Dijital İmzalı PDF Nasıl Anlaşılır?

Bir PDF'in dijital imzalı olduğunu anlamak için ekrandaki imza resmine, kaşeye veya ad-soyad alanına bakmak yeterli değildir. Doğru kontrol, PDF okuyucunun ya da doğrulama aracının dosya içinde kriptografik bir imza paketi bulması, belgenin imzadan sonra değişmediğini göstermesi ve imzacı sertifikasını okunabilir şekilde raporlamasıdır.

Bu ayrım pratikte çok önemlidir. Bazı PDF'lerde imza görünümü vardır fakat o görünüm yalnızca sayfaya yerleştirilmiş bir resimdir. Bazılarında ise görünür imza alanı hiç olmayabilir ama dosyanın içinde geçerli bir PAdES imzası bulunabilir. Bu yüzden “dijital imzalı PDF” sorusunu görünüşe göre değil, doğrulama raporuna göre cevaplamak gerekir.

Belgenin gerçekten dijital imzalı olduğunu anladıktan sonra ikinci soru, bu kontrolün iş akışında neden zorunlu tutulması gerektiğidir. Bu tarafı PDF imza doğrulama neden gereklidir yazısında ayrıca ele aldık.

PDF imza paneli görünmüyorsa belge imzasız mı?

Her zaman değil. Bazı tarayıcı önizlemeleri, e-posta ek görüntüleyicileri ve mobil PDF uygulamaları imza panelini hiç göstermeyebilir. Bu durumda belge kesin olarak imzasız demek yerine dosyayı Adobe Acrobat, kurumsal PDF doğrulama aracı veya V-İmza PDF doğrulama ekranı gibi imza paketini okuyabilen bir araçla kontrol etmek gerekir.

Ancak farklı doğrulama araçlarında da imza paneli, imzacı sertifikası veya belge bütünlüğü bilgisi hiç görünmüyorsa dosyada kriptografik PDF imzası bulunmuyor olabilir. Bu durumda sayfadaki görüntü, kaşe veya QR kod dijital imza yerine geçmez.

Taranmış imza ile dijital imza nasıl ayırt edilir?

Bir PDF sayfasında ıslak imza görüntüsü, kurum kaşesi, “imzalanmıştır” yazısı veya QR kod bulunması belgenin dijital imzalı olduğunu tek başına göstermez. Bunlar belge üzerinde görünen öğelerdir. Dijital imza ise PDF'in imza sözlüğünde ve imza paketinde saklanan kriptografik veridir.

Gerçek PDF imzasında dosyanın belirli byte aralıkları imzalanır, imza paketi genellikle CMS/PKCS#7 yapısı taşır ve imzacıya ait X.509 sertifikası doğrulama sırasında okunur. Bu yapı sayesinde belgenin imzalanan kısmı sonradan değiştirildiyse doğrulama aracı bunu yakalayabilir. Sadece sayfaya yapıştırılmış imza görseli ise böyle bir koruma sağlamaz.

Adobe Acrobat'ta nasıl kontrol edilir?

Adobe Acrobat veya Acrobat Reader kullanıyorsanız PDF'i açtıktan sonra sağ paneldeki imza alanını ya da “Signatures” panelini kontrol edin. Adobe'nin güncel yardım dokümanında önerilen akış; imzalı PDF'i açmak, imza panelinden doğrulamayı çalıştırmak, doğrulama durumunu incelemek ve gerekirse imzacı sertifikasını “Signature Properties” üzerinden görüntülemektir.

Acrobat'ta yeşil veya başarılı görünen bir sonuç iyi bir işarettir, ancak tek başına bütün iş bitmiş sayılmaz. Sertifika kime ait, hangi kurum tarafından verilmiş, imza zamanı nedir, dosya imzadan sonra değişmiş mi ve iptal bilgisi okunabiliyor mu gibi ayrıntıları da kontrol etmek gerekir. Özellikle resmi, finansal veya uzun süre saklanacak belgelerde sadece ilk ekrandaki simgeyle karar vermeyin.

V-İmza doğrulama raporunda hangi alanlara bakılır?

V-İmza PDF doğrulama ekranı, bir PDF'i yalnızca “imzalı” veya “imzasız” diye etiketlemek yerine dosyanın teknik kanıtlarını ayrı başlıklarda okumayı hedefler. Bu yaklaşım, PDF imza doğrulama sürecinde en kritik farkı görünür kılar: İmza var mı sorusu kadar, imza güvenilir şekilde doğrulanabiliyor mu sorusu da önemlidir.

• İmza sayısı: Dosyada bir veya daha fazla kriptografik imza bulunup bulunmadığını gösterir.
• Belge bütünlüğü: İmzalanan içerik imzadan sonra değiştirilmiş mi sorusuna cevap verir.
• İmzacı sertifikası: Sertifika sahibi, düzenleyen kurum, geçerlilik aralığı ve sertifika bilgileri incelenir.
• Güven zinciri: Sertifikanın güvenilir kök veya ara sertifika havuzuyla ilişkilendirilip ilişkilendirilemediği değerlendirilir.
• CRL/OCSP kanıtı: Sertifikanın iptal durumuna dair çevrimiçi veya gömülü doğrulama bilgileri aranır.
• Zaman damgası ve LTV: İmzanın hangi zamanda üretildiğine ve ileride çevrimdışı doğrulanıp doğrulanamayacağına dair kanıtlar kontrol edilir.

Teknik olarak PDF'in içinde ne aranır?

