1) Elektronik Ticarette Güvenlik

1. SSL (Secure Socket Layer)
2. SET (Secure Electronic Transactions)

2) Dijital İmza – Elektronik İmza ikilemi
3) Dijital imza kavramıyla birlikte gelenler

1. Kök sertifika
2. Dijital sertifikanın özellikleri

4) Bilginin İmzalanması
5) Yasal düzenleme kaosu

1. Elektronik Ticarette Güvenlik

Elektronik ticarette alıcı ve satıcı birbirlerini görmeksizin iş yaptıklarından karşılıklı olarak güvenin sağlanması için ek bir takım önlemler almaya ihtiyaç duyarlar. Öncelikle alıcı ve satıcı taraflar birbirlerinin kimliklerinden emin olmak isterler. İşte bu ihtiyaç dijital imza ve dijital sertifikaların geliştirilme nedenidir. Bunlar aracılığıyla iki taraf birbirlerinin kimliğinden emin olabilmektedir. Türkiye'de şu anda dijital sertifikalar ile ilgili yasal altyapı henüz oluşturulmadığı için alıcı tarafında bulunan bireysel kullanıcılar henüz dijital sertifika kullanmaya başlamamışlar, satış yapan siteler de müşterilerine bunu şart koşmamışlardır. Bu nedenle satıcılar alıcıların kimliklerini kontrol edememektedirler.

Elektronik ticarette güvenlik konusunda değerlendirilmesi gereken diğer bir konu da alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermek durumunda kaldıkları kredi kartı vb. bilgilerin Internet üzerinden iletilirken üçüncü şahısların eline geçmesi riskidir. Bilindiği gibi özellikle telefonla yapılan satışlarda (gazeteye ilan vermek, katalog satışları vb) kredi kartı numarası ve son kullanma tarihi alışveriş için yeterli olmaktadır. Bu yüzden bu bilgilerin korunması elektronikticaretin gelişimi için büyük önem taşımaktadır.

Ancak elektronik ticarette kredi kartı bilgilerinin başkalarının eline geçme riski günlük hayattakine göre çok daha azdır. Günlük hayatta ödeme yaparken kredi kartı bir başkasına verilmekte, bu yüzden kredi kartının üzerindeki bilgilerin gizliliği büyük oranda ortadan kalkmaktadır. Sanal alışveriş hizmeti veren firmalar, kredi kartı bilgilerinin güvenliği ve gizliliğini sağlamak için yaygın olarak SSL ve SET gibi güvenlik standartlarını kullanmaktadırlar. Kullanıcı, işyeri ve banka arasındaki veri akışı sırasında bilgilerin şifrelenerek aktarılması esasına dayanan güvenlik sistemleri sayesinde bilgilerin başka bir kişinin eline geçmesi durumunda çözülebilmesi (yani kullanılabilmesi) önlenir. Böylece kart bilgilerinin gizliliği ve alışverişin güvenliği sağlanmış olur. Ayrıca kredi kartı sahiplerinin Internet üzerinde yapılan alışverişlere de diğer alışverişler gibi her zaman itiraz hakkı vardır.

SSL (Secure Socket Layer)

SSL network üzerindeki bilgi transferi sırasında güvenlik ve gizliliğin sağlanması amacıyla Netscape tarafından geliştirilmiş bir güvenlik protokolüdür. 1996 yılında 3.0 versiyonunun çıkarılmasıyla hemen bütün Internet tarayıcılarının (Microsoft Explorer, Netscape Navigator vb) desteklediği bir standart haline gelmiş ve çok geniş uygulama alanları bulmuştur.

SSL gönderilen bilginin kesinlikle ve sadece doğru adreste deşifre edilebilmesini sağlar. Bilgi gönderilmeden önce otomatik olarak şifrelenir ve sadece doğru alıcı tarafından deşifre edilebilir. Her iki tarafta da doğrulama yapılarak işlemin ve bilginin gizliliği ve bütünlüğü korunur.

