale etmekle itham 31.03.2005 Kamu SM, ESHS olmak için BTK’ya denetim kurumundan ISO 27001 bir birim oldu.
edilebilir. Böyle bir suçlamanın boşa çıkarılması için en iyi
Bunun yanı sıra bir ESHS tarafından bilgi güvenliği ve yol etkin bir denetim sistemi kurulması ve bunun resmi başvuru yaptı. sertifikasyonunu aldı.
fiziksel tesis güvenliğinin sağlanması da şarttır. Bütün bu işletilmesidir. Ancak 5070 sayılı kanunun ilk yayınlandığı 15.09.2010 T.C. Vatandaşlık Kartı projesi
Kamu SM, TÜBİTAK UZAY
şartları yerine getirecek ESHS’lerin kamu kurum ve haliyle, kamu kurumlarının kurduğu ve işlettiği ESHS’lerin 14.06.2005 Kamu SM, BTK tarafından 13.09.2007 tarafından yürütülmekte olan İMKB kapsamında Bolu ilinde yapılan
pilot uygulamada vatandaşlara
kuruluşlarının kendi bünyelerinde kurulmasının zorluğu BTK tarafından tam kapsamda denetlenmesi mümkün hazırlanan yönetmeliğe uygun KAP ve MKK sertifika hizmetlerini verilen yeni nesil elektronik kimlik
5070 sayılı kanunun yayınından sonraki dönemde ciddi değildir. olarak işlettiği Bilgi Güvenliği tamamen devraldı. kartlarına kimlik doğrulama
olarak anlaşılmıştır. Yönetim Sistemine, bağımsız dış sertifikası yükleme işlemleri
• Türkiye’de elektronik sertifika ve e-imza konusunda bilgi denetim kurumundan BS 7799 23.01.2008 Kamu SM sürüm 3 kök sertifikası tamamlandı. Yaklaşık 230,000
İşte bu şartlar altında kurulmasına karar verilen Kamu birikimi hem devlette hem de özel sektörde sınırlı olduğu sertifikasyonunu aldı. Microsoft firmasının güvenilen kök kimlik kartına elektronik sertifika
Sertifikasyon Merkezi ile ilgili olarak ilerleyen bölümlerde; için kamu kurumlarının bu konuda yetkinlik geliştirmesi sertifikalar listesine alındı. yüklendi.
kuruluş ve tarihçe, organizasyon yapısı, iş süreçleri, verilen uzun vakit alacak ve yapılacak yatırımların büyük bir kısmı 18.02.2009 Parola zarfı uygulaması gönderimi
hizmetler ve müşterileri hakkında bilgiler verilmektedir. verimsiz olacaktı. Milli teknoloji ve bilgi birikimi sadece 30.06.2005 Kamu SM ESHS olarak faaliyete zorunlu haller dışında terk edildi. 17.12.2010 Kamu SM tarafından 100,000’nci
geçti.
TÜBİTAK bünyesinde bulunmaktaydı. Akıllı kart PIN-PUK değerlerinin elektronik sertifika üretildi.
2. KURULUŞ VE TARİHÇE 01.08.2005 Dış Ticaret Müsteşarlığı Kamu Kamu SM internet sitesinden
• Yeni Zelanda, Almanya ve Birleşik Krallık’ın yaşadığı alınması sağlandı. Kamu SM web
Başta Devlet Planlama Teşkilatı (DPT) ve Bilgi Teknolojileri deneyimler (devlet kurumlarının hizmet aldığı özel sektör Sertifikasyon Merkezi’nden alınan sitesine SMS güvenlik mesajı 30.12.2010 Güvenlik zafiyeti oluşturmadan
1
ve İletişim Kurumu (BTK) olmak üzere elektronik imza ESHS’lerinin iflas etmesi vb.) elektronik sertifika hizmetleri sertifikalarla çalışmaya başlayan ilk denetimi ile girilmesi sağlandı. kullanım kolaylığı sağlaması sebebi
ile sertifikalar Kamu SM tarafından
kamu kurumu oldu.
konusunu yakından takip eden birçok kamu kurumu, konusunda sürekliliğin ne kadar önemli olduğunu kullanıma açılmış olarak (aktif
BTK ve Kamu SM tarafından
Elektronik İmza Kanunu’nun yürürlüğe girmesi ile birlikte göstermektedir. Kağıt evrak kullanımından elektronik belge 30.06.2009 düzenlenen “Kamu Sertifikasyon durumda) teslim edilmeye
bu alanda devlet kurumlarının doğru politikalar ve elektronik imza kullanımına geçildiğinde ESHS 19.04.2006 2006/13 sayılı “Kamu Sertifikasyon Merkezi Güvenli Elektronik İmza İş başlandı.
