Kayıtlı Elektronik Posta Sistemi

Kayıtlı Elektronik Posta Sistemi Teknik Yapısı, Özellikleri ve İşleyişi Mustafa ALKAN Mustafa ÜNVER Demet KABASAKAL Yüksel GÜNAYDIN ISBN: 978-9944-0189-7-5 © Tüm yayın hakları Yazarlara aittir. Yazarların izni olmaksızın, hiçbir biçimde ve hiçbir yolla, bu kitabın içeriğinin bir bölümü ya da tümü yeniden üretilemez ve dağıtılamaz. Kapak Tasarımı: Evrim ÇETİNKAYA 1. Basım, Aralık 2011 Bilgi Teknolojileri ve İletişim Kurumu Yeşilırmak Sokak No 16, 06430 Demirtepe/ANKARA Tel: (312) 294 72 00 Faks: (312) 294 71 45 İnternet: http://www.btk.gov.tr Kayıtlı Elektronik Posta Sistemi Teknik Yapısı, Özellikleri ve İşleyişi Mustafa ALKAN Mustafa ÜNVER Demet KABASAKAL Yüksel GÜNAYDIN TEŞEKKÜR Bu raporun hazırlanması esnasında sunmuş oldukları kıymetli görüş ve değerlendirmeleri ile raporun şekillenmesine büyük katkıda bulunan Sayın Cafer CANBAY‘a, Avrupa Telekomünikasyon Standartları Enstitüsü bünyesinde kayıtlı elektronik posta (KEP) standardı konusunda çalışmalar yürüten Özel Görev Gücü 402 (Specialist Task Force – STF 402) çalışma grubunun başkanı Juan Carlos Cruellas‘a, İtalyan KEP mevzuatı hakkındaki bilgileri bizimle paylaşan İtalya‘da KEP hizmet sağlayıcılarını yetkilendiren ve denetleyen Kamu Yönetimi Ulusal Bilişim Merkezi (The National Centre for ICT in Public Administration - CNIPA) çalışanlarından Giovanni Manca‘ya, KEP hizmet sağlayıcıların teknik altyapıları ve hizmet sunumu konularında bilgiler paylaşan İtalya‘da KEP hizmet sağlayıcı olarak hizmet vermekte olan Infocert şirketi çalışanlarından Luca Boldrin‘e ve Exentrica şirketi çalışanlarından Umberto Ferrara‘ya teşekkür ederiz. İÇİNDEKİLER Sf. İÇİNDEKİLER ................................................................................................................ ii KISALTMALAR .............................................................................................................. v TABLOLAR LİSTESİ ..................................................................................................... ix 1. GİRİŞ...................................................................................................................... 1 2. KEP NEDİR? .......................................................................................................... 5 3. KEP SİSTEMİ İLE İLGİLİ STANDART ÇALIŞMALARI ........................................... 6 3.1. ETSI‘nin Çalışmaları ............................................................................................... 6 3.2. UPU‘nun Çalışmaları .............................................................................................. 8 3.3. CEN‘in Çalışmaları ................................................................................................. 9 4. KEP SİSTEMİNİN MANTIKSAL MODELİ VE MİMARİSİ ...................................... 11 5. KEP SİSTEMİNİN TEMEL KAVRAMLARI ............................................................ 13 5.1. KEP Kutusu ........................................................................................... 13 5.2. KEP Kullanıcısı ...................................................................................... 13 5.3. Gönderici ve Alıcı ................................................................................... 13 5.4. Mesaj ..................................................................................................... 14 5.5. Delil ........................................................................................................ 14 5.6. Sertifikasyon Verisi ................................................................................ 15 5.7. Taşıma Zarfı .......................................................................................... 15 5.8. Aykırılık Zarfı.......................................................................................... 17 5.9. Güvenlik Zarfı ........................................................................................ 19 5.10. KEP Alanı ........................................................................................ 20 5.11. KEP Hizmet Sağlayıcısı ................................................................... 21 5.12. KEPHS Dizini................................................................................... 21 5.13. Kabul İletisi ...................................................................................... 22 5.14. Red İletisi ......................................................................................... 23 5.15. Devir İletisi ....................................................................................... 26 ii 5.16. Dağıtımda Çalışma Zaman Aşımı Kaynaklı Hata İletisi ................... 27 5.17. Başarılı Dağıtım İletisi...................................................................... 29 5.18. Başarısız Dağıtım İletisi ................................................................... 31 6. KEP SİSTEMİNİN TEMEL BİLEŞENLERİ ............................................................ 33 6.1. KEP İletişim Modülü ............................................................................... 33 6.2. Erişim Noktası........................................................................................ 34 6.3. Alım Noktası .......................................................................................... 36 6.4. Dağıtım Noktası ..................................................................................... 40 6.5. Delil Sağlayıcı ........................................................................................ 41 6.6. Delil Doğrulayıcı ..................................................................................... 42 7. KEP SİSTEMİNDE KULLANILABİLECEK TEKNOLOJİLER, TEKNİKLER ve FORMATLAR....................................................................................................... 44 7.1. Teknolojiler ve Teknikler ........................................................................ 44 7.2. Formatlar ............................................................................................... 45 7.2.1. Zaman referansı .............................................................................. 45 7.2.2. Tarih/saat formatı ............................................................................ 45 7.2.3. Mesajın özellikleri ............................................................................ 45 8. KEP SİSTEMİNİN GÜVENLİK ÖZELLİKLERİ ...................................................... 47 8.1. Güvenli Elektronik İmza ......................................................................... 49 8.2. Günlük Kayıtları ..................................................................................... 49 8.3. Doğrulama ............................................................................................. 49 8.4. Güvenli Etkileşim ................................................................................... 49 8.5. Virüslerden Korunma ............................................................................. 50 9. KEP SİSTEMİNİN ÇALIŞMA ŞEKİLLERİ ............................................................. 51 9.1. KEP Yükle ve Gönder (Y&G) Modeli ..................................................... 51 9.2. KEP Yükle ve Uyar (Y&U) Modeli .......................................................... 54 10. KEPHS‘LERİN BİRBİRLERİYLE ve SEP İLE ETKİLEŞİMİ .................................. 57 iii 10.1. İki KEPHS Arasındaki Etkileşim....................................................... 57 10.1.1. Tam ve doğru bir taşıma zarfının başarılı dağıtımı .......................... 57 10.1.2. Tam ve doğru bir taşıma zarfının başarısız dağıtımı ....................... 59 10.1.3. Mesajın virüs içerdiğinin alıcı KEP tarafından fark edilmesi ve dağıtım hatası............................................................................................... 61 10.1.4. Mesajın virüs içerdiğinin gönderici KEP tarafından fark edilmesi ve red iletisi .......................................................................................... 63 10.2. KEPHS İle SEP Arasındaki Etkileşim .............................................. 64 10.2.1. SEP (gönderici) ile KEPHS (alıcı) arasındaki etkileşim ................... 64 10.2.2. KEPHS (gönderici) ile SEP (alıcı) arasındaki etkileşim ................... 65 11. KEP ÜLKE UYGULAMALARI ............................................................................... 66 11.1. AB Ülkelerinde KEP ile İlgili Çalışmalar ........................................... 66 11.1.1. İtalya ................................................................................................ 66 11.1.2. Belçika ............................................................................................. 67 11.1.3. Fransa ............................................................................................. 68 11.1.4. İspanya ............................................................................................ 69 11.1.5. İsveç ................................................................................................ 69 11.1.6. Almanya .......................................................................................... 69 11.2. Türkiye‘deki Durum.......................................................................... 70 12. SONUÇ ................................................................................................................ 74 iv KISALTMALAR AAA Açık Anahtar Altyapısı AB Avrupa Birliği a.g.e. Adı geçen eser a.g.p. Adı geçen proje AFNOR Association Française de NORmalisation Fransa Standardizasyon Komitesi AK Avrupa Komisyonu BGYS Bilgi Güvenliği Yönetim Sistemi BİT Bilgi ve İletişim Teknolojileri BM Birleşmiş Milletler BT Bilgi Teknolojileri BTK Bilgi Teknolojileri ve İletişim Kurumu CEN CEPT CNIPA CRL DNS European Committee for Standardization Avrupa Standardizasyon Komitesi Conference of European Post and Telecommunications Avrupa Posta ve Telekomünikasyon İdaresi The National Centre for ICT in Public Administration Kamu Yönetimi Ulusal Bilişim Merkezi Certificate Revocation List Sertifika İptal Listesi Domain Name System Alan Adı Sistemi DPT Devlet Planlama Teşkilatı EKAP Elektronik Kamu Alım Platformu EPCM ESI ETSI Electronic Postal Certification Mark Elektronik Posta Sertifikasyon İşareti Electronic Signatures and Infrastructures Elektronik İmzalar ve Altyapılar European Telecommunication Standards Institute Avrupa Telekomünikasyon Standartları Enstitüsü v HTML HTTPS IMAP IMAPS IPSec ISM ISO ISO/IEC Hypertext Markup Language Bağlantılı Metin İşaretleme Dili HTTP over SSL or HTTP Secure SSL Üzerinden HTTP veya Güvenli HTTP Internet Message Access Protocol İnternet Mesaj Erişim Protokolü IMAP over SSL SSL Üzerinden IMAP Internet Protocol Security Güvenli İnternet Protokolü Information Security Management Bilgi Güvenliği Yönetimi International Standards Organization Uluslararası Standartlar Örgütü ISO/International Electrotechnical Commission ISO / Uluslararası Elektroteknik Komisyonu KEP Kayıtlı Elektronik Posta KEPHS Kayıtlı Elektronik Posta Hizmet Sağlayıcı LDAP MIME MX POP3 POP3S PReM RFC SEP Lightweight Directory Access Protocol Hafif Dizin Erişim Protokolü Multipurpose Internet Mail Extensions Çok Amaçlı İnternet Posta Uzantıları Mail Exchange Posta Sunucu Kaydı Post Office Protocol Version 3 Elektronik Posta Protokolü Sürüm 3 POP3 over SSL SSL Üzerinden POP3 Postal Registered eMail Kayıtlı Elektronik Posta Request For Comment Yorum Talebi Standart Elektronik Posta vi S&F Store and Forward Y&G Yükle ve Gönder S&N Store and Notify Y&U Yükle ve Uyar S/MIME SMS SMTP SSL STARTTLS STF TCP/IP TLS TR TS TÜBİTAK UPU URL UTC XML Secure / Multipurpose Internet Mail Extensions Güvenli / Çok Amaçlı İnternet Posta Uzantıları Short Message Service Kısa Mesaj Hizmeti Simple Mail Transfer Protocol Basit Posta Aktarma Protokolü Secure Sockets Layer Güvenli Soket Katmanı Start TLS TLS Başlatma Specialist Task Force Özel Görev Gücü Transmission Control Protocol / Internet Protocol İletim Kontrol Protokolü / İnternet Protokolü Transport Layer Security Taşıma Katmanı Güvenliği Technical Report Teknik Rapor Technical Specification Teknik Özellik Türkiye Bilimsel ve Teknolojik Araştırma Kurumu Universal Postal Union Dünya Posta Birliği Uniform Resource Locater Tek Biçimli Kaynak Bulucusu Coordinated Universal Time Koordineli (Eşgüdümlü) Evrensel Zaman Extensible Markup Language Genişletilebilir İşaretleme Dili vii ŞEKİLLER LİSTESİ Şekil 4.1 : KEP mantıksal modeli ................................................................................ 11 Şekil 4.2 : KEP sistem bileşenleri................................................................................ 12 Şekil 9.1 : KEP Yükle ve Gönder modeli (alıcının KEP kullanıcısı olmadığı durum) ... 52 Şekil 9.2 : KEP Yükle ve Gönder modeli (alıcının KEP kullanıcısı olduğu durum) ...... 53 Şekil 9.3 : KEP Yükle ve Uyar modeli (alıcının KEP kullanıcısı olmadığı durum) ....... 54 Şekil 9.4 : KEP Yükle ve Uyar modeli (alıcının KEP kullanıcısı olduğu durum) .......... 55 Şekil 10.1 : Tam ve doğru bir taşıma zarfının başarılı dağıtımı ................................... 57 Şekil 10.2 : Tam ve doğru bir taşıma zarfının başarısız dağıtımı ................................ 59 Şekil 10.3 : Mesajın virüs içerdiğinin alıcı KEP tarafından fark edilmesi ve dağıtım hatası .......................................................................................................................... 61 Şekil 10.4 : Mesajın virüs içerdiğinin gönderici KEP tarafından fark edilmesi ve red iletisi ............................................................................................................................ 63 Şekil 10.5 : Bir SEP (Gönderici) ile bir KEPHS (Alıcı) arasındaki etkileşim ................. 64 Şekil 10.6 : Bir KEPHS (Gönderici) ile bir SEP (Alıcı) arasındaki etkileşim ................. 65 viii TABLOLAR LİSTESİ Tablo 3.1 : ETSI KEP standardı dokümanları .............................................................. 8 Tablo 5.1 : Taşıma zarfının başlığı ............................................................................. 16 Tablo 5.2 : Taşıma zarfının gövdesi ............................................................................ 16 Tablo 5.3 : Aykırılık zarfının başlığı ............................................................................. 18 Tablo 5.4 : Aykırılık zarfının gövdesi ........................................................................... 18 Tablo 5.5 : Güvenlik zarfının başlığı ............................................................................ 20 Tablo 5.6 : Güvenlik zarfının gövdesi .......................................................................... 20 Tablo 5.7 : Orijinal mesajın kabulüyle üretilen kabul iletisinin başlığı .......................... 22 Tablo 5.8 : Orijinal mesajın kabulüyle üretilen kabul iletisinin gövdesi ........................ 23 Tablo 5.9 : Orijinal mesajın reddiyle üretilen red iletisinin başlığı ................................ 24 Tablo 5.10 : Orijinal mesajın reddiyle üretilen red iletisinin gövdesi ............................ 