Blogger Erişim Sorunu ve Çözümü

Son zamanlarda bu site gibi özel domain adı olan blogger/blogspot blogları engellenmeye başlandı. Öğrendiğime göre bunun sebebi Digiturk'un maç yayını yapan blogların engellenmesi için açtığı kapatma davalarıymış. Bu engelleme için önce geçen ay ghs.google.com engellendi. Bu yasak, alternatif IP'ler kullanılarak aşıldı. Dün de bu alternatif IP'ler bloklandı ama hemen yeni bir IP bulundu: 74.125.93.121

Sorun yaşayan site sahiplerinin çözüm için DNS kayıtlarında Host A recordlarını bu IP adresiyle güncellemeleri gerekiyor.

Öte yandan birkaç illegal site yüzünden bizim gibi masum binlerce sitenin yasaklanması hiç hoş bir durum değil. Daha önce de söylediğim gibi engellemeler DNS veya IP ile değil URL filtreleme yöntemiyle yapılmalı.

Serdar Kocaoğlu
29.12.2010

İlgili yazılar:
Blogger Yasağı ve Bloglara Erişim Yöntemi
DNS Ayarları ve Yasaklanan Sitelere Erişim..

Yazının devamı..

IPv6'ya Geçiş için Başbakanlık Genelgesi

Kamu kurumlarının IPv6'ya geçişine ilişkin başbakanlık genelgesi yayınlandı. Genelgeye göre bütün kamu kurum ve kuruluşları en geç 31 Ağustos 2013 tarihine kadar internet üzerinden verdikleri kamuya açık tüm hizmetleri IPv6’yı destekler hale getirecekler.

Genelgeye şu linkten ulaşabilirsiniz: Kamu Kurum ve Kuruluşları için IPv6’ya Geçiş Planı

IPv6 (Internet Protokol Version 6) Nedir?

IPv6, 32 bitlik bir adres yapısına sahip olan IPv4'ün adreslemede artık yetersiz kalması ve ciddi sıkıntılar meydana getirmesi üzerine geliştirilmiştir.

IPv4 tasarlandığında internetin bu kadar gelişeceği hesap edilmemişti. İnternet tahmin edilenin çok ötesinde gelişip büyüdükçe ve IP adresleri tükenmeye başlayınca 128 bitlik adres yapısı olan IPv6'ya geçilmesi kaçınılmaz hale geldi. Bu defa gelecek fazlasıyla düşünülerek sınırsız denebilecek bir adres aralığı tasarlandı. IPv4'teki IP adresi sayısı 2 üzeri 32 iken IPv6'daki IP adresi sayısı 2 üzeri 128.

IPv4'de çok trafiğe neden olan paket başlıkları IPv6'da kaldırılarak hız artışı sağlanmakta ve yeni eklenen şifreleme sistemleriyle de iletişim daha güvenli hale getirilmektedir. Uçlar arasında kriptolu iletişimi sağlayan AH ve ESP başlıkları tüm veri iletimini kriptolayan IPSec protokolünü desteklemek amaçlı kullanılmıştır.

IPv4'ün, QoS eklentisiyle idare ettiği ama tam olarak destekleyemediği görüntü ve ses iletimi sorunlarının IPv6 ile çözülmesi düşünülmektedir. IPv6 ile görüntü ve ses paketlerine "öncelikli paket" ibaresi atanarak bu paketlere internet trafiğinde öncelik sağlanabilmektedir.

İlgili Yazılar:
Public ve Private IP Adresi Nedir? NAT Nedir?
Kamuda Lisanslı Yazılım Kullanılması için Başbakan'dan Genelge

Yazının devamı..

İnternetten film ve mp3 indirmek engellenebilir mi?

Haberin aslı, yazının sonunda var ama özü şöyle:
Kültür ve Turizm Bakanlığı, sanal korsanlığı önleyeceğini iddia ettiği bir çalışma başlatmış. Çalışmayla korsan film indirenler tesbit edilip cezalandırılacakmış.

Bunu nasıl başaracaklarını pek anlamadım. Sanırım onlar da pek anlamamış olacaklar ki, %70'ini engelleriz gibisinden bişeyler söylemişler. Ortak kanı şu ki; bunun önüne geçmek mümkün değil ama asıl maksat, internet kullanıcılarını korkutarak caydırmak.

Bu yasayla muhtemelen sıradan kullanıcılar kendilerini bir film veya mp3 için riske atmak istemeyeceklerdir. Bu da zaten %70'i rahat geçer diye düşünülebilir. Burada asıl yapılmak istenen, bunların suç olduğunun, cezası olduğunun topluma anlatılması. Yoksa milyonlarca internet kullanıcısının hangi birini nasıl kontrol edeceksiniz? Kimin, ne indirdiğini, nereden bileceksiniz? Bu konuda internet sağlayıcılara güveniliyorsa, onlar bu işi nasıl yapacaklar, onların bu işi nasıl yapacaklarını kim nasıl denetleyecek? Servis sağlayıcıların teknik altyapısı bu iş için yeterli midir? Yeterliyse youtube gibi yasaklanan sitelere erişim neden engellenememektedir? TürkTelekomun bunları yapacak kapasite ve gücü varsa neden önce mesela spam mailleri önlemeye çalışmıyor? Diyelim ki, herkesi takip ettiler, kaçak filmi proxy ile indirenler nasıl tesbit edilecek? Aynı IP adresini kullanan yüzlerce kişiden (örneğin büyük bir firma veya kurumda çalışanlar) hangisinin film indirdiği nasıl anlaşılacak? İnsanların evlerinden girdikleri web sitelerini, indirdikleri dosyaları takip etmek suç değil midir? Özel hayatın gizliliğine, mahremiyete aykırı değil midir? Kanun buna izin verir mi bilemem ama verirse başka kanunlarla çelişir.

