Günümüzde sıkça e-imza konusu kulaklarımıza çalınıyor. Zaman zaman, özellikle adli ya da kamusal evrakların üzerinde “e-imzalıdır” ibaresiyle sıkça karşılaşıyoruz. Peki nedir bu e-imza? Procenne’in uzman ekibi e-imza hakkında bilinmeyenleri derledi…
E-İmza, çeşitli elektronik ortamda barındırılan belgelerin bütünlük, sahiplik, mevzuata uygunluk ve güvenliğini sağlayan bir sanal imzalama yöntemidir. E-İmzalar, kişi adına tanımlanan ve Sertifika Sağlayıcı tarafından üretilen bir sertifika dosyası ile özetleme ve imzalama işlemi ile gerçekleştirilir. Sertifika Sağlayıcılar, Türkiye’de ESHS (Elektronik Sertifika Hizmet Sağlayıcı) olarak, uluslararası pazarda ise Sertifika Otoritesi (Certificate Authority ya da kısaca CA) olarak anılırlar.
E-İmzalar, kişisel (NES – Nitelikli Elektronik Sertifika) ya da kurumsal (Mali Mühür, e-Mühür) olmak üzere iki farklı kategoride hizmete sunulmuştur. E-imza, 5070 sayılı Elektronik İmza Kanunu ve destekleyici birçok yönetmelik ile kamu iletişimi ve kurumsal sistemlerde öncelikli bir gereksinim olarak sunulmaktadır.
Elektronik imza, kimlik ile eşdeğer yetilere sahiptir; dolayısıyla elektronik imzanın bir başkası tarafından kullanılması halinde, yapılan işlemler, sertifikanın asıl sahibince gerçekleştirildiği göz önüne alınarak işleme tabi tutulur. Bu da kişilerin ve kurumların büyük maddi ve manevi zararlarla karşılaşması riskini doğurur.
Elektronik imzaların güvenliğini sağlamak için en güvenli çözüm, Common Criteria EAL 4+ seviyesinde güvenlik standartlarında üretilmiş bir donanım içinde saklanmasıdır. Kişisel kullanım için bilgisayarlara USB portundan takılabilen Token donanımları kullanılabilir. Maliyeti düşük ve taşınabilir Token’lar, günde 3-4 imzalama işi yapabilecek kişiler için yeterlilik sağlar ancak kaybolma, çalınma, bozulma risklerinin yanı sıra az kullanım amaçlı olmaları sebebiyle düşük performans sağlarlar.
Günlük kullanım hacmi, imzalanacak belgelerin boyutları, farklı imzalama yetenekleri ve yüksek güvenlik gerektiren tüm yapıların elektronik imza sertifikalarını barındırmak için bir HSM kullanması büyük önem arz etmektedir. HSM’ler, güvenlik ve performansın yanı sıra birden fazla sertifikayı aynı donanım içinde saklama, yedekleme, iş sürekliliği ve mevzuata uygunluk için gerekli tüm altyapıyı sunmaktadır.