PDF dünyasında dijital imza, genellikle PAdES imza ailesiyle anılır. ETSI EN 319 142-1 standardı, PAdES imzalarının PDF imzaları üzerine kurulduğunu ve uzun dönem doğrulama gibi ihtiyaçları destekleyen imza nitelikleriyle çalıştığını açıklar. Bu yüzden iyi bir doğrulama aracı PDF dosyasının sadece sayfa görüntüsüne değil, imza sözlüğüne ve imza içeriğine bakar.

Burada en sık karşılaşacağınız teknik kavramlardan biri ByteRange alanıdır. ByteRange, imzanın dosyanın hangi byte aralıklarını kapsadığını gösterir. İmza değeri de bu kapsama göre doğrulanır. Bir başka kritik alan Contents alanıdır; burada DER kodlu imza verisi, yani CMS/PKCS#7 SignedData yapısı bulunur. İmzacı sertifikası, imza zamanı, imza özetleri ve bazı doğrulama verileri bu katmanlarda okunur.

E-imzalı PDF sonradan değiştirildiyse nasıl anlaşılır?

E-imzalı PDF sonradan değiştirildiyse doğrulama raporu genellikle belge bütünlüğü, imza kapsamı veya ByteRange kontrolünde uyarı verir. En açık işaret, “belge imzadan sonra değişmiş” anlamına gelen sonuçtur. Bu durumda imza dosyada duruyor olsa bile imzanın koruduğu içerik artık güvenle kabul edilemez.

Değişiklik her zaman kötü niyetli olmayabilir; PDF'i yeniden kaydetmek, sayfa eklemek, form alanı doldurmak veya bazı açıklama araçlarını kullanmak da imza kapsamını bozabilir. Kritik belgelerde çözüm, dosyayı düzeltmeye çalışmak değil karşı taraftan yeniden imzalanmış temiz PDF istemektir.

Rapor sonucunu nasıl yorumlamalısınız?

Doğrulama sonuçlarında “geçerli”, “değiştirilmiş”, “sertifika güvenilir değil”, “iptal bilgisi yok” veya “zaman damgası bulunamadı” gibi ifadeler görebilirsiniz. Bunların her biri farklı bir soruna işaret eder. Örneğin imza kriptografik olarak doğru olabilir ama sistem sertifikanın kök zincirini bulamıyorsa rapor güven açısından uyarı verebilir. Bu durum, imzanın sahte olduğu anlamına gelmeyebilir; güven deposu, ara sertifika veya yetkili sağlayıcı bilgisi eksik olabilir.

Bu nedenle raporu tek satırlık bir sonuç gibi okumayın. İmza değeri, belge bütünlüğü, sertifika güveni, iptal bilgisi ve zaman kanıtı birlikte anlamlıdır. Özellikle arşiv, sözleşme, teklif, tutanak ve resmi başvuru belgelerinde uyarı alanlarını ayrı ayrı saklamak daha doğru bir denetim izi sağlar.

Zaman damgası ve LTV neden önemlidir?

Bir PDF bugün doğrulanabiliyor olabilir, fakat yıllar sonra aynı belge tekrar kontrol edildiğinde sertifika süresi dolmuş, sağlayıcı adresleri değişmiş veya iptal servisleri erişilemez hale gelmiş olabilir. Bu yüzden zaman damgası, CRL/OCSP kanıtları ve DSS/VRI gibi uzun dönem doğrulama verileri özellikle arşivlenecek belgelerde önem kazanır.

RFC3161 zaman damgası, bir verinin belirli bir zamanda var olduğunu gösteren imzalı zaman kanıtı üretir. PAdES-LT ve PAdES-LTA seviyelerine yaklaşan PDF'lerde doğrulama kanıtlarının PDF içine gömülmesi beklenir. Bu, “belge bugün açılıyor” seviyesinden daha güçlü bir hedeftir: Belgenin ileride, ağ bağlantısı olmadan veya sağlayıcı servisleri değişmişken de doğrulanabilmesine yardım eder.

Türkiye ve AB güven listeleri nasıl düşünülmeli?

Türkiye'de güvenli elektronik imza için kullanılan nitelikli elektronik sertifikalar, BTK'nın Elektronik Sertifika Hizmet Sağlayıcıları listesinde yer alan sağlayıcılardan temin edilir. AB tarafında ise qualified trust service provider ve qualified service statüsü için European Commission Trusted Lists yaklaşımı kullanılır. Bu listeler, teknik doğrulama sonucunu hukuki güven bağlamıyla ilişkilendirmeye yardım eder.

Yine de önemli sınır şudur: Bir PDF doğrulama raporu teknik kanıtları gösterir; tek başına bir sağlayıcının “qualified”, “QTSP” veya “nitelikli güven hizmeti sağlayıcısı” olduğunu ilan etmez. Böyle iddialar resmi liste, denetim ve akreditasyon kayıtlarıyla kontrol edilmelidir. V-İmza içeriğinde bu ayrım özellikle korunur.

Pratik kontrol listesi

Elinizdeki PDF için hızlı ve makul bir kontrol yapmak istiyorsanız şu sırayı izleyin:

• PDF'i tarayıcı önizlemesiyle değil, imza paneli gösterebilen bir okuyucu veya doğrulama aracıyla açın.
• Dosyada kriptografik imza bulunduğunu doğrulayın; sadece görsel imza varsa bunu dijital imza kabul etmeyin.
• Belgenin imzadan sonra değiştirilmediğini raporda açıkça görün.
• İmzacı sertifikasının kime ait olduğunu ve hangi sağlayıcı tarafından verildiğini kontrol edin.
• Sertifika zinciri, CRL/OCSP, zaman damgası ve LTV kanıtlarının durumunu ayrı ayrı okuyun.
• Resmi işlem, arşiv veya yüksek riskli belgeyse raporu saklayın ve belirsiz uyarılarda karşı taraftan yeni doğrulanabilir kopya isteyin.