Đnternet ve Elektronik Ticaret Đle Đlgili Güvenlik Kavramları

Kriptografi, okunur biçimdeki bilginin, okunamayacak bir şekle dönüştürülmesi bilimidir (Sonsuzoğlu, 2005: 51). Bu bilim dalı sayesinde güvenli veri iletişimi ve veri saklanması amacıyla şifreleme ve şifre çözme yöntemleri geliştirilmektedir (http://www.ankarawebtasarim.com/eticaret.asp?id=5, E.T. 20.11.2010).Şifreleme yöntemleri ile okunaklı ve anlamlı açık bir metindeki bilgiler belli yöntemler ışığında, bir anahtar ilişkisi altında anlamsız işaretler serisine

dönüştürülmektedir. Anlamsız metin doğru anahtarın kullanımı sayesinde tekrar anlamlı haline dönüştürülebilmektedir. Bir mesajın şifrelenmesi ya da deşifre edilebilmesi için matematiksel bir algoritma gereklidir. Anahtar, şifrelenmiş olan metin için algoritmanın bir parçası olan basit rakamsal bir değer, şifreleme ve deşifrelemede kullanılan karakterlerin sekansıdır (Sonsuzoğlu, 2005:51).

1.6.1.2. Elektronik Đmza

Elektronik imza, başka bir elektronik veriye eklenen kimlik doğrulama amacıyla kullanılan veya elektronik veriyle mantıksal bağlantısı bulunan elektronik veridir. Elektronik ortamlarda imza yerine kullanılabilmektedir. Elektronik imza, yasal kimlik doğrulama sistemi olarak da kullanılmaktadır (http://tr.wikipedia.org/ wiki/Elektronikimza, E.T. 25.11.2010).

Türkiye’de elektronik ticaretin genişletilebilmesi için elektronik imza yasasının çıkması ve hukuki altyapının düzenlenmesi çok önemlidir. Aynı zamanda elektronik ticarette Türkiye’nin dünya ile bütünleşmesi için hukuki altyapının yeniden gözden geçirilmesi, internetin yaygınlaştırılması ve elektronik imzanın genişletilmesi ile olabilecektir (Kayıhan 2004: 207).

Günümüzde elektronik ortamlarda gerçekleştirilen işlemlerde kimlik doğrulama işlemleri çok güvenli ortamlarda ve karşılıklı doğrulama şeklinde gerçekleştirilmemektedir. Đnsanlar tabii olarak kendilerini rahat ve güvende hissetmemektedirler. Elektronik imza altyapısı kullanıldığında insanlar bizzat kendileri kimlik doğrulama işlemini gerçekleştirebilecek düzeyde olacağından kendilerini daha rahat ve güvende hissedeceklerdir. Elektronik yaşamın gelişebilmesinin ve tarafların birbirlerini sorunsuzca tanıyabilmelerinin en önemli şartı, elektronik ortama, internet altyapısına güven’in sağlanmasıdır. Bilginin gizliliği, bütünlüğü ve tarafların kimliklerinin doğruluğu kurulacak olan teknik ve yasal altyapı ile garanti edilmektedir. Güven, rekabet ve rahatlık, süreç içerisinde elektronik ticaretin daha da yaygınlaşmasını beraberinde getirecektir. Elektronik dokümanların, gerçek anlamda güvenli bir şekilde gönderilmesi için sayısal olarak imzalanması gereklidir. Sayısal olarak imzalama ile güven ortamı oluşturulacak

olması elektronik ticaretin gelişmesi için çok önemli bir unsurdur. Elektronik ticaretin yaygınlaştırılması, teknik altyapıda elektronik imza unsurlarının kullanılmasıyla ve elektronik imzanın yasal düzenlemelerle desteklenmesiyle kolaylaştırılmış olacaktır (Sağıroğlu, 2005:139).

