PKI: Kamu Anahtarı Altyapısı Açıklaması

Giriş: PKI neden dijital güvenin kalbindedir?

Milyon milyon sözleşmenin her gün çevrimiçi olarak imzalandığı bir dünyada, temel bir soru ortaya çıkıyor: İmzayı atan kişinin kendisini iddia ettiği kişi olduğundan ve belgenin imzadan sonra değiştirilmediğinden nasıl emin olabilirsiniz? Cevap üç harfle ifade edilir: PKI (Public Key Infrastructure, Türkçede kamu anahtarı altyapısı). Bu kriptografik sistem, eIDAS düzenlemesine uygun nitelikli elektronik imzanın teknik temelini oluşturur. Bu makalede, PKI'nin işleyişini, temel bileşenlerini (X.509 sertifikaları dahil) ve dijital hukuki işlemlerinizin özgünlüğünü, bütünlüğünü ve inkar edilemezliğini nasıl garantilediğini detaylı şekilde açıklıyoruz.

---

PKI Nedir? Tanım ve Temel İlkeler

PKI (Public Key Infrastructure) terimi, dijital sertifikalar oluşturmak, yönetmek, dağıtmak, kullanmak, depolamak ve iptal etmek için gerekli olan politikalar, prosedürler, donanımlar, yazılımlar ve kişilerin tümünü ifade eder. Asimetrik kriptografiye, yani matematiksel olarak ilişkilendirilmiş bir anahtar çiftinin kullanılmasına dayanır: özel (gizli) bir anahtar ve genel (serbestçe paylaşılabilir) bir anahtar.

Asimetrik anahtar çiftinin ilkesi

Bir imzacı bir belgeye elektronik imzasını koyduğunda, dosyadan benzersiz bir kriptografik parmak izi (bir hash) oluşturmak için özel anahtarını kullanır. Bu parmak izi, özel anahtarla şifrelenmiş, dijital imzayı oluşturur. Herhangi bir üçüncü taraf daha sonra imzacının karşılık gelen genel anahtarını kullanarak bu imzanın özgünlüğünü doğrulayabilir. Doğrulama başarılı olursa, iki garanti kurulur:

• Özgünlük: Yalnızca özel anahtarın sahibi bu imzayı üretebilmiştir.
• Bütünlük: Belge imzalanmadan sonra değiştirilmemiştir.

RSA (Rivest-Shamir-Adleman) algoritması, 2.048 veya 4.096 bitlik anahtarlarla en yaygın olanıdır. Eliptik eğri algoritmaları (ECDSA), eşdeğer güvenlik düzeyinde performansları sayesinde giderek daha fazla kullanılmaktadır.

Güven sorunu ve PKI'nin yanıtı

Asimetrik kriptografi, bütünlük sorununu çözer ancak hemen başka bir soru ortaya çıkarır: Genel anahtarın gerçekten iddia ettiği kişiye ait olduğunu nasıl bilebilirsiniz? PKI tam da bu noktada devreye girer. Kimliği doğrulayan bir güven aracı olan Sertifika Otoritesini (SC) tanıtır ve bu ilişkendirmeyi garantileyen bir dijital sertifika verir.

---

Bir PKI'nin Temel Bileşenleri

İşlevsel bir kamu anahtarı altyapısı, birden çok bağımlı bileşen etrafında organize olmuştur. Her birinin rolünü anlamak, bir elektronik imza çözümünün sağlamlığını değerlendirmek için gereklidir.

Sertifika Otoritesi (SC veya CA)

Sertifika Otoritesi, PKI'nin merkezi varlığıdır. Verdiği sertifikaları dijital olarak imzalayarak, doğrulanmış bir kimliği genel bir anahtarla ilişkilendirir. Avrupa'da nitelikli SC'ler, ulusal güven listelerine (Trusted Lists) kaydedilir ve eIDAS düzenlemesinin 22. maddesine uygun olarak yayımlanır. Fransa'da bunu ANSSI tutmaktadır. CertEurope, Certinomis veya Certigna gibi hizmet sağlayıcıları bu listede yer almaktadır.

