PDF İmza Doğrulama Rehberi

PDF imza doğrulama, bir belgede imza görseli olup olmadığını kontrol etmekten çok daha fazlasıdır. Doğru doğrulama; PDF'in imza paketini, ByteRange kapsamını, imzacı sertifikasını, sertifika zincirini, CRL/OCSP iptal kanıtlarını, zaman damgasını ve LTV/DSS kayıtlarını birlikte okumaktır.

PDF imza doğrulama nedir?

PDF imza doğrulama, PDF dosyasının içinde yer alan dijital imza yapısını teknik olarak inceleme sürecidir. Bu süreçte sayfaya basılmış imza görüntüsü değil, dosyanın içindeki imza sözlüğü ve CMS/PKCS#7 tabanlı imza paketi esas alınır. Yani belge üzerinde bir imza resmi görmek, tek başına dijital imza olduğu anlamına gelmez.

Doğrulama sırasında dosyanın hangi bölümünün imzalandığı, hesaplanan özetin imza değerindeki özetle eşleşip eşleşmediği, imzacı sertifikasının kime ait olduğu ve bu sertifikanın hangi kök ya da ara sertifikalara bağlandığı kontrol edilir. Konuya daha temel seviyeden başlamak isteyenler için PDF imza doğrulama nedir yazısı kısa bir giriş sunar.

Doğrulamada ilk bakılacak şey: belge bütünlüğü

PDF imzalarında en kritik alanlardan biri ByteRange bilgisidir. ByteRange, imzanın PDF dosyasının hangi byte aralıklarını kapsadığını gösterir. Doğrulama motoru bu aralıklardan yeni bir özet hesaplar ve imza paketindeki değerle karşılaştırır. Eşleşme bozulmuşsa dosya imzadan sonra değiştirilmiş, eksik aktarılmış veya hatalı üretilmiş olabilir.

Burada önemli bir ayrım var: PDF'e imzadan sonra zaman damgası veya LTV/DSS verisi eklenmesi tek başına kötü niyetli değişiklik sayılmaz. PAdES yapısında bazı doğrulama ve arşiv verileri sonradan eklenebilir. Bu nedenle raporda yalnızca “dosyada değişiklik var mı?” sorusuna değil, değişikliğin imza kapsamı ve PDF imza standardı açısından kabul edilebilir olup olmadığına bakılır.

İmza paketi: CMS, PKCS#7 ve PAdES ne anlatır?

PDF içindeki dijital imza çoğunlukla CMS/PKCS#7 yapısıyla taşınır. Bu yapı imza değerini, imzacı sertifikasını, imzalanan özet bilgisini ve bazı imza niteliklerini içerir. PAdES ise PDF belgeleri için tanımlanmış gelişmiş elektronik imza profilidir; PDF içinde imza, zaman damgası, doğrulama verisi ve uzun dönem saklama kanıtlarının nasıl taşınacağını tarif eder.

ETSI EN 319 142-1, PAdES imzaları için yapı taşlarını ve temel imza seviyelerini açıklar. Bu teknik standart, PDF imzanın yalnızca “imza eklendi” seviyesinde kalmaması; zaman, doğrulama verisi ve arşiv ihtiyacına göre daha güçlü hale getirilebilmesi için kullanılır.

İmzacı adı nereden okunmalı?

PDF imza alanının adı, imzacının kesin kimliği değildir. Bazı sistemlerde imza alanı adı kurum, işlem, form veya sistem tarafından otomatik belirlenir. Gerçek imzacı yorumu, imzacı sertifikasının X.509 özne alanlarından ve sertifikanın doğrulama zincirinden yapılmalıdır.

Bu yüzden doğrulama ekranında “imza alanı adı” ile “sertifika sahibi” ayrı gösteriliyorsa sertifika sahibi daha güçlü kimlik kanıtıdır. Bu ayrımı detaylandıran içerik için PDF imza doğrulama raporu nasıl okunur rehberi incelenebilir.

Sertifika zinciri neden tek başına imzadan ayrı kontrol edilir?

