Dijital İmzalar Nedir?
Dijital imzalar elektronik “parmak izleri” gibidir. Dijital imza, kodlanmış bir mesaj biçiminde, imzalayanı kayıtlı bir işlemdeki bir belge ile güvenli bir şekilde ilişkilendirir. Dijital imzalar , en yüksek düzeyde güvenlik ve evrensel kabul sağlamak için Genel Anahtar Altyapısı (PKI) adı verilen standart, kabul edilmiş bir biçim kullanır. Dijital imza denilen kavram elektronik imzanın (e-İmza) özel bir imza teknolojisi uygulamasıdır.
Dijital İmza ile Elektronik İmza Arasındaki Fark Nedir?
Geniş elektronik imza kategorisi (e-İmza) birçok elektronik imza türünü kapsar. Dijital imzalar ise, elektronik imzaların belirli bir teknoloji uygulamasıdır. Hem dijital imzalar hem de diğer e-İmza çözümleri, belgeleri imzalamanıza ve imzalayanın kimliğini doğrulamanıza olanak tanır. Bununla birlikte dijital imzalar, amacı, teknik uygulaması, coğrafi kullanımı, yasal ve kültürel kabulü ile diğer e-İmza türleri arasında farklılık gösterir.
Özellikle, e-İmzalar için dijital imza teknolojisinin kullanımı, Amerika Birleşik Devletleri, Birleşik Krallık, Kanada ve Avustralya dahil olmak üzere açık, teknolojiden bağımsız e-İmza yasalarını ve yerel olarak tanımlanmış standartları tercih eden katmanlı e-İmza modellerini izleyen ülkeler arasında önemli ölçüde farklılık gösterir. Avrupa Birliği, Güney Amerika ve Asya’daki pek çok ülke dahil olmak üzere dijital imza teknolojisine dayalı. Ek olarak, bazı endüstriler, dijital imza teknolojisine dayalı belirli standartları da destekler.
Dijital İmzalar Nasıl Çalışır?
El yazısı imzalar gibi dijital imzalar da her imzalayan için benzersizdir. Dijital imza çözüm sağlayıcıları, Genel Anahtar Altyapısı (PKI) adı verilen belirli bir protokolü izler. PKI, sağlayıcının anahtar adı verilen iki uzun sayı oluşturmak için matematiksel bir algoritma kullanmasını gerektirir. Bu anahtar herkese açıktır ve özeldir.
İmzalayan bir belgeyi elektronik olarak imzaladığında imza, imzalayanın her zaman güvenli bir şekilde sakladığı özel anahtarı kullanılarak oluşturulur. Matematiksel algoritma bir şifre gibi davranır. İmzalanmış belgeyle eşleşen, hash adı verilen veriler oluşturur ve bu verileri şifreler. Ortaya çıkan şifrelenmiş veriler dijital imzadır. İmza ayrıca belgenin imzalandığı zaman ile işaretlenir. İmzalamadan sonra belge değişirse dijital imza geçersiz kılınır.
Örnek olarak Jane, özel anahtarını kullanarak bir devre mülk satmak için bir anlaşma imzalar. Alıcı, belgeyi alır. Belgeyi alan alıcı, Jane’in genel anahtarının bir kopyasını da alır. Genel anahtar imzanın şifresini çözemezse (anahtarların oluşturulduğu şifre aracılığıyla), bu, imzanın Jane’e ait olmadığı veya imzalandıktan sonra değiştirildiği anlamına gelir. İmza daha sonra geçersiz sayılır.
İmzanın bütünlüğünü korumak için PKI, anahtarların güvenli bir şekilde oluşturulmasını, yürütülmesini ve kaydedilmesini gerektirir ve genellikle güvenilir bir Sertifika Yetkilisinin (CA) hizmetlerini gerektirir. Dijital imza sağlayıcıları, güvenli dijital imzalama için PKI gereksinimlerini karşılar.
Neden Dijital İmza Kullanmalıyım?
Pek çok sektör ve coğrafi bölge, dijital imza teknolojisine dayalı e-İmza standartları ve iş belgeleri için belirli sertifikalı CA’lar oluşturmuştur. PKI teknolojisine dayalı bu yerel standartları takip etmek ve güvenilir bir sertifika yetkilisiyle çalışmak, her yerel pazarda bir e-imza çözümünün uygulanabilirliğini ve kabulünü sağlayabilir. PKI metodolojisini kullanarak, dijital imzalar, imzaladıktan sonra belgede sahtecilik veya değişikliklerin önlenmesine yardımcı olan uluslararası, iyi anlaşılmış, standartlara dayalı bir teknoloji kullanır.
