Dijital İmza Dönemi Başlıyor

Tanju Argun / Türkiye Bilişim Vakfı

Hayatın bir parçası haline gelen internetin önündeki en büyük engellerden biri de “güvenlik”... Özellikle e-ticaret, bu tehditten büyük ölçüde etkileniyor. “Dijital imza”, bu sorunu çözmenin en kritik yollarından biri... Dünyada kullanımı da giderek artıyor. Türkiye cephesinde ise hareketlilik başladı. Öncülüğü ise beş büyük banka ile birlikte Türkiye Bilişim Vakfı (TBV) yapıyor. TBV, önümüzdeki dönemde bir “Üst kurul”a dönüşecek yeni bir oluşumu hayata geçirdi ve başına Tanju Argun’u getirdi. “Dijital sektifika” konusunda görev yapacak bu oluşumu ve dijital imzada son trendleri Argun ilk defa anlatıyor...

Son yıllarda internetin yaygın olarak kullanımıyla birlikte, pek çok rahatlığın yanında, bazı sorunlar da ortaya çıktı. Bu sorunların başında internet üzerinden yollanan bilgilerin güvenliğinin sağlanması geliyor. Kişisel bilgi gizliliğinin yanı sıra, gelecekte çok şey beklenen elektronik ticaret açısından da online güvenlik büyük önem taşıyor.

“Dijital imza”, bu gereksinimi karşılamak için geliştirilmiş bir teknoloji. İletilen bilginin, beklenen kişiden geldiğinin ve değişmeden yerine ulaştığının onaylanmasında oldukça etkili ve yaygın olarak kullanılan bu yöntemin temelinde, “Asimetrik anahtar” (Asymmetric key) düşüncesi yatıyor. Çok büyük sayılar, modüler aritmetik ve üslü sayıların özelliklerinin kullanıldığı bu yöntemde; birbirinin aynı olmayan, “Genel” (Public) ve “Özel” (Private) olarak adlandırılan iki anahtar (key) var.

Asimetrik anahtarların dijital imzadaki uygulamasında, “Genel anahtar” serbestçe başkalarına gönderilebiliyor ve dijital imzanın alıcı tarafından onaylanmasında kullanılıyor. “Özel anahtar” ise yalnızca gönderici tarafından biliniyor ve dijital imzanın oluşturulmasında kullanılıyor. “Özel anahtar” yalnızca gönderende olduğundan, şifrelenmiş bir mesaj, o kişinin alıcıdaki genel anahtarı ile uyumluysa gönderenin kimliği onaylanmış oluyor. Bu, bir kişinin, başka birisinin kimliğini kullanarak işlem yapmasını engellediği gibi, gönderenin yaptığı işlemi inkar etme olasılığını da büyük ölçüde ortadan kaldırıyor.

“Dijital imza”, bugün başta ABD olmak üzere dünyada yaygın biçimde kullanılıyor.

Türkiye’de de özellikle Avrupa Birliği’ne giriş sürecinde dijital imza ile ilgili çalışmalar hız kazandı. Son olarak 5 büyük banka dijital imza konusunda bir üst kurul oluşturmak üzere bir araya geldi. Koordinasyon görevini Türkiye Bilişim Vakfı’nın üstlendiği projenin başına da Tanju Argun getirildi. Tanju Argun’la dijital imza ve 2003’te faaliyete geçecek sertifika kurumu üzerine söyleşi yaptık. Argun’un DIGITAL’in sorularına verdiği yanıtlar şöyle:

Dijital imza nedir, ne işe yarar?

Günlük hayattaki imzalarda olduğu gibi, dijital imzalar da elektronik ortamda gönderilen bilginin kime ait olduğunu göstermek için kullanılıyor. Dijital imzaların oluşturulmasında ve doğrulanmasında da dijital sertifikalar devreye giriyor.

Romalı bir imparatoru düşünün... Cephedeki komutanına bir mesaj yollayacak. Mesajı bir papirüse yazıyor, rulo yapıyor, açılmayacak şekilde mühürlüyor ve gönderiyor. Burada dört tane ana faktör var. Bir tanesi, mesajı alan komutanın, mesajın hakikaten imparatordan geldiğini garantilemesi. İkincisi, bu mesajın gizliliği. Mührün açılmamış olmamasından emin olmak gerekiyor. Üçüncüsü, açılıp içinin değiştirilmemiş olduğunun garanti edilmesi. En son da bunun inkar edilemez bir özellik taşıması gerekiyor.

