ELEKTRONİK VE MOBİL İMZA UYGULAMALARI

Veysel KARATAŞ

Hayatımız Elektronik Ortama Taşınıyor E-Türkiye

E-Ticaret

E-Devlet

E-imza Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Elektronik imza nedir?

5070 sayılı Elektronik İmza Kanunu’nda yer alan şekliyle elektronik imza; başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi tanımlar.

Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Elektronik İmza Kanunu



5070 sayılı Elektronik İmza Kanunu 23 Ocak 2004’te 25355 sayılı resmi gazetede yayımlandı ve 23 Temmuz 2004’te yürürlüğe girdi.

Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Elektronik İmza Başvurusu • Elektronik imza atmak için 5070 Sayılı Elektronik İmza Kanununa göre gerçek kişilerin Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yetkilendirilmiş bir Elektronik Sertifika Hizmet Sağlayıcısından (ESHS) Nitelikli Elektronik Sertifika (NES) alması gerekir. • Başvuru sahibi kimlik tespiti esnasında bizzat hazır bulunmalıdır. Nüfus Cüzdanı, pasaport veya sürücü belgesi gibi fotoğraflı ve geçerli resmi belgelerden herhangi birinin aslı ile başvuru yapılabilir. Ayrıca kişi kimlik teyidi yapılabilmesi için TC Kimlik numarasını da vermek zorundadır, ibraz edilen kimliğin bir nüshası ESHS’ye verilir. Kimliğini tespit ettiren başvuru sahibinin, bir nitelikli elektronik sertifika kullanıcı sözleşmesini ve ekinde yer alan sertifika başvuru formunu doldurması ve ıslak imza ile imzalayarak onaylaması gereklidir. Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Nitelikli Sertifika Nedir?

n n

Kişinin adı, soyadı Çalıştığı işyeri bilgileri n n n n n

Sicil numarası T.C. kimlik no Sertifikayı veren kurum bilgileri Sertifika iptal listesinin yayınlandığı yer Geçerlilik süresi n

Sertifikanın kullanım alanları Sayısal imza Şifreleme Web sitesine bağlanma n

n

n



Kişinin açık anahtarı

Sertifikayı veren kurumun imzası

ESHS gerekli güvenlik kontrollerini yaparak kişinin sertifikasını üretir ve ilgili anahtarları güvenli elektronik imza oluşturma araçları olan akıllı kart veya tokenlara yükler. Kişiye sertifikası ve özel imzalama anahtarı akıllı kart/token içinde güvenli olarak teslim edilmektedir. Akıllı kartı bilgisayar ile beraber kullanmak için bir akıllı kart okuyucusunun kullanılması gereklidir. NES, akıllı kart ve akıllı kart okuyucunun bilgisayar ortamında kullanılması için bunları destekleyen sürücü yazılımları kullanılmalıdır.

Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Ne Gerekiyor ? • 5070 sayılı Kanuna göre imzalama işlemlerinin güvenlik seviyesi yüksek ve kişiye ait ayrı bir araç üzerinde yapılması gerekiyor. Bu tanıma uygun olarak günümüzde aşağıdaki araçlar kullanılabiliyor

AKILLI KART

TOKEN

Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

E-imza Atmak İçin • • • •





Akıllı kart okuyucuyu bilgisayarınızın USB girişine takınız. Akıllı kartınızı okuyucuya yerleştiriniz (ya da doğrudan token’ı takınız). İmzalama yapacağınız uygulamayı açınız. İmzala seçeneğini tıkladığınızda imzalamak istediğiniz dokümanın özeti alınacak akıllı kartınıza gönderilecek ve imzanıza erişim şifrenizi soran bir ekran gelecektir. İmzalama şifrenizi giriniz. (İmzalama esnasında istenirse sertifikanın Geçerli olup olmadığı Sertifika İptal Listelerinden (SİL) veya OCSP Çevrimiçi Sertifika Durum Protokolünden kontrol edilir.) İmzalama işlemi sonucu başarılı dönmüşse artık dokümanınız imzalanmış ve gönderime, saklanmaya hazırdır. Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

