Elektronik imza (e-imza), dijital belgelerin kimin tarafından imzalandığını, ne zaman imzalandığını ve imza sonrası belge üzerinde değişiklik yapılıp yapılmadığını kriptografik yöntemlerle kanıtlayan bir güvenlik mekanizmasıdır. Türkiye'de milyonlarca bireysel kullanıcı ve yüz binlerce şirket e-imzayı aktif olarak kullanmaktadır.
E-İmzanın Hukuki Dayanağı
Türkiye'de elektronik imzanın hukuki çerçevesi, 5070 sayılı Elektronik İmza Kanunu ile belirlenmiştir. 23 Ocak 2004 tarihinde yürürlüğe giren bu kanuna göre nitelikli elektronik imza, ıslak (elle atılan) imza ile aynı hukuki geçerliliğe sahiptir. Kanun, imzanın hangi koşullarda geçerli sayılacağını, sertifika hizmet sağlayıcılarının yükümlülüklerini ve imzanın ispat gücünü ayrıntılı biçimde düzenlemektedir.
Bu düzenleme, Avrupa Birliği'nin eIDAS (910/2014) tüzüğü ile de büyük ölçüde uyumludur. Bu uyum, Türk şirketlerinin Avrupa'daki iş ortaklarıyla e-imzalı belge alışverişini mümkün kılmaktadır. Nitelikli elektronik sertifikalar yalnızca TÜBİTAK BİLGEM tarafından akredite edilmiş sertifika hizmet sağlayıcıları aracılığıyla verilebilir.
Türk hukuku, kağıt ortamındaki el yazısı imzanın zorunlu tutulduğu durumlar dışında nitelikli e-imzanın her alanda kullanılmasına olanak tanımaktadır. Mahkeme süreçlerinde, vergi beyannamelerinde, ticari sözleşmelerde ve kamu ihale süreçlerinde e-imza hukuki delil niteliği taşımaktadır.
E-İmza Nasıl Çalışır?
E-imza, asimetrik şifreleme (PKI — Public Key Infrastructure) teknolojisini kullanır. Bu teknoloji, birbirine matematiksel olarak bağlı iki anahtar üzerine kuruludur: biri yalnızca sizde bulunan özel anahtar, diğeri herkese açık olan genel anahtar.
İmzalama süreci şu adımlardan oluşur:
- İmzalanacak belge için benzersiz bir matematiksel özet (hash) oluşturulur. Belgede tek bir karakter bile değişse hash tamamen farklı olur.
- Bu özet, USB token üzerinde güvenle saklanan özel anahtarınız ile şifrelenir. Özel anahtar hiçbir zaman token dışına çıkmaz.
- Şifreli özet ve sertifika bilgileri belgeye eklenir — bu bütüne "elektronik imza" denir.
- Karşı taraf veya mahkeme, sertifika otoritesinden alınan genel anahtar ile imzanın orijinalliğini ve belgenin değiştirilmediğini doğrulayabilir.
- Sertifika otoritesi (TÜBİTAK onaylı), imzanın gerçekten size ait olduğunu garanti eder.
E-İmza Türleri: Elektronik İmza ve Nitelikli Elektronik İmza
5070 sayılı kanun iki tür elektronik imzayı tanımlar ve bunlar arasında önemli bir hukuki fark bulunmaktadır:
| Özellik | Elektronik İmza | Nitelikli Elektronik İmza |
|---|---|---|
| Hukuki geçerlilik | Sınırlı | Islak imzayla eşdeğer |
| Sertifika gereksinimi | Zorunlu değil | TÜBİTAK onaylı sertifika şart |
| Donanım | Gerekmeyebilir | USB token (güvenli cihaz) |
| Kullanım alanı | İç süreçler | Kamu, hukuki, ticari |
Günlük hayatta ve resmi işlemlerde kullanılan e-imza, nitelikli elektronik imzadır. Bu nedenle "e-imza" denildiğinde kast edilen genellikle nitelikli elektronik imzadır.
E-İmza ile Neler Yapabilirsiniz?
Nitelikli elektronik imza, devlet sistemleri ve ticari hayatın pek çok alanında kullanılmaktadır:
E-İmza Kimler İçin Zorunlu?
Bazı meslekler ve işlem türleri için e-imza kullanımı yasal zorunluluktur. Bu gruplar için e-imza olmadan ilgili işlemler yapılamamaktadır:
- Serbest Muhasebeci Mali Müşavirler (SMMM) ve Yeminli Mali Müşavirler (YMM): GİB e-beyanname sistemi için zorunlu.
- Avukatlar: UYAP (Ulusal Yargı Ağı Bilişim Sistemi) üzerinden dava ve yazışmalar için zorunlu.
- e-Fatura mükellefleri: Belirli ciro eşiğini aşan şirketler e-fatura kesmek zorunda.
