Elektronik İmza Doğrulama Rehberi: Kimlik, Bütünlük ve Sertifika Güveni

Elektronik imza doğrulama, bir belgedeki imzanın gerçekten beklenen kişiye veya kuruma bağlanıp bağlanmadığını, imzadan sonra belgenin değişip değişmediğini ve imzacı sertifikasının güvenilir bir zincire dayanıp dayanmadığını kontrol etme sürecidir. Sağlıklı karar, tek bir yeşil simgeye değil; kimlik, bütünlük, sertifika güveni, iptal durumu ve zaman kanıtının birlikte okunmasına dayanır.

Bu rehber, elektronik imzalı PDF alan kullanıcılar, sözleşme kabul süreçleri, insan kaynakları evrakları, teklif-onay akışları, kalite kayıtları ve resmi belge kontrolü yapan ekipler için hazırlandı. Amaç hukuki kanaat vermek değil; doğrulama raporunda görülen teknik alanların iş kararı açısından ne anlama geldiğini sadeleştirmektir.

Elektronik imza doğrulama hangi sorulara cevap verir?

Doğrulama işlemi, “PDF üzerinde imza görünüyor mu?” sorusundan daha kapsamlıdır. İyi bir doğrulama raporu, imzanın kriptografik olarak çözümlenip çözümlenmediğini, imzanın hangi belge aralıklarını kapsadığını, imzacı sertifikasının hangi sağlayıcı tarafından üretildiğini ve bu sertifikanın imza zamanında kullanılabilir olup olmadığını gösterir.

Kimlik doğrulama: imzacı adı nereden okunur?

Sayfadaki imza görseli, imza alanı adı veya belgenin altında yazan isim kimlik doğrulama için tek başına yeterli değildir. Gerçek teknik kimlik, imza paketindeki sertifikadan okunur. Bu sertifika genellikle sertifika sahibi, düzenleyen kurum, seri numarası, geçerlilik tarihleri, anahtar kullanım amacı ve sertifika politikası gibi alanlar taşır.

Bir belgeyi kabul etmeden önce “sertifika sahibi beklediğim kişi mi?” sorusunu sorun. Kurumsal belgelerde tüzel kişi, temsilci, unvan veya elektronik mühür ayrımı ayrıca önem kazanabilir. Sadece dosya adında veya görünen imza kutusunda doğru isim yazması, imzanın o kişiye ait olduğunu ispatlamaz.

Belge bütünlüğü: imzadan sonra dosya değişti mi?

Elektronik imzanın en güçlü taraflarından biri, imzalanan verinin sonradan değişip değişmediğini gösterebilmesidir. PDF imzalarda bu kontrol çoğu zaman ByteRange ve imza kapsamındaki hash değerleri üzerinden yapılır. Dosya imzadan sonra yeniden kaydedildiyse, sayfa eklendiyse, bazı form alanları değiştirildiyse veya imza kapsamı dışına içerik eklendiyse doğrulama raporu uyarı verebilir.

Belge bütünlüğü hatası, genellikle en kritik uyarılardan biridir. Çünkü bu uyarı, imza paketinin belgenin mevcut halini güvenilir biçimde kapsamadığını anlatır. Böyle bir durumda dosyayı “imzalı görünüyor” diye kabul etmek yerine, imzacının temiz ve yeniden imzalanmış kopya göndermesi istenmelidir. Bu konu PDF özelinde daha ayrıntılı işlendiği için PDF imza doğrulama raporu nasıl okunur yazısı da birlikte okunabilir.

Sertifika güveni: güven zinciri neden gerekir?

Bir imzacı sertifikası, imzayı teknik olarak çözmek için kullanılabilir; fakat güven kararı için sertifikanın kime ait olduğu ve hangi sağlayıcı zincirine bağlandığı da doğrulanmalıdır. Güven zinciri, imzacı sertifikasının ara sertifikalar üzerinden güvenilen bir kök sertifikaya kadar izlenebilmesidir. Türkiye bağlamında nitelikli elektronik sertifika ve güvenli elektronik imza konuları BTK'nın ESHS listesi ve e-imza mevzuatıyla birlikte değerlendirilir.

Rapor “sertifika güvenilir değil” veya “zincir kurulamadı” diyorsa iki ihtimal vardır: Sertifika gerçekten güvenilir bir sağlayıcıya bağlanmıyor olabilir ya da doğrulama aracının güven deposunda gerekli kök/ara sertifika eksiktir. Bu yüzden güven zinciri uyarısı, belge bütünlüğü hatasından farklı yorumlanmalıdır. Bütünlük hatası doğrudan belgenin içeriğiyle ilgilidir; güven zinciri hatası ise çoğu zaman sertifika deposu, güven listesi veya sağlayıcı statüsüyle ilgilidir.

CRL ve OCSP: sertifika iptal edilmiş mi?

Sertifikalar süresi dolmadan da iptal edilebilir. Özel anahtarın ele geçirilmesi, kart/token kaybı, yetki değişikliği veya sertifika bilgilerinin artık doğru olmaması gibi durumlarda iptal kayıtları devreye girer. CRL, sertifika iptal listesidir; OCSP ise belirli bir sertifikanın durumunu sorgulayan çevrimiçi protokoldür.