Veri akışında kullanılan şifreleme yönteminin gücü kullanılan anahtar uzunluğuna bağlıdır. Anahtar uzunluğu bilginin korunması için çok önemlidir. Örneğin; 8 bit üzerinden bir iletimin çözülmesi son derece kolaydır. Bit, ikilik sayma düzeninde bir rakamı ifade eder. Bir bit, 0 veya 1 olmak üzere 2 farklı değer alabilir. 8 bit ise sadece 28=256 olası farklı anahtar içerir. Bir bilgisayar bu 256 farklı olasılığı sıra ile inceleyerek bir sonuca ulaşabilir. SSL protokolünde 40 bit ve 128 bit şifreleme kullanılmaktadır. 128 bit şifrelemede 2128 değişik anahtar vardır ve bu şifrenin çözülebilmesi çok büyük bir maliyet ve zaman gerektirir. Kötü niyetli bir kişinin 128 bit'lik şifreyi çözebilmesi için 1 milyon dolarlık yatırım yaptıktan sonra 67 yıl gibi bir zaman harcaması gerekir. Bu örnekten anlaşıldığı gibi SSL güvenlik sistemi tam ve kesin bir koruma sağlar.

SET (Secure Electronic Transactions)

SET banka kartları ve ödemeler ile ilgili bilgilerin güvenliğini sağlamak amacıyla Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC, Terisa Systems ve Verisign'ın katılımıyla oluşan bir konsorsiyum tarafından geliştirilmiştir. SET uyumlu ilk alışveriş, 18 Temmuz 1997'de San Francisco'da yapılan tanıtımla İspanya ve Singapur'da bulunan sanal mağazalardan gerçekleştirilmiştir.

SET protokolünde alışveriş, sanal cüzdan ve sertifika aracılığı ile daha güvenli bir ortamda gerçekleştirilir. SET, alışveriş işlemi sırasında ödeme bilgisi gizliliğini, kart kullanıcısının gerçek kart sahibi olduğunu ve işyerinin banka ile anlaşmalı bir işyeri olduğunu garantiler.

SET sistemi de SSL'de olduğu gibi kullanıcı, işyeri ve banka arasındaki veri akışı sırasında bilgilerin şifrelenerek gönderilmesi esasına dayanır. Bu sistemden faydalananabilmek için kullanılmak istenen kredi kartının SET uyumlu olması gerekir. SET protokolünü kullanmak isteyen kredi kartı sahipleri iki ön koşulu yerine getirmek zorundadırlar:

Öncelikle kullanmak istedikleri her bir kredi kartı için sertifikasyon kurumu (Certificate Authority) ayrı birer SET sertifikası almalıdırlar. Ardından kart sahipleri yine kredi kartı veren bir bankadan sanal cüzdan adı verilen bir programı alıp bilgisayarlarına yüklemeli ve bu yükleme sırasında SET sertifikalı kredi kartlarını programa tanıtmalıdırlar. SET uyumlu alışverişler sanal cüzdanın yüklü olduğu bilgisayar kullanılarak SET uyumlu mağazalardan yapılabilecektir. Sanal cüzdan programı en fazla üç kez yüklenmek üzere yazıldığından en fazla üç bilgisayarda kullanılabilecektir. SET protokolünün SSL'e göre çok daha yüksek denebilecek güvenliğine rağmen yeterince yaygınlaşamaması sanal cüzdanın mobilitesinin olmamasına bağlanabilir.

2. Dijital İmza – Elektronik İmza ikilemi

Çeşitli ülkelerde yürürlüğe girmiş bulunan ya da girmek üzere olan yasa metinleri incelendiğinde “dijital imza” ve “elektronik imza” terimlerinden birinin seçildiği görülmekte. İlk bakışta bu bir terminoloji tercihi meselesi gibi durmakla birlikte, bu iki terim birbirinden farklıdır ve birbirleriyle karıştırılmamalıdır.

Bir “dijital imza”, aynı zamanda “elektronik” olmakla birlikte, “elektronik imza” çok daha geniş bir alanı kapsıyor. Bu geniş alanın içinde, el yazısı (ıslak) imzanın yerini elektronik ortamda alabilecek bütün teknolojiler giriyor.  El yazısı imzanın orijinalinin taranarak dönüştürüldüğü bir görüntü dosyası, PIN kodu ve dijital kalemle atılmış imza gibi. 

“Dijital imza” ise, elektronik ortamda iletilen bilgilerin kesinlikle bunları gönderen kuruma veya kişiye ait olduğunu doğrulayacak, verinin başkası tarafından yollanmadığını garanti edecek teknolojik uygulamanın adı. Dijital imza ile imzalanmış bir belgeyi yollayan kişi onu yolladığını, alıcı da aldığını inkar edemiyor. İmzayı şifrelemek veya deşifre etmek için kullanılan sayısal karakterler dizisine Anahtar, deniyor. “Anahtar” simetrik veya asimetrik olabiliyor. Dijital imzalar açık anahtar algoritmasını kullanıyor. Dijital imza, imzanın sahibinin gizli anahtarı kullanılarak oluşturulup, imza sahibinin açık anahtarını kullanılarak alıcı tarafından kontrol ediliyor.

