PDF İmza Doğrulama Raporu Nasıl Okunur?

PDF imza doğrulama raporu, “belge geçerli mi?” sorusuna tek kelimelik cevap veren bir ekran değildir. Doğru okuma; belgenin imzadan sonra değişip değişmediğini, imzacı sertifikasının kime ait olduğunu, sertifika zincirinin güvenilir köke bağlanıp bağlanmadığını, CRL/OCSP iptal kanıtlarını ve zaman damgası/LTV durumunu birlikte değerlendirmektir.

Bu yaklaşım özellikle sözleşme, teklif, tutanak, başvuru, bordro, kalite kaydı ve resmi belge gibi sonradan tartışma doğurabilecek dosyalarda önemlidir. Çünkü bir PDF'in üzerinde imza görünmesi, raporun her alanının temiz olduğu anlamına gelmez. Tam tersine, iyi bir doğrulama raporu size sadece sonucu değil, sonucu hangi kanıtlarla verdiğini de göstermelidir.

Bu yazı, PDF imza doğrulama nedir ve dijital imzalı PDF nasıl anlaşılır yazılarının devamı gibi okunabilir. Burada asıl hedef, doğrulama raporunda gördüğünüz alanları iş kararı açısından anlamlandırmaktır.

Önce raporun kapsamını okuyun

Raporun ilk kontrolü, hangi PDF'in ve hangi imzanın değerlendirildiğini anlamaktır. Aynı dosyada birden fazla imza olabilir; bazı imzalar önceki belge sürümünü, bazıları sonradan eklenen onayları kapsayabilir. Bu yüzden “rapor geçerli dedi” demeden önce raporun dosya adı, imza sayısı, imza alanı, doğrulama zamanı ve kullanılan doğrulama politikasına bakın.

Birden fazla imzalı PDF'lerde her imzayı ayrı okumak gerekir. İlk imza geçerli olabilir, ikinci imza uyarı verebilir veya sonradan yapılan bir değişiklik yalnızca belirli bir imza kapsamını etkileyebilir. Kurumsal kabul süreçlerinde raporu saklarken hangi imzaya ait sonucu arşivlediğinizi de açık tutun.

Belge bütünlüğü ve ByteRange ne söyler?

PDF imza raporunda en kritik alanlardan biri belge bütünlüğüdür. PDF imzaları, dosyanın belirli byte aralıklarını imza kapsamına alır. Bu kapsam genellikle ByteRange alanıyla ifade edilir. Doğrulama aracı, imza paketindeki özet değerleriyle PDF'in imzalanan bölümünü karşılaştırarak imzadan sonra değişiklik olup olmadığını anlamaya çalışır.

“Belge imzadan sonra değişmemiş” sonucu iyi bir işarettir. “Belge değiştirildi”, “signature covers only part of the document” veya benzeri uyarılar ise dikkat ister. Bazen bu değişiklik kötü niyetli değildir; PDF'i yeniden kaydetmek, sayfa eklemek, form alanı doldurmak veya açıklama nesnesi eklemek de imzayı bozabilir. Yine de imza kapsamı bozulmuşsa belgeyi kabul etmeden önce temiz ve yeniden imzalanmış kopya istemek daha güvenlidir.

İmzacı sertifikası alanı nasıl yorumlanır?

İmzacı kimliği, sayfa üzerindeki görünen imza metninden veya imza alanı adından değil, imza paketindeki sertifikadan okunmalıdır. Rapor genellikle sertifika sahibi, düzenleyen kurum, seri numarası, geçerlilik başlangıç/bitiş tarihleri ve sertifika politikası gibi alanları gösterir. Burada isim benzerliğiyle yetinmeyin; sertifika sahibi ile beklenen kişi/kurum aynı mı, düzenleyen sağlayıcı tanıdık mı, sertifika imza zamanında geçerli miydi sorularını sorun.

Sertifika süresinin bugün dolmuş olması her zaman imzayı geçersiz yapmaz. Önemli olan, imza zamanında sertifikanın geçerli olup olmadığı ve bu zamanı destekleyen güvenilir kanıtların bulunup bulunmadığıdır. Zaman damgası veya güvenilir imza zamanı yoksa, eski belgelerde yorum daha zayıf kalabilir.

Sertifika zinciri ve güven listesi ne anlama gelir?

Sertifika zinciri, imzacı sertifikasının ara sertifikalar üzerinden güvenilir bir kök sertifikaya bağlanmasıdır. Türkiye'deki nitelikli elektronik sertifika bağlamında BTK'nın Elektronik Sertifika Hizmet Sağlayıcıları listesi önemli bir referanstır. AB tarafında ise qualified trust service provider ve hizmet statüleri için European Commission Trusted Lists kullanılır.

Rapor “zincir kurulamadı” veya “sertifika güvenilir değil” diyorsa bu iki anlama gelebilir: Gerçekten güvenilmeyen bir sertifika kullanılmış olabilir ya da doğrulama aracının güven deposunda gerekli kök/ara sertifika yoktur. Bu yüzden güven uyarısını, belge bütünlüğü hatasıyla aynı kefeye koymayın. Bütünlük hatası doğrudan imzalanan içerikle ilgilidir; güven zinciri uyarısı ise çoğu zaman sertifika deposu, güven listesi veya sağlayıcı eşleşmesiyle ilgilidir.

CRL ve OCSP sonucunu nasıl okuyacaksınız?