E-İmza / Islak İmza ü 5070 sayılı Elektronik İmza Kanunu’na göre Elektronik İmza Islak İmza ile aynı hukuki sonucu doğurur. ü Islak imza belgeyi sadece kişinin kimliği ile ilişkilendirirken elektronik imza hem kişinin kimliği hem de belgenin içeriği ile bağlantı kurar. ü Elektronik imzanın taklit edilmesi olasılığı, imzalama aracı ve erişim şifreleri iyi korunduğu sürece ıslak imzaya oranla çok çok düşüktür. ü Elektronik imzalar sigortalıdır.

Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Elektronik İmza = Mobil İmza • TEKNOLOJİ GELİŞİYOR! • E-İMZA ATMAK İÇİN ARTIK BİR ARAÇ DAHA V AR...

Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Elektronik İmza = Mobil İmza •

28.06.2008 TARİHLİ ELEKTRONİK İMZA İLE İLGİLİ SÜREÇLERE VE TEKNİK KRİTERLERE İLİŞKİN TEBLİĞ’DE DEĞİŞİKLİK Y APILMASINA DAİR TEBLİĞ İLE MOBİL VE ELEKTRONİK İMZANIN EŞDEĞERLİĞİ Y A YINLANDI.

Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Mobil İmza Nedir ? Ø

Tanım –

Ø

Ø

Bir mobil cihaz içerisindeki SIM kartta üretilen elektronik imza

Diğer İsimler Ø

Mobil Elektronik İmza

Ø

m-İmza

Ø

me-İmza

İmzalama Anahtarı Ø

SIM kartta şifreli olarak saklı

Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Türkiye’de Mobil İmza Ø

Tarihçe

Ø

Operatörlerin Durumu Ø

Turkcell – Şubat 2007

Ø

Avea – Şubat 2008

Ø

V odafone – hazırlanıyor.



Turkcell, 19 A yda 1.8 milyon Mobil İmzalı İşlemi Geride Bıraktı. ( Türk İnternet.com haber merkezi)

Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Mobil İmza Sertifikası Nasıl Alınır ? Kişi mobil imza başvurusunu banka arayüzü veya mobil hizmet sağlayıcının web sayfası üzerinden yapar. Kimlik doğrulama işlemleri ESHS’ler tarafından yapılacaktır. Bireysel başvurularda kişiler; • İlgili GSM Operatörüne giderek SIM kartlarını 128 K SIM kartla değiştirir ve taahhütnamelerini imzalarlar. • GSM Operatörü tarafına yapılan bu bildirimler sisteme alınıp ilgili ESHS’ lerle gerekli sertifikasyon süreci tamamlanır. • Başvuruyu takip eden 1 hafta içerisinde GSM Operatörünün Müşteri Hizmetleri kişiyi arayarak, servisi başlatabilmek için kullanacağı Başlatma Kodu'nu iletir. • Kişi başlatma kodunu girerek SIM kartında 6 haneli İmzalama şifresini belirler. Artık mobil imza kişinin kullanımına hazırdır. Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Mobil İmzanın Avantajları v Akıllı kart ya da token’a erişmek için sürücü yazılımlarının (driver) kullanıcı bilgisayarlarında kurulmuş olması gerekir, mobil imzada böyle bir yazılıma ihtiyaç yoktur. Böylece driver’i kurmadım, bilgisayarımda problem çıktı, yazılımın güncellenmesi gerek gibi çeşitli kullanıcı sorunları ortadan kalkmaktadır. Ayrıca bu durumda kullanıcılar rahatlıkla internet kafe gibi genel alanlarda da sürücü yazılımı kurmaya gerek kalmadan elektronik imzalı işlemlerini yapabilirler. v Sahada birçok kart kullanımı mevcuttur ve bazı kartlar her ne kadar standartlara uygun olarak görünse de birçok problem ortaya çıkmaktadır. Mobil imza kart ve kart okuyucuya ilişkin tüm işlemleri cep telefonuna yüklediği için burada sorun çıkma olasılığı yoktur. Olsa da bu durum GSM operatörleri sorumluluğundadır. Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Mobil İmzanın Avantajları v Kullanıcıların yanında akıllı kart ile birlikte okuyucu taşımaları çeşitli zorluklar yaratmaktadır. Cep telefonu herkesin sürekli yanında olan bir araçtır. v Elektronik imza almak için Elektronik Sertifika Hizmet Sağlayıcılarına (ESHS) başvurmak gereklidir ya da noter üzerinden kimlik doğrulama yapılmalıdır. Bu zor bir süreçtir. Mobil imzada GSM operatörlerinin yaygın başvuru merkezleri ve başvuru alan banka gibi güvenilir kurumlar sayesinde bu süreç oldukça kolaylaşmış ve yaygınlaşmıştır. v Mobil imza için günümüzde belirlenen fiyatlar çok daha ucuzdur. Kullanıcılar dilerlerse limitsiz imza atmak için ayda KDV , ÖİV dahil 5 TL ödeyebilir ya da işlem başına 1 SMS ödeyerek az işlem yapanlar için çok daha hesaplı bir modeli seçebilirler. Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

