Kamu SM®, Elektronik Sertifika Hizmetleri ve E-imza Çözümleri

Kamu SM Zaman Damgası Uygulama Esasları Bilgi Deposu > Bilgi Deposu | Formlar | Yönergeler | Belgeler | Mevzuat

1. Giriş

2. Genel Hükümler

3. İşlemsel Gerekler

4. Yönetim, İşlemsel ve Fiziksel Kontroller

5. Teknik Güvenlik Kontrolleri

7.1. Ücretlendirme

8. Referanslar

1. Giriş

Bu doküman, Türkiye Bilimsel ve Teknik Araştırma Kurumu’na (TÜBİTAK) bağlı Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) Müdürlüğü tarafından oluşturulan Kamu Sertifikasyon Merkezi’nin (KSM) zaman damgası hizmetinin işleyişi sırasında uyguladığı esasları tanımlayan Zaman Damgası Uygulama Esasları (ZDUE) dokümanıdır.

KSM, 15 Ocak 2004 tarih ve 5070 sayılı Elektronik İmza Kanunu, 2004/21 sayılı Başbakanlık Genelgesi, Telekomünikasyon Kurumu'nun yayımladığı Elektronik İmza Kanunu'nun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ'de tanımlandığı şekliyle Elektronik Sertifika Hizmet Sağlayıcısı (ESHS) işlevlerini yerine getirir. KSM yapısı içinde kullanıcılara güvenilir zaman kaynağı olarak hizmet veren Zaman Damgası Hizmeti (ZDH) mevcuttur. ZDH KSM yapısı içindeki Kök SHS tarafından imzalanmış bir elektronik sertifikaya sahiptir.

Bu doküman 15 Ocak 2004 tarih ve 5070 sayılı Elektronik İmza Kanunu, Telekomünikasyon Kurumu'nun yayımladığı Elektronik İmza Kanunu'nun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ esas alınarak hazırlanmıştır.

1.1. Genel Bakış

Elektronik imzaya eklenen güvenilir zaman damgası değeri elektronik imzanın zaman damgası içinde belirtilen zamandan önce üretilmiş olduğunu kanıtlar.

Elektronik imzalı veriye eklenen zaman damgası elektronik imzanın belirli bir tarihten önce oluşturulduğunu ispatlayarak inkar edilmezlik özelliğini güçlendirir. Zaman damgası söz konusu elektronik imzanın damga içinde belirtilen tarihten önce yaratılmış olduğunu kanıtlar.

Zaman damgası, ZDH'nin imzasını içerir ve böylece zaman bilgisinin bütünlüğü korunur. Zaman damgası, tarih ve zaman bilgisi, damgalanacak verinin özeti ve bunların ZDH tarafından oluşturulmuş imzasını içerir.

KSM bünyesindeki zaman damgası hizmetleri bu dokümanda tanımlanan uygulama esasları uyarınca çalışır. Bu ZDUE dokümanı ZDİ dokümanında belirtilen ilkelere uygun olarak hazırlanmıştır. Bu doküman ZDH'nin ve sistem bileşenlerinin tanımlı çalışma ilkeleri doğrultusunda işleyişlerini nasıl yürüttüklerini anlatır.

Zaman damgası hizmeti verilirken, ZDİ dokümanı "ne" yapılacağını tanımlarken, ZDUE dokümanı bunun "nasıl" yapılacağını tanımlar.

Bu ZDUE dokümanı, "Zaman Damgası Otoriteleri İçin Politika Gerekleri" [RFC 3628], "Uzun Süreli Elektronik İmzalar için İmza Biçimi" [RFC 3126], "X.509 Açık Anahtar Altyapısı Zaman Damgası Protokolü" [RFC 3161], "Elektronik İmzalar ve Elektronik İmza Altyapıları: Zaman Damgası Otoriteleri için Politika Gerekleri" [ETSI TS 102 023], Kamu Sertifikasyon Merkezi Sertifika İlkeleri ve Kamu Sertifikasyon Merkezi Sertifika Uygulama Esasları dokümanları referans alınarak hazırlanmıştır.

