Yıl: 2004/ Cilt: 6 Sayı: 2 Sıra: 2 / No: 223 /     DOI:

Veri Transferi Ve İşlem Güvenliğinin Sağlanmasında Kullanılan Şifreleme Yöntemleri Ve Sayısal İmza
Araş.Gör. Adem ANBAR
Uludağ Üniversitesi - İİBF - İşletme Bölümü

ABSTRACT

Developing and growing of the internet and e-commerce are related to solution of the security problems. We can examine the security problem in three sides. These are authentication, world wide web (www) security and data-transaction security. At this article, first, authentication and www security are referrred briefly, than data-transaction security is referred detailed and new security systems and technologies which is used in the data-transaction security like as cryptography, certification authority, electronic notary, electronic and digital signature are examined.

Keywords : Internet security, cryptography, certification authority, digital signature.

ÖZET

İnternetin ve e-ticaretin gelişmesi ve yaygınlaşması, güvenlik problemlerinin çözümüyle yakından ilişkilidir. Güvenlik sorununu; yetkilendirme, www (world wide web) güvenliği ve veri-işlem güvenliği olmak üzere üç açıdan inceleyebiliriz. Bu çalışmada, yetkilendirme ve www güvenliğine kısaca değinildikten sonra, veri-işlem güvenliği üzerinde ayrıntılı olarak durularak, veri işlem güvenliğinde kullanılan, kriptografi, onay kurumu, elektronik noter, elektronik ve sayısal imza gibi yeni güvenlik sistemleri ve teknolojileri incelenecektir.

Anahtar Kelimeler : İnternette güvenlik, kriptografi, onay kurumu, sayısal imza.

GİRİŞ

İnternet kullanımının ve elektronik ticaret uygulamalarının artmasının önündeki en önemli engellerden birisi, güvenlik sorunudur. Teknolojinin gelişmesi, bir taraftan daha güvenli şifreleme ve güvenlik yazılımlarının ve yöntemlerinin geliştirilmesine yol açarken, diğer taraftan da kötü niyetli kişi veya tarafların, güvenlik duvarlarını ve yazılımlarını geçmelerini, şifreli bilgilere ulaşmalarını ve çalmalarını kolaylaştırmaktadır. Bu sorun sadece, bilgisayar teknolojisinde değil, diğer alanlarda da görülebilmektedir. Örneğin, teröristlere karşı geliştirilen yeni bir silahın, kötü niyetli kişilerin eline geçmesi veya taklit edilme olasılığı her zaman için vardır ve bu durum, dünya barışı için bir tehlike oluşturmaktadır.

Gerek kurumsal, gerekse bireysel kullanıcılar arasında yapılan araştırmalarda, güvenlik sorununun, internetin ticari amaçlı olarak yeterince kullanılmamasının nedenlerinin başında geldiğini göstermektedir. İnternet kullanıcıları, kişisel ve finansal verilerinin yetkisiz kişilerce kullanılabileceğine ya da değiştirilebileceğine inandıkları takdirde, ticari amaçları için internet yerine geleneksel ticari araçları kullanmaya devam edeceklerdir. Yapılan araştırmalarda, kullanıcıların bu yönde bir eğilime sahip oldukları görülmektedir. Amerika'da yapılan tahminlere göre, bir yılda çalınan verilerin değeri 10 milyar doları geçmektedir. Yine, 1996 yılında, 1.320 firmayla yapılan bir araştırmaya göre; katılımcıların %78'i güvenliğin sağlanamamasından dolayı para kaybettiklerini, %63'ü virüslerden dolayı zarara uğradıklarını ve 20 kullanıcı da en az 1 milyon $ zarar ettiklerini belirtmişlerdir (Singh ve Frolick, 2000:58).

Elektronik ticaretin gelişebilmesi için güvenliğin sağlanması şarttır. Güvenliğin sağlanmasıyla, sadece yetkili kişilerin bilgiye ulaşmaları sağlanabilir. Yetkisiz kişilerin verileri yok etmeleri veya değiştirmeleri önlenebilir. Elektronik ticarette güvenlik sorunu, yetkilendirme, www (world wide web) güvenliği ve veri - işlem güvenliği olmak üzere üç açıdan incelenebilir. Bu çalışmada, yetkilendirme ve www güvenliğine kısaca değinilecek ve güvenlik sorunu, veri ve işlem güvenliği açısından ele alınarak, kullanılan ve kullanılması düşünülen yöntemler üzerinde durulacaktır.

1. İNTERNETTE GÜVENLİK

İnternet, bilgisayar ağlarından oluşan bir ağ sistemidir. Bilgisayar ağı ise, birden çok bilgisayarın, telefon hattı, özel hatlar ve uydular kullanılarak birbirine bağlanmasını ifade eder. Bu ağlar, giriş serbestisine göre, kapalı ve açık ağlar olarak ikiye ayrılabilir. Kapalı bilgisayar ağlarında, sınırlı sayıda bilgisayar birbirine bağlanabilir ve ağa bağlanacak bilgisayarlar (kişiler) bellidir. Kapalı ağlarda güvenlik derecesi, açık ağlara göre daha yüksektir. Çünkü, ağa erişim sınırlandırılmıştır. Kapalı ağ uygulamaları 1970'lerden beri kullanılmaktadır. Bu uygulamanın en belirgin örneklerini ise, EFT ve EDI oluşturmaktadır. Bankalar arasında, işletmeler arasında ve bankalarla işletmeler arasında yaygın olarak kullanılan bu sistemler, intranet ve extranet gibi kapalı ağlar üzerinden yapılmaktadır.
Açık bilgisayar ağları, giriş kısıtlamasının veya yasağının olmadığı, isteyen herkesin serbestçe girebildiği bilgisayar ağlarıdır. Bunun en güzel örneğini internet oluşturmaktadır. İnternete bağlanmak için, herhangi bir internet servis sağlayıcıdan (ISS) bağlantı numarası almak yeterlidir. Bilgisayarlar arasındaki iletişim, TCP/IP olara adlandırılan iletişim protokolü kullanılarak gerçekleşmektedir.

Açık ağlarda karşılaşılan en büyük sorun güvenliktir. Açık ağa bağlı bilgisayar üzerindeki veriler ya da bu bilgisayarların aralarında akan veriler, ağın farklı kullanıcıları tarafından elde edilebilir veya değiştirilebilir (Türkiye İçin E-Ticarete Geçiş Durum Değerlendirmesi ve Pilot Uygulama Projesi, 1999:7).

İnternet açık bir ağ olduğu için, güvenlik, geleneksel ticarete göre daha önemli bir sorun olmaktadır. Bunun nedenleri olarak şunlar sayılabilir (Fuinell ve Karweni, 1999:373):
- İnternet ortamında, iletişim kurulan karşı tarafın kimliği bilinemeyebilir veya karşı tarafın kimliğinin doğrulanması mümkün olmayabilir.
- Verinin transferi sürecinde tam kontrol mümkün olamamaktadır.
- Karşı taraf, farklı veya bilinmeyen fiziksel bir yerde olabilir veya bulunduğu yerin, yasal düzenlemelerinin ve uygulamalarının farklılığı nedeniyle sorunlar yaşanabilir.

