ELEKTRONİK İMZA KONUSU

Makale:Adnan ONAY

 

Ülkemizi sarsan sahtecilik olaylarında kullanılan elektronik imzalar, tasarım gereği kopyalanmaya karşı oldukça güvenli olacak şekilde geliştirilmiştir, ancak bu konuda bazı önemli noktaları açıklamak gerekir:

 

1. Elektronik İmzaların Yapısı: Elektronik imzalar, genellikle bir asimetrik kriptografi sistemi (örneğin, RSA veya ECC) kullanılarak oluşturulur. Bu sistemde, bir özel anahtar (private key) ve buna karşılık gelen bir açık anahtar (public key) bulunur. Özel anahtar, yalnızca imza sahibine aittir ve imzanın oluşturulmasında kullanılır. Bu anahtar, yüksek güvenlikli cihazlarda (örneğin, HSM – Hardware Security Module veya akıllı kartlar) saklanır ve kopyalanması teknik olarak çok zordur.

2. Kopyalanma İhtimali: Elektronik imzanın kendisi (yani, dijital veri olarak imza) bir belgeye eklenmiş haliyle kopyalanabilir. Ancak bu kopya, orijinal belgeyle eşleşmediği sürece geçersizdir. Çünkü elektronik imza, imzanın atıldığı belgenin içeriğine özgü bir şekilde oluşturulur (hash fonksiyonları ile). Belge değişirse, imzanın doğrulanması başarısız olur. Yani, bir elektronik imzanın başka bir belgede kullanılması mümkün değildir.

3. Güvenlik Riskleri: Elektronik imzanın kopyalanması değil, asıl risk özel anahtarın ele geçirilmesidir. Eğer bir saldırgan, özel anahtara erişirse, bu anahtarı kullanarak yeni imzalar oluşturabilir.

Bu nedenle:

• Özel anahtarların güvenli bir şekilde saklanması (örneğin, fiziksel bir akıllı kartta veya HSM’de) kritik önemdedir.

• Anahtarın saklandığı cihazın çalınması veya cihazın güvenliğinin ihlal edilmesi durumunda risk oluşabilir.

4. Türkiye’deki Durum: Türkiye’de elektronik imzalar, 5070 sayılı Elektronik İmza Kanunu kapsamında düzenlenir. Nitelikli elektronik sertifikalar (NES) ve güvenli elektronik imza oluşturma araçları, Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından onaylanmış Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) tarafından sağlanır. Bu sistemler, kopyalanmayı önlemek için yüksek güvenlik standartlarına sahiptir.

 

Yani; Elektronik imzalar, doğrudan kopyalanarak başka bir belgede kullanılamaz, ancak özel anahtarın güvenliği kritik önemdedir. Güvenli bir ortamda kullanıldığında, kopyalanma riski oldukça düşüktür.

 

O nedenle; uzmanların tezlerine göre,

Türkiye’de elektronik imzaların (e-imza) diploma sahteciliği veya benzeri dolandırıcılık faaliyetlerinde sahiplerinin haberi olmadan kullanılması, teorik olarak mümkün olsa da, pratikte oldukça zor ve ciddi güvenlik önlemleriyle engellenmeye çalışılmaktadır. Nedenlerine gelince;

 

1. Türkiye’de elektronik imzalar, 5070 sayılı Elektronik İmza Kanunu kapsamında düzenlenir ve Nitelikli Elektronik Sertifika (NES) ile kullanılır. E-imzalar, asimetrik kriptografi temelli bir sistemle çalışır:

• Özel Anahtar (Private Key): İmza oluşturmak için kullanılır ve yalnızca imza sahibine aittir. Bu anahtar, genellikle bir akıllı kart, USB token veya HSM (Donanım Güvenlik Modülü) gibi güvenli bir cihazda saklanır.

• PIN/Parola Koruması: E-imza kullanımı, genellikle bir PIN veya parola ile korunur. Bu, yetkisiz erişimi engeller.

• Belgeye Özgü İmza: Elektronik imza, imzaladığı belgenin içeriğine bağlıdır (hash fonksiyonu ile). Yani, bir e-imza başka bir belgede kullanılamaz, çünkü doğrulama başarısız olur.

2. E-İmzaların Habersiz Kullanılma İhtimali

Elektronik imzanın, sahibinin haberi olmadan kötü niyetli bir şekilde kullanılması için aşağıdaki senaryoların gerçekleşmesi gerekir:

• Özel Anahtarın Ele Geçirilmesi:

• Eğer bir saldırgan, e-imza cihazına (akıllı kart, USB token vb.) fiziksel olarak erişirse ve PIN/parolayı ele geçirirse, e-imzayı kullanabilir. Örneğin:

• Cihazın çalınması veya kaybolması.

• PIN’in zayıf olması, tahmin edilmesi veya sosyal mühendislik yoluyla öğrenilmesi.

• Ancak, bu cihazlar genellikle yüksek güvenlik standartlarına sahiptir (örneğin, FIPS 140-2) ve PIN denemeleri sınırlıdır. Yanlış denemelerde cihaz kilitlenir.

• Kötü Amaçlı Yazılımlar (Malware):

• E-imza cihazının bağlı olduğu bilgisayarda kötü amaçlı bir yazılım (örneğin, keylogger veya trojan) varsa, PIN veya özel anahtar ele geçirilebilir. Ancak, bu tür bir saldırı için cihazın güvenliğinin aşılması gerekir ki bu oldukça karmaşık bir süreçtir.

• Güvenilir olmayan bir bilgisayarda e-imza kullanımı, bu riski artırır.

• Sahte Sertifika veya Sistem Zafiyetleri:

• Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) gibi E-Güven, TÜBİTAK Kamu SM, veya diğer BTK onaylı sağlayıcıların sistemlerinde bir güvenlik açığı olması durumunda, sahte sertifikalar üretilebilir. Ancak, bu kuruluşlar sıkı denetimlere tabidir ve böyle bir durum nadirdir.

 

Türkiye’de diploma sahteciliği veya benzeri dolandırıcılık vakalarında e-imza kullanımıyla ilgili geçmişte bazı olaylar gündeme gelmiştir.

Örneğin:

• Diploma Sahteciliği: Bazı durumlarda, üniversite çalışanlarının veya yetkili kişilerin sahte diplomalar düzenlediği ve bunları resmi olarak e-imzayla onayladığı tespit edilmiştir. Bu tür vakalarda, e-imza sahibi genellikle sahtecilik sürecine doğrudan dahildir.

• Yasal Sonuçlara gelince; 5070 sayılı Elektronik İmza Kanunu’na göre, e-imza, el yazısı imza ile aynı hukuki geçerliliğe sahiptir. Dolayısıyla, sahte bir belgeye e-imza atılması, “resmi belgede sahtecilik” suçu kapsamına girer (Türk Ceza Kanunu Madde 204).

 

Konunun nereye varacağını ileriki günlerde göreceğiz. Kanaatimce bu sahtekarların içeriden işbirlikçilerinin olduğu kuvvetle muhtemeldir..