Yücel Yılmaz - Kriptoloj i Uygulamalarında Hukuki Boyut
KRİPTOLOJİ UYGULAMALARıNDA HUKUKİ BOYUT
137
Ö ğrı. Gör. Dr. Yücel Yılmaz '
ı. GİRİş
Enformasyon ve iletişim teknolojilerindeki baş döndürücü
gelişmeler, hayatın her alanında olduğu gibi ticari işlemlerin
yürütülmesindeki yöntem ve araçlan da derinden etkilemektedir. Bu etki,
kapsamını her geçen gün daha da arttı rmakta, ticari i şlemler gittikçe daha
fazla oranda elektronik ortamlarda gerçekleştirilmektedir. Birçok ticari
faaliyet, yeni enformasyon ve iletişim teknolojileri sayesinde daha hızlı,
daha kapsamlı ve daha masrafsız şekilde yürütülebilmekte. böylece söz
konusu faaliyetler gerek nitel gerekse nice! olarak önemli geli şmeler
göstermektedir (Young, Johnston, 2003).
Enformasyon ve iletişim teknolojilerinio hemen herkes tarafından
bilinen ve kabul edilen avantajl arının yanında, bu teknolojilerin yoğun
şeki lde kullanımıyla gündeme gelen çeşitli sorunlar da mevcuttur. Söz
konusu sorunl arın başında, elektronik ortamda gerçekleştirilen i şlemlerin
güvenli bir şekilde yürütülmesi gelmektedir. Hemen her gün, elektronik
ortamdaki çeşitli dolandıncılıklar, bilgi hırsı zlıkları, vb. sorunlar, gerek
yazılı gerekse görsel basın organlarında sıkça tartışılmakta, bu bağlaında
enformasyon teknolojilerine duyulan güven önemli oranda azalabilmektedir.
Kriptoloji , fen bilimleri ve sosyal bilimlere göre daha yeni bir bilim
dalını ifade etmektedir. Bu bilim dalındak:i ilk ç alı şmalar 40' lı yılların sonu,
• Marmara Üniversitesi, İktisadi ve Idari Bilimler Fakültesi, Almanca İ şletme
Enformati ği Bölümü.
138 MOHF - HAD, C13, Sy.I-2
SO' li yılların başında Shannon tarafından gerçekleştirilmiştir. Mesajların
gizliliğini şifreleme aracılığıyla sağlamayı amaçlayan kriptografi ve bu
şifrelerin çözülmesini amaçlayan kripto analizi, kriptoloji biliminin başlıca
unsurlarını oluşturmaktadır (Wobst, 1997, 23). Söz konusu unsurlar,
elektronik ortamlardaki işlemlerde güvenliğin sağlanması bağlanunda
gittikçe önem kazanmaktadır.
Bu çalışmada öncelikle kriptoloji bilimi; başlıca unsurları, genel
amaçları, temel yöntemleri ve başlıca araçları bağlanunda incelenecektir.
Ardından, kriptoloji uygulamalanna dünya çapındaki farklı hukuki
yaklaşımlar; Avrupa ülkeleri, Asya ülkeleri ve Amerika Birleşik Devletleri
bağlaımnda ele alınacak, bu yaklaşımlar birbirleriyle genelolarak
karşılaştırılacaktır. Çalışmanın son bölümünde ise konuyla ilgili genel
değerlendirmelere yer verilecektir.
2, BİR BİLİM DALı OLARAK KRİPTOLOJİ
2. i Başlıca Unsurlar
Kriptolojinin başlıca unsurları, kriptografi ve kripto analizi olarak
belirtilebilir. Kriptografi, mesajlann şifrelenmesi (İng. encryptionı suretiyle
bu mesajların, istenmeyen ellere geçseler dahi anlaşılamarnalarını
hedeflemektedir. Kripto analizi bağlanundaki çalışmaların hedefi ise
"şifrelenmiş metnin kırılması", başka bir deyişle mesajın gizli içeriğinin
tekrar anlaşılabilir duruma getirilmesidir (İng. decrypıionı. Günümüzde
gerek kriptografi gerekse kripto analizi konusunda faaliyet gösteren
uzmanların, aynı zaınanda matematik alanında da uzman oldukları
görülmektedir. Bu durumun başlıca nedeni, kriptoloji uygulaınalarında temel
olarak matematiksel işlemlerden ve formüllerden yararlanılmasıdır
(Schneier, 1996, I).
