LTV, imzalı PDF'in yalnızca bugün değil, yıllar sonra da doğrulanabilmesi için gereken kanıtların saklanmasıdır. DSS ise bu kanıtların PDF içinde tutulduğu teknik alandır. Sertifika zinciri, OCSP/CRL iptal kanıtları ve zaman damgası doğru bağlanmadığında “imza geçerli” yorumu arşiv açısından zayıf kalabilir.
Kısa cevap: LTV uzun dönem doğrulama hedefidir; DSS bu hedefe hizmet eden PDF içi kanıt deposudur. Bir PDF'de LTV/DSS olması, belgenin otomatik olarak hukuken “nitelikli” olduğu anlamına gelmez; ama belgenin ileride çevrim içi kaynaklara muhtaç kalmadan doğrulanabilmesi için kritik teknik altyapıyı sağlar.
LTV ve DSS ne işe yarar?
PDF imzası ilk doğrulandığında sistem genellikle imza değerini, belgenin imzadan sonra değişip değişmediğini, imzacı sertifikasını ve sertifika zincirini kontrol eder. Bu kontrol bugün yapılırken ilgili sertifika otoritesinin OCSP veya CRL kaynaklarına erişilebiliyorsa sonuç alınabilir. Sorun, aynı belgenin beş yıl sonra açıldığında başlar: sertifika süresi dolmuş olabilir, iptal kaydı adresi değişmiş olabilir veya eski ara sertifikaya erişmek zorlaşabilir.
LTV bu riski azaltmak için imza anındaki doğrulama kanıtlarını belgeyle birlikte saklama fikridir. DSS, PDF dünyasında bu kanıtları taşıyan alandır. Bu yüzden PDF imza doğrulama raporunda LTV/DSS bilgisi, özellikle sözleşme, teklif, onay formu, kamu yazışması veya uzun süre saklanacak kurum belgeleri için ayrı okunmalıdır.
DSS içinde hangi kanıtlar bulunur?
DSS'nin açılımı Document Security Store olarak kullanılır. Bu alan, PDF'in güvenlik doğrulaması için gereken ek verileri belge içine koyar. Tipik bir DSS yorumunda sertifikalar, OCSP yanıtları, CRL kayıtları ve bu verilerin hangi imzayla ilişkili olduğunu gösteren VRI bağlantıları aranır.
VRI, Validation Related Information anlamına gelir ve özellikle birden fazla imzalı PDF'lerde her imzanın kendi kanıt setiyle eşleşmesini kolaylaştırır. VRI tek başına sihirli bir geçerlilik etiketi değildir; asıl değer, PDF içinde gerçekten kullanılabilir sertifika ve iptal kanıtlarının bulunmasıdır.
Sertifika değerleri
İmzacı sertifikası, ara sertifikalar ve güven zincirini kurmak için gereken sertifika verileri.
OCSP yanıtları
Belirli bir sertifikanın imza zamanı bağlamında iptal edilip edilmediğini gösteren çevrim içi durum kanıtı.
CRL kayıtları
Sertifika otoritesinin yayımladığı iptal listelerinden alınan doğrulama materyali.
Zaman damgası
İmza veya arşiv kanıtlarının belirli bir anda var olduğunu gösteren RFC3161 temelli zaman kanıtı.
PAdES seviyeleri LTV'yi nasıl anlatır?
PAdES, PDF belgeleri için gelişmiş elektronik imza profilidir. Pratikte LTV/DSS konuşurken en çok B-B, B-T, B-LT ve B-LTA seviyeleriyle karşılaşılır. Bu seviyeler “imza var mı?” sorusunu daha ayrıntılı bir kanıt zincirine dönüştürür.
| Seviye | Ne ekler? | Raporda ne anlama gelir? |
|---|---|---|
| PAdES-B-B | Temel PDF imza yapısı ve imza paketi. | İmza teknik olarak okunabilir; fakat uzun dönem kanıtlar henüz sınırlıdır. |
| PAdES-B-T | İmza zamanına ilişkin zaman damgası. | Sertifika sonradan süresi dolsa bile imza anını yorumlamak güçlenir. |
| PAdES-B-LT | Sertifika zinciri ve iptal kanıtları gibi uzun dönem doğrulama materyali. | PDF, arşiv doğrulaması için çevrim içi kaynaklara daha az bağımlı hale gelir. |
| PAdES-B-LTA | LT kanıtlarını koruyan ek arşiv zaman damgası veya DocTimeStamp yapısı. | Algoritma eskimesi, sertifika süresi ve kanıt tazeliği risklerine karşı daha güçlü arşiv seviyesi hedeflenir. |
“LTV/DSS var” sonucu tek başına yeterli mi?
