Zaman Damgası Nedir? TÜBİTAK Kamu SM Ücretsiz mi, Fiyat Nedir? (2026 Tam Rehber)
Zaman damgası, dijital çağın en kritik ama en yanlış anlaşılan araçlarından biri. “Belge ne zaman vardı?” sorusunu matematiksel kesinlikle cevaplar — sözleşmelerden vergi belgelerine, müzik telifinden yazılım koduna kadar her yerde kullanılır. Ama nasıl çalışır? TÜBİTAK Kamu SM ücretsiz mi? Fiyat ne? Bu rehber tüm soruları cevaplıyor.
Görsel: Zaman damgası — belgenin tam anlık var olduğunu ispatlayan dijital mekanizma
Zaman Damgası Nedir?
Zaman damgası (timestamp), bir elektronik belgenin belirli bir an’da var olduğunu ve o an’dan itibaren değiştirilmediğini matematiksel olarak kanıtlayan güvenli bir dijital mekanizmadır.
İki temel soruyu cevaplar:
| Soru | Cevap |
|---|---|
| Bu belge ne zaman vardı? | TSA imzasındaki atom saati zamanı |
| Bu belge o tarihten beri değişti mi? | SHA-256 hash karşılaştırması — tek bayt fark → invalid |
Önemli not: Zaman damgası belgeyi şifrelemez, gizlemez veya kimliği doğrulamaz. Sadece “bu içerik X tarihinde böyleydi” der.
Nasıl Çalışır? (Kriptografik Mekanizma)
Süreç 5 adımda gerçekleşir:
1. Belgenin SHA-256 hash'i hesaplanır
2. Hash, RFC 3161 protokolü ile TSA'ya gönderilir
3. TSA hash + anlık zamanı kendi özel anahtarıyla imzalar
4. İmzalı token belgeye gömülür (PAdES) veya ayrı saklanır (.tsr)
5. Doğrulama: hash yeniden hesaplanır, TSA imzası verify edilirÖnemli güvenlik özelliği: TSA’ya ham belge gönderilmez — sadece hash. Bu sayede:
- Belgenin içeriği TSA’da kayıt altında değil (KVKK uyum)
- Hash tek yönlüdür — geri çevrilip belge bulunamaz
- Aynı belgenin her zaman aynı hash’i olur (tutarlılık)
Görsel: Fiziksel damga mantığı dijital ortamda — ama matematiksel olarak değiştirilemez
TÜBİTAK Kamu SM Zaman Damgası
Türkiye’nin en yetkili ve yaygın kullanılan zaman damgası sağlayıcısı TÜBİTAK Kamu Sertifikasyon Merkezi (Kamu SM)‘dir.
Resmi Statü
- ✅ 5070 sayılı Elektronik İmza Kanunu kapsamında nitelikli zaman damgası otoritesi olarak tanınır
- ✅ Adobe Approved Trust List (AATL) üyesi → PDF’lerde otomatik yeşil tik
- ✅ ETSI EN 319 422 standardına uygun
- ✅ RFC 3161 protokol uyumu
- ✅ Mahkemede delil olarak kabul edilir (HMK m.199-202)
Teknik Bilgiler
| Özellik | Değer |
|---|---|
| TSA URL | tsa.kamusm.gov.tr |
| Protokol | RFC 3161 (HTTPS POST) |
| Hash algoritması | SHA-256, SHA-384, SHA-512 |
| TSA imza algoritması | RSA-2048 + SHA-256 |
| Zaman kaynağı | Atom saati senkronizasyonu |
| SLA | %99.9 erişilebilirlik |
TÜBİTAK Kamu SM Ücretsiz mi?
Hayır, ücretlidir. Bireysel/kurumsal ücretsiz erişim yok. Üç tarife modeli:
- Yıllık abonelik (kurumsal) — sabit damga kontenjanı
- Sorgu paketi — önceden alınan damga sayısı (örn. 1.000 / 10.000)
- Aracı SaaS platform (örn. İmzala.org) — sorgu bazlı, küçük volume için pratik
💡 Pratik öneri: Tek tük damga için kendi başvurunuz yerine İmzala.org’un Eser Tasdikle servisi kullanın (üyelik bile gerektirmez). Yıllık binlerce damga için kurumsal abonelik daha ekonomik.
