e-İmza Nedir? Dijital Dünyanın Güvenlik Anahtarı

Kısaca: e-İmza, bir elektronik belgenin kim tarafından imzalandığını ve imzadan sonra değiştirilip değiştirilmediğini matematiksel olarak kanıtlayan dijital damgadır. Türkiye'de 5070 sayılı Elektronik İmza Kanunu ile ıslak imza ile eş değer hukuki sonuç doğurur — ancak sadece "nitelikli elektronik sertifika" ile atıldığında.

Bu yazıda e-imzanın ne olduğunu, nasıl çalıştığını, türlerini ve nasıl doğrulandığını anlatıyoruz.

e-İmza, Elektronik İmza ve Dijital İmza Aynı Şey mi?

Günlük kullanımda bu üç terim genellikle karıştırılır. Aralarındaki farkı netleştirelim:

TerimNe İfade Eder
Elektronik imzaHukuki kavram. Bir kişiyi elektronik ortamda tanımlayan her türlü veri (e-posta imzası, tıklama onayı, kalemle atılan dijital imza dahil).
Dijital imzaTeknik kavram. Asimetrik kriptografi kullanılarak üretilen, içeriğin bütünlüğünü kanıtlayan matematiksel şema.
e-İmza (Nitelikli Elektronik İmza)Türkiye'de resmi terim. BTK tarafından yetkilendirilmiş bir sertifika sağlayıcı firma tarafından verilen, akıllı kart veya USB tokene yüklü dijital imza. Islak imza ile eş değer.

Yani her dijital imza bir elektronik imzadır, ama her elektronik imza "e-imza" (NES) değildir. Bu yazıda ve pratik kullanımda "e-imza" dediğimizde nitelikli elektronik imzayı kastediyoruz.

e-İmza Nasıl Çalışır? Asimetrik Kriptografi

e-İmzanın kalbinde asimetrik kriptografi (public-key cryptography) yatar. Matematiksel olarak birbirine bağlı iki anahtar vardır:

  • Özel anahtar (private key): Sadece imza sahibinde — akıllı kart veya USB token içinde. Hiçbir zaman cihazdan çıkmaz.
  • Genel anahtar (public key): Herkese açık. Sertifika yetkilisi tarafından imza sahibinin kimliğine bağlanır ve yayınlanır.

İmzalama süreci

  1. Hash: Belgenin içeriği bir hash fonksiyonundan (SHA-256 vb.) geçirilir. Bu, belgenin "parmak izidir" — belgeden üretilen sabit uzunlukta benzersiz bir özettir.
  2. Şifreleme: Hash değeri imza sahibinin özel anahtarı ile şifrelenir. Bu şifrelenmiş değer, dijital imzadır.
  3. Birleştirme: İmza, belgeye bir PAdES (PDF için) veya CAdES / XAdES (diğer dosya türleri için) formatında gömülür. Ayrıca imzalayanın sertifikası ve zaman damgası da belgeye eklenir.

Doğrulama süreci

Alıcı tarafta:

  1. Belgedeki imza, imzalayanın genel anahtarıyla çözülür → orijinal hash değeri ortaya çıkar.
  2. Belgenin mevcut içeriği yeniden hash'lenir.
  3. İki hash karşılaştırılır:
    • Aynıysa → belge imzalandıktan sonra değiştirilmemiş, imza sahibi gerçekten o kişidir.
    • Farklıysa → belge oynanmış veya imza geçersizdir.

Bu sürecin tamamını tarayıcıda, Java kurmadan imzadogrula.com aracıyla yapabilirsiniz.

e-İmza Türleri: Basit, Gelişmiş ve Nitelikli

eIDAS (AB) düzenlemesi ve Türkiye mevzuatı üç tür elektronik imza tanımlar:

  1. Basit elektronik imza — En temel form. E-posta gövdesine yazılan "Ali Veli" gibi. Hukuki geçerliliği zayıf; ispat yükü imzayı savunan tarafındadır.
  2. Gelişmiş elektronik imza — İmza sahibine benzersiz şekilde bağlı, kimlik doğrulaması yapılmış ve sonradan değişiklik algılanabilir. Ama nitelikli değildir.
  3. Nitelikli elektronik imza (NES) — Gelişmiş imzanın tüm özelliklerine ek olarak, nitelikli elektronik sertifika ile ve güvenli imza oluşturma aracı (akıllı kart/USB token) ile üretilmiştir. Yalnızca bu, Türkiye'de ıslak imzaya eş değerdir.

Bankacılık, tapu, vergi, adli işlemler, SGK — hemen hepsinde NES aranır.