Sertifikasyon hiyerarşisi bir güven zinciri oluşturur: kök bir SC (Root CA) ara SC'leri imzalar, bunlar da son kullanıcı sertifikalarını imzalarlar. Bu mimari, kök anahtarının (HSM'de çevrimdışı depolanan) açığa çıkmasını sınırlamayı ve iptalleri tanecikli şekilde yönetmeyi sağlar.

Kayıt Otoritesi (KO veya RA)

Kayıt Otoritesi, SC'nin bir sertifika vermesinden önce talep sahiplerinin kimliğini doğrulamaktan sorumludur. Bu doğrulama aşağıdakiler olabilir:

• Yüz yüze (eIDAS uyarınca nitelikli sertifikalar için gerekli).
• Uzaktan ETSI EN 319 401 normlara uygun video kimlik doğrulaması yoluyla.
• eKYC süreci aracılığıyla (elektronik Müşteri Tanıma) ara güven seviyeleri için.

X.509 Dijital Sertifikaları

X.509 formatı, bir PKI'daki dijital sertifikaların yapısını tanımlayan uluslararası standarttır. UIT-T tarafından tanımlanmış ve IETF tarafından RFC 5280 aracılığıyla kabul edilmiştir; bir X.509 sertifikası özellikle şunları içerir:

• Sahibin kimliği (ad, kuruluş, e-posta).
• Sahibin genel anahtarı.
• Veren SC'nin kimliği ve imzası.
• Sertifikanın geçerlilik dönemı.
• Benzersiz seri numarası.
• Uzantılar: yetkili kullanımlar (kod imzalama, kimlik doğrulama, belge imzalama), CRL dağıtım noktaları, OCSP URL'leri.

eIDAS nitelikli elektronik imzası bağlamında, nitelikli X.509 sertifikaları bir nitelikli imza oluşturma cihazında (NIOC) verilmelidir; tipik olarak akıllı kart veya HSM (Hardware Security Module).

İptal Mekanizması: CRL ve OCSP

Bir sertifika, sona ermesinden önce geçersiz hale gelebilir: özel anahtarın kaybolması, gizliliğin ihlali, sahibinin durumu değişikliği. İki mekanizma gerçek zamanlı olarak geçerliliği doğrulamaya izin verir:

• CRL (Certificate Revocation List): SC tarafından yayımlanan ve iptal edilmiş sertifikaları listeleyen periyodik liste.
• OCSP (Online Certificate Status Protocol, RFC 6960): bir sertifikanın durumunun anında doğrulanmasını sağlayan protokol. Yüksek işlem sıklığı ortamlarında tercih edilir.

Uygun elektronik imza çözümleri, elektronik imza çözümleri karşılaştırmasıarda açıklandığı gibi, bu doğrulamaları imza akışlarına sistematik olarak entegre eder.

---

PKI Elektronik İmzayı Pratik Olarak Nasıl Güvencelendiriyor?

PKI tarafından desteklenen bir elektronik imzanın teknik yolculuğunu anlamak, sunulan güven düzeyini ölçmeyi sağlar.

İmza süreci adım adım

1. Belgenin Kütleştirilmesi: kütleştirme algoritması (ANSSI 2026 önerileri uyarınca SHA-256 veya SHA-3), belgenin benzersiz dijital parmak izini üretir.
2. Parmak izinin Şifrelenmesi: imzacı bu parmak izini özel anahtarıyla şifreler (NIOC'de depolanır). Bu işlem güvenli cihazdan asla çıkmaz.
3. İmza Paketinin Oluşturulması: şifrelenmiş imza, belgeyle ilişkilendirilir; imzacının X.509 sertifikası ve nitelikli bir zaman damgasıyla eşlik eder.
4. Alıcı Tarafında Doğrulama: alıcı (veya yazılım çözümü), parmak izini imzacının genel anahtarıyla şifresi çözer, alınan belgenin hash'ini yeniden hesaplar ve karşılaştırır. İki parmak izi özdeşse, imza geçerlidir.

eIDAS'ın Üç İmza Seviyesi ve PKI'yla İlişkisi

eIDAS düzenlemesi, her biri PKI'ya farklı derecede başvuru yapan üç elektronik imza seviyesi ayırt eder:

• Basit Elektronik İmza (BEİ): zorunlu olarak bir PKI tarafından desteklenmiş değildir. Sınırlı kanıt değeri.
• Geliştiş Elektronik İmza (GEİ): zorunlu olarak bir anahtar çiftine ve imzacıya bağlı bir sertifikaya dayanır. ETSI tarafından tanımlanan teknik formatlar: XAdES, PAdES, CAdES.
• Nitelikli Elektronik İmza (NEİ): en yüksek düzey, tüm AB'de el yazısı imzaya eşdeğerdir. Güven listesinde kayıtlı bir SC tarafından verilen nitelikli bir sertifika ve bir NIOC gerektirir. Nitelikli PKI'nin tam dağıtımıdır.

Nitelikli imzayı kurumsal ölçekte dağıtmak isteyen işletmeler için, kurumda elektronik imza kılavuzu, operasyonel uygulama adımlarını detaylandırır.

Nitelikli Zaman Damgası: PKI'nin Zamansal Boyutu

PKI kimlikle sınırlı değildir: nitelikli zaman damgası (RFC 3161) aracılığıyla eylem zaman boyutunu garantiler. Güvenilir bir zaman damgası hizmeti (ZDS), bir belgenin geçerli formunda belirli bir anda bulunduğunu onaylayan bir kriptografik belirteç yayımlar. Bu, uzun vadeli kanıt koruması ve yasal belge saklama yükümlülüklerine uyum için çok önemlidir (Ticaret Kanunu art. L.110-4: ticari işlemler için 5 yıl; Medeni Kanun art. 2224: hukuki borç yükümlülükleri için 5 yıl).

---

PKI ve Uzun Vadeli Güven: Kanıt Korumasının Zorlukları

Bugün geçerli bir imza, 10 yılda kullanılan kriptografik algoritmaların eski hale gelmesi veya sertifikaların süresi dolması halinde doğrulanamamış hale gelebilir. PKI, uzun vadeli kanıt değerine sahip imza formatları aracılığıyla bu sorunu ele alır.

Uzun Ömürlü AdES Formatları

ETSI, XAdES-LTA, PAdES-LTA, CAdES-LTA gibi genişletilmiş imza profillerini tanımlamıştır; bunlar imzalı dosyaya gelecek doğrulama için gerekli tüm kanıtları dahil eder: tam sertifika zincirleri, arşivlenmiş OCSP yanıtları, birden çok zaman damgası. Bu formatlar ETSI EN 319 132 (XAdES) ve ETSI EN 319 122 (CAdES) normu ile uyumludur.

Kuantum Bilişim Karşısında Kriptografik Geçiş

Kuantum bilişiminin ortaya çıkışı, mevcut RSA ve ECDSA algoritmaları için orta vadeli bir tehdit oluşturur. NIST, 2024'de ilk post-kuantum kriptografi standartlarını sonuçlandırmıştır (imzalar için CRYSTALS-Dilithium). ANSSI ve ENISA, 2028-2030 ufkunda eIDAS normunun revizyonlarında somutlaşması gereken geçiş yol haritaları üzerinde çalışmaktadır. İyi yönetilen bir PKI'ye dayanan işletmeler bu geçiş için daha iyi konumlandırılacaktır; sertifika otoritelerinin güncellenmesi, ad hoc kriptografik sistemlerin yeniden tasarlanmasından daha kolaydır.

Mevcut çözümlerini değerlendirenler için, Certyneo'nun elektronik imza ROI hesaplayıcısı, endüstriyel bir PKI altyapısıyla ilişkili kazançları objektifleştirmeye olanak tanır.

PKI ve Elektronik İmzaya Uygulanır Yasal Çerçeve

Kamu anahtarı altyapısı yalnızca teknik bir cihaz değildir: elektronik imzaya dayanmak isteyen herhangi bir kuruluş için gerekli olan yoğun bir Avrupa ve ulusal yasal çerçeveye uyacak şekilde organize edilir.

