E-Devlet üzerinden barkodlu “Mezun Belgesi” çektiyseniz, Türkiye’nin dijital devletinin konforunu yaşamışsınızdır. Hızlı bir girişle resmî verilere tamamıyla ulaşabileceğiniz dijital bir yapının varlığı birçok iş sürecini hızlandırıyor. Ama son dönemde sahte e‑imza ve sahte diploma haberleri kriptografik yapıya olan güveni ortadan kaldırdı. Kriptografi, verilerin yalnızca görmesi gereken ve şifreyi çözmek için gerekli anahtara sahip kişi tarafından okunabilmesini sağlamak amacıyla gizlenmesi veya kodlanması yöntemidir. Gerçekten yetkisi olmayan kişilerin yetkili gibi davranmasına izin veren gevşek süreçler, zayıf kayıt/kimlik doğrulama ve eksik alarm zinciri gündeme damgasını vurdu.
Bu yazıda, e‑imzanın aslında ne olduğunu sade bir dille anlatacağım; nasıl verildiğini ve kullanıldığını, neden sahtekârların kriptografiyi “kırmadan” sahte diplomaları resmî kayıtlara sokabildiğini ve Türkiye’nin güveni yeniden tesis etmek için neleri hızla düzeltebileceğini adım adım açıklayacağım. Bunu gizli hacker kasalarına değil, açık bırakılmış ana kapılara rehberli bir tur gibi düşünün.
E‑imza nedir? Sistem nasıl çalışır?
E‑imza (nitelikli elektronik imza), ıslak imzanızın taranmış görüntüsü değildir, “Bu imzayı atan kişi kim?” sorusuna matematiksel bir “evet/hayır” damgasıdır. Bu damgayı taşıyan sertifika, Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yetkilendirilen bir hizmet sağlayıcı (Elektronik Sertifika Hizmet Sağlayıcısı, ESHS) tarafından üretilir ve güvenli bir donanımda—çipli sim kartınızda saklanır; özel anahtar bu donanımı terk etmez. Türkiye’de birden çok hizmet sağlayıcı olduğunu hatırlatmak isterim.
E-imza başvurusu yaptığınızda size gelen sim kartını özel bir USB-A’ya takarak, PIN tanımlama sürecine girersiniz. Bu noktada imzanız iki ayrı katmanla tamamlanır: sim kartınız ve onunla eşleştirdiğiniz PIN numaranız. Bu ikisinden birisi var olmazsa size tanımlanan belgeye imzanızı atmanız mümkün olmaz. İmza attığınızda, cihazınız belgenin benzersiz bir parmak izini üretir; herkes bu imzayı karşılık gelen açık anahtar ve sertifika zinciriyle doğrulayabilir.
Bilgisayar ortamında eşsizlik mümkün mü?
Buraya kadar süreci anlatmaya çalıştım. Bürokratik işlemlerin dijitalleşmesiyle birlikte insanların resmî işlemlerinde dijital bir imza atması gereklidir. Dijital ortamda bir imzayı eşsiz, emsalsiz, benzersiz kılma noktasında sorunlar olabilir.
Bilgisayarda “eşsizlik”, bir şeyi diğer her şeyden ayıran tekil bir kimlik vermek demek. İki dosya içeriği aynı olabilir ama yine de farklı kimliklere sahip olabilir ya da tam tersi, “içerik aynıysa aynı şeydir” diye karar verip kimliği içeriğin kendisinden türetmek mümkün. Çoğu zaman hedef “mutlak” değil, pratikte çakışması neredeyse imkânsız olan eşsizliktir.