1.2. Doküman Tanımı

Doküman Adı: KSM Zaman Damgası Uygulama Esasları

Doküman Sürüm Numarası: 3

Yayın Tarihi: 12 Ağustos 2005

1.3. Sistem Bileşenleri 1.3.1. Zaman Damgası Hizmeti

Zaman damgası üreten, kullanıcılar tarafından zaman bilgisi kaynağı olarak güvenilen sistem bileşeni zaman damgası hizmeti olarak isimlendirilir.

Zaman damgası hizmeti tekil bir şekilde isimlendirilmelidir.

KSM bünyesinde kurulu ZDH, KSM Kök SHS tarafından imzalanmış bir elektronik sertifikaya sahiptir.

Bu dokümanda anlatılan zaman damgası hizmeti Kamu Sertifikasyon Merkezi Zaman Damgası Hizmeti olarak isimlendirilmiştir.

1.3.2. Son Kulanıcılar

Zaman Damgası İstemcisi

ZDH'ye bağlanarak herhangi bir veri için zaman damgası isteminde bulunan sistem bileşenidir. . Zaman damgası istemcisi gerçek bir kişi olabileceği gibi tüzel kişi de olabilir.

Üçüncü Kişiler

ZDH tarafından yaratılmış bir zaman damgası andacının doğruluğuna güvenerek işlem yapan gerçek veya tüzel kişilerdir.

1.4. Uygulama Esaslarının Yönetimi 1.4.1. Doküman Değişim Yönetimi

ZDUE dokümanı KSM tarafından yazılmıştır. KSM gerekli gördüğü durumlarda ZDUE dokümanında değişiklik yapabilir.

1.4.2. İletişim Bilgileri

Bu ZDUE dokümanının uygulanması ve ilgili yönetim politikaları hakkındaki sorular TÜBİTAK UEKAE'nin aşağıdaki erişim noktalarına yönlendirilebilir:

Adres : TÜBİTAK UEKAE, PK. 74, 41470 Gebze-KOCAELİ

Tel. : (262) 648 18 18

Faks : (262) 648 18 00

E Posta :

URL : http://www.kamusm.gov.tr

1.4.3. Yayın ve Duyuru Politikaları

KSM, ZDUE dokümanını herkesin erişimine açık bulunan aşağıdaki internet adresinden yayımlar:

http://www.kamusm.gov.tr/BilgiDeposu/KSM_ZDUE

1.4.4. Zaman Damgası Uygulama Esasları Onay Prosedürleri

Bu ZDUE dokümanının ZDİ dokümanına uygunluğu, KSM tarafından onaylanır.

1.5. Tanımlar ve Kısaltmalar 1.5.1. Tanımlar

Kamu Sertifikasyon Merkezi Sertifika İlkeleri dokümanında bulunan tanımlara ek olarak,

Koordine edilmiş evrensel zaman (Coordinated Universal Time (UTC)): ITU-R Recommendation TF.460-5'ye göre tanımlanmış saniye düzeyinde belirlilik sağlayan zaman birimi.

Zaman damgası: Bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve/veya kaydedildiği zamanın tespit edilmesi amacıyla, ESHS tarafından elektronik imzayla doğrulanan kayıt.

Zaman damgası andacı: Bir veri parçasının belirli bir zamandan önce oluşturulduğunu kanıtlamak amacıyla veri parçasına zaman değeri bağlayan bilgi.

Zaman damgası hizmeti: Güvenilir zaman damgası oluşturan hizmet servisi.

Zaman damgası ilkeleri: Zaman damgası hizmetinin oluşturduğu zaman damgası andacının kullanılabilirliğini tanımlayan, zaman damgası isteğinde bulunma, zaman damgası oluşturma ve zaman damgası doğrulama işlemleri sırasında uyulması gereken çalışma ilkelerini anlatan doküman.

Zaman damgası uygulama esasları: Zaman damgası hizmetinin zaman damgası oluştururken uyguladığı çalışma yöntemlerini anlatan doküman.