İnternet üzerinden gerçekleştirilen ticari faaliyetlerde karşılaşabilecek güvenlik sorunları şunlar olabilir (Adam vd., 1999:124):
- Yetkisiz kişilerin ağ kaynaklarına girmesi,
- Bilgi ve ağ kaynaklarına zarar verilmesi,
- Bilginin değiştirilmesi, silinmesi veya bilgiye yeni şeyler eklenmesi,
- Yetkisiz kişilere bilginin iletilmesi,
- Bilgi ve ağ kaynaklarının çalınması,
- Gönderilen veya alınan bilginin inkar edilmesi,
- Ağ hizmetlerinin kesilmesine ve bozulmasına neden olunması,
- Alınmayan veya gönderilmeyen bilgilerin alındığının veya gönderildiğinin iddia edilmesidir.

Ortaya çıkabilecek bu güvenlik sorunlarını ve bunlar için geliştirilen çözümleri, yetkilendirme, www güvenliği ve veri-işlem güvenliği olmak üzere üç kategoride sınıflandırabiliriz.

1.1. Yetkilendirme ve Güvenlik Duvarları

Yetkilendirme, bilgisayar sistemine veya bilgisayar ağına sadece yetki verilmiş kişilerin girmesidir. Yetkilendirmede; kullanıcı hesapları, dosyalar ve veri bankaları gibi bilgi kaynaklarına sadece yetkili kişi ve programların giriş yapabilmesini sağlamak için şifre koruması, şifrelenmiş smart kart, biometrikler (parmak izi, göz retinası vb.) ve güvenlik duvarı gibi araçların kullanımı sözkonusudur.

Güvenlik duvarı, korunmuş ağlara veya sitelere, sadece belirli özelliklere sahip dış kullanıcıların girmesine izin veren yazılım ve donanım olarak tanımlanabilir. Kullanıcılar, kullanıcı adı, şifre, internet IP adresi veya alan ismini kullanarak sisteme girebilirler. Güvenlik duvarı, şirket ağıyla, dış internet arasında bir bariyer oluşturur. Yetkili olmayan kişiler, direkt olarak ağ içerisindeki bilgisayarlara giremez. Fakat, yetkili iç kullanıcılar, ağ dışındaki internet hizmetlerinden yararlanmaya devam ederler (Kalakota ve Whinston, 1997:126).

1.2. World Wide Web Güvenliği ve Internet Güvenlik Protokolleri

Elektronik ticarette, kullanıcının, kendi kimliğini karşı tarafa bildirmesi, karşı tarafın da kendi kimliğini kullanıcıya bildirmesi önemlidir. Özellikle, internet üzerinden alışveriş yapılmasında ve internet üzerinden elektronik ödeme sistemlerinde, güvenliği sağlamak amacıyla çeşitli internet güvenlik protokolleri geliştirilmiştir. Bunlardan yaygın olarak kullanılan SET (Secure Electronic Transaction) ve SSL (Secure Socket Layer) protokolleridir. Bunların dışında, PGP (Pretty Good Privacy) S/MIME (Secure/Multipurpose Internet Mail Extensions), PPTP (Point-to-Point Tunneling Protokol) ve SOCKS5 gibi güvenlik uygulamaları da mevcuttur (Adam vd., 1999:136).

1.3. Veri ve İşlem Güvenliği

Veri ve işlem güvenliği, ticari işlemlerde ve mesajlarda, elektronik para ve elektronik çek gibi çeşitli online ödeme sistemlerinde gizliliği, bütünlüğü ve güvenliği sağlamak amacıyla çeşitli kriptoloji yöntemlerinin ve araçlarının geliştirilmesidir.

Günümüzde veri ve işlem güvenliğinin sağlanmasında yaygın olarak kullanılan şifreleme veya kriptoloji türleri, açık-anahtarlı kriptoloji ve tek/gizli anahtarlı kriptoloji olmak üzere iki çeşittir. Gizliliği ve güvenliği sağlamak amacıyla bu yöntemlerde kullanılan araçlar ise; dijital sertifikalar, dijital ve elektronik imzalar ve onay kurumlarıdır.

2. ŞİFRELEME VE ŞİFRELEME YÖNTEMLERİ

Bilginin bilgisayar ağları üzerinden iletilmesi sırasında, çalınma ve değiştirilme riski olmadan alıcıya gönderilmesi büyük önem arz etmektedir. Veri ve işlem güvenliğinin üç temel gereksinimi vardır. Bunlar; gizlilik, güvenlik ve bütünlüktür (Kalakota ve Whinston, 1997:136). Bilgi bütünlüğü, bilginin bilgisayar ağları üzerinden değiştirilmeden, özgün şekliyle karşı tarafa iletilmesidir. Bilgi güvenliği ise bilginin ağ üzerinden güvenli bir şekilde transferinin sağlanmasıdır. Güvenli bilgi iletimi, bilginin kaynağının belirlenmesi ve doğrulanması, bilgi bütünlüğünün sağlanması ve bilginin son iletim noktasında açık edilmesiyle mümkündür (Türkiye İçin E-Ticarete Geçiş Durum Değerlendirmesi ve Pilot Uygulama Projesi, 1999:7).

Bilgi bütünlüğü ve güvenliği, kriptografi veya şifreleme ile sağlanır. Kriptografi, güvenli bilgi iletişimi ve/veya saklanması için şifreleme ve şifre çözme yöntemlerini türeten, geliştiren ve inceleyen bir bilim dalıdır. Şifrelemede veya şifre çözmede kullanılan belirli bir yöntemin ayrıntılı içeriğinin matematiksel adımlarına, kriptografik algoritma denilmektedir (Elektronik Ticaret Terimleri Sözlüğü, http://www.e-ticaret.gov.tr/e-kutuphane/sozluk.htm).

Şifreleme işlemiyle, gönderilen bilgi, anlamsız sayısal veriye dönüştürülmekte ve alıcıya gönderilmektedir. Alıcı ise, yine anahtar şifreyi kullanarak, anlamsız sayısal veriyi özgün haline dönüştürmektedir. Farklı şifreleme yöntemlerine ve şifre altyapılarına sahip kriptografi türleri vardır. Bunlar, farklı matematiksel modelleri, şifreleme ve şifre çözme amacıyla tasarlanmış farklı yazılım ve donanım sistemleri kullanmaktadır. Yaygın olarak kullanılan ve/veya kullanılacağı düşünülen şifreleme türleri; açık anahtarlı kriptografi, tek anahtarlı kriptografi, onay kurumu ve kefiller zinciridir.

2.1. Açık Anahtarlı Kriptografi

Açık anahtarlı kriptografi (public key cryptography), her kullanıcıya, biri diğer kullanıcıların bilgisine açık, diğeri yalnızca kullanıcının kendisinde bulunan (gizli) iki anahtarın verildiği şifreleme yöntemlerinin genel adıdır. Asimetrik kriptografi veya çift anahtarlı kriptografi de denilmektedir. Bu yöntemde kullanılan açık ve gizli anahtarlar, birbirleriyle eşsiz bir matematiksel ilişki içerisindedirler. Bir gizli anahtarın şifrelediği veri, ancak, o gizli anahtara karşılık gelen açık anahtarla çözülebilir.