Ayrıca neden film veya mp3'e öncelik verilmektedir de korsan yazılım için bişey yapılmamaktadır? Ben bugüne kadar üzerinde hiç kaçak yazılım bulunmayan bir kişisel bilgisayara rastlamadım. Önce buna bir tedbir almak gerekmez mi, madem bu işe başlanmışken? Herşey kaçak işletim sistemiyle başlıyor, gerisi geliyor demek ki :)

Serdar Kocaoğlu
MCTS, MCSE:S
01.03.2009

Haberin aslı:

Kültür ve Turizm Bakanlığı, sanal korsanlığın önüne geçecek önemli bir çalışma başlattı.

Telif Hakları ve Sinema Genel Müdürü Doç. Dr. Abdurrahman Çelik, yasal eksikliklerin tamamlanmasının ardından sektör için devrim niteliği taşıyacak projeyi anlattı:
“Alacağımız önlemle internet ortamındaki korsan indirimin yüzde 70 oranında önüne geçmeyi hedefliyoruz. Bu konuda ABD ve Avrupa’da uygulanan yöntemler var. Doğrudan internet ortamında MP3 ve video formatındaki dosyaların paylaşımı kontrol ediliyor.

Sistem yasal olmayan indirimleri otomatik olarak seçiyor. İlkinde doğrudan kanunla ilgili madde yazılarak, ’yasal bir indirim yapmadınız’ uyarısı yapılıyor. Korsan indirim devam ederse yasal işlem başlatılıyor. Yasada bir ceza maddesi olmadığı için bu işlemi yapanlara nasıl bir ceza verileceği henüz net değil. Ancak yapılacak yasal düzenlemeyle para cezası, işin yoğunluğuna göre de hapis cezası verilmesi hedefleniyor. Adalet Bakanlığı ve Telekomunikasyon Üst Kurulu’yla yapılacak görüşmelerin ardından bu netlik kazanacak. Yasal düzenlemenin sağlanmasının ardından proje hayata geçecek.”

SİSTEM NASIL İŞLİYOR?

Bakanlığın teknik altyapısını oturttuğu, hukuki altyapısı için de düğmeye bastığı sistem şöyle işleyecek: Kullanıcıların bilgisayarlarından hangi şarkı, film veya elektronik kitabı indirdikleri dakika dakika tespit edilecek. Sisteme korsan olarak düşecek olan kullanıcıların IP numaraları belirlenecek. Sonra hangi kullanıcının hangi eseri indirdiği görülecek. Ardından indirimi yapan ve IP numarası tespit edilen kullanıcıya bakanlık tarafından yasal uyarı gönderilerek korsan indirim yapılmaması yönünde uyarılacak. Aynı IP’den korsan indirimin sürmesi halinde ise para cezası, indirim yoğunluğuna göre de hapis cezası uygulanacak.

sanal korsanlık, kaçak, korsan film, mp3, video, müzik, yazılım, indirmek, download, yasaklamak, kanun, yasa, suç, ceza, web, internet, servis sağlayıcı, türktelekom, ip, IP adresi, proxy, site, telif hakları, teknik, hukuk, altyapı, kullanıcı, sistem

Yazının devamı..

112-Acil Yerinizi Biliyor..

Başınız derde girerse veya herhangi bir kazaya, belaya maruz kalırsanız ve nerede olduğunuzun bilinmesini isterseniz yapmanız gereken ilk şey 112'yi aramak. Çünkü Kasım 2008'de çıkan Elektronik Haberleşme Kanunu'na göre 110, 112, 155, 156 gibi acil yardım hatlarını arayanların yerleri, ilgili telekom operatörü tarafından tesbit edilerek ilgili kuruluşlara bildirilmek zorunda. Bu yasaya göre örneğin 112'yi cep telefonunuzdan aradığınızda GSM operatörünüz yerinizi GPS teknolojisi ile anında tesbit edip ilgili kuruluşlara bildiriyor. Yani 112'yi aradığınızda nerede olduğunuzu uzun uzun anlatmanıza gerek kalmıyor.

5809 sayılı Elektronik Haberleşme Kanununun 31. Maddesinin son fıkrası şöyle diyor:
(4) "Ankesörlü telefon hizmeti kullanıcıları da dahil olmak üzere, kamu kullanımına açık telefon hizmetinden faydalanan kullanıcılar, herhangi bir ücret ödemeden 112 ve Kurumca belirlenen diğer acil çağrı numaralarını çevirerek acil çağrıya cevap vermekle yetkili kuruluşa erişme hakkına sahiptir. Kurumca belirlenen esaslar çerçevesinde işletmeciler ücretsiz olarak, kullanıcıların 112 acil çağrı numarasına ve Kurumca belirlenebilecek diğer acil çağrı numaralarına sunmakta oldukları hizmetin kapsam ve kalitesine uygun olarak erişimlerini sağlamak ve acil yardım talebinde bulunan kullanıcıların yerlerini tespit ederek ilgili kuruluşa bildirmekle yükümlüdür."

İlgili Yazılar:
Elektronik Haberleşme Kanunu yürürlüğe girdi
Elektronik Haberleşme Güvenliği Yönetmeliği yayınlandı
Cep Telefonu Nasıl Dinlenir?
gps, yer belirleme, telefon, 112 acil yardım, 110 Yangın İhbar, 112 Sıhhi İmdat, 155 Polis İmdat, 156 Jandarma İmdat, gsm, cep telefonu, arayanın yeri nasıl belirlenir, elektronik haberleşme kanunu

Yazının devamı..

Elektronik Haberleşme Kanunu yürürlüğe girdi

5809 sayılı Elektronik Haberleşme Kanunu, Cumhurbaşkanı tarafından 10.11.2008 tarihinde onaylanarak yürürlüğe girdi.

2005 yılından beri hazırlanmakta olan ve ağustos başında TBMM'den geçtiği halde, Cumhurbaşkanı Abdullah Gül tarafından veto edilen kanun taslağı, bu sefer hem TBMM'den, hem de Cumhurbaşkanı onayından yıldırım hızıyla geçti ve aynı gün Resmi Gazete'nin mükerrer sayısında yayınlanarak 5809 sayı ile kanunlaşmış oldu.

