Nedir?

e-imza Nedir? Nasıl Alınır ve Kullanılır?

e-imza nedir? e-imza Nasıl Alınır ve Nasıl Kullanılır? e-imzada sahtecilik mümkün mü?

e-imza Nedir?

Aşağıdaki makalede e-imza nedir? e-imza nasıl alınır ve nasıl kullanılır? e-imzada sahtecilik mümkün mü? e-imza sahteciliğinde kullanılan en yaygın saldırı senaryoları ve bunlardan korunma yöntemleri üzerinde durulmaktadır.

e-imza nedir?

E-imza (elektronik imza), kâğıt üzerindeki ıslak imzanın dijital ortamdaki karşılığıdır. Elektronik belgelerin kim tarafından oluşturulduğunu doğrulamak, belge içeriğinin sonradan değiştirilmediğini garanti etmek ve yasal geçerlilik sağlamak için kullanılır.

Temel özellikleri:

  • Kimlik doğrulama: İmzanın gerçekten size ait olduğunu kanıtlar.
  • Bütünlük: İmzalanan belgenin sonradan değiştirilmediğini garanti eder.
  • İnkâr edilememe: İmza sahibi, imzaladığını sonradan inkâr edemez (yasal olarak bağlayıcıdır).

Türkiye’de 5070 sayılı Elektronik İmza Kanunu ile düzenlenmiştir ve nitelikli elektronik sertifika (NES) ile oluşturulan e-imza, ıslak imza ile aynı hukuki geçerliliğe sahiptir.
Kullanım alanlarına örnek:

  • E-devlet işlemleri
  • Şirket içi resmi yazışmalar
  • İhale başvuruları
  • Elektronik sözleşmeler

e-imza Nasıl Alınır ve Nasıl Kullanılır?

1) Neye ihtiyacın var?

  • Nitelikli Elektronik Sertifika (NES): e-imzanın kalbi. Yetkili Elektronik Sertifika Hizmet Sağlayıcıları (ESHS)’nden alınır. BTK, yetkili sağlayıcıların güncel listesini yayınlar.
  • Donanım / yöntem:
    • Klasik: akıllı kart + USB kart okuyucu veya USB token
    • Alternatif: uzaktan/bulut e-imza (donanım yok; sağlayıcının mobil/onay uygulamasıyla imzalanır—sağlayıcına göre değişir). (Genel çerçeve için BTK sayfaları.)

2) E-imza (NES) nasıl alınır?

  1. Sağlayıcı seç: BTK’nın yetkili ESHS listesine bak. BTK
  2. Başvuru yap: Sağlayıcının sitesinden bireysel/kurumsal başvuru formu doldurulur; kimlik doğrulaması yüz yüze veya uzaktan yapılır (sağlayıcı prosedürüne göre). (ESHS süreçleri BTK denetimindedir.)
  3. Sözleşme ve ödeme: Sertifika süresi (genelde 1–3 yıl) seçilir.
  4. Teslimat: Donanımlı tercih ettiysen kart/token + PIN/PUK kuryeyle gelir; uzaktan e-imza ise hesabın etkinleştirilir.
  5. Hukuki dayanak: 5070 sayılı Kanun, nitelikli e-imzaya ıslak imza ile aynı hukuki sonucu tanır. Türkiye Barolar Birliği

3) Bilgisayara kurulum (donanımlı e-imza)

  1. Kart okuyucu/USB token sürücüsü ve orta katman (middleware) yazılımını kur. (Sağlayıcın verir; ayrıca KamuSM’nin sürücü yükleme servisi yardımcı olur.) Kamus M
  2. Kök/ara sertifikaları yükle (Windows/macOS). Birçok doğrulama için TÜBİTAK KamuSM kök/alt kök sertifikaları gereklidir.
  3. Tarayıcı ve e-Devlet e-İmza Uygulaması: e-Devlet’e e-imza ile girmek için masaüstü e-Devlet e-İmza Uygulamasını indirmen gerekebilir. e-Devlet, Türkiye Gov

4) e-Devlet’te e-imza ile giriş (hızlı rehber)

  1. T.C. Kimlik No’nu gir.
  2. Bilgisayarında e-Devlet e-İmza Uygulamasını açıp ekrandaki işlem kodunu uygulamaya yaz.
  3. PIN’ini girip imzala; birkaç saniye içinde giriş tamamlanır.

5) Belgeleri imzalama (örnek: PDF)

  • Adobe Acrobat Reader gibi bir programda “Dijital İmzalar/Certificates” bölümünden imzalama yapılır; kart/token takılıyken PIN istenir. (Yazılım adımları programına göre değişir.)
  • İmzayı ve sertifikayı doğrulamak için sisteminin güvenilen sertifika kökleri yüklü olmalı (bkz. KamuSM kök/alt kök).