1.5.2. Kısaltmalar

Kamu Sertifikasyon Merkezi Sertifika İlkeleri dokümanında bulunan kısaltmalara ek olarak,

UTC: Koordine edilmiş evrensel zaman (Coordinated Universal Time)

ZDH: Zaman damgası hizmeti

ZDİ: Zaman Damgası İlkeleri

ZDUE: Zaman Damgası Uygulama Esasları

2. Genel Hükümler 2.1. Yükümlülükler 2.1.1 KSM'nin Yükümlülükleri

ZDİ dokümanında anlatılanlara ek olarak,

Zaman andaçları içine güvenilir zaman bilgisi eklemekle,
Her zaman andacı içine tekil bir tanımlayıcı sayı eklemekle,
Zaman damgası istemcisinden uygun bir zaman damgası isteği aldığında zaman damgası üretmekle,
Zaman damgası andacı içine ilgili zaman damgası politikasının tanımlayıcı ismini eklemekle,
Damgalanacak verinin özet değeri için zaman damgası üretmekle,
Zaman damgası istemcisinden damgalanacak verinin kendisini istememekle,
Özet değeri uzunluğunun tanımlı özet algoritmasının özet uzunluğuyla aynı olup olmadığını denetlemekle,
Zaman damgası andacı içine zaman damgası isteyen istek sahibinin kimliğiyle ilgili bilgiler eklememekle,
Zaman damgası andaçları oluştururken yalnızca zaman damgası oluşturma amacıyla üretilmiş anahtarlar kullanmakla,
Zaman damgası imza doğrulama verisini içeren sertifikaya sertifikanın kullanım amacını eklemekle yükümlüdür.

Zaman Damgası İstemcisi Yükümlülükleri

ZDİ dokümanında anlatılanlara ek olarak zaman damgasının doğruluğunu denetlerken

Zaman damgası andacının istediği veri için üretilip üretilmediğini,
Zaman damgası andacı üzerindeki imzanın doğruluğunu,
ZDH'nin sertifikasının geçerliliğini,

denetlemekle yükümlüdür.

2.1.3. Üçüncü Kişi Yükümlülükleri

Üçüncü kişiler bir zaman damgasının geçerliliğini doğrularken aşağıdaki denetimleri yapmakla yükümlüdür:

ZDH'nin zaman damgası andacı üzerindeki imzasının geçerli olduğunun denetimi,
ZDH'nin imza oluşturma verisinin geçerliliğinin denetimi,
Kullanıcı sözleşmesi, ilkeler ve uygulama esasları dokümanlarında tanımlı zaman damgası kullanımı üzerindeki kısıtlamaların denetimi.

2.2. Sorumluluklar 2.2.1 KSM'nin Sorumlulukları

KSM zaman damgası hizmetiyle ilgili olarak, 15 Ocak 2004 tarih ve 5070 sayılı Elektronik İmza Kanunu, Telekomünikasyon Kurumu'nun yayımladığı Elektronik İmza Kanunu'nun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ'de belirtilen şartları yerine getirmekten sorumludur.

2.2.2. Zaman Damgası İstemcisi Sorumlulukları

Zaman damgası istemcisi zaman damgalarını uygun geçerlilik denetimlerini yapmadan kullandığı takdirde doğabilecek zararlardan sorumludur.

2.2.3. Üçüncü Kişi Sorumlulukları

Üçüncü kişiler zaman damgalarını uygun geçerlilik denetimlerini yapmadan kullandığı takdirde doğabilecek zararlardan sorumludur.

3. İşlemsel Gerekler

Zaman damgası yönetimi aşağıdaki süreçlerden oluşmaktadır:

Kurumsal zaman damgası anlaşmasının yapılması
Zaman damgası isteme
Zaman damgası isteğinin işlenmesi
Zaman damgasının gönderilmesi

3.1. Zaman Damgası

ZDH RFC 3161'de tanımlı zaman damgası protokolünü destekler.

ZDH verdiği zaman damgalarını imzalamak için SHA-1 özet algoritması ile RSA açık anahtarlı imzalama algoritmasını kullanır. Bu algoritmalar Kamu Sertifikasyon Merkezi Sertifika Uygulama Esasları'nda belirtilen ESHS'lerin kullandığı algoritmalardır.

3.1.1. Zaman Damgası Andacı

KSM zaman damgası andaçlarının güvenli şekilde oluşturulmasını ve doğru zamanı içermesini sağlayacak tedbirleri alır.

Zaman damgası andacı, damgalanan verinin özet değerini içerir. Özet değeri zaman damgası istemcisi tarafından ZDH'ye ulaştırılır.

ZDH zaman damgası eklenecek verinin kendisini istemciden talep etmez.

Zaman damgası andacı yalnızca zaman damgası imzalama amacıyla yaratılmış bir imza oluşturma verisi kullanılarak imzalanır. Zaman damgası imzalama verisi başka işlemler için kullanılmaz.