Bu yöntemin uygulanabilmesi için, ilk önce her kullanıcının, onay kurumlarından alabileceği veya bazı yazılım programları aracılığı ile kendisinin üretebileceği açık ve gizli anahtarlara sahip olması gerekir. Bilgiyi gönderen taraf, bilginin güvenli bir şekilde transferini sağlamak için, gönderilen bilgiyi alıcının açık anahtarı ile şifrelemektedir. Şifrenin çözümü, sadece bu açık anahtara karşılık gelen alıcının gizli anahtarıyla mümkündür. Ayrıca, bilginin bütünlüğünün sağlanması için, gönderilen veri matematiksel bir yöntemle özetlenir. Bu özetin özelliği, değiştirilememesi veya en ufak bir değişiklik yapıldığında bile bunun fark edilmesini sağlamasıdır. Gönderici, şifrelenmiş bilgiye ek olarak bu özeti de alıcıya gönderir. Alıcı, şifresini çözdüğü bilgiyi, gönderen ile aynı biçimde özetleyerek eklenmiş özetle karşılaştırır ve özetlerin aynı olması, verinin değiştirilmediğini gösterir. Diğer önemli bir nokta da, gönderenin, bilgiyi alıcıya kendisinin gönderdiğini ispat edebilmesidir. Böylelikle alıcı, iletilen bilginin doğru kişiden geldiğinden emin olabilir. Bunu sağlamanın yolu ise, göndericinin göndereceği veriyi sayısal olarak imzalamasıdır. Sayısal imza, bilgiyi gönderenin kimliği ve gönderilen yazının iletim sırasında bozulmadığını kanıtlamaya yarayan, sayısal bir veridir. Sayısal imzanın uygulaması şöyle olmaktadır: Gönderici, veri özetini kendi gizli anahtarı ile şifreleyerek alıcıya gönderir. Alıcı, gönderenin kimliğini doğrulamak istediğinde, gönderenin açık anahtarını kullanarak şifreli özeti çözer. Eğer bu özet, iletilen verinin özetiyle aynı ise, bilginin gerçek kişiden geldiğinden emin olur. Sayısal imza konusuna daha sonra ayrıntılı olarak değineceğiz.

Açık anahtarlı kriptografiyi bir örnek yardımıyla açıklamaya çalışalım. Örneğin, Ahmet'in, Hakan'a şifreli bir mektup göndermek istediğini varsayalım. Bu durumda Ahmet, göndereceği mesajı, Hakan'ın açık anahtarıyla şifreler ve şifreli bir şekilde Hakan'a gönderir. Hakan, kendi gizli/özel şifresini kullanarak, şifreyi çözer. Ahmet'in kullandığı açık şifreye karşılık gelen gizli şifrenin sadece Hakan tarafından bilinmesi nedeniyle, mesajı yalnızca Hakan okuyabilir.

En yaygın kullanılan açık anahtar algoritması; Ron Rivest, Adi Shamir ve Len Adleman tarafından geliştirilen RSA algoritmasıdır. RSA algoritması, çok geniş bir sayıdan (genellikle 1024 bits veya 21024, yaklaşık evrendeki atomların sayısının 10228 katı) oluşmaktadır. Meydana getirilen bu numara, başlıca iki geniş sayı kümesinden (512 bits) oluşmaktadır. Bu algoritmanın güvenliği, geniş sayı rakamlarının çözülme zorluğuna dayanır. Örneğin, 1.261 sayısını basit bir bilgisayar, bir-iki saniyede, 97 ve 13 vererek çözülebilir. Fakat, çok büyük sayıları, süper bilgisayarlar bile sonsuza kadar çözemezler (Halsey, 1996:2).

Açık anahtarlı kriptografide kullanılan gizli anahtarlar, kredi kartlarına benzer. Kaybolma ve çalınmaya karşı sahibini korurlar. Bir kredi kartı çalındığı veya kaybolduğu zaman, kullanıcı, kartı veren bankaya; gizli anahtar çalındığında veya kaybolduğunda ise, kullanıcı, onay kurumuna durumu bildirir. Bu durumda banka veya onay kurumu, kredi kartını veya gizli anahtarı iptal eder. Burada, onay kurumu ve banka, güvenilir üçüncü taraf durumundadır. Açık anahtarlı kriptoloji ile kredi kartı kullanımı arasındaki başlıca fark, açık anahtarlı kriptolojinin daha güvenli olmasıdır. Karşı taraf (alıcı) hiçbir şekilde gönderenin gizli anahtarını bilmemektedir (Halsey, 1996:1-2).

2.2. Tek Anahtarlı Kriptografi

Tek anahtarlı kriptografi (single key crytopraphy), şifreleme ve şifre çözme için aynı anahtarı kullanan kriptografik yöntemlerdir. Simetrik kriptografi veya gizli anahtarlı kriptografi de denilmektedir. Gönderici ve alıcıya tek bir anahtar verildiği için, güvenilirliği oldukça yüksektir. Fakat, bu yöntemin uygulanabilmesi için, her kullanıcı çiftine ayrı bir anahtar verilmesi, anahtar bolluğuna neden olur. Ayrıca, bu yöntem, anahtar dağıtımında zorluklara da neden olmaktadır. Açık anahtarlı kriptografi, bu yöntemin olumsuzluklarını ortadan kaldırmaktadır. Açık anahtarlı kriptolojide, biri açık, diğeri gizli iki anahtar vardır. Açık anahtar, veriyi şifrelemede kullanılırken, gizli anahtar şifreyi çözmede kullanılır. Bu nedenle, veri iletiminde güvenli olmayan kanal kullanılabilir. Açık anahtarlı ve tek anahtarlı kriptografi yöntemleri arasındaki farklılıklar, Tablo 1'de gösterilmektedir (Kalakota ve Whinston, 1997:141).

Tablo 1: Tek Anahtar ve Açık Anahtar Şifreleme Yöntemlerinin Karşılaştırılması

Özellikler Tek /Gizli Anahtar Açık Anahtar
Anahtarların Sayısı Tek Anahtar İki anahtar
Anahtarların Türü Anahtar gizlidir Bir anahtar gizli, diğer anahtar açıktır
Anahtar Yönetimi Basit fakat yönetimi zor Dijital sertifikalara ve güvenilir üçüncü taraflara ihtiyaç var
Hız Çok hızlı Daha yavaş
Kullanımı Büyük hacimli veri şifrelemesi için kullanılmaktadır. Küçük dokümanların şifrelenmesi veya mesajların imzalanması gibi az talep gören uygulamalarda kullanılmaktadır.

3. ONAY KURUMLARI VE SERTİFİKA

Onay kurumu (Certification Authority-CA), kayıtlı kullanıcı olarak adlandırılan kişinin tanımlanmasını sağlayan ve kişinin kendisine ait sayısal imza oluşturmak için kullandığı açık - gizli anahtar çiftinden, açık anahtarı onaylayan güvenilir üçüncü taraftır (A Report of The ILPF Working Group: Appendix 6, 1997:3). Sertifika veya diğer bir adıyla elektronik kimlik belgesi ise, güvenilir üçüncü taraf (onay kurumu) tarafından imzalanan ve kullanıcıyı tanımlayan verileri içeren bilgisayar bazlı bir kimlik belgesidir. En yaygın sertifika formatı, ASN.1 dilinde olan ve CCITT (Consultative Commitee for International Telegraph and Telephone) tarafından tavsiye edilen, X.509'dur. X.509 sertifikası, kullanıcı hakkında standart bilgileri (kullanıcının adı, çalıştığı kurum, e-mail adresi, kullanıcının açık anahtarı, sertifikanın veriliş tarihi ve geçerlilik süresi vb.) içermektedir. Bu sertifikaya, kullanıcının kimliğini doğrulamak isteyen herkes ulaşabilmektedir. Kullanıcı, dokümanı kendi gizli anahtarıyla imzalayıp alıcıya gönderdiğinde, alıcı, X.509 data bankasından gönderenin sertifikasını arayıp bularak, göndericinin kimliğini doğrular. Ayrıca, alıcı, sertifika iptal listesini (Certificate Revocation List - CRL) kontrol ederek, gönderenin sertifikasının iptal edilip edilmediğini sorgulayabilir (Halsey, 1996:3). CRL, sona erme tarihlerinden önce iptal edilen sertifikaların kayıtlı olduğu basit bir veri bankasıdır. Genellikle bu hizmet, onay kurumu tarafından verilmektedir. Kişi öldüğünde, gizli anahtarı kaybolduğunda veya çalındığında, kullanıcının bilgileri değiştiğinde ve diğer nedenlerden dolayı, kişinin sertifikası bu listeye alınır (A Report of The ILPF Working Group: Appendix 6, 1997:5).

