QES / NES Native Helper Uyum Beyanı

1. Yasal Çerçeve

1.1 5070 Sayılı Elektronik İmza Kanunu (Türkiye)

5070 sayılı Kanun, Türkiye'de elektronik imzaların yasal çerçevesini belirler:

• Madde 4 — Güvenli Elektronik İmza: münhasıran imza sahibine bağlı, imza sahibinin tasarrufunda bulunan güvenli imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanan imzadır.
• Madde 5/1 — Eşdeğerlik: "Güvenli elektronik imza, elle atılan imza ile aynı hukuki sonucu doğurur."
• Madde 5/2 — İstisnalar: Kanunların resmî şekle veya özel bir merasime tabi tuttuğu işlemler (gayrimenkul, evlenme, vasiyet, kefalet vb.) e-imza ile yapılamaz. Detay için Kullanım Koşulları.

imzala.org Native Helper akışında BTK lisanslı ESHS tarafından düzenlenmiş kullanıcı sertifikası + Türk yetkili TSA (TÜBİTAK KAMU SM Zamane) bileşimi 5070 m.4 koşullarını karşıladığı için ortaya çıkan imza Madde 5/1 anlamında elle atılan imza ile aynı hukuki sonuçu doğurmayı hedefler. Nihai hukuki nitelendirme her zaman somut olayın koşullarına ve mahkeme takdirine bağlıdır.

1.2 eIDAS Tüzüğü 910/2014 (Avrupa Birliği)

AB Tüzüğü 910/2014 elektronik imzalar için üç düzey tanımlar (SES / AES / QES):

Art.25(2): "Bir nitelikli elektronik imza (QES), el yazısı imzanın hukuki sonuçlarına eşdeğer hukuki etkiye sahiptir."

Art.25(3): "Bir AB üye devletinde düzenlenen QES, diğer tüm üye devletlerde QES olarak tanınır."

Türkiye-AB Sınır Ötesi: Türkiye AB EU Trusted List (LOTL/TSL)'de yer almamaktadır. Bu nedenle Türk ESHS sertifikası ile atılan bir imza AB üye devletlerinde otomatik olarak QES sayılmaz; karşılıklı tanıma için eIDAS Art.14 uyarınca uluslararası anlaşma gerekir. AB tarafına imza atılan sözleşmelerde karşı tarafın hukuk müşaviriyle teyit almak Kullanıcı'nın yükümlülüğündedir. Detaylı bilgi: Kullanım Koşulları § 18 (Sınır Ötesi İşlemler).

1.3 HMK m.205/2 — Türk İspat Hukuku

6100 sayılı Hukuk Muhakemeleri Kanunu m.205/2: "Güvenli elektronik imza ile oluşturulan elektronik veriler senet hükmündedir." — yani senet niteliğindeki bir delil sunmuş olursunuz.

2. Teknik Standart Uyumu

2.1 PAdES B-LTA (ETSI EN 319 142-1 v1.2.1)

Helper akışında üretilen PDF imzaları aşağıdaki PAdES (PDF Advanced Electronic Signatures) yapısal seviyelerini destekler:

• B-B (Basic) — temel CMS imzası (imzalayan sertifikası gömülü)
• B-T (Timestamp) — imza üzerine RFC 3161 zaman damgası (TÜBİTAK KAMU SM Zamane)
• B-LT (Long-Term) — DSS sözlüğü ile OCSP/CRL revocation bilgileri gömülü
• B-LTA (Long-Term with Archive) — arşiv zaman damgası, imzanın sertifika geçerlilik süresi sonrası bile doğrulanabilir kalmasını sağlar

Bu seviyeler, sertifika geçerlilik süresi dolduktan sonra dahi (10+ yıl) imzanın kriptografik doğrulanabilirliğini korur.

2.2 BTK Profil Rehberi (2012/DK-15/299)

BTK Profil Rehberi P1/P2/P3/P4 baseline'larına yapılandırma düzeyinde destek vardır. Türk hukuki kapsamlı imzalarda 5070 marker OID 2.16.792.1.61.0.1.5070.3.2.1 imza içine gömülerek BTK NES doğrulayıcılarının tanıyabileceği bir profil üretilir. Türkiye dışı (eIDAS evrensel) kullanım gereken durumlarda bu marker bırakılmaz; aynı sertifikayla her iki profil de üretilebilir.

