AAA Hakkında

Açık Anahtar Altyapısı (AAA, PKI - Public Key Infrastructure), veri/bilgi iletişiminde açık anahtarlı kriptografinin yaygın ve güvenli olarak kullanılabilmesini sağlayan ve birbirleriyle eşgüdüm içinde çalışan anahtar üretimi, anahtar yönetimi, onay kurumu, sayısal noterlik, zaman damgası gibi hizmetlerin tümünü kapsamaktadır. Tek anahtarlı simetrik şifreleme sistemlerinde, veriyi şifrelemek için kullanılan anahtar ile şifrelenmiş veriyi okuyabilmek için aynı anahtar kullanılmak zorundadır. Karşılıklı olarak şifreli haberleşebilmek için her iki taraf simetrik şiflereleri birbirleriyle paylaşmak zorundadırlar. Açık anahtarlı şifreleme sistemlerinde bu durum farklıdır; tek anahtar değil de iki anahtar (açık anahtar ve özel anahtar) bulunmaktadır. Bu anahtarlar tek yönlü çalışmakta ve birbirlerini tamamlamaktadırlar. Açık anahtar (public key), veriyi şifrelemek; özel anahtar (private key) ise açık anahtar tarafından şifrelenmiş veriyi deşifre etmek rollerini üstlenmişlerdir. Özel anahtarlar sadece ait oldukları kişide bulunurlar. Açık anahtarlar ise adından da anlaşılacağı üzere açık (public) durumdadırlar ve dağıtımları açık olarak yapılır.

AAA; gizlilik (confidentiality), bütünlük (integrity), kimlik belirleme (authentication) ve reddedememe (non-repudiation) fonksiyonlarını kullanıcıların dijital sertifika kullanması yolu ile sağlar. Sertifika, dijital bir kimlik olduğu gibi aynı zamanda sahibine ait bilgiler ile gerekli algoritma anahtarlarını üzerinde bulundurur. Sertifikalar kişiye özeldirler. Güvenli bir şekilde ve güvenli ortamlarda muhafaza edilmeleri gerekmektedir. Şayet sertifikalar sabit disk gibi güvensiz ortamlarda muhafaza edilirse, kolayca değiştirilebilir ve başka kişiler tarafından kötü niyetli olarak kullanılabilirler. Bu, aslında AAA'nın bir güvenlik açığıdır. Bu açık, ancak depolama aracı olarak akıllı kartların kullanımıyla ortadan kaldırılır. Akıllı kartların kullanımı ve taşınması, yapısı nedeniyle oldukça kolaydır. Akıllı kartlar, bir kredi kartına benzerler Akıllı kartlar, sahip oldukları güvenlik mekanizmaları sayesinde fiziksel, elektriksel ve kimyasal (kart içindeki bilgiyi çalma amaçlı yapılan tüm saldırılar) etkilere karşı kendilerini kilitleyebilirler. Kart üzerine gizli anahtarlar yüklendiğinde, kesinlikle bu bilgiler karttan okunamazlar ve kullanımları bir şifre ile korunur.

AAA üzerinde çalışan elektronik imza ile, internet üzerinde yapılan tüm elektronik işlemlerin (e-mail gönderimi/alımı, elektronik bankacılık uygulamaları, e-devlet platformları) ve gönderilen her türlü bilginin iletimi esnasında, bilgiyi gönderen kişinin kendisi olduğunun (authentication), gönderilen bilginin taşıma esnasında değiştirilmediğinin (integrity), bilgiyi gönderen kişinin bilgiyi gönderdiğini inkar edemeyeceğinin (non-repudiation) garantisi ve güvenliği sağlanır. Elektronik imza, kısaca kişiye özgü elektronik işarettir. Elektronik imza, kuruma veya kişilere özgü olabilir; imzaya sahip olanın diğer bir adıyla pasaportu olarak da bilinir. Elektronik imzalar, güvenilir olarak kabul görmüş sertifika otoritesi denilen kurumlar tarafından dağıtılır ve takip edilir. Sertifika Otoriteleri, tüm ülkelerde kimlik üreten makamlar konumundadır.


Türkiye'deki Son Durum (06.01.2005 itibariyle)

Konu hakkındaki ülkemizdeki hukuki gelişmelere bakılacak olursa, 23 Ocak 2004 tarih ve 25355 sayılı Resmi Gazete'de yayımlanıp, 23 Temmuz 2004 tarihinde yürülüğe girmiş olan 5070 sayılı Elektronik İmza Kanunu ile AAA'da kullanılan anahtarları kişisel kimliklerle ilişkilendirerek dijital sertifika üreten bir Ulusal Sertifika Otoritesi kurulması çalışmaları başlatılmıştır. E-Dönüşüm Türkiye İcra Kurulu'nun 10 Haziran 2004 tarihinde yapılan toplantısında Kamu Kurum ve Kuruluşları İçin Sertifikasyon Merkezinin Oluşturulması hususu karara bağlanarak ülkemizin elektronik imza altyapısı modeli belirlenmiştir ve konuya ilişkin Karar ise 2004/21 sayılı Başbakanlık Genelgesi olarak 6 Eylül 2004 tarih ve 25575 sayılı Resmi Gazete'de yayımlanmıştır.

Diğer yandan, Telekomünikasyon Kurumu tarafından hazırlanan; Kanunda öngörülen ikincil mevzuat düzenlemelerinden olan ve Hazine Müsteşarlığı'nın görüşü alınarak çıkarılan Sertifika Mali Sorumluluk Sigortası Yönetmeliği, 26 Ağustos 2004 tarih ve 25565 sayılı Resmi Gazete'de yayımlanmıştır.

Telekomünikasyon Kurumu tarafından hazırlanan Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ve Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ taslakları, gelen görüşler çerçevesinde gözden geçirilerek son şekli verilmiş ve Resmi Gazete'de yayımlanmak üzere 12 Kasım 2004 tarihinde Başbakanlığa gönderilmiştir. Söz konusu yönetmelik ve tebliğ, 6 Ocak 2005 tarih ve 25692 sayılı Resmi Gazete'de yayınlanmıştır (bkz. Dokümanlar - Hukuki Dokümanlar). Böylece, e-imza uygulamaları ülkemizde fiili olarak başlamış bulunmaktadır.

 

Sayfa Başı