PAdES, PDF dosyalarının içine yerleştirilen elektronik imzalar için kullanılan ETSI imza profilidir. Sadece sayfada görünen imza kutusunu değil; PDF'in hangi byte aralığının imzalandığını, imza paketini, imzacı sertifikasını, zaman kanıtını ve uzun dönem doğrulama verilerini birlikte tanımlar.
Kısa cevap: PAdES-BES veya güncel adlandırmada PAdES-B-B temel PDF imza seviyesidir. PAdES B-T bu imzaya güvenilir zaman damgası ekler. PAdES B-LT, sertifika zinciri ve CRL/OCSP gibi doğrulama kanıtlarını PDF'in içine taşır. PAdES B-LTA ise bu kanıt paketini arşiv zaman damgalarıyla uzun vadede korunabilir hale getirir.
Bu ayrım özellikle sözleşme, teklif, kurul kararı, teslim tutanağı, ISO/KVKK dokümanı veya yıllarca saklanacak resmi evraklarda önemlidir. Çünkü bugün geçerli görünen bir PDF imzası, birkaç yıl sonra sertifika süresi dolduğunda ya da iptal kontrol adresleri değiştiğinde aynı açıklıkta doğrulanamayabilir. PAdES seviyeleri, imzanın yalnızca “şu an geçerli mi?” sorusuna değil, “bu belge ileride de güvenilir biçimde doğrulanabilecek mi?” sorusuna cevap verir.
PAdES hangi problemi çözer?
PDF imzası, dosyanın içine gömülü bir CMS/PKCS#7 imza paketiyle çalışır. İmza paketi PDF'in imzalanan bölümünün özetini, imza değerini ve imzacı sertifikasına ilişkin bilgileri taşır. PDF tarafında ise ByteRange, imzanın dosyanın hangi bölümlerini kapsadığını gösterir. Doğrulama sırasında sistem dosyanın aynı byte aralığını yeniden özetler ve imza paketindeki değerle karşılaştırır.
Bu yüzden PAdES, “PDF'in üzerine görsel imza basıldı mı?” sorusundan daha teknik bir alandır. Görsel imza alanı kullanıcı için işaret olabilir; fakat asıl doğrulama imza sözlüğü, ByteRange, sertifika zinciri, iptal bilgisi ve zaman kanıtı üzerinden yapılır. Bu temel kontrolü daha geniş bağlamda okumak için PDF imza doğrulama rehberi yazısına bakabilirsiniz.
BES, B-B, B-T, B-LT ve B-LTA aynı şey mi?
Günlük kullanımda “PAdES-BES” ifadesi çoğu zaman temel PDF elektronik imzasını anlatmak için kullanılır. Modern ETSI baseline ailesinde ise temel seviye genellikle PAdES-B-B olarak adlandırılır. Bu yazıda BES/B-B ayrımını pratik okumak gerekir: ikisi de PDF içinde temel kriptografik imza çekirdeğini ifade eder; üst seviyeler ise bu çekirdeğin üzerine zaman ve doğrulama kanıtı ekler.
| Seviye | PDF içinde ne bulunur? | Doğrulama açısından sonucu | Ne zaman tercih edilir? |
|---|---|---|---|
| PAdES-BES / B-B | İmza değeri, imzacı sertifikası, ByteRange ve temel imza sözlüğü. | Belgenin imzadan sonra değişip değişmediği ve imza paketinin teknik olarak doğru kurulup kurulmadığı anlaşılır. | Kısa süreli iç onay, hızlı belge akışı veya sonradan ayrı doğrulama yapılacak süreçler. |
| PAdES B-T | Temel imzanın üzerine güvenilir zaman damgası token'ı eklenir. | İmzanın belirli bir tarihte var olduğuna dair zaman kanıtı oluşur. | İmza anı kritik olan teklif, başvuru, sözleşme ve süreli işlem kayıtları. |
| PAdES B-LT | Sertifika zinciri, OCSP/CRL iptal kanıtları ve DSS gibi doğrulama verileri PDF içine alınır. | Belge, ileride çevrim içi sertifika servislerine daha az bağımlı biçimde doğrulanabilir. | Arşiv, denetim, kalite sistemi, ihale ve uzun süre saklanacak belge akışları. |
| PAdES B-LTA | B-LT kanıtlarına ek olarak belge/arşiv zaman damgalarıyla kanıt paketi korunur. | Doğrulama verisinin kendisi de zaman içinde korunur; algoritma eskimesi veya sertifika süresi dolması riskine karşı daha güçlü arşiv sinyali verir. | Çok uzun süre saklanacak ve yıllar sonra tekrar kanıtlanması beklenen kritik PDF arşivleri. |
PAdES-BES veya B-B: temel imza seviyesi
Temel seviyede asıl amaç, PDF'in imzalanan bölümünün imzadan sonra değiştirilmediğini göstermektir. Doğrulama aracı ByteRange kapsamını tekrar hesaplar; imza paketindeki özetle uyum varsa belge bütünlüğü korunmuş görünür. Bu katmanda imzacı sertifikası da okunur, fakat iptal durumu ve güven zinciri için gereken tüm kanıtların PDF'in içinde bulunması garanti değildir.