24 Tablo 5.11 : Virüslü orijinal mesajın reddiyle üretilen red iletisinin başlığı ................... 25 Tablo 5.12 : Virüslü orijinal mesajın reddiyle üretilen Red iletisinin gövdesi ............... 25 Tablo 5.13 : Devir iletisinin başlığı .............................................................................. 26 Tablo 5.14 : Devir iletisinin gövdesi ............................................................................. 27 Tablo 5.15 : Çalışma zaman aşımı hatası sonucu üretilen ilk iletinin başlığı .............. 28 Tablo 5.16 : Çalışma zaman aşımı hatası sonucu üretilen ilk iletinin gövdesi ............. 28 Tablo 5.17 : Çalışma zaman aşımı hatası sonucu üretilen ikinci iletinin gövdesi ........ 29 Tablo 5.18 : Orijinal mesajın başarılı dağıtımıyla üretilen başarılı dağıtım iletisinin başlığı ......................................................................................................................... 30 Tablo 5.19 : Orijinal mesajın başarılı dağıtımıyla üretilen başarılı dağıtım iletisinin gövdesi ....................................................................................................................... 30 Tablo 5.20 : Başarısız dağıtım iletisinin başlığı ........................................................... 31 Tablo 5.21 : Başarısız dağıtım iletisinin gövdesi ......................................................... 31 Tablo 6.1 : Mesaj numarasının formatı 1 ................................................................... 35 Tablo 6.2 : Mesaj numarasının formatı 2 .................................................................. 35 Tablo 6.3 :Virüslü taşıma zarfının alıcı KEPHS tarafından reddedilmesiyle üretilen iletinin başlığı .............................................................................................................. 38 Tablo 6.4 : Virüslü taşıma zarfının alıcı KEPHS tarafından reddedilmesiyle üretilen iletinin gövdesi ............................................................................................................ 39 ix Tablo 6.5 : Alıcı KEPHS‘nin red iletisi üzerine gönderici KEPHS‘sinin göndericiye gönderdiği iletinin başlığı ............................................................................................ 39 Tablo 6.6 : Alıcı KEPHS‘nin red iletisi üzerine gönderici KEPHS‘sinin göndericiye gönderdiği iletinin gövdesi ........................................................................................... 40 Tablo 8.1 : KEP sisteminin uyumlu olması talep edilen ISO/IEC 27002 güvenlik özellikleri ..................................................................................................................... 48 x 1. GİRİŞ Bilgi ve iletişim teknolojilerindeki hızlı gelişim sonucunda bilgisayar okur-yazarlığı her geçen gün artmakta, geniş bant erişim hizmetlerinin yaygınlaşması ile de internetin gelişimi ivme kazanarak devam etmektedir. Bu çerçevede gerek kamu kurum ve kuruluşları gerek şirketler gerekse de vatandaşlar arasındaki ilişkiler büyük oranda elektronik ortamda gerçekleşmeye başlamıştır. Bu gelişmeye paralel bir şekilde daha dinamik bir kamu hizmeti sağlamak, bürokratik engelleri azaltmak, kurumlar arası veri paylaşımına imkân sunmak ve kamusal hizmetlerin etkileşimli biçimde yürütülmesini sağlayan bir hizmet ortamı oluşturmak gibi amaçlarla gelişmiş devletlerin çoğunda eDevlet uygulamaları kapsamında birçok proje yürütülmektedir. Ülkemizde de e-Devlet modelini oluşturabilmek için çeşitli kurum ve kuruluşlar tarafından, kısa vadede kurum içi, uzun vadede ise kurumlar arası veri paylaşımını hayata geçirmeyi de içeren projeler yürütülmektedir. Bu projelerin çoğunun sadece kurum içerisindeki bilgi ve belge paylaşımını gerçekleştirebilmek amacıyla oluşturulduğu, bilgi ve belge paylaşımı konusunda tek yönlü bir iş akışına sahip olduğu görülmekle birlikte yaygın olarak asıl hedeflenenin bilgi ve belgelerin farklı taraflar arasında elektronik ortamda hukuksal geçerliliğe sahip ve güvenli bir şekilde paylaşılmasının sağlanması olduğu bilinmektedir. Bu nedenle eDevlet uygulamalarının giderek yaygınlaşmasıyla birlikte, münferit kurumsal yaklaşımlardan ziyade, e-Devlet hizmetlerinin bütünleşik bir yapıda sunulmasına duyulan ihtiyaç da artmaya başlamış, taraflar arasında elektronik bilgi ve belge paylaşımının gerçekleştirilmesi daha fazla önem kazanmıştır. Ülkemizde, 5070 sayılı Elektronik İmza Kanunu ile güvenli elektronik imzanın tanımı yapılmış ve güvenli elektronik imzanın elle atılan imza ile aynı hukuki geçerliliğe sahip olması sağlanmıştır. Ancak taraflar arasında bilgi ve belge paylaşımının etkin bir şekilde sağlanabilmesi, kurumsal bilgi ve belgelerin belirli bir sistem içerisinde düzenlenmesini gerektirmektedir. Bu nedenle, elektronik hizmetleri kullanan ya da elektronik ortamda bilgi ve belgelerini paylaşan tarafların, elektronik ortamda işlemleri güvenli bir şekilde gerçekleştirmek ve muhataplarıyla karşılıklı güveni sağlamak için uygun güvenlik kontrollerine ve mekanizmalarına sahip olması önem arz etmektedir. Elektronik ortamda bilgi ve/veya belge paylaşımında yaygın olarak kullanılan elektronik posta, iş ve işlemlerin kesintisiz devam etmesine olanak sağladığı için önemli bir araçtır. Fakat elektronik postaya güvenin sağlanabilmesi için ilave güvenlik hizmetlerine gereksinim duyulmaktadır. Bu nedenle bazı Avrupa Birliği (AB) üyesi ülkelerin öncülüğünde elektronik ortamda iletilen elektronik posta mesajlarının kaynak doğrulamasını, mesajın gönderildiğine ve alıcılarına teslim edildiğine dair delili sağlayan bir sistem olarak Kayıtlı Elektronik Posta (KEP) Sistemi ve uygulamaları geliştirilmiştir1. KEP hizmeti Kayıtlı Elektronik Posta Hizmet Sağlayıcılar (KEPHS) tarafından verilen bir hizmettir. KEPHS‘lerin sağladığı delillerin tanınabilirliğini ve okunabilirliğini sağlamak üzere, KEP sisteminin yönetilmesine ilişkin süreçlerin, uygulamaların ve teknik formatların belirlenmesi, elektronik imzanın bu delillere nasıl uygulandığının bilinmesi gerekmektedir. Bu bağlamda gizlilik, veri bütünlüğü, değiştirilemezlik ve inkâr edilemezlik gibi önemli unsurları yerine getirebilen elektronik imza, elektronik ortamdaki iş ve işlemlerde gereken güven ile birlikte bilgi ve belge paylaşımında taraflar arasındaki güveni sağlamak için de kullanılabilecek önemli bir güvenlik bileşeni olarak değerlendirilmektedir 2. Ortak standart tanımları olmadan sunulan hizmetlerde tutarlılıktan bahsetmenin mümkün olmayacağı, bu durumda kullanıcıların aldıkları hizmetleri karşılaştırmalarının güçleşeceği belirtilmektedir. Bu şartlar altında kullanıcıların alternatif hizmet sağlayıcılara geçmelerinin engellenebileceği ve serbest rekabetin zarar görebileceği ifade edilmektedir. Standartların olmayışının farklı modellerde hizmet veren KEP tabanlı sistemlerin birlikte çalışabilirliğini de etkileyebileceği bilinmektedir3. Elektronik ortamda üretilen bilgi ve belge miktarının her geçen gün artması ve bu dokümanların kişiler ve kurumlar arasında hukuki olarak geçerli olacak şekilde paylaşılmasının sağlanması konusu ülkemizde ―e-Dönüşüm Türkiye İcra Kurulu‖nun gündemine gelmiş ve çözüm olarak KEP sistemi üzerinde durulmuştur. e-Dönüşüm 1 ETSI TS 102 640-1, ―Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 1: Architecture‖, 2010-01, s. 5 2 Bkz[1] 3 Bkz[1] 2 Türkiye İcra Kurulunun 15 Temmuz 2009 tarihli ve 28 sayılı kararı ile de Bilgi Teknolojileri ve İletişim Kurumu (BTK) KEP sistemi konusunda düzenleyici çalışmalar yapması hususunda görevlendirilmiştir4. Bunun yanı sıra 14 Şubat 2011 tarihli ve 27846 sayılı Resmi Gazete‘de yayımlanan 6102 sayılı Türk Ticaret Kanunu‘nun 18 inci maddesinin 3 üncü bendinde, “Tacirler arasında, diğer tarafı temerrüde düşürmeye, sözleşmeyi feshe, sözleşmeden dönmeye ilişkin ihbarlar veya ihtarlar noter aracılığıyla, taahhütlü mektupla, telgrafla veya güvenli elektronik imza kullanılarak kayıtlı elektronik posta sistemi ile yapılır.” ibaresiyle KEP sisteminin kanuni dayanağı oluşturulmuştur. Yine mezkûr Kanun‘un 1525 inci maddesinin 2 inci bendinde yer alan “Kayıtlı elektronik posta sistemine, bu sistemle yapılacak işlemler ile bunların sonuçlarına, kayıtlı posta adresine sahip gerçek kişilere, işletmelere ve şirketlere, kayıtlı elektronik posta hizmet sağlayıcılarının hak ve yükümlülüklerine, yetkilendirilmelerine ve denetlenmelerine ilişkin usul ve esaslar Bilgi Teknolojileri ve İletişim Kurumu tarafından bir yönetmelikle düzenlenir. Yönetmelik bu Kanunun yayımı tarihinden itibaren beş ay içinde yayımlanır.” hükmü ile KEP sistemine, KEPHS‘lerin hak ve yükümlülüklerine, yetkilendirilmelerine ve denetlenmelerine ilişkin ikincil düzenlemeleri yapmak üzere BTK görevlendirilmiştir. “Kayıtlı Elektronik Posta Sistemi: Teknik Yapısı, Özellikleri ve İşleyişi” başlıklı bu rapor, 6102 Sayılı Türk Ticaret Kanunu ve e-Dönüşüm Türkiye İcra Kurulu tarafından BTK‘ya verilen görevler doğrultusunda, esas itibariyle KEP sistemi hakkında ilgili tüm tarafları bilgilendirmek amacıyla hazırlanmıştır. Rapor hazırlanırken Avrupa Telekomünikasyon Standartları Enstitüsü (European Telecommunication Standards Institute – ETSI)‘nin KEP standardı olarak yayımlamış olduğu ve bu raporun üçüncü bölümünde yer verilen beş dokümanın ilk üçünden yararlanılmıştır. Son iki dokümanın hazırlanacak ayrı bir rapor ile incelenmesi planlanmaktadır. Bu raporun ikinci bölümünde KEP sisteminin ne olduğu, üçüncü bölümünde KEP konusunda yapılan standart çalışmaları, dördüncü bölümünde KEP sisteminin mantıksal modeli ve mimarisi, beşinci bölümde KEP sisteminin temel kavramları, altıncı bölümde KEP sisteminin temel bileşenleri, yedinci bölümde KEP sisteminde 4 (Erişim), http://www.bilgitoplumu.gov.tr/Documents/1/BT_Strateji/27Icra-28.pdf, 10 Şubat 2011 3 kullanılabilecek teknolojiler, teknikler ve formatlar, sekizinci bölümde KEP sisteminin güvenlik özellikleri, dokuzuncu bölümde KEP sisteminin çalışma şekilleri, onuncu bölümde KEPHS‘lerin birbirleriyle ve Standart Elektronik Posta (SEP) ile etkileşimi, on birinci bölümde ise KEP‘in ülke uygulamaları konuları incelenmiştir. 4 2. KEP NEDİR? KEP, içeriği ve bileşenleri itibariyle ileri mesajlaşma tekniklerinin, açık anahtar altyapısının (AAA) ve kriptolojinin yoğun olarak kullanıldığı, yeni haberleşme protokollerinin tasarlanacağı ve gerçekleneceği; kişi ve kurumların Bilgi ve İletişim Teknolojilerine (BİT) olan güvenini artırmak için gerekli altyapının kurulmasını amaçlayan bir teknolojidir5. Elektronik postanın göndericisi ve alıcısı arasında bir katman olan KEP, bilinen hizmetlere ilave olarak elektronik postanın; Göndericisi tarafından gönderiminin yapılıp yapılmadığına, Alıcı tarafa iletilip iletilmediğine, Alıcının posta kutusuna ulaşıp ulaşmadığına ilişkin delil hizmetleri sunmakta ve ihtiyaç duyulması halinde elektronik postaya yeniden erişilebilmesine imkan tanımaktadır6. KEP sisteminin kullanıcısı olan gönderici elektronik postanın kendisi tarafından gönderilmediğini ve aynı sistemin kullanıcısı olan alıcı ise kendisine ulaşmadığını iddia edememektedir. KEP konusunda gerekli yasal düzenlemeler yapılmış ise, bir elektronik postanın göndericiden alıcıya iletilmesi esnasında meydana gelen bütün işlemlere ilişkin KEP sisteminin tuttuğu kayıtlar delil mahiyetinde ve hukuki geçerliliğe sahip belgeler olarak kabul edilmektedir. 5 (Erişim)http://www.google.com.tr/url?sa=t&source=web&cd=1&ved=0CBYQFjAA&url=http%3A%2F%2 Fwww.sagliknet.saglik.gov.tr%2Fportal_pages%2Fnotlogin%2Fbilisimciler%2Fdocs%2Fkisisel_verilerin _korunmasi_ve_mahremiyeti_calistayi.ppt&ei=ruVUTa7UG5GSswbI6JjcDA&usg=AFQjCNErCKPVWeD ym1dfP8FyYc-nElMOzg, 10 Şubat 2011 6 ETSI TS 102 640-1, a.g.e., s. 11 5 3. KEP SİSTEMİ İLE İLGİLİ STANDART ÇALIŞMALARI 3.1. ETSI’nin Çalışmaları KEP Sistemine ilişkin en temel ve öncül çalışmalar ETSI tarafından yapılmıştır. ETSI, 1988 yılında Avrupa Posta ve Telekomünikasyon İdareleri Birliği (Conference of European Post and Telecommunications - CEPT) bünyesinde telekomünikasyonun standartlaştırılması ile ilgili görevleri yürütmek üzere kurulmuştur. Avrupa‘da kullanılacak telekomünikasyon standartlarını belirleyen bağımsız bir kuruluş olan ETSI özellikle BİT‘e ilişkin standartlar hazırlamaktadır. Dünyanın 60‘tan fazla ülkesinden yaklaşık 700 üyesi bulunan ETSI, pazar ihtiyaçlarına göre üyeleri tarafından belirlenen çalışma programı kapsamında faaliyetlerini sürdürmektedir. ETSI‘de belli bir konuda yapılacak çalışmaların belirli bir zamanda tamamlanarak gerekli olan standartların bir bütün halinde oluşturulmasını sağlamak amacıyla çeşitli projeler yürütülmektedir. ETSI, üreticileri, şebeke operatörlerini, ulusal idareleri, servis sağlayıcıları, araştırma organlarını, kullanıcı gruplarını, danışmanlık şirketlerini işbirliği noktasında birleştiren bir yapıdır7. Bu işbirliği, güvenlik, uydu, yayın, test ve protokoller, akıllı ulaşım, esağlık, akıllı kartlar, acil haberleşme gibi birçok alanda BİT standartlarının ortaya çıkmasını sağlamaktadır8. Çalışmalarını teknik komiteler aracılığıyla uzlaşma temelli olarak yürütmekte olan ETSI, bünyesinde telekomünikasyon alanındaki konularla ilgili standart çalışmaları yapan çeşitli çalışma grupları bulundurmaktadır. Bu çalışma gruplarından birisi de Elektronik İmzalar ve Altyapılar (Electronic Signatures and Infrastructures - ESI) grubudur. ESI grubu Özel Görev Gücü (Specialist Task Force - STF) adı verilen çeşitli alt gruplardan oluşturulmuştur. Kayıtlı Elektronik Postalara Uygulanan Elektronik İmzalar: Formatlar ve Politikalar ( Electronic Signatures Applied to Registered Emails: formats and policies - STF 318) bu alt gruplardan biridir. Elektronik postanın elektronik iş ve yönetim için önemli bir araç olması ve bu aracın güvenli bir şekilde kullanılabilmesi için çeşitli ilave güvenlik mekanizmalarına sahip 7 (Erişim) http://www.etsi.org/WebSite/AboutETSI/Introduction/introduction.aspx, 10 Şubat 2011 8 Bkz[7] 6 olması gerektiği ihtiyacından yola çıkılarak STF 318 grubu bünyesinde bazı çalışmalar yapılmaya başlanmıştır. Fiziksel ortamdaki taahhütlü posta hizmetini elektronik ortamda elektronik posta ile karşılayabilmek için bazı güvenlik hizmetlerinin kullanılabileceği düşünülmüştür. Bunun, Dünya Posta Birliği (Universal Postal Union UPU) tarafından tanımlanan Sayısal Posta Damgası (―Digital Postmark‖) gibi özelliklerin kullanılmasıyla bazı elektronik deliller sunulmasına imkân vererek sağlanabileceği belirlenmiştir. Güvenli elektronik posta hizmetlerinin birlikte çalışabilirliğinin sağlanması için, teknik formatların, KEP‘in işletilme prosedürlerinin ve elektronik imzanın KEP mesajlarına uygulanma şeklinin belirlenebilmesi için çalışmalara başlanmıştır9. ETSI‘nin söz konusu çalışmaları, tüm Avrupa‘da vatandaşlar, şirketler ve kamu kurumları arasında güvenli, anlaşılır ve gizli bir şekilde bilgi ve belge paylaşımına duyulan ihtiyacın artmasından kaynaklanmıştır10. BİT hizmetleri veren güvenilir hizmet sağlayıcılara ilişkin güvenlik yönetiminin ve politikaların nasıl olması gerektiği konusundaki özelliklerin belirlenmesinin aciliyeti ve KEP hizmetine olan ihtiyaç göz önünde bulundurularak, birçok AB üye ülkesinde farklı teknik çözümlerin ve isterlerin ortaya çıkmasını engellemek veya azaltmak için ortak bir dizi teknik kriterin yayımlanmasının acil olduğu değerlendirilmiştir. ETSI, öncelikle AB üye ülkelerinin yetkili organları (kamu kurumları, standardizasyon organları, elektronik posta hizmet sağlayıcıları, yerel uzmanlar gibi), diğer bağımsız kuruluşlar ve AB üyesi olmayan ülke kurumları arasında KEP sistemi ile ilgili mevcut veya potansiyel uygulamaların olup olmadığı konusunda incelemeler yapmış ve bu incelemelerin sonucunda ―ETSI TR 102 605, Elektronik İmzalar ve Altyapılar; Kayıtlı Elektronik Posta (Electronic Signatures and Infrastructures (ESI); Registered E-Mail) raporunu yayımlamıştır. Bu raporun sonuçları göz önünde bulundurularak Tablo 3.1‘de isimleri sıralanan dokümanlar üretilmiştir11. 