Şifrelenmemiş olan metin "açık metin (İng. message veyaplabıtexı)"
olarak adlandırılmaktadır. Açık metin; metin verisi, sayısallaştınlmış ses
dizisi , sayısal video resmi veya başka bir unsuru ifade edebilir . Mesaj
Yücel Yılmaz - Kriptoloji Uygulamalanııda Hukuki Boyut 139
iletiminde bilgisayarlardan yararlanıldığından, açık metin her durumda
sayısall aştınhruş ve böylece elektronik ortama aktarıhruştır. Çeşitli teknik
araç ve yöntemler kullanılarak, açık metin şifreleme aracılığıyla şifrelerımiş
metne, şifrelenmiş metin ise deşifre etme aracılığıyla tekrar açık metne (açık
metnin ilk hali , kaynak açık metin) dönüştürülmektedir. Bütün bu çalışmalar,
metin içeriğinin istenmeyen erişimiere karşı korunması amacıyla
gerçekleştirilmektedir (Wobst, 1997, 23).
Açık metin ,i Şifreleme Şifrelenmiş metinDeşifre etme
Kaynak açık metin
Şekil 1: Şifreleme ve Deşifre Etme (Schneier, 1996, i )
Gerek şifrelemede gerekse deşi fre etmede "anahtar" denilen araçlar
kullanılmaktadır. Şifrelernede ve deşifre etmede aynı anahtar
kullanılabileceği gibi (simetrik yöntem), farklı anahtarlar da
kullanılabilmekte (asimetrik yöntem) veya her iki yöntemden birlikte
yararlanılabilmektedir (melez yöntem). Burada vurgulanması gereken, her
yöntemin çeşitli avantajları ve dezavantajları olduğu, seçilecek yöntemin
yapılacak işlemler bağlamında belirlenmesi gerektiğidir (Schumacher,2(05).
2.2 Genel Amaçlar
Kriptografınin genel amacı , verilerin gizliliğinin sağlanması olarak
belirtilebilir. Bu amaca şifreleme aracılığıyla ulaşılmaya çalışılmaktadır. Söz
konusu gizliliğin etkin bir şekilde sağlanması , kullanılan anahtarın uzunluğu
ile yakından ilgilidir. Örnek olarak 64 bir'lik bir anahtarla şi frelenen
mesajların deşifre edilmesi, 128 bir' lik bir anahtarla şifrelenen mesajlara
göre çok daha kolaydır.
140 M OHF - HAD, C I3, Sy.J-2
Verilerin gizliliği nin sağlanmasının yanında bir diğer önemli amaç,
verilerin bütünlüğünün sağlanmasıdı r. Verilerin bütünlüğü "verilerin
de ği ştirilernezli ğ i" olarak da tanımlanabilir. Veriler çeşitl i şekillerde
değiştirilseler dahi veri bütünlüğüne yönelik uygulamalar, bu değişikliğin
fark edilmesini sağlamalı dır. Verilerin bütünlüğünün sağlanmasında en sık
kullanılan araçlar, elektronik imza ve sayıs al su filigranlarıdır. Elektronik
imza, tıpkı el yazısıyla oluşturulan imzada olduğu gibi her imzanın yalnızca
bir tek kişi tarafından kullanılmasını sağlamaktadır. Sayısal su filigranları ise
bir ürünün yasal kopyaları nın yasadışı yollarla çoğaltılması durumunda, bu
işlemi açıkça ortaya koyan unsurları ifade etmektedir. Ürün kopyalandığında
filigranlar da kendilerini kopyalarnakta, böylece yasal olmayan
kopyalamanın tespiti kolayca gerçekleşt i ri lebi l mektedi r (Leiss, 2006).
Elektronik imza özellikle son yı llarda hızla yasal geçerlilik
kazanmaktadı r. Özellikle Avrupa Birliği' ndeki gelişmeler çerçevesinde,
ülkemizde de Elektronik İmza Kanunu 2004 senesinde yürürlüğe girmiştir.
