Günümüzde internet kullanımının yaygınlaşması, özellikle elektronik bankacılık ve elektronik ticaret sistemleri ile elektronik haberleşme ve elektronik eğitim platformlarının kullanıma alınmasını beraberinde getirmiştir. İnsanların evden veya işyerlerinden tüm ihtiyaçlarını elektronik platform ve uygulamalar ile yürütmesi kullanım açısından çok büyük kolaylık sağlıyor olsa da beraberinde çeşitli güvenlik açıkları doğurmaktadır. Özellikle elektronik bankacılık ve elektronik ticaret alanlarındaki güvenlik açıkları neticesinde ortaya çıkan kayıplar (ticari casusluk, para aktarımı, yetkisiz erişim vs.) milyon dolarlar mertebesine ulaşmıştır. Alınan önlemler her defasında yine hem insana hem de teknolojiye bağımlı olarak kırılabilir olmuştur.
Özellikle bu uygulamalarda kullanılan statik şifreler ile buna benzer statik kişi tanıma yöntemleri gerçek bir kimlik tanıma işlevi sağlamamaktadırlar. Bu nedenle elektronik işlemlerin tam ve güvenli olarak yapılabilmesi için, onay ve yetki güvenliğinin sağlanmasına ihtiyaç bulunmaktadır. Özellikle ülkemizde ve Birçok Avrupa ülkesinde
322 Orta, s.64; Sağıroğlu-Alkan, s.34
hayata geçirilmeye başlanan e-devlet modelleri ve buna bağlı uygulamalarda gerçek bir kişisel kimlik tanıma sisteminin oluşturulması kaçınılmazdır. İşte yukarıda da belirtildiği üzere elektronik ortamda yapılan ve yapılacak işlemlerde, güvenliğin sağlanması, işlem gerçekleştiren kişinin kimliğinin belirlenmesi, bu işlemlerin ve belgelerin yasalar önünde delil niteliği taşıması gibi pek çok ihtiyacı teknik olarak karşılamak amacıyla Açık Anahtar Altyapısı olarak adlandırılan sistemler oluşturulmuştur.
Bugün için yasal anlamda bağlayıcılığı olan ve yasada güvenli elektronik imza olarak tanımlanan elektronik imzanın temelini de Açık Anahtar Altyapısı oluşturur.
Açık Anahtar Altyapısı, güvenli bilgi iletişimini gerçekleştirmek için açık anahtarlı kriptografinin yaygın ve güvenli olarak kullanılabilmesini sağlayan ve birbirleriyle eşgüdüm içinde çalışan organizasyonların, sistemlerin (yazılım-donanım), süreçlerin ve politikaların toplamına verilen ad olup, makamlar, sertifikalar, depolama ve arşivleme birimleri ve güvenlik prensiplerini kapsamaktadır323. Bir AAA içerisinde, sertifikaların oluşturulması, yönetimi, saklanması, yayımlanması ve kaldırılması için gereken prosedürler ile kişiler, yazılımlar ve donanımlar yer almaktadır.
AAA (Açık Anahtar Altyapısı “Public Key Infrastructure”), 1978 yılında 3 bilim adamı Rivest, Shamir ve Adleman’ın baş harflerinden oluşan RSA matematik algoritmasının onaylanması ile başlar324. Açık anahtar altyapısının (AAA) temel görevi, elektronik ortamda haberleşen, işlem gören ve çalışan kişiler, kurumlar veya cihazlar arasında güvenilir bir haberleşme ortamı oluşturmaktır. Bu altyapı içerisinde, gizlilik, bütünlük, inkâr edememe, kimlik doğrulama veya onaylama, yetkilendirme ve imzalama, süreklilik ve zaman damgası gibi hizmetler verilerek sanal ortam güvenli hale getirilir. Bu altyapılar, kullanıcıların sahip oldukları açık ve gizli anahtarlara göre hizmet vermektedirler. Bu hizmetler, anahtarların oluşturulması, yetkili bir kurum tarafından onaylanması, sertifikaların saklanması ve dağıtılması, gerektiği durumlarda onayın geri alınması, geçici olarak durdurulması ve sonlandırılması gibi işlemlerden oluşmaktadır.
