Nitelikli Elektronik İmza Nedir?

Nitelikli elektronik imza, bir belgenin yalnızca ekranda onaylandığını değil; imzacının kimliğiyle, nitelikli elektronik sertifikayla ve belgenin değişmediğini gösteren kriptografik kanıtlarla birlikte doğrulanabildiğini anlatır. Günlük kullanımda “nitelikli e-imza” denir; Türkiye mevzuatındaki teknik karşılığı ise çoğunlukla nitelikli elektronik sertifikaya dayanan güvenli elektronik imza çerçevesinde okunur.

Nitelikli elektronik imza nedir?

Nitelikli elektronik imza, imzacıya ait özel anahtarın güvenli bir ortamda kullanıldığı ve bu imzanın nitelikli elektronik sertifikayla ilişkilendirildiği imza seviyesidir. Bu yapı, belgenin imzacıyla bağını kurar; belge imzalandıktan sonra içerikte değişiklik olup olmadığını da teknik olarak görünür hale getirir.

Buradaki kritik nokta şudur: İmza yalnızca sayfada görünen şekil değildir. Asıl kanıt, PDF dosyasının içinde bulunan imza paketi, imzacı sertifikası, sertifika zinciri, özet eşleşmesi, zaman bilgisi ve iptal kontrolüdür. Bu nedenle PDF imza doğrulama yapılmadan “bu belge kesin geçerlidir” demek sağlıklı değildir.

Türkiye'de NES, ESHS ve güvenli elektronik imza ilişkisi

Türkiye'de nitelikli elektronik sertifika, elektronik imza altyapısının kimlik tarafını taşıyan ana belgedir. BTK'nın yayımladığı elektronik sertifika hizmet sağlayıcıları listesi, güvenli elektronik imza için gerekli nitelikli elektronik sertifikanın hangi sağlayıcılardan alınabileceğini gösterir. Bu yüzden bir imzayı incelerken önce imzacı sertifikasının kaynağına, sonra sertifika zincirinin güvenilir bir köke bağlanıp bağlanmadığına bakılır.

Bir sertifika dosyanın içinde görünüyor diye otomatik olarak yeterli sayılmaz. Sertifikayı veren kurum, sertifikanın amacı, geçerlilik tarihi, iptal durumu ve imza anındaki kanıtlar birlikte okunmalıdır. V-İmza doğrulama raporlarında “sertifika zinciri”, “CRL/OCSP”, “zaman damgası” ve “LTV/DSS” alanlarının ayrı ayrı gösterilmesinin nedeni budur.

Elektronik imza ile nitelikli elektronik imza aynı şey mi?

Hayır, aynı şey değildir. Elektronik imza geniş bir kavramdır. Bir web formunda “kabul ediyorum” butonuna basmak, e-posta ile onay vermek, tablet ekranına elle imza çizmek veya belgenin üzerine imza görseli yerleştirmek elektronik iz bırakabilir. Fakat bu işlemler her zaman nitelikli elektronik imza seviyesine çıkmaz.

Nitelikli elektronik imzada fark, imzanın imzacıya güçlü biçimde bağlanması ve belgenin değişmediğinin kriptografik olarak denetlenebilmesidir. Bu ayrımı pratik örneklerle görmek için dijital imzalı PDF nasıl anlaşılır rehberi iyi bir başlangıçtır.

Bir PDF'de nitelikli imza nasıl kontrol edilir?

PDF tarafında kontrol, belgenin sağ alt köşesindeki imza görüntüsünden başlamaz. Önce PDF içinde gerçekten CMS/PKCS#7 veya PAdES uyumlu bir imza paketi var mı, imza paketi belgenin hangi byte aralığını kapsıyor, imzacı sertifikası kim adına düzenlenmiş ve sertifika hangi zincire bağlanıyor soruları cevaplanır.

V-İmza'nın PDF doğrulama ekranı, bu teknik katmanları ayrı ayrı raporlamak için tasarlanmıştır. İmza doğrulama raporunda imzacı adı, sertifika veren kurum, sertifika geçerliliği, iptal kanıtı, zaman damgası, LTV/DSS durumu ve belge bütünlüğü birlikte değerlendirilir. Raporu yorumlama tarafında daha detaylı okuma için PDF imza doğrulama raporu nasıl okunur yazısına bakabilirsiniz.

Nitelikli elektronik imza geçerli görünüp yine de neden uyarı verebilir?

Bir imzanın kriptografik olarak sağlam olması, tüm güven kanıtlarının eksiksiz olduğu anlamına gelmez. Örneğin imza değeri doğru olabilir; ancak sertifika zinciri yerel güven havuzunda bulunamamış olabilir. Ya da sertifika geçerli görünebilir; fakat imza anına ait CRL/OCSP kanıtı PDF içine gömülmemiş olabilir. Bu durumda rapor “imza sağlam” derken aynı anda “kanıt eksik” uyarısı da verebilir.

Bu uyarılar çoğu zaman imzanın yok sayılması gerektiği anlamına gelmez; ama arşiv, denetim, dava, kamu süreci veya uzun süreli saklama gibi alanlarda eksik kanıtların tamamlanması gerektiğini gösterir. PDF üzerindeki elektronik imzanın neyi kanıtladığı bu yüzden yalnızca tek satırlık “geçti/kaldı” sonucuyla açıklanamaz.