ELEKTRONİK ve MOBİL İMZA NE SAĞLAR ?

Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Veri Bütünlüğü

? Değişti mi

Veri bütünlüğü: V erinin izinsiz veya yanlışlıkla değiştirilmesini, silinmesini ve veriye ekleme yapılmasını önler. Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Kimlik Doğrulama ve Onaylama

• Kimlik doğrulama: Mesajın iletiminin geçerliliğini ve mesaj sahibinin kimliğini doğrulamayı sağlar. Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

İnkar Edememe

İnkar edilemezlik: Bireylerin elektronik ortamda gerçekleştirdikleri işlemleri veya yüklendikleri taahhütleri inkar etmelerini önler. Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

E-İMZA VE MOBİL İMZA KULLANMANIN FAYDALARI ?

Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

E-imza ve M-imza Kullanmanın Faydaları-1 ü Elektronik ortamda karşımızdakinin kim olduğundan emin olabiliriz ü V eriler elektronik ortamda iletilirken veya saklanırken değiştirildiğinde haberdar olabiliriz ü İşlemi yapan kişinin inkar etmesini önleyebilir, işlemleri ispatlayabiliriz ü Elektronik imza 5070 sayılı kanunla ıslak imzaya eşdeğer kılınmıştır, bu nedenle elektronik ortamda yapılan tüm işlemleri hukuksal geçerli ve daha güvenli hale getirebiliriz ü Elektronik imza yapısı içinde kişilerin T.C. Kimlik Numarasını barındırdığı için ayrıca isim, kişisel bilgi hatta banka hesap/kredi kartı numarası vermeye gerek kalmaz Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

E-imza ve M-imza Kullanmanın Faydaları-2 ü Elektronik ortamda yaratılan belgeler, yapılan işlemler ispat yeteneği kazanır ü İşlemleri/kayıtları ispat etme şansı ve yetkisi sadece hizmeti sunan kurumlarda değil aynı şekilde vatandaşta da olur. Bu durum daha şeffaf ve güvenilir hizmet ortamı oluşmasını sağlar ü Elektronik ortamda güvenliği arttırır, kişilerin kimliklerinin taklit edilebilmesini hukuki olarak engeller ü Kolay, hızlı, zaman/mekan bağımsız, güvenilir, takip edilebilir, hatasız hizmet alınmasını/sunulmasını sağlar ü Hizmeti ayağa getirir, kuyruklara, yerinde başvurulara, rüşvete, kayırmalara, zahmete son verir Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

Her Alanda E-imza / M-imza

Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010

TEŞEKKÜRLER…

Proje ve Yazılım Geliştirme Şube Müdürlüğü – Mayıs 2010