PDF imza doğrulama, bir PDF dosyasındaki elektronik imzanın sadece görünür imza alanına bakılarak değil; belgenin bütünlüğü, imzacı sertifikası, sertifika zinciri, iptal kanıtları, zaman bilgisi ve uzun dönem doğrulama verileri birlikte incelenerek değerlendirilmesidir. Kısacası soru şudur: Bu belge gerçekten imzalandı mı, imzadan sonra değişti mi ve imza o anda güvenilir bir sertifikaya dayanıyor muydu?
PDF imza doğrulama neden önemlidir?
Bir PDF’in üzerinde imza kutusu görmek tek başına yeterli değildir. İmza alanının adı, ekranda görünen kişi bilgisi veya belgenin üzerine basılmış görsel imza; kriptografik doğrulamanın yerine geçmez. Güvenilir bir doğrulama süreci, PDF’in imzalı byte aralığını, CMS/PKCS#7 imza paketini, imzacı sertifikasını ve gerekiyorsa CRL/OCSP gibi iptal kayıtlarını kontrol eder.
Doğrulamanın karar ve arşiv süreçlerinde neden ayrı bir adım olması gerektiğini görmek için PDF imza doğrulama neden gereklidir yazısını da okuyabilirsiniz.
Bu yüzden “PDF imzalı mı?” sorusunun cevabı çoğu zaman iki katmanlıdır. İlk katman teknik bütünlüktür: dosyanın imzalanan bölümü değişmemiş mi, imza değeri doğru mu, imzacı sertifikası CMS içinden okunabiliyor mu? İkinci katman güven bağlamıdır: sertifika güvenilir bir köke bağlanıyor mu, imza zamanı sertifikanın geçerlilik aralığında mı, iptal bilgisi var mı, belge uzun süre sonra da doğrulanabilecek şekilde LTV verisi taşıyor mu?
PDF imza doğrulama hangi kontrollerden oluşur?
Doğru bir doğrulama raporu, tek bir “geçti/kaldı” sonucundan ibaret olmamalıdır. Çünkü PDF imzaları; PDF formatı, imza paketi, X.509 sertifikaları, zaman damgası ve uzun dönem arşiv verilerinin birlikte çalışmasıyla anlam kazanır. V-İmza PDF doğrulama ekranı bu parçaları ayrı başlıklar altında göstererek kullanıcının hangi kanıtın bulunduğunu, hangisinin eksik olduğunu anlamasını kolaylaştırır.
1. Biçim ve ByteRange kontrolü
PDF imza sözlüğü, /ByteRange alanı ve imzanın kapsadığı dosya bölümü incelenir. Böylece imzadan sonra belgenin kritik içeriği değiştirilmiş mi sorusuna teknik cevap aranır.
2. CMS/PKCS#7 imza doğrulaması
PDF içindeki imza paketi açılır, imza değeri ve özet eşleşmesi kontrol edilir. Kriptografik doğrulama burada yapılır.
3. İmzacı sertifikası ve zincir
İmzacının sertifikası, ara sertifikalar ve kök sertifika havuzu ile eşleştirilir. Zincir kurulamazsa sonuç teknik olarak sınırlı kalır.
4. CRL/OCSP ve LTV kanıtları
Sertifikanın imza anında iptal edilip edilmediğini gösterebilecek iptal kanıtları ve DSS/VRI kayıtları aranır.
İmza alanı adı imzacının adı değildir
PDF dosyalarında imza alanı için verilen teknik ad, çoğu zaman sistemi kuran uygulama tarafından atanır. Örneğin bir alana “SIGNATURE_V-Imza-Belge-Onay-Sistemi” denmesi, imzacının bu kişi veya kurum olduğu anlamına gelmez. İmzacı kimliği için bakılması gereken yer, imza paketindeki imzacı sertifikasıdır. Sertifikadaki CN, seri numarası, sertifika sahibi ve sertifika politikası bilgileri imzacı değerlendirmesinde daha anlamlıdır.
Bu ayrım özellikle kurumsal belge akışlarında önemlidir. Bir dokümanda görünen ad, seçilen kullanıcı, imza alanı etiketi veya belge üzerindeki görsel metin yanlış olabilir. Fakat kriptografik imza, doğru doğrulama yapıldığında hangi sertifikanın kullanıldığını gösterir. Bu nedenle doğrulama ekranlarında “alan adı” ile “sertifika sahibi” ayrı gösterilmelidir.
PDF imzası geçerli görünüp yine de neden “kanıt eksik” diyebilir?
Bir PDF imzasının kriptografik olarak sağlam olması, her zaman tam güven zincirinin kurulduğu anlamına gelmez. Örneğin imza değeri doğru olabilir; fakat imzacı sertifikasını güvenilir bir kök sertifikaya bağlayacak ara sertifika bulunamayabilir. Benzer şekilde belge değişmemiş olabilir; fakat imza anında sertifikanın iptal edilmediğini gösteren CRL veya OCSP kanıtı PDF içinde yer almıyor olabilir.
- Sertifika zinciri bulunamadı: İmzacı sertifikası, sistemdeki güvenilir kök veya ara sertifikalarla eşleşmemiştir.
