Sertifika Yönetim Prosedürleri İle İlgili Sıkça Sorulan Sorular

Sertifikalar nasıl ve ne amaçla kullanılacaktır?
Kimlerin sertifika alması gerekiyor?
Sertifikanın içeriğinde bulunan bilgiler nelerdir?
İmza yetki derecesi nedir?
Sertifika başvurularında hangi kimlik belgeleri kullanılacaktır?
Formlar nasıl doldurulmalıdır?
Şirket/Kurum Karar Yazısı ve “FR-01_Şirket/Kurum ve Kullanıcı Tanımlama Formu” nasıl gönderilmelidir?
Sertifika Sahibi Taahhütnamesi ne zaman gönderilmelidir?
Başvuru için gelen e-postayı kaybettim, tekrar nasıl alabilirim?
Şirket/Kurum yetkilisinin görevleri nelerdir, kimler olabilir?
Şirket/Kurum iletişim noktasının görevleri nelerdir, kimler olabilir?
Şirket/Kurum yetkilisi ya da iletişim noktası sertifika almak zorunda mı?
Bilgi değişiklikleri nasıl güncellenecek?
Akıllı kart ücretlendirmesi nasıl yapılacak?
Posta masrafları kim tarafından karşılanacak?
Sertifika Nedir?
Sertifika Hizmet Sağlayıcısı Nedir?
Elektronik İmza Nedir?

Sertifikalar nasıl ve ne amaçla kullanılacaktır?

Şirket çalışanlarına dağıtılacak sertifikalar şu amaçlar doğrultusunda kullanılacaktır:

  1. Bildirimlerin elektronik olarak imzalanması
  2. Bildirimlerin web ortamında gönderileceği ve belirli çevrim içi işlemlerin gerçekleştirileceği güvenli sunucuya (“Bildirim İşlemleri Yazılımı (BİY)” Sunucusu) erişimin sağlanmas
  3. Uygulama kapsamında gerçekleştirilebilecek her türlü işlem için (bildirimlerin hazırlanması, kaydedilmesi, imzalanması, gönderilmesi vb.), BİY modülüne giriş yapılması

Kimlerin sertifika alması gerekiyor?

Soru (1)’in yanıtında bahsedilen işlemleri gerçekleştirecek tüm şirket çalışanlarının sertifika alması gerekmektedir.

Sertifikanın içeriğinde bulunan bilgiler nelerdir?

Sertifikanın içeriğinde sertifika sahibine ait şu bilgiler yer alır:
  1. Adı ve soyadı
  2. Çalıştığı şirketin/kurumun ticari adı
  3. Unvanı
  4. İmza yetkisi
  5. T.C. kimlik numarası
Sertifikada ayrıca, sertifika sahibinin kamuya açık imza doğrulama verisi, sertifikanın geçerlilik süresi, sertifikaya ait seri numarası ve sürüm bilgisi, sertifikayı veren sertifika hizmet sağlayıcısı bilgileri ve sertifikanın kullanım alanlarını belirleyen bilgiler bulunur.

İmza yetki derecesi nedir?

Sertifika sahipleri için imza yetki dereceleri aşağıdaki şekilde tanımlanmıştır:
  • 0 --> İmza yetkisi yoktur: Bu kişiler bildirimleri imzalamayacak, ancak uygulama kapsamındaki diğer tüm işlemleri gerçekleştirebilecektir.
  • 1 --> Tek başına imzaya yetkilidir: Bu kişiler, uygulama kapsamındaki tüm işlemleri gerçekleştirebilecekleri gibi bildirimleri de imzalayabilecek, imzaları bildirim kabulü için tek başına geçerli olacaktır.
  • 2 --> İmzaya diğer imzalarla birlikte yetkilidir: Bu kişiler, uygulama kapsamındaki tüm işlemleri gerçekleştirebilecekleri gibi bildirimleri de imzalayabilecek, ancak imzaları bildirim kabulü için tek başına yeterli sayılmayacaktır. Kabul için bildirimde diğer bir geçerli imza aranacaktır.

Sertifika başvurularında hangi kimlik belgeleri kullanılacaktır?

T.C. vatandaşları için nüfus cüzdanı, yabancı ülke vatandaşları için ise pasaport resmi kimlik olarak kabul edilecektir. Kullanıcı tanımlama işlemleri sırasında, bu kimlik belgelerinin noter onaylı suretleri kullanılacaktır.

