2026'da Elektronik İmza Nasıl Çalışır

Giriş

Elektronik imza bugün işletmelerin dijital dönüşümünün merkezinde yer almaktadır: 2025'te Avrupa'nın 70'ten fazla büyük kuruluşu en az bir sözleşme sürecine entegre etmiştir (kaynak: Gartner, Digital Process Automation Survey 2025). Bununla birlikte, elektronik imzayı hukuki açıdan geçerli ve teknik olarak tahrif edilemez yapan mekanizmaları kesin olarak anlayan karar vericiler nadirdir. Elektronik imzanın teknik olarak nasıl çalıştığını anlamak — kriptografi, PKI, sertifikalar — doğru çözüm seçmeyi, hukuki riskleri azaltmayı ve dahili kabulü hızlandırmayı sağlar. Bu makale sizi adım adım elektronik imzayı yöneten teknik mimarileri ve standartlar arasında 2026'da rehberlik eder.

---

Elektronik İmzanın Kriptografik Temelleri

Elektronik imza, kanıtlanmış kriptografik ilkel yöntemlerine dayanır. Mekanizmalarını anlamak, neden imzanın taranmış el yazısı imzasından daha güvenilir olduğunu anlamaktır.

Asimetrik Şifreleme: Açık Anahtar ve Özel Anahtar

Temel prensip, 1970'lerde icat edilen ve RSA (Rivest–Shamir–Adleman) veya eliptik eğriler (ECDSA) gibi algoritmalar tarafından standartlaştırılan asimetrik kriptografidir. Her imzacı, matematiksel olarak ilişkili iki anahtara sahiptir:

• Özel Anahtar: İmzacı tarafından gizli olarak, güvenli bir cihazda (akıllı kart, token HSM veya korumalı yazılım modülü) muhafaza edilir. İmzayı oluşturmak için kullanılır.
• Açık Anahtar: Serbestçe dağıtılır, dijital bir sertifikaya dahil edilir. İmzayı doğrulamak için kullanılır.

Güvenlik prensibi asimetrik hesaplama gücüne dayanır: açık anahtarla imzayı doğrulamak matematiksel olarak önemsizdir, ancak açık anahtardan özel anahtarı yeniden oluşturmak pratik olarak imkansızdır (ayrık logaritma problemi veya büyük tam sayıların çarpanlandırılması).

Karma Fonksiyonları: Belgenin Dijital Parmak İzi

İmza atmadan önce, sistem bir hash fonksiyonu (SHA-256 veya SHA-3 2026'da) kullanarak belgenin kriptografik parmak izini hesaplar. Bu parmak izi, hash veya özet olarak adlandırılan, sabit boyutta (SHA-256 için 256 bit) bir karakter dizesidir ve belgenin içeriğini benzersiz bir şekilde temsil eder.

Temel özellik: belgenin tek bir karakterini değiştirmek kökten farklı bir hash üretir. Bu, imzalı belgenin bütünlüğünü garanti eder: imzadan sonra yapılan herhangi bir değişiklik hemen tespit edilebilir.

Elektronik imza, bu nedenle bu hash'in imzacının özel anahtarı ile şifrelenmesidir. Doğrulama sırasında alıcı:

1. Orijinal hash'i almak için imzayı açık anahtarla şifreler;
2. Alınan belgenin hash'ini kendisi yeniden hesaplar;
3. İkisini karşılaştırır: özdeş ise, imza geçerlidir.

---

Açık Anahtar Altyapısı (PKI): Güven Zinciri

Şifreleme tek başına yeterli değildir: açık anahtarın, onu kullandığını iddia eden kişiye ait olduğunu da kanıtlamak gerekir. Bu, PKI (Açık Anahtar Altyapısı) rolüdür.

Sertifika Yetkilendirmeleri (CA)

Sertifika Yetkilendirmesi (AC veya CA) akredite edilmiş güvenilir bir üçüncü taraftır ve dijital sertifikaları yayınlar. Dijital sertifika, standartlaştırılmış bir dosyadır (X.509 formatı) ve şunları içerir:

• Sertifika sahibinin kimliği (ad, kuruluş, e-posta);
• Onun açık anahtarı;
• Geçerlilik dönemi;
• AC'nin kendi dijital imzası.

Avrupa'da, vasıflandırılmış CA'lar, eIDAS yönetmeliğine uygun olarak her AB Üye Devleti tarafından yayınlanan Güvenilir Listelerde listelenmiştir. Fransa'da ANSSI bu listeyi yayınlar ve muhafaza eder. Vasıflandırılmış güven hizmetleri sağlayıcıları (QTSP) — CertSign, Certigna veya Universign gibi — ETSI EN 319 401 standardına göre düzenli denetmelere tabi tutulmuştur.