Bunu üretmenin birkaç yolu var. En basiti, artan sayıcılar (1, 2, 3…). Bunlar veri tabanlarında çok kullanışlıdır ama birden fazla bilgisayarın ya da ağın birbirleriyle iletişim kurarak ortak bir amaç için birlikte çalıştıkları yazılım ve donanım yapılarında yani dağıtık sistemlerde koordinasyon gerektirir ve tahmin edilebilir. Rastgele kimlikler (ör. 128-bit UUID v4) çakışmayı astronomik ölçüde düşürür; temelde zamanlama sırasına göre dizilebilen kimlik metodları (ULID/KSUID ) gibi yaklaşımlar ise hem rastgelelik hem zaman bilgisini harmanlayıp sıralanabilir kimlikler verir. Bir de içerik tabanlı yaklaşım vardır: Dosyanın ya da mesajın bit düzeyindeki verisi üzerinden özet (hash) hesaplanır; aynı veri her zaman aynı özeti üretir, farklı veri ise pratikte tamamen farklı bir sonuç verir.
Hash’i “parmak izi” gibi düşünebilirsiniz. Deterministiktir (aynı giriş → aynı sonuç), tek yönlüdür. Esasında bir matematik fonksiyonu gibi çalışır; esas hedef çıktıdan yola çıkarak orijinalinin bulunmamasını sağlamaktır. Bir dosya aldınız ve içerik sağladınız ve hash değerini aldınız. Aynı dosyada sadece bir harf değiştirirseniz ya da bir dosyaya tek bir nokta ekleseniz bile ortaya çıkan hash değeri tamamen bambaşka olur. Tıpkı karlı bir dağın tepesinden yuvarlanan küçücük bir kartopunun aşağıya indikçe devasa bir çığa dönüşmesi gibi, ufak bir değişiklik (girdide) çıktıda çok büyük ve öngörülemez fark yaratır.
Özetle, dijital dünyadaki hayat, fiziksel gerçekliklerimizden biraz farklılaşabiliyor. Bu noktada sistemlerin fonksiyonlarını arttırırken başka zafiyet noktaları da yaratabiliyor. Türkiye’de e-imza meselesindeki problemlerden büyüğü de bu noktada devreye giriyor.
Bir kişinin birden fazla e-imza sertifikası olabilir mi?
Soru şu, bir kişinin birden fazla e-imza sertifikası olabilir mi?
Evet, Türkiye bir kişinin birden fazla e-imza sertifikası olabilir ve her biri belirli bir süre için ayrı ayrı alınır; böylece farklı işlerde farklı dijital kimlikler kullanma esnekliği sağlanır. Bu sertifikalar birbirinden bağımsız çalışır, yani birini bir işlemde, diğerini başka bir işlemde kullanabilirsiniz. Zihninizde canlandıracak bir örnek vermem gerekirse şöyle bir üniversite senaryosu düşün:
Elif, bir devlet üniversitesinde öğretim üyesi. Kendi kişisel e-imzasını; e-devlet işlemleri, kişisel sözleşmeler ve kendi BAP/TÜBİTAK başvuruları için kullanıyor. Bu dönem Elif’e bölüm başkan yardımcılığı ve Etik Kurul sekreterliği görevi veriliyor. Üniversitenin kuralı şu: resmî yazışmalar ve kurul/komisyon kararları, kişisel e-imza ile değil, kurum hesabı üzerinden tanımlanmış ayrı bir e-imza ile (yine Elif’in adına ama kurumsal kullanım için) imzalanmalı. Çünkü bu imzayla atılan belgeler doğrudan bölüm/kurul sorumluluğuna giriyor ve görev bittiğinde ilgili sertifikanın tek başına iptal edilebilmesi gerekiyor.
Ayrıca Elif sık sık kongrelere gidiyor; USB token’ını her zaman yanında taşımıyor. Üniversitenin sağladığı bulut tabanlı ikinci e-imza sayesinde EBYS’ye (elektronik belge yönetim sistemi) uzaktan girip acil bir yönetim kurulu kararı ya da etik kurul tutanağını imzalayabiliyor. Bir de şu pratik durum var: kişisel e-imzasının süresi yakında dolacak; kesinti yaşamamak için yenisini önceden alıyor ve bir süre iki sertifika paralel duruyor—kişisel işlerde kişisel e-imza, bölüm/kurul yazışmalarında kurumsal e-imza.
Kısacası, üniversite ortamında rol ayrımı (kişisel vs kurumsal işlemler), uzaktan/ani imza ihtiyacı ve görev değişince hızlı devreden çıkarma gibi nedenlerle ikinci bir e-imza çok işe yarıyor.
