Kriptografi & Veri

Dijital İmza

👤 Güvenlik Uzmanı1/35 dk
İnteraktif sahne yükleniyor…
🎯 Neden önemli?

Bir yazılım güncellemesinin gerçekten üreticiden geldiğini ve yolda değiştirilmediğini nereden bilirsiniz? İşletim sisteminiz kurulumdan önce o dosyanın dijital imzasını saniyeler içinde doğrular — geçersizse 'bilinmeyen yayıncı' uyarısı verir.

Anlatım

NEDİR? Dijital imza (digital signature), bir verinin (belge, e-posta, yazılım, işlem) gerçekten iddia edilen kişiden/kurumdan geldiğini (kimlik doğrulama ve inkâr edememe) ve yolda değiştirilmediğini (bütünlük) kriptografik olarak kanıtlayan mekanizmadır. Islak imzanın dijital karşılığı değildir sadece — taranmış bir imza görseli kopyalanabilir, oysa dijital imza imzalanan içeriğe matematiksel olarak bağlıdır; içerik bir bit değişse imza geçersiz olur. Dijital imza GİZLİLİK sağlamaz (içeriği şifrelemez); gizlilik için şifreleme ile birlikte kullanılır. NASIL ÇALIŞIR? Dijital imza, asimetrik (açık anahtarlı) kriptografi ile özetleme (hashing) tekniklerini birleştirir. Anahtar mantık şudur: ŞİFRELEMENİN TERSİNE, imzalama ÖZEL anahtarla yapılır, doğrulama HERKESE AÇIK anahtarla yapılır. İmzalama (gönderici tarafı): 1) Gönderici, imzalanacak veriden bir özet (hash) üretir (ör. SHA-256) — bu sabit uzunlukta, içeriğe özgü bir parmak izidir. 2) Bu özeti KENDİ ÖZEL ANAHTARIYLA şifreler/imzalar; sonuç 'dijital imza'dır. 3) Veri + imza birlikte alıcıya gönderilir. Doğrulama (alıcı tarafı): 4) Alıcı, gelen veriden aynı algoritmayla kendi hash'ini hesaplar. 5) Göndericinin AÇIK ANAHTARIYLA imzayı çözerek gönderenin hesapladığı orijinal hash'i elde eder. 6) İki hash birebir aynıysa imza GEÇERLİDİR: veri değişmemiştir (bütünlük) ve yalnızca özel anahtar sahibi imzalayabileceği için kaynak doğrudur (kimlik + inkâr edememe). Hash'ler farklıysa veri değiştirilmiş veya imza sahtedir. NEDEN ÖNEMLİ / İŞ YERİNDE Dijital imza üç güvencenin tek seferde sağlandığı az sayıda mekanizmadan biridir: KİMLİK DOĞRULAMA (kim imzaladı), BÜTÜNLÜK (içerik değişti mi) ve İNKÂR EDEMEME (non-repudiation — imzalayan 'ben yapmadım' diyemez). Pratik kullanım alanları: yazılım/sürücü imzalama (code signing), HTTPS sertifikaları (CA'nın sertifikayı imzalaması), e-posta imzalama (S/MIME, PGP), elektronik sözleşmeler (5070 sayılı Elektronik İmza Kanunu kapsamında nitelikli elektronik imza ıslak imzayla eşdeğer hukuki geçerliliktedir), banka/fintek işlem onayları ve blok zinciri işlemleri. DİKKAT / İYİ UYGULAMA • ÖZEL ANAHTARIN GİZLİLİĞİ HER ŞEYDİR: özel anahtar çalınırsa saldırgan sizin adınıza imza atabilir; donanım anahtarı (HSM/akıllı kart/USB token) ile saklayın. • Açık anahtarın gerçekten doğru kişiye ait olduğunu garanti etmek için DİJİTAL SERTİFİKA ve PKI gerekir — yoksa saldırgan kendi anahtar çiftini 'banka' diye sunabilir. • Dijital imza ≠ şifreleme: imza içeriği gizlemez, sadece kaynağı/bütünlüğü kanıtlar. Hem gizlilik hem imza isteniyorsa ikisi birlikte uygulanır. • Zayıf/kırılmış hash algoritmaları (MD5, SHA-1) imzayı sahteciliğe açar; güncel SHA-256 ve üzerini kullanın.

