Elektronik İmza Nedir? Türleri Nelerdir?

Ataer Yarar
Colorful gradient

Elektronik imza, dijital ortamda oluşturulan dokümanların imzalanmasında kullanılan ve elektronik işlemlerde gönderilen bilginin gönderim sırasında değişmediğini, gönderen kişiye ait olduğunu belirten sayısal verilerdir.

5070 Sayılı Elektronik İmza Kanunu’na göre elektronik imza; başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi ifade ettiği de söylenebilir. E-imza veya diğer adıyla elektronik imza, elektronik belgeler veya formlar için izin veya onay almak amacıyla kullanılan yasal bir yöntemdir. Neredeyse her işlemde ıslak imzanın yerini alabilir.

Elektronik imza, dijital ortamda oluşturulan dokümanların imzalanmasında kullanılan ve elektronik işlemlerde gönderilen bilginin gönderim sırasında değişmediğini, gönderen kişiye ait olduğunu belirten sayısal verilerdir.

Elektronik İmzaya Dair Bilinmesi Gerekenler

Elektronik imza, el ile  atılan ıslak imza ile aynı hukuki geçerliliğe sahiptir. E-imza, elektronik işlemlerde gönderilen bilginin gönderim sırasında değişmediğini, gönderen kişiye ait olduğunu ve inkar edilemeyeceğini garantiler. E-imza elektronik ortamda gerçekleşen işlemlerde kişilerin kimlik bilgilerinin doğruluğunu garantiler. E-imza gerçek kişiler adına oluşturulur. Kurumlar adına elektronik imza oluşturulamaz. Kurumda çalışan gerçek kişiler adına elektronik imza oluşturulabilir.

Amerika Birleşik Devletleri'nde, elektronik imzanın yasal tanımı, 2000 tarihli Federal ESIGN Yasasından türetilmiştir. ABD genelinde birçok eyalet, elektronik imzayı aşağıdaki şekilde tanımlayan Tekdüzen Elektronik İşlemler Yasasını (UETA) da benimsemiştir: "Elektronik imza bir kayda iliştirilmiş veya mantıksal olarak ilişkilendirilmiş ve kaydı imzalama niyetiyle bir kişi tarafından uygulanan elektronik bir ses, sembol veya işlemdir.

Elektronik İmza türleri nelerdir?

Avrupa Birliği'nde ise, elektronik imza tanımı, aşağıdakileri belirten eIDAS Yönetmeliğinden türetilmiştir: “Elektronik imza (E-imza), elektronik biçimdeki diğer verilere eklenen veya bunlarla mantıksal olarak ilişkilendirilen ve imza sahibi tarafından imzalamak için kullanılan elektronik biçimdeki veriler anlamına gelir.” 

Elektronik İmza Kullanım Faydaları

  • Yasal olarak bağlayıcı: Elektronik imzalar, dünyadaki çoğu sanayileşmiş ülkede yasal olarak geçerlidir ve kabul görür.
  • Son derece verimli: Alıcıların belgeleri e-imzalamasını sağlayarak tüm işlemleri ve süreçleri hızlandırmak mümkün, böylelikle zaman maliyetini de azaltabilirsiniz.
  • Ekonomik: E-imza kullanmak kağıt, mürekkep ve posta masraflarının azaltılmasına yardımcı olarak büyük oranda maliyet tasarrufu sağlar.
  • Korumalı: Dijital imzanız ve PDF belgesi, şifreleme yoluyla birbirine bağlanır ve mühür belirteçli bir damga ile güvence altına alınır.
  • Doğrulaması kolay: İmzalanan belge ve dijital imzanız 10 yıldan uzun bir süre boyunca yeniden doğrulanabilir

Daha Gelişmiş Kimlik Doğrulama İşlemleri İçin Dijital İmzalar Kullanın

Sertifika tabanlı dijital imzalar, e-imzanın en gelişmiş, uyumlu ve güvenilir biçimidir. Her imzalayanın kimliği ve belge orijinalliği konusunda en yüksek düzeyde güvenceye ihtiyaç duyduğunuzda bulut imzalarımız gibi dijital kimlik sertifikasyonuyla desteklenen güvenilir bir dijital imza seçin. E-İmza kağıt ve kargo masrafı gibi giderlerden tasarruf sağlamaya olanak sağlar. 

