Elektronik İmza Uyum Değerlendirme - Genel Bilgiler


Amaç ve Kapsam

5070 Sayılı Elektronik İmza Kanunu ve Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelikle teknik çerçevesi çizilen elektronik imza uygulamalarının uyumlu bir yapıda buluşarak birlikte çalışabilirliğinin sağlanması amacıyla; elektronik imza uygulamalarının değerlendirilmesi görevi Kamu Sertifikasyon Merkezi'ne verilmiştir.

2006/13 sayılı Başbakanlık Genelgesi kapsamındaki kamu kurum ve kuruluşlarına ait e-imza uygulamalarının ve Kayıtlı E-Posta Hizmet Sağlayıcılarının kullanmakta olduğu e-imza uygulamalarının uyum değerlendirme hizmeti halen Kamu Sertifikasyon Merkezi tarafından gerçekleştirilmekte olup, e-Reçete, e-Fatura ve MTHS yazılımlarının uyum değerlendirme hizmeti 2 Mayıs 2017 tarihinde Yazılım Test ve Kalite Değerlendirme Laboratuvarı'na devredilmiştir.

Yazılım Test ve Kalite Değerlendirme Laboratuvarı, elektronik imza oluşturma/doğrulama kabiliyetine sahip e-Reçete, e-Fatura ve MTHS yazılımlarını; Gelir İdaresi Başkanlığı'nın e-Fatura mevzuatı, Sosyal Güvenlik Kurumu'nun e-reçete mevzuatı, Gümrük ve Ticaret Bakanlığı'nın Türk Ticaret Kanunu ve uluslararası standartlar kapsamında değerlendirir.


Değerlendirme Süreci

Elektronik imza uygulamalarının değerlendirilmesi; "Kamu Sertifikasyon Merkezi Elektronik İmza Uygulamaları Test Prosedürleri"ne uygun olarak yapılmaktadır. Test prosedürleri, e-imza mevzuatında geçen ve aşağıda belirtilen uluslararası standartlara dayanılarak hazırlanmıştır.

  • CWA 14170: Security Requirements for Signature Creation Applications (İmza Oluşturma Uygulamaları için Güvenlik Gereksinimleri)
  • CWA 14171: Procedures for Electronic Signature Verification (Elektronik İmza Doğrulama için Prosedürler)
  • ETSI TS 101 733: CMS Advanced Electronic Signatures (CAdES)
  • ETSI TS 101 903: XML Advanced Electronic Signatures (XAdES)
  • ETSI TS 102 778: PDF Advanced Electronic Signatures (PAdES)
  • ETSI TS 103 172: Eletronic Signatures and Insfrastructures (ESI); PAdES Baseline Profile

  • E-imza uygulamalarının değerlendirmesinde uygulamanın imza oluşturma ve imza doğrulama bölümlerinde aşağıdaki maddeler incelenmektedir:

    1. Uygulamada oluşturulan elektronik imza formatlarının ETSI dokümanlarında belirtilen formatlara uygunluğu
    2. E-imza oluşturma uygulamasında aşağıdaki testler yapılmaktadır:

    - İmzalanan Kullanıcı Belgesi ile İlgili Testler
    - İmzaya Dahil İmza Özellikleri ile İlgili Testler
    - Doğrulanabilir İmzanın Oluşturulması ile İlgili Testler
    - Güvenli Elektronik İmza Oluşturma Aracı İletişimi ile İlgili Testler
    - Kullanıcı Arayüzü ile İlgili Testler
    - Güvenli Elektronik İmza Oluşturma Yazılımı Dış Bağlantıları ile İlgili Testler
    - Kullanılan Algoritmaların Geçerliliği ile İlgili Testler
    - Zaman Damgası Alınması ile İlgili Testler

    3. E-imza doğrulama uygulamasında aşağıdaki testler yapılmaktadır:

    - İmzalanan Belge ile İlgili Testler
    - Kullanıcı Bilgilendirmeleri ile İlgili Testler
    - İmza Doğrulama ile İlgili Testler
    - Sertifika Doğrulama ile İlgili Testler
    - Doğrulama Verilerinin Saklanması ile İlgili Testler
    - Zaman Damgası Testleri
    - İleri E-imza Formatları ile İlgili Testler
    - E-imzanın Arşivlenmesi ile İlgili Testler

    E-imza uygulamalarının Kamu SM test prosedürlerinde belirtilen şartları sağladığı tespit edildikten sonra Uyum Değerlendirme Raporu hazırlanır ve başvuru sahibi kuruma/firmaya sunulur.

    Uyum değerlendirme raporunun geçerlilik süresi; raporda belirtilen e-imza standartlarının güncelliğini koruması koşuluyla, yazılımın değiştirilmeden kullanıldığı süre kadardır.

    İncelenen e-imza ile ilgili yazılımların (Applet, ActiveX, jar, dll, vs.) ve konfigürasyon dosyalarının kurum tarafından YTKDL'ye beyan edilen SHA-256 özet algoritması çıktısı alınır ve rapora yazılır. Kurum, YTKDL'ye ilettiği özet değerlerinin rapor kapsamında incelenen yazılımlara ait olduğunu garanti eder. Yazılımda sonradan yapılan değişiklikler rapor kapsamında değerlendirilmez. Uyum değerlendirme sonrasında e-imza yazılım bileşenlerinin özet değerlerinin değişmesine sebep olacak güncellemelerin yapılması durumunda uygulamanın YTKDL tarafından yeniden değerlendirilmesi gerekir. E-imza yazılımlarının değişmesi halinde kurum/firma YTKDL'yi bilgilendirerek değerlendirmenin yeniden yapılmasını istemekle sorumludur.

    E-imza entegrasyonu uygun bulunan uygulama, e-imza yazılım bileşenleri ve SHA-256 özet değerleri ile birlikte, raporun yazıldığı tarih, uygulamanın sahibi olan kurum ve varsa e-imza entegrasyonunu yapan firma bilgileri YTKDL'nin internet sitesinden yayınlanır.

    Daha fazla bilgi almak için YTKDL e-imza uyum değerlendirme ekibi ile ya da ytkdl.ud@tubitak.gov.tr adresine e-posta göndererek iletişime geçebilirsiniz.

    Tel: +90 262 675 27 55
    ytkdl.ud@tubitak.gov.tr



    Araştırma ve Geliştirme Alanlarımız

     
    Test Otomasyonu
    Yazılım test faaliyetleri kapsamında otomasyon yazılımın ihtiyaçları doğrultusunda uygulanır.
    Büyük Veri
    Büyük veri sistemleri test ve doğrulama faaliyetleri YTKDL bünyesinde araştırılan bir konudur.
    Statik Kod Analizi
    Statik kod analizi yöntem ve araçlarının inovasyonu için YTKDL bünyesinde araştırma ve geliştirme çalışmaları yapılmaktadır.
    Simulasyon Test
    Simülasyon sistemleri doğrulama tekniklerinin geliştirlmesi için yapılan araştırma faaliyetlerimizdir.