RFC 3161 — Uluslararası Standart
RFC 3161 (Time-Stamp Protocol), Internet Engineering Task Force (IETF) tarafından 2001’de yayınlanan ve tüm güvenilir TSA’ların uyduğu uluslararası standardır.
Standardın Garantileri
- 🌍 Küresel uyumluluk: TR’de alınan damga AB’de, ABD’de doğrulanır
- 🔐 Asimetrik kriptografi: TSA özel anahtarı + bilinen public key
- 🕐 Anlık zaman: Sorgu anındaki saniye kesinliğinde zaman
- 📋 Token formatı: Standartlaştırılmış (PKCS#7/CMS yapısı)
Pratik Önemi
Bir TÜBİTAK Kamu SM damgası Almanya mahkemesinde doğrulanabilir, çünkü Alman Adobe Reader da AATL üzerinden TÜBİTAK kök sertifikasını tanır. Bu sayede cross-border iş süreçleri sorunsuz işler.
Zaman Damgası vs Elektronik İmza — Farkı Nedir?
Karıştırılan iki kavram. Net ayrım:
| Özellik | Elektronik İmza | Zaman Damgası |
|---|---|---|
| Cevapladığı soru | Kim imzaladı? | Belge ne zaman vardı? |
| Çalışma prensibi | Kullanıcı özel anahtarı | TSA özel anahtarı |
| Kimlik gerekli mi? | Evet (sertifika sahipliği) | Hayır (sadece hash) |
| Belgenin kendisi | İmzanın bir parçası | TSA’ya gönderilmez (sadece hash) |
| Yasal dayanak | 5070 m.4 | 5070 m.3-h, 5070 m.5 |
En güçlü kombinasyon: İkisi birlikte kullanılır →
“X kişi (e-imza), Y tarihinde (zaman damgası), Z belgesi (hash) üzerinde imza attı ve bundan sonra hiçbir değişiklik olmadı.”
İmzala.org platformunda her dijital imza süreci bu iki adımı otomatik birleştirir — ayrıca bir şey yapmanız gerekmez.
Görsel: PDF üzerinde dijital imza + zaman damgası kombinasyonu — Adobe Reader yeşil tik
Adobe Reader Yeşil Tik — Ne Anlama Geliyor?
PDF’inizi Adobe Reader’da açtığınızda üstte yeşil tik + “İmzalı ve doğrulanmış” mesajı görüyorsanız, bu şu anlama gelir:
- ✅ Belge tam olarak imzalandığı andan beri değişmedi
- ✅ Belgenin imzacısı bilinen, Adobe Approved Trust List’te (AATL) yer alan bir sertifika otoritesinden alınmış sertifikaya sahip
- ✅ Zaman damgası AATL üyesi bir TSA tarafından üretilmiş
TÜBİTAK Kamu SM = AATL üyesi → İmzala.org’un ürettiği tüm imzalı PDF’ler bu yeşil tiki gösterir.
Yeşil Tik Yoksa?
- ❓ Sarı uyarı: Adobe TSA’yı tanımıyor — gizli/özel TSA olabilir, ek doğrulama gerekir
- 🔴 Kırmızı X: Belge imzalandıktan sonra değişti — invalid
Uzun Süreli Geçerlilik — PAdES-LTA Standardı
Zaman damgası tokenının kendi ömrü vardır — TSA’nın imza sertifikası genelde 10 yıl geçerli. Süre dolduktan sonra teorik olarak token “expire” olur.
Çözüm: Damga Zinciri (Timestamp Chain)
İlk damganın süresi dolmadan önce, üzerine yeni bir damga atılır:
Damga 1 (2026, 10 yıl) → süresi dolmadan önce →
Damga 2 (2035, 10 yıl) → süresi dolmadan önce →
Damga 3 (2044, 10 yıl) → ... sonsuzaBu otomatik süreci PAdES-LTA (Long Term Archive) standardı yönetir. İmzala.org platformunda imzalanan tüm PDF’ler LTA seviyesinde mühürlenir — 10+ yıl sonra hâlâ açılabilir, hâlâ doğrulanabilir.
