Gelişmiş Dijital İmza (AES) Nedir? Hukuki Geçerlilik ve Teknik Altyapı
Gelişmiş Dijital İmza (Advanced Electronic Signature — AES), basit el yazısı imza görselinin ötesine geçerek imzayı imzacıya benzersiz şekilde bağlayan, belge bütünlüğünü kanıtlayan ve uzun vadede doğrulanabilir kılan ileri düzey online imza teknolojisidir. eIDAS Art.26 ve 5070 sayılı Elektronik İmza Kanunu m.4 tanımlarına uyumlu bu yapı, ticari ve kurumsal sözleşmelerde delil değeri sağlar.
Gelişmiş Dijital İmza (AES) Tanımı
Gelişmiş Dijital İmza, eIDAS Art.26’ya göre dört şartı sağlayan dijital imzadır:
- Yalnızca imzacıya bağlıdır — Kimlik doğrulama ile her imza belirli bir kullanıcıya iz sürer
- İmzacıyı tanımlayabilir — Hesap, kimlik kanıtı ve kontrol verisi birlikte değerlendirilir
- İmzacının yüksek seviyede kontrolünde oluşturulur — Çok kanallı doğrulama (e-posta + SMS OTP + cihaz/oturum verisi)
- Belgeyle öyle bağlanır ki sonraki değişiklikler tespit edilebilir — Kriptografik mühür ve hash doğrulaması
İmzala.org’da standart dijital imza akışı Basit Elektronik İmza (SES) seviyesindedir; kimlik doğrulama (telefon OTP + T.C. Kimlik/NVI doğrulaması) etkinleştirildiğinde akış bu dört şartı karşılayacak şekilde Gelişmiş Dijital İmza (AES) seviyesine yükselir.
AES’in Üç Katmanı:
- Kimlik kanıtı — E-posta + telefon + opsiyonel T.C. kimlik numarası doğrulaması
- İmzacı niyetinin kaydı — Kullanıcının ekranda çizdiği el yazısı imza görseli (SES) + IP / cihaz / oturum kanıt kaydı
- Belge bütünlüğü mühürü — Sistem kriptografik sertifikasıyla CMS/PAdES imzası + RFC 3161 zaman damgası
SES, AES ve QES Farkları
eIDAS ve 5070 sayılı Kanun üç imza seviyesi tanımlar:
1. Basit Elektronik İmza (SES — Simple Electronic Signature)
Tarama imzası, e-posta sonundaki isim-soyisim, tarayıcıda parmakla/mouse ile çizilen el yazısı imza görseli bu kategoridedir. Kullanıcının imza ekranında çizdiği canvas görüntüsü tek başına SES’tir; taraflar arasında geçerlidir ancak bütünlük ve zaman kanıtı sınırlıdır.
2. Gelişmiş Dijital İmza (AES — Advanced Electronic Signature)
SES üzerine kimlik doğrulama ve kriptografik mühür eklenmiş halidir. İmzala.org’da bu seviye, kimlik doğrulama (telefon OTP + T.C. Kimlik/NVI doğrulaması) etkinleştirildiğinde elde edilir:
- Kullanıcı el yazısı imzasını çizer (SES bileşeni)
- Telefon OTP + T.C. Kimlik/NVI ile imzacının kimliği doğrulanır (AES kimlik bileşeni)
- Sistem; belge + imza görseli + zaman damgasını CMS/PAdES standardında mühürler (AES bütünlük bileşeni)
- Sonuç: Belgede yapılacak en küçük değişiklik bile imzanın geçersizliğini ortaya koyar
3. Nitelikli Elektronik İmza (QES — Qualified Electronic Signature)
ESHS (Elektronik Sertifika Hizmet Sağlayıcısı) tarafından kişiye özel üretilmiş nitelikli sertifika ve QSCD cihazıyla (USB token, akıllı kart, mobil imza) atılan imzadır. Türkiye’de 5070 m.5 kapsamında ıslak imzayla aynı hukuki sonucu doğurur. İmzala.org, QES desteğini ESHS entegrasyon yol haritası kapsamında genişletmektedir.