Kanun bu haliyle sektörün uzmanlarını tam olarak memnun etmese de, 1920'lerden kalma 406 sayılı kanuna ve sonrasında 4502 sayılı kanuna yapılan yamalarla idare edilen telekomünikasyon sektörüne bir bütünlük getireceği için heyecanla bekleniyordu.

Kanunla getirilen değişiklikler:

Telekomünikasyon Kurumu’nun adı “Elektronik Haberleşme Kurumu” olarak değiştiriliyor.

Elektronik Haberleşme ve Rekabet Kurumları, elektronik haberleşme sektöründe rekabete aykırı davranış ve uygulamalarda işbirliği yapacaklar. Doğrudan veya şikayet üzerine inceleme, soruşturma ve rekabetin tesisine yönelik gerekli tedbirleri alma konularında EHK ve birleşme ve devralmalarda RK yetkili olacak.

Kıt kaynak olmayan elektronik haberleşme hizmetlerinde, usulüne uygun başvuruya 30 gün içinde kullanım hakkı verilecek. Gerekli durumda işletmeci sayısı kısıtlanabilecek. Kullanım hakları süresi 25 yılı geçmeyecek.

Numara taşınabilirliği konusundaki sorun kanunla aşılıyor. Kanuna göre, elektronik haberleşme hizmetleri ile ilgili olarak abone veya kullanıcılara tahsis edilen frekans, numara ve hat kullanımı ile internet alan adları gibi intifa ve kullanım hakları ile işletmecilerin yetkilendirmeleri hiçbir şekilde haczedilemeyecek.

Elektronik haberleşme hizmetlerinin sunulmasında ilgili mevzuat ve düzenlemelere aykırı olmayacak, fiyat tarifelerinde işletmeciler serbestçe belirleyici olabilecekler. Etkin piyasa gücü olan firmaların uygulama usül ve esaslarını kurum belirleyecek.

Elektronik Haberleşme Kurumu, ulusal numaralandırma planı hazırlayacak ve plana uygun olarak numara tahsis işlemlerini yapacak.

Elektronik Haberleşme Kurumu, telsiz yayınlarının birbiri üzerinde elektromanyetik girişim oluşturmaması ve frekans bantlarının etkin ve verimli kullanılmasını sağlamak amacıyla uluslararası frekans planlaması, tahsisi, uluslararası koordinasyonu ile tescilleri yapacak.

İşletmeciler, kayıp, kaçak veya çalıntı cihazlara, elektronik haberleşme hizmeti veremeyecekler. Kurumun, Merkezi Mobil Cihaz Kimlik Tanımı Veri Tabanı Sisteminde (MCKS) kayıtlıyken, elektronik kimlik bilgisi kopyalanmış gerçek cihazlar sadece eşleştirme yapılan abone numaralarıyla kullanılabilecek.

Resmi Gazete'de Yayınlanan 5809 Sayılı Kanun

Yazının devamı..

Elektronik Haberleşme Güvenliği Yönetmeliği yayınlandı

Elektronik Haberleşme Güvenliği Yönetmeliği Resmi Gazetede Yayınlanarak Yürürlüğe Girdi - 20.07.2008

GSM operatörleri, ISS, Hosting firmaları ya da UMTH operatörleri benzeri haberleşme işletmecilerinin fiziksel alan, veri, donanım, yazılım ve personel güvenliği konularındaki tedbirlere yönelik yönetmelik Resmi Gazete'de yayınlanarak yürürlülüğe girdi.

Elektronik Haberleşme güvenliğine yönelik önemli bir yönetmelik yayınlandı. "İşletmecilerin fiziksel alan güvenliği, veri güvenliği, donanım-yazılım güvenliği ve güvenilirliği ile personel güvenilirliğinin sağlanması için tehditlerden ve/veya zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya azaltılmasına ilişkin olarak alacakları tedbirlere yönelik usul ve esasları kapsar." şeklinde özetlenen Yönetmelik, 20 Temmuz'da Resmi Gazete'de yayınlanarak yürürlülüğe girdi.

Yönetmelik, "Kişisel bilgilerin işlenmesi ve gizliliğinin korunması" konusundaki kanunu kapsam dışında bırakıyor.

Yönetmelikte Elektronik haberleşmeye ilişkin başlıca tehditler ve zafiyetler ayrı ayrı tanımlanıyor.

Tehditler; Yetkisiz olarak veya yetki aşımıyla güvenlik hassasiyetli alana girilmesi, Yetkisiz olarak veya yetki aşımıyla silme, ekleme, değiştirme, geciktirme, başka bir ortama kaydetme veya ifşa etme yoluyla veri gizliliğinin, bütünlüğünün ve/veya devamlılığının bozulması, Donanım-yazılım bileşenlerinin ulusal düzenleme ile ulusal ve/veya uluslararası standartlar uyarınca belirlenen gereklilikleri yerine getirmesinin kısmen veya tamamen engellenmesi, Deprem, sel, su baskını, yangın gibi doğal afetler ile grev ve lokavt hali, Kullanıcıyı yanıltarak doğru tarafla elektronik haberleşmede bulunduğu izleniminin verilmesi, Elektronik haberleşmenin yasal olmayan bir şekilde izlenmesi ve/veya dinlenmesi, Doğru olmayan bir bilgi üretilerek bu bilginin başka bir taraftan alındığının iddia edilmesi veya başka bir tarafa gönderilmesi, Elektronik haberleşme altyapısının kısmen veya tamamen hizmet veremez hale getirilmesi veya altyapıya ait kaynakların, hizmet sunumunu aksatacak şekilde tüketilmesidir şeklinde tanımlanırken, Zafiyetler ise ; Gelecekte gerçekleşmesi muhtemel tehditlerin öngörülememesi, Bir sistem veya protokolün tasarımında yapılan yanlışlıklar, Bir sistem veya protokolün kurulumu sırasında oluşan problemler, Geliştiricilerin hataları, Uygulayıcıların hataları, Sistemin işletimi sırasında oluşan uygunsuzluklar veya yetersizliklerdir şeklinde belirtiliyor.