İşte bu dört ana etmen, dijital sertifikanın dört temel özelliğini ortaya koyuyor. Elektronik ortamda kullanılan dijital sertifika kimlik, gizlilik, integrity denilen mesajın değiştirilemez olması ve sonradan inkar edilememesi özelliklerine sahip. Sonuçta dijital sertifikalar, elektronik ortamda günlük hayatta kullanılan ehliyet, pasaport gibi kimlik kartlarının gördüğü işlevi görüyor. Bütün bunlar internette güvenli iletişim ve ticarete olanak sağlıyor.

Dijital imza ve sertifikalar bugün dünyada nasıl kullanılıyor?

Dijital imza ve sertifikalar, elektronik ticaret içerisinde ağırlıklı olarak kullanılıyor. Biliyorsunuz, dünyada elektronik ticaret konusunda gelişmiş ülkeler başı çekiyor. Özellikle ABD’de yasalarla da çerçevesi çizilmiş bir yapı oturmuş durumda. Dijital imza da en çok ABD’de yaygın. Üstelik çok da geniş bir kullanım alanı var. Elektronik ticaretten bürokratik işlemlere kadar her alanda kullanılıyor. Günümüz teknolojisinde, dijital imza ve sertifika uygulamaları çeşitli ülkelerde birbirinden farklı şekillerde görmek mümkün.

Türkiye’de durum nasıl?

Türkiye matbaayı Gutenberg’den 300 yıl sonra gördü. Ancak, bugün Batı’yla aramızdaki açığın giderek azaldığını görüyoruz. İnternetle Batı’dan sadece 4-5 yıl sonra tanıştık. Dijital imza, elektronik sertifika konusunda da çok geride değiliz. Yine de yeterli yaygınlığa ulaşması için e-ticaret hacminin artması gerekiyor. Bu da güvenle sağlanacak.

Dünyada elektronik ortamda bilgi iletişimi artmasıyla Türkiye’de internet ve elektronik ticaret konusunda bir takım çalışmalar yapıldı. Devam eden çalışmalar da var. AB’ye geçiş süreciyle birlikte hızlanan “e-devlet” projesi bunların başında geliyor. Biliyorsunuz, Avrupa Birliği’ne giriş şartnamesinde bilişim ile ilgili de birtakım gereklilikler var. Bugün aslında Türkiye’nin Avrupa Birliği’ne girip girmemesi önemli değil. İnşallah günün birinde gireceğiz ama esas önemli olan bu sürecin içinde bulunmamız.

Bugüne kadar pek çok konuda kendimize çeki düzen verdik. E-Türkiye, dijital sertifikalar, elektronik imzalar da bu sürecin bir parçası. Bütün bu çalışmaların 2003 yılına kadar tamamlanması bekleniyor. 2003 yılında hem telekomdaki rekabet hem iletişim-bilişim sektöründeki bir takım değişiklikler oldukça etkili olacak. İş yapma biçimleri değişecek, çalışma yöntemleri değişecek, internet daha da ucuzlayacak, katma değerli servisler artacak. Bugün ABD ve Avrupa ile kıyasladığımızda internet Türkiye’de henüz emekleme aşamasında. Türkiye’de yapmak istediklerimizin gerçekleştirilebilmesi için öncelikle güven gerekiyor. Bu güvenin sağlanması için de çeşitli düzenlemelere ihtiyaç var.

Türkiye Bilişim Vakfı, geçtiğimiz Eylül ayında beş büyük bankanın işbirliği ile gerçekleştirilecek dijital imza projesi için bir çalışma grubu oluşturdu. Bu çalışma grubunun başına da ben getirildim. E-devlet projesi kapsamında, dijital sertifika konusunda çeşitli kamu kuruluşlarının sürdürdüğü çalışmalar var ama henüz belirlenmiş standartlar yok. Söz konusu oluşum, dijital sertifikalar için bir “Root Authority” (Üst Kurul) görevini üstlenecek ve standartların oluşturulmasına yardımcı olacak.

Bu kuruluş ne zaman faaliyete geçecek, nasıl sertifika dağıtacak?

Söz konusu grubun çalışmalarının, tüm altyapıyla birlikte 2003 yılına kadar tamamlanması hedefleniyor. Bundan sonra bağımsız bir kuruluş olarak faaliyete geçecek ve isteyen kurum ve kişilere dijital sertifika vermeye başlayacak. Bu sertifikaları da dijital sertifika uygulamasındaki yöntemleri takip ederek gerçekleştirecek.