eIDAS №910/2014 Düzenlemesi ve Evrimi

23 Temmuz 2014'te kabul edilen ve 1 Temmuz 2016'dan beri uygulanabilen Düzenleme (AB) №910/2014 (eIDAS), Avrupa'da dijital güvenin kurucu metnidir. Nitelikli güven hizmetleri sağlayıcılarına (NGHSP), nitelikli sertifikalar ve NIOC cihazlarına uygulanacak gereklilikleri tanımlar. 26. maddesi geliştiş imzanın koşullarını belirler; 28. maddesi elektronik imza için nitelikli sertifikaları tanımlar; I. ek bu sertifikaların gerekliliklerini detaylandırır — doğrudan X.509 formatından türetilir.

eIDAS 2.0 (Düzenleme №1183/2024, JOUE'de 30 Nisan 2024'te yayımlanmış), Avrupa Dijital Kimlik Cüzdanını (ADKC) tanımayı zorunlu kılarken ve özel hizmet sağlayıcılarına tanıma yükümlülüklerini belirlenmiş sektörlerde genişletirken bu çerçeveyi güçlendirir.

Fransız Medeni Kanunu: Elektronik İmzanın Kanıt Değeri

Fransız hukukunda, Medeni Kanun'un 1366 ve 1367. maddeleri (10 Şubat 2016 tarihli №2016-131 yönetmeliğinden gelmektedir) elektronik imzaya el yazısı imzayla aynı değer verir; imzacının tanımlanması ve belgenin bütünlüğü gerekliliklerini karşılanması şartıyla. Güvenilirlik varsayımı, imza eIDAS anlamında nitelikli bir yordama göre oluşturulduğunda — yani nitelikli bir PKI'ya dayanarak — uygulanır.

1368. madde, bu güvenilirliğin yerleştirilmesi modalitelerinin Devlet Konseyi Kararnamesi tarafından belirlendiğini öngörür: 28 Eylül 2017 tarihli №2017-1416 Kararnamesi elektronik imza hakkında.

PKI'ye Uygulanır ETSI Normları

• ETSI EN 319 401: Güven Hizmetleri Sağlayıcıları için genel gereklilikler.
• ETSI EN 319 411-1 ve -2: Nitelikli sertifikalar veren SC'ler için gereklilikler.
• ETSI EN 319 132: Geliştiş imzalar için XAdES spesifikasyonları.
• ETSI EN 319 122: CAdES spesifikasyonları.
• ETSI EN 319 162: Koruma ve zaman damgası hizmetleri.

GDPR ve PKI'daki Kişisel Veriler

X.509 sertifikaları kişisel nitelikte veriler içerir (ad, soyad, e-posta, bazen ulusal kayıt numarası). İşlenmesi Düzenleme (AB) №2016/679 (GDPR) tabi. SC'ler özellikle saklama süresini tanımlamalı, sahiplerini bilgilendirmeli ve hakların kullanılmasını garantilemelidir. Sahibin talebesi üzerine bir sertifikanın iptali, silme hakkının (saklama yükümlülüklerinin sınırları içinde) uygulanmasının pratik bir türüdür.

Sorumluluk ve Yasal Riskler

Zayıf yönetilen bir PKI, işletmeyi ciddi riskler açısından açıkta bırakır: süresi dolmuş veya iptal edilmiş sertifikalar durumunda imzaların kanıt değerinin uyuşmazlığı, LTA formatları olmadan uzun vadede imza doğrulanamadığı, ve özel anahtar gizliliğinin ihlali halinde potansiyel medeni sorumluluk. eIDAS 13. maddesi, nitelikli NGHSP'lerin yükümlülüklerine aykırılık durumunda (aksini kanıtlama dışında) sorumlu olduklarını açıklar.

Senaryolar: PKI İşlemde Kuruluşlarda

Senaryo 1 — 25 İş Ortağı Bulunan Muhasebe Hukuk Bürosu

Birleştirme ve satın almaya uzmanlaşmış bir hukuk bürosu yılda ortalama 150 yapılandırılmış işlem yönetir; her biri çok sayıda belgenin imzasını gerektirir (protokoller, hissedar paktları, varlık ve yükümlülük garantileri). Daha önce fiziksel imza koleksiyonu gecikmeleri ortalama 5-8 iş günü kapanışı ongespanırdı.