Hangi Sektörlerde Kullanılır?
Zorunlu Olduğu Yerler
- 📄 e-Fatura ve e-Defter (GİB)
- 💊 e-Reçete (Sağlık Bakanlığı)
- 🏦 Bankacılık denetim kayıtları (BDDK)
- ⚖️ Mahkeme + savcılık dijital dosyaları
- 🎓 Üniversite diploma + transkript dijital arşiv
Yaygın Kullanım Alanları
- 🎵 Müzik / Beste / Şarkı sözü — telif hakkı sahipliği ispatı
- 💻 Yazılım kodu — patent öncesi sahiplik kanıtı
- 📷 Fotoğraf / Tasarım — fikri mülkiyet
- 📝 Bilimsel makale / Doktora tezi — öncelik (priority) kanıtı
- 🎬 Senaryo / Film tasarımı — telif
- 📚 Kitap / Yazılı eser — yayın öncesi
Ticari Süreçler
- 💼 Sözleşmeler — imzalanma tarihi kanıtı
- 🛒 e-Ticaret faturaları — TKHK uyum
- 🏠 Gayrimenkul belgeleri — tarihsel kanıt
- 💰 Sigorta poliçeleri — düzenleme tarihi
Görsel: Kriptografi temelli güvenlik — zaman damgasının matematiksel garantisinin kaynağı
Online Tek Damga — Eser Tasdikle Servisi
Bireysel kullanıcılar veya küçük volume için İmzala.org Eser Tasdikle servisi ideal:
- Üyelik gerekmez — direkt dosya yükle
- Tek tıkla TÜBİTAK Kamu SM zaman damgası
- Eser Sahibi Sertifikası PDF olarak indirilir
- Email’e güvenli kopya gönderilir
Kullanım Senaryoları
🎵 Müzisyensiniz, yeni bir şarkı yazdınız → MP3’ü yükle, 2 dakikada Eser Sahibi Sertifikası al → telif ihtilafında elinizde matematiksel kanıt var
💻 Yazılımcısınız, bir algoritma geliştirdiniz → ZIP’i yükle, damgayı al → patent öncesi öncelik (prior art) kanıtı
📷 Fotoğrafçısınız, özel bir kareniz var → JPG’yi yükle, damgayı al → telif ihlali davasında kullan
📚 Yazarsınız, yazınızı henüz yayınlamadan → DOCX yükle, damgayı al → fikrin kaynağı sizsiniz
API Entegrasyonu — Programatik Zaman Damgası
Büyük volume veya entegre sistemler için İmzala.org Zaman Damgası API’sini kullanabilirsiniz.
Tipik Akış (cURL)
curl -X POST https://api.imzala.org/api/v1/timestamp \
-H "Authorization: Bearer YOUR_API_KEY" \
-H "Content-Type: application/json" \
-d '{
"hash_algorithm": "SHA-256",
"document_hash": "e3b0c44298fc1c149afbf4c8996fb924...",
"tsa": "tubitak-kamusm"
}'Yanıt
{
"timestamp_token": "MIAGCSqGSIb3DQEHA...",
"tsa_name": "TUBITAK Kamu SM TSA",
"timestamp": "2026-05-29T10:42:17Z",
"serial_number": "29384720",
"expiry": "2036-05-29T10:42:17Z"
}SDK Örnekleri
- Node.js, Python, PHP, Java, .NET için kod örnekleri api-docs.imzala.org
- Webhook desteği — asenkron işlemler için
- Bulk endpoint — toplu damga uygulaması (max 100/istek)
Maliyet
- Ücretsiz planda belirli sayıda damga dahil
- Üstü için sorgu bazlı ücretlendirme
- Aylık 10K+ damga için özel fiyatlandırma (iletişim formu)
KVKK Uyum
Zaman damgası işlemi KVKK ‘kişisel veri işleme’ tanımına bile girmez çünkü:
- TSA’ya ham belge gönderilmez — sadece SHA-256 hash
- Hash tek yönlüdür — geri çevrilip belge bulunamaz
- TSA, belgenin içeriğini bilmez ve saklamaz
Yani bir mali tablo, sağlık raporu, KVKK m.6 özel nitelikli veri içeren belge — hepsine güvenle zaman damgası uygulayabilirsiniz. İçerik TSA’ya geçmez.
