PDF üzerindeki gerçek elektronik imza, öncelikle iki şeyi kanıtlar: belgenin imzadan sonra değişip değişmediğini ve imza paketinin hangi sertifikaya bağlı özel anahtarla üretildiğini. Sertifika zinciri, iptal durumu ve zaman damgası da doğrulanabiliyorsa imzanın teknik kanıt değeri güçlenir. Sayfaya yapıştırılmış imza resmi, kaşe veya sadece QR kod ise bu kanıtların yerine geçmez.
Kısa cevap: imza görüntüyü değil dosyanın kendisini kanıtlar
Bir PDF'de elektronik imza varsa doğrulama aracı dosyanın içinde kriptografik bir imza paketi okur. Bu paket, PDF'in imzalanan byte aralıklarını, imzacı sertifikasını, imza değerini ve varsa zaman damgası ile doğrulama kanıtlarını içerir. Bu yüzden doğru soru “sayfada imza görünüyor mu?” değil, “PDF'in içindeki imza geçerli mi?” sorusudur.
Pratikte en çok karıştırılan nokta burasıdır. Bir PDF sayfasında imza görseli olabilir ama dosya elektronik imzalı olmayabilir. Tersine, görünür imza alanı olmayan bir PDF de elektronik olarak imzalanmış olabilir. Görsel alan sadece kullanıcıya imzanın nerede olduğunu gösterir; asıl kanıt PDF'in içindeki imza sözlüğü, CMS/PKCS#7 verisi, sertifika ve doğrulama sonuçlarıdır.
PDF elektronik imzasının kanıtladığı dört ana bilgi
Belge bütünlüğü
İmza, PDF'in imzalanan bölümünün sonradan değişip değişmediğini gösterir. İmzadan sonra içerik değişmişse güvenilir doğrulama bunu “geçersiz” veya “değişiklik var” şeklinde raporlar.
İmza sahibinin sertifikası
İmza paketi, imzanın hangi X.509 sertifikasıyla üretildiğini gösterir. Türkiye'deki güvenli elektronik imza yorumunda sertifikanın nitelikli elektronik sertifika olup olmadığı ayrıca kontrol edilir.
İmza zamanı
PDF içinde güvenilir zaman damgası varsa, imzalanan verinin belirli bir zamanda var olduğuna dair bağımsız zaman kanıtı oluşur. Yalnızca bilgisayar saatiyle yazılmış imza zamanı aynı güçte değildir.
Sertifika güven durumu
Doğrulama, sertifika zincirini ve iptal bilgisini CRL veya OCSP üzerinden okuyabiliyorsa imzanın atıldığı anda sertifikanın güvenilir olup olmadığı daha sağlıklı yorumlanır.
Belge bütünlüğü ne demektir?
PDF imzası, dosyanın belirli byte aralıkları üzerinden hesaplanan özet değeri imza paketine bağlar. Doğrulama sırasında aynı özet yeniden hesaplanır. Sonuç eşleşiyorsa imzalanan içerik imzadan sonra değişmemiş kabul edilir. Eşleşmiyorsa belgeye müdahale edilmiş olabilir.
Bu kontrol, sayfada görünen metinle sınırlı değildir. PDF'in yapısı, eklenen sayfalar, değiştirilen alanlar, imza sonrası eklenen açıklamalar ve bazı form işlemleri de sonucu etkileyebilir. Bu nedenle “PDF açılıyor” olması, “imza geçerli” anlamına gelmez.
İmza sahibi tam olarak nasıl anlaşılır?
Elektronik imza, bir kişinin adını yazdığı için değil, imza oluşturma verisi ile sertifika arasında kriptografik bağ kurduğu için anlamlıdır. Doğrulama ekranında sertifika sahibinin adı, sertifikayı düzenleyen hizmet sağlayıcı, sertifika geçerlilik tarihleri ve varsa kullanım kısıtları görülmelidir.
Türkiye'de güvenli elektronik imza değerlendirmesinde nitelikli elektronik sertifikanın yetkili elektronik sertifika hizmet sağlayıcılarından alınmış olması önemlidir. BTK'nın ESHS listesi bu nedenle kritik bir kaynaktır. Bir PDF'de sertifika var diye imza otomatik olarak güvenli veya nitelikli sayılmaz; zincir, iptal ve sertifika niteliği birlikte kontrol edilmelidir.
Zaman damgası neyi değiştirir?
Zaman damgası, imzanın veya belgenin belirli bir tarihte var olduğuna dair bağımsız bir kayıt sağlar. Bu özellikle sertifikanın daha sonra süresinin dolması veya iptal edilmesi gibi durumlarda önem kazanır. Çünkü iyi oluşturulmuş bir zaman damgası, doğrulamanın hangi zamana göre yapılacağını daha net hale getirir.