Bu nedenle temel seviye “imza yok” anlamına gelmez; aksine teknik imzanın çekirdeğidir. Fakat uzun vadeli arşiv için tek başına zayıf kalabilir. V-İmza raporunda belge bütünlüğü başarılı olsa bile “zaman damgası yok”, “CRL/OCSP kanıtı yok” veya “sertifika zinciri bulunamadı” gibi uyarılar görüyorsanız, temel imza çekirdeği ile güven kanıtları ayrı ayrı değerlendirilmelidir.
PAdES B-T: imzanın zamanını güçlendiren seviye
B-T seviyesinde temel imzaya bir zaman damgası eklenir. Bu zaman damgası genellikle RFC3161 tabanlı bir zaman damgası otoritesinden alınan token'dır. Pratik sonucu şudur: belgeye bakıldığında yalnızca “bu PDF imzalanmış” denmez; imza değerinin belirli bir tarihte mevcut olduğuna dair bağımsız bir zaman kanıtı da okunur.
Bu katman, imzacı sertifikasının sonradan süresinin dolması veya iptal edilmesi gibi durumlarda özellikle önemlidir. Çünkü imza, sertifika iptalinden önce oluşturulmuşsa bu zaman ilişkisi doğru kanıtlanmalıdır. Buna rağmen B-T tek başına tüm uzun dönem doğrulama verilerini PDF'e gömmez; iptal kayıtları ve güven zinciri verileri için B-LT katmanı ayrıca gerekir.
PAdES B-LT: LTV ve DSS tarafının devreye girdiği seviye
B-LT seviyesi, imzanın doğrulanması için gereken malzemeyi PDF içine taşımayı hedefler. Bu malzeme çoğunlukla sertifika zinciri, ara/kök sertifika bilgileri, OCSP yanıtları veya CRL kayıtlarıdır. PDF tarafında bu bilgiler DSS alanında tutulur; bazı yapılarda doğrulama verisini imzayla ilişkilendirmek için VRI bilgileri de görülebilir.
Buradaki kullanıcı sonucu nettir: yıllar sonra belge açıldığında doğrulama sistemi her kanıtı internetten yeniden toplamaya mecbur kalmaz. Sertifika otoritesinin eski OCSP adresi kapanmışsa, CRL bağlantısı değişmişse veya ara sertifika yayından kalkmışsa PDF içindeki kanıt paketi arşiv güvenini artırır. LTV/DSS kavramını ayrı bir rehber olarak okumak için LTV ve DSS nedir? yazısına geçebilirsiniz.
PAdES B-LTA: arşiv zaman damgası ve uzun vadeli koruma
B-LTA seviyesi, B-LT'deki kanıt paketinin de zaman içinde korunmasını hedefler. Bu seviyede belgeye eklenen belge zaman damgası veya arşiv zaman damgası, sadece imza değerini değil, PDF içinde taşınan doğrulama verilerini de daha güçlü bir arşiv bağlamına alır. ETSI yaklaşımında bu seviye, uzun dönem kullanılabilirlik ve doğrulama materyalinin bütünlüğü için tasarlanmıştır.
Pratikte B-LTA, “bu belgeyi on yıl sonra da aynı güvenle okuyabilecek miyiz?” sorusuna daha güçlü teknik cevap verir. Yine de B-LTA etiketi, sağlayıcının hukuken nitelikli güven hizmeti sağlayıcısı olduğu anlamına gelmez. Teknik PAdES seviyesi ile BTK/ESHS veya AB Trusted List gibi resmi statü kontrolleri ayrı konulardır. Bu ayrım için nitelikli elektronik imza rehberi yazısındaki uyarılar önemlidir.
V-İmza raporunda bu seviyeler nasıl okunur?
Doğrulama raporunda “imza geçerli” ifadesi tek başına nihai arşiv yorumu değildir. Şu alanlara birlikte bakılmalıdır: belge bütünlüğü, imzacı sertifikası, güven zinciri, CRL/OCSP kanıtı, zaman damgası sayısı, LTV/DSS varlığı ve belge zaman damgası. PDF doğrulama aracında bir dosya kontrol edildiğinde bu katmanlar ayrı sinyaller olarak okunur.
Hangi PAdES seviyesi yeterli?
Seçim, belgenin riskine ve saklama süresine bağlıdır. Hızlı iç onay için temel seviye kabul edilebilir olabilir; fakat sözleşme, ihale, kalite denetimi, KVKK kayıtları veya kurum arşivi gibi belgelerde zaman damgası ve LTV/DSS kanıtları çok daha değerlidir. İmzanın yalnızca bugün açılması değil, ileride mahkeme, denetim veya müşteri ihtilafında tekrar doğrulanması bekleniyorsa B-LT veya B-LTA hedeflenmelidir.