6) Uzaktan/Bulut e-imza kullanımı (varsa)

  • Donanım yerine, sağlayıcının mobil/onay uygulaması ve iki-aşamalı doğrulama ile imzalanır. Kurulum daha kolaydır; kapsam ve kabul alanı sağlayıcıya ve entegrasyona bağlıdır. (Kavram çerçevesi için BTK genel bilgi sayfasına bakılabilir.) BTK

7) Sorun giderme – en yaygınları

  • PIN kilitlenmesi: PUK ile aç veya sağlayıcından yeni PIN/yeniden yükleme talep et. (Sertifika yönetimi ve askıya alma süreçleri için KamuSM yönlendirmeleri iyi bir referanstır.)
  • Tarayıcı görmüyor: Kart okuyucu/token sürücüsünü ve middleware’i yeniden kur; kök sertifikaların yüklü olduğundan emin ol.
  • e-Devlet giriş olmuyor: Masaüstü e-Devlet e-İmza Uygulaması kurulumu ve çalıştığından emin ol; ekrandaki işlem kodunu doğru yaz.

8) Güvenlik ve yönetim

  • PIN/PUK’u güvenli sakla; yetkisiz paylaşma.
  • Kart/token kaybolursa veya şüpheli durum varsa sertifikanı askıya al ve sağlayıcına bildir. (Askıya alma & yönetim adımlarına dair yönlendirmeler.)

e-imzada Sahtecilik mümkün mü?

E-imzada sahtecilik, doğru şekilde uygulandığında ve güvenlik kuralları takip edildiğinde pratikte çok zor ve klasik ıslak imzaya kıyasla çok daha güvenli kabul edilir.

Bunun sebebi:

  • Kriptografi temelli güvenlik: E-imza, asimetrik şifreleme (public/private key) ile çalışır. Özel anahtar (private key) sadece senin donanımında veya güvenli ortamında bulunur ve dışarı çıkarılamaz.
  • Sertifika doğrulaması: İmzaya bağlı olan nitelikli elektronik sertifika (NES) yetkili bir Elektronik Sertifika Hizmet Sağlayıcısı (ESHS) tarafından verilmiştir ve her imza doğrulamada sertifikanın geçerli olup olmadığı kontrol edilir.
  • Bütünlük kontrolü: İmzalanan belgenin tek bir harfi bile değişirse imza geçersiz olur.

Ama şu durumlarda risk oluşabilir:

  1. PIN/PUK’un ele geçirilmesi → Başkası donanımını kullanarak imza atabilir.
  2. Donanımın (kart/token) çalınması → Kötü niyetli kişi PIN’i de biliyorsa imza atabilir.
  3. Kötü amaçlı yazılım → Bilgisayarına yerleşmiş zararlı yazılımlar imza işlemlerini manipüle edebilir.
  4. Sahte web/uygulama ortamı → Phishing ile seni sahte e-imza onay ekranına yönlendirip farklı belge imzalatabilirler.

Özet: Doğrudan “kriptografik” anlamda e-imzayı sahte üretmek bugünkü teknolojiyle imkânsıza yakın; riskler genelde kullanıcı hatası veya cihaz/PIN güvenliğinin ihlali kaynaklıdır.
Bu yüzden:

  • PIN/PUK bilgini asla paylaşma.
  • Donanımını fiziksel olarak koru.
  • Sadece resmi yazılımlar ve güvenilir cihazlarda imza at.
  • Sertifikanı kayıp/çalıntı durumunda hemen askıya al.

En Yaygın Saldırı Senaryoları ve Bunlardan Korunma Yöntemleri

e-imza sahteciliğinde kullanılan en yaygın saldırı senaryoları ve bunlardan korunma yöntemleri ile ilgili net ve pratik bir tablo:

Saldırı Senaryosu Nasıl İşler? Korunma Yöntemleri
PIN/PUK Ele Geçirme Dolandırıcı sosyal mühendislik (telefon, e-posta) veya gözlem yoluyla PIN’ini öğrenir, donanımına erişirse imza atabilir. PIN/PUK’u kimseyle paylaşma, girerken ekranı gizle, kolay tahmin edilebilir PIN kullanma.
Donanım (kart/token) Hırsızlığı Fiziksel cihazın çalınır, PIN de biliniyorsa imza atılabilir. Donanımı yanında taşı, kaybolduğunda sertifikanı hemen askıya al.
Kötü Amaçlı Yazılım (Malware) Bilgisayarına bulaşan zararlı yazılım imza sürecine müdahale eder veya belgeyi değiştirir. Güncel antivirüs kullan, imza işlemlerini güvenilir ve güncel cihazlarda yap.
Phishing / Sahte E-imza Ekranı Sahte web sitesi veya uygulama üzerinden seni imza atmaya yönlendirir; gerçekte farklı belge imzalanır. Adres çubuğunu ve sertifikayı kontrol et, sadece resmi uygulamalardan giriş yap.
Man-in-the-Middle (Ortadaki Adam) Saldırısı Ağ trafiğini dinleyerek veya değiştirerek imza sürecine müdahale eder. VPN veya güvenli ağ kullan, halka açık Wi-Fi’da imza atma.
Yetkilendirilmiş Kullanıcı Kötüye Kullanımı Şirket ortamında e-imza cihazına erişim yetkisi olan biri izinsiz imza atar. Cihaz erişimini sınırla, işlem loglarını tut, çok faktörlü kimlik doğrulama kullan.

Ek güvenlik tavsiyesi:

  • Sertifikayı BTK tarafından yetkilendirilmiş hizmet sağlayıcıdan al.
  • Cihazın firmware ve yazılımlarını resmi kaynaklardan güncel tut.
  • Şüpheli durumlarda sertifikayı askıya al veya iptal ettir.
Başa dön tuşu