çerçevesinde yönlendirilmesi gerektiğini görmüştü. BTK, tarafından sunulan hizmetlerin kesintiye uğraması çok büyük Hizmetlerine İlişkin Usul ve Süreçleri Değerlendirme
TBMM’de kabul edilen ve Avrupa Birliği normlarına uygun ve geri dönülemez sorunlara yol açabilir. Bu nedenle Esaslar” hakkında Başbakanlık Çalıştayı”na 40’ın üzerinde kamu
Genelgesi yayınlandı. Genelge
olan 5070 sayılı kanunun devlet kurumlarında nasıl devletin bu altyapı hizmetlerine kesintisiz erişimi garanti başvuruların nasıl yapılacağının ve kurumu temsilcisi katıldı. Toplantı 01.01.2011 Akıllı kart PUK değerlerinin akıllı
uygulanabileceğini değerlendirirken Türkiye’de bu konuda altına alınmalıdır. değerlendirileceğinin kurallarını sonucunda sıkıntı yaşanan kart sahibine verilmesi uygulaması
teknoloji üreten, yetişmiş insan gücüne ve tecrübeye sahip belirledi. konularda mevzuata aykırı terk edildi. Bunun yerine bu bilgi
olmayacak şekilde yapılabilecek
olan TÜBİTAK’la yoğun temaslarda bulunmuştu. BTK Kamu kurumları adına yukarıda sayılan ihtiyaçlar ve düzenlemeler görüşüldü. Bunların Kamu SM sistemlerinde tutulup
kullanıcıların internet üstünden
yaptığı çalışmalarda yabancı devletlerde uygulanan ESHS gereksinimler değerlendirilerek, 10 Haziran 2004 tarihinde çok büyük bir kısmı Kamu SM iş kilit çözme işlemi yapmasına imkan
modellerini de incelemiş ve devlet kurumları için ESHS düzenlenen E-Dönüşüm Türkiye İcra Kurulu 6. 14.08.2006 Adalet Bakanlığı Kamu planına alındı. tanındı.
hizmetlerinin çok kritik bir altyapı hizmeti olduğu kanaatine Toplantısı’nda, BTK’nın önerisi doğrultusunda “Kamu Sertifikasyon Merkezi’nden aldığı
varmıştı. Kurum ve Kuruluşları için Sertifikasyon Merkezi elektronik sertifikaları kullanmaya 04.08.2009 Kamu SM tarafından 50,000’nci
2
Oluşturulması (Karar 6)” kararı alınmıştır. Bu karara göre başladı. elektronik sertifika üretildi.
BTK, “Elektronik İmza Kanunu’nun Uygulanması İle İlgili TÜBİTAK UEKAE’ye tüm kamu kurum ve kuruluşlarına 11.04.2011 Kamu kurumu personelinin mobil
Usul ve Esaslar Hakkında Yönetmelik” hazırlama çalışmaları hizmet vermek üzere bir ESHS kurma görevi verilmiştir. Bu 23.01.2007 E-Dönüşüm Türkiye İcra Kurulu 20. imza kullanabilmesi için başlatılan
sırasında oluşturduğu çalışma grupları aracılığıyla bilişim karar içeriği çok ufak değişikliklerle Başbakanlık genelgesi toplantısında, Kamu Sertifikasyon 23.09.2009 Gelir İdaresi Başkanlığı ile TÜBİTAK çalışmalar kapsamında KamuSM
Mobil Kök Sertifika Hizmet
UEKAE arasında Mali Mühür
sektörünün, devlet kurumlarının ve üniversitelerin haline getirilmiştir. “Kamu Sertifikasyon Merkezi Merkezi tarafından “Kamuda E- sağlanması konusunda protokol Sağlayıcısı ve KamuSM Mobil
katkılarını ve görüşlerini almıştı. Bu dönemde kamu Oluşturulması” konulu genelge 6 Eylül 2004 tarihinde imza Uygulamaları” konusunda Elektronik Sertifika Hizmeti Elektronik Sertifika Hizmet
kurumları açısından aşağıda belirtilen konular öne çıkmıştır: 2004/21 sayılı olarak yayınlanmıştır. sunum yapıldı. Çeşitli kamu imzalandı. Sağlayıcısı sistemleri kuruldu.
kuruluşlarından gelen istek ve
şikayetlerin nedenleri ve olası
1 Devlette AAA Kullanımı için Uluslar arası ve Yeni Zelanda Deneyimleri Makalesi, Bölüm 3.2 ve 4.1 çözüm yolları İcra Kuruluna 13.11.2009 Mali Mühür Elektronik Sertifika 02.06.2011 Kamu SM tarafından 150,000’nci
anlatıldı.
www.e.govt.nz/plone/archive/services/see/see-pki-paper-14/ see-pki-paper-14.pdf Hizmeti başladı. elektronik sertifika üretildi.
2 www.bilgitoplumu.gov.tr/Documents/1/Icra_Kurulu/040610_IcraKuruluKararNo06.pdf
70 Sayı 07 · Eylül-Aralık 2011 http://www.bilgem.tubitak.gov.tr/ 71