Zaman damgası andacı Kamu Sertifikasyon Merkezi Zaman Damgası İlkeleri tanımlayıcı numarasını içerir.

Her zaman damgasında zaman damgasına özel, tanımlayıcı bir numara bulunur.

Zaman damgası içindeki zaman bilgisi UTC ile uyumludur.

ZDH'nin kullandığı zaman değerleri UTC zamanına bu ZDUE dokümanında tanımlanan kesinlik derecesinde uyumludur.

Eğer ZDH bünyesindeki zaman kaynağının UTC ile uyumsuzluğu fark edilirse ZDH zaman damgası oluşturmaz.

Zaman damgası andacı ZDH'nin kurulduğu ülke bilgisini içerir.

Zaman damgası andacı ZDH tanımlama bilgisini (ismini) içerir.

3.1.2. UTC ile Zaman Birliği Sağlanması

ZDH zaman bilgisini güvenilir bir kaynak olan TÜBİTAK UME (Ulusal Metroloji Enstitüsü) atomik saatinden alır.

ZDH'nin zamanı UTC zamanına 1 (bir) saniyeyi aşmayacak kesinlikte uyar. ZDH bu kesinliği sağlayacak şekilde düzenli olarak ayarlamalar ve denetimler yapar. Saldırılar sisteme izinsiz erişim, radyo ve elektrik şoklarını içerir.

ZDH saatinin izinsiz değiştirilmesini engellemek için her türlü tedbiri alır.

ZDH saatinin UTC zamanından belirtilen kesinlik düzeyinden fazla sapması durumunun uygun zamanda fark edilmesi, alarm üretilmesi ve düzeltilmesi için gerekli tedbirleri alır. Herhangi bir uygunsuzluk durumunda ilgili bileşenler bilgilendirilir.

3.2. Kurumsal Zaman Damgası Başvurusu

KSM zaman damgası hizmetinden faydalanmak isteyen kurumların başvurusunu kurumsal olarak alır. Yapılan Zaman Damgası İstemci Anlaşması ile kurumlara zaman damgası hizmetinin hangi sürelerde ve ne şartlar altında sağlanacağı belirlenir. Zaman Damgası İstemci Anlaşması ile kurumlara anlaşmada belirtilen sayıda zaman damgası alma hakkı (kontör) tanınır. Bu hizmet için zaman kısıtlaması uygulanabilir. Anlaşmada kuruma tanınan kontör için talep edilen ücret belirtilir.

Anlaşma sonrasında kurumlara, zaman damgası isteği sırasında kullanacakları yazılım ve kimlik doğrulama değişkenleri ulaştırılır.

Zaman damgası almak için başvuru yapmış olan kurumlar Zaman Damgası İstemci Anlaşması'nda belirtilen süre boyunca ve şartlar altında KSM'den zaman damgası alırlar.

3.3. Zaman Damgası İsteme

ZDH, zaman damgası hizmetinden faydalanmak için Zaman Damgası İstemci Anlaşması imzalamış kurumlardan zaman damgası isteklerini RFC 3161'de tanımlı zaman damgası protokolü yoluyla alır. İstemci, zaman damgası isteğini ZDH tarafından kendisine ulaştırılan yazılımı kullanarak yapar.

Zaman damgası istenmesi sırasında istemci kimliğini doğrular.

Kimlik doğrulamada kullanıcı adı ve parola kullanılır.

3.4. Zaman Damgası İsteğinin İşlenmesi

ZDH tarafından, kurumdan gelen zaman damgası isteminin uygun olup olmadığının denetimleri yapılır.

Bu denetimler şunlardır:

Kullanıcı adı ve parolanın doğruluğu kontrol edilir.
İstemcinin zaman damgası alabilmek için yeterli kontörünün olup olmadığına bakılır.
Anlaşma şartlarının koyduğu (zaman kısıtlamaları gibi) diğer kısıtlamalar kontrol edilir.

Denetimler, istemin anlaşma şartları içinde olup olmadığını anlama amaçlıdır. İstem anlaşma şartları uyarınca uygunsa, zaman damgası üretilir.