Yönetmeliğe göre işletmeciler, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlü hale geliyor. Ayrıca işletmecilerin elektronik haberleşme güvenliği kapsamında, tehdit ve zafiyetlere karşı yılda en az bir kez risk analizi yapmaları gerekecek. Rapor Telekomünikasyon Kurumuna gönderilecek.

Yönetmeliğin ihlali durumunda; idari para ceza oranları uygulanabilecek. Bu ceza bir önceki takvim yılındaki cirosunun % 1 (yüzde bir)’ine kadar olabilecek.

Yönetmelik için tıklayın..

keywords: bilgi güvenliği, bütünlük, devamlılık, donanım, elektronik, gizlilik, güvenlik, haberleşme, iso, iec, 27001, telekomünikasyon, yazılım, yetki, yönetmelik, resmi gazete

Yazının devamı..

Kamuda Lisanslı Yazılım Kullanılması için Başbakan'dan Genelge

Kamu Kurumlarında Lisanslı Yazılım Kullanılması Hakkında Başbakanlık Genelgesi
(Genelge 2008/17 - 16.07.2008)

Bilindiği üzere; kamu kurum ve kuruluşlarında bilgisayar teknolojisinin hızla gelişmesi sonucu, kamu hizmetlerinin görülmesinde, yaygın olarak kullanılan bilgisayar programları, 5846 sayılı Fikir ve Sanat Eserleri Kanunu kapsamında, ilim ve edebiyat eseri olarak koruma altındadır.

Birçok ülkenin telif hakları sistemine paralel şekilde, diğer eser türlerinde olduğu gibi bilgisayar programlarının da, lisanssız kopyalarının kullanılması, hak sahibinin izni olmaksızın çoğaltılması, değiştirilmesi ve dağıtılması fiillerine karşı 5846 sayılı Fikir ve Sanat Eserleri Kanunu’nda cezai ve hukuki yaptırımlar öngörülmüştür.

Bu sebeple, Fikir ve Sanat Eserleri Kanunu hükümleri çerçevesinde, fikri hakların korunması açısından, kamu kurum ve kuruluşlarında, bilgisayar programlarının edinilmesi, kullanılması, yönetimi ve alınacak tedbirlere yönelik esasların tespiti ile ilgili düzenlemelerin yapılması gerekli görülmüştür.

1. Kamu Kuruluşlarında Bilgisayar Programı Edinilmesi

Bütçeleme: Bilgisayar programlarının satın alınmasından önce yapılacak bütçelemede, bilgisayar programları, bilgisayar donanımından ayrı kalem olarak belirtilmelidir. Bütçeleme yapılırken edinilecek bilgisayar programlarının lisanslama esasları dikkate alınmalı, ihtiyaç bulunan lisans sayısı kadar program bütçede yer almalıdır.

Şartname: Bilgisayar programı satın alımının söz konusu olduğu şartnamelerde, satın alınacak bilgisayar programları ayrı kalem olarak yer almalı ve sağlanacak bilgisayar programlarının lisanslı olması gerektiği ve lisans miktarları mutlaka belirtilmelidir.

Teslimat: Satın alma işlemi sonucunda teslimatı yapılan bilgisayar programlarının teslim, geçici ve kati kabul işlemleri sırasında; lisanslı olup olmadığı kontrol edilmeli ve sadece lisanslı programların kabulleri yapılmalıdır.

2. Yazılım Yönetimi ve Denetimi

Yazılım yönetimi ve denetimi; kamu kurum ve kuruluşlarının bünyelerindeki yazılımların, 5846 sayılı Kanun ve lisans anlaşmalarına uygun olarak bulundurulması ve kullanılmasının sağlanması maksadıyla kuruluş içinde yapılması gerekli işlem ve denetim etkinliklerini kapsamaktadır.

Söz konusu etkinlikler kamu kurum ve kuruluşunda bilgi işlem ünitesi veya bu işten sorumlu birimin koordinasyonunda, hukuk müşavirliği ve teftiş veya denetiminden sorumlu kurul veya birimlerin ayrı ayrı veya ortak çalışması sonucu yerine getirilecektir.

Lisanssız yazılımlarının bulundurulması ve kullanımının önlenmesi maksadıyla kamu kurum ve kuruluşları;

- Lisans hakları kamu kurum ve kuruluşuna ait olmayan tüm programların, bilgisayar ve medyalardan silinmesi ve lisanslı olanların temin edilmesi,

- Lisans sicili oluşturularak kurumun sahip olduğu yazılım ve lisansların takip edilmesi,

- İhale neticesi yüklenici firma tarafından bilgisayar ve yazılımların tesliminde, yazılımların orijinal ve lisanslı olduğunun ve belgelerinin şartnameye uygunluğunun kontrol edilmesi,

- Kullanılan yazılımların yasal olarak kurum tarafından sağlanmış orijinaller olup olmadığının ve yazılım siciline uygunluğunun belirli aralıklarla denetlenmesi,

- Kamu kurum ve kuruluşunda; bilgi işlem ünitesi veya bu işten sorumlu birimde çalışanların bu genelgenin gereklerine göre işlem tesis etmelerinin sağlanması,

hususlarında gereken tedbirleri alacaklardır.

6/2/1998 tarihli ve 1998/10 sayılı Genelge yürürlükten kaldırılmıştır.

Bilgilerini ve gereğini rica ederim.

Recep Tayyip ERDOĞAN
Başbakan

İlgili Yazılar:
IPv6'ya Geçiş için Başbakanlık Genelgesi
5651 Sayılı Kanun Hakkında
keywords: başbakanlık, bilgisayar, bilgisayar programı, genelge, kamu, kanun, kopya, kurum, lisans, lisanslı, program, telif, yazılım, şartname, resmi gazete, 5846, sanat

Yazının devamı..

Elektronik İmza nedir? Kanundaki yeri, özellikleri, kullanım alanları ..

Elektronik İmza

(Not: Dijital İmza olarak da bilinir ama doğrusu Elektronik İmza şeklinde kullanılmasıdır..)