Doğrulama raporunda “revoked” benzeri bir sonuç ciddi uyarıdır. “Unknown”, “not available” veya “no revocation data” gibi sonuçlar ise çoğu zaman kanıt eksikliğini gösterir. Bu tür eksiklikler belgeyi otomatik olarak sahte yapmaz; ancak özellikle yüksek riskli sözleşme ve denetim süreçlerinde sonucu zayıflatır.

Zaman damgası ve LTV neden ayrı okunur?

İmza zamanı her zaman aynı güçte kanıt değildir. İmzacı bilgisayarının beyan ettiği tarih ile güvenilir zaman damgası farklı kavramlardır. RFC3161 zaman damgası, belgenin veya imza paketinin belirli bir zamanda var olduğunu güvenilir zaman otoritesi üzerinden kanıtlamaya yardım eder. PDF dünyasında PAdES-LT ve PAdES-LTA hedefleri için CRL/OCSP kanıtları, DSS/VRI kayıtları ve belge zaman damgası uzun dönem doğrulamayı güçlendirir.

Bu ayrım V-İmza için özellikle önemlidir: Harici bir zaman damgası dosyası veya ayrı kanıt kaydı, PDF içine gömülü PAdES zaman damgasıyla karıştırılmamalıdır. PDF içinde gömülü zaman damgası varsa doğrulama raporunda imza zaman damgası veya belge zaman damgası alanları ayrıca görülmelidir.

Taranmış imza ile elektronik imza nasıl ayrılır?

Taranmış imza, imza görselinin PDF'e resim olarak eklenmesidir. Bu yöntem belge üzerinde bir görüntü oluşturur; fakat tek başına imzacı sertifikası, özel anahtar kullanımı, belge bütünlüğü veya iptal kontrolü sağlamaz. Elektronik imza ise PDF içinde CMS/PKCS#7 tabanlı imza paketi, sertifika ve imzalanan veri özetleri gibi teknik bileşenler taşır.

Bu yüzden görsel olarak çok iyi hazırlanmış bir imza bile dijital imza olmayabilir. Pratik kontrol için PDF okuyucudaki imza paneline, doğrulama raporuna ve sertifika ayrıntılarına bakın. Konunun PDF tarafındaki işaretleri için dijital imzalı PDF nasıl anlaşılır rehberi daha görsel bir kontrol sırası sunar.

Türkiye ve AB çerçevesi nasıl ayrılmalı?

Türkiye'de 5070 sayılı Elektronik İmza Kanunu ve BTK düzenlemeleri güvenli elektronik imza, nitelikli elektronik sertifika ve ESHS çerçevesini belirler. BTK'nın genel bilgi sayfası, güvenli elektronik imzanın kimlik doğrulama, sonradan değişiklik tespiti ve ispat gücü tarafını açıklar. Bu, teknik doğrulamanın yerel mevzuatla birlikte okunması gerektiğini gösterir.

Avrupa Birliği'nde ise eIDAS çerçevesi, elektronik kimlik ve güven hizmetleri için ayrı bir düzen kurar. “Qualified electronic signature”, “qualified trust service provider” veya “EU trusted list” gibi ifadeler resmi statü ve liste süreçlerine bağlıdır. V-İmza teknik olarak PAdES, sertifika zinciri, zaman damgası ve LTV/DSS kanıtlarını doğrulamaya odaklanabilir; ancak resmi QTSP veya eIDAS 2.0 uyumluluğu gibi iddialar ilgili denetim, akreditasyon ve trusted list süreci tamamlanmadan kullanılmamalıdır.

V-İmza ile doğrulama yaparken nasıl ilerlenmeli?

Önce V-İmza PDF imza doğrulama aracına dosyayı yükleyip genel sonucu okuyun. Ardından her imza için imzacı sertifikası, belge bütünlüğü, sertifika zinciri, CRL/OCSP durumu, zaman damgası ve LTV alanlarını ayrı ayrı kontrol edin. Dosyada birden fazla imza varsa her imza farklı belge sürümünü veya farklı onay adımını kapsayabilir.

Kurumsal kullanımda doğrulama sonucunu sadece ekranda görmek yeterli değildir. Kabul edilen belgelerde doğrulama zamanı, dosya hash'i, imza sayısı ve rapor sonucunun arşivlenmesi gerekir. API veya kurumsal doğrulama akışı gerekiyorsa V-İmza ile iletişime geçerek doğrulama senaryosuna uygun entegrasyon planı çıkarılabilir.

Sonuç: güvenilir doğrulama neyi gerektirir?

Elektronik imza doğrulama; imzacı kimliği, belge bütünlüğü ve sertifika güveni arasında bağ kurar. Güvenilir sonuç için PDF içindeki imza paketi okunmalı, X.509 sertifika bilgileri doğrulanmalı, güven zinciri kurulmalı, CRL/OCSP iptal durumu değerlendirilmeli ve mümkünse zaman damgası ile LTV kanıtları saklanmalıdır. Bu kontroller birlikte yapıldığında elektronik imzalı bir belgenin teknik güvenilirliği çok daha net yorumlanır.

Nitelikli imza seviyesini anlamak için nitelikli elektronik imza nedir yazısına, PDF doğrulamanın temel mantığı için de PDF imza doğrulama nedir rehberine bakabilirsiniz.