3.5. Zaman Damgasının Gönderilmesi

ZDH, zaman damgası hizmetinden faydalanmak için anlaşma yapmış kurumlardan gelen zaman damgası isteklerini işledikten sonra, oluşturulan zaman damgasını RFC 3161'de tanımlı zaman damgası protokolü yoluyla istemciye gönderir.

İstemci, ZDH tarafından ulaştırılan yazılımı kullanarak zaman damgasını alır.

Gönderilen her zaman damgası anlaşma koşulları uyarınca ücretlendirilir. Ücretlendirme kuruma tanınan kontörün azaltılmasıyla yapılır.

3.6. Zaman Damgasının Uzun Süreli Geçerliliği

Zaman damgalarının, ZDH'nin zaman damgası imzalamak için kullandığı imzalama anahtar çiftinin kullanım süresinin dolmasından sonra da geçerliliğini koruyabilmesi gerekmektedir. Bunu sağlayabilmek için, ZDH zaman damgaları imzalamakta kullandığı imza oluşturma verisi hakkındaki iptal bilgisini (kullanım süresi dolmasına rağmen imzalama verisinin gizliliğinin kaybolmadığı bilgisi), imzalama anahtar çiftinin kullanım süresini dolmasının ardından da yayınlamaya devam eder.

4. Yönetim, İşlemsel ve Fiziksel Kontroller

KSM zaman damgası hizmetinin verildiği servisler, Kamu Sertifikasyon Merkezi Sertifika Uygulama Esasları'nda belirtilen güvenlik, yönetimsel, işlemsel ve fiziksel şartlarını sağlar. Fiziksel güvenlik kontrolleri, prosedürsel kontroller, personel güvenlik kontrolleri Kamu Sertifikasyon Merkezi Uygulama Esasları'nda belirtilen ESHS ile aynıdır.

4.1. Denetim Kayıtları

KSM zaman damgası hizmetinin işleyişi sırasında gerçekleştirilen ve denetimi yapılmak istenen işlerin kayıtlarını tutar. KSM zaman damgası hizmetinin işleyişi ile ilgili her türlü gerekli bilgiyi Kamu Sertifikasyon Merkezi Zaman Damgası Uygulama Esasları'nda belirtilen süre boyunca saklar. Bu kayıtların temel amacı olası anlaşmazlıklar durumunda hukuksal delil oluşturmaktır.

Kayıtlarda kayıt zamanı ve kaydın oluşmasına sebep olan varlığın ismi bulunur.

4.1.1. Kaydedilen İşlemler

Şu işlemler kaydedilir:

Zaman ayarlamaları
ZDH saatinin sıradan ayarlamaları
ZDH saatinin sıra dışı ayarlamaları
Zaman ayarının kaybolmasıyla ilgili uyarılar, alarmlar
ZDH sertifikalarının yaşam döngüsüyle ilgili işlemler
Sertifika başvurusu
Sertifikanın kullanıma alınması
Sertifika yenileme
Sertifika güncelleme
Sertifika iptal başvurusu
ZDH anahtarlarının yaşam döngüsüyle ilgili işlemler

Anahtar üretimi
Anahtar yedekleme
Anahtar dağıtımı
Anahtar saklama
Anahtar arşivleme
Anahtar yok etme

Kriptografik modül yaşam döngüsü işlemleri
Güvenlikle ilgili diğer işlemler
Sisteme erişim denemeleri (başarılı-başarısız)
Çalışanlar tarafından gerçekleştirilen güvenlik sistemi işlemleri
Güvenli tutulması gereken hassas dosyaların okunması, yazılması ve değiştirilmesi
Güvenlik profili değişiklikleri
Sistemin çökmesi, donanım hataları ve diğer bozukluklar
Güvenlik duvarı (firewall) ve yönlendirici (router) işlemleri
KSM'ye ziyaretçi giriş ve çıkışı

Bunların dışında zaman damgası ile ilgili olarak şunların kayıtları tutulur:

Zaman Damgası İstemci Anlaşmaları
Oluşturulan ve gönderilen zaman damgaları
Sisteme tanımlı kullanıcılardan gelen başarısız zaman damgası istekleri

Sisteme tanımlı olmayan varlıklardan gelen başarısız zaman damgası istekleri kaydedilmez.