Şahsen belirli dönemlerde benim sadece Tübitak başvurularım ve idari işler için kullandığım birden çok e-imzam oldu. Bunlar da genellikle yukarıdaki örnekte bahsedilen sebeplerle üretilmişti.
E-imzanın güvenliği nasıl sağlanıyor?
Sonuç olarak BTK’nın yetkilendirdiği Elektronik Sertifika Hizmet Sağlayıcısı (ESHS) şirketleri onların verdiği sertifika ve tayin ettiğiniz PIN ile süreç korunuyor. Kriptografik mantıkla bakıldığında doğru bir uygulama olduğu görülüyor.
Belki ilaveten her imza atıldığında imza sahibi kişinin belirlediği telefon numarasına her işlem için bilgi gelmeli ya da PIN numarasına çoklu doğrulama algoritmasıyla (MFA) ile eşlenirse güvenliği arttırmak mümkün olabilir.
Ama imza sirkülasyonu yüksek yerlerde MFA kullanarak imza atmak sanıldığından çok zaman alacaktır. Minimal kişisel artışlar kurumsal seviyede dikkate değer gecikmelere sebep olacaktır.
E-imza çalınabilir mi?
Elektronik Sertifika Hizmet sağlayıcılar (ESHS) dışında e-imza üretmek sanıldığı kadar kolay olmadığı gibi e-imzanın üretildiği cihazlara müdahale etmek de kolay değildir. Kriptografik çekirdek sağlamdır. Bu yüzden çoğu “e‑imza hack”i, matematiğe değil, kayıt/kimlik doğrulama ve insanların etrafındaki süreçlere saldırmayı hedefler. Güvenlikte sık sık söylenildiği gibi kilit ne kadar güçlüyse kapıcı da o kadar kritiktir.
Öte yandan ilgili e-imza kanununun 16. maddesinde da bu konuda art niyetli kişilerin olacağını öngörülerek açıkça konu netleştirilmiş, imza kopyalama ya da benzer süreçlere kalkışanlara bir yıldan üç yıla kadar hapis ve elli günden az olmamak üzere adlî para cezası verileceği belirtilmiştir.[1]
Esasında bu maddenin varlığı bile başlı başına elektronik imzaların kopyalanabileceği ya da kişinin rızası dışında üretilebilme ihtimalinin varlığını ortaya koyuyor. Hem de, kanunun ilk versiyonunda değil sonradan bu madde de değişiklik yapılmış olması, hukuki bir sürecin daha önce de yaşanmış olabileceğinin işaretçisi niteliğindedir.
Peki nerede hata yapıldı? Büyük ölçekli bir süreç zaafı
Son haberler[2] ve resmî açıklamalar[3], şu deseni çiziyor: suçlular nitelikli imzaları, anahtarları “çözerek” değil; sahte ya da ele geçirilmiş kimlik verileriyle yeni sertifikalar üreterek—ya da güçlü arka-ofis yetkileri olan görevlilerin kimliklerine bürünerek—elde etti.
Ankara Cumhuriyet Başsavcılığı, sahte diplomalar ve hatta sürücü belgesi üretiminde kullanılan sahte imzalarla ilgili soruşturmaları yürütüyor.
Peki bu nasıl yaşanabildi? Güvenlik tedbirleri nasıl aşılabildi?