Sertifika süreci genel olarak şu şekilde çalışır: İlk önce, kullanıcı, anahtar üretim yazılımlarını kullanarak açık ve gizli anahtarını oluşturur. İkinci adımda, kullanıcı, kimliğine delil oluşturacak sürücü belgesi, pasaport veya onay kurumu tarafından istenen diğer herhangi belgeyle ve açık anahtarıyla bir onay kurumuna başvurur. Ayrıca, kullanıcı, onay kurumuna bildirdiği açık anahtara karşılık gelen gizli anahtarın kendisinde olduğunu ispatlamak zorundadır. Gerekli incelemeyi yapan onay kurumu, kullanıcıya bir sertifika (elektronik kimlik belgesi) verir. Bu süreç, onay kurumundan onay kurumuna değişiklik gösterebilir. Örneğin, bir onay kurumu, ikinci adımda kullanıcının kimliğini tanımlamadan önce kullanıcıyı görmek isteyebilir. Diğer bir onay kurumu ise, noter gibi üçüncü bir tarafa güvenerek kullanıcının kimliğini tanımlar.

Ticari bir faaliyette bulunan kullanıcı, müşteri olarak satıcıyla ilişkiye geçerek, kimlik ve ödeme bilgilerini, kendi gizli anahtarı ve onay kurumunun açık anahtarıyla şifreleyip, satıcıya gönderir. Satıcı, müşterinin kimlik bilgilerinin yer aldığı sertifikayı doğrular. Ayrıca, sertifikanın iptal edilip edilmediğini doğrulamak için, sertifika iptal listesini kontrol eder. Müşterinin bilgilerinin doğrulanmasıyla, satıcı, söz konusu malı gönderir. Kullanıcı, onay kurumu ve satıcı arasındaki süreç aşağıdaki şekilde görülmektedir (A Report of The ILPF Working Group: Background, 1997:2).

Şekil 1: Kullanıcı, Onay Kurumu ve Satıcı Arasındaki İlişkiler

Onay kurumlarının başlıca görevleri; kullanıcılara yeni anahtar çiftleri ve yeni sertifikalar vermek, her kullanıcının gizli şifreleme anahtarının bir kopyasını muhafaza etmek, kullanıcının sertifikasıyla ilgili sorulara cevap vermek ve geçersiz veya iptal edilen sertifikaların listesini sürekli güncellemektir (Halsey, 1996:3).

Açık ve gizli anahtar üretimi, onay kurumlarınca yapılabileceği gibi, özel anahtar üreten yazılımlar kullanılarak kullanıcılar tarafından da yapılabilir. Eğer kullanıcı, anahtarlarını kendisi oluşturmuşsa, sertifika alımı sırasında onay kurumuna gizli anahtarını bildirmesine gerek yoktur. Ancak bu durumda, kullanıcı, onay kurumuna bildirdiği açık anahtar ile kendisinde bulunan gizli anahtar arasındaki ilişkinin doğruluğunu kanıtlaması gerekir. Anahtar üretimi konusunda ikinci yol, her iki anahtar çiftinin de onay kurumu tarafından üretilmesidir. O ülke yasalarına göre, gizli anahtarın bir kopyasının onay kurumunca saklanması gerekiyorsa, anahtarlar kullanıcıya teslim edilirken gizli anahtarın bir kopyası da onay kurumunda muhafaza edilir, aksi durumda ise, onay kurumu, gizli anahtarın bir kopyasını saklamadan kullanıcıya teslim eder.

Kullanıcıların gizli anahtarlarının onay kurumlarınca saklanıp saklanmaması konusunda tartışmalar halen sürmektedir. Ulusal güvenlik açısından, gerektiğinde bu gizli anahtarlara ulaşılması gerektiği görüşünü savunan ABD, Fransa, İngiltere, Belçika, İsrail ve Çin, bu doğrultuda uygulamalar geliştirmeye çalışmaktadırlar. Ayrıca, bu ülkeler, anahtar üreten yazılımların ihraç ve ithaline de sınırlamalar getirmişlerdir. Böylelikle, hem matematiksel olarak çözümü zor şifreleme yöntemlerinin dışarıdan kendi ülkelerine sızmalarını engellemek, hem de kendi ülkelerinden diğer ülkelere, kontrolleri dışında güçlü şifreleme yöntemlerinin çıkmasını engellemek istemektedirler. Japonya ve Avustralya başta olmak üzere birçok Avrupa ülkesi ise, açık anahtarlı altyapı senaryosunun yaşamda işlerlik kazanmasının ve insanların sisteme güvenmelerinin ancak gizli anahtarların tümüyle kişisel kalması ile mümkün olacağına inanmaktadırlar. Gelişmeler, ikinci görüşün, yani özel anahtarların gizli kalması gerektiği görüşünün daha ağır bastığını göstermektedir (Türkiye İçin E-Ticarete Geçiş Durum Değerlendirmesi ve Pilot Uygulama Projesi, 1999:9).

3.1. Onay Kurumunun Hukuki Niteliği

Ülkelerin amaç ve politikalarına bağlı olarak, onay kurumlarının yapıları değişebilmektedir. Tek bir onay kurumu olabileceği gibi birden fazla onay kurumu da olabilir veya onay kurumu, devlet tarafından yetkilendirilmiş bir kamu kuruluşu olabileceği gibi özel veya özerk bir kuruluş da olabilir.

Bazı ülke uygulamalarında, onay kurumları üst bir onay kurumuna bağlı olarak çalışmakta, bazı ülke uygulamalarında ise, onay kurumları arasında herhangi bir hiyerarşi bulunmamaktadır. Eğilimler, bir onay kurumu yerine birden çok onay kurumu ve bunlara bağlı kayıt kurumlarının olması yönündedir. Ulusal ve uluslararası onay kurumlarının birbirlerini tanıması, verilen sertifikaların bütün onay kurumlarınca kabul edilmeleri, sistemin yaygınlaşması ve sisteme duyulan güven açısından büyük bir önem arz etmektedir.

Şekil 2: Onay Kurumlarının Hiyerarşisi

Onay kurumları ve elektronik imza çalışmalarında, ABD başı çekmektedir. Örneğin, Amerikan Posta Servisi, elektronik ticareti kolaylaştırıcı ve tam amaçlı onay kurumu fonksiyonlarını yerine getirecek geniş ölçekli bir planın varlığını kamuoyuna duyurmuştur. Amerikan Posta Servisi, ülke çapında bir ağa sahip olduğu için bu görevi başarıyla yerine getirebilir. Kişiler ve şirketler arasındaki işlemlerde güvenilir üçüncü taraf rolünü üstlenebilir. Birçok noktada posta ofisleri olduğu için kişileri görerek, açık anahtar kayıtlarını yapabilir ve bu da verilen sertifikaların güvenilirliğini arttırır. Ayrıca, güvenlik derecesini arttırmak için fotoğraf veya parmak izi almak gibi yöntemleri de uygulayabilir.

