Elektronik
İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ
BİRİNCİ
BÖLÜM
Genel
Hükümler
Amaç
Madde 1 —
Bu Tebliğin amacı, elektronik imzaya ilişkin süreçleri ve teknik kriterleri
detaylı olarak belirlemektir.
Kapsam
Madde 2 —
Bu Tebliğ; nitelikli elektronik sertifika başvurusu, sertifikanın oluşturulması,
yayımlanması, yenilenmesi, iptali ve arşivleme süreçleri dahil olmak üzere ESHS’nin işleyişine, imza oluşturma ve doğrulama verilerine,
sertifika ilkelerine ve sertifika uygulama esaslarına, imza oluşturma ve
doğrulama araçlarına, ESHS’nin faaliyetleri için
kullandığı sistem, cihaz ile fiziki güvenliğine, personeline, zaman damgasına ve
hizmetlerine ilişkin teknik hususları kapsar.
Dayanak
Madde 3 —
Bu Tebliğ, Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar
Hakkında Yönetmeliğin 34 üncü maddesine dayanılarak
hazırlanmıştır.
Tanımlar
Madde 4 —
Bu Tebliğde geçen;
Yönetmelik: Elektronik İmza
Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında
Yönetmeliği,
BS (British Standards): İngiliz
Standartlarını,
CEN (Comité Européen de Normalisation): Avrupa Standardizasyon
Komitesini,
CWA (CEN Workshop Agreement): CEN Çalıştay Kararını,
DSA (Digital Signature Algorithm): Sayısal İmza
Algoritmasını,
DSA Eliptik Eğrisi (DSA Elliptical Curve): Sayısal İmza
Algoritması Eliptik Eğrisini,
EAL (Evaluation Assurance Level): Değerlendirme Garanti
Düzeyini,
ETSI (European Telecommunications Standards Institute): Avrupa
Telekomünikasyon Standartları Enstitüsünü,
ETSI SR (ETSI Special Report): ETSI Özel
Raporunu,
ETSI TS (ETSI Technical Specification): ETSI
Teknik Özelliklerini,
FIPS PUB (Federal Information Processing Standards Publications): Federal
Bilgi İşleme Standartları Yayınlarını,
IETF RFC (Internet Engineering Task Force Request for Comments): İnternet Mühendisliği Görev Grubu Yorum
Talebini,
ISO/IEC (International Organisation for Standardisation / International Electrotechnical
Commitee): Uluslararası Standardizasyon Teşkilatı /
Uluslararası Elektroteknik Komitesini,
ITU (International Telecommunication
Union): Uluslararası Telekomünikasyon
Birliğini,
RIPEMD (RACE Integrity Primitives Evaluation Message Digest): RACE Bütünlük Asli Mesaj Değerlendirme
Özetini,
RSA: Rivest-Shamir-Adleman’ı,
SHA (Secure Hash Algorithm): Güvenli Özet Algoritmasını ifade
eder.
Bu Tebliğde yer almayan tanımlar
için Kanun ve Yönetmelikte yer alan tanımlar geçerlidir.
İKİNCİ
BÖLÜM
Teknik
Hususlar
ESHS’nin
İşleyişi
Madde 5 —
ESHS işleyişinin bütün aşamalarında;
a) ETSITS 101 456
ve
b) CWA
14167-1
standartlarına
uyar.
Nitelikli elektronik
sertifikalar;
a) ETSITS 101 862
ve
b) ITU-TRec. X.509V.3’e
uygun olarak
oluşturulur.
Algoritmalar ve
Parametreler
Madde 6 —
İmza oluşturma ve doğrulama verileri, aşağıda belirtilen algoritma ve
parametrelere uygun olarak oluşturulur;
a) İmza sahibinin imza oluşturma ve
doğrulama verileri
i. RSA için en az 1024 bit veya
ii. DSA için en az 1024 bit veya
iii. DSA Eliptik Eğrisi için en az 160
bit
b) ESHS’nin imza oluşturma ve doğrulama
verileri
i. RSA için en az 2048 bit veya
ii. DSA için en az 2048 bit veya
iii. DSA Eliptik Eğrisi için en az 256 bit Özetleme
algoritması olarak;
a) RIPEMD-160
veya
b) SHA-1
kullanılır.
Yukarıda belirtilen algoritmalar ve
parametreler 31/12/2005 tarihine kadar geçerlidir.
Yukarıda belirtilen algoritmalara
ve parametrelere bağlı kalmak şartı ile ETSI SR 002 176 raporunda belirtilen
imza oluşturma ve doğrulama verilerinin oluşturulmasında kullanılan algoritma ve
parametreler de geçerlidir.
Sertifika İlkeleri ve Sertifika
Uygulama Esasları
Madde 7 —
ESHS; sertifika ilkelerini ve sertifika uygulama esaslarını IETF RFC 3647’ye
uygun olarak hazırlar.
Güvenli Elektronik İmza Oluşturma
ve Doğrulama Araçları
Madde 8 —
Güvenli elektronik imza oluşturma araçları CWA 14169 standardına uygun ve TS
ISO/IEC 15408 (-l,-2,-3)’e veya ISO/IEC 15408 (-1,-2,-3)’e göre en az EAL4+
seviyesinde olmalıdır.
ESHS, sağlamış olduğu güvenli
elektronik imza doğrulama araçları için CWA 14171 standardına uyar ve bunu
yazılı olarak taahhüt eder.
Güvenlik
Kriterleri
Madde 9 —
ESHS, güvenlik kriterlerine ilişkin olarak;
a) CWA
14167-1,
b) ETSITS 101 456
ve
c) TS ISO/IEC 17799 veya ISO/IEC
17799
standartlarına
uyar.
Zaman Damgası ve
Hizmetleri
Madde 10 —
ESHS, zaman damgası ve hizmetlerine ilişkin olarak;
a) CWA 14167-1
ve
b) ETSI TS 101
861
standartlarına
uyar.
Zaman damgası ilkeleri ve zaman
damgası uygulama esasları ETSI TS 102 023’e uygun olarak hazırlanır.
Belgeler
Madde 11 — ESHS;
a) BS 7799-2 standardına
uygunluğunu,
b) Güvenli elektronik imza
oluşturma araçlarının;
i. FIPS PUB 140-1 veya FIPS PUB 140-2’ye göre
seviye 3 veya üzerinde
olduğunu
veya
ii. CWA 14167-2’de
belirtilen kriterlere uygunluğunu veya
iii. CWA 14169
standardına uygun ve TS ISO/IEC 15408 (-l,-2,-3)’e veya
ISO/IEC 15408 (-1,-2,-3)’e
göre en az EAL4+ seviyesinde olduğunu
yetkili kurum veya kuruluşlardan
alman belgelerle belgelendirir.
ÜÇÜNCÜ
BÖLÜM
Diğer
Hükümler
Yürürlük
Madde 12 —
Bu Tebliğ yayımı tarihinde yürürlüğe girer.
Yürütme
Madde 13 —
Bu Tebliğ hükümlerini Telekomünikasyon Kurulu Başkanı
yürütür.
ELEKTRONİK
İMZA İLE İLGİLİ SÜREÇLERE VE TEKNİK KRİTERLERE
İLİŞKİN TEBLİĞ