- Kısa süreli işlem: Temel PAdES imzası ve anlık doğrulama çoğu zaman yeterli teknik sinyal verir.
- Tarih kritikse: B-T seviyesiyle zaman damgası aranmalıdır; son imza tarihi ile belge tarihi karıştırılmamalıdır.
- Arşiv kritikse: B-LT seviyesinde sertifika zinciri ve iptal kanıtlarının PDF içinde bulunması beklenmelidir.
- Çok uzun saklama gerekiyorsa: B-LTA seviyesi ve periyodik arşiv koruma stratejisi değerlendirilmelidir.
- Hukuki statü gerekiyorsa: PAdES seviyesi yanında ilgili sertifika sağlayıcısının resmi listelerdeki statüsü ayrıca kontrol edilmelidir.
Sık yapılan karışıklıklar
Görsel imza PAdES değildir
PDF sayfasındaki imza resmi, kriptografik imzanın kanıtı değildir. İmza paketi ve ByteRange okunmadan belge “PAdES imzalı” kabul edilmemelidir.
LTV, nitelikli statü iddiası değildir
LTV/DSS teknik doğrulama kanıtıdır. Sağlayıcının nitelikli/QTSP statüsü için resmi güven listeleri ayrıca kontrol edilir.
Harici zaman damgası PDF içi PAdES damgası değildir
Ayrı bir zaman damgası dosyası belge hash'i için kanıt olabilir; fakat PDF içine gömülü PAdES B-T veya B-LTA katmanıyla aynı teknik yapı değildir.
B-LT geçersiz imzayı sihirli biçimde düzeltmez
Kanıt paketinin değeri, imza ve sertifika zinciri doğru kurulduysa anlamlıdır. Başta hatalı veya güvenilmeyen imza sonradan yalnızca veri eklenerek güvenilir hale gelmez.
SSS: PAdES seviyeleri hakkında kısa cevaplar
PAdES-BES ile PAdES B-B arasında fark var mı?
PAdES-BES eski ve yaygın bir kullanım terimidir; güncel ETSI baseline adlandırmasında temel seviye PAdES-B-B olarak geçer. Pratikte ikisi de PDF içindeki temel imza çekirdeğini ifade eder, ancak modern raporlarda B-B, B-T, B-LT ve B-LTA seviyelerini görmek daha doğrudur.
PAdES B-T imza için zorunlu mu?
Her PDF imzası B-T olmak zorunda değildir; fakat imza zamanının bağımsız şekilde kanıtlanması gerekiyorsa B-T seviyesi önemlidir. Özellikle süreli başvuru, sözleşme ve arşiv süreçlerinde zaman damgası eksikliği doğrulama güvenini azaltabilir.
PAdES B-LT olan her PDF uzun vadede sorunsuz doğrulanır mı?
B-LT, doğrulama malzemesini PDF içine aldığı için uzun dönem doğrulama açısından güçlü bir seviyedir. Buna rağmen algoritma eskimesi, eksik güven listesi, hatalı sertifika zinciri veya yanlış zaman damgası gibi riskler ayrıca değerlendirilmelidir. Çok uzun arşivlerde B-LTA ve periyodik koruma daha uygundur.
PAdES seviyesi belgenin hukuken nitelikli imza olduğunu gösterir mi?
Hayır. PAdES seviyesi teknik PDF imza profilini ve kanıt katmanlarını gösterir. Hukuki “nitelikli” statü için imzacı sertifikası, sertifika sağlayıcısı, ülke mevzuatı ve resmi güven listeleri ayrıca kontrol edilmelidir.
Sonuç: seviyeyi rapor diliyle okuyun
PAdES seviyeleri, PDF imzasını tek kelimelik “geçerli/geçersiz” sonucundan çıkarıp kanıt katmanlarıyla okumayı sağlar. Temel imza belgenin bütünlüğünü gösterir; B-T imza zamanını güçlendirir; B-LT doğrulama verisini PDF içine taşır; B-LTA ise bu kanıt paketinin uzun vadeli arşiv güvenini artırır. Doğru yorum, seviyenin yanında sertifika zinciri, CRL/OCSP, zaman damgası ve resmi güven listesi kontrollerini birlikte okumaktır.
Kaynaklar
- ETSI EN 319 142-1 V1.2.1 - PAdES digital signatures, building blocks and baseline signatures
- European Commission DSS Documentation - PAdES validation data, DSS ve LT/LTA augmentation
- RFC 3161 - Internet X.509 Public Key Infrastructure Time-Stamp Protocol
- European Commission - eIDAS, electronic signatures and trust services
- European Commission - List of qualified trust service providers in the EU