3.2. Onay Kurumunun Sayısal İmzasının Doğrulanması

Kullanıcılara verilen sertifikaların doğruluğunu garanti etmek için, onay kurumu, verdiği her sertifikayı kendi imzasıyla imzalar. Onay kurumu tarafından verilen sertifikanın bütünlüğünü ve kimliğini doğrulamak isteyen biri, onay kurumunun açık anahtarını kullanarak onay kurumunun sayısal imzasını doğrulayabilir. Fakat kişi, bu açık anahtarın gerçekten bu onay kurumuna ait olup olmadığını nasıl bilecektir? Bunun çözümü, bu onay kurumunun açık anahtarını kayıt eden üst bir onay kurumudur. Bu üst onay kurumu, kendisine bağlı onay kurumlarına kendi imzasını taşıyan sertifika vermektedir. Böylelikle, onay kurumunun sayısal imzasını doğrulamak isteyen kişiler, üst onay kurumun verdiği sertifikaya baş vururlar. Üst onay kurumları birbirlerine bağlı sertifikalar zincirini oluştururlar (A Report of The ILPF Working Group: Appendix 6, 1997:5).

Belli bir yasal düzenleme ve yöntem olmadıkça, onay kurumları sertifika verdikleri kişilerin tanımlanmasında belirli standart veya prosedürlere bağlı kalmamaktadırlar. Sayısal imza, onay kurumunun güvenilirliğini ispatlayan tek araç konumuna gelmektedir. Kullanıcıların, herhangi bir onay kurumu tarafından verilen sertifikanın üzerindeki imzanın ne kadar güvenilir olduğunu ölçmek için, bazı standart ve düzenlemelere ihtiyaç vardır. Örneğin, üçüncü taraf, sertifika başvurusu sırasında kişinin sürücü belgesini, pasaportunu veya parmak izini isteyen bir onay kurumuna, bunları istemeyen onay kurumundan daha fazla güvenecektir. Onay kurumlarınca verilen sayısal imzanın güvenilirliğini artırmak için, onay kurumları, belirli prosedürlere göre oluşturulmuş sertifika uygulama planına göre hareket etmektedirler. Bu sertifika uygulama planları, onay kurumunun faaliyetleri ve sisteminin güvenliği hakkında bilgiler de içermektedir (A Report of The ILPF Working Group: Appendix 6, 1997:5).

3.3. Yetkili Makam

Yetkili makam, onay makamlarının çalışabilmesi için gerekli lisansı veren kurumdur. Yetkili makam, bir üst onay kurumu olabileceği gibi, ayrı bir kurum da olabilir. Yetkili makam, onay kurumlarını denetler, gerekli düzenlemeleri ve iyileştirme çalışmalarını sürdürür.

Üst onay kurumu, bir kamu kurumu olabileceği gibi özel bir kurum da olabilir. Bu o ülkenin politikalarına bağlı kalmış bir özelliktir. Elektronik ticaretin gelişmesi açısından onay kurumlarına büyük görevler düştüğünden, üst onay kurumu tarafından belirlenen koşullarda hizmet veren ve bu koşullara uygun hareket etmekle sorumlu olan bağımsız, özel onay kurumlarından oluşturulmuş bir sistemin kurulmasında yarar görülmektedir. Onay kurumlarının kişisel bilgileri bünyelerinde barındırmaları söz konusu olacağından, onay kurumları sisteminin dikkatle ele alınıp düzenlenmesi gerekmektedir (ETKK Hukuk Çalışma Grubu Raporu, 1998:16).

3.4. Elektronik Noter

Elektronik ticarette, onay kurumlarının yanı sıra, gerçekleştirilen ticari işlemi geleneksel noterlik sistemine benzer şekilde onaylayan, işlemin zaman boyutuna geçerlilik kazandıran elektronik noterlik gibi bir mekanizmanın oluşturulması da söz konusu olabilecektir. Ayrıca, elektronik ortamdaki bilgilerin doğruluğunun kanıtlanması için yetkili onaylama kurumlarına gereksinim vardır.

Şifreleme teknolojileri ve bunları destekleyecek düzenleyici ortam, elektronik işlemlerde firma ve müşterilerin güvenini kazanmak için temel teşkil edecektir. Bireyleri ve kurumları, elektronik ortamdaki işlemlere hukuken bağlayan elektronik imzalar ve elektronik simgelemeler, destekleyici elektronik noter mekanizmaları olmadan fazla bir anlam ifade etmezler. İşlemlerin ve işlemi yapan taraflar hakkındaki bilgilerin doğruluğunun, bağımsız bir kurum tarafından kanıtlanması ve bilgilerin gerçek dünyada olduğu gibi belgelenmesi için elektronik dünyanın kendi yöntemlerine gereksinim vardır. Bu doğrulama fonksiyonunu, üçüncü taraf olarak elektronik noterler yerine getirebilir. Elektronik noter, güvene dayalı bir sistem oluşturma açısından en az altı tipteki bilgiyi doğrulayabilmelidir. Bu bilgiler; tanımlama ve kayıt, kullanıcı özellikleri, standartlara uygunluk, yapılan işlem için yetki, işlemsel bilgi veya uygulanabilir yasalardır. Böyle bir sistemde, elektronik noterlerin, uluslararası karşılıklı çalışabilmeleri ve birbirlerini tanımaları gerekmektedir. Ayrıca, doğrulama işlemi büyük bir titizlikle yerine getirilmeli ve sisteme duyulan güven zedelenmemelidir (ETKK Hukuk Çalışma Grubu Raporu, 1998:17).

4. KEFİLLER ZİNCİRİ MEKANİZMASI

Onay kurumları gibi kurumsal bir yapı yerine, güvenilir üçüncü taraf olarak kefiller zinciri mekanizması oluşturulması, onay kurumlarına karşı ileri sürülen görüşlerden biridir. Bu görüşü savunanlar onay kurumlarına karşı çıktıkları gibi, gizli anahtarların bir kopyasının yetkili bir kurum tarafından saklanması fikrini de benimsememektedirler (Türkiye İçin E-Ticarete Geçiş Durum Değerlendirmesi ve Pilot Uygulama Projesi, 1999:11).

Pretty Good Privacy (PGP) olarak bilinen bir yazılım, bu uygulamanın bir örneğini oluşturmaktadır. Bu yazılım, kullanıcıya anahtarlarını üretme ve gizli anahtarlarını kaydetme olanağı tanımaktadır. Kullanıcı, daha sonra kendisini bir kefiller zincirine dahil etmekte ve kendisini tanıyanların kendisine kefil olmasını sağlamaktadır. Bunun için bir rehbere yazılmakta ve kendisini hiç tanımayanlarında kimliğini kabul etmelerini beklemektedir.

Bu yöntemin avantajlı yönü, güveni, bir ya da birkaç kuruma bağlamayıp, zincirdeki bütün kefillere yaymasıdır. Onay kurumunda yaşanan bir sahtekarlık, onay kurumuyla ilgili tüm kullanıcıları etkiler. Fakat, kefil zincirinin bazı halkalarında görülen sahtekarlıkların etkisi daha yerel kalabilir. Üstünlüklerine rağmen, bu sistemin de bazı sakıncaları vardır. Herhangi bir zincire kefil olma işlemi, yüz yüze bir kimlik doğrulama içermediğinden, resmi işlemlerde kişinin kimliğinin kabul görmesi zor görünmektedir. Öte yandan, rehber hizmeti veren sitenin güvenilir olması zorunludur. Diğer bir sakıncası ise, kullanılan yazılımın, yaygın kullanılan tarayıcılarla uyum sağlama güçlüğüdür. Bu sakınca, yazılımın dağıtımını ve sıradan kullanıcıların kullanımını güçleştirmektedir.