Burada iki farklı bilgi karıştırılmamalıdır. PDF imza ekranında görünen imza zamanı bazen imzalama bilgisayarının beyan ettiği zamandır. RFC3161 uyumlu zaman damgası ise zaman damgası otoritesinden alınan ayrı bir kriptografik kanıttır. V-İmza gibi doğrulama araçları için “zaman damgası var mı?” sorusu bu yüzden ayrı bir kontrol başlığıdır.
LTV, DSS ve VRI neden gerekir?
Bir imza bugün doğrulanabiliyor diye yıllar sonra da aynı kolaylıkla doğrulanacak demek değildir. Sertifika yayıncılarının CRL adresleri değişebilir, OCSP servisleri kapanabilir veya eski ara sertifikalara ulaşmak zorlaşabilir. PAdES-LT ve PAdES-LTA hedefleri bu riski azaltmak için doğrulama verilerini PDF içine taşımayı amaçlar.
PDF içinde DSS ve VRI bilgileri varsa doğrulama aracı sertifika zinciri, iptal kanıtları ve zaman damgası gibi verileri dosyanın içinden okuyabilir. Bu, arşiv, ihale, sözleşme, onay ve denetim süreçlerinde “bugün geçerliydi ama sonra kanıtı kaybettik” riskini azaltır. Daha geniş çerçeve için PDF imza doğrulama nedir yazısına da bakabilirsiniz.
Elektronik imza neyi kanıtlamaz?
- Metnin iş açısından doğru olduğunu tek başına kanıtlamaz. İmza, belgenin imzalanan sürümüne bağlanır; içerikteki ticari veya hukuki yorum ayrıca değerlendirilir.
- İmzalayanın yetkili temsilci olduğunu her zaman kanıtlamaz. Sertifika kişiyi gösterebilir; şirket temsili, vekalet veya işlem yetkisi ayrı kayıtlarla doğrulanmalıdır.
- Her imzayı otomatik olarak nitelikli veya AB'de geçerli yapmaz. Nitelikli imza, QTSP veya eIDAS iddiaları sertifika türü, sağlayıcı statüsü ve resmi trusted list kontrollerine bağlıdır.
- Sayfaya sonradan eklenmiş görsel imzayı güvenilir hale getirmez. Bir imza resmi PDF'e yapıştırılmışsa bu sadece görüntüdür; kriptografik imza paketi yoksa elektronik imza doğrulaması yapılamaz.
Doğrulama sonucundaki uyarılar nasıl okunmalı?
“Belge değişmemiş” sonucu güçlü bir başlangıçtır, fakat tek başına yeterli değildir. Sertifika zinciri güvenilmeyen bir köke gidiyorsa, sertifika süresi imza zamanında uygun değilse, iptal kontrolü yapılamıyorsa veya zaman damgası yoksa sonuç uyarılı olabilir. Uyarı, her zaman belgenin sahte olduğu anlamına gelmez; ama imzaya dayanarak işlem yapmadan önce eksik kanıtın ne olduğunu anlamak gerekir.
Örneğin “self-signed” veya güvenilmeyen kök uyarısı, imza matematiksel olarak tutsa bile sertifika güven zincirinin tanınmadığını gösterir. “Belge imzadan sonra değişmiş” uyarısı ise çok daha ağırdır; imzalanan içerik ile eldeki dosya aynı olmayabilir. Dijital imzalı PDF nasıl anlaşılır yazısında görsel imza ile kriptografik imza ayrımını ayrıca anlattık.
V-İmza ile pratik kontrol
Bir PDF'in gerçekten elektronik imzalı olup olmadığını görmek için dosyayı V-İmza PDF doğrulama ekranına yükleyebilirsiniz. Rapor, imza sayısı, belge bütünlüğü, sertifika bilgileri, zaman damgası ve LTV/sertifika zinciri başlıklarını ayrı ayrı yorumlamanıza yardımcı olur. Kritik belgelerde yalnızca “imza var” bilgisini değil, uyarıların nedenini de okuyun.
Sonuç: e-imzalı PDF için doğru kanıt seti
PDF üzerindeki elektronik imza, belgenin imzalanan sürümünün korunup korunmadığını ve imzanın hangi sertifika kimliğiyle üretildiğini gösterir. Güvenilir zaman damgası, CRL/OCSP iptal kontrolleri ve LTV verileri eklendiğinde bu kanıt seti daha uzun ömürlü ve denetlenebilir hale gelir. Buna karşılık ekrandaki imza resmi, tek başına elektronik imza kanıtı değildir.
Bu nedenle bir PDF hakkında karar verirken sadece görüntüye değil, doğrulama raporuna bakın: belge değişmemiş mi, sertifika kime ait, zincir güvenilir mi, iptal kontrolü yapılmış mı, zaman damgası var mı ve uzun dönem doğrulama verileri korunmuş mu?