Veri Merkezi
İmzala.org’un zaman damgası altyapısı:
- 🇩🇪 Almanya Hetzner veri merkezi (GDPR alanı)
- 🇹🇷 TÜBİTAK Kamu SM (Türkiye’de)
- ↔️ Sadece hash trafiği — kişisel veri sızıntısı yok
Görsel: Zaman damgalı belgeler Yargıtay’da yerleşik içtihatla delil niteliğinde kabul edilir
Yargıtay ve Mahkeme Pratikleri
Türkiye yargısı zaman damgalı belgeleri kabul edilmiş delil olarak kullanır.
Yasal Çerçeve
- 5070 sayılı Elektronik İmza Kanunu m.3-h: Zaman damgası tanımı
- 5070 m.5: Güvenli elektronik imza + zaman damgası → resmi ispat
- HMK m.199: Elektronik belge “belge” sayılır
- HMK m.202: Güvenli elektronik imzalı belgeler senet hükmünde
- Borçlar Kanunu m.14: Yazılı şekil şartı sağlanır
Yargıtay Kararları
Yargıtay 2016’dan bu yana 9.700+ kararda elektronik imzalı + zaman damgalı belgeleri delil olarak kabul etti. Tipik kabul kriterleri:
- Zaman damgası bilinen TSA’dan (TÜBİTAK Kamu SM, AATL üyesi)
- RFC 3161 standart token
- Audit trail mevcudiyeti (IP, cihaz, oturum)
- Belgenin bütünlük doğrulaması geçer (hash karşılaştırma)
Sık Sorulan Sorular
Zaman damgası (timestamp), bir elektronik belgenin belirli bir tarih/saatte var olduğunu ve o andan itibaren değiştirilmediğini matematiksel olarak kanıtlayan güvenli dijital mekanizmadır. Belgenin kriptografik özeti (hash), güvenilir bir Zaman Damgası Otoritesi (TSA) tarafından zamanlı olarak imzalanır. Mahkemede ‘bu belge X tarihinde vardı ve değişmedi’ kanıtı olarak kullanılır.
Hayır. TÜBİTAK Kamu SM’nin zaman damgası servisi ücretli ve kurumsal müşterilere yöneliktir. Tarife şu üç modelde sunulur: (1) Yıllık abonelik (sabit kontenjan), (2) Sorgu paketi (önceden alınan damga sayısı), (3) İmzala.org gibi aracı platformlar üzerinden sorgu bazlı kullanım. Bireysel kullanıcılar için en pratik yol İmzala.org’un Eser Tasdikle hizmeti — üyelik gerekmeden tek tek alınabilir.
RFC 3161, IETF tarafından tanımlanmış Zaman Damgası Protokolü (Time-Stamp Protocol) standardıdır. Tüm güvenilir TSA’lar (TÜBİTAK Kamu SM dahil) bu standarda uyar. Standart, hash gönderimi + TSA imzalı yanıt + doğrulama mekanizmasını kesin olarak tanımlar. Dünya genelinde tanınmış olması, Türkiye’de alınan damganın Almanya’da, ABD’de veya Japonya’da da doğrulanabilmesini sağlar.
Elektronik imza ‘kim’ sorusunu cevaplar — belgeyi kimin imzaladığını matematiksel olarak ispatlar. Zaman damgası ‘ne zaman’ sorusunu cevaplar — belgenin hangi anda var olduğunu ispatlar. İkisi birlikte kullanılır: önce kullanıcı belgeyi e-imza ile imzalar, sonra zaman damgası eklenir → ‘X kişi, Y tarihinde bu belgeyi imzaladı ve bundan sonra değişmedi’ tam ispat. İmzala.org bu iki adımı otomatik birleştirir.
Adobe Reader’ın yeşil tiki, TSA’nın kök sertifikasının Adobe Approved Trust List (AATL) içinde olduğunu gösterir. TÜBİTAK Kamu SM, AATL’de yer alır, bu yüzden TÜBİTAK damgalı PDF’ler Adobe Reader’da yeşil tik gösterir. Diğer TSA’lar (örn. Avrupa’da E-Tuğra, GlobalSign) da AATL’de olabilir; Adobe yeşil tiki sadece ‘tanınmış TSA’ anlamına gelir, otomatik olarak TÜBİTAK demek değildir.