Bu noktada karşımıza iki yönetişim açığı özellikle öne çıkıyor:
1) Kayıt/kimlik doğrulamada zayıflık ya da suistimal. Kayıt kapıdır: kötü niyetli biri Elektronik Sertifika Hizmet Sağlayıcısı’nı (ESHS) “Ben şu kişiyim” diye ikna ederse, o kişinin adına üretilmiş, donanım destekli geçerli bir imzayla dışarı çıkar. Bu da nitelikli imzaya güvenen her sisteme altın anahtar etkisi yapar. E-imza başvuru ekranında sizden istenen bilgileri de linkten görebilirsiniz:
2) “İkinci imza” için erken uyarı kültürünün yokluğu. Yorumlarda ve haberlerde, “adınıza ikinci bir e‑imza üretildiğinde” herkesi uyaran evrensel bir alarm mekanizmasının bulunmadığı vurgulandı. Skandalın ardından BTK, T.C. numaranızla ilişkili tüm hatlara SMS bildirimleri ve sertifika aktivasyonunda bekleme süreleri gibi ek önlemler[4] açıkladı—gecikmiş ama gerekli adımların henüz atıldığını da öğreniyoruz. Fakat kaçımız SMS’lerine bakıyor ve gerekli önlemleri alıyor?
Dijital sistemlerde güven bir şekilde farklı unsurların üzerine inşa edilir. Günümüzde bu dinamik değişti. Sıfır güven kavramıyla açıklanan yeni yaklaşımda herkesin isteyerek ya da istemeyerek farklı davranışlar sergileyebileceği prensibiyle hareket ediliyor. Bizim sistemlerimizde ise hâlâ kullanıcıya atfedilmiş bir güvenin olduğunu görüyoruz. E-imza ile üretilen sahte belgelerin hiçbirinde akıllı kart kırmaya, özel anahtar tahmin etmeye ya da “şifre çözmeye” ihtiyaç yok. Söz konusu sömürü yöntemi, geçerli görünen bir kimlik elde edin, yazma yetkisi olan bir role bağlayın ve sistem yaptığınız düzenlemelere güvenecektir, şeklinde çalışıyor.
E-imzada kullanılan USB’li sertifika çalınırsa ne olur?
Bu noktada akıllara şu soru gelebilir: Peki, e-imza için kullandığınız USB’li sertifikayı çalarlarsa ne olur?[5]
Öncelikle kimsenin e-imzanızı kullanmak için böyle bir yol takip edeceğini zannetmiyorum. Çünkü sadece USB’nin çalınması, imza atmak için yeterli olmayacaktır. Sağlayıcıların ve BTK’nın güvenlik rehberlerinde, bir USB çalındığında bile, onu kullanmak için PIN numarasına ihtiyaç duyulacağını vurgular.
Bilgisayarınızda, e-imzanız takılıyken çalışan bir zararlı yazılım varsa, arka planda sizin adınıza imzalatma yapabilir—ama özel anahtarı bu yöntemle bilgisayarınızdan çalamayacağını tahmin ediyorum. Bu yüzden de suçlular genelde daha kestirme ve kolay yolları tercih ederler.
Öte yandan e-imza kullananların e-imzalarını çok güvenli bir şekilde sakladıklarını da sanmıyorum. E-imza atan birisinin şifresi eğer bir doğum tarihi, İstanbul’un fethi, vs gibi bir dizilim değilse, mousepad’ın altına bakabilirsiniz. Ya da mantar panosunda ya da bantlanmış notları arasında bulabilirsiniz diye düşünüyorum. Biraz daha karıştırınca e-imza USB’sine de ulaşmanız mümkün olabilir.
Sorunu nasıl çözülebilir?
1 – Kaydı zorlaştırmak:
Her zaman dört göz: Nitelikli sertifikanın onay ve teslimini tek bir görevli yapmamalı; yüz yüze kimlik doğrulama ve belge kontrolü bağımsız ikinci bir göz tarafından teyit edilmeli.
2 – Güçlü kimlik kontrolü
Türkiye yeni kimlik kartlarıyla birlikte yeni pin uygulamalarına geçti. Esasında bu sayede daha etkin bir kontrol sağlayabilir. Daha güçlü uzaktan kimlik tespiti bu sürecin ana noktası. Uzaktan kimlik kartı tespiti kullanılıyorsa; canlılık tespiti, NFC çip okuma, görüntü kalitesi ve eğitimli operatör kontrolleri uygulanmalı. Diğer daha yoğun düzenlenmiş sektörlerde bu kontroller artık standart[6]; e‑imza kaydı, banka hesabı açmaktan daha gevşek olmamalı.