CRL ve OCSP, sertifikanın iptal durumunu kontrol etmek için kullanılan mekanizmalardır. Basitçe söylemek gerekirse rapor, imza zamanında sertifikanın iptal edilip edilmediğini anlamaya çalışır. “Good” veya olumlu iptal kontrolü, sertifikanın o kontrol anında iptal kaydında görünmediğini gösterir. “Revoked” ciddi bir uyarıdır; sertifika iptal edilmiş demektir. “Unknown”, “not available” veya “no revocation data” ise karar için kanıtın eksik olduğunu gösterir.

İptal bilgisi eksikse imza otomatik olarak sahte sayılmaz; fakat raporun kanıt gücü azalır. Özellikle uzun süre saklanacak belgelerde CRL/OCSP kanıtlarının PDF içine LTV verisi olarak gömülü olması, ileride çevrimdışı doğrulama için daha güçlü bir sonuç verir.

Zaman damgası, imza zamanı ve LTV nasıl ayrılır?

Raporlarda “signing time”, “best signature time”, “timestamp”, “document timestamp”, “DSS” veya “VRI” gibi alanlar görebilirsiniz. Bunlar aynı şey değildir. İmzacı bilgisayarının beyan ettiği imza zamanı tek başına güçlü kanıt olmayabilir. RFC3161 zaman damgası ise güvenilir zaman otoritesinden alınan imzalı zaman kanıtıdır. PAdES-LT ve PAdES-LTA hedeflerinde CRL/OCSP kanıtları, DSS/VRI kayıtları ve gerekiyorsa belge zaman damgası daha güçlü uzun dönem doğrulama sağlar.

Passed, failed ve indeterminate ne demek?

ETSI doğrulama terminolojisinde sonuçlar çoğu zaman ana durum ve alt durumlarla ifade edilir. Pratik okuma şöyledir: passed sonucu, raporun kullandığı doğrulama politikasına göre kanıtların yeterli olduğunu gösterir. failed sonucu, imza değeri, belge bütünlüğü veya kritik doğrulama koşullarında açık hata olduğunu gösterir. indeterminate ise karar verilemediği anlamına gelir; kanıt eksik, güven zinciri belirsiz, iptal bilgisi yok veya zaman kanıtı yetersiz olabilir.

Indeterminate sonucunu “geçerli” gibi kabul etmek risklidir; “kesin sahte” diye okumak da her zaman doğru değildir. Bu sonuç çoğu zaman ek kanıt, güncel güven deposu, ara sertifika, CRL/OCSP erişimi veya yetkili sağlayıcı kontrolü gerektiğini söyler.

V-İmza raporunda hangi sırayla ilerlenmeli?

V-İmza PDF doğrulama ekranında raporu okurken önce genel sonucu, sonra imza sayısını ve her imza için ayrı ayrıntıları kontrol edin. Belge bütünlüğü temiz değilse diğer alanlar iyi görünse bile kabul kararı vermeden önce yeni dosya isteyin. Bütünlük temiz ama güven zinciri veya iptal kanıtı eksikse raporu “kanıt eksik” olarak değerlendirin; sağlayıcı, sertifika deposu veya LTV verisi açısından tekrar kontrol edin.

Kurumsal kullanımda en iyi pratik, doğrulama sonucunu sadece ekrandan görüp kapatmak değil; raporu, doğrulama zamanı ve dosya hash'iyle birlikte arşivlemektir. Böylece ileride “hangi belge, hangi tarihte, hangi kanıtlarla kabul edildi?” sorusuna cevap verebilirsiniz.

Sistemden alınmış örnek doğrulama raporu

Aşağıdaki örnek, V-İmza doğrulama servisinden alınmış gerçek bir test PDF sonucudur. Rapor, alanların nasıl okunacağını göstermek için kısaltılarak düzenlenmiştir. Kritik ayrım şudur: belge kriptografik olarak geçerli görünse bile sertifika self-signed olduğu için bu sonuç nitelikli e-imza veya BTK/ESHS güven zinciri onayı anlamına gelmez.

Hangi durumda belgeyi kabul etmeden durmalısınız?

• Belge imzadan sonra değişmişse: Temiz ve yeniden imzalanmış PDF isteyin.
• İmza değeri doğrulanamıyorsa: Dosya bozulmuş, eksik inmiş veya imza hatalı olabilir.
• Sertifika iptal edilmiş görünüyorsa: Belgeyi kabul etmeden sağlayıcı ve imza zamanı kanıtını inceleyin.
• Güven zinciri kurulamıyorsa: Kök/ara sertifika ve güven listesi eşleşmesini kontrol edin.
• Zaman kanıtı yoksa: Eski veya arşivlenecek belgelerde LTV ve zaman damgası eksikliği risk yaratabilir.
• Rapor belirsiz sonuç veriyorsa: Ek kanıt bulunmadan sonucu “temiz geçti” gibi yorumlamayın.

Rapor okurken yapılan yaygın hatalar

En sık hata, sayfadaki imza görüntüsünü imzacı kimliği sanmaktır. İkinci hata, sadece yeşil simgeye bakıp sertifika ve iptal kanıtlarını okumamaktır. Üçüncü hata ise sertifika süresi dolmuş uyarısını tek başına imza geçersizliği gibi yorumlamaktır. Doğru değerlendirme, imza zamanı ve zaman kanıtıyla birlikte yapılır.

Bir başka hata da tüm uyarıları aynı önem seviyesinde görmek. Belge bütünlüğü hatası genellikle yüksek risklidir. Güven zinciri veya iptal bilgisi eksikliği ise ek doğrulama gerektiren kanıt eksikliği olabilir. Raporu iyi okumak, bu farkları ayırabilmektir.