Örneğin dijital sertifika için bir şifreleme yöntemi söz konusu. “Dijital şifreleme” teorik olarak iki türlü yapılabiliyor. Biri simetrik şifreleme. Burada mesajı bir kodla, bir anahtarla şifreliyorsunuz. Aynı anahtarla da açabiliyorsunuz. Biz bunu değil, “Asimetrik şifreleme” yönetimini kullanıyoruz. “Asimetrik şifreleme”de bir tane gizli anahtar var. Mesajınızı kodladığınız bu anahtar sadece size özel bir anahtar, başka kimse kullanamıyor. Bu anahtarla birlikte bir de PKI (Public key interface) dediğimiz bir açık şifreniz oluşturuluyor. Bizim kurmaya çalıştığımız altyapı işte bu açık anahtar altyapısına dayanıyor.

Dijital imza modelinde, “Açık anahtar” dediğimiz şeyin güvenilir bir kurum tarafından verilmesi gerekiyor. Bu güvenilir kurum biz olacağız. “Root Authority” olarak kurumlara, şahıslara sertifika vereceğiz. Online iletişimde karşılıklı iki tarafın da güvendiği bir ortam sağlamaya çalışacağız. Siz mesajınızı gizli şifrenizle şifreleyeceksiniz, alan kişi sizin açık anahtarınızı kullanarak mesajınızı açabilecek. Mesajda yer alan imzanız aslında mesajınızın kısaltılmış halini, çok kısa bir özetini ve size ait kişisel bilgileri barındıracak. Böylece mesajı alan kişi  hem mesajın sizin tarafınızdan gönderildiğini anlayacak hem de imzanız sayesinde mesajın değişmemiş olduğundan emin olacak.

Bu bağımsız kuruluş bankaların girişimiyle oluşturuldu. Faaliyete geçtikten sonra yönetimde yine bankalar mı söz sahibi olacak?

Türkiye’de beş tane birbirine rakip banka bir araya gelip ortak bir amaç için işbirliği yaptılar. Türkiye Bilişim Vakfı da bir koordinasyon işleviyle, bu amacın gerçekleşmesi için görevlendirildi. Bu rekabet ve işbirliğinin bir arada çalıştığı ilginç, şimdiye kadar görülmemiş bir durum. Bankalar bu işbirliği içerisine giriyorlar, çünkü bu hayata geçirildiği zaman daha çok internet bankacılığı yapılacak, internet üzerinde daha fazla işlem olacak, daha çok para kazanacaklar.

Sonuçta bu iş beş büyük bankanın girişimiyle başladı ve elbette bundan sonra da onlar açısından getirisi olacak. Ancak, tamamen beş bankayla sınırlandırılmış bir proje değil. Hali hazırda pek çok banka bu projeye dahil olmak istiyor. Şirket kuruluncaya kadar beş banka ve TBV ile çalışmalar devam edecek. Şirket kurulduktan sonra isteyenler, yapılan masraflara, sermayeye katılmak suretiyle ortak olabilecekler. Neticede isteyen her banka, bu “Root Authority”nin bir parçası olabilecek.

Şirketin, kar amacı gütmeyen bir kurum olması planlanıyor. Ya belirli bir ücret karşılığında bizzat sertifikaları dağıtacak ya da bu işi yapmaya gönüllü alt kuruluşlara bu işi yapabilme lisansı verebilecek.

Peki neden bunu siz yapıyorsunuz da devlet yapmıyor?

Bugün Türkiye’de dijital imza ile ilgili en kritik konulardan biri işin bürokrasi boyutu oluşturuyor. Avrupa’da pek çok ülkede dijital sertifika verme işini özel sektör yapıyor. Avrupa Birliği kararlarında da bu işin özel sektör tarafından yapılması tavsiye ediliyor. Sonuçta tek bir otorite olması da gerekmiyor. Bugün Amerika’da bu iş yapan pek çok kuruluş var. Elbette devletin de işin içinde olması gerekiyor. Zaten bugün kamuda da bu konuda çeşitli çalışmalar sürdürülüyor.

Bizim kuruluşumuz bir “Elektronik noter” niteliği taşıyacak. Bugün hem bürokrasiyle hem de endüstriyle yakın ilişki içerisindeyiz. Sonuçta her iki tarafın da karşılıklı ikna olması gerekiyor. Hukuki altyapı da sağlandığı sayede işler inanılmaz derecede rahatlayacak. Bugün bankalar hala kendi müşterileri ile olan ilişkilerini kendi düzenledikleri sözleşmelerle yapıyorlar. En büyük sıkıntıları da ıslak imza almak. Dijital imza ile sözleşmeleri onaylamak çok daha kolay olacak. Sadece bankacılık açısından değil, her konuda dijital imzanın yaygın olarak kullanıldığını göreceğiz. Şimdi bulunduğumuz yerde devlet ve özel sektör arasında karşılıklı bir takım pazarlıklar yapılması gerekiyor.