Bu kanuna göre el yazısıyla oluşturulan imza ve sayısal imza, bazı istisnalar
dışında. eşi! statüde kabul edilmektedir. Söz konusu istisnalar, kanunda
"kanunlan n resmi ş ekle veya özel bir merasime tabi tu ttuğu hukuki işlemler
ile teminat sözleşmeleri " şeklinde ifade edilmektedir (Bkz. Elektronik İmza
Kanunu, madde 5).
Gönderici Açık m e tin
Şif releme
Özet değeri
Şif relenmiş
deı} er (e-imza)
Şekil 2: Elektronik İmzanın Oluşturulması
Yileel Yılmaz - Kripıoloji Uygulamalarmda Hukuki Boyut 141
Elektronik imzanm oluşturulmasında, temel rolü özetleme
fonksiyonları (İng. hash-fuııctionş oynamaktadır. Özetleme fonksiyonları,
herhangi bir uzunluktaki metni belirli bir uzunluktaki metne dönüştürerek
kısaltmaktadır. Özetleme fonksiyonlarının önemli bir özelliği, ana metinde
değişiklik gerçekleştirildikten sonra, bu metne ait aynı özet değerinin makul
bir zamanda tekrar oluşturularnamasıdır. Diğer tarafta, belirli bir özet
değerden yola çıkarak ana metni tekrar oluşturmak da mümkün değildir
(Tamrn, Yılmaz, 2006).
Kriptografi uygulamalannın belki de en önemli hedefi, kimlik
sınamanın gerçekleştirilmesidir. Başka bir deyişle mesajı gönderen kişinin
kiınliği açıkça belirlenebilmeli, elektronik ortamın sunduğu olanaklar
istismar edilerek bir kişinin kendisini başka bir kişi gibi göstermesine veya
kişinin gerçekleştirdiği işlemleri daha sonra reddetmesine izin
verilmemelidir.
Bu gereklilikler, büyük oranda elektronik sertifikalar ve elektronik
imzalar aracılığıyla gerçekleştirilmektedir Elektronik iıııza, yukanda
belirtildiği gibi ana metin üzerinden özetlerne fonksiyonu ile oluşturulmuş ve
şifrelenmiş bir özet değerdir. Bu özet değer gönderici tarafından alıcıya
iletilmekte, alıcı söz konusu öze t değeri kendi ürettiği özet değerle
karşılaştırmaktadır. Her iki özet değerin de aynı olması durumunda,
elektronik imzanın belirtilen kişiye ait olduğu kabul edilmektedir.
Özet değerinin şifrelenmesinde, gizli anahtar (İng. private key),
deşifre edilmesinde ise açık anahtar (İng. public key) kullanılmaktadır. Söz
konusu anahtarların üretilmesi ve dağıtılması, sertifika merkezleri tarafından
gerçekleştirilmektedir (Garfinkel, 2002). Sertifika merkezlerinin
sorumlulukları ve yükümlülükleri, genelde elektronik imza kanunlarında
belirtilmektedir. Bununla birlikte, elektronik sertifika merkezlerinin e-ticaret
işlemlerindeki fonksiyonlan göz önünde bulundurulduğunda,bu merkezlerin
fonksiyonlarını daha detaylı şekilde tanımlayan düzenlemelere duyulan
ihtiyaç, kendiliğinden ortaya çıkmaktadır.
142 MVHF - HAD, C.H Sy.I-2
3. KRİPTüLüJİ
YAKLAŞıMLAR
UYGULAMALARıNA HUKUKİ
3.1 Avrupa Ülkelerinde Kriptoloji Uygulamalarına Bakış
Avrupa ülkelerinde kriptografi uygulamalarına bakış açısı, Asya
ülkelerine göre genelde daha özgürlükçü bir yapı arz etmektedir. Bununla
birlikte, yakın zamana kadar bazı Avrupa ülkelerinde (örnek : Fransa)
kriptografi uygulamalarına karşı önemli sınırlamalar söz konusu olmuştur.
Günümüzde bu sınırlamalar önemli ölçüde hafifletilmiştir. Bununla birlikte
halen , talep üzerine, şifrelenıniş metnin deşifre edilmesinin mümkün
kılınması ve şifreleme çalışmalarının belli yasal prosedürler çerçevesinde
yürütülmesi öngörülmektedir. Şifrelenmiş metnin deşifre edilmesinde,
kullanılan anahtarın kısmi olarak açıklanması da gündeme gelmektedir.