5070 sayılı Elektronik İmza Kanunu’nda yer alan şekliyle elektronik imza; başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi tanımlar. Elektronik imza; bir bilginin üçüncü tarafların erişimine kapalı bir ortamda, bütünlüğü bozulmadan (bilgiyi ileten tarafın oluşturduğu orijinal haliyle) ve tarafların kimlikleri doğrulanarak iletildiğini elektronik veya benzeri araçlarla garanti eden harf, karakter veya sembollerden oluşur.

Elektronik imza kavramı çok genel bir tanım olup kişilerin elle atmış olduğu imzaların tarayıcıdan geçirilmiş hali olan sayısallaştırılmış imzaları, kişilerin göz retinası, parmak izi ya da ses gibi biyolojik özelliklerinin kaydedilerek kullanıldığı biyometrik önlemleri içeren elektronik imzaları veya bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları içermektedir.

Sayısal imza, imzalanan metine göre farklılık gösterir ve içeriğin matematiksel fonksiyonlardan geçirilerek eşsiz olduğu düşünülen bir değer bulunması sureti ile elde edilir. Yani kişilerin, elle atılan imzada olduğu şekilde tek imzası yoktur; bunun yerine imzalamada kullanılan anahtarları vardır.

5070 sayılı Elektronik İmza Kanunu’nda ve bu metinde geçen “elektronik imza” kavramı sayısal imzayı işaret etmektedir.

Elektronik Sertifika ve Nitelikli Elektronik Sertifika

Elektronik sertifika, elektronik imzanın doğrulanması için gerekli olan veriyi ve imza sahibinin kimlik bilgilerini içeren elektronik kaydı ifade etmektedir. Elektronik sertifikalar, kanuna uygun olarak faaliyette bulunacak elektronik sertifika hizmet sağlayıcılarından belirli bir ücret karşılığında temin edilecektir.

Elektronik sertifika hizmet sağlayıcısının sertifika üzerindeki elektronik imzası, sertifikanın bütünlüğünü ve doğruluğunu garanti edecektir. Elektronik sertifikalar, atılan imzanın doğruluğunun teyit edilebilmesi için gereklidir.

Nitelikli elektronik sertifikalar; Kanunun 9 uncu maddesinde belirtildiği şekilde “nitelikli sertifika” olduğuna dair bir ibareyi, sertifika hizmet sağlayıcısının kimlik bilgilerini ve kurulduğu ülke adını, imza sahibinin teşhis edilebileceği kimlik bilgilerini, sertifikanın geçerli olduğu süreyi ve sertifikanın seri numarasını barındıran elektronik sertifikalardır.


Elektronik İmzanın Özellikleri

Elektronik imza kullanıcılarına aşağıda belirtilen üç temel özelliği sağlamaktadır:

Veri Bütünlüğü: Verinin izinsiz ya da yanlışlıkla değiştirilmesini, silinmesini ve veriye ekleme yapılmasını önlemek,

Kimlik Doğrulama ve Onaylama: Mesajın ve mesaj sahibinin iletiminin geçerliliğini sağlamak,

İnkar Edilemezlik: Bireylerin elektronik ortamda gerçekleştirdikleri işlemleri inkar etmelerini önlemek.


Elektronik İmza Oluşturma Araçları

İmza oluşturma araçları; elektronik imza oluşturmak üzere kullanılan yazılım veya donanımı ifade etmektedir. 5070 sayılı Kanun’da “güvenli” elektronik imza oluşturma araçlarına değinilmiş ve aşağıdaki özelliklerin sağlanması şart koşulmuştur:


Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmaması,

Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiç bir biçimde çıkarılamamasını ve gizliliğini sağlaması,

Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin, üçüncü kişilerce elde edilememesi, kullanılamaması ve elektronik imzanın sahteciliğe karşı koruması,

İmzalanacak verinin imza sahibi dışında değiştirilememesi ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesi.


Kullanılacak donanım/yazilimin özellikleri ve standartları Kurum tarafından yapılacak düzenlemelerle belirlenecektir


Elektronik İmzanın Hukuki Sonuçları

Elektronik İmza Kanunu’nda; güvenli elektronik imza, elle atılan imzaya eşdeğer kabul edilmiş ve elektronik imza ile oluşturulmuş verilerin senet hükmünde olacağı belirtilmiştir. Ancak kanunların resmi şekle veya özel bir merasime tabi tuttuğu hukuki işlemler ile teminat sözleşmelerinin güvenli elektronik imza ile gerçekleştirilemeyeceği hükme bağlanmıştır. Diğer bir deyişle, kanunların merasimi ya da üçüncü tarafların şahitliğini gerek gördüğü emlak alım satımı, veraset ve intikal, evlenme gibi işlemler elektronik imza ile gerçekleştirilememektedir.

Elektronik İmzanın Uygulama Alanları

Elektronik imzanın; bankalar ve finans kurumları, şube ağına sahip sigorta şirketleri, kamu kurum ve kuruluşları, holdingler ve diğer büyük şirketler, üniversiteler, yüksek iletişim ve bilgi güvenliği gereksinimi olan organizasyonlar başta olmak üzere orta ve uzun vadede yaygın bir uygulama alanı bulabileceği değerlendirilmektedir. Gerek kamusal gerekse ticari alandaki muhtemel elektronik imza uygulamaları arasında aşağıdakiler sayılabilir:

Kamusal Alandaki Uygulamalar

Her türlü başvurular (ÖSS, KPSS, LES, pasaport vb)
Kurumlararası iletişim (Emniyet Müdürlükleri, Nüfus ve Vatandaşlık İşleri Müdürlükleri vb)
Sosyal güvenlik uygulamaları
Sağlık uygulamaları (Sağlık personeli - hastaneler - eczaneler)
Vergi ödemeleri
Elektronik oy verme işlemleri


Ticari Alandaki Uygulamalar

İnternet bankacılığı
Sigortacılık işlemleri
Kağıtsız ofisler
e-Sözleşmeler
e-Sipariş


5070 Sayılı Elektronik İmza Kanunu'nun Uygulanmasına Yönelik Faaliyetler

Adalet Bakanlığı koordinasyonunda hazırlanarak 23 Ocak 2004 tarih ve 25355 sayılı Resmi Gazete’de yayımlanmış olan “Elektronik İmzanın Düzenlenmesi Hakkında Kanun”, yayımı tarihinden altı ay sonra yürürlüğe girecektir. Kanunun uygulanmasına yönelik ikincil düzenlemeler ise, Kanunun yürürlük tarihinden itibaren altı ay içerisinde yani 23 Ocak 2005 tarihine kadar Telekomünikasyon Kurumu tarafından yapılacaktır.