3.     Dijital imza kavramıyla birlikte gelenler

Kök sertifika
Sertifikasyon kurumunun dijital sertifikası. Kullanıcılar sertifika kurumunun kök sertifikasını Internet üzerinden bilgisayarlarına yüklerken, sertifika kurumunun güvenilirliğini kabul etmiş sayılıyor. Sertifika ile birlikte gelen açık anahtar öncelikle sertifikasyon kurumunun kimliğini doğrulamakta kullanılıyor. Bu açık anahtar sertifikasyon kurumunun dağıttığı sertifikaların da okunabilmesini ve böylece bu sertifikaların doğruluğunun kontrol edilebilmesini sağlar.

Dijital Sertifika
Dijital sertifika, ya da dijital kimlik, günlük hayatta kullanılan kimlik kartlarının elektronik ortamdaki karşılığı. Dijital sertifika kişinin kimliğini ve söz konusu bilgiye veya online hizmete ulaşım hakkını kanıtlamak için elektronik olarak ibraz edilmek üzere geliştirilmiş. Dijital sertifikalar dijital bilgileri şifrelemek ve şifrelenen bilgileri çözmek için kullanılan bir çift elektronik anahtar ile kimlik bilgisini bağlar. Dijital sertifika kullanıcıların ve kuruluşların bilgilerinin iletişim ağlarında güvenli bir şekilde iletilmesini sağlar. Dijital sertifikada kullanıcıya ait açık anahtar, kullanıcının adı, son kullanma tarihi sertifikanın alındığı kurumun adı ve seri numarası bulunur.

Dijital sertifikanın özellikleri

Mesajların şifrelenmesi ve deşifre edilmesindeki güvenlik ve gizliliği sağlar.
Mesajı gönderenin ve mesajı alanın doğru yerler olduğunu garanti eder
İletilen dokümanların tarih ve zamanını doğrular. Doküman arşivi oluşturulmasını kolaylaştırır.

Dijital sertifika için gerekenler
Dijital sertifika ile Internet üzerinde yapılan işlemlerde Internet tarayıcısı aracılığıyla kimlik kanıtlama olanağı doğuyor. Bu sertifikalar Internet üzerindeki alışverişlerde, ticari faaliyetlerde ve bilgilerin şifrelenmesinde kullanılıyor. Elektronik ticaret yapan şirketler ve finansal kurumlar başta olmak üzere bir çok kurum Internet üzerinde gerçek ve yasal bir şirket olduklarını kanıtlamak için sertifikaya ihtiyaç duymakta. Ayrıca Internet bankacılığı, online alışveriş gibi iletilen bilginin gizliliği ve doğruluğunun çok önemli olduğu işlemlerin yaygınlaşması ve bu siteleri kullanan kişilerin de kimliklerinin doğrulanabilmesi için şifre kullanımının yanı sıra dijital sertifikanın da kullanılması güvenliğin arttırılmasını sağladığından, birçok firma müşterilerinden dijital sertifika talep ediyor.  Türkiye'de ise yasal düzenlemelerin eksik olması nedeniyle dijital sertifikalar henüz kullanıcılar tarafından kullanılmamaktadır. Ancak AB'ye uyum çalışmaları ile beraber yasal düzenlemelerin gerçekleştirilmesi ve böylece dijital imzaların kullanımının başlaması beklenmektedir. (Nitekim bazı kurumlar, örneğin Garanti Bankası, son zamanlarda, internet üzerindeki işlemlerinde kullanıcı dilerse dekontları dijital imzalı olarak e-posta ile göndermeye başladı.)

Sertifikasyon kurumu
Dijital sertifikaların verilmesi ve yönetilmesini gerçekleştiren kurum. Dijital sertifikalar bu kurumların gizli anahtarıyla imzalanıyor.

4.     Bilginin İmzalanması

 Dijital Sertifika sahibi bir kullanıcı, mesajını kendi özel imzası ile imzalayarak karşı tarafa gönderebilir. Mesajın imzalanması için yapılan işlemler Şekil-4.1 de gösterilmiştir.