Hayır. LTV/DSS varlığı olumlu bir işarettir; fakat doğrulama yine de kanıtların kalitesine bakmalıdır. DSS içinde eski, eksik, yanlış imzayla ilişkilendirilmiş veya güvenilmeyen bir sertifika zincirine bağlı kanıtlar bulunabilir. Ayrıca zaman damgası varsa onun da kendi sertifika zinciri ve güven kaynağı doğrulanmalıdır.
Bu nedenle V-İmza raporunda “LTV/DSS var” bilgisini, belge bütünlüğü ve imza doğrulama sonucu ile birlikte okumak gerekir. Daha geniş doğrulama akışı için PDF imza doğrulama rehberi ve rapor alanlarını yorumlamak için PDF imza doğrulama raporu nasıl okunur yazısı tamamlayıcıdır.
Raporda görülen uyarılar nasıl yorumlanmalı?
- LTV/DSS yok: Belge geçersiz olmak zorunda değildir; ancak uzun dönem arşiv güveni zayıflar ve gelecekte çevrim içi kaynaklara ihtiyaç doğabilir.
- CRL/OCSP kanıtı yok: Sertifikanın imza zamanı bağlamındaki iptal durumu netleşmemiş olabilir. Karar vermeden önce ek doğrulama gerekir.
- Sertifika zinciri bulunamadı: İmzacı sertifikası okunmuş olsa bile güvenilir kök/ara sertifika bağlantısı tamamlanmamıştır.
- Zaman damgası doğrulanamadı: Zaman damgası token'ı bulunabilir; fakat TSA sertifikası veya zaman kanıtı güven zinciri doğrulanamamıştır.
- Self-signed sertifika: Teknik test veya kurum içi kullanım olabilir; fakat tek başına nitelikli elektronik imza güveni oluşturmaz.
Zaman damgası LTV'nin neresinde durur?
Zaman damgası, bir verinin belirli bir zamandan önce var olduğunu gösteren kriptografik kanıttır. RFC3161 Time-Stamp Protocol, zaman damgası otoritesine gönderilen istek ve dönen yanıt formatını tanımlar. PDF imza tarafında bu kanıt, imzanın sertifika geçerlilik dönemiyle ilişkilendirilmesi için önemlidir.
Burada sık yapılan bir karışıklık var: Harici bir zaman damgası kanıt dosyası, PDF'in içine gömülü PAdES zaman damgasıyla aynı şey değildir. Harici kanıt ayrı dosya olarak doğrulanabilir; fakat PDF içinde uzun dönem doğrulama hedefleniyorsa ilgili ByteRange veya belge arşiv yapısı üzerinden PDF'e uygun zaman kanıtının eklenmesi gerekir.
V-İmza raporunda pratik okuma sırası
V-İmza ile bir PDF'i kontrol ederken LTV/DSS alanına doğrudan atlamak yerine kanıtları şu sırayla okumak daha sağlıklıdır:
- Önce PDF içinde gerçek dijital imza paketi olup olmadığını kontrol edin; görsel imza resmi yeterli değildir.
- Belge bütünlüğü ve ByteRange sonucunu okuyun; içerik imzadan sonra değişmişse diğer kanıtlar sonucu kurtaramaz.
- İmzacı sertifikasını ve sertifika sahibini inceleyin; alan adını imzacı kimliğiyle karıştırmayın.
- Sertifika zincirinin güvenilir kök veya ara sertifikaya bağlanıp bağlanmadığını kontrol edin.
- OCSP/CRL iptal kanıtının imza zamanıyla ilişkili olup olmadığına bakın.
- Zaman damgası ve varsa DocTimeStamp değerlerinin doğrulanabilir olduğunu teyit edin.
- En son LTV/DSS/VRI varlığını arşiv gücü açısından yorumlayın.
V-İmza yorumu: Bir rapor “imza kriptografik olarak doğru” diyebilir; ancak “CRL/OCSP kanıtı yok” veya “sertifika zinciri eksik” uyarısı karar kalitesini değiştirir. Bu yüzden rapor sonucu tek etiketle değil, kanıt katmanlarıyla birlikte okunmalıdır.