4.1.2. Kayıtların İncelenme Sıklığı

Tutulan kayıtlar düzgün zaman aralıklarıyla incelenir. İncelemeler güvenlik açıklarını uygun sürede yakalayabilecek sıklıkta yapılır. Denetimler sırasında gerekli görüldüğü takdirde bu kayıtlar görevliler tarafından incelenir. Kayıtlar, hukuksal anlaşmazlıklara çözüm oluşturmak amacıyla gerekli görüldüğünde yetkili makamlarca incelenir.

4.1.3. Kayıtların Saklanma Süresi

Kayıtlar izinsiz izlenmeyi, değiştirmeyi ve silinmeyi engelleyecek şekilde elektronik ve fiziksel olarak güvenli tutulur. KSM zaman damgası hizmeti ile ilgili işlemlerin kayıtlarının bütünlüğünü ve gizliliğini korur. Zaman damgası sistemi kullanıcıları hakkındaki özel bilgiler gizliliği sağlanarak korunur.

Elektronik olarak saklanan ve sistemin işleyişi açısından kritik olan kayıtlar işlemi yapan personel tarafından elektronik imza ile imzalanarak saklanır. Böylece kritik kayıtlarda oluşabilecek her değişiklik sistem tarafından fark edilir.

Kritik bilgiler gerektiğinde şifreli olarak saklanır.

Yetkisi olmayan kişiler elektronik kayıtların bulunduğu ortamlara erişemezler.

Kağıt üzerindeki kayıtlar sadece yetkililerin girme izni bulunan kilitli odalarda bulunurlar.

4.1.4. Kayıtların Korunması

4.1.5. Kayıtların Yedeklenmesi

Sistemin işleyişi ile ilgili elektronik kayıtlar en azından her gün, sistemin yoğun olarak kullanılmadığı bir saatte yedeklenir. Herhangi bir arıza durumunda sistemin son durumuna dönebilmek için alınan en son kayıt yedekleri sisteme yüklenir.

4.1.6. Kayıtların Toplanması

Kayıtlar elektronik olarak veya kağıt ortamda toplanır.

4.2. Kayıt Arşivleme

Tutulan kayıtlar Kamu Sertifikasyon Merkezi Sertifika Uygulama Esasları'nda belirtilen şekilde arşivlenir.

5. Teknik Güvenlik Kontrolleri

Zaman damgası hizmeti veren sisteme uygulanan teknik güvenlik kontrolleri Kamu Sertifikasyon Merkezi Sertifika İlkeleri dokümanında belirtilen güvenlik şartlarını sağlar ve Kamu Sertifikasyon Merkezi Sertifika Uygulama Esasları dokümanı temel alınarak oluşturulmuştur.

5.1. ZDH Anahtar Çifti Üretimi ve Kurulumu

ZDH'ye ait imzalama anahtar çifti Kamu Sertifikasyon Merkezi Sertifika İlkeleri dokümanında belirtilen güvenlik şartlarını sağlayacak şekilde ve Kamu Sertifikasyon Merkezi Sertifika Uygulama Esasları dokümanı temel alınarak oluşturulur.

5.1.1. ZDH Anahtar Çifti Üretimi

ZDH'ye ait anahtar çiftleri (imza oluşturma ve doğrulama verileri) oluşturulurken aşağıdaki şartlara uyulur:

Anahtar çiftleri yetkisi olmayan personelin giremeyeceği gizli odada oluşturulur.
Anahtar çiftleri ağ ortamına kapalı ortamlarda, yasayla belirli güvenlik seviyelerini sağlayan yazılım veya donanım aracı içinde üretilir.
Anahtar çiftlerinden imza oluşturma verisi güvenli kriptografik donanım aracı içinde saklanır ve bu ortamdan yedekleme amacı dışında dışarıya çıkarılmaz.
Üretilen anahtar çiftinin gerekli güvenlik şartlarını sağlaması için uygun üretim ve test yöntemleri kullanılır.
Üretilen anahtar çifti yasayla belirlenen ve KSM'nin kullandığı en kısa anahtar boylarına ve algoritma şartlarına uyar.

5.1.2. ZDH Sertifikalarına Erişim Sağlanması

ZDH'ye ait sertifikalar internet ortamında ilgili tarafların erişimine hazır bulundurulur. Ayrıca, sertifikaların özet değeri ve özet algoritması internet üzerinden yayımlanır. Üçüncü kişilar sertifika özet değerini yayımlanan özet değeriyle kıyaslayarak sertifikanın güvenilirliğine karar verirler.

