Kamu Sertifikasyon Merkezi

Vikipedi, özgür ansiklopedi
Atla: kullan, ara
Elektronik imza (e-imza) Güvenli elektronik imza oluşturma aracı - Sim Kart ve USB Bellek

Kamu Sertifikasyon Merkezi (Kamu SM®), Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK) Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) bünyesinde 2005 yılında kurulmuştur. Türkiye'nin ilk elektronik sertifika hizmet sağlayıcısı olan Kamu SM®, 5070 sayılı Elektronik İmza Kanununa uygun olarak kurulmuş ve işletilmektedir.

TÜBİTAK UEKAE, bilgi güvenliği ve elektronik imza teknolojilerindeki yetkinliğinden dolayı Kamu Sertifikasyon Merkezi'ni oluşturmakla görevlendirilmiştir.

Elektronik imza (e-imza) nedir?[değiştir | kaynağı değiştir]

Sürekli ilerleyen teknolojiye ve internet kullanımındaki büyük artışa paralel olarak büyüyen veri transfer sistemleri sayesinde; kişi ve kuruluşların özel ve resmi haberleşmelerinde kullandıkları kâğıt, yerini tamamen elektronik dokümanlara bırakmaya başlamıştır. Bankacılık işlemleri ve her gün internet üzerinden yapılan yüz binlerce alışveriş buna verilebilecek örnekler arasında yer almaktadır.

Bu yeni iletişim biçimine ek olarak, faydalandığımız hizmetlerin güvenliğinin ve güvenirliğinin sağlanması da zorunlu hale gelmiştir. Elektronik ortamda karşımıza çıkacak sorunlar kâğıt ortamda karşılaşacağımız risklerle genelde hayli benzer unsurlardır. Kağıda atılan imzada olduğu gibi elektronik ortamda atılan “elektronik imza / e-imza” haberleşmenin güvenliğinin ve güvenirliğinin vazgeçilmez ihtiyacıdır. Elektronik imza kısaca elektronik veriye eklenen ya da mantıksal bağlantısı bulunan, kimlik doğrulama amacıyla kullanılan elektronik bir veridir. Islak imza nasıl bir kağıda atılan imzanın size ait olduğunu ispatlamaktaysa, elektronik imza da herhangi bir elektronik dokümana eklenen imzalama verisiyle dokümanın size ait olup olmadığını ispatlamaktadır.

Belgelerin elektronik ortamda imzalanması için dünyaca kullanılan en güvenilir yöntem, Açık Anahtar Altyapısı (AAA, PKI = Public Key Infrastructure) teknolojisidir. AAA teknolojisi kullanılarak oluşturulan elektronik imzalama verisi kişiye ve imzalanan dokümana özeldir, bu nedenle başkaları tarafından taklit edilemez ve imzalı belge üzerinde değişiklik yapılamaz. İstenildiğinde elektronik imzalama verisinin doğruluğu kontrol edilebilir. Elektronik imza, imzalayan kişinin kimlik doğruluğunu ispatlar; imzalanan verinin içeriğinin başka bir şahıs tarafından değiştirilip değiştirilmediğini (bütünlüğünün bozulup bozulmadığını) ortaya koyar.

Elektronik imza verisi kişiye özgü bir anahtara ve imzalanacak dokümanın elektronik içeriğinden alınacak veriye göre üretilir. Bu nedenle doküman imzalandıktan (imzalama verisi üretildikten) sonra dokümanda yapılacak en küçük değişiklik dokümanın elektronik içeriğinin değişmesine dolayısıyla imzalama verisinin değişmesine neden olacaktır. Böyle bir durumdaki dokümanın imza kontrolü yapıldığında açığa çıkacak imzalama verisi, dokümanın mevcut imzalama verisiyle farklılık göstereceğinden, dokümanın içeriğinin değiştirilip değiştirilmedi (bütünlüğünün bozulup bozulmadığı) açığa çıkacaktır. Yani imzalanan içerik şuanki içerikten farklı olduğundan imza geçersiz sayılacaktır.