Kurum’a yapacakları bildirimi müteakip 2 ay sonra faaliyete geçecek olan sertifika hizmet sağlayıcılarının faaliyet ve işlemlerinin Kanun ve ikincil düzenlemelere uygunluğunu yine Telekomünikasyon Kurumu denetleyecektir.


Sıkça Sorulan Sorular


1) Elektronik İmza Nedir?

5070 sayılı Elektronik İmza Kanunu’nda yer alan şekliyle elektronik imza; başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi tanımlar. Elektronik imza; bir bilginin üçüncü tarafların erişimine kapalı bir ortamda, bütünlüğü bozulmadan (bilgiyi ileten tarafın oluşturduğu orijinal haliyle) ve tarafların kimlikleri doğrulanarak iletildiğini elektronik veya benzeri araçlarla garanti eden harf, karakter veya sembollerden oluşur.

Elektronik imza kavramı çok genel bir tanım olup kişilerin elle atmış olduğu imzaların tarayıcıdan geçirilmiş hali olan sayısallaştırılmış imzaları, kişilerin göz retinası, parmak izi ya da ses gibi biyolojik özelliklerinin kaydedilerek kullanıldığı biyometrik önlemleri içeren elektronik imzaları veya bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları içermektedir.

Sayısal imza, imzalanan metine göre farklılık gösterir ve içeriğin matematiksel fonksiyonlardan geçirilerek eşsiz olduğu düşünülen bir değer bulunması sureti ile elde edilir. Yani kişilerin, elle atılan imzada olduğu şekilde tek imzası yoktur; bunun yerine imzalamada kullanılan anahtarları vardır.

5070 sayılı Elektronik İmza Kanunu’nda ve bu metinde geçen “elektronik imza” kavramı sayısal imzayı işaret etmektedir.


2) Bir çok farklı terim duyuyoruz; dijital imza, elektronik imza, güvenli elektronik imza... Bunlar arasındaki fark nedir?

Elektronik imza kavramı çok genel, üst bir tanımdır. Kişilerin elle atmış olduğu imzaların tarayıcıdan geçirilmiş hali olan sayısallaştırılmış imzaları, kişilerin göz retinası, parmak izi ya da ses gibi biyolojik özelliklerinin kaydedilerek kullanıldığı biyometrik önlemleri içeren elektronik imzaları veya bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları içerir. Dijital imza, diğer bir deyişle sayısal imza, asimetrik şifreleme tekniğine dayanır. İçeriğin matematiksel fonksiyonlardan geçirilerek eşsiz olduğu düşünülen bir değer bulunması sureti ile elde edilir. Güvenli elektronik imza ise E-imza Kanununa göre elle atılan imza ile aynı hukuki sonucu doğurmaktadır. Güvenli elektronik imza nitelikli elektronik sertifikaya dayanarak ve güvenli elektronik imza oluşturma aracı ile oluşturulabilir.


3) Elektronik imza nasıl kullanılır?

Elektronik imza, imza oluşturma araçları olarak ifade edilen; elektronik imza oluşturmak üzere kullanılan yazılım ve akıllı kart veya token olarak adlandırılan donanımlar vasıtasıyla oluşturulur. Güvenli Elektronik İmza ancak Nitelikli Elektronik Sertifika ile sağlanabilir. Nitelikli Elektronik Sertifika almak için başvurulabilecek kuruluşlar Elektronik Sertifika Hizmet Sağlayıcılarıdır.


4) Elektronik imza ile ilgili sahtekarlık ve izinsiz kullanım durumları hakkında kısaca bilgi verir misiniz? Bunların yaşanması durumunda ne gibi yaptırımlar uygulanacaktır?

Nitelikli elektronik sertifika pazarının oluşmaya başlamasıyla bazı kişilerin yasadışı elektronik sertifika hizmet sağlayıcılığına soyunacağı tahmin edilmektedir.Özellikle pazarın gelişim sürecinde sahte elektronik sertifika oluşturma yoluna başvurabilecek kişilerin ortaya çıkabileceği öngörülmektedir. Ayrıca bir takım kimseler geçerli olarak oluşturulan elektronik sertifikaları taklit veya tahrif etmeye teşebbüs edebileceklerdir. Bu itibarla, tamamen veya kısmen sahte elektronik sertifikaları oluşturan ve elektronik sertifikaları taklit veya tahrif eden ve bu sertifikaları bilerek kullananların bu işlere kalkışırken iki yıldan beş yıla kadar hapis cezasını ve bir milyar liradan aşağı olmamak üzere ağır para cezasını göze almalarını tavsiye ederiz.


5) Elektronik İmza Türk Hukuk Düzenine Neler Getirdi?

Güvenli elektronik imza elle atılan imzaya eşdeğer olup elektronik imza ile oluşturulmuş veriler senet hükmündedir.Ancak kanunların resmi şekle veya özel bir merasime tabi tuttuğu hukuki işlemler ile teminat sözleşmelerinin güvenli elektronik imza ile gerçekleştirilememektedir. Diğer bir deyişle, kanunların merasimi ya da üçüncü tarafların şahitliğini gerek gördüğü emlak alım satımı, veraset ve intikal, evlenme gibi işlemlerde elektronik imza kullanılamamaktadır. Ayrıca güvenli elektronik imza elle atılan imza ile aynı ispat gücünü haiz olacaktır. Usulüne göre güvenli elektronik imza ile oluşturulan elektronik veriler senet hükmünde sayılacak, bu veriler aksi ispat edilinceye kadar kesin delil olarak kabul edilecektir.