Zaman damgası tokenının kendi geçerlilik süresi yoktur — TSA’nın imza sertifikası süresi (genelde 10 yıl) sona ererse damga ‘expire’ olabilir. Uzun vadeli koruma için ‘damga zinciri’ (timestamp chain) kullanılır: ilk damga süresi dolmadan önce damganın üstüne yeni bir damga atılır, böylece sonsuza kadar uzatılabilir. PAdES-LTA standardı bunu otomatik yapar. İmzala.org’da imzalı belgeleriniz LTA seviyesinde mühürlenir.
Fikri mülkiyet sahipliği ispatı için zaman damgası ideal araçtır. İmzala.org’un Eser Tasdikle (imzala.org/eser-tasdikle) servisi: dosyanızı yükleyin (PDF, müzik MP3, fotoğraf, kod ZIP), saniyeler içinde TÜBİTAK zaman damgalı ‘Eser Sahibi Sertifikası’ alın. Üyelik gerekmez, tek seferlik ödeme. Sonradan ihtilaf çıkarsa: ‘Bu eser X tarihinde vardı, ben sahibiyim’ matematiksel kanıt.
Evet. 5070 sayılı Elektronik İmza Kanunu Madde 3-h: ‘zaman damgası’ tanımlanmıştır. Madde 5: ‘güvenli elektronik imza ile zaman damgası bir arada kullanıldığında belgenin bütünlüğü ve zamanı resmi olarak ispatlanır’. HMK madde 199-202 elektronik belgeyi senet olarak tanır. Yargıtay’ın 9.700+ kararı zaman damgalı belgeleri delil olarak kabul ettiğini gösterir.
Evet. İmzala.org REST API ile herhangi bir PDF/dosyaya programatik olarak TÜBİTAK Kamu SM zaman damgası uygulanır. Tipik akış: POST /api/v1/timestamp endpoint’ine dosyayı (veya hash’i) gönderirsiniz, RFC 3161 standardında token alırsınız. SDK örnekleri Node.js, Python, PHP, Java, .NET için mevcut. Sorgu bazlı ücretlendirme, ücretsiz planda belirli sayı dahil.
Evet. Zaman damgası işleminde sadece belgenin SHA-256 hash’i (özet değer) TSA’ya gönderilir — ham belge veya kişisel veri TSA tarafına geçmez. Bu nedenle KVKK kapsamında ‘kişisel veri işleme’ tanımına bile girmez (tek yönlü hash geri çevrilemez). İmzala.org bu işlemi Almanya Hetzner veri merkezinde gerçekleştirir, KVKK + GDPR çift uyum kapsamında.
PDF/A, ISO 19005 standardı uzun süreli arşiv için uyarlanmış PDF formatıdır. İmzalı + zaman damgalı belgeler için PDF/A-3 (gömülü dosya destekli) veya PAdES-LTA önerilir. İmzala.org’un ürettiği imzalı PDF’ler PDF/A uyumludur — 10+ yıl sonra hâlâ açılabilir, hâlâ doğrulanabilir.
Sonuç
Zaman damgası, dijital çağda “belge ne zaman vardı?” sorusunu matematiksel kesinlikle cevaplayan kritik bir araç. TÜBİTAK Kamu SM Türkiye’nin en yaygın ve resmi kabul gören sağlayıcısı — Adobe yeşil tikine kadar tanınır. Mahkemede 5070 sayılı kanun + HMK kapsamında senet niteliğinde delil olarak kabul edilir.
Pratik seçenekleriniz:
- Bireysel tek damga → İmzala.org Eser Tasdikle (üyelik yok, anlık)
- API entegrasyonu → İmzala.org Zaman Damgası API (programatik, sorgu bazlı)
- Dijital sözleşmelerle birlikte → Her İmzala.org imzasında otomatik dahil
- Kurumsal yıllık → Doğrudan TÜBİTAK Kamu SM (yıllık kontenjan)
İlgili Rehberler: