Mühür kimdeyse Süleyman odur derler. Dijital çağda bu mühür, bazen bir USB çubuğu, bazenbdört haneli bir PIN, bazen de devletin onayladığı bir sertifika otoritesidir. Ama ya mühür yanlış ellere geçerse?
Şu aralar gündemimizde “diploma krizi” var ve olayın teknik kısmını tartışmadan geçmek içime sinmiyor. Çünkü mesele sadece “sahte imza” meselesi değil; biraz daha derine inince, mühür kimin cebindeyse, Süleyman da o oluyor.
Aslında bu sistem yeni değil. Dünyada yaygın şekilde kullanılan bir yöntem: elektronik imza. Mesela ben Estonya’da elektronik vatandaşım. Estonya devleti bana bir USB verdi; adını da “dangıl” koymuşlar. O dangılı bilgisayara takarak tüm işlemlerimi yapabiliyorum. Türkiye’de de benzer bir sistem var. Bunda bir beis yok. Modern, güvenilir bir yapı.
Peki bu yapı nasıl çalışıyor? İşin temelinde iki anahtar var: biri açık, herkesle paylaşılabilir; diğeri gizli, sadece sizde. Diyorsunuz ki: “Bana özel bir mesaj gönderecekseniz, şu açık anahtarla kilitleyin.” O mesajı sadece siz açabiliyorsunuz çünkü o kilidi açacak anahtar sadece sizde. Mesela biri size bir kutu gönderiyor. Kutuyu açık anahtarla kilitliyor ama o kilidi sadece sizin özel anahtarınız açabiliyor. Bu kadar basit.
Aynı şekilde siz de bir mesaj gönderdiğinizde onun altına imzanızı atıyorsunuz. Bu da şöyle oluyor: Mesajınızın kısa bir özeti alınıyor -örneğin SHA256 algoritmasıyla- ve bu özet sizinözel anahtarınızla imzalanıyor. Karşı taraf da sizin açık anahtarınızı bildiği için mesajın
gerçekten size ait olduğunu doğrulayabiliyor. Iste bu herkese acik anahtarimizin karsi tarafa iletilme sekline,yani karsi tarafa dogrulanabilir/teyit edilebilir bir formatta iletilmesine sertifika diyoruz; ya da onumuz itibariyle dijital imza.
Yani bu sistem sadece mesaj gönderirken değil, bir sisteme giriş yaparken de çalışıyor. Siz “Ben Ziyahan Albeniz’im” diyorsunuz, sistem sizin daha önce paylaştığınız açık anahtardan kontrol ediyor: “Evet, bu gerçekten Ziyahan Albeniz.” Böylece kimlik doğrulama gerçekleşmiş oluyor.
Peki bu kadar güvenli görünen sistem neden kriz üretiyor?
Burada bir başka katman devreye giriyor. Siz bana “falanca kisi” imzasıyla bir mesaj gönderdiğinizde, ben gerçekten o imzanın kendisinin oldugu iddia ettigi kisiye ait olduğunu nasıl bileceğim? Çünkü bu işler artık uluslararası dönüyor. Belki aynı ortamda bile bulunmadığımız kişilerle belge paylaşıyoruz; bir guven iliskisi tesis ediyorsunuz… İşte bu noktada sertifika otoriteleri devreye giriyor. “Certificate Authority” diyorlar. Yani “Bu imza gerçekten bu kişiye ait” diye kefil olan aracı kurumlar. Türkiye’de BTK’nın yetkilendirdiği bazı kurumlar, TÜBİTAK gibi yapılar bu görevi üstleniyor.
Bunlar hem e-imza üretiyorlar hem de verilen imzaların geçerliliğini kontrol ediyorlar. “Bu imza şu kişiye ait midir?” diye sorulduğunda, onaylıyorlar. Ama bu yapı da kusursuz değil. 2012’de yaşanan bir olay hâlâ hafızamda: EGO, Turk Trust’tan bir sertifika alıyor. Ama bu sertifika yanlış üretiliyor. EGO da bu sertifikayla Google adına sertifika düzenliyor. Google bunu fark edince kıyamet kopuyor. Sonuç? Turk Trust sistemlerden kaldırılıyor. Yani hata, sadece teknik tarafta değil. Süreçlerde. Ve şimdi aynı tabloyu diploma kriziyle birlikte yeniden yaşıyoruz.
2024’ten önce neler oluyordu?
Açık kaynaklarda, haber sitelerinde yer alan bilgilere gore mevzu bahis sistem uzun yıllar boyunca bir kişinin adına e-imza üretirken onun rızasını, onayını, hatta bilgisini bile şart koşmuyordu. Herhangi biri gidip sizin adınıza -Ziyahan Albeniz adına mesela- e-imza ürettirebiliyordu. Dahası, bunu size bildirilmeksizin yapabiliyordu. USB cihaz ve beraberinde verilen PIN kodu -çoğu zaman dört haneli- sistemlere giriş yapmak için yeterliydi. Yani iki aşamalı doğrulama, SMS ya da biyometrik kontrol gibi şeyler yoktu. Bu da elbette sistemi oldukça savunmasız hale getiriyordu.
2024’te ne değişti?
Büyük bir güncelleme geldi. Artık e-imza başvuruları sadece e-Devlet üzerinden yapılabiliyor. Her başvuruda cep telefonunuza bir SMS gönderiliyor. Ve o e-imza hemen aktif olmuyor; altı saatlik bir bekleme süresi geliyor. Bu sayede sizin dışınızda biri başvurduysa zamanında fark edip iptal edebiliyorsunuz. Ayrıca yüz yüze başvuru gibi geleneksel yöntemler tamamen kaldırıldı.
Peki daha önce verilmiş e-imzalar ne oldu?
İşte asıl mesele burada. Bu yeni güvenlik önlemleri 2024’ten itibaren gelen başvurular için geçerli. Ama önceden verilmiş olan e-imzalarla ilgili kamuoyuna açık bir “iptal/revocation” işlemi yapılıp yapılmadığı net değil. Oysa sistem güvenliği açısından bu çok kritik. Çünkü siz ne kadar güncelleme yaparsanız yapın, eski açıklar hâlâ devrede kalabiliyor. E-devlet portalında adınıza tanımlı e-imzaları görebileceğiniz bir alan var. Bu çok değerli. Aynı banka hesapları ya da sim kartlar gibi. Ama bu kontrolleri vatandaş olarak biz düzenli yapmadıkça yine açık veriyoruz.
Burada mesele yalnızca teknoloji değil; aynı zamanda sistemin mantığı, kime ne kadar güvendiğimiz ve hangi “mühürlerin” kimin cebinde olduğudur. Amerika’da Snowden sonrası yükselen “zero trust” (sıfır güven) yaklaşımı, yani hiç kimseye fazladan güven atfetmemek, belki de bugün en doğru yol. Herkes kendi anahtarına, kendi şifresine ve sistemdeki denetime güvenecek.
Şunu unutmadan: Her mühür, her anahtar ve her imza, doğru tasarlanmış, şeffaf ve denetlenebilir bir sistemle anlamlıdır. Yoksa günün sonunda kimin mührü kimin cebinde belli olmaz; ve krizin faturası hepimize çıkar.