PAdES ve Zaman Damgası Standartları
İmzala.org’daki belge mühürlemesi açık standartlara dayanır:
PAdES (PDF Advanced Electronic Signatures)
- PAdES B-B — Temel imza profili
- PAdES B-T — Zaman damgalı imza
- PAdES B-LT — Revocation bilgisi gömülü uzun vadeli imza
- PAdES B-LTA — Arşiv zaman damgalı, uzun vadede doğrulanabilir imza
İmzala.org, varsayılan olarak PAdES B-LTA seviyesinde hedefler ve TÜBİTAK zaman damgası dönüş yapmazsa otomatik olarak alt seviyeye düşer (zaman damgası daha sonra eklenebilir).
RFC 3161 Zaman Damgası
İmzalama anının kanıtlanması için TÜBİTAK KAMU SM tarafından sağlanan RFC 3161 standardındaki zaman damgası imzaya eklenir. Bu, imzanın belirli bir tarihte var olduğunu ispatlar.
Hukuki Geçerlilik
Türk Hukuku
- 5070 sayılı Elektronik İmza Kanunu m.4 — Elektronik imzanın tanımı ve teknik kriterleri
- 5070 m.5 — Güvenli elektronik imzanın ıslak imzayla eşdeğerliği (QES için)
- HMK m.199/202 — Elektronik ortamda oluşturulmuş belgelerin belge niteliği ve takdiri delil değeri (senet hükmü yalnızca güvenli elektronik imza / QES için, m.205)
- TBK m.14-15 — Yazılı şekil şartı ve elektronik imza
Avrupa Birliği
- eIDAS Tüzüğü 910/2014 Art.25 — Hukuki etki: hiçbir elektronik imza yalnızca elektronik olduğu için delil değerinden mahrum bırakılamaz
- eIDAS Art.26 — AES’in dört kriteri
Yargısal Pratik
Türk mahkemeleri, AES seviyesinde imzalanmış belgeleri taraflar arasında delil olarak değerlendirmekte; yetkili merci kararıyla bilirkişi incelemesi ve PAdES bütünlük doğrulaması yapılmaktadır. Yargıtay’ın birçok kararı, elektronik ortamda atılan imzanın taraflar arasında geçerli sayılması yönündedir.
Geleneksel İmza vs Gelişmiş Dijital İmza
| Özellik | Geleneksel Islak İmza | Gelişmiş Dijital İmza (AES) |
|---|---|---|
| Güvenlik | Görsel benzerlik kontrolü | Kriptografik bütünlük mühürü |
| Doğrulama | Uzman görsel karşılaştırma | PAdES bütünlük doğrulaması |
| Hız | Manuel süreç (gün/hafta) | Otomatik (dakikalar) |
| Yasal Geçerlilik | TBK / HMK | 5070 m.4 + HMK m.199/202 (takdiri delil) + eIDAS Art.26 |
| Zaman Kanıtı | Belirsiz | RFC 3161 zaman damgası |
| Bütünlük Tespiti | Sınırlı | Belge hash karşılaştırması |
| Maliyet | Kağıt + İnsan gücü | Dijital platform |
| Ölçeklenebilirlik | Sınırlı | Sınırsız |
Güvenlik ve Gizlilik
Kriptografik Altyapı
Gelişmiş Dijital İmza güvenlik önlemleri:
Belge Şifreleme ve İmzalama
- AES-256 simetrik şifreleme (at rest)
- RSA-2048 asimetrik sistem imzası
- SHA-256 hash algoritması
- TLS 1.3 ile transport güvenliği
KVKK ve GDPR Uyumluluğu
KVKK uyumlu dijital imza süreçleri:
Hukuki Sebepler:
- KVKK m.5/2(c) — Sözleşmenin kurulması veya ifası
- KVKK m.5/2(f) — Veri sorumlusunun meşru menfaati
- Aydınlatma + ayrı rıza katmanı (m.10)
Veri Sahibi Hakları (m.11):
- Erişim, düzeltme, silme, taşınabilirlik
Önemli not: İmzala.org, davranışsal biyometrik parametreler (basınç, hız, ivme, kalem açısı), parmak izi veya yüz tanıma verisi toplamaz. Bu sayede KVKK m.6 kapsamındaki özel nitelikli veri yükümlülüklerinin dışında kalır; veri minimizasyonu ilkesi azami düzeyde uygulanır. KVKK Kurulu’nun 27.08.2020 tarih 2020/649 sayılı kararı doğrultusunda yalnızca görüntü verisi olarak alınan canvas el yazısı imza, biyometrik veri sayılmaz.
