Upload
turkkep
View
290
Download
6
Embed Size (px)
Citation preview
E-İMZA
KAYITLI ELEKTRONİK POSTA
Yüksel SAMAST
27 Şubat 2013
Eğitim İçeriği
Elektronik İmza (E-İmza)Bilgi Güvenliği GereklilikleriTeknik ÖzellikleriYasal DüzenlemelerKullanım AkışıZaman Damgası
Kayıtlı Elektronik Posta (KEP)KEP Sistemi Özellikleri ve Kullanım AlanlarıYasal DüzenlemelerKEPHS ve Hizmet Türleri KEP Adres Formatları
Bütünlük: Mesajlar alıcıya ulaşırken yetkisiz olarak değiştirilememelidir
Yetkisiz müdahale
Mesaj: A Mesaj: B
Gönderici Alıcı
E-İMZA: Bilgi Güvenliği Gereklilikleri
Kimlik Doğrulama ve İnkar Edilemezlik : Alıcı, göndericinin kimliğinden emin olmalıdır Gönderici, mesajı göndermiş olduğunu inkar edememelidir
“Ben Gönderici....”
Mesaj:Gönderici Alıcı
Yanıltıcı
E-İMZA: Bilgi Güvenliği Gereklilikleri
E-İMZA : Teknik Altyapı
Özet (Hash) Algoritmaları
Mesajı her zaman ve aynı uzunlukta bir özete indirgerÖzetten yola çıkarak orijinal mesaj yeniden elde edilemezİki farklı mesajın özeti aynı olmaz
Marhaba
F&r
Merhaba
$½ÖZET
ÇıktıG
irdi
Gir
di Çıktı
SHA-1, SHA-2, MD5
E-İMZA : Teknik Altyapı
Anahtar Çift iMatematiksel olarak birbirine bağlı iki anahtar (anahtar çifti)Birinin (gizli) şifrelediğini diğeri (açık) açarAlgoritmalar: RSA, DSA vb.
Gizli Anahtar Açık Anahtar
Veri Şifreleme Şifreli Veri
Deşifreleme Veri
E-İMZA: Oluşturma ve Doğrulama
İmza oluşturma
verisi
Merhaba
=?
;+?(^!’;+?(^!’
RSA
;+?(^!’Çıktı
Girdi
$½
$½
$½
RSA
Girdi
Girdi
GirdiMerhaba
?= E İmza √
?=Hİmza X
Çıktı
SHA-1SHA-1
İmza doğrulama
aracı
İmza doğrulama
verisi
İmza oluşturma
aracı
E-İMZA: Elektronik Sertifika
İmza sahibinin imza doğrulama verisini ve kimlik bilgilerini birbirine bağlayan elektronik kayıt
Adı Soyadı
X.509
E-İMZA: Nitelikli Elektronik Sertifika
Sertifikanın seri numarasıESHS (CA) kimlik bilgileri ve kurulduğu ülkeSertifikanın nitelikli olduğuna dair bir ibareSertifika sahibinin kimlik bilgileriDiğer bir kişi adına hareket ediyorsa yetkisiMesleki ve diğer kişisel bilgilerVarsa sertifikanın kullanım şartlarıSertifikanın geçerlilik süresi
Nitelikl i Elektronik Sert if ika
İmza doğrulama
verisi
Elektronik Sert if ika Hizmet Sağlayıcısının elektronik imzası
E-İMZA: Yasal Düzenlemeler
Elektronik İmza Kanunu (no.5070)
Madde 3.b – Elektronik İmza
Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri
Kullanıcı adı ve şifre?
Tarayıcıdan geçirilmiş imza resmi?
Ne kadar güvenli?
E-İMZA: Güvenli Elektronik İmza
a) Münhasıran imza sahibine bağlı olan
b) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan
c) Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan
d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan
Madde 4 – Güvenli Elektronik İmza
Hukukî Sonucu ve Uygulama Alanı
Madde 5.
Güvenli elektronik imza, elle atılan imza ile aynı hukukî sonucu doğurur.
Anahtar Çifti
Madde 3.d – İmza Oluşturma Verisi
İmza sahibine ait olan, imza sahibi tarafından elektronik imza oluşturma amacıyla kullanılan ve bir eşi daha olmayan şifreler, kriptografik gizli anahtarlar gibi verilerdir.