- CRL/OCSP kanıtı yok: Sertifikanın iptal durumu hakkında doğrulama anında yeterli kanıt bulunamamıştır.
- LTV/DSS yok: Belge, uzun dönem doğrulama için gerekli sertifika ve iptal verilerini PDF içinde taşımıyordur.
- Self-signed imza: Sertifika güvenilir bir sağlayıcı zincirine bağlanmadığı için sonuç kesin güven olarak yorumlanmamalıdır.
LTV ve DSS PDF doğrulamada ne işe yarar?
LTV, uzun dönem doğrulama anlamına gelir. Amaç, imzalı PDF’in yıllar sonra da doğrulanabilmesidir. Bunun için PDF içine yalnızca imza değil; sertifika zinciri, CRL veya OCSP kayıtları ve zaman damgası gibi kanıtlar da eklenir. PDF tarafında bu veriler genellikle DSS ve VRI yapıları içinde tutulur. Bu konuya ayrı bir yazıda daha teknik gireceğiz; şimdilik en pratik özet şu: LTV yoksa doğrulama bugünkü çevrimiçi kaynaklara daha bağımlı kalır, LTV varsa belge kendi doğrulama kanıtlarının önemli bir kısmını yanında taşır.
V-İmza’da LTV, DSS ve zaman damgası sonuçlarını takip etmek için LTV, DSS ve Zaman Damgası kategorisindeki yazıları izleyebilirsiniz. Sertifika zinciri, kök sertifika ve iptal kontrolü başlıkları için de Sertifika ve Güven Zinciri kategorisi hazırlanmıştır.
Teknik doğrulama ile hukuki yorum aynı şey değildir
PDF imza doğrulama sistemi, imzanın teknik durumunu ve mevcut kanıtları gösterir. “Nitelikli elektronik imza”, “eIDAS kapsamında geçerlilik” veya kurumsal hukuki kabul gibi değerlendirmeler ise mevzuat, sağlayıcı statüsü ve işlem bağlamıyla birlikte ele alınmalıdır. Teknik rapor, bu değerlendirme için güçlü bir zemin sağlar; tek başına hukuki görüş yerine geçmez.
Standartlar ve resmi kaynaklar neden takip edilmeli?
PDF imzaları dünyasında PAdES, CAdES, XAdES, ETSI standartları, ISO PDF formatı ve eIDAS düzenlemeleri birlikte anılır. ETSI, elektronik kimlik ve imza standartları için PAdES gibi imza formatlarını kapsayan çalışmaları yürütür. Avrupa Komisyonu ise eIDAS başlığı altında elektronik kimlik ve güven hizmetleri çerçevesini yayınlar. PDF formatının temel standardı için de ISO 32000 ailesi referans alınır.
PDF imza doğrulama konusunda standartları takip etmek önemlidir; çünkü doğrulama yalnızca yazılımsal bir “dosya kontrolü” değil, PDF formatı, elektronik imza profilleri ve güven hizmetleriyle birlikte ele alınan bir süreçtir.
PDF imza doğrulama raporu nasıl okunmalı?
Bir raporu okurken önce belgenin bütünlüğüne bakın: imza sağlam mı, ByteRange tutarlı mı, dosyada imza kapsamı dışında şüpheli değişiklik var mı? Ardından imzacı sertifikasını inceleyin: sertifika sahibi kim, sertifika geçerlilik aralığı ne, sertifika zinciri kurulmuş mu? Son adımda iptal ve zaman kanıtlarını değerlendirin: CRL/OCSP var mı, zaman damgası geçerli mi, LTV/DSS verisi PDF içine gömülü mü?
Bu yaklaşım, “imza geçerli” veya “imza geçersiz” gibi kaba sonuçların ötesine geçer. Çünkü bazı dosyalarda kriptografik imza sağlamdır ama güven zinciri eksiktir; bazı dosyalarda zaman damgası vardır ama imzacı sertifikası için iptal kanıtı yoktur; bazı dosyalarda ise sonradan eklenen LTV verisi yanlış yorumlanıp belge değişmiş gibi algılanabilir. İyi bir doğrulama sistemi bu ayrımları açık gösterir.
Sonuç: PDF imza doğrulama bir güven kanıtı okuma işidir
PDF imza doğrulama, belgenin üstündeki imza görüntüsüne bakmaktan çok daha fazlasıdır. Doğru süreç; belge bütünlüğünü, imza paketini, imzacı sertifikasını, sertifika zincirini, iptal kanıtlarını, zaman damgasını ve LTV verilerini birlikte yorumlar. Bu nedenle kurumların imzalı PDF arşivlerinde yalnızca “dosya açılıyor mu?” sorusunu değil, “bu imza bugün ve gelecekte hangi kanıtlarla doğrulanabiliyor?” sorusunu sorması gerekir.
Bir PDF dosyasını teknik olarak incelemek isterseniz V-İmza PDF doğrulama aracını kullanarak imza, zaman damgası, sertifika zinciri ve LTV/DSS kontrollerini tek raporda görebilirsiniz.
