Sorun hangisi; E-imza kopyalama, siber saldırı, sahte kimlik dolandırıcılığı mı?
Son günlerde kamuoyunda tartışılan e-imza odaklı olaya yönelik gelişmeleri izliyoruz. Adım adım konuyu açıklamaya çalıştım.
Nasıl bir durumla karşı karşıyayız?
Resmi kaynaklara göre doğru tanım, “sahte kimlik ve belgelerle e-imza üretici şirketlere başvuru yapılması” şeklinde açıklanmakta. Olay sahte kimlik belgeleriyle e-imza başvuru yoluyla gerçekleşmiştir.
Yani bir altyapı ihlali ya da veri sızıntısı değil; kimlik doğrulama süreçlerinin kötüye kullanılmasıyla yapılan organize bir sahtecilik. Prosedür ve mevzuat boşlukları kandırılarak yanlış kişiye yeni e-imza sertifika ürettirilmiş.
E-imza nerelerde kullanılıyor?
E-imza; kurum içi yazışmalar, ihale/teklif, sözleşme onayı, resmî başvuru-cevap gibi belge ve işlem onayı gerektiren akışlarda kullanılmakta. Kapalı kurumların sistemlerine “kullanıcı girişi” çoğu yerde yalnızca e-imza ile yapılmaz; bu sistemler ayrıca rol-yetki kontrolü, ağ/ IP kısıtları, ikinci doğrulamalar gibi katmanlar çalıştırır. E-imza, “bu işlemi şu kişi, şu zamanda şu kişi yaptı” bilgisini hukuken ispatlayan anahtar işlevi görür.
E-imza sistemi nasıl çalışır?
BTK’dan yetkili ESHS’lerce verilir. Bireysel sertifikada yalnızca T.C. kimlik numarası ve ad-soyad bulunur; görev/ünvan yazılmaz. ESHS, başvuru sahibinin hangi kurumda hangi yetkiyle işlem yapacağını bilmez, yönetmez; bu yetkiler e-imza ile işlemin yapılacağı ilgili kurumun yazılımında kurallar ve prosedürler ile tanımlanır. Başvuru, resmi kimlik belgeleriyle yapılır; e-imza, SIM kart boyutunda bir akıllı kart ve USB okuyucuyla teslim edilir. Kullanıcı, PIN koduyla belgeleri imzalar.
E-imza kopyalanabilir mi?
Hayır. Akıllı kartlar, asimetrik şifreleme ve donanım tabanlı güvenlik modülleri (HSM) ile korunur; özel anahtar akıllı kartın güvenli elemanında kartın içinde üretilir, dışarı çıkarılamaz ve çoğaltılamaz. İmza sırasında belgenin özeti karta gönderilir; kart içindeki kripto işlemci imzayı oluşturur ve sadece imza sonucu geri döner. ESHS sistemlerinde kullanıcıya ait özel anahtarın ikinci bir nüshası tutulmaz. Kartlar PIN deneme sayısı sınırlıdır; çoklu yanlış denemede kilitlenir. Bu da veri sızıntısını teknik olarak imkansız kılar.
Kırılma noktası kimlik doğrulama zinciri mi?
Kimlik doğrulama kimlik belgesi ile yapılır. Kayıt otoritesi uygunluk verirse sertifika üretilir. Kart/okuyucu teslim edilir.
Uzaktan Kimlik Doğrulama iki temel yöntem “Kimlik kartı + PIN ve e-Devlet / mobil bankacılık onayı” ile yapılıyor.
İstismar tam da ikinci adımda yaşanmış. Gerçek bir kişinin T.C. kimlik numarası ve adı, sahte fotoğraflı evrak ile birleştirilerek başvuru yapılmış; böylece kayıt aşaması yanıltılmıştır.
Ne değişti, hangi tedbirler devrede?
BTK, Ekim 2024’ten itibaren yüz yüze kimlik doğrulamasını kaldırarak elektronik yöntemlere geçmiş, sahte e-imzaların iptali ve denetimlerin sıkılaştırılması için ek talimatlar verilmiş, YÖK ve MEB, kendi sistemlerindeki sahte kayıtları temizlemek için denetimlerini artırmıştır. Ağustos 2024’te şüpheli işlemlerin fark edilmesiyle tespit edilen sahte e-imzaları mahkeme kararlarıyla iptal edilmiş.
E-imza sağlayıcıları bu akışlara canlılık tespiti (liveness) ve yüz karşılaştırma gibi biyometrik adımlar ekleyerek “başvuran kişi gerçekten kendisi mi?” sorusunu ikinci kanaldan doğrulamakta. 5 Mayıs 2025’ten bu yana, bir kişi adına e-imza başvurusunda kayıtlı tüm hatlara bilgilendirme SMS’i gönderiliyor. 6 saatlik güvenlik süresi başlıyor. Bu süre, kişinin bilgisi dışındaki başvuruları fark edip sağlayıcıya, kuruma bildirmesine imkân veriyor; sahte işlem durumunda bu aralıkta askıya alınabiliyor.
Vatandaş nelere dikkat etmeli?
e-Devlet’te adınıza düzenlenmiş sertifikaları düzenli kontrol edin, “Adınıza e-imza başvurusu yapıldı” içerikli SMS size ait değilse derhâl ESHS’nize ve BTK’ya bildirin, onay ekranlarını aceleyle kabul etmeyin; neyi onayladığınızı okuyun, şüpheli durumda ESHS’den işlem dökümünü alın, savcılığa başvurun.
Son söz ve işbirliği çağrısı:
Bu olay, kriptografinin değil, süreç tasarımının sınandığı bu zincirde insan ve süreç kaynaklı zafiyet olduğunu göstermiştir. Dijital egemenliği korumak için devlet kurumları, STK’lar, üniversiteler ve özel sektör işbirliği yapmalıyız. Bazı görevler de STK’lara delege edilmeli.