Elektronik imza ile ilgili olarak bir diğer problem elektronik imza ve elektronik doküman sorunudur. Elektronik imza sözleşme uyuşmazlıkların çözümünde geçerli olan bir sözleşme beyanıdır. Bazı ülkeler örneğin kağıt üzerine atılan imzaları belirli işlemlerde yasal bağlayıcılık bakımından bir koşul olarak kabul etmektedirler. Örneğin Almanya’da gayrimenkul işlemlerinde böyle bir şart aranmaktadır. Belirsizlikler ve bazı olumsuzluklar karşısında bazı yazarlar uluslararası ticarette tek şekilli bir kod teklif etmektedirler. Böyle bir gelişme uluslararası elektronik ticareti güçlendirecektir. Elektronik imzanın yaygınlaşması ile beraber yapılan işler kolaylaşacak ve yasal bir zemine oturacaktır. Konudaki öncü çalışmalar BM bünyesinde oluşturulan Uluslararası Ticaret Hukuku Birleşmiş Milletler Komisyonu (UNCITRAC) tarafından başlatılmıştır (Ekin, 1998: 123).

Elektronik fatura iletişimi, bir servis sağlayıcı (elektronik fatura hizmet sağlayıcı) aracılığı ile yapıldığında ve ileri elektronik imza kullanılarak yapıldığında, servis sağlayıcının da faturayı imzalaması için gerekli olan teknik altyapı düzenlemelerine gidilmelidir. Đleri elektronik imzanın elektronik faturalarda tanımlama işlemi için kullanımının, hâlihazırda uygulanan otomatik süreçlerde fatura yazılması uygulamasını engellememesi sağlanmalıdır. Elektronik imza ile ilgili olarak elektronik faturaların da sisteme uygunluğu incelenip konu üzerinde çalışılması gerekmektedir. Elektronik faturalarda elektronik imza ile tanımlama fonksiyonunun gerçekleştirilmesi ile ilgili olarak gerekli çalışmalar başlatılmalıdır (Berber, 2006: 27).

Elektronik imza elektronik ticaret içinde önemli bir yere sahiptir. Fakat elektronik imzada bazı olumsuz durumlarla karşılaşılabilmektedir. Elektronik imzayı yazıya dönüştürmek başarılı bir uygulama olmayabilir. Çünkü bu benzerliklerde bazen problemler çıkabilmektedir (Gladman, 1999: 15). Elektronik imzanın doğru bir şekilde kullanılması için internet altyapısının güvenliği şarttır. Ayrıca elektronik

imzanın uygulanmasında gerekli koşullar (Kimlik doğrulama, IP adresi vb.) sağlandıktan sonra elektronik imza elektronik ticarette kullanılmalıdır.

Elektronik imzanın gelişebilmesi elektronik ortamda kayıtların ve belgelerin saklanması ile yakından ilgilidir. Elektronik imzanın güvenilir bir şekilde uygulamaya konulması sayesinde elektronik işlemler daha da yaygınlaşabilecektir (Kayıhan, 2004: 207).

1.6.1.3. Dijital Sertifikalar

Dijital sertifikalar bir sertifika otoritesi tarafından dijital imzalı ve açıkça bir kişi ya da kuruluş adına belli bir açık anahtar içermek suretiyle düzenlenen dijital dokümanlardır. Sertifika sahibinin kimliğini, sertifikanın son kullanma tarihini, sertifikanın alındığı sertifika otoritesinin adını ve sertifikanın gerçekliğinin ispatı için dijital imzasını, sertifikanın seri numarasını ve sertifika sahibine ait açık anahtarı içerir (http://www.ykb.com/tr/sss/kurumsal_e ticaret.shtml, E.T. 11.05.2010).

Dijital sertifika kavramı, dijital imza ile anılan bir kavramdır. Đmza doğrulama verisi ile kimlik bilgilerini birbirine bağlayan elektronik kayıttır. Dijital sertifika açık ve gizli anahtar çiftinin kime ait olduğunu belgelemektedir. Açık ve gizli anahtar çiftinin oluşturduğu asimetrik şifreleme tekniğine dayanmaktadır (Sonsuzoğlu, 2005:50).