Elektronik imzanın atılabilmesi için kişiye ait bir Nitelikli Elektronik Sertifika'nın (NES) olması gerekir. Nitelikli elektronik sertifika üretilirken kişiye özel iki adet anahtar üretilir, bu veri çifti her kişi için farklıdır. Bunlardan birisi Açık Anahtar (Public Key) diğeri ise Özel Anahtar (Private Key) dır. Sadece sizin için üretilen Özel Anahtarınız akıllı kart içerisinde size teslim edilir. Bu verinin akıllı karttan çıkarılması mümkün değildir. Size ait Açık Anahtarınız ise isteğinize bağlı olarak, herkesin erişimine açık bir dizin sisteminde tutulmaktadır. Özel anahtarınızı kullanarak, imzalama programı ile elektronik dokümana ait imzalama verisi oluşturulur. Açık Anahtarınız ile de imzalanan elektronik dokümandaki imzalama verisinin size ait olup olmadığı kontrol edilir. Bu sayede elektronik dokümanın elektronik imzalaması ve doğrulaması gerçekleştirilmiş olur.

Kamu SM[değiştir | kaynağı değiştir]

Kamu SM®, kişilerin kimlik doğrulamasını sağlayıcı nitelikli sertifikasyon servislerde, elektronik belgelerin, elektronik veri ve donanımların güvenilirlik ve güvenliğini sağlayıcı hizmetlerde uzmanlaşmıştır. Kamu SM® tarafından oluşturulan elektronik imza, belgeyi imzalayan kişinin kimliğini tanıma amacıyla kullanılmaktadır ayrıca imzalı elektronik verinin/belgenin değiştirilip değiştirilmediğini tanımaya olanak vermektedir.

Kamu SM®, 5070 sayılı kanuna uygun Nitelikli Elektronik Sertifikaları hazırlamak ve bu sertifikaları imza oluşturma verileriyle birlikte Güvenli Elektronik İmza Donanım Araçlarına yükleyerek alıcılarına teslim etmekle yükümlüdür. Kamu SM®, sertifika başvurusunda bulunan kişilerin başvuru bilgilerini toplarken, sertifikaları hazırlarken ve teslim ederken güvenli ürün ve sistemleri kullanmak, hizmeti güvenilir bir biçimde yürütmek, sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri almak ile yükümlüdür.

Kamu SM® tarafından sağlanan ürün ve hizmetler UEKAE Açık Anahtar Altyapısına (MA3) dayanmaktadır. Bu ürün ve hizmetler kamu ve özel sektörü hedeflemektedir. Sağlanan hizmet ve ürünlerin genel çerçevesi aşağıda listelenmiştir:

Ürünler ve hizmetleri[değiştir | kaynağı değiştir]

  • Güvenli elektronik imza için nitelikli elektronik sertifika üretimi ve yönetimi: Nitelikli elektronik sertifikalar, belgeyi imzalayan kişinin kimliğini doğrulamak amaçlı kullanılırlar. Ayrıca bu sertifikalar elektronik verinin herhangi bir değişikliğe uğramadığını garanti etmek amaçlı kullalmaktadırlar. Nitelikli elektronik sertifikalar X.509 standartlarında üretilmekte ve bu standarta uyan web tarayıcılara, akıllı kartlara ve tokenlara yüklenebilmektedirler.
  • Niteliksiz genel kullanım amaçlı e-imza için elektronik sertifika üretimi, veritabanları, uygulamalar ve domain log-on sertifikları üretimi, e-mail koruma, SSL sunucu koruma ve VPN log-on amaçlı sertifikların üretimi, kod (program) imzalama amaçlı sertifika üretimi
  • Şirketlerin var olan bilgi sistemleri altyapısını e-imza uyumlu hale getirici yazılım kütüphaneleri (applet ve API gibi).
  • Güvenli zaman damgalama hizmeti (Time Stamp Services): Güvenli zaman damgalama hizmeti, bir veri veya belgenin yaratılma ve değiştirilme tarihinin güvenli olarak zaman kaydı ile ilişkilendirilmesi işlemidir. Çevrim İçi Sertifika Durum Protokol (ÇİSDUP) hizmeti (OCSP Services): X.509 standartına uygun olarak üretilmiş sertifikanın, iptal durumda olup olmadığını Sertifika İptal Listeleri (SİL)'ne bakmadan sorgulanabilmesini ÇİSDUP sağlamaktadır. Bu protokol RFC 2560'da tanımlıdır.
  • Elektronik İmza konusunda şirketlere ve kamu kurum/kuruluşlarına danışmanlık verilmesi.
  • Şirketlerin ve kamu kurum/kuruluşlarının Elektronik İmza Uyum denetiminin gerçekleştirilmesi.

Kaynakça[değiştir | kaynağı değiştir]