PDF İmza Doğrulama Neden Gereklidir?

PDF imza doğrulama gereklidir; çünkü bir PDF'in üzerinde imza görüntüsü bulunması, dosyanın gerçekten elektronik imzayla korunmuş olduğu anlamına gelmez. Doğrulama yapılmadan belgenin imzadan sonra değişip değişmediği, imzacı sertifikasının güvenilir bir kaynaktan gelip gelmediği, sertifikanın o tarihte iptal edilip edilmediği ve imza zamanının ispatlanabilir olup olmadığı netleşmez.

Kısa cevap: doğrulama, imzanın kanıt değerini okunur hale getirir

İmzalı PDF'i kabul eden kişi ya da kurum aslında üç şeyi bilmek ister: belge değişmemiş mi, imzacı gerçekten beklenen kişi/kurum mu, imza zamanı ve sertifika durumu daha sonra da gösterilebilir mi? PDF imza doğrulama bu sorulara cevap vererek detaylı sonuçları gösterir.

Görünen imza ile dijital imza aynı şey değildir

Bir PDF sayfasındaki isim, kaşe, el yazısı resmi veya imza kutusu tek başına güvenilir kanıt değildir. Bunlar sayfa üzerinde görünen öğeler olabilir; fakat kriptografik imza dosyanın içinde CMS/PKCS#7 imza paketi, imzalı byte aralığı ve sertifika bilgisiyle yer alır. Bu ayrım yapılmadığında taranmış bir ıslak imza resmi ile gerçek PAdES imzalı PDF aynı sanılabilir.

Bu nedenle ilk kontrol görsel alana değil, doğrulama sonucuna bakmaktır. Konuyu temel seviyeden okumak isteyenler için PDF imza doğrulama nedir yazısı; bir dosyanın gerçekten imzalı olup olmadığını ayırt etmek isteyenler için de dijital imzalı PDF nasıl anlaşılır rehberi tamamlayıcıdır.

PDF imza doğrulama karar akışı: bütünlük, sertifika, güven zinciri, iptal kaydı, zaman damgası ve sonuç — Doğrulama, tek bir görsel işarete değil; belgenin bütünlüğü, sertifika güveni, iptal durumu ve zaman damgasına birlikte bakar.

Belge sonradan değiştirildiyse doğrulama ile bunu bilebilirsiniz.

PDF imzasının en önemli görevi bütünlük kontrolüdür. İmza, belgenin belirli byte aralığını kapsar. İmzadan sonra metin, fiyat, tarih, ek sayfa, açıklama veya imza alanı değiştirildiyse doğrulama aracı bunu imza bütünlüğü üzerinden yakalayabilir. Bu kontrol yapılmadan yalnızca dosya adına, e-posta zincirine veya görüntüye güvenmek pratikte zayıf bir kabul sürecidir.

Özellikle teklif, sözleşme, insan kaynakları belgeleri, teslim tutanağı, KVKK beyanı, kalite dokümanı ve finans evrakı gibi süreçlerde imzalı dosyanın saklanması yetmez; dosyanın doğrulama sonucu da okunmalıdır. V-İmza'da amaç, kullanıcının sadece imza var mı sorusuna değil, belge imzadan sonra bozulmuş mu sorusuna da cevap almasıdır.

İmzacı kimliği sertifika üzerinden doğrulanır

Dijital imzada imzacı bilgisi, ekranda yazan isimden ibaret değildir. X.509 sertifikası içinde imzacıya, sertifikayı düzenleyen kuruluşa, sertifikanın geçerlilik aralığına ve kullanım amacına ilişkin bilgiler bulunur. Doğrulama, bu sertifikanın güvenilir bir köke ve ara sertifika zincirine bağlanıp bağlanmadığını kontrol eder.

Türkiye'de güvenli elektronik imza süreçleri açısından nitelikli elektronik sertifika ve elektronik sertifika hizmet sağlayıcıları BTK tarafından düzenlenen çerçeveye dayanır. Bu nedenle kurumsal kabul süreçlerinde sertifika zinciri, yalnızca teknik ayrıntı değil, imzanın kime ve hangi güven bağlamına dayandığını gösteren ana kanıttır. V-İmza bu noktada teknik doğrulama sonucu üretir; bu sonuç, resmi akreditasyon veya hukuki görüş yerine geçmez.

Sertifika iptal edilmiş olabilir

Bir sertifika bugün görülebiliyor diye her imza anında geçerli sayılmaz. Sertifika süresi dolmuş, iptal edilmiş veya imza zamanı ile sertifika geçerlilik aralığı uyuşmamış olabilir. Bu yüzden doğrulama sürecinde CRL ve OCSP gibi iptal kayıtları önemlidir. İptal bilgisi kontrol edilmeden, yalnızca sertifika sahibinin adına bakmak eksik değerlendirme olur.

İyi bir doğrulama raporu, imzanın teknik olarak çözümlenebildiğini söylemekle kalmaz; sertifikanın imza anındaki durumunu yorumlamaya yardım eder. Kurumlar için bu ayrım özellikle sonradan uyuşmazlık çıkabilecek belgelerde kritiktir.

Zaman damgası ve LTV uzun süreli ispat için gereklidir

Bugün doğrulanan bir imzanın yıllar sonra da doğrulanabilmesi için zaman damgası ve doğrulama verilerinin korunması gerekir. RFC 3161 zaman damgası, imza ya da belge özetinin belirli bir zamanda var olduğunu ispatlamaya yardım eder. PAdES-LT ve PAdES-LTA seviyelerine yaklaşan yapılarda DSS/VRI, OCSP/CRL kanıtları ve belge zaman damgası gibi veriler PDF içinde veya doğrulama paketinde saklanır.

LTV verisi olmayan bir PDF bugün doğrulanabilir görünse bile, ileride sertifika otoritesi erişilemez olduğunda veya iptal servisleri değiştiğinde doğrulama daha zor hale gelebilir. Arşiv, denetim ve uzun saklama gerektiren belgelerde doğrulama sonucunun LTV tarafı bu yüzden ayrıca okunmalıdır.

E imza doğrulaması yapılması gereken Belgeler Nelerdir?

Aşağıda belirtilen belgelerde e imza doğrulaması yapılması önerilmektedir.

Belge grubu	Örnek belgeler
Sözleşmeler	İş sözleşmesi, hizmet sözleşmesi, satın alma sözleşmesi, danışmanlık sözleşmesi, gizlilik sözleşmesi, ek protokol
Taahhüt / beyan / muvafakat belgeleri	Taahhütname, KVKK açık rıza/muvafakat, personel beyanları, teslim-taahhüt belgeleri
İnsan kaynakları belgeleri	İşe giriş evrakları, izin/onay formları, zimmet formları, görevlendirme yazıları, eğitim/sertifika onayları, disiplin/savunma yazıları
Satın alma ve teklif belgeleri	Teklif formları, sipariş onayları, satın alma talepleri, tedarikçi sözleşmeleri, şartname onayları
Proje yönetimi belgeleri	İş teslim tutanağı, kabul tutanağı, hakediş/ilerleme raporu, değişiklik talebi, toplantı karar tutanağı
Finans ve muhasebe belgeleri	Ödeme talimatı, cari mutabakat, masraf onayı, avans talebi, tahsilat/borç mutabakat yazısı
Resmî kurum / EBYS belgeleri	Kurum yazışmaları, e-Devlet/EBYS üzerinden oluşturulan evraklar, başvuru yazıları, dilekçeler, KEP ile gönderilen imzalı belgeler
İhale / teminat belgeleri	Elektronik teklif, geçici teminat mektubu, elektronik geçici kefalet senedi gibi belgeler

BTK'ya göre güvenli elektronik imza, elle atılan imzaya eşdeğer kabul edilir ve güvenli e-imza ile oluşturulan veriler senet hükmünde kabul edilir; bu yüzden yukarıdaki belgelerde doğrulama kritik önemdedir.

Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, Madde 16: Üçüncü kişiler; sertifikanın nitelikli elektronik sertifika olup olmadığını, nitelikli elektronik sertifikanın iptal ve geçerlilik durumunu ya da güvenli elektronik imza doğrulama aracı kullanımını, ayrıca sertifikanın kullanımına yönelik herhangi bir kısıtlama olup olmadığını kontrol etmekle yükümlüdür.

Önemli: Belge hukuki sonuç doğuruyorsa doğrulama yapılmadan kesinlikle geçerli kabul edilmemelidir.

Doğrulama sonucu nasıl yorumlanmalı?

Geçerli ve bütünlük korunmuş

Belge imzadan sonra değişmemiş, imzacı sertifikası okunmuş ve güven/iptal kontrolleri olumlu görünüyorsa belge kabul sürecine ilerleyebilir. Yine de kurumun iç prosedürü ve belge türü dikkate alınmalıdır.

Uyarı var ama imza paketi okunuyor

Sertifika zinciri eksik, LTV kanıtı yok, zaman damgası bulunmuyor veya iptal servisine erişilememiş olabilir. Bu durumda belge otomatik reddedilmeden önce uyarının sebebi incelenmelidir.

Bütünlük bozulmuş veya imza geçersiz

İmzalı byte aralığı değişmişse, imza değeri doğrulanamıyorsa ya da sertifika güven ilişkisi kurulamazsa belge yeniden imzalanmalı veya karşı taraftan doğrulanabilir yeni kopya istenmelidir.

V-İmza ile pratik kontrol nasıl yapılır?

Bir PDF'in imza durumunu hızlıca incelemek için V-İmza PDF doğrulama ekranı kullanılabilir. Burada amaç, kullanıcıya belgenin görünür imzasından daha fazlasını göstermektir: imza bütünlüğü, sertifika bilgisi, zaman damgası, LTV/DSS izleri ve doğrulama uyarıları birlikte değerlendirilir.

Sonuç raporu okurken özellikle şu sırayı izlemek pratik olur: önce belge değişmiş mi, sonra imzacı sertifikası kime ait, ardından güven zinciri ve iptal bilgisi okunabiliyor mu, son olarak zaman damgası veya LTV kanıtı var mı. Bu yaklaşım, hem günlük belge kabulünü hızlandırır hem de arşivde sonradan neyin kontrol edildiğini açıklanabilir kılar.

Özet: PDF imza doğrulama, sadece teknik bir kontrol değil; belgeyi kabul etme, reddetme, yeniden imza isteme veya arşivleme kararını destekleyen kanıt okuma sürecidir. Görsel imza güven hissi verebilir; doğrulama raporu ise belge bütünlüğünü, imzacı sertifikasını ve zaman bağlamını görünür hale getirir.