E–imza nasıl öldürülür ?

By |

Dijital imza yani bilinen adıyla E-imza maliyetli bir teknoloji mi? E-imza’nın doğurduğu maliyet getireceği kolaylıklara ve güvene değer mi? Başlarda çevremde, iş dünyasında duyduğum, E-imza gelecek dertler bitecek yönündeydi.

İnternet kullanımının yaygınlaşması ve iyice günlük hayata girmesi internette bir güven arayışına neden oldu. Yapılan bankacılık işlemlerinden, alınıp gönderilen epostalara kadar kullanıcılar internet üzerinden yaptıkları her türlü işlemde hem kendilerinin, hem de muhattap oldukları karşı tarafın bir şekilde bu işlemlerde kanun ya da özel sözleşmelerle bağlayıcı olduğunu görmek istiyorlardı. Bu istek de E-imza’dan beklentileri artırmıştı.

Üst düzey güvenlik, üst düzey kolaylıktı beklenen…

İnsanlar güvenlik problemi çözüldüğünde, internette büyük işler yapılabileceğini çok çabuk gördüler. Bunun için herkeste bir heves, bir acelecilik vardı ki sormayın gitsin.

Hani derler ya, talep çoksa para da çoktur diye… Bu söz tüm dünyada E – imza hizmeti vermek istiyen kuruluşlarca yanlış algılandı. E – imza kulanıcısı altın yumurtlayan tavuk olarak görüldü ve nitelikli sertifikalar için çok yüksek fiyatlar talep edildi.

İnsanlar E-imza’nın maliyetini duyunca, içlerindeki heves yerini derin derin düşüncelere bırakıyordu.

Başlıyordu bir hesap… “Bir imza 75 euro. Çalışan sayım 10 bin. Çarp 10 bin ile 75’i. Bu seneki E-imza maliyeti. Bu 75 euro’nun en az yarısı fiyata bu 10 bin kişiye her sene yeni E-imza. Çarp topla. Eder sana bol sıfırlı bir rakam.”

Bir adam vardı canı sıkılan, hesaplar arasında boğulan.

Bu rakamı hoşgörü ile karşılamak zor tabi. Bir sertifika otoritesi kurmanın maliyeti bile bu kadar değilken bizim E-imza heveslisi adam vazgeçiyordu doğal olarak. Çıkar yol yok. Maliyet yüksek. Adam başlıyordu söylenmeye : “Neyime benim E-imza.”

E-imza kullanımı beklentilerde olduğu gibi yaygınlaşamadı. Burada sorun yetkililerin teknolojik olarak yetersizlikleri, çıkar beklentileri değil sadece. Yetkililerin bilgisizlikten kaynaklanan yetkisizliği yukarıdaki adam gibi heveslilerin de heveslerini kursağında bırakıyordu. Yetkililerin öne sürdüğü maliyetler o kadar yüksekti ki bizim sıkılan adam E-imza’dan vazgeçmekte sonuna kadar haklıydı.

Bu durum dünyanın her yerinde aynı. Her yerde E-imza’nın maliyetinden dolayı bu sıkıntılar yaşandı. Ama sonunda çare bulundu. E-imza’nın maliyeti düşürüldü. Nasıl mı? Almanya’daki durum açıklayıcı olur zannedersem.

Dünya’da dijital imza kanununu ilk uygulayan ve ilk Trust Center’ı kuran ülkelerden biri Almanya. Almanya’da ilk kurulan Trust Center da (bundan 10 yıl önce) Deutsche Telekom. Ardından DATEV ve sonrasında Deutsche Post kuruldu. Bundan 5 sene öncesine kadar da sırada 30 firma Trust Center kurmak için başvurularını yapmış sırada bekliyordu.

Aradan sadece 5 yıl geçti. Yıl oldu 2006. Almanya’da ayakta kalabilen tek sertifika otoritesi Deutsche Telekom. Deutsche Post kapandı ancak, eski müşterileriyle yaptığı ağır anlaşmalar yüzünden tekrar açılmak zorunda kaldı. DATEV dijital imza kanununa uygun olarak oluşturduğu bölümünü Deutsche Post’a devretti. Diğerleri ise ya kapandı ya da kapanmak üzereler. Bir nitelikli sertifika için Trust Center’ların talep ettiği bedel ise Türkiye’dekine göre oldukça ucuz. 3 yıl için 50 euro. Fiyat makul görünüyor ama yine de nitelikli E-imza kullanımı, toplam sertifikaların yüzde 10’u oranında kalmış durumda. Bu oran aslında firmaların bu parayı bile vermek zorunda olmadığını gösteriyor.

Almanya’da şirketler artık kendi sertifika otoritelerini kendileri kuruyor. Çalışanları ve beraber çalıştıkları firma ve çalışanları ile özel anlaşmalar imzalayarak, çalışanlarına nitelikli sertifika yerine, güvenlik sertifikası dağıtıyorlar. Sadece devlet ile olan işlerinde nitelikli sertifika kullanıyorlar. Örneğin dünya devi BASF’ın 160 bin çalışanından sadece 50 tanesinde nitelikli sertifika bulunuyor. Geriye kalan tüm çalışanlara BASF’ın kendi sertifika otoritesinden güvenlik sertifikası dağıtılmış. Sertifika otoritesi kurmak da o kadar zor bir şey değil. İster Microsoft kullanın, ister Linux, her ikisinde de Sertifika Otoritesi yazılımları ücretsiz. Kurup, kullanabilirsiniz. Koçbank 2000 yılından beri 13 binden fazla müşterisine 80 binden fazla sertifika dağıttı. Koçbank bu sertifikaları kendi bünyesinde kurduğu Microsoft sertifika otoritesinde yarattı.

Son bir not. Ben 30 yıldır Almanya’dayım. Halen nitelikli elektronik imzam yok. Buna ihtiyacım da yok. Ama kullandığım güvenlik sertifikam var. Bunu güvenli eposta iletişiminde, loginlerde, şifrelemede ve imzalama işlemlerinde kullanabiliyorum. Hem de bedavaya…

Şirketin muhasebe bölümündeki arkadaşlarda ise DATEV’den aldığımız güvenlik sertifikası kullanılıyor. Bu sayede DATEV ile yaptığımız her türlü işlemde E-imza’mızı kullanabiliyoruz. Üstelik E-imza kullanımı için DATEV, KOBIL ile özel sözleşme yaptığından dolayı kullanılan sertifika nitelikli sertifika olmamasına rağmen, imzalarımızın hukuki bağlayıcılığı da mevcut bulunuyor.

Ancak iş sadece E-imza ile bitmiyor. İmzanın tutulacağı bir akıllı kart, akıllı kart okuyucu ve CSP ve PKCS #11 modüllerini içeren yazılımlar da gerekiyor. Bizim sıkılan adam bunları mecburen satın almak zorunda. Adamımızın burada seçme şansı var ama bu konuda bilgili olması şart. Elektronik imzanın ancak ITSEC E4 veya Common Criteria EAL4+ güvenlik seviyesindeki bir platformda güvende olacağını bilmesi gerekiyor. Bunun yanında PIN kodunun trojan uygulamalarla kendinden habersizce çalınmasını engelemek için üzerinde tuş takımı olan bir akıllı kart okuyucusu seçmesi gerektiğinin de bilincinde olması lazım.

Bunlar benim tercübelerim, yararlanan da sağ olsun, yararlanmayan da…

Gurbetten selamlar…

 

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir