Yüksel SAMAST Genel Müdür 10 Aralık 2005 X. Türkiye’de İnternet Konferansı E-İMZA PANELİ

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Gündem Bilgi güvenliğinin tanımı? Elektronik imza nedir? Güvenli elektronik imza nedir? Elektronik (sayısal) imza tekniği Güvenli elektronik imza oluşturma araçları Elektronik sertifika Elektronik sertifika hizmet sağlayıcılığı TÜRKTRUST Sorular

Barış Ayşe Sen ne yaptığını sanıyorsun?! Kimliğiniz taklit edilebilir (Kimlik ispatı) Mesajınız dinlenebilir (Gizlilik) Internet Ayşe Bora Mesajınız değiştirilebilir (Bütünlük) Internet Ayşe Barış Bora Barış’ın Bankası ! Internet Barış Internet Bora Saat 10’da Saat Kulesi’nde ! Teleferik, ne romantik ! Buluşmaya kadar dinlenmeliyim ! Bora Bora ?! Ben yapmadım, parayı ben çekmedim! Saat 9’da teleferikte ! Hesabıma havale Selamlar, Barış... Bakalım ne yapıyorlar ?! Yapan inkar edebilir (İnkar edilememezlik)

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Elektronik İmza Nedir? Madde 3.b Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri Kullanıcı adı ve şifre? Tarayıcıdan geçirilmiş imza resmi? Ne kadar güvenli?

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Güvenli Elektronik İmza? a) Münhasıran imza sahibine bağlı olan b) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan c) Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan Madde 4

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Elektronik (sayısal) imza tekniği Merhaba =? ;+?(^!’ RSA ;+?(^!’ Çıktı Girdi $½ RSA Girdi Merhaba ?= E İmza  ?=H İmza X Çıktı SHA-1 İmza oluşturma aracı İmza doğrulama aracı İmza oluşturma verisi İmza doğrulama verisi

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Güvenli İmza Oluşturma Aracı a) Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmamasını, b) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiç bir biçimde çıkarılamamasını ve gizliliğini c) Ürettiği elektronik imza oluşturma verilerinin, üçüncü kişilerce elde edilememesini, kullanılamamasını ve elektronik imzanın sahteciliğe karşı korunmasını, d) İmzalanacak verinin imza sahibi dışında değiştirilememesini ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesini Madde 6

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Güvenli İmza Oluşturma Araçları Mevzuatta belirtilen teknik standartlara sahip akıllı kart veya akıllı çubuk’lardır.

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Elektronik Sertifika Elektronik imzanın çalışabilmesi için, hangi anahtar çiftinin kime ait olduğunun bilinmesi Anahtar çifti üretimi Doğru kimlik tespiti Güvenilir bir kurum tarafından anahtar çiftinin (doğrulama verisinin) kime ait olduğunun beyanı “elektronik sertifika” ile sağlanır

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Elektronik Sertifika Madde 3.ı İmza sahibinin imza doğrulama verisini ve kimlik bilgilerini birbirine bağlayan elektronik kayıt Ad Soyad X.509

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Elektronik Sertifika “Nitelikli elektronik sertifika" olduğuna dair bir ibare İmza sahibinin kimlik bilgileri Geçerlilik süresi (başlangıç ve bitiş tarihleri) Seri numarası Sertifika sahibi diğer bir kişi adına hareket ediyorsa bu yetkisine ilişkin bilgi Sertifika sahibi talep ederse meslekî veya diğer kişisel bilgileri Varsa sertifikanın kullanım şartları Sertifikanın kullanılacağı işlemlerdeki maddî sınır bilgileri ESHS’nin bilgileri ve güvenli elektronik imzası

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Elektronik Sertifika

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Elektronik Sertifika Hizmet Sağlayıcısı Madde 8 Elektronik sertifika hizmet sağlayıcısı, sertifika, zaman damgası ve elektronik imzalarlarla ilgili hizmetleri sağlayan gerçek veya tüzel kişilerdir İlgili hizmetler Nitelikli elektronik sertifika başvuru, iptal, yenileme süreçlerinin yönetimi Sertifika durum bilgisi hizmetleri Kayıtların tutulması Zaman damgası hizmetleri

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Elektronik Sertifika Hizmet Sağlayıcısı ESHS’ler, mevzuata uygun olarak kurulup yetki almış ve TK tarafından sürekli denetlenen, elektronik sertifika, elektronik imza ve zaman damgası ile ilgili hizmetleri sağlayan kuruluşlardır ESHS’lerin asli işlevi, sertifika sahibi gerçek kişilerin kimliklerini resmi belgelere dayandırarak tespitinin ardından, güvenli ortamda nitelikli elektronik sertifikayı üretmek, güvenli elektronik imza aracına yüklemek ve sahibine bizzat teslim etmektir

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Elektronik Sertifika Hizmet Sağlayıcısı Elektronik Sertifika yönetim süreçleri: - Başvuru - Kayıt - Üretim - Dağıtım/teslim - Erişim ve iptal hizmetleri - Teknik destek hizmetleri - Arşiv

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Elektronik Sertifika Hizmet Sağlayıcısı ESHS işlevinin en sağlıklı bir biçimde yerine getirilmesi, Güven ve güvenilirlik Yetkinlik ve uzmanlık İstikrar ve süreklilik Tarafsızlık Teknik ve fiziksel altyapı Kalite odaklı müşteri hizmetleri gibi unsurların bir arada sağlanmasıyla mümkün olur

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Türkiye’de ESHS yapısı Vatandaşlar Sağlık Bak. Çalışanları İçişleri Bak. Çalışanları Kamu Sertifikasyon Merkezi (UEKAE)... Kamu TÜRKTRUST KAYIT MERKEZLERİ TÜRKİYE Diğer ESHS’ler

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Kök Hiyerarşisi Kök Alt kök-1 Kendisi tarafından imzalanmış Bağlı olduğu kök tarafından imzalanmış Bağlı olduğu alt kök tarafından imzalanmış

Yasalar Yönetmelikler Tebliğler Genelgeler Kullanıcılar Güvenen Taraflar MAHKEMELERTELEKOMÜNİKASYON KURUMU BİREYLER / KURUMLAR YASAL ALTYAPI SERTİFİKA HİZMET SAĞLAYICILARI Y a z ı l ı m v e D o n a n ı m Ü r ü n l e r i TEKNOLOJİ ANLAŞMA ASDLFKJSDLK FSDFKJSDLKJ FSLDKJFSDKF JSLDFSDLFSK DFHSKDFHSDK FHSKDJFHSDK IUTYITYTIYIYI YIYIYTIYITYIT YRITYIUTYIET YEIRTYT POLİTİKA ARAÇLARI ve ANLAŞMALAR Sİ ve SUE Kullanıcı Anlaşmaları Güvenen Taraf Anlaşmaları Sertifika İptal Listeleri SÜREÇLER Anahtar Yönetimi Sertifika Dağıtımı Sertifika İptali Diğer Kayıtlar İsim Unvan SERTİFİKA MEKANİZMALAR Sayısal İmzalama Şifreleme Mesaj Gönderme KRİPTOGRAFİK ALGORİTMALAR Tek Anahtarlı Yöntemler Çift Anahtarlı Yöntemler Özet Yöntemleri 3$½{2 STANDARTLAR ISO ITU ANSI RSA Labs NIST ETSI Genel İşleyiş

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. e-İmza Mevzuatı 5070 Sayılı EİK, 23 Ocak 2004 yayım tarihinden 6 ay sonra, 23 Temmuz 2004 tarihinde yürürlüğe girmiştir Yönetmelikler ve Tebliğ, 6 Ocak 2005 tarihinde TK tarafından yayımlanmıştır Zorunlu Sertifika Mali Sorumluluk Sigortası ile ilgili yönetmelik 26 Ağustos 2005, genel şartlar, tarife ve talimatlar 27 Ocak 2005 tarihinde yayımlanmıştır

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Yasal açıdan e-imza Güvenli elektronik imza, elle atılan imza ile aynı hukukî sonucu doğurur. Kanunların resmî şekle veya özel bir merasime tabi tuttuğu hukukî işlemler ile teminat sözleşmeleri güvenli elektronik imza ile gerçekleştirilemez. (5070 sayılı Elektronik İmza Kanunu)

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. e-İmza ile yapılabilecek işlemler Kurum/şirket içi veya dışı resmi yazışmalar Vergi ve prim ödemeleri - E-beyanname, e-bildirge Resmi başvuru işlemleri - ÖSS, KPDS, pasaport başvurusu, bilgi edinme,vb. Sosyal güvenlik uygulamaları - Sağlık kartı, hastane ve eczane otomasyonu Bankacılık uygulamaları - İnternet bankacılığı, on-line ödemeler (havale, EFT) Finans/Borsa İşlemleri Elektronik ticaret - Her türlü alım-satım işlemi

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. TÜRKTRUST 16 Temmuz 2005 tarihinde Telekomünikasyon Kurumu’ndan YETKİ almış ve faaliyete başlamıştır. 12 trilyon TL sermayeyle kurulmuştur. Elektronik Sertifika Üretim/Yönetim Yazılımı’nı kendi geliştirmiş ülkemizin ilk özel ESHS’dir. Dünya çapında, uluslar arası standartlarda hizmet verebilecek bir ESHS olarak planlanmıştır. TSK ELELE VAKFI’nın bir kuruluşudur.

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. TÜRKTRUST BS-7799 Bilgi Güvenliği Yönetim Standardı Belgesi’ni alan ülkemizin ilk özel ESHS’dır. ISO 9001 Kalite Yönetim Sistemi Belgesi ve 5188 Sayılı Kanun kapsamında Özel Güvenlik Birimi İzin Belgesi sahibidir. İstanbul’da Bölge Ofisi ve ODTÜ-Teknokent’de AR-GE Ofisi bulunmaktadır. Ankara’daki merkez binasında ESHS alanındaki tüm hizmetleri eksiksiz bir şekilde yürütmektedir.

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. TÜRKTRUST

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. TÜRKTRUST Vizyonu Türkiye’nin ulusal ve uluslararası düzeyde öncü ESHS olarak; Güvenli ve nitelikli hizmet vermek, e-dönüşüm uygulamalarına e-imza ve güvenlik teknolojileri ile destek olmak, Her bireyi, kurumu ve kuruluşu elektronik sertifika sahibi yapmaktır

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. TÜRKTRUST HİZMETLERİMİZ  Nitelikli elektronik sertifika  E-imza oluşturma ve doğrulama araçları  Zaman damgası  Sunucu (SSL) sertifikası  Basit (Deneme) kişisel sertifikalar  Kurumsal AAA (PKI) Çözümleri  Bilişim güvenliği çözümleri  Eğitim ve danışmanlık

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. TÜRKTRUST Nitelikli Elektronik Sertifika (NES) almak için başvuru yöntemleri;  NOTER  TÜRKTRUST Ofisleri (İstanbul, Ankara)  Yerinde

© 2005 TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. Tüm hakları saklıdır. Değerlendirme e-imza, lektronik ticaretin gelişmesi, e-devlet uygulamalarının yaygınlaşması, ulusal ekonomide verimliliğin ve katma değerin artması için önemli bir role sahiptir. e-imza, hız, kolaylık, esneklik ve tasarruf sağlar. e-imza, elektronik işlemleri güvenli ve yasal geçerli yapabilmemizi sağlayan tek araçtır. e-imza, e-dönüşümün anahtarıdır.

Yüksel SAMAST Genel Müdür 10 Aralık 2005 X. Türkiye’de İnternet Konferansı E-İMZA PANELİ