Bir imza değeri kriptografik olarak doğru olabilir; fakat imzacı sertifikası güvenilir bir köke bağlanmıyorsa sonuç eksik kalır. Sertifika zinciri, imzacı sertifikasından başlayarak ara sertifikalar ve kök sertifika üzerinden güven kurar. Türkiye bağlamında nitelikli elektronik sertifika ve ESHS bilgisi BTK'nın elektronik imza mevzuatı ve elektronik sertifika hizmet sağlayıcıları listesiyle birlikte değerlendirilir.

Raporlarda “sertifika zinciri bulunamadı” veya “kanıt eksik” gibi ifadeler bu nedenle önemlidir. Bu sonuç, imza değerinin mutlaka bozuk olduğu anlamına gelmeyebilir; ancak güvenin hangi kaynağa dayandırılacağı henüz tamamlanmamıştır. Nitelikli imza tarafındaki kavram ayrımı için nitelikli elektronik imza nedir yazısı daha geniş çerçeve sunar.

CRL ve OCSP kontrolü ne işe yarar?

Sertifika zinciri kurulsa bile sertifikanın iptal edilip edilmediği ayrıca kontrol edilmelidir. CRL, sertifika otoritesinin yayımladığı iptal listesidir. OCSP ise belirli bir sertifikanın durumunu çevrim içi olarak soran protokoldür. PDF doğrulamada bu iki kanıt, sertifikanın imza anında geçerli kabul edilip edilemeyeceğini anlamaya yardım eder.

“CRL/OCSP kanıtı yok” uyarısı her zaman belgenin sahte olduğu anlamına gelmez. Fakat karar vermek için gerekli iptal kanıtının dosyada ya da doğrulama ortamında bulunmadığını söyler. Özellikle uzun süre saklanacak sözleşmelerde, iptal kanıtının imza zamanı veya güvenilir zaman damgası bağlamında saklanması daha güçlü bir doğrulama dosyası oluşturur.

Zaman damgası PDF doğrulamada neden önemli?

Zaman damgası, bir verinin belirli bir zamanda var olduğunu gösteren kriptografik kanıttır. RFC 3161 yaklaşımında zaman damgası otoritesi, kendisine gönderilen özet verisini güvenilir zaman bilgisiyle birlikte imzalar. PDF imzada bu yapı, imzanın hangi zaman kesitinde değerlendirileceğini güçlendirir.

Zaman damgası özellikle sertifikanın sonradan süresinin dolduğu veya iptal edildiği durumlarda önem kazanır. Doğrulama sistemi yalnızca bugüne değil, imzanın atıldığı ve zamanla sabitlendiği ana bakabilmelidir. V-İmza raporunda zaman damgası ayrı bir kanıt olarak görünüyorsa, imza doğrulama sonucundan bağımsız şekilde kendi sertifika zinciri ve kriptografik bütünlüğü de incelenir.

LTV, DSS ve VRI olmadan PDF doğrulama eksik mi?

LTV, uzun dönem doğrulanabilirlik anlamına gelir. PDF dünyasında bunun pratik karşılığı çoğu zaman DSS ve VRI yapılarıdır. DSS içinde sertifikalar, CRL cevapları, OCSP cevapları ve zaman damgası gibi doğrulama verileri saklanabilir. VRI ise bu verileri imza bazında ilişkilendirmeye yardım eder.

LTV/DSS yoksa belge otomatik olarak geçersiz olmaz. Ancak yıllar sonra doğrulanması gereken belgelerde çevrim içi kaynaklara ulaşmak zorlaşabilir. Bu nedenle arşiv değeri taşıyan PDF'lerde PAdES-LT veya PAdES-LTA seviyesine yaklaşan kanıt yapıları daha doğru stratejidir. LTV konusu doğrudan arşiv güveniyle ilişkili olduğu için yalnızca teknik bir detay değil, kurumsal saklama politikasının da parçasıdır.

Doğrulama raporundaki yaygın uyarılar nasıl okunmalı?