6) Telekomünikasyon Kurumunun kamudaki elektronik imza yapılanmasına ilişkin rolü nedir?

Kamu hizmetlerinin daha hızlı sunulması, yaygınlaştırılması, doğru ve yeterli bilgi sağlanması, işletme giderlerinin azaltılmasını da beraberinde getirmiştir. Bu durumdan hareketle, Ülkemizde kullanımı giderek yaygınlaşacak olan elektronik imza uygulamaları kapsamında kamuda gereksiz mükerrer yatırımların önlenmesi, uyumlu, birlikte ve güvenilir bir yapıda çalışılmasını sağlamak maksadıyla, Kurumumuz tarafından yapılan öneri doğrultusunda 10 Haziran 2004 tarihli e-Dönüşüm Türkiye VI. İcra Kurulu Toplantısı’nda kamu çalışanlarının kurumsal sertifikalarının tek merkezden sağlanması yönünde karar alınması sağlanmıştır. Bu karar uyarınca Kamu Sertifikasyon Merkezi yapısının kurulması ve işletilmesi görev ve sorumluluğu TÜBİTAK-UEKAE’ye verilmiştir. Tüm kamu kurum ve kuruluşlarının aynı kurumsal sertifika yapısı altında toplanmasını hedefleyen, sadece kamu kurum ve kuruluşlarına kurumsal sertifikaların oluşturulması ve sertifika yaşam çevriminin yönetilmesini sağlayacak bu yapının gözden geçirilmesi ve uygunluğunun izlenmesi görev ve sorumluluğu ise Telekomünikasyon Kurumu'na aittir.


7) Elektronik imza almak istiyorum, ne yapmalıyım ?

Öncelikle bir elektronik sertifika sahibi olmanız gerekir. Eğer kamu kurumunda çalışıyorsanız ve imzanızı kurum içi ve kamu kurumları arasında işlemlerde kullanacaksanız, sertifikanızı Başbakanlık Genelgesi gereği TÜBİTAK UEKAE’den temin etmelisiniz. Bunun için çalıştığınız kurumun TÜBİTAK UEKAE’ye kurumsal başvuru yapması gerekir. Eğer kamu kurumu çalışanı değilseniz ya da kamu çalışanı olduğunuz halde vatandaş olarak kurum dışındaki işlemlerinizde elektronik imzayı kullanmak istiyorsanız, bu işi yapmaya yetkili özel şirketlerden, yani elektronik sertifika hizmet sağlayıcılardan, sertifikanızı ücret karşılığında almanız gerekiyor. Telekomünikasyon Kurumu nitelikli elektronik sertifika vermeye yetkili olan kuruluşları internet sayfasında duyurmaktadır. Burada önemli olan husus, internet sayfamızda duyurulan hizmet sağlayıcılar dışındaki kuruluşlardan elektronik sertifika temin edilmemesidir.


8) Elektronik sertifika hizmet sağlayıcısı olmak istiyorum, ne yapmalıyım?

Elektronik İmza Kanununa göre; sertifika hizmet sağlayıcısı güvenli ürün ve sistemleri kullanmak, hizmeti güvenilir bir biçimde yürütmek ve sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri almakla ilgili şartları sağladığını ayrıntılı bir biçimde gösterir ve Telekomünikasyon Kurumuna bildirimde bulunur. Bu bildirimde Kurumumuza sunulması gereken bilgi ve belgeler yönetmelikle belirlenmiştir. Telekomünikasyon Kurumu yapılan bildirimi incelemeye alır. Bildirim şartlarını eksiksiz olarak yerine getiren elektronik sertifika hizmet sağlayıcısı, bildirim yaptığı tarihten 2 ay sonra faaliyete geçebilir. Elektronik sertifika hizmet sağlayıcılığı yapmak için gerekli olan altyapı, yüksek güvenlik gereklilikleri nedeniyle oldukça pahalıdır, yurtdışındaki rakamlara göre maliyet 3-8 Milyon Euro arasındadır.


9) Elektronik sertifikaların uygulama alanları nelerdir?

Bütünlük, Kimlik Denetimi ve İnkar edememezlik: Kurumlar mesajların doğru kişi tarafından, içeriği değiştirilmeden ve karşı tarafın inkar edemeyeceği şekilde iletimini sağlamak için sayısal sertifikalar kullanırlar.
Erişim Kontrolü: Bilgisayar sistem ve terminallerine, Internet sitelerine, intranetlere ve diğer sayısal ağlara erişim kontrolü için kullanılırlar.
Belge iletiminin ispatı: Hayati belgelerin hukusal açıdan zamanını ve tarihini doğrulamak için zaman damgasına ihtiyaç vardır.
Belge arşivi ve edinilmesi: Kurumlar depolanmış mesajların değiştirilmediğinin doğrulanmasına gerek duyabilirler.

10) Kullanıcı imzasını doğrulama amaçlı kullanılabilir mi?

İlgili mevzuat gereğince sertifikaların sisteme giriş vb. amaçlı kullanıcı doğrulama işinde kullanılması mümkün değildir. Eğer sisteme giriş bir imzalama (sistem giriş formu imzalama gibi) işlemine dönüştürülebiliyorsa bu sorun çözülebilecektir. Linux gibi açık kaynak sistemlerde bu yöntem uygulanabilir olmakla birlikte, Windows benzeri kapalı sistemlerde böyle bir olanak bulunmamaktadır. Bu nedenle kullanıcı doğrulama amacıyla özel sertifikalar üretilmesi ve aynı güvenli donanım aracına yüklenmesi gerekecektir.


11) Elektronik imza kullanmanın avantajları nelerdir?

Elektronik imzanın; bankalar ve finans kurumları, şube ağına sahip sigorta şirketleri, kamu kurum ve kuruluşları, holdingler ve diğer büyük şirketler, üniversiteler, yüksek iletişim ve bilgi güvenliği gereksinimi olan organizasyonlar başta olmak üzere orta ve uzun vadede yaygın bir uygulama alanı bulabileceği değerlendirilmektedir.


12)İmza sertifikaları ile şifreleme yapılabilir mi?