3 – E-imza’nın verildiği uyarısı
Bir kişi için aynı T.C. ve isimle ikinci bir sertifika verildiğinde, tüm doğrulanmış hatlara SMS gönderilmeli, uygulama içi bildirim ve e‑posta ile anında uyarı gönderilmeli ve imzanın aktive edilebilmesi için kısa bir “soğuma” süresi zorunlu olmalı.[7]
Türkiye’nin elinde zaten sağlam bir dijital iskelet sistemi var, yetkin hizmet sağlayıcılar ve cihazlar mevcut. Ayrıca başlangıç için yeterli standartlar oluşturulduğunu düşünüyorum. Ama teknoloji hızla geliştiği için sürekli iyileştirme ve sıkılaştırma yapmak ihtiyacı olduğu unutulmamalı.
Aslında milyonların günlük kullandığı dünya çapında bir dijital portalımız var. Talep ve istek arasındaki ilişki yüzünden Türkiye’nin dijital platformları hız öncelikli olarak optimize edildi ve güvenlik için belirli yapılarda iyileştirmeler yapmak gerektiğini düşünüyorum.
Dijital devletten geri mi dönülmeli?
Çözüm, dijital devleti geri almak ya da e‑imzayı yasaklamak değil. Aslında e‑imza tasarlandığı gibi çalıştı; doğrulanmış bir kimlik, inkâr edilemez ve makineyle doğrulanabilir onaylar üretebildi. Sorun, sistemin yanlış kimlikleri doğrulaması değil ve bunları aşırı yetkili rollere yetersiz gözetimle bağlamasıdır. Kriptografi size bütünlük ve kimlik sağlar; yönetişim size gerçeklik sağlar.
Sanırım biz ikinci kısmı unuttuk. Şimdi ihtiyaç duyulan, bir dijital kültür değişimidir.
Unutmayalım ki, esas olan bir dijital platform kurmak ve bırakmak değil. Dijital yönetişimin inşasını bir proje değil, süreç olarak algılamalıyız. Öte yandan yaşlanan ve baby boomer bir demografinin dijital dönüşeme nasıl ekleneceği de hesaba katılarak ve muhtemel problemler öngörülerek geliştirilmeye devam edilmeli.
Son olarak belki şunu da eklemeliyim, üretici Yapay Zeka ile birlikte bildiğimiz şartlar ve tehditler hızla değişecek. Türkiye dijital platformu bu noktada nasıl bir güncellenmeye tabi tutulacak? İşte bu soruyu da sormadan edemiyorum.
Bu makalede yer alan fikirler yazara aittir ve Fikir Turu’nun editöryel politikasını yansıtmayabilir.
Bu yazı ilk kez 1 Eylül 2025’te yayımlanmıştır.
[1] “Elektronik imza oluşturma amacı ile ilgili kişinin rızası dışında; imza oluşturma verisi veya imza oluşturma aracını elde eden, veren, kopyalayan ve bu araçları yeniden oluşturanlar ile izinsiz elde edilen imza oluşturma araçlarını kullanarak izinsiz elektronik imza oluşturanlar bir yıldan üç yıla kadar hapis ve elli günden az olmamak üzere adlî para cezasıyla cezalandırılırlar. Yukarıdaki fıkrada belirtilen suçlar elektronik sertifika hizmet sağlayıcısı çalışanları tarafından işlenirse bu cezalar yarısına kadar artırılır. https://mevzuat.gov.tr/mevzuat?MevzuatNo=5070&MevzuatTur=1&MevzuatTertip=5
https://tr.euronews.com/2025/08/04/sahte-diploma-olayi-hakkinda-su-ana-dek-neler-biliniyor
[3] https://www.btk.gov.tr/haberler/basin-aciklamasi
[4] https://www.btk.tr/haberler/basin-aciklamasi
[5] https://www.e-imzatr.com.tr/tr/blog-detay/e-imza-calinirsa-ne-olur
https://www.btk.tr/e-imza-ile-ilgili-sikca-sorulan-sorular
[6]https://www.bddk.org.tr/Duyuru/Detay/824