Sertifikasyon Zinciri ve İptal

PKI hiyerarşik bir model üzerinde çalışır:

• Çevrimdışı tutulan ve maksimum fiziksel güvenlik koşullarında depolanan kök AC (Root CA);
• Son kullanıcıların sertifikalarını yayan ara AC'ler.

Sertifikaların iptali kritik bir mekanizmadır: özel anahtar ifşa edilirse, AC iptali CRL (Sertifika İptal Listesi) veya OCSP (Çevrimiçi Sertifika Durum Protokolü) protokolü aracılığıyla yayınlar ve gerçek zamanlı doğrulama sağlar.

eIDAS açısından vasıflandırılmış elektronik imza için, özel anahtar QSCD (Vasıflandırılmış İmza Oluşturma Cihazı) - CC EAL4+ veya üstü sertifikalı donanım, örneğin akıllı kart veya HSM (Donanım Güvenlik Modülü) - içinde oluşturulmalı ve saklanmalıdır.

---

eIDAS'a Göre Üç İmza Seviyesi

Avrupa yönetmeliği eIDAS No. 910/2014 (ve 2026 başında devam eden eIDAS 2.0 gelişmesi), her biri artan teknik garantiler sunan üç imza seviyesi tanımlar. Bu düzenleyici çerçeveyi derinleştirmek için lütfen eIDAS yönetmeliği hakkında kapsamlı kılavuzumuzu inceleyin.

Basit Elektronik İmza (SES)

Basit imza teknik olarak en az kısıtlayıcı formdur. Bir onay kutusu, SMS'le gönderilen bir OTP (Tek Kullanımlık Parola) kodu veya imzalanmış el yazısı imzasının bir görüntüsü kadar basit olabilir. Zorunlu olarak vasıflandırılmış bir sertifika gerektirmez.

Tipik Kullanım: teklif doğrulaması, pazarlama onayları, düşük riskli sözleşmeler.

Risk: uyuşmazlık durumunda sınırlı kanıt değeri. Kanıt yükü, imzayı ileri sürenin üzerine düşer.

İleri Elektronik İmza (AdES)

İleri imza dört kesin teknik gereksinimi karşılar (eIDAS 26. madde):

1. İmzacıya benzersiz bir şekilde bağlıdır;
2. İmzacıyı tanımlamayı sağlar;
3. İmzacının münhasır kontrolü altında verilerden oluşturulur;
4. Belgenin daha sonraki değişikliklerinin tespit edilmesini sağlar.

Konkret olarak, kişisel dijital sertifika ve güçlü bir kimlik doğrulama mekanizmasının kullanılması gerekir. Standart formatlar ETSI tarafından tanımlanır: PAdES (PDF için), XAdES (XML), CAdES (ikili veriler) ve JAdES (JSON), tümü ETSI EN 319 100 serisinde standartlaştırılmıştır.

Vasıflandırılmış Elektronik İmza (QES)

Vasıflandırılmış imza en yüksek seviyedir. Gerekçeler:

• Akredite QTSP tarafından yayınlanan vasıflandırılmış bir sertifika;
• İmza oluşturmak için bir QSCD.

Yasal güvenilirlik varsayımından ve tüm Avrupa Birliğinde el yazısı imzayla hukuki eşdeğerlikten yararlanır (eIDAS 25. madde). Bu, elektronik doğru tutanaklar, belirli noterluk tutanakları veya hassas kamu ihaleleri için gerekli seviyedir.

Elektronik imza çözümleri karşılaştırması, seçim yapmanıza yardımcı olmak için bu seviyeler arasındaki pratik farklılıkları analiz eder.

---

Adım Adım Tam Elektronik İmza Süreci

Certyneo gibi SaaS platformunda bir elektronik imza işleminin somut olarak nasıl ilerlediği şöyledir:

1. Adım: Belge Hazırlığı ve Gönderimi

İmza başlatıcısı belgeyi (sözleşme, ek, satın alma siparişi) platforma yükler. Sistem hemen orijinal dosyanın bir SHA-256 hash'ini oluşturur, zaman damgası vurur ve değişmez bir şekilde saklar. Bu parmak izi, gelecekteki herhangi bir doğrulama için referans görevi görecek.

2. Adım: İmzacı Kimlik Doğrulaması

Seçilen imza seviyesine göre kimlik doğrulama değişir:

• SES: e-posta + imza bağlantısı;
• AdES: güçlü kimlik doğrulama (OTP SMS, FIDO2 mobil uygulaması);
• QES: ön kimlik doğrulama (yüz yüze veya video IDV), tek kullanımlık veya kalıcı vasıflandırılmış sertifika yayınlanması.

