Dijital İmza ve Dijital Sertifika – Basit Bir Kılavuz

Dünya dijitalleşmeye başlamadan önce, işlemlerde ve farklı türdeki anlaşmalarda farklı tarafları onaylamak, doğrulamak ve sorumlu tutmak için ağırlıklı olarak imzalı belgelere güveniyordu. Dijital imza ve dijital sertifika, standart imzaların modern bir alternatifi olarak gelir. 

Postayla belge göndermekten ve belgeleri faksla göndermekten çok daha hızlı olan dijital imza, çeşitli işletmelerin yardımına geldi. 

Dijital İmza Nedir? 

Dijital İmza, belgenin göndericisinin elektronik olarak doğrulanmasıdır ve alıcının, orijinal içeriğin bir aracı tarafından değiştirilip değiştirilmediğini belirlemesine olanak tanır. 

Özel anahtar ve genel anahtar, dijital imzanın aynı anda özel bir algoritma tarafından oluşturulan iki temel unsurudur. Matematiksel olarak ilişkili olarak yaratılmış olsalar da görünüş olarak farklı olacaklardır. 

Dijital imza üç amaca hizmet eder: 

1. Doğrulama – alıcı, mesajın yazarlığını tespit edebilir ve gönderenin iddia ettiği kişi olup olmadığını belirleyebilir. 
2. İnkar edilemez – gönderen, mesajı daha sonra gönderdiğini inkar edemez ve değiştirilmemiş mesajdan sorumlu tutulabilir. 
3. Bütünlük – mesaj değiştirilmedi. 

Aslına bakılırsa dijital imza, Amerika Birleşik Devletleri, Avrupa Birliği, İsviçre, Güney Afrika, Cezayir, Türkiye, Hindistan, Brezilya, Endonezya, Meksika, Suudi Arabistan, Uruguay ve Şili'de yasal değer taşıyor. 

Dijital İmza Nasıl Oluşturulur? 

Dijital imza oluşturmak için mesajı özel anahtarınızla imzalamanız gerekir.  

Özel anahtar, bu denklemin yalnızca sizin elinizde bulunan unsurudur ve bunu sağlayarak, belgeyi imzalayanın siz olduğunuzun kanıtını göstermiş olursunuz. 

İlk olarak, göndermek üzere olduğunuz mesajın değiştirilmemiş versiyonunun kaydını tutmak için düz metne hash uygularsınız.  

KENAR NOTU. Karma, herhangi bir uzunluktaki belirli bir içeriğin daha kısa, sabit uzunluklu bir değere dönüştürülmesidir. 

Günümüzde en çok tercih edilen hash algoritması SHA256'dır (Secure Hashing Algorithm). Hashing'in tek yönlü bir süreç olduğunu ve girdideki küçük bir değişikliğin tüm çıktıyı değiştirdiğini unutmayın.  

Daha sonra, düz metnin karmasını özel anahtarınızla şifrelersiniz, bu da dijital imzayla sonuçlanır. 

Dijital imzayı düz metin belgesine ekleyip gönderiyorsunuz. 

İçinden asimetrik şifreleme, alıcı dijital imzanızın şifresini çözebilecek ve düz metnin karmasını sağladığınız karmayla karşılaştırabilecektir.  

Bu nedenle, bir belgeye nasıl karma işlemi uygulayacağınızı merak ediyor olabilirsiniz. Neyse ki bilgisayarınızdaki bir program bunu sizin için otomatik olarak yapacaktır.  

Windows 7/8/10'da bir belgenin karmasını şu şekilde oluşturabilirsiniz: 

1. “Komut İstemi”ne erişin;  
2. “Certutil – karma dosyası” yazın 
3. Belgeyi “Komut İstemi”ne bırakın. 
4. Satırın sonuna “SHA256” ekleyin. 

Son satırınız şöyle görünmeli: 

certutil -hashfile “C:\Kullanıcı\Bilgisayar\Masaüstü\Dosya.docx” SHA256 

Bunu yaptığınızda konsol, dosyanızın içeriğini temsil eden 256 bit / 64 onaltılık karakterden oluşan kodu görüntüleyecektir. 

Peki özel anahtarı ve genel anahtarı nereden alırsınız? 

Bu da oldukça basit.  

Bunları yazılım, çevrimiçi bir platform veya Sertifika Yetkilisine kayıtlı bir Genel Anahtar Altyapısı (PKI) aracılığıyla oluşturabilirsiniz. 