📌 Senaryolar
📌 Örnek 1: Bir kullanıcı Windows'a bir uygulama kuruyor; sistem 'Doğrulanmış yayıncı: ACME Yazılım A.Ş.' bilgisini gösteriyor. Açıklama: Geliştirici, kurulum dosyasının hash'ini kendi özel anahtarıyla imzalamış (code signing). İşletim sistemi, geliştiricinin sertifikasındaki açık anahtarla imzayı doğrular ve dosyanın hash'ini yeniden hesaplar. Hash'ler uyuşursa dosyanın o yayıncıdan geldiği ve indirme sırasında değiştirilmediği kanıtlanır. Birisi dosyaya kötü amaçlı kod eklerse hash değişir, imza geçersiz olur ve sistem 'bilinmeyen/doğrulanamayan yayıncı' uyarısı verir.
📌 Örnek 2: İki şirket, bir sözleşmeyi nitelikli elektronik imza ile imzalayıp e-posta ile paylaşıyor. Açıklama: Her imzacı sözleşmenin hash'ini kendi özel anahtarıyla imzalar. Daha sonra taraflardan biri 'metin sonradan değiştirildi' veya 'ben imzalamadım' iddiasında bulunursa, karşı taraf belgenin hash'ini yeniden hesaplayıp açık anahtarla imzayı doğrulayarak hem içeriğin değişmediğini (bütünlük) hem de imzanın o kişiye ait olduğunu (inkâr edememe) ispatlar. 5070 sayılı kanun gereği nitelikli e-imza ıslak imzayla aynı hukuki sonucu doğurur.
📌 Örnek 3: Bir kullanıcı sahte bir 'banka güncellemesi' e-postasındaki dosyayı kuruyor; dosyanın dijital imzası yok veya geçersiz. Açıklama: Meşru banka yazılımı geçerli bir kod imzasıyla gelir. Saldırgan dosyayı taklit edebilir ama bankanın ÖZEL ANAHTARI olmadan geçerli imza üretemez; en fazla kendi anahtarıyla imzalar, o da bankanın sertifikasıyla doğrulanamaz. Bu yüzden imza doğrulaması 'oltalama + sahte yazılım' saldırılarına karşı somut bir savunmadır — kullanıcı imza/yayıncı uyarısını dikkate almalıdır.
Özet

• Dijital imza tek mekanizmada üç şeyi kanıtlar: KİMLİK DOĞRULAMA, BÜTÜNLÜK ve İNKÂR EDEMEME (non-repudiation). • İmzalama ÖZEL anahtarla, doğrulama AÇIK anahtarla yapılır — bu, şifrelemenin (açık anahtarla şifrele, özel anahtarla çöz) tersidir. • İçeriğin hash'i imzalanır; alıcı hash'i yeniden hesaplayıp imzadan çözdüğü hash ile karşılaştırır — bir bit değişirse imza geçersiz olur. • Dijital imza GİZLİLİK sağlamaz (şifreleme değildir); özel anahtarın korunması ve açık anahtarı doğrulayan PKI/sertifika kritiktir.

✅ Mini-Test (3)
1.Dijital imza oluşturulurken (imzalama) hangi anahtar kullanılır?
2.Dijital imza aşağıdaki güvenlik özelliklerinden hangisini SAĞLAMAZ?
3.İmzalanan belgede tek bir karakter değişirse, dijital imzanın doğrulaması başarısız olur.
← Tüm sözlük terimleri · Farkındalık eğitimi