9 (Erişim) http://portal.etsi.org/STFs/STF_HomePages/STF318/STF318.asp, 11 Şubat 2011 10 Bkz[9] 11 Bkz[9] 7 Tablo 3.1 : ETSI KEP standardı dokümanları Standart No Standart Adı Bölüm 1 2 Elektronik İmza ve ETSI TS 102 Altyapılar; Kayıtlı 640 Elektronik Posta (KEP) 3 4 5 Bölüm Adı Mimari KEP için Veri Gereksinimleri, Formatlar ve İmzalar KEP Yönetim Alanı için Bilgi Güvenliği Politika Gereksinimleri KEP Yönetim Alanı Uyumluluk Profilleri KEP Yönetim Alanı Birlikte Çalışabilirlik Profilleri 3.2. UPU’nun Çalışmaları Merkezi İsviçre‘nin Bern şehrinde bulunan ve en eski ikinci uluslar arası örgüt olarak ifade edilen UPU 1874 yılında kurulmuştur. Posta sektöründeki aktörler arasındaki işbirliğini sağlamak için birincil bir forum olan UPU‘nun hedefi, uluslararası güncel ürün ve hizmet ağı oluşturmaktır12. Birleşmiş Milletlerin (BM) özel uzmanlık kuruluşlarından olan UPU, üyesi olan 191 ülke ile danışmanlık ve arabuluculuk faaliyetleri yürütmekte, gerekli olması halinde teknik destek vermekte, uluslararası posta gönderimleri için kuralları belirlemekte, posta miktarlarındaki büyümeyi teşvik etmek ve müşteriler için hizmet kalitesini arttırmak için öneriler sunmaktadır13. UPU, hizmetlerinin etkin bir biçimde kullanılması ve küresel ağın birbirine bağlanması için standartların önemli önkoşullar olduğunu değerlendirmektedir. UPU Standartlar Kurulu, posta işletmecileri arasında posta ile ilgili bilgilerin paylaşımının geliştirilmesi ile UPU ve uluslararası posta girişimlerine uygunluğunun teşvik edilmesi için birçok standart geliştirmektedir. Kurul, posta kuruluşları, müşterileri ve çeşitli uluslararası 12 (Erişim) http://www.upu.int/en/the-upu/the-upu.html, 11 Şubat 2010 13 Bkz[12] 8 organizasyonları içeren diğer ortaklarla yakın işbirliği içinde çalışmaktadır. Standartlar Kurulu tarafından, güvenli posta hizmetleri, elektronik veri paylaşımı, elektronik postanın kodlanması, posta formları ve ölçüleri konularında standartlar geliştirilmiştir. UPU Standartlar Kurulu tarafından hazırlanan standartlardan birisi de KEP konusundaki “Kayıtlı e-Posta - İşlevsel Spesifikasyonları (Postal Registered eMail PReM Functional Specification)” adıyla 2008 yılında yayımlanan standarttır. UPU‘nun ―Kayıtlı Elektronik Posta (KEP) İşlevsel Spesifikasyonları‖ standart dokümanı aşağıdaki teknik standartlar ile uyum içinde hazırlanmıştır14: UPU – Güvenli elektronik Posta Hizmetleri (Secure electronic Postal Services SePS) arayüz spesifikasyonları – Bölüm A: Kavramlar, şemalar ve işlemler. UPU - Güvenli elektronik Posta Hizmetleri arayüz spesifikasyonları – Bölüm B: Elektronik Posta Sertifikasyon İşareti (Electronic Postal Certification Mark – EPCM ) Hizmeti ETSI – Kayıtlı Elektronik Posta: Mimari, Formatlar ve ISM Politikaları. 3.3. CEN’in Çalışmaları15 Misyonu, Avrupa ekonomisinin küresel ticaretteki payını geliştirmek ve AB vatandaşlarının refahını yükseltmek olan Avrupa Standardizasyon Komitesi (European Committee for Standardization - CEN), Avrupa‘da iş dünyası ve tüketicilerin karşılaştıkları zorlukları ortadan kaldırmak amacıyla çalışmalar yapan bir standardizasyon kuruluşudur. Sağladığı platformla Avrupa standartlarının ve diğer teknik özelliklerin geliştirilmesine olanak sağlamaktadır. CEN‘in 31 üye ülkesi Avrupa standartları geliştirmek için gönüllülük esaslı olarak çalışmaktadır. CEN‘in amacı üye ülkelerin ulusal standartlarını inceleyerek ortak standartların hazırlanmasını, birlikte çalışabilirliği engelleyen ulusal standartların kaldırılmasını, ürünlerin daha düşük test maliyetleriyle geliştirilmesini ve çok daha geniş bir pazara kavuşmasını sağlamaktadır. 14 UPU, ―Postal Registered eMail (PReM) Functional Specification‖, s. 4 15 (Erişim) http://www.cen.eu/cenorm/aboutus/index.asp, 11 Şubat 2011 9 CEN‘in “Siber-Kimlik: Kuruluşlar için Kimlik Doğrulama Sistemleri (Cyber-Identity: Unique identification systems for organisations and parts thereof)” dokümanında elektronik posta yoluyla yapılan bilgi ve belge paylaşımında gönderici ve alıcının benzersiz kimlik tanımlamalarının yapılmasının ve elektronik postanın bütünlüğünün korunarak gönderilmesinin gerekliliğine vurgu yapılmaktadır. Ayrıca elektronik posta yoluyla gerçekleşen bilgi ve belge paylaşımının hukuki bir değere sahip olmasının ve güvenli bir şekilde yapılmasının da önemli olduğu ifade edilmektedir. Bunların sağlanması için de ETSI‘nin ―ETSI TS 102 640-2: Elektronik İmzalar ve Altyapılar; Kayıtlı Elektronik Posta: Mimari, Formatlar ve Politikalar‖ standardının ‖KEP‘te İmzalı Kanıtlar için Veri Gereksinimleri ve Formatlar‖ başlıklı bölümünün kullanılması önerilmektedir16. Ayrıca, CEN‘in ―e-Faturalama için yeni iş süreçleri ve teknolojilerin değerlendirilmesi üzerine çalıştay mutabakatı‖ (CEN Workshop Agreement on assessing new business processes and technologies for eInvoicing) dokümanında e-fatura hizmeti için kullanılabilecek yeni iş süreçleri ve teknolojilerden bahsedilmekte, hazırlanan efaturaların müşterilere gönderimi aşamasında KEP‘in kullanılabileceği belirtilmekte ve e-fatura uygulamalarında KEP sisteminin kullanılması önerilmektedir17. CEN‘in bir başka çalışması olan ―e-Faturalama Uygunluk Kılavuzu‖ (e-Invoicing Compliance Guidelines Commentary to Compliance Matrix) dokümanında, bir e-fatura transferinin; İletilen verinin bütünlüğünün sağlanacağı ve Verinin kaynağının doğrulanacağı bir mekanizma ile yapılması gerektiği, bunu sağlamanın çeşitli yöntemlerinin olduğu ve bu yöntemlerden birinin de KEP olduğu ifade edilmektedir18. 16 CEN, ―Cyber-Identity: Unique identification systems for organisations and parts thereof‖, s. 5-6-7 17 CEN, ―CEN Workshop Agreement on assessing new business processes and technologies for eInvoicing‖, s. 15 18 CEN, ―e-Invoicing Compliance Guidelines Commentary to Compliance Matrix‖, s. 41 10 4. KEP SİSTEMİNİN MANTIKSAL MODELİ VE MİMARİSİ19 KEP sisteminin mantıksal modeli Şekil 4.1‘de gösterilmektedir. Şekil 4.1 : KEP mantıksal modeli Şekil 4.1‘deki gösterimde, mavi noktalar KEP sisteminin kullanıcılarının KEPHS‘lerin ve SEP sunucularıyla etkileşimde bulunmak için kullandıkları ara yüzleri ifade etmektedir. KEP sisteminin kullanıcıları olan gönderici ve alıcılar KEP sistemi ile KEP kullanıcı arabirimleri üzerinden, SEP kullanıcıları ise SEP kullanıcı arabirimi üzerinden haberleşmektedir. KEP kullanıcı arabirimi, kullanıcının bilgisayarında kullandığı elektronik posta istemci uygulamasına (Microsoft Outlook, Mozilla Thunderbird vs.) eklenmiş bir yazılım parçası olabileceği gibi KEPHS‘nin sisteminde çalışan ve kullanıcının uzaktan eriştiği bir uygulama da olabilmektedir. 19 Bu bölüm hazırlanırken ―ETSI TS 102 640-1, Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM); Part 1: Architecture, 2010-01‖ standardından, KAMAG 108G131 nolu ―Kayıtlı Elektronik Posta Sistemi Konusunda Araştırma, Geliştirme Ve Uygulamalar‖ projesi dokümanlarından faydalanılmıştır. 11 KEP sistemi kullanıcılarının, KEP sisteminden faydalanabilmek için herhangi bir KEPHS‘ye başvurarak kendileri adına bir kayıtlı elektronik posta hesabı açtırmaları gerekmektedir. Bu işlemden sonra kullanıcılar KEP kullanıcı arabirimini kullanarak KEP sistemine güvenli bir bağlantı üzerinden bağlanabilmektedirler. Bağlanma işleminden sonraki her bir elektronik posta gönderimi ve alımı KEPHS ile kurulan bu güvenli bağlantı üzerinden güvenli protokoller kullanılarak yapılmaktadır. KEP sistem mimarisi için genel olarak benimsenen yaklaşıma göre KEP hizmetinin sunumunda birlikte çalışabilirliğin sağlanabilmesi için yetkilendirilmiş birden fazla KEPHS‘nin bir denetleyici gözetiminde hizmet vermesi gerekmektedir. Bu durumda kullanıcıların, herhangi bir KEPHS‘ye hesap açtırdıktan sonra bir kimlik doğrulama mekanizması ile sisteme erişimi sağlanabilecektir. Şekil 4.2 : KEP sistem bileşenleri KEP sisteminden, Şekil 4.2‘de görüldüğü gibi gereken durumlarda SEP, fiziksel posta ve Kısa Mesaj Hizmeti (Short Message Service - SMS) gibi diğer iletişim ortamlarına da ara yüzler sağlanabilmektedir. 12 5. KEP SİSTEMİNİN TEMEL KAVRAMLARI20 5.1. KEP Kutusu KEP Kutusu, kendisine bir KEP mesajı geldiğinde başarılı bir dağıtım iletisi düzenleme yeteneğine sahip elektronik posta kutusu olarak tanımlanmaktadır. Bir KEP kutusu sadece KEP alanında tanımlanabilmektedir. 5.2. KEP Kullanıcısı KEP Kullanıcısı, bir KEP kutusuna sahip kişiyi ifade etmektedir. Kullanıcının, KEP mesajı gönderebilmesi ve kendisine gönderilen mesajlara erişebilmesi için hizmet aldığı KEPHS‘nin Erişim Noktasını kullanması gerekmektedir. 5.3. Gönderici ve Alıcı Elektronik posta göndermek/almak için KEP sistemini kullanan kullanıcılar gönderici/alıcı olarak tarif edilmektedir. Gönderici mesajın kaynağındaki, alıcı ise mesajın ulaştığı uçtaki kullanıcıdır. Kullanıcıların KEP sistemini kullanmaya başlamadan önce kimlik kontrolü yapılarak güvenli bir şekilde KEP sistemine kayıt olmaları ve bu kayıt sırasında kullanıcıların KEP sisteminde kullanacakları elektronik posta adreslerini almaları gerekmektedir. Bu elektronik posta adresi, kullanıcının önceden sahip olduğu bir elektronik posta adresi olabileceği gibi KEP sistemine özel olarak tanımlanmış bir elektronik posta adresi de olabilmektedir. KEP sistemini kullanan kullanıcıların mesaj gönderme/alma sırasında kendilerini KEP sistemine bir kimlik doğrulama mekanizması ile tanıtmaları sistemin güvenliği açısından bir gerekliliktir21. 20 Bu bölümün hazırlanmasında Kamu Yönetimi Ulusal Bilişim Merkezinin (The National Centre for ICT in Public Administration - CNIPA), ―Technical rules of PEC– Draft of 2005-05-12 – UNOFFICIAL English translation‖ dokümanından ve KAMAG, a.g.p. dokümanından faydalanılmıştır. 21 KAMAG, a.g.p. , s. 30 13 5.4. Mesaj Mesaj, KEP kullanıcılarının KEP sistemini kullanarak gönderdikleri ve henüz Erişim Noktasına varmamış elektronik posta mesajı olarak tanımlanmaktadır 22. Bu mesaj genel olarak: Metin tabanlı standart bir elektronik posta, Eki/ekleri olan (belge, resim, video vs.) bir elektronik posta, Orijinal elektronik postanın veya ekinin/eklerinin indirilebileceği bağlantı adresini tek biçimli kaynak bulucusu (Uniform Resource Locator - URL) şeklinde içeren bir referans elektronik posta formlarından birinde olabilmektedir23. KEP sisteminde KEP kullanıcılarının alıcılara gönderdikleri mesajlar Taşıma Zarfı içerisinde taşınarak ulaştırılmaktadır. 5.5. Delil24 Delil, KEPHS veya KEP sisteminin kullanıcıları tarafından güvenli elektronik imza ile imzalanarak zaman damgası eklenen ve belirli bir işlemin belirli bir zamanda gerçekleştiğine kanıt olan elektronik doküman olarak tanımlanmaktadır. Bu elektronik doküman, bir elektronik postanın; Ne zaman, kim tarafından, hangi KEPHS tarafından gönderildiği, Hangi KEPHS tarafından kabul edildiği, Kimin posta kutusuna ne zaman teslim edildiği, Kim tarafından ne zaman ve hangi adresten indirildiği, Ne zaman kim tarafından açıldığı/okunduğu, ile ilgili delil olabilecek veriler içermektedir. 22 CNIPA, a.g.e. , s. 1 23 KAMAG a.g.p. , s. 30 24 KAMAG a.g.p. , s. 30 14 5.6. Sertifikasyon Verisi25 Sertifikasyon Verisi, göndericinin gönderdiği orijinal mesaja ilişkin çeşitli bilgiler içeren ve KEPHS tarafından onaylanan veri kümesi olarak tanımlanmaktadır. Sertifikasyon verisi ayrı bir iletinin içine konmakta, orijinal mesaj ile birlikte taşıma zarfının içinde taşınarak KEP kullanıcısına ulaştırılmaktadır. Sertifikasyon verisi mesajla ilgili olarak mesajın gönderilme tarihi, saati, göndericisi, alıcısı, konusu ve KEPHS tarafından verilen mesaj numarası gibi bilgileri içermektedir. 5.7. Taşıma Zarfı26 Taşıma zarfı, KEP kullanıcısı tarafından gönderilen orijinal mesajı ve ilgili sertifikasyon verisini içeren mesaj olarak tanımlanmaktadır. Taşıma zarfı erişim noktası tarafından yorum talebi (Request For Comments - RFC) 2822‘ye uygun bir formatta üretilmekte ve üreten KEPHS‘nin güvenli elektronik imzası ile imzalanmaktadır. Alıcının sertifikasyon verisini kontrol edebilmesini sağlamak için taşıma zarfının iletim sırasında herhangi bir değişikliğe uğramadan alıcıya ulaştırılması gerekmektedir. Taşıma zarfı: Kimden Kime Dağıtım Listesi (cc) Geri dönüş yolu (reverse path) Mesaj Numarası X-Referans Mesaj Numarası X-İleti Türü bilgilerini orijinal mesajdan alarak değiştirmeden iletmektedir. Burada X, RFC 2822 tanımına göre standart bir elektronik postanın başlığında bulunması gereken alanlara ek olarak KEP mesajının başlığına eklenen alanları ifade etmektedir. 25 CNIPA, a.g.e. , s. 2 26 CNIPA, a.g.e. , s. 7-8 15 Tablo 5.1‘de görülen taşıma zarfına ilişkin başlıklar KEP Sistemini kullanacak ülkelerin teknik ihtiyaçları ve ilgili mevzuatları doğrultusunda değiştirilebilmektedir. Tablo 5.1 : Taşıma zarfının başlığı X-Taşıma KEP Tarih [Mesajı Kabul Tarihi] Konu KEP: [orijinal mesajın konusu] ―adına: [orijinal gönderici]‖ Kimden <elektronik posta adresi@KEPHS alan adı > Yanıtla [Orijinal Mesajın Göndericisi] Taşıma zarfının mesaj gövdesi alıcının okuyabileceği bir metin formatında Tablo 5.2‘de yer alan bilgileri içermektedir: Tablo 5.2 : Taşıma zarfının gövdesi KEP mesajı [Tarih] inde saat [yerel saat] de [gönderici] den gelen [konu] konulu mesaj [alıcı_1] [alıcı_2] [alıcı_n] alıcıları içindir. [Orijinal mesaj buraya eklenmektedir] Mesaj numarası: [mesaj numarası] 16 Taşıma zarfı, göndericinin gönderdiği orijinal mesajın tamamını içermektedir ve başlık, gövde ve ekleriyle beraber taşıma süresince değişmeden kalmaktadır. Taşıma zarfı, mesajda metin olarak yazılan sertifikasyon verisini aynı zamanda genişletilebilir işaretleme dili (Extensible Markup Language - XML) dosya biçiminde de ekinde barındırmaktadır. 5.8. Aykırılık Zarfı27 KEP iletişim modülü, kendisine gelen mesaj üzerinde yaptığı testlerden en az birinin başarısız olması veya gelen mesajın bir KEP mesajı olmaması ve bu mesajı KEP alıcısına iletmesi gerektiği durumlarda, alıcının bu aykırı durumu fark edebilmesini sağlamak için bu türdeki mesajları aykırılık zarfının içine koymaktadır. Aykırılık zarfı alım noktası tarafından RFC 2822 ile uyumlu olarak üretilen ve iletim süresince değişmeden kalması gereken bir mesajdır. Aykırılık zarfı: Kimden Kime Dağıtım Listesi (cc) Geri dönüş yolu (reverse path) Mesaj Numarası bilgilerini orijinal mesajdan değiştirilmeden almaktadır. Hatalı olduğu veya KEP mesajı olmadığı tespit edilen mesajlar dağıtılmadan önce başlık, gövde ve eklerle beraber, üretilen bu yeni mesaja ek yapılmaktadır. Orijinal mesaj alıcıya aykırılık zarfının içinde taşınarak ulaştırılmaktadır. Tablo 5.3‘te görülen aykırılık zarfının başlığına ilişkin alanlar KEP Sistemini kullanan ülkelerin teknik ihtiyaçları ve ilgili mevzuatları doğrultusunda duyulan ihtiyaçlara göre değiştirilebilmektedir: 27 CNIPA, a.g.e. , s. 13-14 17 Tablo 5.3 : Aykırılık zarfının başlığı X-Taşıma Hata Tarih [Mesajın Kabul Tarihi] Konu Aykırı Mesaj: [Orijinal Mesajın Konusu] ―Adına: [Orijinal Gönderici]‖ Kimden <elektronik posta adresi@KEPHS alan adı > Yanıtla [Orijinal Mesajın Göndericisi] Aykırılık zarfının mesaj gövdesi alıcının okuyabileceği bir metin formatında Tablo 5.4‘deki verileri içermektedir: Tablo 5.4 : Aykırılık zarfının gövdesi Aykırı mesaj [Tarih] inde saat [yerel saat] de [gönderici] den gelen [konu] konulu [alıcı_1] [alıcı_2] … [alıcı_n] alıcıları için gönderilen mesaj alınmıştır. Aşağıdaki hatadan dolayı Mesajın tam ve doğru bir KEP mesajı olmadığı tespit edilmiştir. [hatanın kısa bir açıklaması] [Orijinal mesaj buraya eklenir] Orijinal mesaj onaylanmadığı için aykırılık zarfı sertifikasyon verisi gibi başka herhangi bir ek içermemektedir. Alıcının, iletiyi gönderen KEPHS‘nin elektronik imzasını doğrulayabilmesi için ―Kimden‖ alanı değiştirilerek bu alana KEPHS‘nin elektronik posta adresi de eklenmektedir. Ancak aykırılık zarfının yönlendirme verisi (forward path ve reverse path) 18 değiştirilememekte ve bu yönlendirme verisi orijinal mesajın yönlendirme verisi ile aynı kalmaktadır. Bu, orijinal mesajın orijinal alıcılara ulaştırılmasını ve Basit Posta Aktarma Protokolünde (Simple Mail Transfer Protocol - SMTP ) herhangi bir hata oluşması durumunda uyarıların orijinal göndericiye ulaştırılmasını garanti etmektedir. 5.9. Güvenlik Zarfı28 Erişim noktası veya alım noktası, kendisine gelen bir mesajın virüs içerdiğini tespit etmesi halinde, mesajın tehlikeli bir içeriğe sahip olduğunu göstermek için mesajı göndericinin gönderdiği haliyle, mesaj başlığı, mesaj gövdesi ve ekleriyle birlikte güvenlik zarfının içine koymaktadır. Güvenlik zarfı, içeriğiyle beraber değiştirilmeden tutulan, RFC 2822 formatına uygun olarak üretilen yeni bir mesaj olup aşağıdaki başlıkları orijinal mesajdan almaktadır: Kimden Kime Dağıtım Listesi (cc) Yanıtla Geri dönüş yolu (Reverse Path) Mesaj Numarası X-Referans Mesaj Numarası Güvenlik zarfı KEPHS‘nin güvenli elektronik imzası ile imzalanmaktadır. Güvenlik zarfına koyulan virüslü mesajlar alıcıya gönderilmemekte ve KEPHS‘nin sisteminde belirlenen yasal süre boyunca saklanmaktadır. Böylece o tarihte gönderilen ilgili mesajın virüs içerdiği bilgisi delil olarak saklanmış olmaktadır. Güvenlik zarfının başlığında yer alan Tablo 5.5‘teki alanlar KEP Sistemini kullanacak ülkelerin teknik ihtiyaçları ve ilgili mevzuatları doğrultusunda değiştirilebilir. 28 CNIPA, a.g.e. , s. 8-9 19 Tablo 5.5 : Güvenlik zarfının başlığı X-Güvenlik Kontrolü Hata Tarih [Orijinal Mesajın Ulaşma Tarihi] Güvenlik Problemi: [Orijinal Mesajın Konu Konusu] Güvenlik zarfının mesaj gövdesi KEP alıcısının okuyabileceği bir metin formatında Tablo 5.6‘daki verileri içermektedir: Tablo 5.6 : Güvenlik zarfının gövdesi Güvenlik problemi [Tarih] inde saat [yerel saat] de [gönderici] den gelen [konu] konulu [alıcı_1] [alıcı_2] …. [alıcı_n] alıcılarına gönderilen mesaj alınmıştır. Mesaj tehlikeli içeriğe sahiptir. [problemin kısa bir açıklaması] Güvenlik zarfı ekinde sadece orijinal mesajı içermektedir. 5.10. KEP Alanı29 KEP alanı, KEP kullanıcılarının elektronik posta adresleri için bir Alan Adı Sistemi (Domain Name System - DNS) olarak tanımlanmaktadır. Bir veya daha fazla sayıdaki KEPHS‘den oluşabilen bir KEP alanındaki bütün elektronik posta kutularının KEP kullanıcılarına ait olması gerekmektedir. 29 CNIPA, a.g.e. , s. 2 20 KEP mesajının göndericiden alıcıya ulaşması sürecindeki tüm işlemlerin (ileti üretme, mesajı taşıma zarfına koyma gibi) göndericinin ve alıcının aynı KEPHS‘den hizmet alması durumunda bile yerine getirilmesi gerekmektedir. 5.11. KEP Hizmet Sağlayıcısı30 KEPHS, bir veya birden fazla KEP alanını ilgili erişim noktası, alım noktası ve dağıtım noktası ile yöneten birim olarak tanımlanmaktadır. Aynı zamanda KEP sisteminde üretilen iletilerin ve zarfların (taşıma zarfı, güvenlik zarfı, aykırılık zarfı) imzalandığı güvenli elektronik imzanın da sahibi olarak ifade edilmektedir. Bir KEPHS, gerekli idari ve teknik gereksinimleri karşılayarak diğer KEPHS‘lerle birlikte çalışabilirliği sağlamakla yükümlü tutulmaktadır. 5.12. KEPHS Dizini31 KEPHS dizini, farklı KEPHS‘lerin erişebilecekleri bir alanda bulunan Hafif Dizin Erişim Protokolü (Lightweight Directory Access Protocol - LDAP) sunucusudur. Bu sunucu hizmet veren tüm KEPHS‘lerin ve bu KEPHS‘lere ait sertifikaların (iletilerin ve taşıma zarflarının imzalandığı ve KEPHS‘lere ait olan anahtarlar) listesinin tutulduğu sunucu olarak tanımlanmaktadır. Bir KEP mesajının gönderimi sırasında gönderici ve alıcının farklı KEPHS‘lerden hizmet aldığı durumlarda, göndericinin KEPHS‘si taşıma zarfını gönderebilmek için alıcının KEPHS‘sine ait ihtiyaç duyduğu gerekli bilgileri bu LDAP sunucusundan sorgulamaktadır. Aynı şekilde alıcının KEPHS‘si de kendisine başka bir KEPHS‘den gelen mesajın göndericisini ve göndericinin güvenli elektronik imzasını kontrol etmek için gönderen KEPHS‘ye ait gerekli bilgileri de yine bu LDAP sunucusundan sorgulamaktadır. KEPHS‘ler, ürettikleri iletileri ve kullanıcı mesajlarının içerisine koyulduğu zarfları kendilerine ait güvenli elektronik imzalarıyla imzalarken sertifikalarına LDAP sunucusundan erişmektedirler. 30 CNIPA, a.g.e. , s. 2 31 CNIPA, a.g.e. , s. 2 21 5.13. Kabul İletisi32 Göndericinin gönderdiği KEP mesajının erişim noktası tarafından kabul edilmesi üzerine göndericiye gönderilmek üzere erişim noktası tarafından üretilen iletidir. Kabul iletisi sertifikasyon verisini içermekte ve göndericinin KEPHS‘sinin güvenli elektronik imzası ile imzalanmaktadır. Kabul İletisi, mesajın kabul tarihini ve saatini, mesajın göndericisinin ve alıcısının elektronik posta adreslerini ve mesajın konusunu içermektedir. Kabul iletisinin başlığı Tablo 5.7‘deki alanları içermelidir. Tablo 5.7 : Orijinal mesajın kabulüyle üretilen kabul iletisinin başlığı X-İleti Kabul Tarih [Mesajın Kabul Tarihi] Konu Kabul: [orijinal mesajın konusu] Kimden Elektronik posta adresi@KEPHS Alan Adı Kime [Orijinal Mesajın Göndericisi] Referans-Mesaj-Numarası [Orijinal Mesajın Mesaj Numarası] Kabul İletisinin gövdesi asıl ileti kısmını oluşturmakta ve okunabilir bir şekilde Tablo 5.8‘deki bilgileri içermektedir. 32 CNIPA, a.g.e. , s. 7 22 Tablo 5.8 : Orijinal mesajın kabulüyle üretilen kabul iletisinin gövdesi Kabul iletisi [Tarih] inde saat [yerel saat] de [gönderici] den gelen ve [alıcı_1] ([KEP kullanıcısı] / [SEP kullanıcısı]) [alıcı_2] ([KEP kullanıcısı] / [SEP kullanıcısı]) [alıcı_n] ([KEP kullanıcısı] / [SEP kullanıcısı]) alıcılarına gönderilen [konu] konulu mesaj sistem tarafından kabul edildi ve iletildi. Mesaj numarası: [mesaj numarası] İletiyi alacak olan KEP sisteminin bu bilgileri otomatik işleyebilmesine olanak sağlamak için aynı sertifikasyon verisi bir XML dosyaya yazılarak da kabul iletisine eklenmektedir. İleti KEPHS‘nin verdiği hizmetlere göre başka ekler de barındırabilmektedir. 5.14. Red İletisi33 Red İletisi, göndericinin gönderdiği KEP mesajının erişim noktası tarafından reddedilmesi üzerine göndericiye gönderilmek üzere erişim noktası tarafından üretilen ileti olarak tanımlanmaktadır. Mesajın neden kabul edilmediğine dair gerekçe ve bu sebeple mesajın alıcıya ya da alıcılara gönderilemediği bilgisi iletide metin olarak yazılmaktadır. Red iletisi göndericinin KEPHS‘sinin güvenli elektronik imzası ile imzalanmaktadır. Bir red iletisinin başlığı Tablo 5.9‘daki alanları içermektedir. 33 CNIPA, a.g.e. , s. 6 23 Tablo 5.9 : Orijinal mesajın reddiyle üretilen red iletisinin başlığı X-İleti Red Tarih [İletinin Düzenlenme Tarihi] Konu Red uyarısı: [orijinal mesajın konusu] Kimden Elektronik posta adresi@KEPHS Alan Adı Kime [Orijinal Mesajın Göndericisi] X-Referans-Mesaj-Numarası [Orijinal Mesajın Mesaj Numarası] Red iletisinin asıl kısmını iletinin gövdesi oluşturmakta ve okunabilir bir şekilde Tablo 5.10‘daki bilgileri içermektedir. Tablo 5.10 : Orijinal mesajın reddiyle üretilen red iletisinin gövdesi Mesaj Kabulünde Hata [Tarih] inde saat [yerel saat] de [gönderici] den gelen ve [alıcı / alıcılar] alıcısına/alıcılarına gönderilen [konu] konulu mesaj belirlenen [hataya ilişkin açıklama] problemden dolayı kabul edilememiştir. Mesaj numarası: [mesaj numarası] Red iletisini alacak olan KEP sisteminin, bu verileri otomatik olarak işleyebilmesine olanak sağlamak için aynı sertifikasyon verisi bir XML dosyaya yazılarak da iletiye eklenmektedir. İleti KEPHS‘nin verdiği hizmetlere göre başka ekler de içerebilmektedir. Erişim noktası kendisine gelen mesajın içeriğinde ve eklerinde virüs olup olmadığına ilişkin bazı kontroller de gerçekleştirmektedir. Mesajın virüs veya tehlikeli bir içerik barındırdığı tespit edildiğinde konuya ilişkin olarak gönderici açık bir şekilde bilgilendirilmekte ve mesaj bir güvenlik zarfına koyularak belirlenen yasal süre boyunca saklanmaktadır. 24 Mesajın virüs içermesinden dolayı düzenlenen ret iletisi Tablo5.11‘deki alanları içermektedir: Tablo 5.11 : Virüslü orijinal mesajın reddiyle üretilen red iletisinin başlığı X-İleti Red Güvenlik Kontrolü Hata Tarih [İletinin Düzenlenme Tarihi] Konu Güvenlik Problemi: [orijinal mesajın konusu] Kimden Elektronik posta adresi@KEPHS Alan Adı Kime [Orijinal Mesajın Göndericisi] X-Referans-Mesaj-Numarası [Orijinal Mesajın Mesaj Numarası] Bu iletinin gövdesi asıl ileti kısmını oluşturmakta ve okunabilir bir şekilde Tablo 5.12‘deki bilgileri içermektedir. Tablo 5.12 : Virüslü orijinal mesajın reddiyle üretilen Red iletisinin gövdesi Mesaj kabulünde hata [Tarih] inde saat [yerel saat] de [gönderici] den gelen ve [alıcı] alıcısına gönderilen [konu] konulu mesajda bir güvenlik problemi algılanmıştır. [algılanan problemin türüne ilişkin açıklama] Mesaj kabul edilememiştir. Mesaj numarası: [mesaj numarası] Red iletisini alacak olan sistemin bu verileri otomatik olarak işleyebilmesine olanak sağlamak için aynı sertifikasyon verisi bir XML dosyaya yazılarak da iletiye eklenmektedir. İleti KEPHS‘nin verdiği hizmetlere göre başka ekler de içerebilmektedir. 25 5.15. Devir İletisi34 KEP mesajlarının farklı KEPHS‘ler arasındaki alış verişinde, göndericinin KEPHS‘sinden alıcının KEPHS‘sine gönderilen tam ve doğru bir mesajın alıcının KEPHS‘si tarafından başarılı bir şekilde teslim alındığını belgelemek üzere, alıcının KEPHS‘sinin alım noktası tarafından göndericinin KEPHS‘sine gönderilmek üzere üretilen ileti devir İletisi olarak tanımlanmaktadır. Devir iletisi, taşıma zarfının virüs taramasından geçirilmesinden önce üretilmektedir. Göndericinin gönderdiği mesajın ―Kime‖ alanında birden fazla alıcının olması durumunda devir iletisinin sertifikasyon verisinde iletinin ilgili olduğu tüm alıcıların listesi bulunmaktadır. Orijinal mesajın alıcılarının her biri farklı bir KEPHS‘den hizmet alıyorsa, orijinal mesaj her bir alıcı KEPHS için ayrı ayrı üretilen taşıma zarflarında taşınarak alıcı KEPHS‘lere iletilmektedir. Bu durumda her bir alıcı KEPHS, orijinal mesajın kendisinden hizmet alan tüm alıcıları için ayrı ayrı devir iletisi düzenlemektedir. Devir iletisi, ilgili orijinal mesajla eşleştirilmesini sağlayacak sertifikasyon verisini de içermektedir. Devir iletisinin başlığı Tablo 5.13‘teki alanları içermektedir: Tablo 5.13 : Devir iletisinin başlığı X-İleti Devir Tarih [Devir Tarihi] Konu Devir: [Orijinal Mesajın Konusu] Kimden 34 Elektronik posta adresi@KEPHS Alan Adı Kime [Göndericinin KEPHS‘si] X-Referans-Mesaj-Numarası [Orijinal Mesajın Mesaj Numarası] CNIPA, a.g.e. , s. 13 26 Devir iletisinin gönderileceği KEPHS‘ye ait elektronik posta adresi, gelen mesajdaki (bu durumda taşıma zarfı) güvenli elektronik imzanın doğrulanması için KEPHS dizininin sorgulanması esnasında LDAP sunucusundan öğrenilmektedir. Devir İletisinin mesaj gövdesi Tablo 5.14‘deki verileri içermektedir. Tablo 5.14 : Devir iletisinin gövdesi Devir iletisi [Tarih] inde saat [yerel saat] de [gönderici] den gelen [konu] konulu ve [alıcı] alıcısına gönderilen mesaj kabul edilmiştir / mesajın kabulünü engelleyen bir problem algılanmıştır ve mesaj reddedilmiştir. Mesaj numarası: [mesaj numarası] Bu iletiyi alacak olan sistemin, bu verileri otomatik olarak işleyebilmesine olanak sağlamak için aynı sertifikasyon verisi bir XML dosyaya yazılarak da iletiye eklenmektedir. İleti KEPHS‘nin verdiği hizmetlere göre başka ekler de içerebilmektedir. 5.16. Dağıtımda Çalışma Zaman Aşımı Kaynaklı Hata İletisi35 Göndericinin KEPHS‘sinin, kabul ettiği ve hakkında kabul iletisi ürettiği her orijinal mesaj için alıcının KEPHS‘sinden bir devir iletisi ve/veya başarılı dağıtım iletisi alması gerekmektedir. Böyle bir iletinin alınmaması durumunda göndericinin KEPHS‘sinin hatalı dağıtıma ilişkin iki ayrı uyarı mesajı (çalışma zaman aşımı hatası iletisi) ile göndericiyi uyarması gerekmektedir. Hatalı dağıtımla ilgili, göndericinin KEPHS‘si, ürettiği ilk uyarı ile alıcının KEPHS‘sinin mesajın kendisine gönderilmesinin üzerinden geçen ilk 12 saat içerisinde herhangi bir devir iletisi veya başarılı dağıtım iletisi göndermediğine dair göndericiyi uyarmaktadır. 35 CNIPA, a.g.e. , s. 9-10 27 Göndericinin KEPHS‘si tarafından üretilen ilk iletinin başlığı Tablo 5.15‗teki alanları içermektedir. Tablo 5.15 : Çalışma zaman aşımı hatası sonucu üretilen ilk iletinin başlığı İleti-Türü Dağıtım Hata Uyarısı Tarih [İletinin Düzenlenme Tarihi] Konu Hatalı İleti Uyarısı: [orijinal mesajın konusu] Kimden Elektronik posta adresi@KEPHS Alan Adı Kime [Orijinal Mesajın Göndericisi] Referans-MesajNumarası [Orijinal Mesajın Mesaj Numarası] İlk iletinin gövdesi ise Tablo 5.16‘daki bilgileri içermektedir. Tablo 5.16 : Çalışma zaman aşımı hatası sonucu üretilen ilk iletinin gövdesi Hatalı dağıtım uyarısı [Tarih] inde saat [yerel saat] de [gönderici] den gelen [konu] konulu mesajın, [alıcı_1] alıcısına gönderildikten sonraki 12 saat içerisinde dağıtımı yapılmamıştır. Takip eden 12 saat içerisinde alıcıdan mesajın alındığı yönünde herhangi bir ileti alınmazsa tarafınıza ilave bir ileti gönderilecektir. X-Referans-Mesaj-Numarası: [orijinal mesajın mesaj numarası] 28 Takip eden 12 saat içerisinde de herhangi bir iletinin alınmaması durumunda göndericinin KEPHS‘si gövdesi Tablo 5.17‘deki gibi olan bir uyarı iletisi daha üreterek göndericiye göndermektedir. Tablo 5.17 : Çalışma zaman aşımı hatası sonucu üretilen ikinci iletinin gövdesi Hatalı dağıtım uyarısı [Tarih] inde saat [yerel saat] de [gönderici] den gelen [konu] konulu mesajın, [alıcı_1] alıcısına gönderildikten sonraki 24 saat içerisinde dağıtımı yapılmamıştır. Gönderimin başarısız olduğu kabul edilmektedir. X-Referans-Mesaj-Numarası: [orijinal mesajın mesaj numarası] Bu iletiyi alacak olan sistemin, bu verileri otomatik olarak işleyebilmesine olanak sağlamak için aynı sertifikasyon verisi bir XML dosyaya yazılarak da iletiye eklenmektedir. İleti KEPHS‘nin verdiği hizmetlere göre başka ekler de içerebilmektedir. 