5. ELEKTRONİK VE SAYISAL İMZA

5.1. Elektronik İmza

Sayısal imza ile elektronik imza kavramları birbirine karıştırılmamalıdır. Elektronik imza, verinin üçüncü tarafların erişimine kapalı bir ortamda bütünlüğü bozulmadan ve tarafların kimlikleri doğrulanarak iletildiğini, elektronik veya benzeri araçlarla garanti eden harf karakter veya sembollerden oluşmuş bir seti ifade eder. Günümüzde kullanılan çeşitli elektronik imza türleri vardır. Örneğin, imza dosyaları, biyometri tekniği ile oluşturulan imzalar ve sayısal imzalar en çok bilinen ve tartışılan elektronik imza çeşitleridir (ETKK Hukuk Çalışma Grubu Raporu, 1998:10).

Biyometri (biometric), kişinin fiziksel özelliklerinin ölçümüne veya tekrarlanabilir hareketlerine bağlı olarak kişilerin kimliklerini belirlemede kullanılan yöntemlerdir (A Comparison of The Proposed Rule and Final Rule for 21 Code of Federal Regulations: Part 11, 1997:3). Parmak izi, göz retinası taraması, ses tonu gibi yöntemler biyometri tekniğinde kullanılan elektronik imza çeşitleridir.

Birleşmiş Milletler, Uluslararası Ticaret Hukuk Komisyonunun "Elektronik İmza Hakkında Yeknesak Kurallar" adlı taslağında, güvenli bir elektronik imzada bulunması gereken standart unsurlar şöyle ifade edilmiştir (Elektronik Ticarete İlişkin Bazı Temel Bilgiler, 1999:3-6):

1. Teklik : Elektronik imzaların birbirinden farklı olması anlamına gelmektedir. Ya parmak izi, retina taraması gibi biyometrik yöntemlerle ya da çift anahtar kullanımıyla teklik şartı yerine getirilebilmektedir.
2. Kimlik Tespiti : Elektronik imzanın, imza sahibinin kimliğinin tespitini sağlaması anlamına gelmektedir. Bu tespitin çabuk, nesnel ve otomatik olması özellikleri üzerinde durulmaktadır.
3. Güvenilirlik : Elektronik imzayı kullanan olarak kimliği tespit edilen kişinin, gerçekten mesajı imzalamış olması anlamına gelmektedir. Üçüncü bir güvenilir kişi, örneğin onay makamı, kullanımının yararı dile getirilmektedir.
4. Bağlantı : Mesajla imza arasında bağlantı olması anlamına gelmektedir. Mesaj değiştiğinde, elektronik imza geçersiz hale gelmelidir.

5.2. Sayısal İmza

Sayısal imza, doğrulanan verilerin bütünlüğünü ve imzalayanı tanımlamak için, belirli kural ve parametrelerin birleştirilmesinden oluşan, kriptografi metotlarına dayalı elektronik bir imzadır. (A Comparison of The Proposed Rule and Final Rule for 21 Code of Federal Regulations: Part 11, 1997:3). California sayısal imza kanunu ve düzenlemelerinde sayısal imzanın tanımı şöyle yapılmıştır: Sayısal imza, el imzasının kullanımındaki aynı etkiyi ve gücü sağlamak amacıyla tasarlanan ve bilgisayar tarafından oluşturulan elektronik bir tanıtıcıdır (Frequently Asked Questions About California's Digital Signature Law and Regulations, http://www.ss.ca.gov/digsig/digsigfaq.htm). Bu sayısal imza kanununa göre, sayısal imzanın, el imzasının yerine geçerli olabilmesi için aşağıdaki özellikleri taşıması gerekmektedir:
- Tek olmalıdır,
- Doğrulanabilir olmalıdır,
- Yalnızca kullanan kişinin kontrolü altında olmalıdır,
- Veriyle bağlantılı olmalı, veri değiştirildiğinde sayısal imza geçersiz olmalıdır ve
- Yasal düzenlemelere uygun olmak zorundadır.
Sayısal imza, el imzasına benzer fonksiyonları yerine getiren ve el imzasının yerine geçen elektronik bir veri kümesidir. Sayısal imza, kalem yerine bilgisayar tarafından oluşturulur. Daha teknik bir ifadeyle, sayısal imza, bir elektronik iletişimde mesaj özeti yaratmak amacıyla kullanılan bir bits sırasıdır. Mesaj özeti, açık anahtar algoritması ve göndericinin gizli anahtarı kullanarak şifrelenir. Göndericinin açık anahtarını bilen alıcı, gönderenin açık anahtarını kullanarak, bit dizisinin, bu açık anahtara denk gelen gizli anahtarla oluşturulup oluşturulmadığını ve gönderilen veride bir değişiklik olup olmadığını anlayabilir. Sayısal imza, anlaşılmayan alfanümerik karakter dizilerine benzer (A Report of The ILPF Working Group: Appendix 6, 1997:5).

Aşağıda sayısal imzaya bir örnek gösterilmiştir (A Report of The ILPF Working Group: Appendix 6, 1997:5).

…BEGIN PGP SIGNATURE…

version : 2.6.2
owH4WX1sU1UUP+916+22ysbHDHCBeZAVmg7L9iauNJ
@UuhX250UspaufVsfu8tby1kuxT656hAgsEy4h96+EPBgArB
GNSELGpiNEFMSA80xIzEopiPSEiMRFbPfR/aJW7rlBjR/zb
fo/eedg+599177j3ndS9CW1cI1ge30flw45vgJ85+1z5hPy
wt6uoj65zYURmy2drFnZKT17a/97n/It/Tt11d8dNmyv
gV12K7jt8Lxf
…END PGP SIGNATURE…

Yukarıdaki sayısal imza aşağıdaki e-mail mesajının karşılığını oluşturmaktadır.
October 30, 1995
Dear Order Department
We Commit to purchase 10,000 widgets at your price of $175 per hundred.
Ship to: Industrial Products Co.
55 Retail Drive
Chicago, Illinois 60061
Sincerely,
Purchasing Departmant,
Industrial Products Co.

5.3. Sayısal İmzanın Doğrulanması

Alıcı, sayısal imzalı bir mesaj aldığında, alıcının bilgisayarı göndericinin sayısal imzayı oluşturmak için kullandığı kriptografik ve mesaj özeti oluşturma (hash) fonksiyonu içeren bir programı çalıştırmaktadır. Bu program, göndericinin açık anahtarını kullanarak sayısal imzayı çözmektedir. Eğer program, sayısal imzayı çözerse, alıcı, mesajın doğru kişiden geldiğine emin olmaktadır. Çünkü, göndericinin gizli anahtarıyla şifrelenmiş sayısal imzayı sadece göndericinin açık anahtarı çözebilir. Daha sonra aynı program, ikinci bir mesaj özeti yaratmakta ve bu mesaj özetiyle göndericinin göndermiş olduğu mesaj özetini karşılaştırmaktadır. Eğer, iki mesaj birbirinin aynısı ise, alıcı, mesajın değiştirilmediğinden veya karıştırılmadığından emin olmaktadır (A Report of The ILPF Working Group: Appendix 6, 1997:3).