Nerede Kullanılır? (Kullanım Alanları)

e-İmza artık sadece kamu işlerinde değil, neredeyse her sektörde günlük operasyonun parçası:

  • Bankacılık: Uzaktan sözleşme imzalama, ticari kredi belgeleri, KKB raporları, yatırım danışmanlığı formları. 2024 sonrası büyük bankaların ~%70'i e-imza kabul ediyor.
  • Hukuk: Avukatlar UYAP üzerinden dava dilekçesi, ek belge, vekâletname sunuyor — hepsi e-imzayla.
  • İnsan Kaynakları: İş sözleşmesi, SGK bildirgeleri, izin formları, özlük dosyası — kağıt arşivden dijitale geçiş.
  • Muhasebe ve Maliye: e-Fatura, e-Arşiv, e-Defter, e-SMM belgelerinin tamamı e-imzayla üretilir. Mali mühür bunun özel bir türüdür.
  • Sağlık: Reçete, epikriz, hasta onay formları — hastane bilgi sistemlerine entegre.
  • Gayrimenkul ve Noterlik: Tapu bazı işlemleri, noter ön onayları.
  • Kamu: e-Devlet üzerinden imzalanan tüm form ve başvurular arka planda e-imza kullanır.

Hangi İşlemlerde e-İmza Kabul Edilmez?

Türk Medeni Kanunu ve özel mevzuatlar bazı işlemleri hâlâ ıslak imza veya şekil şartına bağlar:

  • Evlenme ve boşanma
  • Veraset belgesi
  • Resmi senet gerektiren tapu devirleri
  • Bazı vasiyetname türleri

Bu liste her yıl daralıyor. 2020'de noter huzurunda yapılması gereken birçok işlem, 2026'da e-imza ile mümkün hale geldi.

Türkiye'de Hukuki Geçerlilik

5070 sayılı Elektronik İmza Kanunu (2004) madde 5:

Güvenli elektronik imza, elle atılan imza ile aynı hukukî sonucu doğurur.

Yani nitelikli e-imza ile imzalanmış bir sözleşme, ıslak imzalı bir sözleşme kadar bağlayıcıdır. Mahkemede aynı delil değerine sahiptir.

İstisnalar: Emlak alım-satım, veraset ilamı, evlenme gibi bazı işlemler özel şekil şartına tabidir ve notere gider. Bu liste yıllar içinde daralıyor — 2024'ten sonra bankacılık sözleşmelerinin büyük kısmı e-imzayla geçerli hale geldi.

Güvenlik: e-İmza Neden Sahte Üretilemez?

e-İmza güvenliğinin temeli iki ayrı matematiksel problem üzerine kuruludur:

  1. RSA'nın asal çarpanlara ayırma problemi: 2048-bit RSA anahtarını kırmak için günümüz süperbilgisayarlarıyla pratik olarak milyonlarca yıl gerekir. Bu güvenlik süresi kuantum bilgisayarların pratikleşmesiyle tehdit altına girecek — bu yüzden sektör post-quantum imza algoritmalarına geçiş planlıyor.
  2. SHA-256 hash çarpışma direnci: Farklı iki belge için aynı hash değeri üretmek ("preimage attack") pratik olarak imkansız. Bu, belgenin 1 byte bile değiştirilmediğinin matematiksel kanıtıdır.

Sertifika İptali ve CRL / OCSP

Bir e-imza sahibinin kartı çalındığında veya çalışanı işten ayrıldığında, sertifika iptal edilmelidir. İptal edilmiş sertifikayla atılan imzalar geçersizdir.

İki yöntem vardır:

  • CRL (Certificate Revocation List): Sertifika sağlayıcı firma, iptal edilen sertifikaların listesini yayınlar ve doğrulama aracı bu listeyi indirir.
  • OCSP (Online Certificate Status Protocol): Doğrulama aracı tek sertifika için gerçek zamanlı sorgu yapar.

imzadogrula.com hem CRL hem OCSP kontrolü yapar, size sertifikanın imza atıldığı anda geçerli olup olmadığını söyler.

e-İmza Nasıl Alınır?

BTK tarafından yetkilendirilmiş sertifika sağlayıcı firmalar e-imza verir:

  • Kamu SM (TÜBİTAK)
  • E-Tuğra
  • TürkTrust
  • E-Güven
  • EİMZATR
  • Ayyıldız İmza

Güncel tam liste için BTK yetkili sertifika sağlayıcıları sayfası.

Başvuru kısaca:

  1. Seçtiğiniz sağlayıcının web sitesinden başvuru formunu doldurun
  2. Kimlik doğrulama (e-Devlet, PTT veya video arama)
  3. Ödemeyi tamamlayın
  4. Akıllı kart veya USB token kargoyla gelir
  5. Sürücüleri kurup PIN'inizi belirleyin

Adım adım detay: e-İmza Nasıl Alınır?.

e-İmzalı Belge Nasıl Doğrulanır?