İnternet bağlantısı ve bilgisayar aracılığı ile  e-imza kullanılarak imzalama işlemleri zaman ve  mekandan bağımsız olarak gerçekleştirilebilir. Özel Sektör ve kamu uygulamalarında e-imza ile gerçekleştirilebilen işlemler bireylerin zamandan tasarruf etmesine olanak sağlar. 

Aslında, elektronik bir imzanın, belgeyi imzalayan kişinin el yazısı imzası gibi görünmesine bile gerek yoktur. Bu, birçok e-imza yazılım sağlayıcısının tekliflerine dahil ettiği bir özellik olsa da, belgeleri elektronik olarak imzalarken geçerlilik açısından yasal sınırlamalar barındırır. 

Elektronik imzalar ve dijital sertifikalar için imzalayanın kimliğine eklenen kişiselleştirilmiş oturum açma ve erişim kodları gibi elektronik tanımlama yöntemleri ile inkar edilmeme durumu oluşturmak için asimetrik şifreleme (kriptoloji) teknolojisi kullanır. Bu gelişmiş güvenlik önlemleri, doğru uygulandığında elektronik imzaların taklit edilmesinin çok zor olduğu anlamına gelir. Bu güvenlik önlemleri, dijital belgeleri imzalamak ve elektronik imzaları iş kullanımı için güvenli hale getirmek için kullanıldığında elektronik imzaların yasal geçerliliğine katkıda bulunur.

Elektronik imza nedir ve elektronik imza türleri

Elektronik İmza Kullanım Alanları

  • E-Devlet Uygulamaları 
  • E-ÇED (Çevre Etki Değerlendirmesi) 
  • UYAP (Ulusal Yargı Ağı Projesi) 
  • Kurumlar Arası İletişim Sağlanması (Emniyet Müdürlükleri, Nüfus ve Vatandaşlık İşleri Müdürlükleri) 
  • Kayıtlı Elektronik Posta Sistemi (KEP) 
  • MERSİS (Merkezi Sicil Kayıt Sistemi) kapsamında ticari sicil işlemleri 
  • Başvuru İşlemleri (YGS,KPSS, LES,Pasaport vb.) 
  • MERNİS ( Kimlik Numarası ) işlemleri 
  • EKAP ( Elektronik Kamu Alımları Platformu ) işlemleri 
  • e-Reçete Projesi & e-Nabız & TİTCK Projesi ( Sağlık Bakanlığı ) işlemleri 
  • e-Haciz Projesi ( Sosyal Güvenlik Kurumu ) işlemleri 
  • e-OKUL ( Milli Eğitim Bakanlığı) işlemleri 
  • POLNET (Polis Bilgisayar Ağı) işlemleri 
  • DMO (Elektronik satış uygulaması) işlemleri 
  • GİMOP (Gümrük İdarelerinin Modernizasyonu Projesi) işlemleri 
  • TAKBİS (Tapu ve Kadastro Bilgi Sistemi) işlemleri 
  • TPE ( Türk Patent Enstitüsü) işlemleri 
  • TPE ( Türk Patent Enstitüsü) işlemleri RTÜK (Radyo ve Televizyon Üst Kurulu) işlemleri Banka talimatlarının gönderilmesinde, 
  • Elektronik arşivin e-İmzalanmasında, 
  • ÜTS (Ürün Takip Sistemi) işlemlerinde Marka patent başvuruları, 
  • Bilirkişi başvuruları Uzlaştırmacı başvuruları İhracat destek ödemesi başvuruları
  • Yabancıların çalışma izinleri başvuruları,
  • Yetkilendirilmiş yükümlü başvuruları Çalışan hizmet sözleşmelerinde ve diğer tüm sözleşmelerde 
  • İhalelere katılım.