KENAR NOTU. PKI, en yüksek düzeyde güvenlik ve evrensel kabul sağlayan, genel anahtar şifrelemesini yönetmek için kabul edilen bir formattır.  

O halde bir belgeye özel anahtar içeren dijital imzayı nasıl eklersiniz? 

Bunun için yine Sign Server, Safe pdf veya DocuSign gibi özel yazılımları kullanmanız gerekir. 

Nasıl yardımcı olur? 

Dijital imzanın sizi nasıl koruyabileceğine dair kurgusal bir senaryoyu ele alalım.  

Dış kaynak hizmetleri için yurtdışındaki bir sağlayıcı ile dijital olarak bir sözleşme imzalarsınız.  

Şartlar ve koşullar ile saat başına 20 ABD doları tutarındaki ücret üzerinde anlaştıktan sonra belgeyi hashleyip imzaladınız ve ardından sağlayıcıya geri gönderdiniz. 

Ve işte sorun başlıyor.  

İmzalanan sözleşmenin dış kaynak kullanan şirketin yöneticisine ulaşması gerekir, ancak açgözlü bir satıcı daha büyük bir komisyon kazanabilmek için ücreti saat başına 30 $ olarak değiştirir. Ödeme zamanı geldiğinde, birdenbire oranın anlaştığınızdan daha yüksek olduğunu keşfedersiniz. 

Belgenin tahrif edildiğini nasıl kanıtlarsınız?  

Yönetici bunun farkında değildi ancak durumu açıklığa kavuşturmak istiyordu. Yani, imzanızın şifresini çözmek ve karmayı kontrol etmek için genel anahtarı kullanmasını istiyorsunuz. Bunu yaparak hash çıktısındaki farkı tespit edebilecek ve sözleşmenin değiştirildiğini tespit edebilecek.  

Yönetici işbirliği yapmaya istekli olmasa bile onu mahkemeye verebilir, haklı olduğunuzu kanıtlayabilir ve onları sorumlu tutabilirsiniz. 

Blockchain'de Dijital İmza 

Bitcoin'in blok zinciri, üzerinde depolanan bilgilerin değişmezliğini sağlamak için SHA256 algoritmasını ve dijital imzayı kullanır. blockchain. Dijital imza, işlemlerin takip edilmesine ve çifte harcamaların önlenmesine yardımcı olur. 

İşlemler bir girdi olarak alınır ve bir karma algoritması aracılığıyla çalıştırılır, ardından sabit uzunlukta bir çıktı olarak döndürülür. Veriler daha sonra bir bloğun içine eklenir. Blok ayrıca önceki bloğa işaret eden bir karma işaretçisi içerir.  

Karma işaretçisi, önceki blok içindeki tüm verilerin karmasını içerir. Bir blokta yer alan verilerde yapılacak herhangi bir küçük değişiklik, hashte büyük bir değişikliği beraberinde getirecektir. Değişiklik sadece mevcut bloklara değil aynı zamanda önceki tüm bloklara da uygulanıyor, dolayısıyla onları geçersiz kılıyor. 

Dijital Sertifika nedir? 

Tahmin edebileceğiniz gibi dijital imza oluşturmak ve kullanmak o kadar da karmaşık değil. Zayıflığı da tam olarak buradadır.  

Kötü niyetli bir taraf, başka biriymiş gibi davranmak için dijital imza ve ortak anahtar oluşturmaya çalışabilir. Bir kişi böyle bir dijital imzalı mesaj alır ve belgenin yasal olduğu sonucuna varırsa, o kişi kötü niyetli tarafın bilgilendirici saldırısına maruz kalacaktır.  

Dijital imza tek başına gönderenin gerçek kimliğini ve genel anahtarını doğrulamaz, dolayısıyla kimlik doğrulaması eksiktir. 

Ancak bu sorun dijital sertifika ile çözülmektedir. Dijital sertifika, Sertifika Yetkilisi tarafından verilen elektronik bir kimlik bilgisidir.  

Sertifika yetkilisi, PKI aracılığıyla sahibinin kimliğini kaydeder ve ayrıca sahibinin genel anahtarın gerçekten sahibi olduğunu doğrular. 

Dijital sertifika genellikle sahibinin adını, genel anahtarını, sertifika yetkilisini ve dijital imzayı içerir. Bu sayede kötü niyetli bir taraftan dijital imza alma riski önemli ölçüde azalır. 

Dijital Sertifika Nasıl Oluşturulur? 