TK tarafından 6 Ocak 2005 tarihinde yayımlanmış bulunan Elektronik İmza Kanunun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik'in 15. maddesi d fıkrası ile sertifika sahibi “İmza oluşturma ve doğrulama verilerini sadece elektronik imza oluşturma ve doğrulama amaçlı olarak ve nitelikli elektronik sertifikanın içerdiği kullanıma ve maddi kapsama ilişkin sınırlamalar dahilinde kullanmakla,” yükümlü kılınmıştır. Bu hüküm ile sertifika ile birlikte sunulan açık ve özel anahtarın şifreleme amaçlı kullanımı engellenmiştir.


13) Kök Sertifika nedir?

Elektronik sertifika hizmet sağlayıcısının sayısal imzasına kök sertifika denir. İçindeki açık anahtar sertifika hizmet sağlayıcısının imzasını doğrulamak, özel anahtar ise verilecek sertifikaları imzalamak için kullanılır. Kök sertifika açık anahtarın sertifika hizmet sağlayıcısının olduğunu onaylar. Kök sertifika elde edilerek, kullanıcı sertifika hizmet sağlayıcısına olan güvenini temin eder.


14) Elektronik sertifikaların kullanım süresi sınırlı mıdır?

Evet. Her elektronik sertifikanın açık olarak belirtilen bir kullanıma başlama ve bitiş zamanı vardır. Çoğu uygulamalar, elektronik sertifikalarla işlem yapmadan önce sertifikanın geçerlilik süresini kontrol ederler. Genelde bu süre bir yıldır.


15) Elektronik Sertifika Hizmet Sağlayıcısı nedir?

Elektronik Sertifika Hizmet Sağlayıcısı, elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir.

Elektronik sertifika hizmet sağlayıcısı yapacağı bildirimde;
i. Güvenli ürün ve sistemleri kullanmak,
ii. Hizmeti güvenilir bir biçimde yürütmek,
iii. Sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri almak,

ile ilgili şartları sağladığını ayrıntılı bir biçimde gösterir. Her sertifika hizmet sağlayıcısı, başvuruları doğrulamak için gereken metotları anlatan Sertifika Uygulama Esasları (SUE) ve Sertifika İlkeleri (Sİ) adlı belgeleri sağlamalıdır.


16) Nitelikli Elektronik Sertifikalarda ne tür bilgiler yer alır?

i. Sertifika seri numarası
ii. Sertifika sahibinin ismi
iii. Sertifika sahibinin özel anahtarına karşı gelen açık anahtar
iv. Sertifikayı veren kurumun adı
v. Sertifika sürümü
vi. Kullanılan kriptografik algoritmalar
vii. Geçerlilik süresi
viii. Sertifikanın sayısal imzası


17) ESHS’nin geçerliliğini nasıl öğrenebilirim?

SHS’lere ve faaliyet durumlarına ilişkin bilgiler Telekomünikasyon Kurumu http://www.tk.gov.tr/ web sitesinde yayımlanmaktadır. Vatandaşlar bu adresten ayrıntılı bilgi edinebilirler.


keywords: elektronik imza, dijital imza, e-imza, kriptografi, anahtar, e-posta, e-mail, hash, şifre, algoritma, simetrik, güvenlik, 5070 sayılı kanun, yasa, telekomünikasyon kurumu, tübitak, uekae, sertifika, şifreleme, nedir, nasıl, nitelikli, sağlayıcı, usb token, akıllı kart, smart card, kimlik, doğrulama, veri, bütünlük

Yazının devamı..

5651 Sayılı Kanun Hakkında ..

5651 Sayılı Kanundan Haberdar mısınız?

5651 sayılı kanun ve ilgili Telekomünikasyon Kurumu (TİB) yönetmeliği her kurum için bazı yükümlülükler getiriyor.

Kanunun ve yönetmeliğin birçok konuda net tanım yapmadığını söylememiz yanlış olmayacaktır.

1. Her Kurum İçin Yükümlülükler

Kanun çerçevesinde tüm kurumlar Toplu Kullanım Sağlayıcı olarak değerlendirilmektedir ve kanunun yedinci maddesi ikinci fıkrası gereği tüm kurumlar, sekizinci maddede tanımlanmış konusu suç olan içeriğe sahip web sitelerine erişimi engelleyici tedbirler almakla yükümlüdür. İlgili tedbirlerin tanımı kanunda veya yönetmelikte net olarak belirtilmese de beklenen tedbir her kurumun bir URL Filtering (filtreleme) çözümü kullanmasını zorunlu kılmaktadır. Ayrıca tüm kurumlar iç IP dağıtım kayıtlarını (DHCP logları) saklamakla yükümlüdür.

2. Yer Sağlayıcılar

Hosting şirketleri ve kendi web sunucusunu barındıran tüm kurumlar kanunda Yer Sağlayıcı olarak değerlendirilmektedir. Kanun gereği kendi web sunucusunu barındıran firmalar/kurumlar ve hosting şirketleri Faaliyet Belgesi almakla yükümlüdür. Yine bu şirketler Web, Ftp ve Smtp sunucusuna gelen/giden trafiğin bilgilerini altı ay boyunca saklamak ve oluşan verilerin bütünlük değerlerini (hash) zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle yükümlüdür. Bu bilgiler kaynak ip adresi, hedef ip adresi, istenilen url, saat, tarih ve komut detayları (http get/post) olarak tanımlanmıştır.

3. İçerik Sağlayıcıları

Kanunun dördüncü maddesine göre Web sitesi bulunan her şirket artık site içeriğinden sorumlu olacaktır.

Kaynak: Nebula Bilişim

5651 Sayılı Kanun

İlgili Yazılar:
IPv6'ya Geçiş için Başbakanlık Genelgesi
Kamuda Lisanslı Yazılım Kullanılması için Başbakan'dan Genelge

5651 sayılı kanun, bilgi güvenliği, dhcp, filtering, filtreleme, hash, internet, IP, içerik, kayıt, log, sağlayıcı, site, sunucu, url, web, yönetmelik, zaman damgası

Yazının devamı..