5.17. Başarılı Dağıtım İletisi36 KEP alıcısının posta kutusuna mesaj düştüğü anda alıcının KEPHS‘sinin dağıtım noktası tarafından başarılı dağıtım iletisi üretilmektedir. Başarılı dağıtım iletisi, gönderilen mesajın ―Kime‖ alanında yer alan her bir alıcı için ayrı ayrı üretilmektedir. Başarılı dağıtım iletisi, sertifikasyon verisini, birincil alıcılar (mesajın ―Kime‖ alanında yer alan alıcılar) için ilave olarak orijinal mesajı veya mesajdan bir pasajı da içerebilmektedir. Başarılı dağıtım iletisi başarılı dağıtımın tarihi, saati, orijinal mesajın konusu, göndericisi ve alıcısı gibi bilgileri içermektedir. Başarılı dağıtım iletisinin başlığı ise Tablo 5.18‘deki alanları içermektedir. 36 CNIPA, a.g.e. , s. 16-17 29 Tablo 5.18 : Orijinal mesajın başarılı dağıtımıyla üretilen başarılı dağıtım iletisinin başlığı X-İleti Başarılı Dağıtım Tarih [Dağıtımın Tarihi] Konu Dağıtım: [Orijinal Mesajın Konusu] Kimden Elektronik posta adresi@KEPHS Alan Adı Kime [Orijinal Mesajın Göndericisi] X-Referans-Mesaj-Numarası [Orijinal Mesajın Mesaj Numarası] Başarılı dağıtım iletisinin gövdesinde de Tablo 5.19‘daki veriler bulunmaktadır. Tablo 5.19 : Orijinal mesajın başarılı dağıtımıyla üretilen başarılı dağıtım iletisinin gövdesi Başarılı dağıtım iletisi [Tarih] inde saat [yerel saat] de [gönderici] den gelen [konu] konulu ve [alıcı] alıcısına gönderilen mesajın alıcının posta kutusuna dağıtımı yapıldı. Mesaj numarası: [Orijinal Mesajın Mesaj Numarası] Otomatik işlemeye olanak sağlamak amacıyla aynı sertifikasyon verisi bir XML dosyaya yazılarak iletiye eklenmektedir. İleti KEPHS‘nin verdiği hizmetlere göre başka ekler de barındırabilmektedir. Sadece birincil alıcılara gönderilen iletiye orijinal mesaj başlığı, gövdesi ve ekleriyle beraber ek olarak eklenmektedir. 30 5.18. Başarısız Dağıtım İletisi37 Alıcının KEPHS‘sinin mesajı alıcının KEP kutusuna iletememesi durumunda sistem bir Başarısız Dağıtım İletisi üretmekte ve bu iletiyi orijinal mesajın alıcısına göndermektedir. Mesajın alıcıya iletilememesinin nedeni KEPHS‘nin sisteminden kaynaklanabileceği gibi alıcının elektronik posta kutusunun dolu olmasından da kaynaklanabilmektedir. Başarısız dağıtım iletisinin başlığında Tablo 5.20‘deki alanlar yer almaktadır. Tablo 5.20 : Başarısız dağıtım iletisinin başlığı X-İleti Dağıtım Hatası Tarih [İletinin Düzenlenme Tarihi] Başarısız Dağıtım Uyarısı: [Orijinal Mesajın Konu Konusu] Kimden Elektronik posta adresi@KEPHS Alan Adı Kime [Orijinal Mesajın Göndericisi] X-Referans-Mesaj-Numarası [Orijinal Mesajın Mesaj Numarası] Başarısız dağıtım iletisinin gövdesi ise Tablo 5.21‘deki verileri içermektedir. Tablo 5.21 : Başarısız dağıtım iletisinin gövdesi Başarısız dağıtım iletisi [Tarih] inde saat [yerel saat] de [gönderici] den gelen [konu] konulu ve [alıcı] alıcısına gönderilen mesajda bir hata [hatanın kısa özeti] tespit edilmiştir. Mesaj sistem tarafından reddedilmiştir. Mesaj numarası: [Orijinal Mesajın Mesaj Numarası] 37 CNIPA, a.g.e. , s. 18 31 Otomatik işlemeye olanak sağlamak için aynı sertifikasyon verisi bir XML dosyaya yazılarak da iletiye eklenmektedir. İleti KEPHS‘nin verdiği hizmetlere göre başka ekler de barındırabilmektedir. 32 6. KEP SİSTEMİNİN TEMEL BİLEŞENLERİ 6.1. KEP İletişim Modülü38 KEP sisteminde, iletişim sisteminin taşıyıcı katmanında yer alan temel birimler KEPHS‘ler olarak tanımlanmaktadır. İletişimi sağlayan KEP İletişim Modülü, erişim noktası, alım noktası ve dağıtım noktasından meydana gelmekte ve bir KEPHS‘de bulunması gereken temel bileşen olarak sayılmaktadır. Gönderici ve alıcı farklı KEPHS‘lerden hizmet alan kullanıcılar olabileceği gibi, aynı KEPHS‘nin kullanıcısı da olabilmektedir. Gönderici ve alıcının aynı KEPHS‘nin kullanıcısı olması durumu kapalı bir sistemi ifade etmektedir. Açık bir KEP sisteminde birlikte çalışabilirliğin sağlanması için farklı KEPHS‘lerin KEP İletişim Modüllerinin haberleşebileceği protokollerin KEPHS‘ler tarafından tasarlanması gerekmektedir. KEPHS‘lerin temel işlevleri aşağıdaki gibi sıralanmaktadır. Göndericinin kimliği gerektiği halde doğrulanamıyorsa veya alıcı herhangi bir KEPHS‘nin kullanıcısı değilse, göndericinin mesajını seçimli olarak SEP mesajı olarak göndermek (Bu durumda KEP Sistemine özel hizmetler devreye girmemektedir.) Gönderilecek elektronik posta mesajlarının kabul edilmesine ilişkin; mesaj boyutu, formatı, içinde virüs bulunmaması gibi sınırlamalar koymak. Her hangi bir yasal ya da operasyonel ortamda çalışılıyorsa, yasal veya operasyonel gerekliliklerin ve kontrollerin yapılmasını sağlamak. Diğer servis sağlayıcılarla ya da doğrudan alıcı ile mesaj alış verişi yapmak. Alıcıya elektronik posta geldiğinde bunu alıcısına bildirmek ve alıcının elektronik postaya ulaşması için bir URL ulaştırmak. Gönderilen elektronik postalar alıcısına elektronik yollarla gönderilemiyorsa gönderimi fiziksel yollarla yapmak (seçimli). SEP (yetkilendirilmiş bir KEPHS‘ye kayıtlı olmayan) kullanıcılarının gönderdikleri elektronik postaları KEP kullanıcılarına ulaştırmak ve KEP kullanıcılarının gönderdikleri elektronik postaları SEP kullanıcılarına iletmek (seçimli). 38 KAMAG a.g.p. , s. 30 33 Orijinal elektronik postaların, ekli dokümanların ve mesaj gönderimine ilişkin tüm diğer bilgilerin saklandığı ve sorgulanabildiği güvenli bir elektronik arşiv tutmak 6.2. Erişim Noktası39 Erişim noktası, kullanıcılara KEPHS tarafından sunulan hizmetlere erişim izninin verildiği modüldür. Kullanıcıların bu hizmetlere erişebilmesi KEPHS‘nin bu kullanıcıları doğrulamasıyla mümkün olabilmektedir. Erişim noktası; Kullanıcı kimliğini saptamak ve kullanıcıya erişim izni vermek, Mesajları virüs taramasından geçirmek, Göndericinin gönderdiği orijinal mesajı taşıma zarfının içine koymak gibi hizmetlerin verilmesini sağlamaktadır. Göndericinin gönderdiği bir mesajın alınması üzerine erişim noktası; Gelen mesaj üzerinde bazı kontroller yapmakta, Duruma göre bir kabul veya red iletisi üretmekte, Gelen mesaj herhangi bir hata içermiyorsa mesajı, taşıma zarfının içine, hata içeriyorsa aykırılık zarfının içine, virüs içeriyorsa güvenlik zarfının içine koymaktadır. Kabul iletisi, mesajın sistem tarafından kabul edildiği, gönderimin gerçekleştiği tarih ve zaman konularında göndericiye bilgiler vermektedir. Kabul iletisinde gönderici tarafından okunabilecek bir metin, göndericinin sistemi tarafından otomatik olarak işlenebilecek basit bir formatta sertifikasyon verisinin bulunduğu bir XML dosya ve varsa KEPHS‘nin sağladığı diğer hizmetleriyle ilgili ekler bulunmaktadır. Erişim noktası KEPHS dizinindeki verileri kullanarak gönderimi yapılan mesajın her alıcısının KEP Sisteminin mi yoksa SEP sisteminin kullanıcısı olduğunu kontrol etmektedir. Bu doğrulama alıcının alan adının KEPHS‘ler dizinindeki ―managedDomains‖ özelliğinin kontrol edilmesi ile yapılmaktadır. Kabul iletisi ve ilgili 39 CNIPA, a.g.e. , s. 4-5 34 sertifikasyon verisi göndericiye ilave olarak alıcının KEP kullanıcısı mı yoksa SEP kullanıcısı mı olduğu hakkında bilgi vermektedir. Mesajların ve ilgili iletilerin takibinin doğru bir şekilde yapılabilmesi için orijinal mesajlara benzersiz bir mesaj numarası verilmektedir. Bu tarz bir mesaj numarasının formatı Tablo 6.1 veya Tablo 6.2‘deki şekilde olmaktadır. Tablo 6.1 : Mesaj numarasının formatı 1 Mesaj numarasının [karakter dizisi]@[KEPHS‘nin elektronik posta formatı alanı] Örnek abcdef_123456@KEPHS_A.com Tablo 6.2 : Mesaj numarasının formatı 2 Mesaj numarasının [karakter dizisi]@KEPHS‘nin [elektronik posta formatı sunucusunun tam alan adı] Örnek [email protected]_A.com Göndericiden gelen mesajın kabul edilmesi sırasında, erişim noktası mesajın geçerliliğini sağlamak üzere; Mesajda, RFC 2822‘nin 3.4.1 maddesine uygun bir elektronik posta adresi içeren bir ―Kimden‖ alanının bulunup bulunmadığı, Mesajda, RFC 2822‘nin 3.4.1 maddesine uygun bir veya birden fazla elektronik posta adresi içeren bir ―Kime‖ alanının bulunup bulunmadığı, Yönlendirme verisinde (reverse path) belirtilen ve mesajın kaynağı olan kullanıcının elektronik posta adresi ile aynı olması gereken ―Kimden‖ alanındaki elektronik posta adresinin aynı olup olmadığı, Yönlendirme verisinde (forward path) belirtilen ve masajın alıcısı/alıcıları olan elektronik posta adresi/adresleri ile aynı olması gereken ―Kime‖ veya ―Dağıtım Listesi (cc)‖ alanlarındaki adreslerin aynı olup olmadığı gibi doğrulamaları gerçekleştirmektedir. 35 Bu kontrollerden en az birinin başarısız olması durumunda, erişim noktası mesajı KEP sistemine kabul etmemekte ve ilgili red iletisini üreterek göndericiyi konu hakkında bilgilendirmektedir. 6.3. Alım Noktası40 Alım noktası, farklı KEPHS‘ler arasında KEP mesajlarının alış verişine imkân sağlayan porttur. Alım noktasına gelen SEP mesajları da yine bu porttan KEP işlemler döngüsüne dahil edilmektedir. KEPHS İnternetten gelebilecek tehditlere karşı KEP sistemini korumak amacıyla SEP mesajlarının alım noktasında kabul edilmesinden önce KEP sisteminin dışına bir koruma sistemi (güvenlik duvarı, vb) kurabilmektedir. KEPHS kendi güvenlik politikasına göre KEP kullanıcısına SEP‘ten gelen mesajları filtreleyebilmektedir. Alım noktası aşağıdaki hizmetleri vermektedir: Mesajın kaynağını/doğruluğunu kontrol etmek Dağıtım iletisi üretmek Hatalı mesajları aykırılık zarfına koymak SEP mesajlarını ve taşıma zarflarını virüs taramasından geçirmek Virüs içeren mesajları güvenlik zarfına koymak Farklı KEPHS‘ler arasındaki mesaj alış verişi, RFC 2821 ile tanımlanan SMTP protokolü üzerinden sağlanmaktadır. SMTP iletişimi sırasında oluşan geçersiz alıcı, sunucuya erişilememesi, eşik değerlerin aşılması gibi hatalar SMTP protokolünün standart hata uyarı mekanizmaları ile yönetilmektedir. Alım noktası kendisine bir mesajın ulaşması üzerine aşağıdaki testleri ve eylemleri gerçekleştirmektedir. Gelen mesajın yapısını/doğruluğunu kontrol etmektedir. Gelen mesaj geçerli/hatasız bir taşıma zarfı ise; o Taşıma zarfını gönderen KEPHS‘ye gönderilmek üzere bir devir iletisi düzenlemektedir. 40 CNIPA, a.g.e. , s. 10-13 36 o Taşıma zarfını dağıtım noktasına iletmektedir. Gelen mesaj geçerli/hatasız bir KEP iletisi ise; o İletiyi dağıtım noktasına göndermektedir. Gelen mesaj, taşıma zarfı veya ileti özelliklerini taşımıyorsa veya tam/doğru değilse, bu mesajın standart bir elektronik posta olduğunu varsaymakta ve; o Gelen mesajı aykırılık zarfının içine koymaktadır. o Aykırılık zarfını dağıtım noktasına göndermektedir. Alıcının KEPHS‘si tarafından göndericinin KEPHS‘sine gönderilmek üzere düzenlenen devir iletisinin amacı, mesajın KEPHS‘ler arasındaki takibini yapabilmektir. Alım noktasının kendisine geçerliliğini/bütünlüğünü gelen doğrulamak bir için mesajın, taşıma gerçekleştirdiği zarfının/iletinin işlemler aşağıda sahip olduğunu sıralanmaktadır: Güvenli elektronik imzanın varlığını kontrol etmek. (Sistem gelen mesajın bir S/MIME imza yapısına doğrulamaktadır.) Güvenli elektronik imzanın bir KEPHS tarafından atılıp atılmadığını kontrol etmek. (Alım noktası, gelen mesajın imzalandığı sertifikanın KEPHS dizininde var olup olmadığını kontrol etmektedir.) Güvenli elektronik imzanın geçerliliğini kontrol etmek (Güvenli / Çok Amaçlı Internet Posta Uzantıları (Secure / Multipurpose Internet Mail Extensions - S/MIME) mesajının güvenli elektronik imzasının geçerliliği imzalama algoritmasının yeniden çalıştırılmasıyla Sertifika İptal Listesinin (Certificate Revocation List - CRL) kontrol edilmesi ile yapılmaktadır.) KEPHS‘ye gelen mesajın ilgili mevzuata eksiksiz uygunluğunu test etmek. Bütün bu kontrollerin başarılı olması durumunda sistem gelen mesajın doğru bir taşıma zarfı/ileti olduğunu, aksi durumda bir SEP mesajı olduğunu varsaymaktadır. 37 KEP sistemine gelen ve bir veya birkaç kontrolü geçemeyen SEP mesajları, KEP sistemi tarafından virüs taramasından geçirilmektedir. Virüs içerdiği tespit edilen SEP mesajları KEPHS tarafından reddedilebilmekte veya bu elektronik postalar alıcıya gönderilmeden güvenlik zarfına koyularak belirlenen yasal süre boyunca saklanmaktadır. Alım noktası kendisine gelen taşıma zarfında virüs olduğunu tespit ettiğinde, alıcının KEPHS‘si bir virüs kaynaklı başarısız dağıtım iletisi düzenlemekte ve bu iletiyi göndericinin KEPHS‘sinin dağıtım noktasına göndermektedir. Alım noktası kendisine virüs içeren bir taşıma zarfının ulaşması üzerine elektronik posta adresi KEPHS‘ler dizininde yer alan kaynak KEPHS‘ye gönderilmek üzere bir hata iletisi üretmektedir. Bu iletinin başlığı Tablo 6.3‘teki alanları içermektedir. Tablo 6.3 :Virüslü taşıma zarfının alıcı KEPHS tarafından reddedilmesiyle üretilen iletinin başlığı X-İleti Dağıtım Hatası Güvenlik Doğrulaması Hata Gönderici [Orijinal Mesajın Göndericisi] Tarih [İletinin Düzenlenme Tarihi] Konu Güvenlik Problemi: [Orijinal Mesajın Konusu] Kimden Elektronik posta adresi@KEPHS Alan Adı Kime [Göndericinin KEPHS‘si] X-Referans-Mesaj-Numarası [Orijinal Mesajın Mesaj Numarası] İletinin gövdesi Tablo 6.4‘deki verileri içermektedir: 38 Tablo 6.4 : Virüslü taşıma zarfının alıcı KEPHS tarafından reddedilmesiyle üretilen iletinin gövdesi Virüs Kaynaklı Dağıtım Hatası [Tarih] inde saat [yerel saat] de [gönderici] den gelen [konu] konulu ve [alıcı] alıcısına gönderilen mesajda bir güvenlik problemi algılanmıştır. [problemin türünün tanımı] Mesajın dağıtımı yapılmamıştır. Mesaj numarası: [mesaj numarası] Bu iletiyi alacak olan sistemin bu verileri otomatik olarak işleyebilmesine olanak sağlamak için aynı sertifikasyon verisi bir XML dosyaya yazılarak da iletiye eklenmektedir. İleti KEPHS‘nin verdiği hizmetlere göre başka ekler de içerebilmektedir. Göndericinin KEPHS‘si virüs kaynaklı başarısız bir dağıtım iletisinin kendisine ulaşması üzerine bir hatalı dağıtım iletisi düzenleyip göndericiye göndermektedir. Bu iletinin başlığı Tablo 6.5‘teki alanları, gövdesi ise Tablo 6.6‘daki verileri içermektedir: Tablo 6.5 : Alıcı KEPHS‘nin red iletisi üzerine gönderici KEPHS‘sinin göndericiye gönderdiği iletinin başlığı X-İleti Dağıtım Hatası Güvenlik Doğrulaması Hata Tarih [İletinin Düzenlenme Tarihi] Konu Hatalı İletim Uyarısı: [Orijinal Mesajın Konusu] Kimden Elektronik posta adresi@KEPHS Alan Adı Kime [Orijinal Gönderici] X-Referans-Mesaj-Numarası [Orijinal Mesajın Mesaj Numarası] 39 Tablo 6.6 : Alıcı KEPHS‘nin red iletisi üzerine gönderici KEPHS‘sinin göndericiye gönderdiği iletinin gövdesi Hatalı dağıtım uyarısı [Tarih] inde saat [yerel saat] de [gönderici] den gelen [konu] konulu ve [alıcı] alıcısına gönderilen mesajda bir güvenlik problemi algılanmıştır [problemin türünün tanımı] Mesajın dağıtımı yapılmamıştır. Mesaj numarası: [mesaj numarası] Otomatik işlemeye olanak sağlamak için aynı sertifikasyon verisi bir XML dosyaya yazılarak da iletiye eklenmektedir. İleti KEPHS‘nin verdiği hizmetlere göre başka ekler de barındırabilmektedir. Ayrıca göndericinin KEPHS‘sinin bu durum üzerine; 1. KEP sistemindeki antivirüs yazılımı tarafından yakalanamayan virüs türleri için periyodik olarak bir tarama gerçekleştirmesi ve virüsün neden yakalanamadığını araştırması, 2. Göndericisine virüs kaynaklı başarısız dağıtım iletisi konusunda uyarı iletisi göndermesi gerekmektedir. 