Avrupa Birliği'nde Elektronik İmzalar

AB'de, elektronik imzaların geçerliliği ve yasallığı eIDAS ve GDPR düzenlemeleri tarafından yönetilmektedir. AB çapında bireyler ve işletmelerle iş yapmak isteyen şirketler, herhangi bir elektronik imza gerekliliği yoluyla yasal itibar kazanmak için bu yasalara uymak durumundadır.

EIDAS

Temmuz 2014'te yerleşik bir AB yönetmeliği haline gelen eIDAS (elektronik kimlik belirleme, kimlik doğrulama ve güven hizmetleri), elektronik kimlik, dijital sertifikalar, elektronik mühürler, zaman damgaları ve elektronik imzaların yasallığı ile ilgili yasaları kapsamlı bir şekilde ele alır.

EIDAS'ın arkasındaki fikir, elektronik kimlik bilgilerinin her AB üye ülkesinden kabul edilebilmesi için AB içindeki her üye devlet için geçerli olan tek tip bir yasa oluşturmaktır.

Elektronik imzalarla ilgili olarak, eIDAS, dijital imzaları her biri bir öncekinden daha güvenli olan üç ayrı kategoriye ayırır.

1. Standart Elektronik İmza (SES)

Kılavuzun en üstünde belirtildiği gibi, eIDAS bir elektronik imzayı şu şekilde tanımlar:

"Elektronik imza" elektronik biçimdeki diğer verilere eklenen veya bunlarla mantıksal olarak ilişkilendirilen ve imza sahibi tarafından imzalamak için kullanılan elektronik biçimdeki veriler anlamına gelir.”

Bu, eIDAS tarafından yapılan en temel elektronik imza tanımıdır. Elektronik İmza ve Güven Hizmetleri İngiltere'nin Kılavuzu imzanın bu tip örnekler olarak “taranmış imza” veya “tickbox”a değinir.

Standart bir elektronik imza mahkemede geçerli olabilse de (gönderenin, imzalayanın sözleşmeyi gerçekten imzalayan kişi olduğunu kanıtlayabileceğini varsayarsak), buradaki yasal çerçeve değişkenlik göstermektedir. EiDAS’a göre en basit sınıfta tanımlanan bu tür bir elektronik imza, Türkiye’de elle atılan bir imzayla eşdeğer yasal etkiye sahip değildir.

2. Gelişmiş Elektronik İmza (AES)

Standart elektronik imzaların bir adım ötesi olan gelişmiş elektronik imza türler (advanced electronic signatures), daha yüksek bir yasal gereklilik standardına (Madde 26'da tarif edildiği üzere) sahip bir elektronik imza sınıfıdır. Gelişmiş bir elektronik imza şu gereksinimleri karşılamalıdır:

  • İmza sahibi ile benzersiz bir şekilde bağlantılıdır;
  • İmzalayanın kimliği belirlenebilir;
  • İmza sahibi elektronik imzayı yalnızca kendi ve yüksek bir güvenlik hisseyle oluşturur;
  • Verilerde sonradan ortaya çıkan herhangi bir değişiklik tespit edip raporlanabilir.

AES ile ihtiyaçların artması, uygulanabilirliği ve inkar etmemeyi sağlar. Dolandırıcılık şüphesinin ortadan kaldırılması sağlanır. Sadece amaçlanan imzalayanın yasal bir sözleşmeye erişebilir ve / veya imzalayabileceği bir sistem oluşturarak sözleşmenin hukuki durumu artar.

3. Nitelikli Elektronik İmza (QES)

Elektronik imzalar için en katı protokollerin yer aldığı nitelikli elektronik imzalar (qualified electronic signatures) hem imza hem de sağlandığı cihaz için ek gereksinimleri içerir.

Bu elektronik imzalama metodunda cihazların imzalama işlemini devlet tarafından yetkilendirilmiş bir sertifika ile gerçekleştirme zorunluluğu vardır. EIDAS'ın 29. Maddesinden 34. Maddesine kadar kapsamlı bir şekilde kapsanan, Birleşik Krallık'ın Elektronik İmza ve Güven Hizmetleri Rehberi basitleştirilmiş bir tanım sağlar: “Nitelikli bir elektronik imza, devletin onay verdiği bir sertifika sağlayıcı tarafından kimlik doğrulaması yapılmış birey veya kurumun adına özel çıkarılan bir elektronik imza sertifikası yardımı ile gerçekleştirilir.”


QES, dijital güvenlik protokolleri ile bir imza özgünlük, elektronik imzanın bütünlüğü ve imzalı belgenin orijinalliği kontrollerini sağlayabilmektedir.

Dijital sertifikanın eklenmesi, dolandırıcılık veya tahrifat potansiyelini daha da düşürür ve dijital sözleşme daha güçlü bir inkar edilemezlik durumu yaratır.

E-imza ve KVKK Yükümlülükleri

AB'nin Genel Veri Koruma Yönetmeliği (GDPR), Avrupa genelinde veri gizliliği yasalarını uyumlu hale getirmeyi amaçlamaktadır. Yönetmelik özel olarak elektronik imzaları hedef almamakla birlikte, elektronik imza çözümleri uygulayan şirketlerin dikkate alması gereken ek kurallar ve gereksinimler içerir.

Bu gereksinimler arasında:

  • Veri güvenliği,
  • Şifreleme,
  • Razı olma,
  • Veri işleme bulunur.

Elektronik imza çözümünü kullanmak isteyen kuruluşlar, sözleşmeler ve dijital anlaşmalar biçiminde özel bilgilerin uzun bir süre boyunca yakalanmasından ve muhafaza edilmesinden sorumlu olacaklarından, AB'nin bu konulardaki duruşunu anlamalıdır.

Gelişmiş Elektronik İmzalar ve Dijital İmzalar Nasıl Çalışır?

EIDAS (yukarıda) tarafından tanımlanan basit elektronik imzaların yanı sıra, çoğu elektronik imza bir düzeyde güvenlik ve şifreleme ile korunmaktadır.

Bu sözleşmeyi düzenleyen kuruluşun, bu sözleşmenin gerçekliğini inkar etmenin imkansız olmasını sağlama ihtiyacı nedeniyle birçok ülke ve kurum tarafından uygulanıyor. Bir sözleşmenin ve ona ekli elektronik imzanın bütünlüğünden artık şüphe kalmadığında, sözleşmenin bir işlemin kaydı olarak uygulanabilirliğini inkar etmek çok daha zordur.

Bu şifreli imzalar çeşitli isimlerle anılır. EIDAS ve AB'de, bunlar gelişmiş elektronik imzalar olarak bilinirler . ABD'de, genellikle dijital imzalar olarak adlandırılırlar ve onları basit elektronik imzalardan ayıran özel bir dizi standartla birlikte gelirler . Bu isimler özel bir önem taşıyor çünkü imzalama sürecine bir miktar dijital güvenlik uygulandığını ima ediyorlar.

Elektronik imza çözümlerine en sık uygulanan iki veri güvenliği türü aşağıda verilmiştir.

Asimetrik Şifreleme


Elektronik belgeleri imzalarken ve gönderirken, ilgili her iki tarafın da imzalama işlemi tamamlandıktan sonra sözleşmenin içeriğinin değiştirilmeyeceğine dair bir miktar güvence alması gerekir. Modern yazılım, bu görevi gerçekleştirmek için açık anahtarlı şifreleme kullanır. 


Asimetrik anahtar kriptografisi, tarafların, belgenin birden çok sürümünde (veya özetlerinde) dijital olarak imzalanmış bir sözleşmeyi doğrulamak için şifrelenmiş anahtarları kullanarak bir sözleşmenin gerçekliğini bağımsız olarak doğrulamasına olanak tanır.

Çoğu yazılım çözümünde, sözleşmenin tüm sürümleri eşleşirse, belge yalnızca doğru bir şekilde açılır (ve hiçbir uyarı veya uyarı olmadan). İmzalama sürecinde hatalar varsa veya belgenin imzalandığı andan itibaren bir şey değiştiyse, süreç başarısız olur ve ilgili tüm tarafların belgeyi yeniden imzalaması gerekir.