Madde 3.f – İmza Doğrulama Verisi Elektronik imzayı doğrulamak için kullanılan şifreler, kriptografik açık anahtarlar gibi verilerden oluşan imza doğrulama verisidir .
Güvenli Elektronik İmza Oluşturma Araçları
a) Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmamasını,
b) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiç bir biçimde çıkarılamamasını ve gizliliğini
c) Ürettiği elektronik imza oluşturma verilerinin, üçüncü kişilerce elde edilememesini, kullanılamamasını ve elektronik imzanın sahteciliğe karşı korunmasını,
d) İmzalanacak verinin imza sahibi dışında değiştirilememesini ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesini
Madde 6
Güvenli Elektronik İmza Oluşturma Araçları
Güvenli elektronik imza oluşturma araçları, teknik nedenler ve mevzuat gereği, belirlenmiş güvenlik standartlarına sahip akıl l ı kart lar veya akıl l ı çubuklar (token) üzerinden mevzuata uygun güvenli elektronik imza oluşturulmasında kullanılır.
İdari Açıdan Güvenlik
Hangi anahtar çiftinin (imza oluşturma ve doğrulama verilerinin) kime ait olduğunun bilinmesi
Anahtar çifti üretimiDoğru kimlik tespiti
Güvenilir bir kurum tarafından açık anahtarın (imza doğrulama verisinin) kime ait olduğunun beyanı
Elektronik sertifika
Elektronik Sertifika Hizmet Sağlayıcısı (ESHS)
E-imza Kullanım Akışı
İmza atan uygulama + Akıllı Kart/Token
Gizli Anahtar
Sertifika
PIN
İmzalanacak Veri
+ E- İMZA
Elektronik Sert if ika Hizmet Sağlayıcı (ESHS)
Gönderici
Alıcı
İmza doğrulayan uygulama
İmza Doğrulama Sonucu: Geçerli / Geçersiz
İmza sahibi sertifikası geçerli mi?Sertifika Durumu
Elektronik Sertifika Hizmet Sağlayıcısı (ESHS)
Madde 8
Elektronik sertifika hizmet sağlayıcısı, elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan gerçek veya tüzel kişilerdir.
İlgili hizmetlerNitelikli elektronik sertifika başvuru, iptal, yenileme süreçlerinin yönetimiSertifika durum bilgisi hizmetleri (SİL/OCSP)Kayıtların tutulmasıZaman damgası hizmetleri
Elektronik Sertifika Hizmet Sağlayıcısı (ESHS)
ESHS’lerMevzuata ve standartlara uygun olarak kurulup yetki almış Bilgi Teknolojileri ve İletişim Kurumu tarafından denetlenenNitelikli elektronik sertifika (NES), elektronik imza ve zaman damgası ile ilgili hizmetleri sağlayan güvenilir kuruluşlardır
ESHS’lerin asli işleviNES almak isteyen gerçek kişilerin resmi belgelere dayandırarak kimlik tespitini yüz yüze yapmakGüvenli ortamda sertifikayı üretmek, güvenli elektronik imza aracına yüklemek ve sahibine teslim etmektir
Elektronik İmza Kanunu (no.5070)
Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik
Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ
Zorunlu Sertifika Mali Sorumluluk Sigortası Düzenlemeleri
Başbakanlık Genelgeleri
E-imza Mevzuatı
Neden Elektronik İmza?
Kamu kuruluşlarıyla yapılan elektronik işlemlerdeHukuki işlemlerdeBankacılık işlemlerinde ve finansal uygulamalarda Kurumsal yazılım uygulamalarında (ERP, DYS, vb.)Elektronik yazışma ve sözleşmelerdeE-devlet, e-ticaret, e-iş uygulamalarında
Zaman, para ve iş gücü tasarrufu sağlayarak, güvenli işlem yapabilme imkanı sağlar.
Zaman Damgası
Zaman Damgası İstemcisi
Elektronik Sert if ika Hizmet Sağlayıcı
ZD Talebi Zaman Damgası
Veri Özeti Güvenilir Zaman Bilgisi
Zaman Damgası Sağlayıcı İmzası
Veri Veri Zaman Damgası
Verinin zaman damgasında belirt i len anda var olduğu yasal olarak ispat lanabil i r
Veri Özeti
Kayıtlı Elektronik Posta (KEP)
Kayıtlı Elektronik Posta (KEP) KEP Özellikleri KEP Sistemi KEP ile Yapılabilecek İşlemler
KEP ile ilgili Yasal Düzenlemeler Türk Ticaret Kanunu Tebligat Kanunu
KEP Hizmet Sağlayıcılığı (KEPHS) KEPHS Özellikleri KEPHS Standartları KEP Adresleri
Kayıtlı Elektronik Posta (KEP)
KEP, yasal olarak geçerli ve teknik olarak güvenli elektronik posta olarak tanımlanabilir.