6.4. Dağıtım Noktası41 Dağıtım noktası, kendisine gelen KEP mesajını KEP alıcısının posta kutusuna teslim eden modüldür. Dağıtım noktası; 41 CNIPA, a.g.e. , s. 15-16 40 Gelen mesaj üzerinde bazı testler yapmakta ve mesajın kaynağını/doğruluğunu kontrol etmektedir. Duruma göre başarılı dağıtım İletisi veya hatalı dağıtım iletisi düzenlemektedir. Dağıtım noktası kendisine bir mesajın ulaşması üzerine, öncelikle mesajın türünü doğrulamakta ve sonrasında da mesajın göndericisine bir ileti gönderilip gönderilmeyeceğine karar vermektedir. Başarılı dağıtım iletisi, orijinal mesajın alıcının posta kutusuna başarılı bir şekilde iletilmesi ve tam ve doğru bir taşıma zarfının dağıtım noktasına ulaşması durumlarında üretilmektedir. Diğer bütün durumlarda (aykırılık zarfı, ileti gibi) başarılı dağıtım iletisi üretilmemektedir. Mesajın her durumda alıcının posta kutusuna değiştirilmeden ulaştırılması gerekmektedir. Başarılı dağıtım iletisi, göndericinin mesajının belirtilen alıcıya dağıtımının başarıyla yapıldığı bilgisini, eylemin tarihini, saatini kullanıcının okuyabileceği metin formatında, sertifikasyon verisini ise XML formatında ekinde barındırmaktadır. Dağıtım noktası kendisine gelen tam ve doğru bir taşıma zarfının meydana gelen bir hatadan dolayı belirlenen alıcının posta kutusuna dağıtımının yapılamadığı durumda hatalı dağıtım iletisi düzenlemektedir. 6.5. Delil Sağlayıcı42 KEP sisteminde teknik olarak delil, elektronik posta haberleşme sisteminde mesajın ilk gönderildiği noktadan vardığı noktaya kadar meydana gelen bütün işlemlere ait, güvenli elektronik imza ile imzalanarak zaman damgası bilgisi eklenen elektronik doküman şeklinde tanımlanmaktadır. Bu veriler bir delil sağlayıcı birim tarafından toplanmakta, elektronik olarak imzalanmakta ve arşivlenerek güvenli bir veritabanında saklanmaktadır. Delil, belirli bir elektronik posta mesajı hakkında meydana gelen aşağıdaki olaylara kanıt olabilmektedir: Mesaj belirli bir zaman içerisinde oluşturulmuştur. Mesaj belirli bir göndericiden gönderilmiştir. Mesaj belirli bir KEP iletişim modülü tarafından kabul edilmiştir. 42 KAMAG, a.g.p. , s. 30-31 41 Mesaj belirli bir KEP iletişim modülü tarafından gönderilmiştir. Mesaj belirli bir alıcının elektronik posta kutusuna konmuştur. Mesaj belirli bir alıcı tarafından alınmıştır. Mesaj belirli bir alıcı tarafından açılmış ve okunmuştur. Mesaj belirli bir KEP iletişim modülü tarafından bilinen bir nedenden dolayı (virüslü olması, formatının yanlış olması, boyutunun büyüklüğü nedeniyle) reddedilmiştir. Mesaj belirli bir sebepten dolayı alıcıya gönderilememiştir. KEP sisteminde herhangi bir olayın meydana gelme zamanı önemli olduğundan delillerin içerisinde güvenilir bir zaman sağlayıcısından alınmış bir zaman damgasının yer alması önem arz etmektedir. Ayrıca delillerin hukuksal geçerliliğinin sağlanabilmesi için güvenli elektronik imzalı dokümanlar olması zorunluluğu nedeniyle KEP sisteminin AAA kullanması gerekmektedir. Delil sağlayıcının, ihtiyaç duyulması halinde yukarıda bahsi geçen türdeki bilgileri sağlaması gerekmektedir. Bir KEP sisteminde ilgili yasal mevzuat çerçevesinde bir veya birden fazla delil sağlayıcı bulunabilmektedir. Delil sağlayıcı, KEPHS‘den ayrı ve bağımsız bir servis olabileceği gibi KEPHS bünyesinde de bulunabilmektedir. Bu durumda KEPHS aynı zamanda delil sağlayıcı olarak da görev yapmaktadır. Delil sağlayıcıların, delilleri yasal mevzuat ile belirlenmiş süre boyunca saklamaları ve talep edildiğinde yetkili kurum ve kullanıcılara sunmaları gerekmektedir. 6.6. Delil Doğrulayıcı43 Ayrı bir taraf olarak da işletilebilen bu bileşen KEP sistemindeki kullanıcılar tarafından talep edilmesi üzerine her hangi bir delilin özgünlüğünü ve geçerliliğini kontrol eden ve bu konuda ilgili kullanıcıya garanti sunan bir modüldür. Delil doğrulayıcı hizmeti ayrı bir bileşen olabileceği gibi delil sağlayıcı ile bütünleşik olarak da çalışabilmektedir. Delil doğrulama işlemi iki ayrı şekilde yapılabilmektedir: 43 KAMAG, a.g.p. , s. 31 42 1. Delil, delil doğrulayıcıya gönderilmekte ve bunun karşılığında delil doğrulayıcı güvenli elektronik imza ile imzalanmış bir doğrulama belgesi göndermektedir. 2. Delili talep eden kullanıcı delil doğrulayıcısına İnternet üzerinden bağlanmakta (web servisi olarak gerçeklenebilir) ve delili talep etmektedir. Delil doğrulayıcısının gönderdiği yanıt elektronik olarak imzalı ise söz konusu işleme ait geçerli bir delil olarak kabul edilmekte, elektronik olarak imzalanmamış ise bu delil türü bilgi amaçlı olup İnternet bağlantısı süresince geçerli olmaktadır. Şu ana kadar anlatılan deliller genel olarak talep edildiğinde sağlanan deliller olup, ayrıca otomatik olarak üretilen deliller de vardır. Otomatik olarak üretilecek deliller, tamamen uygulamanın yapısına ve ilgili yasal mevzuata bağlı olarak belirlenmektedir. Bir bütün olarak bakıldığında delil ile ilgili; Delilin otomatik olarak ya da talep üzerine üretilmesi, Kimin bu delilleri üreteceği, Bu delillerin nasıl taşınıp, ne şekilde gönderileceği, Delillerin, talep eden kullanıcının kayıtları için mi üretileceği, yoksa çevrim-içi bir servis olarak mı sunulacağı gibi dört ana husus bulunmaktadır. 43 7. KEP SİSTEMİNDE KULLANILABİLECEK TEKNOLOJİLER, TEKNİKLER ve FORMATLAR 7.1. Teknolojiler ve Teknikler44 KEP sisteminde kullanılabilecek teknolojiler ve teknikler şunlardır; Elektronik posta tabanlı mesajlaşma sistemi (TCP/IP, SMTP, POP, IMAP) AAA Güvenli elektronik imza Kriptografik algoritmalar Delil yönetim mekanizması o Delil oluşturma o Delil saklama o Delil sorgulama o Delil sunma Diğer iletişim ortamlarına ara yüz o SEP ortamına ara yüz o Fiziksel posta ortamına ara yüz o SMS ortamına ara yüz Performans metrikleri o Sistem karmaşıklığının kullanıcıdan saklanması o Kullanıcı tarafında basit bir ara yüz bulunması o Veri yönetimi o Veri akışı optimizasyonu o Sistem güvenliği 44 KAMAG, a.g.p. , s. 28 44 7.2. Formatlar45 7.2.1. Zaman referansı KEP sisteminde, erişim noktasına, alım noktasına ve dağıtım noktasına gelen mesajlarda, iletilerde ve sistemin günlük kayıtlarını tutma işlemlerinin tamamında kullanılmak üzere bir zaman referansına ihtiyaç duyulmaktadır. Mesajları işleyen tüm eylemlerin tek bir zaman değerini kullanmaları gerekmektedir. Bu şekilde günlük kayıtlarının, iletilerin ve mesajların işlenme anı tek olmakta ve bu varlıkların senkronizasyonu sağlanmaktadır. KEPHS‘ler zaman referansını kendi içlerinde üretmek yerine, zaman referansını bu hizmeti veren başka güvenilir üçüncü bir taraftan almalıdırlar46. 7.2.2. Tarih/saat formatı İşlemin gerçekleştiği anı gösteren zaman bilgisi kullanıcının okuyabileceği bir formatta KEPHS tarafından sağlanmaktadır. Tarih bilgisi ―gg/aa/yyyy‖ formatında, saat bilgisi ise ―ss:dd:ss‖ formatında olabilmektedir. Saat bilgisi 24-saat formatında olmaktadır. Zaman bilgisi ile beraber parantez içinde bölge bilgisi, bölge ile UTC arasındaki saat ve dakika olarak zaman farkı bilgileri de yer almaktadır. Bölgenin yerel saati ile UTC değeri arasındaki fark ―[+/-] ssdd‖ formatında verilmektedir. 7.2.3. Mesajın özellikleri Gönderilen mesajın gövdesi; Mesajın karakter kümesi: ISO–8859–9 MIME tipi: Metin/düz (text/plain) veya çok parçalı/alternatif (multipart/alternative) özelliklerini taşımaktadır. Çok Amaçlı İnternet Posta Uzantıları (Multipurpose Internet Mail Extensions - MIME) parçalı/alternatif, Bağlantılı Metin İşaretleme Dili (Hypertext Markup Language - HTML) 45 CNIPA, a.g.e. , s. 19-20 46 ETSI TS 102 640-1, a.g.e., s. 17 45 formatında mesajlar oluşturulabilmesine de imkân sağlamaktadır. HTML formatında verilen mesajın aşağıdaki gereksinimleri karşılıyor olması gerekmektedir: HTML içerikte verilen bilgiler metin içerikte verilen bilgilerle aynı olmalıdır. Herhangi bir nesneye mesajın içinden veya dışından bir bağlantı adresi içermemelidir. Aktif bir içerik (javascript, ActiveX, …) içermemelidir. 46 8. KEP SİSTEMİNİN GÜVENLİK ÖZELLİKLERİ Bilgi bir organizasyon için önemli olan ve diğer önemli ticari varlıklar gibi korunması gereken bir varlık olarak tanımlanmaktadır47. Bilgi, özellikle e-Devlet uygulamalarının ve iş ortamlarının artan bir şekilde birbirlerine bağlı hale geldiği günümüzde daha çok önem kazanmaktadır. KEP sistemi kullanıcılara ait kişisel bilgileri, mesajları ve kullanıcıların elektronik posta yoluyla kimlerle haberleştiklerini tutan bir sistem olduğundan dolayı, sistemin kullanıcıları bu bilgilerin ve mesajların, güvenli bir şekilde saklanacağından, gizliliğinin sağlanacağından, amacı dışında kullanılmayacağından emin olmak isteyecektirler. Bu güveni sağlamak için, KEP sisteminin işlemlerinin güvenli bir şekilde yönetilmesi gerekmektedir. Her organizasyon gibi KEPHS‘lerin de Uluslararası Standartlar Örgütü / Uluslararası Elektroteknik Komisyonu (International Standards Organization/International Electrotechnical Commission - ISO/IEC) 27001 Bilgi Güvenliği Yönetim Sistemi standardına uymak suretiyle güvenliklerini ve güvenilirliklerini sağlamaları gerekmektedir. Bunun yanında, KEP sistemindeki delillere ve elektronik imza uygulamalarının doğruluğunun ve bütünlüğünün sağlanmasına yönelik tehditlere karşı KEPHS‘lerin ilave bazı özel güvenlik özelliklerine de sahip olması iktiza etmektedir48 . KEP‘in bilgi sistemleri ve ağları diğer bütün ağlar ve sistemler gibi, bilgisayar destekli sahtekârlık, casusluk, sabotaj ve vandalizm, delillerin yetkisiz olarak değiştirilmesi ve kişisel mesaj bilgilerinin sızması gibi geniş yelpazedeki genel güvenlik tehditleri ile karşı karşıyadır. Bu tehditler içeriden veya dışarıdan kaynaklı olabilmektedir. Bilgi güvenliği bir defa ihlal edilirse, örneğin KEP yönetim alanı delillerinin yetkisiz olarak değiştirilmesi, kullanıcıların KEP sistemine olan güvenine önemli ölçüde zarar verecektir. Bu zararın kullanıcının iş süreçleri ya da ulusal bir altyapı üzerindeki etkileri çok önemli olabilmektedir49. 47 ISO/IEC 27002, ―Information technology — Security techniques — Code of practice for information security management‖, s. 8 48 ETSI TS 102 640-3, ―Registered Electronic Mail (REM); Architecture, Formats and Policies; Part 3:Information Security Policy Requirements for REM Management Domains‖, s. 7 49 Bkz [48] 47 KEP sisteminde birinci derecede korunması gereken varlıkların, deliller ve bu delilleri oluşturmak için toplanan veriler olduğu ifade edilmektedir. Bu nedenle de delillerin ve toplanan bu verilerin erişilebilirliğinin, bütünlüğünün ve gizliliğinin sağlanması büyük önem arz etmektedir. KEP sisteminin ikinci derecede korunması gereken varlıkları ise KEP sisteminin ürettiği mesajlar, iletiler ve zarflardır. Bütün bu nesnelerin de gizliliğinin sağlanması gerekmektedir50. Güvenlik gereksinimlerinin ve risklerin belirlenmesinde ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi standardı baz alınabilmektedir. KEP sisteminin karşılaması gereken ilave güvenlik özelliklerinin sağlanması için ise ISO/IEC 27002 Bilgi Güvenliği Yönetim Sistemi Uygulama Kodları standardının Tablo 8.1‘de belirtilen bölümlerine uyumluluğun sağlanması talep edilmektedir51: Tablo 8.1 : KEP sisteminin uyumlu olması talep edilen ISO/IEC 27002 güvenlik özellikleri Konu Standardın İlgili Başlığı Varlık yönetimi Bölüm 7 İnsan kaynakları güvenliği Bölüm 8 Fiziksel ve çevresel güvenliğin sağlanması Bölüm 9 İletişim ve operasyon yönetimi Bölüm 10 Erişim kontrollerinin denetimi Bölüm 11 Bilgi sistemlerinin güvenlik gereksinimleri Bölüm 12 Bilgi güvenliği olaylarının yönetimi Bölüm 13 İş sürekliliği Bölüm 14 Uygunluk Bölüm 15 KEP sisteminin diğer güvenlik özellikleri aşağıdaki başlıklarda ele alınmaktadır. 50 ETSI TS 102 640-3, a.g.e. , s. 7 51 ETSI TS 102 640-3, a.g.e. , s. 8-9 48 8.1. Güvenli Elektronik İmza KEP sisteminin en önemli güvenlik bileşenlerinden biri güvenli elektronik imzadır. KEPHS‘nin, gerekli altyapıyı kurarak özel anahtar ve imza işlemlerinin güvenliğini Avrupa Birliği kriterlerine ve uluslararası kriterlere uygun bir şekilde sağlaması KEP sisteminin güvenliği açısından önem arz etmektedir. Bunu sağlamak için sadece imzalama işlemleri için tahsis edilmiş donanımların kullanılması ve olası bir sorunla karşılaşılmaması için gerekli yedekliliğin sağlanması gerekmektedir52. 8.2. Günlük Kayıtları KEP sisteminde meydana gelen olayların günlük kayıtlarının en az günde bir defa saklanması gerekmektedir. Günlük kayıtları zaman damgası ile damgalanarak tutulmaktadır. KEP sisteminin, her bir saklama işleminin yeni bir zaman damgasını gerektirecek şekilde yapılandırılması gerekmektedir. KEPHS‘nin günlük kayıtlarının, güvenliğini, bütünlüğünü, gizliliğini, değiştirilemezliğini sağlayarak belirlenen yasal süre boyunca muhafaza etmesi gerekmektedir53. 8.3. Doğrulama KEPHS‘nin, kullanıcıların erişim noktasında doğrulandıktan sonra KEP sistemine erişimlerini sağlaması gerekmektedir. Kullanıcıların KEP sistemine erişimlerini sağlayacak doğrulama metodu KEPHS‘ye bırakılmaktadır. Kullanıcıyı doğrulama işlemine, mesajın bir KEP kullanıcısı tarafından gönderildiğini ve kimlik bilgilerinin ilgili kullanıcıya karşılık geldiğini sağlamak için gerek duyulmaktadır. Böylece sahte kullanıcıların sistemi kullanmaları engellenmiş olmaktadır54. 8.4. Güvenli Etkileşim55 Orijinal mesajın göndericiden alıcıya kadar değiştirilemezliğini garanti etmek için; 52 CNIPA, a.g.e. , s. 24 53 Bkz[52] 54 Bkz[52] 55 CNIPA, a.g.e. , s. 24-25 49 Göndericinin KEPHS‘sinin erişim noktasından giden mesajlar bir zarfa koyulmakta, Bu mesajlar güvenli elektronik imza ile imzalanmakta, Alıcının KEPHS‘sinin alım noktası mesajlardaki güvenli elektronik imzaları doğrulanmakta, Göndericiden alıcıya kadar kurulan bütün bağlantılarda güvenli protokoller kullanılmaktadır. Kullanıcı ile KEPHS arasındaki bağlantılarda bütünlük ve gizlilik güvenli protokoller kullanılarak sağlanmaktadır. Kullanıcının KEPHS‘ye erişiminde; TLS tabanlı: IMAPS, POP3S, HTTPS, Haberleşme sırasında güvenli bir iletişimin aktivasyonunu gerektiren: SMTP, STARTTLS, POP3STLS, Güvenli bir iletişim kanalı sağlayan: Güvenli İnternet Protokolü (Internet Protocol Security - IPSec). protokolleri kullanılabilmektedir. KEPHS‘ler arasındaki iletişim TLS üzerinden SMTP protokolü ile sağlanmaktadır. KEP mesajlarının tüm akışını izleyebilmek için bu mesajların KEP sistemi dışına çıkarılmaması gerekmektedir. Her bir KEP sisteminin, alım noktasına karşılık gelen ve RFC 1912‘ye uygun olarak Elektronik Posta Sunucusu için DNS (Mail Exchange - MX) kaydının olması gerekmektedir. 8.5. Virüslerden Korunma KEP sistemi için diğer önemli bir güvenlik özelliği ise kötücül yazılımların ve virüslerin engellenebileceği teknik ve fonksiyonel bir yapının kurulmasıdır. Bunun için KEPHS‘nin, sistemini ve kullanıcılarını kötücül yazılımlardan korumak için uygun antivirüs yazılımlarını kurması ve bu yazılımları güncel tutması önem arz etmektedir56. 56 CNIPA, a.g.e. , s. 25 50 9. KEP SİSTEMİNİN ÇALIŞMA ŞEKİLLERİ KEP sistemi tasarlandığı modele göre; Yükle ve Gönder (Y&G) / Store and Forward (S&F) ve Yükle ve Uyar (Y&U) / Store and Notify (S&N) olmak üzere iki farklı şekilde çalışmaktadır. KEP sistemi SEP sunucularıyla da entegre bir şekilde hizmet verebilmekte olup, taraflar arasında iki farklı haberleşme modeli bulunmaktadır. Bu çalışmada her bir çalışma şeklinde, Sadece göndericinin ya da sadece alıcının KEP kullanıcısı olması, Hem göndericinin hem alıcının KEP kullanıcısı olması, modelleri üzerinde durulacaktır57. 