Nitelikli PKI tarafından desteklenen nitelikli imza çözümü dağıtarak, büro her yetkili ortak ve işbirlikçiye NIOC'de X.509 nitelikli sertifikası atanır. Her imza otomatik olarak doğrulanır (OCSP), zaman damgası yapılır ve PAdES-LTA formatında arşivlenir. Sonuç: kapanış için imza aşamasındaki süre 24 saatten azına düşer ve maksimum kanıt değeri ek adım olmadan sağlanır. Bu boyutta hukuk büroları, imzayla ilişkili idari zamanında ortalama % 70 azalma bildirmiştir (Ulusal İş Avukatları Federasyonu, 2025).

Senaryo 2 — Yılda 300 Tedarikçi Sözleşmesi Yöneten KOBİ Endüstriyel

Yaklaşık 250 çalışanı olan orta ölçekli bir imalat işletmesi, Avrupa'nın yüz kadar tedarikçisiyle çerçeve sözleşmeler, değişiklikler ve satın alma siparişleri imzalar. Coğrafi dağılım ve dilsel engeller belge yönetimini özellikle ağır kılmıştır.

Elektronik imza geliştiş akışını (GEİ) ERP'ye bağlanan bir API aracılığıyla entegre ederek, PKI her tedarikçi tarafındaki imzacıların sertifikalarını otomatik olarak doğrular (her Üye Devletin eIDAS Güven Listeleri aracılığıyla), zaman damgası ve kanıt dosyası oluşturmayı yönetir. Hukuk hizmetleri, imza koleksiyonu için takip taleplerinde % 60 azalma ve imzalanan belgenin versiyonuna ilişkin anlaşmazlıklar nedeniyle sözleşme uyuşmazlıkları azalması fark eder. İmza başına maliyet (baskı, gönderme, fiziksel arşiv) 12 €'den sayısal akışta 1,50 €'den azına düşer (Markess by Exaegis'in 2025 belge yönetimi panoraması tarafından yayımlanan fiyat aralıkları).

Senaryo 3 — Yaklaşık 1.200 Yatak Bulunan Kamu Hastanesi Grubu

Kamu sağlık sektöründe, idari işlemler ve kamu ihaleleri Kamu Ihalesi Yasasının gerekliliklerine ve ANSSI önerileri tarafından hassas enformasyon sistemlerinin güvenliğine uymalıdır. Hastaneler grubunun her yıl yüz sayıda sözleşme, değişiklik ve işçi sözleşmesi imzalaması gerekir.

Dahili bir PKI (ajanlar için ayrılmış CA, tıbbi personel için CPS kartlarında sertifikalar) kamu hareket imzası çözümü SaaS ile birleştirerek, NIS2 Yönetmeliğinin (Fransa'da 21 Mayıs 2024 tarihli №2024-449 Yasası tarafından aktarılmış) siber güvenlik risk yönetimi önlemleri tarafından zorunlu kılınan gerekliliklere karşılık gelen, imzaların tam izlenebilirliğini, sertifikaların gerçek zamanlı doğrulanmasını ve belgelerin LTA korumasını sağlar. Sektor kurumları genellikle, sadece İK için Kamusal İşi kağıt hacimde % 40 ila 50 azalma bildirmiştir (Ulusal Performans Destek Ajansı, 2024).

Sonuç

PKI — kamu anahtarı altyapısı — yalnızca teknik bir cihazdan daha fazlasıdır: dijital alışverişlerinizde güvenin kriptografik ve yasal garantörüdür. Bileşenleri (SC, X.509 sertifikaları, OCSP, nitelikli zaman damgası) eIDAS düzenlemesi ve Fransız Medeni Kanunu'na tam uyumda elektronik imzalarınızın özgünlüğünü, bütünlüğünü ve inkar edilemezliğini sağlayan tutarlı bir ekosistem oluşturur. İster bir KOBİ, hukuk bürosu veya kamu kurumu olun, PKI temellerini anlamak, gerçek ihtiyaçlarınıza uygun imza çözümü seçmenizi ve gerekirse kanıt değerini savunmanızı sağlar.

Certyneo, işletmelere yönelik geliştiş ve nitelikli elektronik imzalar sunmak için eIDAS uyumlu nitelikli bir PKI'ya dayanır. Hesabınızı ücretsiz oluşturun veya fiyatlandırmamızı keşfedin bugün belge dönüşümünüze başlamak için.