Bu ekstra kontroller ve güvenlik önlemleri, belgeleri daha özgün hale getiren elektronik kimlik ve denetim izleri oluşturur. Ve bu yaygın olarak kabul gören bir uygulama olduğu için, birçok modern iş çözümü (Microsoft Word gibi) önceden oluşturulmuş dijital imzalama çözümleriyle donatılmıştır. 

Kanıta Dayalı Kimlik Doğrulama

Bu tür bir kimlik doğrulama, bir sözleşmedeki elektronik imzanın gerçek olmasını sağlamaya odaklanır. Bu genellikle belgeyi, amaçlanan imza sahibinin kontrol ettiği bilinen bir cihaza veya hesaba göndererek yapılırken, belgenin kendisine erişmek için ikincil bir şifre gerektirir.

İşte kanıta dayalı kimlik doğrulamanın iki yaygın örneği:

  • Bir şirket, imzalayanın e-postasına bir belge gönderir, ancak belgeye erişmek için kullanması gereken imzalayan tarafından kontrol edilen bir numaraya bir metin gönderir. İmzalayan, imzasını gerektiren bir sözleşmeden çevrimiçi bir belge hizmeti aracılığıyla haberdar edilir. Ancak, ona erişmek için bir hesap oluşturmalı ve imzalamadan önce bu hesabı kimlik kanıtıyla doğrulamalıdır.
  • Kanıta dayalı kimlik doğrulama ile şirketler, imzalayanın kimliğini sağlamaya çalışıyor. Açık anahtarlı şifreleme ile birleştirildiğinde, kağıtsız bir imzanın gerçekliğini ve uygulanabilirliğini sağlamak mümkündür.

Elektronik İmza Türleri

  1. Basit Elektronik İmza
  • Basit elektronik imza ve özellikle basit dijital imza sadece verinin bütünlüğünün korunduğunu göstermektedir.
  • Hukuki delil olarak kullanılıp kullanılmayacağı konusunda tam olarak görüş birliği yoktur. AB Direktifi md. 5’e göre basit formda olması tek başına delil olmaktan alıkoymaz.
  • Bilgisayar ekranına kalemle atılan imza, biyometrik imza, dijital imza veya el yazısıyla imzanın tarayıcıdan geçirilerek belgelere eklenmesi örnek olarak verilebilir.
  1. Gelişmiş Elektronik İmza 

Gelişmiş elektronik imza, verinin bütünlüğünün korunduğunu göstermesinin yanında imzalayanın kimliğinin tespitini de sağlar. AB Direktifi md.2’ de tanımı yapılırken Türk hukukunda böyle bir tanıma yer verilmemiştir.

  1. Güvenli Elektronik İmza

5070 sayılı Elektronik İmza Kanunu ile birlikte yayınlanan Resmi Yazışmalarda Kullanılacak Usul ve Esaslar Hakkında Yönetmelik (RYKUEHY)’e göre elektronik ortamlarda yapılacak resmi yazışmalarda, imza yetkisine sahip kişi, belgeyi güvenli elektronik imza ile imzalar.

  1. Münhasıran imza sahibine bağlı olan,
  2. Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan,
  3. Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan,
  4. İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan.

Elektronik imzanın, güvenli elektronik imza olduğu belirtilmiştir. Bu maddenin içerdiği özellikler ise şu şekildedir:

  • Kimlik doğrulama (authentication),
  • Gizlilik (confidentiality),
  • İnkar edilemezlik (non-repudiation),
  • Bütünlük (integrity)  

Güvenli Elektronik İmza’nın elle atılan imza ile aynı hukuki sonucu doğuracağı kanunda belirtilmiş aynı zaman ortaya çıkan bazı belirsizlik hallerinde de Danıştay’ın verdiği kararlarda bir kez daha gözlemlenmiştir.

JETLEXA’nın elektronik imza entegrasyon ayrıcalığıyla da sözleşme süreçlerinizde ek fayda sunacak uygulama, sözleşmelerinizi açma ve kapamada zaman maliyetini uçtan uca azaltacak! Daha fazlasını keşfetmek için onedocs ziyaret edin. 

İlginizi Çekebilir: Elektronik Belgelerin Özellikleri Nelerdir? 5 Önemli Avantajı