3. Adım: Kriptografik İmza Oluşturma

İmzacı imza eylemini tetikler. Platform (veya QSCD):

1. Belgenin hash'ini hesaplar;
2. Bunu imzacının özel anahtarıyla şifreler;
3. İmzayı ve sertifikayı belgeye entegre eder (uzun dönem arşivleme için PAdES-LTV formatında imzalı PDF).

4. Adım: Vasıflandırılmış Zaman Damgalandırması

Vasıflandırılmış zaman damgası hizmeti (TSA), RFC 3161 normuna uygun olarak kriptografik zaman damgası ekler ve imzanın kesin bir anda var olduğunu kanıtlar. Bu, tarih tahrifi'ne karşı koruma sağlar ve — sertifika daha sonra sona erse bile — zaman içinde kanıt değerini garanti eder.

5. Adım: Kanıtsal Arşivleme

İmzalı belge, tam denetim izi ile arşivlenir: imzacı kimliği, IP adresi, zaman damgası, belge hash'i, kullanılan sertifikalar. Bu kanıt klasörü (audit trail) uyuşmazlık durumunda gereklidir. eIDAS'la uyumlu çözümler bu kanıtları PAdES-LTV (Uzun Dönem Doğrulama) formatında tutar; bu, imzadan yıllar sonra doğrulama yapılmasını sağlayan doğrulama verilerini entegre eder.

Bu süreci İK akışlarınıza nasıl entegre edileceğini öğrenmek için İK'lar için elektronik imza çözümümüzü ve indirmek üzere sözleşme şablonlarımızı keşfedin.

Elektronik İmza'ya Uygulanabilecek Yasal Çerçeve

Elektronik imza, ulusal medeni hukuk ve uyumlu Avrupa hukuku'nu koordine eden çok katmanlı normatif bir çerçeve içinde yer almaktadır.

Fransız Medeni Kanunu

Medeni Kanun'un 1366. maddesi temel prensibi şu şekilde ortaya koymaktadır: "Elektronik yazı, yazı, kağıt desteğinde olduğu gibi aynı kanıt gücüne sahiptir; ancak ondan çıktığı kişi düzgünce tanımlanabilmelidir ve belgenin bütünlüğünü garanti edecek koşullar altında oluşturulmuş ve saklanmalıdır." 1367. madde, elektronik imzanın "imzanın bağlandığı kanıt'la ilişkisini garanti eden güvenilir bir kimlik tanımlama prosedürü kullanımını ifade ettiğini" belirtir.

28 Eylül 2017 tarihli 2017-1416 Kararnamesi, eIDAS'a uyumlu vasıflandırılmış ve ileri imzalar için güvenilirlik varsayımı tanımlar.

eIDAS No. 910/2014 Yönetmeliği

Avrupa güven dijital hukuku'nun temel taşı, eIDAS yönetmeliği (elektronik Kimlik, Kimlik Doğrulama ve güven hizmetleri) elektronik imzalar, elektronik mühürler, vasıflandırılmış zaman damgası, tavsiyeli gönderme hizmetleri ve web sitesi kimlik doğrulama sertifikaları için birleştirilmiş yasal çerçeve oluşturur. 25. madde, paragraf 2, vasıflandırılmış imzaya tüm AB'de el yazısı imzayla yasal eşdeğerlik varsayımı verir.

eIDAS 2.0 Yönetmeliği (2026 ilk çeyreğinde aktarım yapılmakta) bu hükümleri Avrupa dijital kimlik cüzdanı (EUDIW) ile güçlendirir ve finansal hizmetler ve sağlık piyasalarında yükümlülükleri genişletir.

ETSI Normları

İmza formatları ETSI tarafından standartlaştırılmıştır:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) ileri ve vasıflandırılmış imzaların teknik profillerini tanımlar;
• ETSI EN 319 421 vasıflandırılmış zaman damgası hizmetlerinin politikalarını düzenler.

GDPR ve Veri Koruma

Elektronik imza bağlamında kimlik verilerinin işlenmesi (ad, e-posta, kimlik doğrulama için biyometri) GDPR No. 2016/679 tabi tutulur. Veri sorumluları şu şekilde yapmalıdır: yasal bir dayanağa sahip olmak (meşru çıkar veya sözleşme yürütme), verilerin en aza indirilmesi ilkesini uygulamak ve uygun teknik önlemlerle güvenliği garanti etmek (şifreleme, takma ad kullanımı).