Almanya' da kriptoloji uygulamalarıyla ilgili hükümler. temelolarak
İmza Karıunu ile düzenlenıniştir. Bu kanun başlangıçta, elektronik imza ve el
yazısıyla oluşturulan imzayı birbirlerine eşit statüde kabul etrnezken,
günümüzde bu konudaki sınırlandırmalar büyük oranda hafifletilmiştir.
Alman İmza Kanunu'na göre elektronik imzanın geçerli olamayacağı
işlemler arasında çeşitli resıni belgeler, işten aynlmanın veya çıkanımanın
bildirilmesi, şahsi kefalet gibi konular yer almaktadır. Alman Kanunlannda,
şifrelemeyle ilgili sınırlayıcı herhangi bir hükiim bulunmamaktadır (Bkz.
Alman İmza Kanunu).
Ülkemizde ise kriptoloji uygulamalanyla ilgili yasal düzenlemeler
Elektronik İmza Karıunu ile smırlıdır. 2004 senesinde yürürlüğe giren bu
kanun, Avrupa Birliği'ne aday veya üye ülkelerde olduğu gibi Avnıpa
Komisyonu'nun 99/93/EC sayılı, Elektronik İmzalara İlişkin Direktifi
kapsaırunda oluştunılınuştur. Söz konusu direktif elektronik imza kanunlan
için bir çerçeve niteliğindedir. Bununla birlikte, ülkemizdeki kanunla söz
konu su direktif arasında önemli farklılıklarda mevcuttur (Keser, vd. 2004).
Yücel Yı lmaz - Kriptoloj i Uygulanıa larında Hukuki Boyut 143
3.2 Asya Ülkelerinde Kriptoloji Uygulamalan na Bakış
Bazı Asya ülkelerinde (Örnek: Rusya, Çin) kriptoloji uygulamalan ,
ulusal güvenlik konu l arı bağlamında değerlendirilmektedi r. Bu ülkelerde,
mesajl arı n şifrelenmesine izin verilmemektedir çü nkü ş ifrelenmi ş mesajların
ulusal . güven lik açısından çeşitli sorunlara yol açabilecekleri
düşünülmektedi r. Bununla birlikte, gerek Rusya'd a gerekse Çin' de, ticaretin
liberalleşmesi yle birlikte kripıoloji alanında ileride önemli serbestliklerin
sağlanabileceği değerlendirilmektedir.
Asya'nın en büyük ekonomilerinden olan Japonya'da ise kripıoloji
uygulamalan , e-ticaret bağlamında yürütülen uzun vadeli ve yapısal
yaklaş ımlar bağlamında değerlendirilmektedir. Japonya'nın e-ticaret
alanında yürüttüğü çal ışmalann başlıca hedefi, gelecekte kağıt para yerine
elektronik paranın kullanılmasıdır. Bu bağlamda Japonya'da, e-ticarette
güvenliğin gel iştirilmesi, söz konusu güvenliğin teknolojik ve yasal
yönlerinin araştırı l mas ı üzerinde hassasiyetle durulmaktadır. Teknolojik
boyutta, güvenli e-ticareti sağlamak için yeni protokoller (Örnek: IKP
(information security protocols)) geliştirmekte olan Japon ya, hukuki
boyuttaki çalı şmal arını ise "Onay Kurumları Çal ı şma Grubu" ("Certification
Authoıity Working Group") faaliyetleri kapsamında yürütmektedir. Bu grup,
söz konusu alandaki tüm çalışma gruplarının bağlı olduğu birime üye kunım
ve kuruluşlara dağıtılmak üzere, e-ticaret işlemlerine katılacak kurum ve
ki şil erin , yetkilerini, sorumluluklannı ve birbirleri yle ilişkilerini tanınılayan,
e-ticaretin güvenli şekilde yürütülmesine yönelik bir ön yönetmeliği de
içinde barındıran bir rehber yayınl amıştır. Bunların yanında, Japonya' da
şifreleme altyapısının kurulması ve elektronik ticarette denenmesi amacıyla
çok sayıda pilot proje yürütülmektedir (Bkz. Elektronik Ticaret Teknik
Çalışma Grubu, Değerlendirme Raporu).