2.3 RFC 3161 Zaman Damgası

• Birincil TSA: TÜBİTAK KAMU SM Zamane (Policy OID 2.16.792.1.2.1.1.5.7.3.1) — Türk yasal zaman damgası
• Yedek TSA: AB Qualified TSA fallback'i için altyapı hazırdır; gerek görüldüğünde devreye alınır
• Resilience: Geçici TSA erişim sorunlarında imza B-T → B-B'ye düşer ve arka planda otomatik upgrade ile uzun-vade seviyeye taşınır

2.4 Diğer Standartlar

• ETSI EN 319 102-1 v1.4.1 — AdES imza oluşturma + doğrulama prosedürü
• RFC 5280 — X.509 PKI sertifika profili
• RFC 6960 — OCSP gerçek zamanlı revocation sorgu
• PKCS#11 v2.40 — USB token cryptographic interface

3. Native Helper

3.1 Genel Mimari

Helper, kullanıcının cihazında lokal çalışan native bir masaüstü uygulamasıdır. Java JRE veya .NET kurulumu gerekmez; tarayıcıyla yalnızca cihaz içi yerel TLS bağlantısı üzerinden iletişim kurar. macOS, Windows ve Linux için aşamalı dağıtım planlanmıştır. Açık standartlar (PKCS#11, RFC 3161, PAdES) üzerine kuruludur.

3.2 PIN Güvenlik Modeli

Kullanıcının USB token PIN'i:

• Browser'a, ağa veya log dosyalarına dokunmaz — yalnızca işletim sistemi PIN diyaloğunda kullanıcının yerel cihazında kalır
• imzala.org sunucuları PIN'i görmez — sunucumuza yalnızca imza değeri ve sertifika public bilgisi iletilir
• Özel anahtar USB token donanımından çıkmaz (PKCS#11 SSCD/QSCD modeli)
• Audit log'da imza zamanı + sertifika SHA-256 thumbprint + sonuç durumu yer alır; PIN içeriği veya özel anahtar değeri kayıt edilmez

3.3 Token / Sertifika Yaşam Döngüsü

• Sertifika edinme: Kullanıcı yetkili bir ESHS'den USB token üzerinde nitelikli elektronik sertifika satın alır. imzala.org bu işleme dahil değildir.
• PKCS#11 driver: Kullanıcı ESHS'sinin sağladığı PKCS#11 sürücüsünü kendi cihazına kurar (Adobe Acrobat ile imzalayanların zaten yapmış olduğu adım). Helper otomatik tespit yapar; eksikse indirme linkini gösterir.
• Revocation: Sertifikanın iptali ESHS tarafından yapılır. Helper imza anında OCSP/CRL sorgusu yapar; revoked sertifika ile imza reddedilir.

3.4 Vendor Uyumluluğu

Helper, PKCS#11 standardına bağlı çalıştığı için BTK lisanslı tüm Türk Elektronik Sertifika Hizmet Sağlayıcılarının (ESHS) USB token donanımları ile uyumlu olacak şekilde tasarlanmıştır. Kapsama dahil ESHS'ler:

• TÜBİTAK UEKAE Kamu Sertifikasyon Merkezi (Kamu SM / AKIS)
• E-Tuğra EBG Bilişim Teknolojileri ve Hizmetleri A.Ş.
• TürkTrust Bilgi, İletişim ve Bilişim Güvenliği Hizmetleri A.Ş.
• Elektronik Bilgi Güvenliği A.Ş. (E-Güven)
• Ayyıldız İmza Bilgi Güvenliği ve Teknolojileri A.Ş.
• EİMZATR Bilgi Güvenliği Hizmetleri A.Ş.
• Arksigner Yazılım ve Donanım Sanayi Ticaret A.Ş. (ARKİmza)

Vendor başına doğrulama testleri aşamalı olarak yapılmaktadır; ürün canlıya alınmadan önce her ESHS donanımının uçtan uca akış doğrulaması tamamlanır. Beta erişim ve uyumluluk durumu hakkında bilgi için [email protected].

4. İmza Akışı (Genel Bakış)

1. Kullanıcı dashboard üzerinden imza talebine erişir.
2. Helper kuruluysa tarayıcı SDK'sı yerel köprü üzerinden bağlanır.
3. Helper kullanıcı cihazındaki USB token sertifikalarını listeler; kullanıcı imzayı atacağı sertifikayı seçer.
4. Backend imzalanacak belgenin signedAttributes hash'ini hazırlar ve helper'a iletir.
5. Helper işletim sistemi PIN diyaloğunu açar; kullanıcı PIN'i girer.
6. USB token hash'i imzalar; imza değeri tarayıcı üzerinden backend'e iletilir.
7. Backend CMS yapısını birleştirir, RFC 3161 zaman damgası uygular ve PDF'e gömer.
8. İmzalı PDF saklanır; arka planda PAdES B-LT / B-LTA seviyesine yükseltilir.

