Zaman damgası, PDF imzada “bu belge şu tarihte imzalandı” cümlesini tek başına yazan bir etiket değildir. Doğru okunduğunda, imza değerinin veya belgenin belirli bir anda var olduğunu kriptografik olarak gösteren ayrı bir kanıt katmanıdır.
Kısa cevap: PDF imzada güvenilir zaman kanıtı, imzacı bilgisayarındaki saat bilgisinden farklıdır. RFC3161 uyumlu bir zaman damgası otoritesi, belgenin veya imza değerinin özetini alır ve bu özetin belirli bir zamanda mevcut olduğuna dair imzalı bir token üretir. V-İmza raporunda bu kanıt; imza bütünlüğü, TSA güveni, sertifika zinciri, CRL/OCSP ve LTV/DSS durumu ile birlikte okunmalıdır.
PDF imzada zaman damgası neyi kanıtlar?
Bir PDF imzası doğrulanırken önce belgenin imzadan sonra değişip değişmediğine, sonra imza paketinin ve imzacı sertifikasının güvenilirliğine bakılır. Zaman damgası bu zincire zaman bağlamı ekler: imza değeri veya PDF içeriği, güvenilir bir zaman kaynağının belirttiği andan önce zaten vardı.
Bu ayrım önemlidir. PDF içinde görünen tarih, uygulamanın yazdığı bir alan veya kullanıcının bilgisayar saati olabilir. Güvenilir zaman damgası ise belge özetini ve zamanı ayrı bir zaman damgası otoritesinin imzasıyla bağlar. Bu yüzden raporda “zaman damgası var” sonucunu görürseniz, onu her zaman “hangi veriyi kapsıyor, hangi TSA ile doğrulanıyor, sertifikası güvenilir mi?” sorularıyla birlikte değerlendirin.
Yerel imza zamanı
İmzalama yazılımının veya cihaz saatinin gösterdiği tarihtir. Kullanışlı bir bilgi verir, fakat tek başına bağımsız zaman kanıtı sayılmaz.
İmza zaman damgası
İmza değerinin belirli bir anda var olduğunu gösterir. PAdES-B-T seviyesine geçişte kritik katmandır.
Doküman zaman damgası
PDF içindeki daha geniş doğrulama verilerini de arşiv zamanına bağlayabilir. PAdES-LTA hedefinde önem kazanır.
LTV/DSS kanıtı
Zaman damgasıyla birlikte sertifika zinciri ve OCSP/CRL kayıtları saklandığında uzun dönem doğrulama daha güçlü hale gelir.
V-İmza raporunda zaman kanıtı nasıl okunur?
Bir doğrulama raporunda zaman damgası alanı yeşil görünse bile karar tek satırdan verilmez. PDF imza doğrulama raporu önce imza bütünlüğünü, sonra imzacı sertifikasını, ardından zaman ve uzun dönem kanıtlarını birlikte gösterir.
- İmza bütünlüğü: PDF imzadan sonra değişmişse zaman damgası bu bozulmayı düzeltmez; yalnızca geçmişte var olan imza değerine zaman kanıtı ekler.
- İmza zaman damgası: Rapor, imza değerinin güvenilir zaman sunucusuyla bağlanıp bağlanmadığını gösterir. Bu PAdES-B-T değerlendirmesi için temel veridir.
- Doküman zaman damgası: Arşiv amaçlı yenileme veya PAdES-LTA senaryosunda PDF içeriğinin daha ileri bir zamanda tekrar zamanla mühürlenip mühürlenmediğine bakılır.
- TSA sertifikası: Zaman damgasını veren otoritenin sertifikası güvenilir zincire bağlanmalı ve zaman damgası imzası doğrulanmalıdır.
- LTV/DSS durumu: Sertifika zinciri, OCSP/CRL ve VRI verileri PDF içinde saklanıyorsa belge yıllar sonra da daha rahat doğrulanabilir.
İmza zamanı, sertifika iptali ve “geçmişte geçerliydi” yorumu
Zaman damgasının en kritik faydalarından biri sertifika süresi ve iptal kayıtlarıyla ilgilidir. Bir imzacı sertifikası bugün süresi dolmuş veya daha sonra iptal edilmiş olabilir. Bu durum, imza anında geçerli olup olmadığı sorusunu otomatik olarak cevaplamaz. Güvenilir zaman kanıtı ve o zamana ait iptal bilgileri birlikte okunursa “imza, sertifika geçerliyken atılmış olabilir mi?” sorusuna daha sağlam cevap verilir.
Bu nedenle zaman damgası yazısını sertifika zinciri ve LTV/DSS konularından ayrı düşünmemek gerekir. Zaman kanıtı varsa ama CRL/OCSP kanıtı yoksa, rapor “belge o tarihte vardı” tarafında güçlenir; fakat arşivdeki uzun dönem güven değerlendirmesi hâlâ eksik kalabilir.
PAdES seviyelerinde zaman damgasının yeri
PAdES tarafında temel PDF imza ile zamanlı imza arasındaki fark pratikte çok büyüktür. Temel seviyede belge bütünlüğü ve imza değeri kontrol edilir. Zaman damgası eklendiğinde imza değerinin belirli bir anda mevcut olduğuna dair bağımsız kanıt oluşur. Uzun dönem doğrulama malzemesi ve arşiv zaman damgaları eklendikçe belge PAdES-B-LT ve PAdES-B-LTA hedeflerine yaklaşır.
V-İmza içerik kümesinde bu ayrımı daha geniş okumak isterseniz PAdES imza seviyeleri rehberi zaman damgası, DSS ve LTA ilişkisini seviyeler üzerinden açıklar.
Hukuki statü uyarısı: Bir PDF’te zaman damgası bulunması, belgenin otomatik olarak “nitelikli elektronik imza” veya “qualified trust service” kapsamında olduğu anlamına gelmez. Teknik doğrulama; sağlayıcı statüsü, sertifika politikası, imza oluşturma aracı ve resmi güven listeleriyle ayrıca değerlendirilmelidir.
Harici .zd kanıtı ile PDF içine gömülü zaman damgası aynı şey mi?
Hayır. Harici .zd benzeri zaman damgası kanıtları çoğu zaman PDF dosyasının hash değeri üzerinden ayrı bir kanıt dosyası olarak doğrulanır. Bu dosya belgeyle birlikte saklanırsa yararlı olabilir; fakat PDF içindeki PAdES zaman damgası ile aynı yerde durmaz.
PDF içine gömülü zaman damgasında doğrulama, PDF imzasının ilgili ByteRange kapsamı veya imza değeri üzerinden yapılır. Arşiv amaçlı doküman zaman damgasında ise PDF’in güncel doğrulama malzemesiyle birlikte yeniden zamanla bağlanması beklenir. Bu yüzden raporda “harici zaman kanıtı var” ile “PDF içinde doğrulanabilir zaman damgası var” ifadeleri karıştırılmamalıdır.
Sık yapılan okuma hataları
“Tarih yazıyor, zaman damgası vardır” demek
Görünen tarih alanı yalnızca metin veya yerel saat olabilir. Rapor TSA imzasını ve token doğrulamasını ayrıca göstermelidir.
Tek yeşil işarete güvenmek
Zaman damgası geçerli olsa bile belge bütünlüğü, sertifika zinciri ve iptal kanıtları ayrı ayrı kontrol edilmelidir.
Süresi dolmuş sertifikayı yanlış yorumlamak
Sertifika bugün süresi dolmuş olabilir. Önemli soru, güvenilir zaman kanıtıyla imza anındaki durumun ispatlanıp ispatlanamadığıdır.
LTV ile zaman damgasını aynı sanmak
Zaman damgası LTV’nin önemli parçasıdır; fakat tek başına sertifika, CRL/OCSP ve VRI verilerinin PDF içinde saklandığını göstermez.
Pratik kontrol sırası
Bir PDF’i kontrol ederken en sağlıklı sıra şudur: önce belge bütünlüğüne bakın, sonra imzacı sertifikasının güven zincirini kontrol edin, ardından zaman damgasının güvenilirliğini okuyun, en sonda LTV/DSS kanıtlarının arşiv için yeterli olup olmadığını değerlendirin. V-İmza’nın PDF doğrulama aracı bu katmanları tek bir rapor akışında göstermeyi hedefler.
Son karar cümlesi şu olmalıdır: “Bu belge imzadan sonra değişmemiş mi, imzacı sertifikası güvenilir mi, imza değeri güvenilir bir zamandan önce var mıydı ve yıllar sonra doğrulama için gerekli kanıtlar saklanmış mı?” Zaman damgası bu soruların yalnızca birini değil, birkaçını birbirine bağlayan kritik parçadır.
Sık Sorulan Sorular
Zaman damgası olmayan PDF imza geçersiz midir?
Her zaman hayır. Zaman damgası olmaması imzanın otomatik olarak geçersiz olduğu anlamına gelmez; fakat imza zamanını bağımsız biçimde kanıtlamak ve yıllar sonra doğrulama yapmak daha zayıf hale gelebilir.
PDF içindeki tarih bilgisayar saatinden mi gelir?
Bazı tarih alanları imzalayan cihazın veya uygulamanın saatinden gelebilir. Güvenilir zaman damgası ise TSA tarafından imzalanmış ayrı bir token olduğu için yerel saat bilgisinden farklı değerlendirilir.
Doküman zaman damgası LTV’nin tamamlandığını gösterir mi?
Tek başına göstermez. Doküman zaman damgası arşiv güveni için önemlidir; fakat LTV/DSS değerlendirmesinde sertifika zinciri, OCSP/CRL iptal kanıtları ve bunların PDF içinde doğru saklanıp saklanmadığı da aranır.
Zaman damgası belgenin nitelikli imza olduğunu kanıtlar mı?
Hayır. Zaman damgası teknik bir zaman kanıtıdır. Nitelikli elektronik imza veya qualified trust service yorumu için resmi sağlayıcı statüsü, sertifika politikaları ve ilgili mevzuat ayrıca kontrol edilmelidir.