Dijital sertifika almak için neler gerekecek?

Sertifika almak için elbette bir takım koşullar aranacak. Örneğin Bankalar Birliği ile ortak çalışmalar yapılması planlanıyor. Bugün kredi kartları ile ilgili bir sicil tutuluyor. Kredi kartı borcunu ısrarla ödemeyen kişiler kara listeye giriyor. Biz de netice de buna benzer tedbirler alacağız. Bunun dışında elektronik imza sahibi olmak oldukça kolay olacak. İsteyen her kurum ya da kişi belirli bir ücret karşılığında ve güven şartnamesine uyduğu sürece dijital sertifika sahibi olabilecek. 

“ELEKTRONİK TİCARET ARTACAK”

E-TÜRKİYE İÇİN ÖNEMLİ: Öncelikle sadece dijital imza açısından değil, “e-Türkiye” olarak düşünmek gerekiyor. Dijital imza, “e-Türkiye” projesinin bir parçası. Bu proje tamamlandığında Türkiye için pek çok şey değişecek.

NÜFUS SAYIMINA SON: En basitinden bugün vergi dairelerindeki kuyruklar ortadan kalkacak. Biliyorsunuz, Nüfus İdaresi, Mernis Projesi ile büyük aşama kaydetti. Beş yılda bir yaşadığımız nüfus sayımı felaketi ortadan kalkacak. Elektronik oy verebileceğiz. Seçimler kolaylaşacak. Bunlar kamu açısından gelişmeler. Saydıklarımız da yapılabileceklerin sadece birkaçı.

ÖZEL SEKTÖRE KATKISI: E-Türkiye gerçekleşirse inanılmaz fırsatlar ortaya çıkacak. Özel sektörde ticaret artacak. Türkiye’de özel sektörün dünyadaki rekabet şartlarına uyum sağlayabilmek için e-trade’in içinde olması gerekiyor. Eskiden malınızı alır dünyanın bir köşesine ve satmaya çalışırdınız. Rakibiniz de az olurdu, pahalı da satardınız. Bugün artık müşterinin gözü açıldı. Bilgisayarı, interneti var ve istediği yerden istediği fiyata istediği ürünü satın alabilme olanağına sahip.

Dünyanın bütün dükkanları müşterinin elinin altında artık. Şirketler 2000’li yılların sonunda ayakta kalabilmek için elektronik altyapıyı kurmuş olmaları, rekabet edebilmeleri gerekiyor. Bugün Türkiye’de şirketlerde hala bilgisayar kullanmayan genel müdürler var. Bu içinde bulunduğumuz çağ açısından çok kötü bir durum. Bilgisayar kullanmayan yöneticiler, bürokratlar, bakanlar başbakanlar düşünülemez.

BAZILARI KAYBEDECEK! Geçmişe bakarak medeniyetten ne kadar uzakken ne kadar yakına geldiğimizi göreceksiniz. Türkiye hızla gelişiyor. Elektronik platformun da hızla oluşacağını düşünüyorum. Bu konuda son derece umutluyum. Ama tabii her zaman bürokrasinin engellerinin ortadan kalkması gerekiyor. Bunun getireceği kolaylıklarla bir takım insanların büyük kayıpları olacak. Bu kaybedecek olanların dirençlerinin de üstesinden gelinebilmesi lazım. 2005-2006 yıllarında Türkiye yaygın bir biçimde dijital imzayı kullanıyor olacak.

“HUKUKİ ALTYAPI GEREKİYOR”

Erhan Görmen/ Koçsistem

İnternette güvenlik konusunda dünyadaki gelişmeleri yakından takip eden teknoloji şirketleri de dijital imzanın yaygınlaşması için hukuki düzenlemelerin gerçekleştirilmesini beklediklerini ifade ediyorlar. KoçSistem Profesyonel Hizmetler sorumlusu Erhan Görmen, dijital imzanın kullanımı ve Türkiye’deki gelişmelerle ilgili şu değerlendirmeyi yapıyor:

“ISLAK İMZADAN DAHA GÜVENLİ”: E-imza, İnternet üzerindeki bilgilerin doğruluğu, gizliliği, bütünlüğü ve inkar edilememesini sağlayan, aslında ıslak imzadan daha güvenli olan bir sistem. Akıllı kart ya da biyometrik sistemler gibi imzaların yaratılabileceği ortamlar ile sürekli kontrol edilen, 7x24 işletim gerektiren bir yapıya sahip.

İşletimi zor olmakla beraber, elektronik ortamda akla gelebilen tüm sorunlara cevap bulabiliyor, güvenli ve hızlı hareket kabiliyeti veriyor. Ayrıca merkezi sistemlerin ülke çapında hayata geçmesine olanak sağlıyor. Örneğin İtalya PTT'si tüm İtalya için bir e-imza projesi hayata geçirdi.

GENİŞ ÇAPLI KULLANIM GEREKLİ:  E-imzanın yaygınlaşabilmesi için ulusal ve uluslararası kurumların devrede olması gerekiyor. E-imzayı kredi kartlarındaki VISA ya da MASTERCARD gibi oluşumlar gibi düşünmek de mümkün. Ülke çapında bankalar ya da devlet kuruluşları ortak olarak bir sisteme gidebilirler. Tek kriter bu oluşumun geniş çaplı bir alana ulaşmasıdır. Bu bazı ülkelerde PTT olabiliyorken, bazılarında nüfus idareleri, bazılarında ise bankalar olabiliyor. Bugün Avrupa Birliği kapsamında merkezi sertifika yetkisi GlobalSign adı altında özel bir kuruluşa ait.

ÖNCE HUKUKİ DÜZENLEME: E-imzadan önce gelişmesi gereken yönümüz hukuk gibi duruyor. Bu konu için özel bir yasa henüz çıkmamış olmakla birlikte, AB uyumluluğu aşamasında bu kanunların çıkması bekleniyor. Kriz öncesinde TBMM'de bu tip çalışmalara başlandı ancak kriz nedeniyle bir ara verildi.”

BANKACI GÖZÜYLE DİJİTAL İMZA

“ELEKTRONİK NOTER İŞLEVİ GÖRECEK”

Bankacılar, TBV desteğiyle kurulan ve dijital sertifika dağıtımında “Root Authority” (Üst Kurul) işlevi görecek olan dijital sertifika kurumunun bankalar nezdinde bir elektronik noter işlevi göreceğini kaydediyorlar. Bir bankanın genel müdür yardımcısı dijital imzanın getireceği yararları şöyle sıralıyor:

GÜVENLİK SORUNUNA SON: Dijital imza oldukça hassas bir konu. Gerçek hayatta kullandığımız imzanın yerini alacak bir uygulama söz konusu. Türkiye’de özellikle internet bankacılığı işlemlerinde dijital imza pek çok açıdan fayda sağlayacak. Öncelikle güvenlik sorununu ortadan kaldıracak.

STANDARTLAR OLUŞACAK: Şimdiye kadar yaşanan sıkıntıların başında belirli bir standartın olmaması geliyordu. Her bankanın kendine göre standartları vardı. Online işlemlerde müşteri ile anlaşmalı olarak bu standartlar üzerinden hareket ediliyordu. Şimdi bankalar bir araya gelerek ortak bir standardın oluşturulmasına ön ayak oldular. Yakında herkes için tek bir standart olacak. Bu durum müşterilerin güvenine ve işlemlerine de yansıyacak.

DEVLET-ÖZEL SEKTÖR İŞBİRLİĞİ: Bugün Türkiye’de dijital imza ile ilgili en kritik konuların başında işin bürokrasi boyutu geliyor. Devletin de uzun zamandır dijital imza ile ilgili çalışmaları var. Özel sektör olarak bizim çalışmalarımız, bu çalışmalarla da uyum sağlamak durumunda. Zaten bu nedenle kurumun sorumluluğunu gerek bürokrasiye gerek endüstriye yakın olan bir isim getirdik. Tanju Argun bürokrasi ile endüstri arasındaki dengelerin kurulmasına çalışacak. Dijital sertifika kurumu bankalardan çok Türkiye Bilişim Vakfı ve Tanju Argun’un çabalarıyla hayata geçecek ve bir “elektronik noter” işlevi görecek.

ISLAK İMZA TARİH OLACAK: Hukuki altyapı da sağlandığı sayede işler daha kolay olacak. Bankalar hala kendi müşterileri ile olan ilişkileri kendi düzenledikleri sözleşmelerle yapıyorlar. Bu sözleşmelerde hala ıslak imza gerekiyor.

Oysa dijital imza ile sözleşmelerin onaylanması çok daha kolay olacak. Bugün internetin ticari yönü daha aktif çalışıyor çünkü bireyler interneti kurumlardan daha çok kullanıyorlar. Dijital imza ile birlikte kurumlar da daha çok işin içine girecekler. Sadece bankacılık açısından değil her konuda örneğin artık bürokraside de dijital imza kullanılıyor olacak.