Zaman damgası, CRL/OCSP ve LTV neden önemlidir?

Bir sertifika bugün geçerli olabilir, yarın iptal edilebilir veya birkaç yıl sonra süresi dolabilir. Zaman damgası, imzanın belirli bir tarihte var olduğunu kanıtlamaya yardım eder. CRL ve OCSP ise sertifikanın iptal durumunu gösterir. LTV/DSS verileri bu kanıtların PDF içinde saklanmasını sağlayarak belgenin gelecekte de doğrulanabilir kalmasına katkı verir.

Bu nedenle uzun süre saklanacak sözleşmelerde yalnızca imza atmak yeterli değildir. İmza sonrası zaman damgası, sertifika zinciri ve iptal kanıtlarının da dosyaya eklenmesi gerekir. Daha kapsamlı teknik çerçeve için PDF imza doğrulama rehberi ve elektronik imza doğrulama rehberi içerikleriyle devam edebilirsiniz.

Mobil imza nitelikli elektronik imza mıdır?

Mobil imza, doğru sertifika ve sağlayıcı altyapısıyla kullanıldığında güvenli elektronik imza üretmek için kullanılan yöntemlerden biri olabilir. Burada sıradan SMS onayı ile mobil imzayı karıştırmamak gerekir. Mobil imzada imza oluşturma süreci, kullanıcının nitelikli elektronik sertifikası ve güvenli imza oluşturma altyapısı etrafında yürür; sadece telefona gelen onay kodu nitelikli elektronik imza anlamına gelmez.

PDF imzalama sürecinde mobil imzadan dönen imza değerinin PDF'e doğru yerleştirilmesi, sonra da sertifika zinciri, zaman damgası ve LTV kanıtlarıyla doğrulanması gerekir. Bu ayrım, imzalama sistemi ile doğrulama sisteminin birlikte tasarlanmasını zorunlu kılar.

eIDAS, QES ve Türkiye'deki nitelikli imza aynı mı?

Avrupa Birliği tarafında “qualified electronic signature” kavramı eIDAS düzeni ve AB trusted list yapısıyla birlikte değerlendirilir. Avrupa Komisyonu, QES'in AB çerçevesinde ıslak imzayla aynı hukuki etkiye sahip olduğunu belirtir; ancak bu sonuç, imza hizmetinin ilgili trusted list üzerinde nitelikli hizmet olarak yer almasına bağlıdır.

Türkiye'deki 5070/BTK çerçevesi ile AB'deki eIDAS/QTSP çerçevesi teknik olarak benzer kavramlar taşısa da birebir aynı resmi statü değildir. Bu yüzden bir sistemin PAdES, zaman damgası, LTV/DSS ve sertifika zinciri kontrollerini teknik olarak yapması değerlidir; fakat “QTSP”, “eIDAS uyumlu nitelikli güven hizmeti sağlayıcısı” veya “AB genelinde nitelikli imza hizmeti” gibi iddialar ancak ilgili resmi denetim, akreditasyon ve trusted list süreci tamamlandığında kullanılmalıdır.

Kurumlar nitelikli elektronik imza kullanırken nelere bakmalı?

Kurumsal süreçlerde amaç sadece “belge imzalandı” demek değildir. Belgenin kimin tarafından, hangi sertifikayla, hangi tarihte, hangi kapsamda ve hangi kanıtlarla imzalandığını sonradan gösterebilmek gerekir. Özellikle insan kaynakları, satış sözleşmeleri, tedarikçi süreçleri, yönetim onayları ve arşiv belgelerinde doğrulama raporunun saklanması ciddi avantaj sağlar.

• İmzacı adı PDF alan adından değil, sertifika sahibinden okunmalı.
• Sertifika zinciri güvenilir kök ve ara sertifikalara bağlanmalı.
• CRL veya OCSP ile iptal durumu kontrol edilmeli.
• Zaman damgası ve LTV/DSS verileri uzun dönem saklama için değerlendirilmelidir.
• Belge imzadan sonra değişmişse rapordaki uyarı iş akışında görünür olmalı.
• Hukuki nitelik iddiaları teknik doğrulama sonucuyla karıştırılmamalı.

Sonuç: Nitelikli elektronik imza bir güven kanıtı bütünüdür

Nitelikli elektronik imza, yalnızca belgeye imza resmi eklemek değildir. İmzacı kimliği, nitelikli elektronik sertifika, güvenli imza oluşturma aracı, belge bütünlüğü, sertifika zinciri, iptal kanıtı ve zaman bilgisi birlikte okunduğunda anlam kazanır. PDF ortamında sağlıklı değerlendirme için imza paketi teknik olarak doğrulanmalı, sertifika güveni resmi kaynaklarla desteklenmeli ve uzun süreli saklama gerekiyorsa LTV/DSS kanıtları tamamlanmalıdır.

V-İmza'nın yaklaşımı bu ayrımı görünür kılmaktır: imza teknik olarak ne söylüyor, hangi kanıtlar var, hangi kanıtlar eksik ve rapor hangi seviyede yorumlanmalı? Bu sayede kullanıcı sadece “imza var” sonucuna değil, belgenin güven kanıtlarını okuyabileceği daha sağlam bir doğrulama sürecine ulaşır.