• Sertifika zinciri bulunamadı: İmzacı sertifikası okunmuş olabilir; fakat güvenilir kök/ara sertifikalarla bağ kurulmamıştır.
• CRL/OCSP kanıtı yok: Sertifikanın iptal durumu için gereken kanıt bulunamamış veya PDF içine gömülmemiştir.
• Self-signed imza: Sertifika kendi kendini imzalamış olabilir. Bu yapı teknik test için kullanılabilir, ancak nitelikli imza güveni sağlamaz.
• LTV/DSS yok: Uzun dönem doğrulama verileri PDF içinde saklanmıyor olabilir. Kısa vadeli doğrulama yapılabilir, fakat arşiv gücü sınırlanır.
• İmzadan sonra değişiklik var: Değişikliğin türü önemlidir. Zaman damgası veya LTV ekleme kabul edilebilir olabilir; içerik değişikliği ise sonucu bozabilir.
• OID kanıtı yok: Sertifika politikası veya nitelikli imza adaylığı için beklenen politika kanıtı net okunamamış olabilir.

V-İmza ile PDF imza doğrulama nasıl okunmalı?

V-İmza'nın PDF imza doğrulama aracı, belgedeki teknik kanıtları tek raporda toparlamaya odaklanır. Raporu okurken en sağlıklı sıra şudur: önce belge bütünlüğü, sonra imza paketi, ardından imzacı sertifikası, sertifika zinciri, iptal kanıtı, zaman damgası ve LTV/DSS durumu incelenmelidir.

Bu yaklaşım özellikle “PDF imzalı mı?”, “kim imzalamış?”, “imzadan sonra değişiklik yapılmış mı?”, “sertifika güvenilir mi?” ve “bu belge ileride de doğrulanabilir mi?” sorularına daha net cevap verir. Eğer yalnızca görsel imzaya bakılırsa sahte pozitif veya eksik yorum riski artar.

Teknik doğrulama hukuki kesin karar değildir

PDF doğrulama raporu teknik kanıtları gösterir; hukuki sonuç ise belge türü, işlem bağlamı, ülke mevzuatı, sertifika sağlayıcısı, tarafların kabul politikası ve varsa resmi listelerle birlikte değerlendirilir. Bu ayrım özellikle eIDAS, QES, QTSP, nitelikli elektronik imza veya kamu süreçleri konuşulurken korunmalıdır.

Avrupa Komisyonu'nun eIDAS doğrulama yaklaşımı da teknik doğrulama ile iş/hukuk bağlamındaki kabul değerlendirmesinin birbirini tamamladığını vurgular. V-İmza tarafında doğru ifade şudur: sistem teknik PDF imza kanıtlarını açıklar; hukuki nitelik yorumu resmi statü ve kullanım bağlamıyla birlikte yapılmalıdır.

PDF paylaşmadan önce kısa kontrol listesi

• PDF'in taranmış imza resmi değil, gerçek dijital imza paketi içerdiğini kontrol edin.
• ByteRange ve belge bütünlüğü sonucunun olumlu olduğunu doğrulayın.
• İmzacı adını PDF alan adından değil, sertifika sahibinden okuyun.
• Sertifika zinciri ve kök güven kaynağına bakın.
• CRL/OCSP iptal kanıtının imza zamanı bağlamında bulunup bulunmadığını kontrol edin.
• Zaman damgası varsa ayrıca doğrulandığını teyit edin.
• Arşivlik belgelerde LTV/DSS/VRI verilerinin PDF içinde bulunmasını tercih edin.
• Rapor sonucunu tek renk/etiketle değil, alt kanıtlarıyla birlikte değerlendirin.

Sonuç: PDF imza doğrulama bir kanıt okuma işidir

PDF imza doğrulama, belge üzerindeki imza görünümünden çok dosyanın içindeki kriptografik kanıtlarla ilgilenir. Sağlam bir değerlendirme için imza paketi, belge bütünlüğü, sertifika zinciri, iptal durumu, zaman damgası ve LTV/DSS verileri birlikte okunmalıdır. Bu katmanlardan biri eksikse rapor bunu açıkça göstermeli; kullanıcı da “geçerli”, “uyarı”, “kanıt eksik” veya “kesin değil” sonuçlarını bağlamıyla yorumlamalıdır.

V-İmza'nın amacı bu karmaşık teknik alanı sadeleştirip raporlanabilir hale getirmektir. Böylece kullanıcı yalnızca “imza var mı?” sorusuna değil, “bu imza hangi kanıtlara dayanıyor?” sorusuna da cevap bulabilir.