Đki kişi asimetrik kriptografi (şifreleme) vasıtasıyla aralarında güvenli bir iletişimin olmasını arzulamaktalarsa, öncelikle karşılıklı olarak birbirlerinin açık anahtarlarını değiş tokuş etmelidirler. Ancak bu takas sırasında açık anahtarın güvenliği ayrıca garanti altına alınmalıdır. Kötü niyetli bir kişi, kendi açık anahtarını bu iki kişinin açık anahtarlarından biri ile değiştirmeyi başardığında, gönderilen mesaj ve bilgileri yakalayabilir ve kendi gizli anahtarı ile deşifre edebilir. Bu yüzden asimetrik şifreleme yöntemi kullanıldığında açık anahtarın gerçekten belirtilmiş olan kişiye ait olup olmadığının bilinmesi güvenlik açısından çok önemlidir. Bunu garanti altına almak için de güvenilir ve tarafsız bir üçüncü partiye ihtiyaç vardır. Bu tarafsız üçüncü parti de sertifika otoriteleridir. Dijital sertifikaları sertifika otoriteleri düzenler.

Güvenli sunucu sertifikaları da elektronik ticarette kullanılan dijital sertifikalardan biridir. Sunucu sertifikası, web sitesinin kullanıcıya kendini tanımlamasını ve kullanıcının sitede yaptığı işlemleri şifrelemeyi sağlar. Bu tür dijital sertifikalar, kullanıcının bir dolandırıcıyla değil belirli bir host ile iletişim halinde olduğunu bilmesini sağlamaktadır.

Bu tür sertifikalar aynı zamanda SSL standardını kullanmaktadır. Bu sertifikalar bir web sitesinin sahibini ve kimliğini kanıtlamak ve web sunucusu ile bağlantıda olan müşteriler ile gizli iletişimi sağlamak amacıyla kullanılmaktadır.

Sertifika sahibi, dijital sertifikası ile kendisine gönderilecek bilginin, dijital sertifikasının içerdiği açık anahtarla şifrelenmesini ve bilginin sadece kendisinin sahip olduğu gizli anahtarla okunmasını sağlar. Sertifika ile gönderilen anahtar ile şifrelenen bilgi ancak sertifika sahibi tarafından deşifre edilebileceğinden bilginin doğru kişi tarafından okunması sağlanır (http://www.ykb.com/tr/sss/kurumsal_e ticaret.shtml, E.T. 11.05.2010). Böylece elektronik ticarette çokça yaşanmış olan kredi kartı bilgileri hırsızlığı ortadan kalkmaktadır, çünkü bu bilgiler açık ve gizli anahtar çifti sayesinde sadece alışverişin yapıldığı sertifika sahibi kuruluş tarafından kullanılabilmekte ve başkaları tarafından ele geçirilememektedir.

Çok kullanılmamakla birlikte kişisel sertifika denilen bir dijital sertifika türü de vardır. Bu tür dijital sertifika tüketici açısından kimlik ve dolayısıyla kişinin ülke bağını belirleyici bir fonksiyon üstlenmektedir.

Dijital sertifikaların kimlik onaylayıcı fonksiyonları nedeni ile yaygın bir biçimde kullanılması vergisel amaçlar için de desteklenmektedir.

1.6.1.4. Sertifika Otoritesi (Onay Makamı)

Mesaj ve bilgilerin şifreleme yöntemleri ile şifrelenmesi işlemi tek başına yeterli olmamakta, aynı zamanda iki parti arasında aynı zamanda onay makamı da denilen sertifika otoritesi yani kimlik doğrulaması yapan kuruluş üçüncü parti olarak bulunmaktadır. Bu kuruluşun diğer bir görevi gönderilen belgelerin bir kopyasını kimsenin ulaşamayacağı şekilde saklamaktır. Sertifika otoritesi, önceden kişinin

kimlik bilgilerini teyit edip kayıt altına almaktadır. Bu amaçla, yani mesaj ve bilgi gönderici ve alıcılarının kimliklerinin belirlenmesi için dijital sertifikalar düzenlenir. Sertifika, sertifika otoritesi tarafından düzenlenerek, sayısal olarak imzalanır (http://www.eimza.gen.tr/index.php?Page=Makaleler, E.T. 07.05.2010). Böylece sertifikaların güvenilirliği tarafsız ve güvenilen bir üçüncü parti kuruluş tarafından garanti altına alınmış olur. Sertifika Otoriteleri aynı zamanda “Onay Makamı”, “Onay Kurumu” ya da ESHS olarak da adlandırılmaktadır. Dijital sertifika otoritelerinin en bilineni Veri Sign Inc.’dir (www.verisign.com, E.T. 04.05.2010).