5. Hata Senaryoları

• Helper kurulu değil: Kullanıcıya helper indirme linki gösterilir.
• Token takılı değil: "Token bulunamadı" hatası döner; kullanıcı SES akışına yönlendirilebilir.
• PKCS#11 driver eksik: Kullanıcıya hangi vendor için hangi sürücü gerektiği bildirilir.
• PIN hatalı: PKCS#11 standart davranışı geçerlidir — birkaç hatalı denemeden sonra token kilitlenir; bu yalnızca ESHS tarafından açılabilir.
• Sertifika revoked: İmza reddedilir; kullanıcı yeni sertifika alması için bilgilendirilir.
• TSA erişilemez: İmza geçici olarak B-B / B-T seviyesinde tutulur; bağlantı geri geldiğinde otomatik olarak uzun-vade seviyeye yükseltilir.

6. Audit Trail

• Helper lokal audit log: imza zamanı + sertifika thumbprint + sonuç durumu (PIN içeriği yok)
• Backend audit log: imza akışının her aşaması (talep → imza → zaman damgası → uzun-vade upgrade) zaman damgalı olarak kaydedilir
• İmzalı PDF üzerinde Adobe Reader veya AB DSS doğrulayıcı gibi bağımsız araçlarla doğrulama yapılabilir

7. Sınırlar ve Sorumluluklar

7.1 imzala.org Sorumlulukları

• Helper + tarayıcı SDK + backend imza akışının teknik bütünlüğü
• PAdES B-T → B-LT → B-LTA upgrade chain
• RFC 3161 zaman damgası entegrasyonu (TÜBİTAK KAMU SM)
• İmzalı PDF saklama ve doğrulama (10 yıl, TTK m.82 ile uyumlu)

7.2 Kullanıcı Sorumlulukları

• Yetkili bir ESHS'den nitelikli sertifika ve USB token temin etmek
• PKCS#11 sürücüsünü cihaza kurmak (ESHS yönlendirmesi ile)
• USB token ve PIN güvenliği
• Sertifika kaybı/çalınması durumunda ESHS'ye revocation talebi iletmek
• 5070 m.5/2 istisnaları kapsamındaki işlemleri (gayrimenkul, vasiyet, kefalet vb.) e-imza ile yapmaya çalışmamak

7.3 ESHS / Donanım Sorumlulukları

• Nitelikli sertifikanın 5070 sayılı Kanun + ETSI EN 319 411-2 baseline'ına uygun üretimi
• USB token güvenli imza oluşturma aracı (SSCD/QSCD) kapasitesi
• OCSP / CRL revocation servisi
• PKCS#11 driver bakımı ve dağıtımı

8. Açık Standartlar ve Şeffaflık

Helper mimarisi yalnızca açık standartlara (PKCS#11, RFC 3161, PAdES, X.509) dayanır; proprietary vendor lock-in barındırmaz. Aynı USB token Adobe Acrobat veya AB DSS gibi bağımsız doğrulayıcılarla uyumlu çalışır. Helper'ın source code'unun aşamalı olarak public'leştirilmesi yol haritamızdadır.

9. Yol Haritası

• Vendor doğrulamaları: Kapsama dahil tüm ESHS donanımlarının uçtan uca uyumluluk testleri aşamalı olarak tamamlanmaktadır.
• Çoklu platform dağıtımı: macOS (notarized .dmg), Windows (Authenticode signed .msi) ve Linux (.deb / .rpm) installer'ları için hazırlık devam etmektedir.
• Mobil imza: BLE / NFC tabanlı QES akışı ayrı bir yol haritası kalemidir.
• AB Qualified TSA fallback: AB müşteri akışına göre devreye alınacaktır; altyapı hazırdır.

10. Kabul ve İletişim

imzala.org platformunda Native Helper akışıyla imza atan / talep eden taraflar bu beyandaki uyum çerçevesini ve sınırları kabul etmiş sayılır. Hukuki geçerlilik gerektiren işlemleriniz için somut olayın koşullarına göre bir hukuk danışmanına başvurmanızı öneririz.