Formlar nasıl doldurulmalıdır?

SPK-İMKB Sertifika Hizmetleri kapsamındaki işlemlerin yürütülmesi için çeşitli formlar kullanılmaktadır. Sertifika sahipleri ve şirket/kurum yetkilileri bu formlara TÜBİTAK UEKAE’in web sitesinden erişebilirler.

“FR-02_Sertifika başvuru Formu” gibi web formu olarak tasarlanmış formlara, sertifika işlemi web üzerinden yürütülürken ilgili adımda kullanıcı tarafından erişilir.

Web formu olarak tasarlananların dışında kalan formlar, MS WORD doküman formatında olduğu için bilgisayarda doldurulup yazıcıdan çıktıları alınabileceği gibi, boş formların çıktıları yazıcıdan alındıktan sonra el yazısıyla da doldurulabilir. Önemli olan formların içeriğinin ve formlarda kullanılan ana şablonun değişmemesidir.

Şirket/Kurum Karar Yazısı ve “FR-01_Şirket/Kurum ve Kullanıcı Tanımlama Formu” nasıl gönderilmelidir?

Şirket/Kurum karar yazısı ve şirket/kurum imza sirküleri “PR-00_Karar Yazısı ile Şirket/Kurum Yetkililerinin Belirlenme Prosedürü” uyarınca, “FR-01_Şirket/Kurum ve Kullanıcı Tanımlama Formu” ve ekleri ise “PR-01_Kullanıcı Tanımlama Prosedürü” uyarınca hazırlanıp TÜBİTAK UEKAE’e gönderilir.

FR-01_Şirket/Kurum ve Kullanıcı Tanımlama Formu” şirket/kurum yetkilisi tarafından onaylanan bir belge olduğundan, bu formun değerlendirmeye alınabilmesi için şirket/kurum karar yazısının da TÜBİTAK UEKAE’e ulaşmış olması gerekir. Dolayısıyla bir şirket/kurum için şirket/kurum karar yazısının, ya “FR-01_Şirket/Kurum ve Kullanıcı Tanımlama Formu” gönderilmeden önce ya da bu formla aynı anda TÜBİTAK UEKAE’e ulaştırılması gerekmektedir.

Sertifika Sahibi Taahhütnamesi ne zaman gönderilmelidir?

Sertifika Sahibi Taahhütnamesi sertifika başvuru sahibinin sertifika kullanım koşulları ile ilgili kişisel taahhüdüdür. Bu nedenle Sertifika Sahibi Taahhütnamesi’nin, “PR-02_Sertifika başvuru, Üretim ve Dağıtım Prosedürü” uyarınca sertifika başvuru sahibi tarafından hazırlanıp şirket/kurum yetkilisi tarafından onaylanan “FR-02_Sertifika başvuru Formu” ile birlikte TÜBİTAK UEKAE’e gönderilmesi gerekmektedir.

Başvuru için gelen e-postayı kaybettim, tekrar nasıl alabilirim?

Başvuru işlemlerini başlatan e-posta, kullanıcı tanımlama işleminin sonunda sertifika hizmet sağlayıcı yazılımı tarafından otomatik olarak gönderildiği için, aynı kullanıcıya ikinci defa gönderilmez.

E-postanın içindeki en önemli bilgi sertifika başvuru sahibi için oluşturulan kullanıcı numarası ve kullanıcı şifresidir. E-postasını kaybeden başvuru sahibinin talebi üzerine, bu kişi için TÜBİTAK BİLTEN tarafından yeni bir şifre oluşturulur. Yeni şifre, aynı kullanıcı numarası ve başvuru yapılacak web adresi ile birlikte yeni bir e-posta aracılığıyla kullanıcıya bildirilir.

Şirket/Kurum yetkilisinin görevleri nelerdir, kimler olabilir?

Sertifika yönetim prosedürleri içinde şirket/kurum yetkilisi olarak anılan kişiler, şirketler için Yönetim Kurulu Kararı, kurumlar için Kurum Kararı ile yetkilendirilen, sertifika işlemleri ile ilgili şirket/kurum adına onay yetkisine sahip olan ve şirket/kurum imza sirkülerinde imzaları yer alan kişiler olarak tanımlanmıştır.