9.1. KEP Yükle ve Gönder (Y&G) Modeli58 Bu modelde, gönderilen elektronik postanın kendisi ve elektronik posta gönderimi ve alımıyla ilgili olarak KEP sistemi tarafından üretilen delil niteliğindeki mesajlar kullanıcılara doğrudan gönderilmektedir. 9.1.1. Alıcının KEP kullanıcısı olmadığı durum Alıcının KEP kullanıcısı olmadığı bu mimaride: Gönderici, KEP kullanıcı arabirimini kullanarak mesajını 1 ve 2 numaralı yeşil oklarla gösterilen yol üzerinden KEPHS A‘ya göndermekte, KEPHS A, göndericiden gelen bu mesajı 3 numaralı yeşil okla gösterilen yol üzerinden SEP‘e göndermekte, SEP, mesajı 4 numaralı yeşil okla gösterilen yol üzerinden alıcısına ulaştırmakta, 57 ETSI TS 102 640-1, a.g.e. , s. 12 58 ETSI TS 102 640-1, a.g.e. , s. 12-14 51 KEPHS A, bu işlemlerle ilgili ürettiği delilleri turuncu okla gösterilen yol üzerinden göndericiye göndermektedir. Şekil 9.1 : KEP Yükle ve Gönder modeli (alıcının KEP kullanıcısı olmadığı durum) Bu mimaride, alıcı KEP kullanıcısı olmadığı için alıcıya sadece orijinal mesaj gönderilmekte, herhangi bir delil bilgisi gönderilmemektedir. Modelde KEP kullanıcısı olmayan alıcılara gönderim yapılabilmesine imkân tanınmasının amacı, KEP Sisteminin SEP sunucularıyla entegre çalışabilmesini sağlamak ve KEP kullanıcısı olan göndericiye her durumda delil sağlamaktır. Yukarıda da bahsedildiği gibi Y&G modelinde mesajlar alıcılarına doğrudan gönderilmektedir. KEP sisteminde, orijinal mesajlar tutulmayıp sadece gönderimle ilgili deliller tutulmaktadır. Ancak KEP kullanıcısının talep etmesi halinde mesajlar da KEP sisteminde tutulabilmektedir. 52 9.1.2. Alıcının KEP kullanıcısı olduğu durum Şekil 9.2 : KEP Yükle ve Gönder modeli (alıcının KEP kullanıcısı olduğu durum) Göndericinin ve alıcının KEP kullanıcısı olduğu bu modelde: Gönderici, KEP kullanıcı arabirimini kullanarak mesajını 1 ve 2 numaralı yeşil oklarla gösterilen yol üzerinden KEPHS A‘ya göndermekte, KEPHS A, göndericiden gelen bu mesajı 3 numaralı yeşil okla gösterilen yol üzerinden KEPHS B‘ye göndermekte, KEPHS B, mesajı 4 numaralı yeşil okla gösterilen yol üzerinden alıcısına ulaştırmakta, KEPHS A, bu işlemlerle ilgili ürettiği delilleri 1 numaralı turuncu okla gösterilen yol üzerinden göndericiye göndermekte, KEPHS B, bu işlemlerle ilgili ürettiği delilleri 2 ve 3 numaralı turuncu oklarla gösterilen yol üzerinden göndericiye göndermektedir. 53 Bu yöntemde mesajın gönderilmesi sırasında mesajın uğradığı her KEPHS hem gönderici için hem alıcı için çeşitli deliller üretilebilmektedir. Üretilen deliller alıcıya orijinal mesajla birlikte gönderilmektedir. 9.2. KEP Yükle ve Uyar (Y&U) Modeli59 Bu modelde KEPHS tarafından alıcıya doğrudan gönderilen herhangi bir belge bulunmamaktadır. Gönderilen elektronik posta ve KEPHS tarafından üretilen deliller KEPHS‘nin KEP sisteminde tutulmaktadır ve alıcıya sadece mesaj ve delillere ulaşabileceği bir bağlantı adresi gönderilmektedir. 9.2.1. Alıcının KEP kullanıcısı olmadığı durum Şekil 9.3 : KEP Yükle ve Uyar modeli (alıcının KEP kullanıcısı olmadığı durum) 59 ETSI TS 102 640-1, a.g.e. , s. 14-16 54 Alıcının KEP kullanıcısı olmadığı bu modelde: Gönderici, KEP kullanıcı arabirimini kullanarak mesajını 1 ve 2 numaralı yeşil oklarla gösterilen yol üzerinden KEPHS A‘ya göndermekte, KEPHS A, göndericiden gelen bu mesajı sisteminde tutmakta ve bu mesaja erişilebilecek bir bağlantı adresinin bulunduğu mesajını 3 numaralı yeşil okla gösterilen yol üzerinden SEP‘e göndermekte, SEP, bu uyarı mesajını 4 numaralı yeşil okla gösterilen yol üzerinden alıcısına ulaştırmakta, Alıcı, uyarı mesajındaki bağlantı adresini kullanarak KEPHS A‘nın sisteminde tutulan mesajına turuncu okla gösterilen yol üzerinden erişmektedir. Bu modelde de sistemin ürettiği deliller göndericiye gönderilmektedir. Alıcı KEP kullanıcısı olmadığı için kendisine herhangi bir delil bilgisi gönderilmemektedir. Yine bu modelde KEP kullanıcısı olmayan alıcılara gönderim yapılabilmesine imkân tanınmasının amacı KEP Sisteminin SEP sunucularıyla entegre çalışabilmesini sağlamak ve KEP kullanıcısı olan göndericiye her durumda delil sağlamaktır. 9.2.2. Alıcının KEP kullanıcısı olduğu durum Şekil 9.4 : KEP Yükle ve Uyar modeli (alıcının KEP kullanıcısı olduğu durum) 55 Gönderici ve alıcının KEP kullanıcısı olduğu bu modelde: Gönderici, KEP kullanıcı arabirimini kullanarak mesajını 1 ve 2 numaralı yeşil oklarla gösterilen yol üzerinden KEPHS A‘ya göndermekte, KEPHS A, göndericiden gelen bu mesajı sisteminde tutmakta ve bu mesaja erişilebilecek bir bağlantı adresinin bulunduğu bir uyarı mesajını 3 numaralı yeşil okla gösterilen yol üzerinden KEPHS B‘ye göndermekte, KEPHS B, kendisine gelen bu uyarı mesajını 4 numaralı yeşil okla gösterilen yol üzerinden alıcıya göndermekte, Alıcı, uyarı mesajındaki bağlantı adresini kullanarak KEPHS A‘nın sisteminde tutulan mesajına turuncu okla gösterilen yol üzerinden erişmektedir. Y&U modelinde delillerle birlikte orijinal mesajlar da KEPHS‘lerin KEP sistemlerinde tutulmakta, mesajlara ve delillere ihtiyaç duyuldukça yeniden erişilebilmesini sağlamak için bu bilgilerin belirlenen yasal süre boyunca KEPHS‘ler tarafından saklanması gerekmektedir. 56 10. KEPHS’LERİN BİRBİRLERİYLE ve SEP İLE ETKİLEŞİMİ 10.1. İki KEPHS Arasındaki Etkileşim 10.1.1. Tam ve doğru bir taşıma zarfının başarılı dağıtımı60 Şekil 10.1 : Tam ve doğru bir taşıma zarfının başarılı dağıtımı Gönderici ve alıcının KEP kullanıcısı olduğu, mesajın göndericiden alıcıya başarılı bir şekilde ulaştığı Şekil 10.1‘deki senaryoda aşağıdaki işlemler gerçekleşmektedir. 1a – Göndericinin, erişim noktasına bir elektronik posta göndermesi, 1b – Erişim noktasının, göndericiye bir kabul İletisi göndermesi, 2a – Erişim noktasının bir taşıma zarfı üretmesi ve göndericiden gelen mesajı bu taşıma zarfının içine koyarak bu taşıma zarfını alıcı KEPHS‘nin (KEPHS B) alım noktasına göndermesi, 60 CNIPA, a.g.e. , s. 26 57 2b – KEPHS B‘nin alım noktasının taşıma zarfını kontrol ederek bir devir iletisi üretmesi ve bu iletiyi gönderici KEPHS‘nin (KEPHS A) alım noktasına göndermesi, 2c – KEPHS A‘nın alım noktasının devir iletisini kontrol etmesi ve dağıtım noktasına iletmesi, 2d – KEPHS A‘nın dağıtım noktasının devir iletisini devir iletileri alanına kaydetmesi, 3 – KEPHS B‘nin alım noktasının taşıma zarfını dağıtım noktasına iletmesi, 4a – KEPHS B‘nin dağıtım noktasının taşıma zarfının içeriğini kontrol etmesi ve taşıma zarfını alıcının posta kutusuna saklaması, 5 – Alıcının kendisine gönderilen elektronik postayı açması/okuması, 4b – KEPHS B‘nin dağıtım noktasının başarılı dağıtım iletisi üretmesi ve bunu KEPHS A‘nın alım noktasına göndermesi, 4c – KEPHS A‘nın alım noktasının başarılı dağıtım iletisinin doğruluğunu kontrol etmesi ve iletiyi dağıtım noktasına göndermesi, 4d – KEPHS A‘nın dağıtım noktasının başarılı dağıtım iletisini göndericinin elektronik posta kutusuna saklaması. 58 10.1.2. Tam ve doğru bir taşıma zarfının başarısız dağıtımı61 Şekil 10.2 : Tam ve doğru bir taşıma zarfının başarısız dağıtımı Gönderici ve alıcının KEP kullanıcısı olduğu, gönderici tarafından gönderilen mesajın KEP sisteminden kaynaklanan çeşitli hatalardan dolayı (alıcının elektronik posta kutusunun dolu olması vb) alıcıya ulaştırılamadığı Şekil 10.2‘deki senaryoda aşağıdaki işlemler gerçekleşmektedir. 1a – Göndericinin erişim noktasına bir elektronik posta göndermesi, 1b – Erişim noktasının göndericiye bir kabul iletisi göndermesi, 2a – Erişim noktasının taşıma zarfını üretmesi ve göndericiden gelen mesajı bu taşıma zarfının içine koyarak alıcı KEPHS‘nin (KEPHS B) alım noktasına göndermesi, 61 CNIPA, a.g.e. , s. 27 59 2b – KEPHS B‘nin alım noktasının taşıma zarfını kontrol etmesi, bir devir iletisi üretmesi ve bu iletiyi gönderici KEPHS‘nin (KEPHS A) alım noktasına göndermesi, 2c – KEPHS A‘nın alım noktasının devir iletisini kontrol etmesi ve dağıtım noktasına iletmesi, 2d – KEPHS A‘nın dağıtım noktasının devir iletisini devir iletileri alanına kaydetmesi, 3 – KEPHS B‘nin alım noktasının taşıma zarfını dağıtım noktasına iletmesi, 4a – KEPHS B‘nin dağıtım noktasının taşıma zarfının içeriğini kontrol etmesi ve taşıma zarfını alıcının posta kutusuna iletememesi (alıcının posta kutusu dolu olabilir v.b.), 4b – KEPHS B‘nin dağıtım noktasının bir başarısız dağıtım iletisi üretmesi ve bunu KEPHS A‘nın alım noktasına göndermesi, 4c – KEPHS A‘nın alım noktasının başarısız dağıtım iletisinin doğruluğunu kontrol etmesi ve iletiyi dağıtım noktasına göndermesi, 4d – KEPHS A‘nın dağıtım noktasının başarısız dağıtım iletisini göndericinin elektronik posta kutusuna saklaması. 60 10.1.3. Mesajın virüs içerdiğinin alıcı KEP tarafından fark edilmesi ve dağıtım hatası62 Şekil 10.3 : Mesajın virüs içerdiğinin alıcı KEP tarafından fark edilmesi ve dağıtım hatası Gönderici ve alıcının KEP kullanıcısı olduğu, gönderici tarafından gönderilen mesajın virüs içerdiği ve virüsün alıcının sağlayıcısı olan KEPHS B tarafından fark edildiği Şekil 10.3‘deki senaryoda aşağıdaki işlemler gerçekleşmektedir: 1a – Göndericinin erişim noktasına bir elektronik posta göndermesi, 1b – Erişim noktasının göndericiye bir kabul iletisi göndermesi, 62 CNIPA, a.g.e. , s. 28 61 2a – Erişim noktasının bir taşıma zarfı üretmesi göndericiden gelen mesajı bu taşıma zarfının içine koyması ve taşıma zarfını alıcı KEPHS‘nin (KEPHS B) alım noktasına göndermesi, 2b – KEPHS B‘nin alım noktasının taşıma zarfını kontrol etmesi, bir devir iletisi üretmesi ve bu iletiyi gönderici KEPHS‘nin (KEPHS A) alım noktasına göndermesi, 2c – KEPHS A‘nın alım noktasının devir iletisini kontrol ederek dağıtım noktasına iletmesi, 2d – KEPHS A‘nın dağıtım noktasının devir iletisini devir iletileri alanına kaydetmesi, 3 – KEPHS B‘nin alım noktasının taşıma zarfını kontrol etmesi, potansiyel tehlikeli bir içerik olduğunu belirlemesi sonucunda güvenlik zarfını üreterek taşıma zarfını güvenlik zarfının içine koyması ve alıcıya göndermeden kendi sisteminde saklaması, 4b – KEPHS B‘nin dağıtım noktasının bir virüs kaynaklı başarısız dağıtım iletisi üretmesi ve bunu KEPHS A‘nın alım noktasına göndermesi, 4c – KEPHS A‘nın alım noktasının virüs kaynaklı başarısız dağıtım iletisinin doğruluğunu kontrol etmesi ve iletiyi dağıtım noktasına göndermesi, 4d – KEPHS A‘nın dağıtım noktasının virüs kaynaklı başarısız dağıtım iletisini devir iletileri alanına kaydetmesi, 5 – KEPHS A‘nın dağıtım noktasının bir başarısız dağıtım iletisi üretmesi ve bu iletiyi göndericinin elektronik posta kutusuna iletmesi. 62 10.1.4. Mesajın virüs içerdiğinin gönderici KEP tarafından fark edilmesi ve red iletisi63 Şekil 10.4 : Mesajın virüs içerdiğinin gönderici KEP tarafından fark edilmesi ve red iletisi Gönderici ve alıcının KEP kullanıcısı olduğu, gönderici tarafından gönderilen mesajın virüs içerdiği ve virüsün göndericinin sağlayıcısı olan KEPHS A tarafından fark edildiği Şekil 10.4‘deki senaryoda aşağıdaki işlemler gerçekleşmektedir. 1a – Göndericinin erişim noktasına bir elektronik posta göndermesi, 1b – Erişim noktasının mesajı kontrol ederek potansiyel tehlikeli bir içerik olduğunu belirlemesi ve göndericiye bir red iletisi göndermesi, 63 CNIPA, a.g.e. , s. 29 63 2 – KEPHS A‘nın erişim noktasının bir güvenlik zarfı üreterek göndericiden gelen mesajı bu zarfın içine koyması ve güvenlik zarfını alıcıya göndermeden kendi sisteminde saklaması. 10.2. KEPHS İle SEP Arasındaki Etkileşim SEP (gönderici) ile KEPHS (alıcı) arasındaki etkileşim64 10.2.1. Şekil 10.5 : Bir SEP (Gönderici) ile bir KEPHS (Alıcı) arasındaki etkileşim Göndericinin SEP, alıcının ise KEP kullanıcısı olduğu, gönderici tarafından gönderilen mesajın alıcıya ulaştığı Şekil 10.5‘deki senaryoda KEPHS, kendisine gelen bir SEP mesajını KEP işlem döngüsüne alıp almamaya kendisi karar verebilmektedir. Almaya karar verdiği durumda aşağıdaki işlemler gerçekleşmektedir. 1 – SEP göndericisinin mesajını İnternet üzerinden göndermesi, 2 – KEPHS‘nin alım noktasının bir aykırılık zarfı üreterek gelen mesajı bu zarfın içine koyması ve dağıtım noktasına göndermesi, 3 – Dağıtım noktasının aykırılık zarfını kontrol etmesi ve alıcının posta kutusuna iletmesi, 64 CNIPA, a.g.e. , s. 30 64 4 – Alıcının posta kutusundaki mesajı alması/okuması. KEPHS (gönderici) ile SEP (alıcı) arasındaki etkileşim65 10.2.2. Şekil 10.6 : Bir KEPHS (Gönderici) ile bir SEP (Alıcı) arasındaki etkileşim Göndericinin KEP, alıcının ise SEP kullanıcısı olduğu, gönderici tarafından gönderilen mesajın alıcıya ulaştığı Şekil 10.6‘daki senaryoda aşağıdaki işlemler gerçekleşmektedir: 1a – Göndericinin erişim noktasına bir elektronik posta göndermesi, 1b – Erişim noktasının göndericiye bir kabul iletisi göndermesi, 2a – Erişim noktasının bir taşıma zarfı üreterek göndericiden gelen mesajı bu zarfın içine koyması ve alıcıya göndermesi. 65 CNIPA, a.g.e. , s. 31 65 11. KEP ÜLKE UYGULAMALARI 11.1. AB Ülkelerinde KEP ile İlgili Çalışmalar ETSI tarafından yapılan çalışmalardan önce İtalya, Belçika, Fransa, İsveç, İspanya gibi değişik ülkelerde elektronik tebligatı da içerecek şekilde ülkeden ülkeye farklılık gösteren, belirli bir standart çerçevesinde geliştirilmemiş, KEP ile ilgili değişik projeler hayata geçirilmiştir. İtalya, Belçika, Fransa gibi ülkelerde KEPHS‘lerin işleyişlerine ilişkin yasal düzenleme yapılırken, İsveç ve İspanya gibi ülkelerde ise herhangi bir yasal düzenlemeye gerek duyulmamış KEPHS hizmeti kamu idareleri tarafından, noterlik fonksiyonunu da içerecek şekilde sunulmaya başlanmıştır. 66 İtalya‘da 28 Ocak 2005 tarihinde KEP hizmetini düzenleyen Kanun kabul edilmiştir. 11 Şubat 2005 tarihinde ise İtalyan Cumhurbaşkanlığı‘nın yayınladığı 68 numaralı Kararname ile kamuda elektronik ortamda doküman gönderilmesinin KEP sistemi kullanılarak yapılabileceği ve bu şekilde gönderilen yazıların, fiziki ortamda postayla yapılan tebligata eşdeğer olduğu ve aynı hukuki sonuçları doğuracağı belirtilmiştir. 11.1.1. İtalya İtalya‘da KEP ile; fiziksel postadaki iadeli taahhütlü postaya benzer bir yapı oluşturulmuştur. Oluşturulan bu yapıda; göndericiye, göndericinin hizmet sağlayıcısı tarafından bir kabul iletisi (ya da gönderilen mesajın eksik olması veya virüs içermesi durumunda red iletisi), alıcının hizmet sağlayıcısı tarafından ise bir başarılı ya da başarısız dağıtım iletisi gönderilmektedir. Hem göndericiye hem alıcıya aynı hizmet sağlayıcı tarafından hizmet verilmesi halinde ise dağıtım iletisi göndericininki ile aynı olmaktadır. Alıcının herhangi bir KEPHS‘den hizmet almadığı bir durumda ise gönderici böyle bir dağıtım iletisi alamamaktadır. İtalya‘da oluşturulan bu sistemin tamamı, kendiliğinden yasal olarak gönderime ve dağıtıma ilişkin delil sağlayan ve teknik detayları da içerecek şekilde ayrıntılı bir mevzuat ile düzenlenmiştir. Düzenlemeye göre KEPHS‘lerin hizmet verebilmeleri için CNIPA tarafından akredite edilmesi gerekmektedir. KEP tabanlı sertifika otoritesi görevini de yerine getiren 66 ETSI TR 102 605 V1.1.1 ―Electronic Signatures and Infrastructures (ESI); Registered e-Mail‖, 2007– 9, s. 57 66 CNIPA, KEPHS‘lerin mesajların imzalanmasında kullandıkları sertifikaları da düzenlemektedir. Ayrıca CNIPA KEPHS‘ler üzerindeki denetim organı olarak da hareket etmektedir67. 