Sayısal imzanın en yaygın formu, üç adım içermektedir: Bunlar, matematiksel algoritma, şifreleme ve onaydır. Bu üç adım, federal elektronik iletişim için 1994 yılında ABD Hükümeti tarafından kabul edilmiş olan sayısal imza standartlarında (DSS = Digital Signature Standards) tanımlanmıştır (Borasky, 1999:48). İlk adım, mesaj özetini oluşturmaktır. Bu, elektronik dokümana matematiksel bir formül uygulanarak yapılır. Doküman, karmaşık karakterler serisine dönüştürülmekte ve tek olma özelliğini taşımaktadır. Bu mesaj özeti, dokümanın orijinal olduğunun veya değiştirilmediğinin ispatlanmasında kullanılmaktadır.

İkinci adım, mesaj özetini şifrelemek için özel anahtarın kullanılmasıdır. Bu anahtar, özetin sadece istenen kişi tarafından okunmasını sağlar. Şifreleme süreci, tipik olarak açık anahtar kriptolojisi kullanılarak yapılmaktadır. Açık anahtar kriptolojisi, iki anahtar içermektedir. Bunlardan biri gizli anahtar, diğeri açık anahtardır. Kullanıcı, göndereceği mesajı şifrelerken gizli anahtarını kullanmakta ve alıcının gönderilen mesajı çözmesi için, ayrıca açık anahtarını da alıcıya göndermektedir.

İmza sürecinde son adım ise, kullanıcının sayısal kimliğinin onaylanmasıdır. Bu işlemi, onay kurumu adı verilen üçüncü taraf yerine getirmektedir. Onay kurumu, kullanıcıya, sayısal bir kimlik belgesi vermektedir. Kullanıcının kimliğini kontrol etmek isteyen herhangi biri, onay kurumunun veri bankasını kullanarak, kullanıcının açık kimliğine ulaşabilir. Üç adımda gerçekleştirilen sayısal imza sürecini aşağıdaki şekille ifade edebiliriz (Borasky, 1999:48).

Şekil 3: Sayısal İmzalı Bir Dokümanın Gönderilme Süreci



Sayısal imza, dosyayı gönderen kişinin kimliğinin doğrulanmasını sağlar, fakat dosyanın ne zaman gönderildiğini göstermez. Bu amaçla da, zaman pulu (time stamp) kullanılmaktadır. Zaman pulu, belirli bir zamanda dosyanın gönderildiğini gösteren, kritografik dijital bir tasdiktir. Bunu sağlamak amacıyla, dokümana "oluşturulma tarihi" veya "gönderilme tarihi" eklenir. Böylelikle iki taraf arasında çıkabilecek anlaşmazlıklar önlenmiş olur (Froomkin, 1997:131).

5.4. Sayısal İmzanın Üstünlükleri ve Sakıncaları

Sayısal imzanın, geleneksel el imzasına göre bazı üstünlükleri vardır. Bunları şu şekilde sıralayabiliriz (Borasky, 1999:49):
1. Sayısal imza veri bütünlüğünü sağlar. Sayısal imza, doküman ve mesajın değiştirilmediğinin ve karıştırılmadığının bir kanıtını oluşturmaktadır.
2. Sayısal imzanın diğer bir üstünlüğü, kimliklerin belirlenmesinde ortaya çıkmaktadır. Sayısal imza, alıcı ve göndericinin kimliğini tanımlamayı kolaylaştırmaktadır.
3. Sayısal imzanın önemli bir üstünlüğü de, inkar edilememedir. Bunun anlamı, ne gönderici gönderilen mesajı göndermediğini, ne de alıcı, gönderilen veya alınan mesajı almadığını inkar edemezler.
4. Sayısal imza, otomatik tarih ve zaman pulu içermektedir. Bu, ticari işlemlerde büyük bir önem arz etmektedir.
5. Sayısal imza, işlemlerin hızını ve doğruluğunu arttırmaktadır. Örneğin bir banka, binlerce sayısal imzayı el imzasına göre daha hızlı kontrol edebilir.
6. Şifreleme sistemi kullanıldığı için daha güvenlidir.

El imzasının standart bir şekli yoktur. Bir günden diğer güne değişebilir. Bu, imzanın tanımlanmasını zorlaştırmakta ve el imzasını sübjektif bir hale getirmektedir. Ayrıca, el imzaları kolaylıkla kopya edilebilir. Çok sayfalı dokümanlarda, imzadan sonra ilave sayfalar veya silmeler olabilir.

Sayısal imzanın oluşturulmasında en yeni yöntem ve teknolojiler kullanılsa bile, yine de bazı problemler yaşanmaktadır. Sayısal imzanın sakıncalarını, teknolojik uygunluk, güvenlik ve yasal sorunlar açısından inceleyebiliriz..

Teknolojik uygunluk, kullanılan standartların birbirine uygun olması ve bir sayısal imza sisteminin diğer bir sayısal imza sistemiyle konuşabilme yeteneğine sahip olmasıdır. Sürecin işlemesi için alıcı ve satıcının, aynı sayısal imza programını kullanmaları gerekmektedir. Bu farklılığı gidermek için ortak standartlar belirlenmelidir. UNCITRAL (United Nations Commisions on International Trade Law) ve OECD gibi bazı uluslararası kuruluşlar bu yönde çalışmalar yapmaktadırlar.

Yapılan işlemlerde güvenliği sağlamak için kullanılan bilgisayar teknolojisinin ve yazılımların da gelişmiş ve güvenilir olması gerekmektedir. Özellikle teknolojik zayıflık, güvenlik sorunlarına neden olmaktadır. Şifre kırıcılar (hackerler), gizli veya özel şifrelere ulaşabilirler. Sayısal imzada kullanılan açık/gizli anahtarlar, 40 bit uzunluğunda olmaktadır, fakat bu anahtar uzunluğu kolaylıkla kırılabilir veya çözülebilir. Bugünkü anahtar standartları genellikle 128 bit'dir.

Sayısal imzayla ilgili yasal sorunlar daha karmaşıktır. Sayısal imzanın yasal olarak kabul edilebilirliği konusunda, yaygın bir görüş birliği vardır. Buna rağmen, yasal arenada cevaplanmamış birçok soru vardır. Amerika'da çoğu eyalet, sayısal imza konusunda yasal düzenlemeler yapmıştır. Fakat, bunlar farklılıklar içermektedir. Teknoloji çok hızlı değiştiği için, yapılan yasa ve düzenlemelerin esnek olmasına ve teknolojik yenilikleri engellememesine dikkat edilmelidir. Eyaletler arasındaki düzenlemelerin farklı olması, çıkan sorunların çözümünü de zorlaştırmaktadır. Bunun için, ulusal ve hatta uluslararası standartların belirlenmesi gerekmektedir. Diğer bir yasal sorun, onay kurumları ve bunların kimlik vermelerinde ortaya çıkmaktadır. Bunların da standartlaştırılması gerekmektedir (Borasky, 1999:49).

SONUÇ

İnternetin kullanımının ve internet üzerinden yapılan ticari işlemler hacminin sürekli artmasına karşın, özellikle, internet üzerinden yapılan veri transferinin ve e-ticaretin yaygınlaşmasının önündeki en büyük engelin, güvenlik sorunu olduğu görülmektedir. Kullanıcılara yönelik olarak yapılan araştırmalar da bu görüşü desteklemektedir. Zaman içinde, yeni güvenlik teknolojilerinin geliştirilmesine rağmen, bir taraftan aynı teknolojilerin, kötü niyetli kişi veya kurumlar tarafından da kullanılması, diğer taraftan, yeni güvenlik sistemlerini ve yazılımlarını etkisiz kılan teknolojilerin geliştirilmesi, güvenlik sorununun önemini korumasına neden olmaktadır. Fakat, son yıllarda, kriptografi, sayısal imza ve biyometri alanındaki gelişmeler ve onay kurumu, elektronik noter, zaman damga pulu gibi uygulamaların yaygınlaşması, internet ortamını daha güvenli hale getirerek, güvenlik sorununun çözümünü kolaylaştıracaktır.

İnternet üzerinden gönderilen ve alınan veri veya mesajların, yetkisiz kişiler tarafından okunmaması veya değiştirilmemesi için, şifreleme yöntemleri ile ilgili teknik ve yasal çalışmalar bir çok ülke tarafından yapılmaktadır. Ülkemizde, kriptografi ile ilgili çalışmalar, TÜBİTAK'a bağlı olarak kurulan Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) tarafından yapılmaktadır. UEKAE, ulusal bilgi güvenliği ve ileri elektronik teknolojileri alanlarında Türkiye'nin teknolojik bağımsızlığını sağlamaya katkıda bulunma ana hedefi doğrultusunda, temel ve uygulamalı araştırmalar yapmakta ve ihtiyaç sahiplerine teknik destek sağlamaktadır.

Elektronik ticaretin gelişebilmesi ve kullanıcılar tarafından benimsenebilmesinin ilk şartı, internet üzerinden yapılan işlemlere hukuki açıdan duyulan güvenin sağlanmasıdır. Bu güveni oluşturmanın ve taraflar arasında iletilen bilginin gizliliğini ve bütünlüğünü sağlamanın bir yolu, elektronik imzadır. Bu nedenle, elektronik ticaretle ilgili yasal çalışmalar, bir çok ülke tarafından yapılmış veya yapılma aşamasındadır. Fransa, Almanya, Belçika, ABD, Kanada, Arjantin, Brezilya, Japonya, Singapur, Hindistan, Rusya, İsrail ve Avustralya gibi bir çok ülkede elektronik imzayla ilgili yasal düzenlemeler yapılmıştır.

Türkiye'de, elektronik imzayla ilgili çalışmalar, Dış Ticaret Müsteşarlığı'nın koordinasyonunda kurulan, Elektronik Ticaret Koordinasyon Kurulu (ETKK) tarafından başlatılmıştır. ETKK Hukuk Alt Çalışma Grubu, uluslararası uygulamaları ve AB mevzuatını göz önünde bulundurarak ve Türk hukuk sisteminin özelliklerini dikkate alarak "Elektronik Veri, Elektronik Sözleşme ve Elektronik İmza Kanunu Tasarısı" taslağını hazırlamış ve Başbakanlığa göndermiştir. Adalet Bakanlığı da elektronik imzanın düzenlenmesine ilişkin kanun taslağının hazırlanması için bir komisyon oluşturmuş ve oluşturulan komisyonun hazırladığı "Elektronik İmzanın Düzenlenmesi Hakkında Kanun Tasarısı" taslağı Başbakanlığa gönderilmiştir. Kasım ayında yapılan seçimler sonrasında 59. Hükümetin kurulması üzerine, Adalet Bakanlığı, hazırladığı Kanun Tasarısı taslağını yenileyerek Başbakanlığa tekrar göndermiş ve tasarı, TBMM'ye sevk edilmiştir. "Elektronik İmza Kanunu", 15 Ocak 2004 tarihinde TBMM'de kabul edilmiş ve 23 Ocak 2004 tarihinde 25353 sayılı Resmi Gazete'de yayımlanmıştır. Elektronik imzanın hukukî ve teknik yönleri ile kullanımına ilişkin esasları düzenleyen bu Kanun, yayım tarihinden altı ay sonra yürürlüğe girecektir.

YARARLANILAN KAYNAKLAR

-ADAM, Nabil, Oktay DOGRAMACI, Arrya GANGOPADHYAY ve Yelena YESHA, Electronic Commerce: Technical, Business and Legal Issues, Prentice-Hall Pres., NewJersey, 1999.
- BORASKY, V. Danielle, "Digital Signature: Secure Transactions or Standards Mess?" Online, July/August 1999.
-A Comparison of The Proposed Rule and Final Rule for 21 Code of Federal Regulations, Part 11; Electronic Records; Electronic Signatures, March 1997, http://www.fda.gov/ora/compliance_ref/part11/FRs
/background/pt11pxf.htm, 12.10.2003.
-Türkiye İçin E-Ticarete Geçiş Durum Değerlendirmesi ve Pilot Uygulama Projesi, İGEME, 1999, http://www.igeme.org.tr/TUR/atn/etsop.pdf, 08.10.2003.
-Elektronik Ticaret Koordinasyon Kurulu (ETKK) Hukuk Çalışma Grubu Raporu, 1998, http://www.e-ticaret.gov.tr/raporlar/hukuk.htm, 08.10.2003.
-Elektronik Ticaret Terimler Sözlüğü,
http://www.e-ticaret.gov.tr/kutuphane/sozluk.htm, 08.10.2003.
-Elektronik Ticarete İlişkin Bazı Temel Belgeler, DPT Yayınları, Ankara, Mayıs 1999.
-Frequently Asked Questions About California's Digital Signature Law and Regulations, http://www.ss.ca.gov/digsig/digsigfaq.htm, 12.10.2003.
-FROOMKIN, Michael, "The Essential Role of Trusted Third Parties in Electronic Commerce" Readings in Electronic Commerce, Editors: Kavi Kalakota ve Andrew B. Whiston, 1997.
-FUINELL, S.M. ve T. KARWENI, "Security Implications of Electronic Commerce: A Survey of Consumers and Business" Internet Research: Electronic Networking Applications and Policy, Volume 9, Number 5, 1999.
-HALSEY, S. Bill, "An Introduction to Certification Authorities and Public Key Cryptography", Argonne National Laboratory, 1996, http://www.anl.gov/ECT/certify/CA-Overview.html, 12.10.2003.
-HASSLER, Vesna ve Helmut BIELY, "Digital Signature Management", Internet Research: Electronic Networking Applications and Policy, Volume 9, Number:4, 1999.
-KALAKOTA, Kavi ve Andrew B. WHINSTON, Electronic Commerce, Addison Wesley Longman, Inc., U.S.A., 1997.
-A Report of The ILPF (Internet Law & Policy Forum) Working Group on Certification Authority Practices: Background, "The Role of Certification Authorities in Consumer Transanctions" April 1997, http://www.ilpf.org/groups/ca/back.htm, 10.10.2003.
-A Report of The ILPF (Internet Law & Policy Forum) Working Group on Certification Authority Practices: "The Role of Certification Authorities in Consumer Transanctions", Appendix 6: Selected Bibliography on Description of Digital Signatures, April 1997, http://www.ilpf.org/groups/ca/app6.htm, 10.10.2003.
-SINGH, Charanjit Singh ve Mark N. FROLICK, "Ibuttons : Building the Infrastucture for More Secure E-commerce", Infrormation Systems Security, Vol 8 Issue 4, Winter 2000.

62891 kez görüldü, 3 kez indirildi.

<< --
 
EBSCO
PROQUEST
CABELLS DIRECTORY
INDEX COPERNICUS
SOCIOLOGICAL ABSTRACTS
ASOS Akademia Sosyal Bilimler Index
Üye Girişi
DUYURULAR/HABERLER
Dergide yayınlanan yazılardaki görüşler ve bu konudaki sorumluluk yazarlarına aittir.
Ampirik veriler, değerlendirme sürecinde hakem veya hakemler tarafından talep edilirse, yazar veya yazarlar ilgili verileri paylaşırlar.
Bu verilerin bir başka çalışmada kullanılmaması esastır.
© 2000 - 2024 İş,Güç Endüstri İlişkileri ve İnsan Kaynakları Dergisi