NIS2 Direktifi

NIS2 direktifi (2022/2555/UE), Ekim 2024 beri Fransız hukuku'na aktarılan, temel hizmet sağlayıcıları ve sayısal hizmet sağlayıcıları (elektronik imza sağlayıcıları dahil) için siber güvenlik, risk yönetimi ve 24 saat içinde olay bildirimi açısından geliştirilmiş yükümlülükler yükümlü tutar. Uygulanmaması 10 milyon euro veya dünya çapında ciro'nun %2'sine kadar cezaya maruz bırakabilir.

Elektronik İmzanın Somut Kullanım Senaryoları

Senaryo 1: Bir İş Avukatlık Firması Vekalet İmzalarını Otomatikleştir

Yaklaşık on iki ortak avukatı olan bir iş avukatlık firması aylık olarak ortalama 120 temsil vekaleti işliyordu. Kağıt prosedürü basım, posta gönderimi veya elden teslim alınması ve ardından dönerken belgelerin taranması - her dosya için ortalama 4,5 iş günü gecikme ve %8 civarında belge kayıp oranı içermekteydi.

Kimlik doğrulaması OTP ile ileri elektronik imzasını (AdES) yapılandırarak, firma imza gecikmesini ortalama 4 saatten az'a düşürdü, belge anomali oranını %1'den az'a indirdi ve yaklaşık 2.200 € yıllık posta ve basım maliyetlerinden tasarruf sağladı. Otomatik olarak oluşturulan denetim izi, iki vekalet uyuşmazlığını da basitleştirdi ve zaman damgalı tartışılmaz kanıt sağladı. Hukuk bürolarına yönelik çözüm hakkında daha fazla bilgi edinin.

Senaryo 2: Bir KOBİ Tedarikçi Sözleşmelerini Dijitalleştir

Yıllık yaklaşık 200 tedarikçi sözleşmesi (genel satın alma koşulları, fiyat değişiklikleri, NDA) yöneten bir KOBİ, sınırlar arasında Alman ve İspanyol ortaklarla yapılan sözleşmeler için 3 hafta'yı aşan imza gecikmelerine katlanıyordu. Hukuki sistem farklılıkları ve karşılıklı tanınmazlık müzakereleri yavaşlatıyordu.

eIDAS akrediteli QTSP tarafından yayınlanan vasıflandırılmış imzasını (QES) benimseyerek, KOBİ tüm üç ülkede ek yasal tasdik olmaksızın otomatik hukuki tanınmasından yararlandı. Sınırlar arasında ortalama imza gecikmesi 18 günden 2,5 güne düştü. İşletmelerde elektronik imza satın alma ekipleri için bu faydaları detaylandırır.

Senaryo 3: Bir Hastane Grubu Hasta Rızasının Güvenliğini Sağla

Yaklaşık 800 yatak kapasiteli bir hastane grubu, klinik araştırma protokolleri için hastaların bilgilendirilmiş rızasını almalıydı. Kağıt yönetimi, GDPR uyum riskleri yaratıyordu (kötü arşivlenen belgeler, izlenemez tarihler) ve tıbbi personeli idari görevler için mobilize ediyordu.

SMS kodu ile basit elektronik imzasını entegre ederek — vasıflandırılmış gereklilik'e konu olmayan eylemler için yeterli — grup, rızaların toplanmasını, arşivlemesini ve izlenebilirliğini otomatikleştirdi. Hasta başına idari zaman 12 dakika'dan 2 dakika'dan az'a düştü, yaklaşık 800 tıbbi saati yıllık hızlandırdı. Tüm belgeler vasıflandırılmış zaman damgası ile arşivlendi ve tam ölçüde CNIL gerekliliklerini karşıladı. Sağlık için imza çözümümüzü keşfedin.

Sonuç

Elektronik imzanın teknik olarak nasıl çalıştığını anlamak — asimetrik kriptografiden PKI'ye, vasıflandırılmış sertifikalardan kanıtsal zaman damgasına — uyum ve operasyonel verimlilik konularında bilinçli seçimler yapmak için vazgeçilmezdir. Üç eIDAS seviyesi (basit, ileri, vasıflandırılmış) farklı ihtiyaçlara cevap veren ve seçim her zaman beklenen hukuki risk ve kanıt değeri analizi tarafından yönlendirilmelidir.

Certyneo, eIDAS uyumlu SaaS platformu, akredite QTSP'ler ve mevcut süreçlerinize basitleştirilmiş entegrasyon ile dönüşümü destekler. Kuruluşunuz için potansiyel kazançları tahmin edin elektronik imza ROI hesaplayıcımızla veya hemen tekliflerimiz ve fiyatlandırmamızı inceleyerek başlayın. Uyum ve performans artık uzlaşma'ya tabi değildir.