Nasıl Dijital İmza Oluşturabilirim?
Dijital imza teknolojisine dayalı çözümler sunan e-imza sağlayıcıları, belgelerin dijital olarak imzalanmasını kolaylaştırır. Belgelerin çevrimiçi olarak gönderilmesi ve imzalanması için bir arabirim sağlarlar ve güvenilir dijital sertifikalar sağlamak için uygun Sertifika Yetkilileriyle birlikte çalışırlar.
Kullandığınız Sertifika Yetkilisine bağlı olarak, belirli bilgiler sağlamanız gerekebilir. İmza için kime belge gönderdiğiniz ve bunları gönderme sıranızla ilgili kısıtlamalar ve sınırlamalar da olabilir.
Genel Anahtar Altyapısı (PKI) Nedir?
Genel Anahtar Altyapısı (PKI), dijital imzaların oluşturulmasına izin veren bir dizi gereksinimdir. PKI aracılığıyla, her dijital imza işlemi bir çift anahtar içerir: bir özel anahtar ve bir genel anahtar. Özel anahtar, adından da anlaşılacağı gibi paylaşılmaz ve yalnızca imzalayan tarafından belgeleri elektronik olarak imzalamak için kullanılır. Açık anahtar, açık bir şekilde mevcuttur ve imzalayanın elektronik imzasını doğrulaması gereken kişiler tarafından kullanılır.
Sertifika Yetkilisi (CA) Nedir?
Dijital imzalar, genel ve özel anahtarlara dayanır. Güvenliği sağlamak, sahtecilik veya kötü amaçlı kullanımdan kaçınmak için bu anahtarların korunması gerekir. Bir belge gönderdiğinizde veya imzaladığınızda, belgelerin ve anahtarların güvenli bir şekilde oluşturulduğundan ve geçerli anahtarlar kullandıklarından emin olmanız gerekir. Bir tür Güven Hizmet Sağlayıcısı olan CA’lar, anahtar güvenliğini sağlamak için güvenilir oldukları yaygın olarak kabul edilen ve gerekli dijital sertifikaları sağlayabilen üçüncü taraf kuruluşlardır. Hem belgeyi gönderen tüzel kişi hem de belgeyi imzalayan alıcı belirli bir CA’yı kullanmayı kabul etmelidir.
Dijital Sertifika Nedir?
Dijital sertifika, bir Sertifika Yetkilisi (CA) tarafından verilen elektronik bir belgedir. Dijital imza için genel anahtarı içerir ve bir kuruluşun adı gibi anahtarla ilişkili kimliği belirtir. Sertifika, genel anahtarın belirli bir kuruluşa ait olduğunu doğrulamak için kullanılır. CA garantör olarak hareket eder. Dijital sertifikalar güvenilir bir yetkili tarafından verilmelidir ve yalnızca belirli bir süre için geçerlidir. Dijital imza oluşturmak için gereklidirler.
Dijital İmza Teknolojisine Dayalı e-İmza Yasal Olarak Uygulanabilir Mi?
Evet. AB, Elektronik İmzalar için AB Direktifini 1999 yılında kabul etti. Ayrıca Amerika Birleşik Devletleri, 2000 yılında Küresel ve Ulusal Ticaret Yasasında (ESIGN) Elektronik İmzaları kabul etti. Her iki eylem de elektronik olarak imzalanmış sözleşmeler ve kağıt tabanlı sözleşmeler gibi yasal olarak bağlayıcı belgeler oluşturdu. O zamandan beri, elektronik imzaların yasallığı birçok kez onaylandı.
Şimdiye kadar, çoğu ülke, yerel olarak yönetilen, dijital imza teknolojisi tabanlı e-İmzaların birçok bölgede AB modeli tercih edilmesiyle, Amerika Birleşik Devletleri veya Avrupa Birliği modelini örnek alan yasa ve yönetmelikleri kabul etti. Buna ek olarak, birçok şirket, dijital imza teknolojisi kullanılarak elde edilen, endüstrileri tarafından oluşturulan düzenlemelere uyumu iyileştirmiştir. Bu ülkeye ve sektöre özgü düzenlemeler sürekli olarak gelişmektedir; bunun en önemli örneği, Avrupa Birliği’nde yakın zamanda kabul edilen Elektronik kimlik ve güven hizmetleri (eIDAS) düzenlemesidir.