İmzala.org Gelişmiş Dijital İmza Sistemi
Platform Özellikleri
Online imza platformumuzun özellikleri:
Çok Kanallı Doğrulama
- E-posta doğrulama
- SMS / WhatsApp OTP
- IP ve cihaz parmak izi
- Risk tabanlı oturum kontrolü
Güvenlik Altyapısı
- OpenBao KMS ile kriptografik anahtar yönetimi
- RSA-2048 sistem imza sertifikası
- AES-256-GCM at-rest şifreleme
- Hetzner Almanya AB veri merkezinde barındırma
Standartlar ve Uyumluluk
Gelişmiş Dijital İmza uyum referansları:
Uluslararası Standartlar:
- ETSI EN 319 142 — PAdES profilleri
- ETSI EN 319 122 — CAdES profilleri
- RFC 3161 — Zaman damgası protokolü
- ETSI EN 319 102 — Dijital imza oluşturma ve doğrulama prosedürleri
Ulusal Uyumluluk:
- TÜBİTAK KAMUnet zaman damgası entegrasyonu
- 5070 sayılı Elektronik İmza Kanunu uyumlu mimari
- KVKK uyumlu veri işleme ve VERBİS kayıtlı veri sorumlusu
Kullanım Alanları ve Sektörler
Bankacılık ve Finans
Gelişmiş Dijital İmza finans sektöründe:
Kullanım Örnekleri:
- Kredi başvuru ve sözleşme süreçleri
- Hesap açılış formları
- Yatırım talimatları
- Sigorta poliçeleri
Avantajları:
- KYC ve müşteri doğrulama akışı
- Dolandırıcılık riskini azaltma
- Müşteri deneyimi iyileştirme
- Mevzuat uyumu
Sağlık Sektörü
Online imza sağlık alanında:
Onam Formları:
- Tedavi ve cerrahi onam belgeleri
- Tıbbi kayıt erişim onayı
- Reçete ve tedavi planı onayı
Devlet ve Kamu Hizmetleri
Gelişmiş Dijital İmza kamu sektöründe:
E-Devlet Uygulamaları:
- Vatandaşlık ve kayıt işlemleri
- Vergi ve sosyal güvenlik beyanları
- Eğitim belge onayları
Emlak ve İnşaat
Online imza emlak sektöründe:
Sözleşme Türleri:
- Dijital sözleşme satış
- Kira sözleşmeleri
- Müteahhitlik anlaşmaları
- Sigorta poliçeleri
Teknik Entegrasyon
API Entegrasyonu
API entegrasyonu ile Gelişmiş Dijital İmza:
RESTful API Endpoints:
// Sözleşme oluşturma
POST /api/v1/demands
{
"template_id": "tmpl_123",
"parties": [
{ "first_name": "Ahmet", "last_name": "Yılmaz", "email": "[email protected]", "phone": "+905551234567" }
],
"fields": { "tutar": "10000 TL" }
}
// Sözleşme durumu sorgulama
GET /api/v1/demands/:idSDK Desteği:
- JavaScript / TypeScript
- Webhook bildirimleri
- iOS / Android mobil SDK
- ERP, CRM, ITSM entegrasyonu
Mobil Entegrasyon
Online imza mobil uygulamalarda:
Native Mobile Özellikleri:
- iOS ve Android native uygulamalar
- Touch ID / Face ID ile yalnızca cihaz açma (oturum kontrolü)
- Push bildirim ile imza talebi
- Offline imza taslağı + senkronizasyon
Performans ve Ölçümler
Sistem Performansı
Online imza sistem metrikleri:
Tepki Süreleri:
- Belge yükleme ve önizleme: <2 saniye
- İmza oluşturma: <1 saniye
- PAdES mühürleme + zaman damgası: 2-5 saniye
- API yanıt: <200 ms
Ölçek:
- 99.9% uptime hedefi
- Otomatik horizontal ölçekleme
- AB veri merkezinde tam yedekli mimari
Gelecek Teknolojileri
Nitelikli Elektronik İmza (QES) Entegrasyonu