28 Ocak 2005 tarihinde KEP hizmetini düzenleyen Kanun ile KEPHS olarak faaliyete başlama şartları, bu hizmeti sürdürebilme şartları, hizmetin sunulması sırasında oluşan mesajların ve delillerin teknik özellikleri düzenlenmiştir. Bu düzenlemeye göre; KEPHS‘lerin hizmet sağlayıcı olarak akredite olabilmek için yerine getirmeleri gereken kurallar, politikalar ve uygulamalar, sermayesi, personel bilgileri, üst düzey yönetimin güvenilirlik gereksinimleri düzenlenmiş ve bu hizmeti sunabilmek için özel bir sigorta poliçesi sağlamak, KEPHS olmak isteyen şirketlerin akredite olabilmek için CNIPA‘ya hizmet işletim prosedürlerini ve ilgili güvenlik önlemlerini içeren detaylı bir dokümanı sağlamak şartı getirilmiştir. Ayrıca söz konusu kanunda; KEPHS‘lerin sunacakları asgari hizmet seviyesine, sistemin işleyişi sırasında mesaj akışlarının ve istisnaların nasıl yönetileceğine, olay kayıtlarının tutulmasına ve bu kayıtların elektronik imza ve zaman damgalı olarak saklanmasına, kötücül yazılım içeren mesajların KEPHS tarafından zarflanarak saklanmasına, taraflar arasında alış verişi yapılan mesajların türlerine, yapısına ve içeriğine, KEPHS‘ler tarafından kullanılacak olan elektronik imzanın ve zaman damgasının ayrıntılarına yönelik hükümlere yer verilmiştir 68. Belçika 11.1.2. Belçika‘da, İtalya‘daki düzenlemelere benzer bir yasa tasarısının hazırlıkları devam etmektedir . Belçika Posta ve Telekom İdaresi‘nin bir iştiraki olarak KEPHS hizmetini 69 vermek üzere kurulan Certipost isimli şirket, 85.000‘den fazla firmaya ve 520.000‘den fazla müşteriye hizmet vermektedir . Belçika‘da oluşturulan yapıda; bireysel kullanıcı 70 ve şirket olmak üzere iki farklı kullanıcı türü bulunmaktadır. Kullanıcılara, bizdeki TC kimlik numarasına karşılık gelen vatandaşlık kimlik kartı ile veya elektronik sertifika aracılığıyla sisteme bağlanma seçenekleri sunulmaktadır. Şirketler, bu hizmeti müşterilerine faturalarını elektronik ortamda güvenli bir yolla göndermek için 67 68 69 70 ETSI TR 102 605, a.g.e, s. 34 ETSI TR 102 605, a.g.e, s. 57 ETSI TR 102 605, a.g.e, s. 20 (Erişim), http://www.certipost.be/certipost/en/klanten.html, 14 Şubat 2011 67 kullanmaktadırlar. Bireysel kullanıcılar ise hizmet aldıkları şirketlerden faturalarını yine elektronik ortamda almak için kullanmaktadırlar. Online fatura göndermek isteyen şirketler öncelikle sisteme kayıt olmak zorundadır. Bireysel kullanıcıların ise sisteme kayıt olduklarında sistem üzerinden kendilerine sunulan listeden hangi şirketten çevrimiçi fatura almak istediğini seçmeleri gerekmektedir. Ayrıca bireysel kullanıcılar seçtikleri şirketlerden elektronik ortamda aldığı faturalarını yine Certipost tarafından oluşturulan KEP sistemini kullanarak kendilerine sunulan servisler aracılığı ile çevrimiçi olarak ödeyebilmektedir. Dolayısıyla Certipost tarafından oluşturulan yapı şirketler ile şirket müşterilerini buluşturan bir sistem haline gelmiştir71. 11.1.3. Fransa Fransa‘da 2000/31/AB sayılı e-Ticaret Direktifinin72 iç hukuka uyarlanabilmesi amacıyla 17 Haziran 2005 tarihli bir yasal düzenleme ile KEPHS‘ler için özel bir yasa yapılmıştır73. Ülkede KEP hizmeti, kamu yararına bir kuruluş olarak standardizasyon misyonu yürüten ve standardizasyon, belgelendirme ve faaliyet alanları ile ilgili yayın, eğitim sağlayan uluslararası bir kuruluş olarak faaliyet gösteren AFNOR tarafından verilmektedir. Fransa‘da oluşturulan modelde göze çarpan temel özellik delil sağlayıcının KEPHS‘den ayrı bir birim olması ve aynı zamanda delil doğrulayıcı olarak da görev yapmasıdır. Oluşturulan yapı SEP‘e bir ara yüz bulundurmamaktadır. Bu modelde hizmetin sunulması sırasında oluşturulan mesajlar veya deliller sadece doğrulanması talep edildiğinde sunulmak üzere oluşturulmaktadır. Ayrıca Fransa‘daki mevzuata göre KEP kullanılarak oluşturulan bu delil ve mesajlar, yasal olarak bir mahkemeye sunulabilmekte ve değerlendirilebilmekte ancak tek başına hukuki geçerlilik ifade etmemektedir 74. (Erişim) http://www.certipost.be/dpsolutions/en/rem-kenmerken.html , 16 Mart 2010 (Erişim) http://www.e-ticaret.gov.tr/hukuk/ABdirekt_tic.htm, 16 Mart 2010 73 ETSI TR 102 605, a.g.e., s. 21 74 ETSI TR 102 605, a.g.e.,s.34 71 72 68 11.1.4. İspanya İspanya‘da KEP hizmetlerini iki ayrı kurum vermektedir. Bunlardan birincisi Güvenli Bilişim Tebligat Hizmetleri Sistemi, diğeri ise adalet alanında kullanılan Lexnet isimli sistemi işletmektedir75. Her iki altyapı için özel yasal düzenlemeler yapılmış olup, yasal düzenlemelerde, iletinin gönderilmesi, tebliğ edilen zaman ve tarihi ve aynı zamanda elektronik ortamda gönderilen tebligatın delillendirilmesi hususları yer almaktadır.76 11.1.5. İsveç Chamber Sign İsveç, İsveç Ticaret Odaları Birliğine bağlı, kar amacı gütmeyen, İsveç‘te elektronik ortamda KEP hizmeti veren bir kuruluş olarak faaliyet göstermektedir. Burada öncekilerden farklı olarak KEP hizmeti, diğer hizmetlerin yanı sıra, onlarla birlikte bir alt hizmet olarak verilmektedir. Bu sistemde KEP‘e ilişkin yasal düzenlemelerin Kamu İhale Kanunu içinde düzenlendiği belirtilmektedir. Sistem daha çok deniz aşırı yapılan ihalelerde kullanılmakta ve Chamber Sign İsveç, güvenilir üçüncü taraf olarak e-postalara ilişkin delilleri toplamakta ve saklamaktadır.77 11.1.6. Almanya Almanya‘da Federal Bakanlar Kurulu tarafından, ―Vatandaş Portalı Kanun Tasarısı‖ onaylanmış ve böylece elektronik ortamda tebligat hizmetlerine ve kamu kurumları arasında doküman değişimine imkân sağlanmıştır. Tasarıya göre Alman Vatandaşlarının akredite olmuş servis sağlayıcılardan, kimliklerini belgeleyerek, elektronik tebligat amacıyla kullanmak üzere "De-Mail― isimli KEP hesabı almaları gerekmektedir. Vatandaşlar bu e-posta aracılığı ile güvenli ve şifreli olarak e-posta gönderebilecek ve kabul edebileceklerdir. Gönderici De-Mail sistemi ile hukuken geçerli gönderi onaylama kaydı alacaktır. KEPHS bu gönderi onay kaydını elektronik imza ile imzalamak zorundadır. Böylece resmi kurumlarda iş emirlerinin ve yazışmaların elektronik ortamda emniyetli, güvenilir ve bağlayıcı bir şekilde gönderilmesi sağlanmış olacaktır. İçişlerinin hesaplamalarına göre De-Mail Sistemi Tanrıkulu C., Türk ve Avusturya Hukukunda Elektronik Tebligat, Barolar Birliği Dergisi, Ankara, Kasım-Aralık 2009, sayı 85, s.315 76 ETSI TR 102 605, a.g.e., s. 22 77 Bkz[76] 75 69 işletime alındığında senelik 1 Milyar ile 1,5 Milyar Avro arasında tasarruf sağlanacaktır78. 11.2. Türkiye’deki Durum Elektronik ortamda bilgi ve/veya belge paylaşımının ülkemizde de bir sorun olması noktasından hareketle, 2007 yılının ikinci yarısından itibaren BTK‘da da bazı çalışmalar yapılmaya başlanmıştır. 2008 yılı Şubat ayında Sabancı Üniversitesi, Lostar Bilgi Güvenliği A.Ş. ve müşteri Kurum olarak BTK‘nın işbirliği ile ―Kayıtlı Elektronik Posta Sistemi Konusunda Araştırma, Geliştirme ve Uygulamalar‖ konulu bir Proje geliştirilmiştir. Geliştirilen bu Proje önerisi Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK) 1007 Kamu Kurumları Araştırma ve Geliştirme Projelerini Destekleme Programı kapsamında TÜBİTAK‘a sunulmuştur. Proje, “AR-GE niteliğinin yüksek olduğu, ancak Proje sonuçlarının yaygınlaştırılabilmesi için daha üst otorite bir kurumun (Başbakanlık gibi) projeye müşteri olarak dâhil edilmesinin gerektiği” ifade edilerek reddedilmiştir. Bunun üzerine Ağustos 2008 yılında Devlet Planlama Teşkilatı (DPT) da Projeye müşteri kurum olarak dâhil edilmiş ve revize edilen Proje 1007 Programı kapsamında tekrar TÜBİTAK‘a sunulmuştur. Ancak bu seferde Projenin ARGE yönünün yüksek olmadığı ve yaygınlaştırma için DPT‘nin yeterli olmayacağı ifade edilerek reddedilmiştir. KEP konusu e-Dönüşüm Türkiye İcra Kurulu‘nun 26.12.2008 tarihli ve 26 sayılı toplantısın da ele alınmıştır. e-Dönüşüm Türkiye İcra Kurulu, 15 Temmuz 2009 tarihli ve 28 sayılı Kararı ile KEP sistemi konusunda düzenleyici çerçevenin oluşturulması amacıyla çalışmalar yapmak üzere BTK‘yı görevlendirmiştir. Bahse konu görevlendirme sonrasında Başbakanlık tarafından koordine edilen ve Adalet Bakanlığı ile PTT‘nın yürütücüleri olduğu ―e-tebligat projesi‖ ile ilgili çalışmalara BTK‘da katılım sağlamış ve projenin KEP sistemine uygun olarak geliştirilmesinin doğru olacağı görüşünü belirtmiştir. Bu aşamadan sonra devam ettirilen çalışmalara PTT, Adalet Bakanlığı ve Başbakanlığın talebi üzerine katılım sağlanarak ve proje 78 Tanrıkulu C., a.g.e., s.315 70 altyapısının KEP sistemine ve uluslararası standartlara uygun olarak geliştirilebilmesi için çalışmalara hukuki ve teknik açıdan destek verilmiştir. 4734 sayılı Kamu İhale Kanunu‘nun Ek 1 inci maddesi ile; Elektronik Kamu Alımları Platformu‘nun (EKAP) kurulması ve işletilmesi ile ihale sürecinde elektronik araçların kullanımına ilişkin esas ve usullerin belirlenmesi görevi Kamu İhale Kurumu‘na verilmiştir. Kamu alım sürecinde standardizasyon, saydamlık, hız, tutarlılık ve kamuoyu denetimi sağlamak amacıyla kurulan ve yakın bir gelecekte tüm sektörlere ilişkin satın alma ihalelerinde yürürlüğe geçmesi planlanan EKAP üzerinden yapılan tüm işlemler de KEP sisteminin kullanılabileceği ve yapının ETSI standartlarına göre oluşturulabileceği Kamu İhale Kurumu yetkilileri ile yapılan toplantıda BTK görüşü olarak belirtilmiştir. 14 Şubat 2011 tarihli ve 27846 sayılı Resmî Gazete‘de yayımlanan 6102 sayılı Türk Ticaret Kanunu‘nun 18 inci maddesinde “(3) Tacirler arasında, diğer tarafı temerrüde düşürmeye, sözleşmeyi feshe, sözleşmeden dönmeye ilişkin ihbarlar veya ihtarlar noter aracılığıyla, taahhütlü mektupla, telgrafla veya güvenli elektronik imza kullanılarak kayıtlı elektronik posta sistemi ile yapılır.” hükmü, ve 1525 inci maddesinde ise ――(2) Kayıtlı elektronik posta sistemine, bu sistemle yapılacak işlemler ile bunların sonuçlarına, kayıtlı posta adresine sahip gerçek kişilere, işletmelere ve şirketlere, kayıtlı elektronik posta hizmet sağlayıcılarının hak ve yükümlülüklerine, yetkilendirilmelerine ve denetlenmelerine ilişkin usul ve esaslar Bilgi Teknolojileri ve İletişim Kurumu tarafından bir yönetmelikle düzenlenir. Yönetmelik bu Kanunun yayımı tarihinden itibaren beş ay içinde yayımlanır.‖ hükmü yer almaktadır. 5904 sayılı ‖ Gelir Vergisi Kanunu ve Bazı Kanunlarda Değişiklik Yapılması Hakkında Kanun‖ un 24 üncü ve 25 inci maddelerinde; 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanunun 77 nci ve 88 inci maddelerinde değişiklik yapılmış ve bu değişiklik ile; ―Tahsil dairelerince düzenlenen haciz bildirileri, alacaklı tahsil dairelerince ya da alacaklı amme idaresi vasıtasıyla, posta yerine elektronik ortamda tebliğ edilebilir ve bu tebligata elektronik ortamda cevap verilebilir. Elektronik ortamda yapılacak tebliğe ve cevapların elektronik ortamda verilebilmesine ilişkin usul ve esasları belirlemeye Maliye Bakanlığı yetkilidir.‖ hüküm altına alınmıştır. Farklı ortam ve zamanlarda yapılan toplantılarda Maliye Bakanlığı yetkililerine kamuda mükerrer 71 yatırımların engellenebilmesi ve koordinasyonun sağlanması açısından oluşturulacak yapının KEP sistemine uygun olarak oluşturulmasının önem arz ettiği ifade edilmiştir. Ulaştırma Bakanlığı‘nın teklifi üzerine Bakanlar Kurulu‘nda imzaya açılan 11 Mart 2010 tarihli ―Kamu Hizmetlerinin Hızlandırılması Amacıyla Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına Dair Kanun Tasarısı‖‘nda79 KEP sistemine ilişkin olarak; “Kayıtlı elektronik posta sistemi EK MADDE 1- (1) Kayıtlı elektronik posta sistemi, elektronik posta haberleşmesinin, kayıtlı elektronik posta hizmet sağlayıcıları vasıtasıyla, 5070 sayılı Elektronik İmza Kanununda tanımlanan güvenli elektronik imza ve zaman damgası kullanılarak gerçekleştirilmesini ve bu haberleşmenin göndericisinin, alıcısının ve zamanının tespit edilmesini sağlayan haberleşme sistemidir. (2) Resmî veya ticarî bilgi ya da belge paylaşımı, ilgili taraflar arasında bildirim, ihtar, ihbar ve benzeri hukukî sonuç doğuran beyan ve yazışmalar, kayıtlı elektronik posta sistemi vasıtasıyla yapılabilir. (3) Kayıtlı elektronik posta hizmet sağlayıcı, kayıtlı elektronik posta sistemini kuran ve işleten kamu tüzel kişisi veya özel hukuk tüzel kişisidir. Bunlar; güvenli ürün ve sistemleri kullanmak, hizmeti güvenilir bir biçimde yürütmek, hizmetlerin belirlenen kalitede sunulabilmesini teminen gerekli idarî ve teknik imkân ve kabiliyetlere sahip olmak ve bu sistemlerde kişisel verilerin korunmasına ve bilgi güvenliğinin sağlanmasına ilişkin mevzuat çerçevesinde Kurum tarafından belirlenen kurallara uymakla yükümlüdür. Kayıtlı elektronik posta hizmet sağlayıcı olmak isteyenler, Kuruma bildirimde bulunarak faaliyete geçer. (4) Kayıtlı elektronik posta hizmet sağlayıcı, işlettiği sistem vasıtasıyla yapılan iş ve işlemlerin veya haberleşmenin taraflarını ve zamanını, 5070 sayılı Elektronik İmza Kanununda tanımlanan güvenli elektronik imza ve zaman damgası kullanarak kayıt 79 (Erişim) http://www2.tbmm.gov.tr/d23/1/1-0836.pdf , 21 Şubat 2011 72 altına alır. Bu kayıtlar senet hükmünde olup, aksi ispat edilinceye kadar kesin delil sayılır. (5) Kayıtlı elektronik posta sistemine, bu sistemin idarî, teknik ve hukukî gereklilikleri ile işleyişine, kayıtlı elektronik posta hizmet sağlayıcıların Kuruma yapacakları bildirim ile bunların haklarına, yükümlülüklerine, faaliyetlerine son verilmesine ve denetlenmelerine ilişkin hususlar, Kurum tarafından yönetmelikle düzenlenir.” hükümleri yer almaktadır. Söz konusu Tasarı ile KEP sistemi konusunda ikincil düzenleme ve denetleme yapma görevi BTK‘ya verilmektedir. 73 12. SONUÇ Bilgi ve iletişim teknolojilerindeki hızlı gelişmeler sonucunda, taraflar arasındaki iletişim ve bilgi-belge paylaşımı büyük oranda elektronik ortamda gerçekleşmeye başlamıştır. Bu doğrultuda elektronik ortamda yapılan iş ve işlemlerin güvenilirliğinin sağlanması da bir zorunluluk haline gelmektedir. Bu güvenli ortamın sağlanabilmesi için bilişim sistemlerinin çeşitli güvenlik kontrolleri ve mekanizmaları ile desteklenmesi gerekmektedir. Elektronik posta, elektronik ortamdaki iş ve işlemlerde kullanılan önemli bir araç olmakla birlikte güvenilirliği konusunda bazı endişeler mevcuttur. Bilgilerin ve belgelerin gönderimine, alımına, iletimine ilişkin zaman kayıtlarının da güvenli bir şekilde tutulması önem arz etmektedir. KEP sistemi, elektronik postada eksikliği duyulan güvenilirlik ve güvenlik ihtiyacını karşılamak üzere ETSI tarafından geliştirilmiş bir standart olup elektronik postanın gönderimine, iletilmesine ve alıcılara ulaştırılmasına ilişkin deliller sunmaktadır. Ülkemizde de elektronik ortamdaki bilgi ve belge paylaşımında ihtiyaç duyulan güvenilirliğin sağlanması konusunda, ETSI ve UPU‘nun ilgili standartları, CEN‘in önerileri ve diğer ülke uygulamaları çerçevesinde çalışmalar yapılması, izlenecek düzenleme ve gelişim stratejisinin ortaya konulması önem arz etmektedir. KEP sisteminde her aşamada güvenli elektronik imza ve zaman damgası kullanılması nedeniyle elektronik ortamda yapılan işlemlerin hukuki geçerliliği de sağlanmış olmaktadır. Sonuç olarak, elektronik ortamdaki iş ve işlemlerde kullanılan önemli bir araç olan eposta, KEP sistemine ilişkin ikincil düzenlemelerin BTK tarafından yapılmasından sonra KEPHS‘ler tarafından gerekli sistemler kurulacak ve güvenli, güvenilir ve hukuken geçerli bir şekilde KEP hizmeti verilmeye başlanacaktır. 74