Kayıtlı Elektronik Posta (KEP)
Bir e-postanın ekleriyle birlikte, iletildiğini ve içeriğinin başkaları tarafından değiştirilmediğini (Veri Bütünlüğü)
Gönderen ve Alan tarafların kim olduğunun tespitini (Kimlik Doğrulama)
Gönderildiğinin veya alındığının, gönderim ve alınma zamanının kesin tespitini (İnkar Edilemezlik)
Gönderici, alıcı, iletim zamanı, içerik özeti gibi bilgileri içeren delilleri saklamayı ve taraflara iletmeyi (Deli l Sağlama)sağlayan bir sistemdir.
KEP Sistemi
Yasal Mevzuatı ve uluslararası standartları gereğince KEP Sistemi, bir “güven kurumu” olan, yetkili Kayıtlı E-Posta Hizmet Sağlayıcısı (KEPHS) tarafından işletilir.
Kayıtlı Elektronik Posta (KEP)
Yapılabilecek işlemler e-Fatura, e-ekstre e-Talimat, e-ödeme emri e-Tebligat, e-bildirim e-İhtar, e-ihbar E-Mutabakat, e-teyit, e-itiraz e-Beyanname, e-bildirge e-İhale, e-teklif e-Ticaret, e-sipariş, e-sipariş onay e-Başvuru, e-dilekçe E-Yazı, e-çağrı, e-duyuru E-iştirak taahhütnamesi E-Sözleşme
KEP : Yasal Düzenlemeler
Türk Ticaret Kanunu (yeni TTK - Kanun No:6102)
KEP Yönetmeliği (25.8.201 1/ R.G.28036) KEP Tebliği (25.8.2011 / R.G.28036) KEP Adresleri ve Rehberi Tebliği
(16.5.2012 / R.G.28294) Tebligat Kanunu (Kanun No:7201, 7/a
Maddesi/E-Tebligat 11.01.2011- Kanun No:6099 )
E-Tebligat Yönetmeliği (19.01.2013 / R.G. 28533)
KEP : Yasal Düzenlemeler
KEP, 1.7.2012 tarihinde yürürlüğe giren 6102 Sayılı yeni TTK ile ülkemizde ilk defa yasalara girmiştir:TTK Madde 18 - (3) Tacirler arasında, diğer tarafı temerrüde düşürmeye, sözleşmeyi feshe, sözleşmeden dönmeye ilişkin ihbarlar veya ihtarlar noter aracılığıyla, taahhütlü mektupla, telgrafla veya güvenli elektronik imza kullanılarak kayıtl ı elektronik posta sistemi ile yapılır.
KEP : Yasal DüzenlemelerTTK Madde 1525: (1) Tarafların açıkça anlaşmaları ve 18 inci maddenin üçüncü fıkrası saklı kalmak şartıyla, ihbarlar, ihtarlar, i t irazlar ve benzeri beyanlar; fatura, teyit mektubu, iştirak taahhütnamesi, toplantı çağrıları ve bu hüküm uyarınca yapılan elektronik gönderme ve elektronik saklama sözleşmesi, elektronik ortamda düzenlenebilir, yollanabilir, itiraza uğrayabilir ve kabul edilmişse hüküm ifade eder.(2) KEP sistemine, bu sistemle yapılacak işlemler ile bunların sonuçlarına, KEP adresine sahip gerçek kişi lere, işletmelere ve şirketlere, KEPHS’nın hak ve yükümlülüklerine, yetkilendirilmelerine ve denetlenmelerine ilişkin usul ve esaslar Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından bir yönetmelikle düzenlenir.
KEP : Yasal Düzenlemeler
7201 Sayılı Tebligat Kanunu’na eklenen «E-Tebligat» maddesi; Madde 7 - (1) Anonim, limited ve sermayesi paylara
bölünmüş komandit şirketlere elektronik yolla tebligat yapılması zorunludur. Gerçek kişiler ve diğer tüzel kişiler elektronik tebligattan isteğe bağlı olarak yararlanır.