- USB token (PKCS#11) ve akıllı kart desteği
- Mobil İmza (operatör tabanlı) entegrasyonu
- AB ESHS QTSP entegrasyonu (eIDAS QES)
Davranışsal Risk Sinyalleri
- IP coğrafi tutarsızlık tespiti
- Hız tabanlı bot tespiti
- Cihaz parmak izi (kullanıcı tanımlama için, biyometri için değil)
Best Practices ve Öneriler
Uygulama Önerileri
Gelişmiş Dijital İmza uygulama rehberi:
Kullanıcı Deneyimi:
- Açık adım adım yönlendirme
- Hata ekranlarında çözüm önerisi
- Erişilebilirlik (WCAG 2.1 AA) uyumu
Güvenlik:
- Düzenli anahtar rotasyonu
- Olay müdahale planı
- Bağımsız penetrasyon testi
- Açıklık değerlendirmesi
Uyum Kontrol Listesi
Online imza uyum kontrolü:
Yasal Gereksinimler:
- ✅ 5070 sayılı Elektronik İmza Kanunu
- ✅ KVKK / GDPR uyumlu veri işleme
- ✅ Sektörel düzenlemeler (BDDK, SPK vb.)
- ✅ eIDAS ile uyumlu AES tasarımı
Teknik Gereksinimler:
- ✅ ETSI PAdES / CAdES standartları
- ✅ Audit log ve değişmez kayıt
- ✅ Yedekleme ve felaket kurtarma planı
- ✅ AB lokasyonlu veri merkezi
Maliyet ve ROI Analizi
Yatırım Maliyetleri
Gelişmiş Dijital İmza maliyet analizi:
İlk Kurulum:
- Platform abonelik ücreti
- Entegrasyon ve şablon hazırlık
- Kullanıcı eğitimi
İşletme Maliyetleri:
- Aylık abonelik / işlem bazlı fiyatlama
- Bakım ve destek
ROI Hesaplama
Online imza geri dönüş analizi:
Tasarruf Alanları:
- Kağıt ve baskı: %100 azalma
- Kargo / posta: %100 azalma
- Süreç süresi: %90 azalma
- Manuel arşivleme iş gücü: belirgin azalma
Örnek Hesaplama:
Yıllık İşlem Hacmi: 10.000 sözleşme
Geleneksel Maliyet: 50 TL/sözleşme = 500.000 TL
Dijital Maliyet: 5 TL/sözleşme = 50.000 TL
Yıllık Tasarruf: 450.000 TL
ROI: 900%Sorun Giderme ve Destek
Yaygın Sorunlar
İmzalama Sorunları:
- E-posta veya SMS OTP ulaşmaması
- Tarayıcı uyumluluk
- Mobil cihazda canvas çizim akışı
Çözüm Önerileri:
- Alternatif kanal (SMS / WhatsApp / e-posta)
- Yeniden gönderim ve hatırlatma
- 7/24 müşteri desteği
Teknik Destek
Destek Kanalları:
- Canlı sohbet (chat.imzala.org)
- Telefon desteği
- E-posta destek bileti
- Yardım merkezi dokümantasyonu
Sonuç ve Öneriler
Gelişmiş Dijital İmza (AES) teknolojisi, dijital dönüşüm sürecinin temel araçlarındandır. Dijital imza avantajlarından maksimum fayda sağlamak için:
Başlangıç Adımları:
- İhtiyaç analizi yapın
- Pilot proje başlatın
- Kullanıcı eğitimleri düzenleyin
- Kademeli geçiş planlayın
Uzun Vadeli Strateji:
- Toplu imza süreçlerini optimize edin
- Uzaktan çalışma modellerini destekleyin
- API entegrasyonu ile süreçleri otomatize edin
- QES gerektiren akışlar için ESHS entegrasyonunu planlayın
İmzala.org’un dijital imza altyapısı ile işletmenizi geleceğe taşıyın. Standart akışta Basit Elektronik İmza (SES), kimlik doğrulama etkinleştirildiğinde eIDAS Art.26 uyumlu Gelişmiş Dijital İmza (AES) seviyesi sunan online imza platformu ile rekabet avantajı elde edin.