323 Sağıroğlu-Alkan, s.75; Gökalp, s.1; İnalöz, s.35; Gülaçtı, s.1; Babür.s.1;Genç, s.2; Önel, s.2
324 Orta, s.51; Yükseliyor, s.1; Levi, s.1; Önel, s.1
AAA'yı iyi anlamak için, simetrik (tek anahtarlı) ve asimetrik şifreleme (iki anahtarlı) yaklaşımları iyi anlamak gereklidir. Yukarıda detaylı anlatıldığı üzere, tek anahtarlı simetrik şifreleme sistemlerinde şifreleme ve deşifreleme işlemleri için aynı anahtar kullanılmaktadır. Birbiriyle şifreli olarak haberleşmek isteyen taraflar, bu anahtara sahip olmak zorundadırlar. Asimetrik şifreleme Açık Anahtar Altyapısı çözümlerinde kullanılan önemli bir kriptolama tekniği olup, bu teknikte birbiriyle matematiksel açıdan ilişkili iki adet anahtar bulunmaktadır. Bu anahtarlardan biri bilindiğinde diğerinin bulunması mümkün değildir. Gizli anahtar (private key), diğer kullanıcılarla paylaşılmayan, gizli kalması gereken, kişiye özel olan, sadece sahibince bilinip, kullanılan anahtardır. Bu nedenle gizli anahtarların, güvenliği yüksek ortamlarda üretilmesi ve korunmaları gereklidir. Bunun için uygulamada, akıllı çubuklar (e-token) veya akıllı kartlar gibi donanımlar kullanılmaktadır. Açık anahtar (public key) ise gizlenmesi gerekmeyen ve tüm kullanıcılar tarafından bilinebilen anahtardır. Açık anahtarın herhangi bir şekilde kamunun erişimine açılması, web sitesi veya e-posta aracılığıyla duyurulması, sahibince veya yetkili makamca yayımlanması mümkündür.
Açık anahtarlı kriptolama tekniğine göre, açık anahtarla kriptolanan bir veri ancak o açık anahtarın çifti olan gizli anahtar kullanılarak açılabilir. Yine aynı şekilde, gizli anahtarla kriptolanan bir veri ancak o gizli anahtarın çifti olan açık anahtar kullanılarak açılabilir.
Elektronik ortamda işlemlerin sağlıklı ve güvenilir olarak yapılabilmesi için, hizmetlerden faydalanan kullanıcıların kendilerini, hem karşı tarafa güvenli olarak tanıtmaları, hem de karşı tarafın kendilerine güvenmelerini sağlayacak, elektronik olarak oluşturulmuş bir güven ortamı olmalıdır. İşte bu güvenlik AAA yapısı ve bu yapı içerisinde yer alan sertifika otoritelerince yerine getirilmektedir325. Güvenli üçüncü taraf olarak nitelendirilen sertifika otoriteleri her kullanıcıya kullanıcıların kimlikleriyle ilişkilendirilmiş sertifikalar dağıtmaktadır. Kullanıcın açık anahtarı, ismi, e-posta adresi gibi kimlik bilgilerini içeren bu sertifikalar, sertifika otoriteleri tarafından imzalanarak oluşturulur ve her an ulaşılabilecek şekilde depolanırlar. Sertifika otoriteleri bu sertifikaları gerektiğinde iptal ederek bunlara ilişkin bilgileri de saklarlar. Sertifika otoriteleri, tüm ülkelerde kimlik üreten makamlar konumundadır. Böylece, AAA yapısı kullanıcılara, internet üzerinde yapılan tüm elektronik işlemlerin ve gönderilen her türlü
325 Orta, s.35; Önel, s.1; Sağıroğlu-Alkan, s.78 vd.
bilginin iletimi esnasında, alınan ve gönderilen bilginin kesinliği, bilginin kaynağı ve gideceği yerin kesinliği, zamanlama güvencesi, bilginin gizliliği güvencesi, bilginin mahkeme veya yasal makamlarca delil olarak sunulabilme güvencesi gibi faydalar sağlar.