- Kamu ihalelerine katılacak firmalar: EKAP sistemi üzerinden ihale başvurusu için zorunlu.
- Yapı denetimcileri: YDS sistemi üzerinden proje onayı için zorunlu.
- Gümrük müşavirleri: e-Gümrük beyanname sistemi için zorunlu.
E-İmza ile Elektronik Mühür Arasındaki Fark
E-imza, gerçek kişilere (bireylere) ait bireysel bir sertifikadır. Türk vatandaşı veya yabancı uyruklu kişi, kimlik doğrulaması yaparak e-imza alabilir.
Elektronik mühür (e-mühür) ise tüzel kişilere, yani şirketlere ve kurumlara ait kurumsal bir sertifikadır. Şirketler kendi adlarına belge imzalayacaksa e-mühür kullanır. Örneğin bir şirketten onlarca çalışanın imzalaması gereken toplu belgeler için e-mühür daha pratiktir.
Çoğu durumda bireysel e-imza yeterlidir. Ancak kurumsal işlemlerin yoğun olduğu durumlarda hem bireysel e-imza hem e-mühür birlikte kullanılabilir.
E-İmza Nasıl Saklanır? USB Token Nedir?
Nitelikli elektronik imza sertifikası ve özel anahtar, USB token adı verilen özel bir donanım cihazında saklanır. USB token görünüş olarak sıradan bir flash belleğe benzer; ancak içinde güvenli bir mikroişlemci ve kriptografik modül bulunur.
USB token'ın temel özellikleri:
- Özel anahtar token dışına çıkamaz, kopyalanamaz
- PIN kodu koruması — yanlış PIN denemelerinde kilitlenir
- CC EAL4+ veya daha yüksek güvenlik sertifikasyonu
- Farklı bilgisayarlarda kullanılabilir
- Genellikle kart okuyucu ile birlikte gelir
E-İmza Sertifikası Ne Kadar Süre Geçerlidir?
Türkiye'de e-imza sertifikaları genellikle 1, 2 veya 3 yıllık paketlerle sunulmaktadır. Süre sona erdiğinde imza yenilenmelidir. Süresi dolan e-imzayla yeni belge imzalanamaz; ancak daha önce atılmış imzalar geçerliliğini korur.
Yenileme sürecini kolaylaştırmak için 2 veya 3 yıllık paket almak önerilir. Bu sayede hem yıllık başvuru zahmetinden kurtulur hem de birim maliyet düşer. Süre dolmadan 30-60 gün önce yenileme başvurusu yapılması tavsiye edilir.
Özet: E-İmza Hakkında Bilinmesi Gereken 6 Temel Nokta
- Islak imzayla aynı hukuki geçerliliğe sahip, mahkemede delil niteliği taşır
- TÜBİTAK onaylı sertifika hizmet sağlayıcısından alınması zorunlu
- USB token adı verilen özel donanım cihazında saklanır
- 1, 2 veya 3 yıllık paketlerle alınır; uzun paket daha avantajlı
- Süre dolunca yenilenebilir; eski imzalar geçerliliğini korur
- e-Devlet, GİB, UYAP, EKAP gibi sistemlerde zorunlu kullanım alanı vardır
Sıkça Sorulan Sorular
E-imza ıslak imzayla aynı mı?
Hukuki olarak evet. 5070 sayılı Elektronik İmza Kanunu'na göre nitelikli elektronik imza, ıslak imza ile eşdeğer hukuki geçerliliğe sahiptir. Mahkemelerde, kamu kurumlarında ve ticari ilişkilerde ıslak imza yerine geçer.
E-imza sahte yapılabilir mi?
Hayır. E-imza kriptografik algoritmalar kullanan ve sertifika otoritesi tarafından onaylanan bir yöntemdir. Özel anahtar USB token üzerinde saklandığı için fiziksel erişim olmadan kopyalanamaz. Sahte yapılması teknik olarak mümkün değildir.
E-imza süresi dolunca eski belgeler geçersiz mi olur?
Hayır. Süresi dolan e-imzayla daha önce imzaladığınız belgeler geçerliliğini korur. Yalnızca yeni belge imzalayamazsınız. Zaman damgası eklenmişse uzun vadeli arşivlerde de geçerlilik devam eder.
E-imza hangi bilgisayarlarda çalışır?
E-imza Windows (7/10/11) ve macOS işletim sistemlerinde çalışır. USB token için gerekli sürücüler ve tarayıcı eklentisi kurulduğunda Chrome, Firefox ve Edge tarayıcılarında sorunsuz kullanılabilir.
Birden fazla bilgisayarda e-imza kullanabilir miyim?
Evet. USB token'ı farklı bilgisayarlara takarak kullanabilirsiniz. Her bilgisayarda gerekli sürücülerin kurulu olması gerekir. Token'daki özel anahtar bilgisayara kopyalanmaz, her imzalama işlemi doğrudan token üzerinden gerçekleşir.