5.1.3. ZDH Anahtar Uzunlukları

ZDH'nin zaman damgası andaçlarını imzalamak amacıyla kullandığı anahtar çiftlerinin uzunluğu en az 5 (beş) yıl boyunca güvenliği sağlayacak şekilde belirlenir. Belirlenen anahtar uzunluğu Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ'de belirtilen şartları sağlar.

ZDH'nin zaman damgası andaçları oluşturmak için kullandığı RSA imza oluşturma anahtarının boyu 2048-bittir.

5.1.4. ZDH Anahtar Kullanım Amaçları

ZDH imza oluşturma verisi güvenilir zaman damgası oluşturmak amacıyla, ilgili imza doğrulama verisi ise zaman damgasının doğruluğunu denetleme amacıyla kullanılır.

5.2. ZDH İmza Oluşturma Verisinin Korunması 5.2.1. Kriptografik Modül Standartları

ZDH'ye ait imza oluşturma verisinin üretildiği veya saklandığı kriptografik modül Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ'de belirtilen güvenlik standartlarını sağlar.

Kriptografik modül aşağıda belirlenen güvenlik işlevlerine sahiptir:

Modüle erişim yetkisi birden fazla kişinin kontrolünde olacak şekilde tanımlanabilir.
Modüle izinsiz erişim ve kullanım ile tahrifata yol açabilecek her türlü tehlikeye karşı fiziksel önlem alınmıştır.
Modüle yetkisiz erişime teşebbüs edilmesi durumunda içerideki veri silinir.

5.2.2. ZDH İmza Oluşturma Verisine Erişim Denetimi

ZDH'nin imza oluşturma verisine erişim birden fazla yetkili çalışanın ortak denetimi altındadır. İmza oluşturma verisi işlemleri için yeterli sayıda yetkili personelin hazır bulunması ve elektronik olarak kimliklerinin ve yetkilerinin doğrulanması gerekir.

5.2.3. ZDH İmza Oluşturma Verisinin Saklanması

ZDH'ye ait imza oluşturma verileri yetkisiz kişilerin erişimine kapalı, fiziksel ve elektronik olarak güvenli kriptografik modül içinde şifreli olarak tutulur. İmza oluşturma verisinin kriptografik modül dışına çıkması engellenir.

5.2.4. ZDH İmza Oluşturma Verisinin Yedeklenmesi

ZDH'ye ait imza oluşturma verileri yetkisiz kişilerin erişimine kapalı, fiziksel ve elektronik olarak güvenli kriptografik donanım cihazı içinde yedeklenir. İmza oluşturma verisinin yedeklenmesi işlemi birden fazla yetkili çalışanın ortak denetimi altındadır.

5.2.5. ZDH İmza Oluşturma Verisinin Arşivlenmesi

ZDH'ye ait imza oluşturma verileri arşivlenmez. Kullanım süreleri sonunda geri dönüşsüz şekilde silinir.

5.2.6. ZDH İmza Oluşturma Verisinin Kriptografik Modüle Yüklenmesi

İmza oluşturma verisi güvenlik gereklerine uygun biçimde kriptografik modül dışında üretilebilir. Ancak imza oluşturma verisinin kriptografik modül içinde saklanması zorunludur. Kriptografik modül dışında üretilen imza oluşturma verisi yetkili birden fazla personelin denetiminde modüle yüklenir.

5.2.7. ZDH İmza Oluşturma Verisine Erişim

ZDH'ye ait imza oluşturma verisi güvenli algoritma ve yöntemlerle şifreli olarak güvenli kriptografik modül içinde saklanır. İmza oluşturma verisinin erişime açılması ve kullanılır duruma getirilmesi yetkili birden fazla çalışanın ortak denetimi altındadır.

5.2.8. ZDH İmza Oluşturma Verisine Erişimin Kesilmesi

ZDH'ye ait imza oluşturma verisi imzalama için kullanıldıktan sonra erişime yeniden açılıncaya kadar erişime kapalı tutulur.

5.2.9. ZDH İmza Oluşturma Verisinin Yok Edilmesi

ZDH'ye ait imza oluşturma verisi kullanım süresinin dolmasının ardından, bulunduğu sistemden uygun yöntemlerle geri dönüşsüz şekilde silinir. İmza oluşturma verisinin silinmesi birden fazla yetkili çalışanın ortak denetimi altındadır.