3.3 Amerika Birleşik Devletleri'nde Kriptoloji Uygulamalarına
Bakış
144 MVHF - HAD, C13, Sy.1 -2
ABD yasalan, şifrelemeye izin vermekle birlikte bazı sınırlamalar
getirmiştir. Söz konusu sınırlandırmaların en önemlisi, şifreleme
yazılımlarının çeşitli ölçütlerc göre değerlendirilmesi ve bu değerleudirmeler
temelinde, belirli yazılımların ihracına izin verilmemesidir. İhracına izin
verilmeyen yazılımlar, Amerikan güvenlik kurumlarının çözmekte
zorlanacakları şifreleri üretme kapasitesine sahip olan yazılımlardır (Tamm,
Yılmaz, 2006). Bununla birlikte, yazılımların ihracının sınırlandmlması
diğer ürünlerdeki gibi kolayolmamaktadır. İnternet ve diğer enformasyon /
iletişim teknolojileri, yazılımların bir noktadan başka bir noktaya kolayca
iletilmesini mümkün kılmaktadır.
ABD bağlamında önem taşıyan bir başka sorun, eyaletler arasındaki
kanun farklılıklarıdır. Örnek olarak, bir eyalette kanunen suç olan bir eylem,
başka bir eyalette suç olarak değerlendirilmeyebilmektedir. İnternet küresel
bir sistemi ifade etmekte, bu sistem çoğu kez farklı eyaletlerdeki, hatta farklı
ülkelerdeki iletişim alt yapılarına dayanmaktadır. Dolayısıyla ABD'de A
eyaletinde yaşayan bir kişi, örnek olarak, kendi eyaletinde pornografik
materyal olarak değerlendirilmeyen bir ürünü (kitap, film, vb.) daha sıkı
toplumsal standartların ve yasal kurallann bulunduğu B eyaletinde yaşayan
başka bir kişiye gönderdiğinde. A eyaletindeki yasalara göre suç işlememiş ,
B eyalet indeki yasalara göre ise suç işlemiş olacaktır. Bu örnek, daha farklı
şekillerde de geliştirilebilir. Örnek olarak, benzer yasaları olan A ve C
eyaletleri arasındaki bir iletişim, farklı kurallara sahip B eyaletindeki
bağlantılar üzerinden gerçekleştirilebilir. Bu durumda, suçun işlenip
işlenmediği sorusunun yanıtlanması daha karmaşık bir hal almaktadır. İlk
durumda, ABD mahkemeleri suçun i şlendiğine yönelik kararlar vermiştir.
İkinci durum ise söz konusu mahkemelere henüz intikal etmemiştir (Leiss,
2006) .
3.4 İncelenen Farklı Hukuki Bakış Açılarımn Genci
Değerlendirmesi
Ülkelerin kriptoloji uygulamalanna bakış açıları, bu ülkelerdeki
sosyoekonomik gelişmişlik düzeyi ile y akından ilgilidir. Gelişmiş ülkeler,
Yiicel Yı lmaz - Kriptoloji Uygulamalarında HI/kı/k i Boyut 145
kriptoloji uygulamalanna gelişmekte olan ülkele re göre daha liberal şekilde
yaklaşmaktadır. Bu bağlamda, kriptoloji uygulamalarına en özgürlükçü bakış
açı lan Avrupa ülke lerinde bulunmaktadır. Bununla birlikte. Fransa
örneğinde olduğu gibi, yakın tarihe kadar bazı Bau ülkelerinde de kriptoloji
uygu lamalannda ciddi sırıırlamalar söz konusu o lmuştur.
ABD ve Japonya. Avrupa ülkelerine göre farklı hukuki yaklaşımlarla
kriptoloji uygulamalarını ele almaktadır. ABD şifrelemeye izin vermekle .
birlikte. öncelikle ulusal çıkarlarını gözetrnckte, ulusal güvenlik kurumlan
tarafından çözülemeyecek şifreleri oluşturan krip toloji yazılımlarının
ihracına izin vermemektedir. Japonya ise gelecekte elektronik paranın
kullanım alarıını genişletmeyi hedeflcmekte, kağıt paranın kullanım alanını
ise azaltmayı öngörmektedir. Dolayısıyla Japonya'daki hukuki
düzenlemeler, diğer ülkelerden farklı olarak, elektronik paranın kullanımıyla
ilgili konularda yoğun l aşmaktadı r.