Şirket/Kurum yetkilisinin SPK-İMKB Sertifika Hizmetleri kapsamındaki temel görevi, şirket/kurum çalışanlarına ait sertifika işlemlerinin yürütülmesi sırasında kullanılan yazı ve formları onaylamak ve sertifika hizmet sağlayıcısı görevini yürüten TÜBİTAK BİLTEN’e bu yazı ve formların gönderilmesini sağlamaktır. Adı geçen sertifika işlemleri, şirket/kurum ve kullanıcı bilgilerinin bildirilmesi, güncellenmesi, sertifika başvurularının yapılması ve benzeri işlemleri kapsamaktadır.

Sertifika hizmet sağlayıcısıyla karşılıklı olarak sertifika işlemlerinin yürütülmesi ile ilgili şirket adına onay yetkisine sahip olmak ile, şirket adına bildirim imzalamak ve/veya BİY sunucusuna göndermek farklı süreçlerdir ve birbiriyle karıştırılmamalıdır. Sertifika hizmet sağlayıcısıyla karşılıklı olarak sertifika işlemlerinin yürütülmesi, şirket/kurum yetkilisinin sorumluluğundadır. Bununla birlikte, şirket adına bildirim imzalamak ve/veya BİY sunucusuna göndermek ise, şirket tarafından belirlenecek olan sertifika kullanıcılarının sorumluluğu altındadır.

Şirket/Kurum yetkilisinin, bildirim imzalama ve/veya gönderme gibi bir sorumluluğu olmayabilir. Bildirim işlemleri için sertifika kullanacak kişiler, sertifika kullanıcısı olarak ayrıca tanımlanacaktır. Eğer şirket/kurum yetkilisi olarak tanımlanan kişi, aynı zamanda bildirim imzalama ve/veya gönderme yetkisine de sahip olacaksa, bu kişi şirket/kurum yetkilisi sorumluluğunun yanında sertifika kullanıcısı olarak da tanımlanmalıdır.

Şirket/Kurum iletişim noktasının görevleri nelerdir, kimler olabilir?

Şirket/Kurum iletişim noktası, bağlı bulunduğu kuruluştaki sertifika kullanıcılarının işlemleri ile ilgili, prosedürler içinde tanımlandığı biçimde, şirket/kurum ile sertifika hizmet sağlayıcısı arasındaki iletişimi sağlamaktan sorumludur.

Her şirket/kurum için iki iletişim noktası belirlenir. Birinci iletişim noktasına erişilemeyen durumlarda ikinci iletişim noktası görevi üstlenir.

Sertifika kullanıcılarına kolaylıkla ulaşabilen, kendisine prosedürler gereği bildirilen işlemleri takip edebilen, şirketi/kurumu ile sertifika hizmet sağlayıcısı arasında köprü görevini yerine getirebilecek kişiler iletişim noktası olmalıdır.

İletişim noktalarının şirket/kurum yetkilisi ile karıştırılmaması gerekir. Önemli olan bu kişilerin şirket/kurum içindeki yetki düzeyleri değildir. Temel görevleri iletişim sağlamak, bilgi ve evrak takip etmek olacaktır.

Şirket/Kurum yetkilisi ya da iletişim noktası sertifika almak zorunda mıdır?

Şirket/Kurum yetkilisi ya da iletişim noktası sertifika almak zorunda değildir. Ancak, bu kişilerin, SPK-İMKB Sertifika Hizmetleri kapsamında belirlenmiş kendilerine özgü sorumlulukları dışında, şirket/kurum tarafından belirlenmiş bildirim imzalama ya da gönderme sorumlulukları da varsa sertifika alabilirler.

Dolayısıyla, bir kişi aynı anda sertifika kullanıcısı, şirket/kurum yetkilisi ve şirket/kurum iletişim noktası sorumluluklarından ikisini ya da üçünü taşıyabilir. Ancak, bunlar istisnai durumlardır.

Bilgi değişiklikleri nasıl güncellenecek?

Sürecin başında şirketlerin Yönetim Kurulu Kararı, kurumların Kurum Kararı ile belirlenmiş olan şirket/kurum yetkililerinin değişmesi (yeni bir şirket/kurum yetkilisi belirlenmesi, mevcut şirket/kurum yetkilisinin görevinden ayrılması) durumunda, şirket yeni bir Yönetim Kurulu Kararı, kurum yeni bir Kurum Kararı çıkarır ve bu kararı TÜBİTAK UEKAE’e postayla gönderir.

Bunun dışında kalan ve “FR-01_Şirket/Kurum ve Kullanıcı Tanımlama Formu” ya da “FR-02_Sertifika başvuru Formu” ile TÜBİTAK UEKAE’e bildirilmiş olan, şirkete/kuruma, şirket/kurum yetkililerine, şirket/kurum iletişim noktalarına ve sertifika sahiplerine ait bilgilerde değişiklik olmuş ise, ilgili değişiklikler şirket/kurum yetkilisi tarafından onaylanmış bir yazının TÜBİTAK UEKAE’e postalanmasıyla bildirilir.

Onaylı değişikliklerin TÜBİTAK UEKAE’e ulaşmasıyla birlikte gerekli güncellemeler TÜBİTAK UEKAE yetkilileri tarafından yapılır.

Akıllı kart ücretlendirmesi nasıl yapılacak?

Kamuyu Aydınlatma Projesi kapsamında, her şirket için üçer adet akıllı kart ve akıllı kart okuyucusu ücretsiz olarak temin edilmiştir. Şirketlerin üçün üzerinde kullanıcı için sertifika talep etmeleri durumunda, bu taleplerini “FR-01_Şirket/Kurum ve Kullanıcı Tanımlama Formu”nun ekinde yer alacak bir sipariş yazısıyla TÜBİTAK UEKAE’e bildirmeleri gerekmektedir. Akıllı kart 60TL + KDV birim bedeli ve akıllı kart okuyucusu 50TL + KDV birim bedeli olarak belirlenmiştir.

Posta masrafları kim tarafından karşılanacak?

Posta masrafları TÜBİTAK-UEKAE tarafından karşılanacaktır. Şirketlerden gönderilen postaların masrafları şirketler tarafından karşılanacaktır.

Sertifika Nedir?

Sertifika nüfüs cüzdanı, ehliyet belgesi veya diğer kimlik belgeleri gibi kişinin internet üzerinde kimliğini ispatlaması için kullanılan elektronik dosyalardır. Diğer bir deyişle kimliğin sayısal ispatıdır. Sertifikalar çift anahtarlı kriptografi teknolojisine dayanır ve kamuya açıktır. Sertifika kişilere ait olabildiği gibi kurumların ve web sunucuların da sertifikaları olabilir. Sertifika sahibinin kişisel bilgilerini ve bu kişisel bilgilere ait açık-anahtar bilgisini taşır ve taşıdığı açık-anahtar bilgisinin belirtilen kişi veya kuruma ait olduğunu temin eder.

Sertifikaların taklit edilemiyor olmaları gereklidir. Bunu sağlamanın yolu sertifikaların güvenilir kurumlar tarafından dağıtılmasıdır. Sertifika sahibinin kimlik bilgileri ve açık anahtarı sertifika hizmet sağlayıcıları tarafından onaylanıp imzalandıktan sonra sertifikaların dağıtımı yapılmalıdır. Burada sertifika hizmet sağlayıcısının imzasının taklit edilemez olması büyük önem taşımaktadır. Web üzerinden dağıtılan sertifikalarda güvenilir bir sertifika hizmet sağlayıcısından başkası adına alınmış bir sertifikanın kontrolünü ancak sertifikanın "parmak izini" kontrol ederek anlamak mümkündür. Parmak izi her sertifika için farklıdır. Sertifika sahipleri sertifikalarının parmak izlerini şahıslara duyurmak süretiyle kendi adlarına düzenlenebilecek sahte sertifikaların önlemini almış olurlar. Başkası adına sahte bir sertifika hizmet sağlayıcısından alınmış bir sertifikaldaki sahtecilik ise sertifika hizmet sağlayıcısının sertifikasının parmak izini kontrol etmek suretiyle önlenebilir.

Kişisel Sertifikalar

Kişisel sertifikalar şahısların kimlik bilgilerini ve açık anahtarını taşıyan elektronik dosyalardır. Nüfus cüzdanı veya ehliyet belgesi gibi kişisel sertifikalar da internet üzerinde kimliğin ıspatlanması amacıyla kullanılırlar. Şahısların internet üzerindeki güvenli ve gizli iletişim yeteneklerinden faydalanabilmesi için öncelikle bir sertifikaya sahip olmaları gerekmektedir.

Sertifika X.509 standartına uygun olarak üretilir ve bu standartla uyumlu olan web tarayıcılarına yüklenerek kişisel bilgisayarlarda tutulur. Bununla birlikte sertifikanın akıllı kartta veya diskette taşınıp kullanılması da mümkündür.

İnternet üzerinden şifreli ve/veya sayısal imzalı mesajların alınıp gönderilebilmesi için kullanılan en güvenilir yöntem çift anahtarlı kriptografi teknolojisidir. Bu teknolojide sayısal imza ve şifreleme için biri gizli diğeri kamuya açık olmak üzere iki anahtar kullanılır. Kamuya açık anahtar sertifikalar içinde tutulur ve sertifikalar gizli tutulması gereken dosyalar değillerdir.

Sunucu Sertifikası

Sunucu sertifikası, web sitesinin kimlik bilgilerini ve açık anahtarını taşıyan ve web sitesine bağlanan kullanıcılara sunulan elektronik dosyalardır. Örneğin bir internet tarayıcısı kullanıcısı bir web sunucuya gizli bir bilgi göndermek istediğinde, tarayıcı sunucunun göndermiş olduğu sunucu sertifikasını alır. İçinde web sunucusunun açık anahtarını bulunduran sunucu sertifikası tarayıcı tarafından şu amaçlarla kullanılır:

  1. Web sunucunun kimliğinin doğrulanması
  2. Sunucuya gönderilecek olan bilginin SSL (Secure Socket Layer) teknolojisi kullanılarak şifreli gönderilmesi.

Gönderilecek olan bilgi sunucu sertifikanın içindeki açık anahtar ile şifrelenir. Bu şifreli bilgiyi çözecek gizli anahtar sadece sunucuda bulunduğundan başka birisinin şifreyi çözmesi mümkün değildir. Böylece şifreli bilginin internet üzerinden gönderiminde güvenlik sağlanmış olur.

Genel anlamda sertifikaların kullanım amaçları aşağıdaki gibi özetlenebilir:

  1. Web üzerinde kullanıcı ile sunucu arasındaki güvenli iletişim kanallarında şifreleme
  2. Kullanıcının ve sunucunun kimliklerinin doğrulanması
  3. Güvenli internet e-posta iletişimi için mesajların şifrelenmesi
  4. E-posta mesajlarında gönderenin kimliğinin doğrulanması
  5. Web üzerinden yüklenebilen, imzalı, çalışabilir programların bütünlüğünün (değiştirilmediğinin) ve kaynağının (programı imzalayan kurum veya kişinin kimliğinin) doğrulanması

Kök Sertifika

Kök sertifika sertifika hizmet sağlayıcısının kimlik bilgilerini ve açık anahtarını taşıyan elektronik dosyadır. Kök sertifikayı diğer sertifikalardan ayıran tek özellik, üzerinde kendi imzasını taşıyor olmasıdır. Yayınladıkları diğer sertifikalara güvenilirlik onayının verilebilmesi için kök kimliklerin kullanıcı tarafında mevcut olmaları gereklidir. Örneğin bir web sunucusunun sertifikasını alan internet tarayıcısı bu kimliğe güvenip güvenmeyeceğine karar verebilmesi için sunucuya sertifikayı veren sertifika hizmet sağlayıcısının sertifikasına ihtiyaç duyar. Eğer söz konusu kök sertifika internet tarayıcısında tanımlı değilse, tarayıcı bu sitenin güvenilir olmadığını kullanıcıya bildirir. Bazı sertifika hizmet sağlayıcısı sertifikaları, Netscape ve Internet explorer gibi popüler olan tarayıcılarda önceden tanımlanmıştır yani kök sertifikalar tarayıcıya yüklenmiş durumdadır. Diğer sertifika hizmet sağlayıcılarının da tarayıcıya tanımlanabilmesi için kök sertifikalarının tarayıcıya yüklenmesi gerekmektedir.

Sertifika Hizmet Sağlayıcısı Nedir?

Açık ağlardan sayısal imzalı bilgi gönderen kişinin imzasının geçerliliğinin/doğruluğunun saptanması için, imzayı atanın açık anahtarı gereklidir. Bu nedenle hangi açık anahtarın hangi kullanıcıya ait olduğunun belgelenmesi çok önemli bir etmendir. Bunun için kullanıcıların açık anahtarlarını ve kimlik bilgilerini onaylama yetkisine sahip bir kuruluşa, bir otoriteye gereksinim vardır. Sertifika hizmet sağlayıcıları kişi ve kurumlara sertifika üreten, dağıtan ve belgelerin yönetimini üstlenen güvenilir kurumlardır. 