Hukuki statü ile teknik doğrulama aynı şey değildir
LTV/DSS teknik bir doğrulama ve arşiv konusudur. Bir PDF'in DSS alanı güçlü diye belge otomatik olarak eIDAS kapsamında qualified, QTSP destekli veya Türkiye'de nitelikli elektronik imza statüsünde sayılmaz. Hukuki statü için sertifikanın kaynağı, sağlayıcının resmi listelerdeki durumu, imza oluşturma aracı, işlem bağlamı ve ilgili mevzuat birlikte değerlendirilir.
Türkiye tarafında güvenli elektronik imza için gerekli nitelikli elektronik sertifikalar BTK'nın elektronik sertifika hizmet sağlayıcıları listesiyle ilişkilidir. Avrupa Birliği tarafında ise qualified trust service iddiası, Avrupa Komisyonu'nun eIDAS Trusted Lists yaklaşımıyla kontrol edilir. Konunun hukuki kavram ayrımı için nitelikli elektronik imza nedir yazısı ayrıca okunabilir.
Ne zaman LTV/DSS özellikle aranmalı?
Kısa süreli işlem belgelerinde anlık doğrulama çoğu zaman operasyonel ihtiyacı karşılar. Fakat uzun süre saklanacak, denetimde sunulacak veya taraflar arasında ileride uyuşmazlık doğurabilecek belgelerde LTV/DSS çok daha önemlidir. Arşivlik sözleşmeler, ihale/teklif dosyaları, kurul kararları, çalışan onayları, tedarikçi dokümanları ve zaman hassasiyetli taahhütler bu gruba girer.
Bu tür belgelerde hedef, yalnızca “bugün doğrulandı” demek değil; doğrulamanın dayandığı kanıtları belgeyle birlikte taşımaktır. Böylece sertifika otoritesinin eski uç noktası değişse bile belge içindeki kanıt seti üzerinden daha güçlü bir teknik değerlendirme yapılabilir.
Sonuç
LTV ve DSS, imzalı PDF'lerde uzun dönem güvenin teknik omurgasıdır. LTV hedefi, belgenin gelecekte de doğrulanabilmesini sağlar; DSS ise bu hedef için gereken sertifika, OCSP, CRL ve zaman kanıtlarını PDF içinde taşır. Yine de doğru karar için LTV/DSS varlığını belge bütünlüğü, imza paketi, sertifika zinciri, iptal kanıtı ve zaman damgası ile birlikte okumak gerekir.
Bir PDF'i arşive kaldırmadan önce V-İmza PDF doğrulama aracıyla rapor üretmek, eksik kanıtları erken görmenizi sağlar. Kurumsal akışınızda LTV/DSS hedefiyle imzalama veya doğrulama kurgusu gerekiyorsa V-İmza ile iletişime geçerek kullanım senaryonuzu teknik olarak netleştirebilirsiniz.
Sık Sorulan Sorular
LTV/DSS olmayan PDF imza geçersiz midir?
Hayır. LTV/DSS olmaması imzanın otomatik olarak geçersiz olduğu anlamına gelmez. Ancak belge yıllar sonra doğrulanacaksa sertifika, OCSP/CRL ve zaman kanıtlarına erişim zorlaşabileceği için arşiv güveni daha zayıf olur.
DSS ile VRI aynı şey mi?
Hayır. DSS, PDF içindeki doğrulama verisi deposudur. VRI ise bu verilerin belirli imzalarla ilişkilendirilmesine yardım eden yapıdır. Bir raporda ikisi birlikte okunmalı, sadece isimlerinin bulunmasına göre kesin karar verilmemelidir.
Zaman damgası varsa LTV tamamlanmış sayılır mı?
Tek başına hayır. Zaman damgası imza zamanı veya arşiv kanıtı için güçlü bir parçadır; fakat LTV için sertifika zinciri ve OCSP/CRL gibi iptal kanıtlarının da uygun şekilde saklanması gerekir.
LTV/DSS belgenin hukuken nitelikli olduğunu kanıtlar mı?
Hayır. LTV/DSS teknik uzun dönem doğrulama kanıtıdır. Nitelikli elektronik imza veya qualified trust service statüsü için resmi sağlayıcı listeleri, sertifika politikaları, imza oluşturma aracı ve ilgili mevzuat ayrıca değerlendirilmelidir.
Kaynaklar
- ETSI EN 319 142-1 V1.2.1 - PAdES digital signatures
- ETSI EN 319 102-1 V1.4.1 - AdES creation and validation procedures
- European Commission DSS - Digital Signature Service documentation
- RFC 3161 - Time-Stamp Protocol
- European Commission - EU Trusted Lists
- BTK - Elektronik Sertifika Hizmet Sağlayıcıları
- Adobe Acrobat - Validate digital signatures