4. SONUÇ
Kripto loji , e-ticaretin gittikçe anan hacmine paralel olarak, her geçen
gün daha fazla önem kazanmaktadır. Ülkeler kanunlarında, özel likle son
zamanlarda, kriptoloji uygulamalarıyla ilgili hükümlere geniş yer
vermektedir. Kriptoloj i uygulamalannın yaygınlaşmasında ve güvenli
şekilde yürütü lmesinde. hukuki boyut en az teknik boyut kadar önemli bir
alan teşkil etmektedir. Elektro nik imza, şifreleme, sertifika merkezleri gibi
kon ular hakkında, gittikçe daha kapsamlı kanunlar yürürlüğe girmekte, bu
kanunlar arasında önemli farklılıklar söz konusu olabilmektedir. İ nrerneti n
küresel yapısı ve ülkelerin yerel geçerliliği olan kanunlar arasında (önceki
bölümlerde belirtil en ABD örneğinde olduğu gibi) önemli sorunlar
yaşanab i l ınektedir.
Avrupa ülkelerinde kriptoloji uygulamalan bağlamında etkin olan
liberal bakış açısı, Asya ülkelerinin çoğunda söz konusu değildir. Bu liberal
bakış açı sı . ABD 'de ise sınırlandırılmış şekilde mevcuttur. Ulusal güvenlik
kon usuna birinci öncelik veren ABD' nin bu tutumu, şifreleme yazılı nılannın
146 MVHF - HAD, C.H Sy.1-2
ihracım engellernede bazı durumlarda yeterli olmamaktadır çünkü yazılımlar
elektronik ortamlar üzerinden farklı noktalara kolayca iletilebilmektedir.
Japonya ise kripıoloji uygulamaları konusunda hem hukuki boyut hem de
teknik boyut bağlamında kapsamlı çalışmalar gerçekleştirmektedir. Japonya
bu uygulamalarıyla kriptoloji alanında dünya çapında en önde gelen ülkeler
arasında yer almaktadır. Ülkemiz ise 2004 senesinde Elektronik İmza
Kanunu'nu yasalaştırarakoldukça önemli bir adım atmıştır. Bununla birlikte,
kripto1oji uygu lamalannda temel roloynayan aktörlerden olan sertifika
sağlayıcılannın durumlanyla ilgili daha kapsamlı düzenlemelere ihtiyaç
olduğu değerlendirilmektedir.
Kaynakça
Alman İmza Kanunu,
URL:
http://www.e-imza.gen.tr/index. php?Page=Mevzuat&HukukiAltYapiN0=26,
Erişim: 01.10 .2006 .
Elektronik İmza Kanunu,
URL: http://www.hukuki.net/kanun/5070.15 .text.asp,
Erişim: 01.10.2006.
Elektronik Ticaret Teknik Çalışma Grubu, Değerlendirme Raporu
bup.z/www.e-ticaret.gov.rr/,
Erişim:01.10.2006.
Garlinkel, S. (2002). Web Seeurity, Privacy, and Commerce, Second
Edition, O'Reilly and Associates, Sebastopol.
Leiss, E.L. (2006). Internet Crime, Akpınar, H. ve Knöll, H.D. (ed.): Dijital
Dünyada Suç ve Güvenlik, 41-58, İstanbuL.
147Yiieel Yılmaz - Kriptolaji Uygulamalarında Hukuki Boyut
Schumacher, S. (2005). Einführung in kryptographische Methoden,
URL: http.z/cryptomanccr.arh.cx/-stefan/21c3/21c3-kryptograhie-paper.pdf,
Abruf am: 08.11.2006.
Schncier, B. (1996). Angewandıe Kryptographie, Addison-Wesley, Bonn.
Tamm, U., Yılmaz, Y. (2006). Sicherheitsaspekte im E-Commerce und E
Government, Akpmar, H. ve Knöll, H.D. (ed.) : Dijital Dünyada Suç ve
Güvenlik, 59-76, İstanbuL.
Wobst, R. (1997). Abenteuer Kryptologie: Methoden, Risiken und Nutzen
der Datenverschlüsselung, Addison Wesley, Bonn.
Young, L.W., Johnston, R.B. (2003). The role of Internet in business-to
business network transformations: a novel case and theoretical analysis,
Information Systems and e-Business Management, 73-91, Vol. i, Issue 1.