Birden fazla sertifika hizmet sağlayıcısı bulunması durumunda sertifika hizmet sağlayıcıları arasında hiyerarşik yapının kurulması, birbirlerinin sertifikalarını tanımaları gerekir. Bu gibi durumlara da teknik açıdan imkan veren teknolojiler gelişitirilmiş durumdadır. Bu teknolojilerin temelinde, sayısal sertifika üretme, gizli anahtarların korunması, açık anahtarların duyurulması türünden konular için geliştirilmiş açık telekomünikasyon standartları vardır (X.509, PKCS 1-13 vs.). 

Sertifika hizmet sağlayıcıları aşağıda belirtilen üç önemli öğeyi sağlıyor olmalıdır:

  1. Teknoloji: Güvenlik protokolleri ve standartları, güvenli iletişim ve kriptoloji gibi teknolojileri uyguluyor olmalıdır.
  2. Altyapı: Gizlilik yetenekleri olmalı, yedekleme ve müşteri desteği hizmetlerini verebilmelidir.
  3. Önergeler: Bir Sertifika Hizmet Sağlayıcısının yasal altyapısı ve internette güvenilir üçüncü kurum olma modeli, kapsamlı dökümanlar (pratik demeçleri) içeriğinde yayınlanmalıdır.

Sertifika hizmet sağlayıcıları aşağıdaki servisleri sunar: 

  1. Sertifikaların dağıtımı ve yenilenmesi
  2. Kişi ve kurumların kimliklerinin tastik edilmesi
  3. Kişi ve kurumların kayıtlarının onaylanması
  4. İptal ettiği sertifkaların duyurulması

Elektronik İmza Nedir?

Elektronik imza düşünülebilecek tüm elektronik veri iletişimlerinde kullanılabilecek, yazılım veya donanım aracı tarafından oluşturulan, imzalanacak veriye eklenen bilgidir. Elle atılan imzanın gerekli oldugu tüm iletişim alanları elektronik imza teknolojilerinin kullanımıyla elektronik ortama aktarılabilir.

Elektronik imza için yayginlikla kullanılan yöntemlerin basinda çift anahtarlı kriptografik yöntemler gelir. Çift anahtarlı bir kriptografik algoritmayla hazirlanan elektronik imza, hem gönderilen bilginin sayisal içeriginin degistirilmediginin hem de gönderen tarafin kimliğinin ispatlanmasi için atılır ve sunlara bagli olarak olusturulur:

  1. Gönderilecek mesajdan üretilen mesaj özetinin sayisal içerigi;
  2. Gönderen tarafin kendi gizli anahtarı;

İmzalanacak mesaj öncelikle bir özet çikarma (hash) algoritmasindan geçirilir. Daha sonra bu mesaj özeti, imzayi atan kişinin gizli anahtarı kullanilarak çift anahtarlı kriptografik bir algoritmadan geçirilerek imza olusturulur. Elektronik imza genellikle mesaja eklenerek karşı tarafa gönderilir veya saklanir.

İmzayi oluşturma ve onaylama asamalarinin her ikisinde de kullanılan mesaj özeti, gönderilecek mesajdan matematiksel yollarla üretilen sabit uzunlukta sayisal bilgidir. Bu işlem özet fonksiyonu olarak bilinir. Özet fonksiyonu bir kaç özeliği saglar:

  1. Mesaj özeti anlamsiz ve sabit uzunlukta bir bilgidir
  2. Özet fonksiyonu geri dönüsümü olmayan bir fonksiyondur. Diger bir deyisle, herhangi bir mesajin özetine bakarak mesajin kendisini elde etmek mümkün degildir
  3. Ayni özeti veren herhangi iki farkli mesaj bulmak mümkün degildir

Böylelikle, her mesajin farkli bir özeti olmasi ve dolayısiyla mesajda yapilacak en ufak bir degisikligin imzayi geçersiz kilmasi saglanmis olur.