Şekil-4.1

Şekilde de gösterildiği gibi, karşı tarafa gönderilecek olan mesaja , oluşturulan dijital imza eklenir ve beraber gönderilir. Bu eklenen dijital imza, mesajın bütünü ile ilgili de bilgi taşımaktadır. Böylece karşı taraftaki alıcı, mesajın hat boyunca değişime uğrayıp uğramadığını tespit edebilir.

Alıcı tarafın gelen mesajı alması ve dijital imzayı çözmesi Şekil-4.2 de gösterilmiştir.

Şekil-4.2

Alıcı taraf gelen mesajdaki imzayı, gönderen tarafın açık anahtarı (public key) ile çözer. Bazı işlemlerden sonra mesaja ait bir özet bilgi oluşturulur. Mesajın bütününe de bazı algoritmalar uygulanarak aynı şekilde mesaja ait özet bilgi oluşturulur. Bu iki özet bilgi birbiri ile aynı ise, imza kabul edilmektedir. Aksi takdirde iki ihtimal vardır. Bunlar : 1) İmza geçerli değildir  2) Mesaj yolda değişime uğramıştır.

1.1 Dijital İmzanın Kullanım alanları

Dijital İmzanın yaygın kullanım alanını Finans ve B2B(Business To Business) E-Ticaret sektörleri oluşturmaktadır. Karşılıklı olarak iki tarafın da birbirinden emin olmasının sağlanması yani güçlü doğrulamanın (strong authentication) yapılabilmesi Sertifika Otoritesi kurumlar tarafından Sertifika alınması ile mümkündür.

Genel olarak bakıldığında dijital imzanın kullanım alanları şu şekilde listelenebilir:

1. a)      Bankacılık
2. b)      Borsa Aracı Kurumları
3. c)      B2B & B2C E-Ticaret Uygulamaları

Güvenli E-Posta Alış Verişi

5. Yasal düzenleme kaosu

Dijital imza konusunda yapılan yasal düzenlemeler “kaotik”. Bunun birincil nedeni, teknolojinin hukukun önünde, hem de çok hızlı gittiği. 

Daha sonra elektronik ve dijital imza kavramlarının çoğu yasa metinlerinde bir arada ve birbirlerine karıştırılarak kullanılması, doğal olarak bunların beraberinde getirdiği (yukarıda örneklenen) diğer kavramların da birbirine karışması söz konusu.

Öte yandan, dünya üzerinde şimdiye kadar yapılan yasal düzenleme örneklerine bakıldığında,  yasa koyucuların konuya temel yaklaşımlarının iki uçta kutuplandığı gözlemleniyor: Teknik ve/veya hukuksal.

Teknik yaklaşım, dijital imza teknolojisini güvenli elektronik ticaret için gerekli olan bir standart olarak ele alıp, yasaya esas olarak bu teknolojinin nasıl kullanılacağına odaklanıyor.

Hukuki yaklaşım ise ağırlığı, el yazısı, elektronik ve dijital imzaların eşdeğer yasal geçerlilikte olmasına verip, dijital imzayı yalnızca bir imza aracı olarak ele alıyor.

Bu iki uç yaklaşımı dengeleyen üçüncü bir yaklaşım, bir “orta yol” tercih edildiğinde, bir uçtaki amacın gerçekleşmesi için, diğer uçtakinin araçlarının kullanılması ise işleri daha da güçleştiriyor. Örneğin, elektronik bir belgenin yasal olarak imzalanmış sayılması için belli bir teknolojiye odaklanılması ve bu teknolojinin kullanımının yeterli görülmesi.

Dijital imzanın yasal düzenlenmesindeki “Hukuki” ve “Teknik” yaklaşımların, yaklaşım yöntemleri de ayrıca farklılıklar gösterebiliyor. Örneğin, geleneksel imza ile elektronik imzaları eşitleyen bazı yasalar, açık bir yaklaşım belirleyerek, imzayı “sırf elektroniktir” diye geçersiz saymaktan kaçınırken, bazı yasalar da geçerlilik için, yukarıda belirtilen işlevsel analiz testlerini öngörmektedirler.

Dijital imzayı ya da geniş anlamda “elektronik özgünlük - yasal delil” konusunu düzenleyen yasaları, yasa koyucuların çıkış noktası ve önemsedikleri konuklara göre şöyle gruplamak mümkün: 

1. Teknoloji-nötr - Teknoloji-bağımlı
2. Ulusal – Uluslararası
3. Özel hukuk – kamu hukuku
4. Devlet eliyle – Özdenetim sonucu