E-Tebligat Yönetmeliği , resmi gazetede 19 Ocak 2013 itibari ile yayımlandı ve yürürlüğe girdi.
Madde 6 (3): Elektronik tebligat hizmetinden yararlanacak muhatap, elektronik tebligata elverişli kayıtlı elektronik posta adresi edinir.Madde 7 (2): Kendilerine yalnızca elektronik yolla tebligat yapılması zorunlu olan muhatapların, tebligat çıkarmaya yetkili merciler nezdindeki işlemlerinde elektronik tebligat adreslerini bildirmeleri zorunludur.
Kayıtlı Elektronik Posta (KEP)
E-Tebligat ile ilgili yasal düzenlemelere göre, 19 Ocak 2013 tarihinden itibaren, tüm LİMİTED, ANONİM ve sermayesi paylara bölünmüş komandit ŞİRKETLER ile KAMU KURUMLARI kayıtlı elektronik posta (KEP) adresi edinmek ve e-tebligat almak zorundadır.Bireyler (gerçek kişiler) KEP adresi edinmek ve e-tebligat almak zorunda değildir.Kamu Kurumları , PTT’den temin edecekleri KEP adreslerini kullanarak e-tebligat göndermek zorundadır. Şirketler, diğer tüzel kişiler ile tüm bireyler istediği hizmet sağlayıcıdan hizmet alabilirler.BTK’dan yetki alıp KEP hizmetleri verecek 3 kurum şunlardır:
TÜRKKEP, TNBKEP, PTT
KEPHS Özell ikleri
KEPHS’nin Teknik Altyapısının yeterliliği, Fiziksel ve Elektronik Güvenlik
Altyapısının uygunluğu, Gerekli Uzman Kadrosunun bulunması, Teknik Standartlara ve kriterlere tam
uyumluluğu ve BTK tarafından denetlenip, Yetki almış
olması gerekmektedir.
Yasal Düzenlemeler ve Standartlara göre, ülkemizde KEPHS olunabilmesi için;
KEPHS Standartları
Teknik Standartlar ETSI / TS 102 640 (ve ilgili diğer ETSI standartları) ISO 27001 (Bilgi Güvenliği Yönetim Sistemi) ISO 27031 (BT Hizmetleri İş Sürekliliği) BS 10012 (Kişisel Verilerin Korunması) ISO 15408 /EAL4+ (Ortak Kriterler) E-İmza ve Zaman Damgası Standartları
KEP Adres Türleri
Gönderici/AlıcıNES sahibi olmak/e-imza kullanmak zorunda
AlıcıE-tebligat amaçlı limited/anonim şirketlere zorunlu
KEP Hizmet Modelleri
Sakla-İ let (Store&Forward)İleti alıcının e-posta kutusuna teslim edilir.
Sakla-Bildir (Store&Notify)İleti sistemde tutulur, alıcıya bir bağlantı (link) gönderilerek iletisine erişmesi sağlanır
KEP Adres Formatları
Bireysel KEP Adresiadı.soyadı@hs03.kep.tradı.soyadı[email protected]
Kurumsal KEP Adresi kurumadı@hs03.kep.trmuhasebe@kurumadı.hs03.kep.tr
Yetkili KEPHS’lerin alan adları: TÜRKKEP @hs03.kep.tr [email protected] [email protected]
KEP Değerlendirme
Yasal ve teknik olarak geçerli ve güvenli olan KEP ile iletişim ve belge paylaşımı, resmi ve ticari bir temel iht iyaçtır . KEP, e-devlet, e-iş, e-ticaret gibi tüm e-dönüşüm uygulamalarının bütün boyutlarıyla hayata geçirilebilmesi açısından stratejik önem taşıyan bir anahtar uygulamadır. KEP, özel ve kamu kurum ve kuruluşları ve şahıslar arasında, hukuki ve ticari her türlü belgenin/evrakın, yasal, geçerli ve güvenli şekilde paylaşımını sağlayan bir sistemdir . KEP Sistemi, kağıt, posta, arşiv ve diğer işlem maliyetlerini ve buna bağlı zaman maliyetlerini azaltacak, tasarruf sağlayacak, resmi ve ticari işlemlere hız ve verim katacak bir çözümdür .