Temel olarak dijital sertifika oluşturmanın iki yolu vardır: 

1. Kendinden imzalı bir sertifika oluşturursunuz. 
2. Bunu bir Sertifika Yetkilisinden (CA) talep edersiniz. 

1. Kendinden imzalı sertifika 

Kendinden imzalı bir sertifika oluşturmanın birkaç yöntemi vardır ancak süreci anlamak için kendinden imzalı X509 sertifikasına bakacağız. OpenSSL'de hepsini kendiniz oluşturabilirsiniz. 

Komut istemini açıp 'openssl' yazmanız yeterli. 

Daha sonra, 'OpenSSL req -x509 -days 365 -newkey rsa:2048 -keyout my-key.pem -out my-cert.pem' yazın. 

Bazılarınıza göre bu anlamsız görünebilir, gelin tüm bunların ne anlama geldiğini görelim: 

• 'Req' bunun bir sertifika talebi olduğu anlamına gelir; 
• 'x509' sertifikanın türünü belirtir; 
• '365' geçerli olacağı gün sayısını belirtir; 
• 'yeni anahtar' yeni bir sertifika olacağı anlamına gelir;
• 'Keyout' anahtar dosya olacak.

Bundan sonra özel anahtarı oluşturabilecek ve kimlik bilgilerini ekleyebileceksiniz.  

Adım adım bir kılavuz bulabilirsiniz okuyun. 

Ancak, kendinden imzalı bir dijital sertifika yalnızca şifreleme sağlar ancak güven sağlamaz. Böyle bir sertifika bilgisayar korsanları için kolay bir hedeftir. Bunu kopyalayabilir ve 'verici' gibi davranarak kişisel bilgiler için kimlik avına başlayabilirler. 

Nitekim kendinden imzalı SSL sertifikaları kullanan web siteleri internet tarayıcıları tarafından 'güvenilmiyor' olarak işaretleniyor. 

2. CA tarafından verilen sertifika 

Bir sertifika yetkilisi tarafından doğrulanan dijital sertifika, daha güvenilir ve güvenli yöntemdir. Elde edilmesi de daha kolaydır, ancak bir ücret gerektirebilir.  

Sertifika yetkilisi genellikle sertifika vermek için bir ücret talep eder ve siz ya yalnızca sertifikalarını talep edebilir ya da tüm PKI'yı yönetmelerini talep edebilirsiniz. 

Basit bir sertifikaya ihtiyacınız varsa onlarla telefon veya e-posta yoluyla iletişime geçebilirsiniz. Kimliğinizi doğrulayacaklar ve ardından size genel anahtarı, sertifika yetkilisinin kimliğini ve kullanıcının kimliğini içeren bir sertifika verecekler. 

Dijital sertifikasyonun yanı sıra, bazı şirketlerden kullanıcılar, cihazlar ve makineler için PKI, erişim belirteçleri ve çok faktörlü kimlik doğrulamanın tüm yönlerini ele almasını isteyebilirsiniz. 

Web sitesinin durumunda, sertifika imzalama isteği web sunucusuyla birlikte bir komut olarak gelir. 

Önemli Noktalar 

• Dijital İmza, gönderenin elektronik olarak doğrulanmasıdır. Asimetrik şifrelemeye dayanır ve mesajı şifrelemek için özel bir anahtar, şifresini çözmek için ise genel bir anahtar kullanır. 
• Mesajın içeriği bütünlüğü korumak için karma hale getirilir. Ancak karma tek yönlü bir işlemdir ve içeriğin değiştirilmediğini doğrulamak için kullanılır. 
• Alınan mesajın şifresi genel anahtarla çözülür ve içeriğin karma değeri, gönderen tarafından sağlanan karma değeriyle eşleşmelidir. Aksi halde alıcının içeriğin değiştirildiğine inanması için bir nedeni vardır. 
• Dijital imza tek başına kimlik doğrulamadan yoksundur. Bu nedenle bir sertifika yetkilisi tarafından verilen dijital sertifika ile desteklenmesi gerekir. 

* Bu makaledeki bilgiler ve verilen linkler sadece genel bilgi amaçlıdır ve herhangi bir finansal veya yatırım tavsiyesi içermemelidir. Finansal kararlar vermeden önce kendi araştırmanızı yapmanızı veya bir uzmana danışmanızı tavsiye ederiz. Lütfen bu web sitesinde bulunan herhangi bir bilgiden kaynaklanan herhangi bir kayıptan sorumlu olmadığımızı kabul edin.