Size gelen bir belgenin gerçekten iddia edilen kişi tarafından imzalandığından ve oynanmadığından emin olmanız gerekebilir. Örneğin:

  • Bankadan gelen bir sözleşme gerçekten bankanın yetkilisi tarafından mı imzalandı?
  • Karşı taraftan gelen sözleşme imzalandıktan sonra değiştirilmiş olabilir mi?
  • Bir zaman damgası geçerli mi, sertifika süresi dolmuş mu?

Bu kontrolün adı e-imza doğrulamasıdır. Detaylı anlatım için: e-İmza Nasıl Doğrulanır? yazımız.

Kısacası: PDF veya imzalı dosyanızı imzadogrula.com'a yükleyin — saniyeler içinde imza sahibi, imza zamanı, sertifika geçerliliği ve belgenin bütünlüğü raporlanır.

Sık Sorulan Sorular

e-İmza ücretli mi?

e-İmza sertifikası alırken sertifika sağlayıcı firmaya ödeme yaparsınız — güncel tarife için sağlayıcı sitesine bakın. E-imza doğrulama ise ücretsizdirimzadogrula.com gibi araçlarla anında yapılır. İmzalama tarafında da ONAYLARIM ücretsiz üyelikle PDF'lerinize e-imza atmanıza izin verir.

e-İmza vs mobil imza farkı nedir?

Mobil imza, SIM kart üzerinde çalışan bir e-imza türüdür. GSM operatörünüzden alınır, SMS onayıyla imzalanır. Hukuki değeri e-imza ile aynıdır; pratiklik avantajı mobildir. Detaylı karşılaştırma: e-İmza vs Mobil İmza.

e-İmza süresi bittiğinde ne olur?

Süresi dolmuş sertifikayla yeni imza atamazsınız. Ama süresi geçerliyken atılmış imzalar, sertifika süresi dolsa bile geçerliliğini korur — çünkü imzanın atıldığı andaki sertifika durumu "zaman damgası" ile kayıt altındadır.

Java kurmadan e-imza doğrulanabilir mi?

Evet. Kamu SM'nin kendi doğrulama aracı Java applet gerektirir (artık modern tarayıcılar desteklemiyor), ama imzadogrula.com gibi modern araçlar saf web teknolojisiyle çalışır — Java gerekmez.

Kağıt üzerinde e-imza görür gibi bir şey var mı?

Evet, PDF'in üstüne bir imza panelini tıkladığınızda imza bilgilerini gösteren bir alan çıkar. Ama görsel önemli değil — imzanın matematiksel geçerliliği önemlidir. Bir PDF'in üzerinde JPG imza resmi olması, o belgenin dijital olarak imzalandığı anlamına gelmez.

e-İmza ile attığım sözleşme mahkemede delil olur mu?

Evet. 5070 sayılı kanun madde 5'e göre nitelikli e-imza ile imzalanmış belge, ıslak imzalı belge ile aynı hukuki sonucu doğurur ve mahkemede delil niteliğindedir.

Yurt dışındaki e-imzalar Türkiye'de geçerli mi?

AB vatandaşlarının eIDAS kapsamında alınan nitelikli e-imzaları, Türkiye ile karşılıklı tanıma antlaşması olan ülkelerde geçerlidir. Farklı ülkelerdeki e-imzaların Türkiye'deki statüsü için mevcut ikili anlaşmalara bakılmalıdır. BTK'nın yayınladığı uyumluluk listesi güncel tutulur.

e-İmzamı başkası kullanabilir mi?

Teknik olarak hayır — PIN kodunu bilmeyen kişi kartı takıp imza atamaz. Ama sorumluluk imza sahibindedir: PIN'i paylaşıp zarar görürseniz, "başkası kullandı" savunması hukuken zayıftır. PIN'i kimseyle paylaşmayın, kart ve şifreyi ayrı yerlerde saklayın.

Belgeyi imzaladıktan sonra değiştirebilir miyim?

Hayır. İmza atıldıktan sonra belgeyi 1 byte bile değiştirirseniz, o imza matematiksel olarak geçersiz hale gelir. Değiştirmek için belgeyi yeniden imzalamanız gerekir — ve orijinal imzaya sahip taraftan da yeniden onay almalısınız.

İlgili Yazılar

İmzalayın ve Doğrulayın

Kartınız hazırsa PDF imzalamak için ONAYLARIM'da ücretsiz hesap açın — tarayıcıda, Java kurmadan, saniyeler içinde imza atın.

Size gelen bir belgenin imzasını kontrol etmek için imzadogrula.com üzerinden ücretsiz doğrulama yapabilirsiniz.

Aracımızı hemen deneyin

Elinizdeki PDF ve belgelerdeki e-imzaları ücretsiz doğrulayın. Java kurmadan, saniyeler içinde.

e-İmza Doğrulama Aracı →

Bu hizmet ONAYLARIM tarafından sağlanmaktadır.
Seneka ürünüdür.

© 2024-2026 Seneka Bilişim. Tüm hakları saklıdır.