İmzali mesaji alan taraf, gönderen tarafin açık anahtarını kullanarak mesajda en ufak bir degisikligin olup olmadigini çok kisa ve hizli çalisan bir imza doğrulama prosedürünü bilgisayarinda çalistirarak bulur. Elektronik imzanın doğruluğunu kanitlamak için mesaji alan taraf sunlari kullanir:

  1. Kendisine gelen mesajin ve elektronik imzanın sayisal içerigi
  2. Gönderen tarafin açık anahtarı

Alici taraf, gelen orijinal mesajdan yeniden elde edilen mesaj özetini, mesajla birlikte gelen elektronik imzanın, imzalayan kişinin açık anahtarıyla çözülmesinden elde edilen orijinal mesaj özetiyle karşılastirilir. Bu özetlerin tipatip ayni olmasi, imzanın doğruluğunu gösterir.

Bir çok kişi imzali bir mesaji doğrulamak isteyebilir. Bu yüzden imzayi atan kişinin sertifikasının bu kisilere dagitilmis olmasi gerekmektedir. Bunun için açık anahtarın içinde bulundugu sertifika, imzali mesajla birlikte aliciya gönderilebilecegi gibi, açık anahtarlara ulasim için en yaygin kullanılan yöntem sertifikalarin herkesin ulasabilecegi dizin sunucularda tutulmasidir.

Elektronik imza yaratma ve doğrulama prosedürü imzadan beklenen asagidaki gerekleri de yerine getirmektedir:

1.İmzalayanın doğrulanması: açık ve gizli anahtar çifti güvenilir bir sertifika hizmet saglayıcı tarafindan onaylanmissa, bu imzalayan kişinin kimliğinin doğruluğunu garanti eder. Söyle ki, elektronik imzanın yaratılması imzalayan kişinin gizli anahtarıyla yapilir. İmza doğrulama işleminin ise imzalayanın açık anahtarı dışında hile amaçlı başka birisinin açık anahtarını kullanarak yapılması kullanılan kriptografik algoritmalarin matematiksel özeliğinden dolayı imkansizdir. dolayısiyla kişinin gizli anahtarı ele geçirilmediği sürece elektronik imzanın başka birisi tarafindan taklit edilmesi mümkün degildir. Bu bakimdan elektronik imza, kağıt üzerindeki imzanın taklit edilme olasiligiyla karşılaştırıldığında daha güvenilirdir.

2.Mesajin doğruluğu: Elektronik imza, imzalanan mesajin başka bir sahis tarafindan degistirilip degistirilmedigini kağıt üzerindeki imzadan daha kesin bir sekilde ortaya koyar. Çünkü onaylama prosedürü, mesajin bozuldugunu gelen mesajin özetiyle, imzalama sırasında olusturulan orijinal mesaj özetini kıyaslayarak anlar.

3.Verimliligi: kağıt üzerindeki imzanın ispatı için uzun laboratuar çalismalarinin yapılmasınin gerekliliğine karşın, elektronik imzanın doğrulanması daha önce de bahsedildigi gibi daha güvenilir ve çok kisa bir onaylama prosedürünün bilgisayarda çalistirilmasiyla sağlanır.

Elektronik imzanın güvenligi ancak sahibinden başkasinin gizli anahtarı kullanamamasinin kesinlesmesiyle saglanabilir. Çünkü çift anahtarlı kriptografi sisteminde güvenliğin sağlanması kisilerin gizli anahtarlarini iyi saklamasi, açiga vurmamasina dayanır. Eğer bu şart sağlanmazsa gizli anahtarı elde eden başkaları kişinin adına imza atabilir. Gizli anahtarın başkalarının eline geçmesi durumunda bundan haberdar olan anahtar sahibinin yapması gereken, sertifikasını aldığı sertifika hizmet saglayıcısına başvurarak sertifikasının geçerliliğini iptal etmesidir. Sertifika hizmet saglayıcılari iptal edilen sertifikalari düzenli olarak olusturduklari sertifika iptal listelerinde (SIL) yayinlarlar. Gizli anahtarın güvenli bir sekilde saklanmasının en iyi yöntemlerinden biri akıllı kart içinde tutmaktır. İmza programını, içindeki mikroçiplerde çalıştıran akıllı kartlar sayesinde imzalama işlemi sırasında gizli anahtar karttan dışarı çıkmaz. Kartın başka birisinin eline geçmesi olasılığına karşı da kart için ayrı güvenlik yöntemleri mevcuttur.