5.3. ZDH Anahtar Çifti Yönetimiyle İlgili Diğer Konular 5.3.1. ZDH İmza Doğrulama Verisinin Arşivlenmesi

ZDH'ye ait imza doğrulama verilerinin içinde bulunduğu sertifikalar yasa ve ilgili yönetmelikte belirtilen süre boyunca arşivlenir. Arşivde bulunduğu süre boyunca sertifikaların bütünlüğünün sağlanması için gereken her türlü önlem alınır.

5.3.2. ZDH İmza Oluşturma ve Doğrulama Verilerinin Kullanım Süreleri

ZDH'ye ait imza oluşturma ve doğrulama anahtar çiftinin kullanım süresi ilgili yönetmelikte belirtilen sürelere uyar ve KSM tarafından gerekli güvenliği sağlayacak şekilde seçilir.

5.3.3. ZDH İmza Oluşturma ve Doğrulama Verilerinin Yenilenmesi

ZDH'nin sertifikasının kullanım süresi anahtar çiftinin güvenli kullanım süresinden uzun olamaz.

ZDH zaman damgası imzalama anahtar çiftini kullanım süresi dolmadan yenileriyle değiştirecek önlemleri alır.

ZDH kullanım süresi dolduğunda zaman damgası imzalamak için kullanılan imza oluşturma verilerinin geri dönüşsüz şekilde silindiğinden emin olur.

5.4. Erişim Denetim Verileri

Zaman damgası hizmeti ile ilgili erişim denetim verileri Kamu Sertifikasyon Merkezi Sertifika İlkeleri dokümanında tanımlanan erişim denetim verileri güvenlik şartlarını sağlar.

5.5. Bilgisayar Güvenliği Denetimleri

Zaman damgası hizmetine ait bilgisayar sistemlerine Kamu Sertifikasyon Merkezi Sertifika İlkeleri ve Uygulama Esasları dokümanlarında belirtilen güvenlik denetimleri uygulanır.

5.6. Yaşam Döngüsü Güvenlik Denetimleri

Zaman damgası hizmeti ile ilgili sistemlere, yaşam döngüsü boyunca, Kamu Sertifikasyon Merkezi Sertifika İlkeleri ve Uygulama Esasları dokümanlarında belirtilen güvenlik denetimleri uygulanır.

5.7. Ağ Güvenliği Denetimleri

Zaman damgası hizmeti sistemine Kamu Sertifikasyon Merkezi Sertifika İlkeleri ve Uygulama Esasları dokümanlarında belirtilen ağ güvenliği denetimleri uygulanır.

6. Uygunluk Denetimleri

Zaman damgası hizmeti sistemine Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ'de ve Kamu Sertifikasyon Merkezi Sertifika İlkeleri dokümanında belirtilen uygunluk denetimleri uygulanır.

7. Diğer İşler ve Hukuksal Meseleler

Kamu Sertifikasyon Merkezi Sertifika Uygulama Esasları'nda belirtildiği gibidir.

7.1. Ücretlendirme

KSM ürettiği her zaman damgası için zaman damgası istemcisinden ücret talep eder. Ücret bilgisi ve ücretin ödenme şekli zaman damgası istemcisinin istek sırasında kabul etmesi gereken Zaman Damgası İstemci Anlaşması'nda tanımlanır.

Zaman Damgası İstemci Anlaşması ile kurumlara anlaşmada belirtilen sayıda zaman damgası alma hakkı (kontör) tanınır. Bu hizmet için zaman kısıtlaması uygulanabilir. Anlaşmada kuruma tanınan kontör için talep edilen ücret belirtilir. Kuruma gönderilen her zaman damgası için kontör düşürülerek ücretlendirme yapılır. Zaman damgasının ücretlendirilmesi ile ilgili ayrıntılar kurumla yapılan sözleşmelerde belirtilir.

8. Referanslar

[RFC 3126] Electronic Signature Formats for Long Term Electronic Signatures, "Uzun Süreli Elektronik İmzalar için İmza Biçimi"

[RFC 3161] Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP), "X.509 Açık Anahtar Altyapısı Zaman Damgası Protokolü"

[RFC 3628] Policy Requirements for Time-Stamping Authorities (TSAs), "Zaman Damgası Otoriteleri İçin Politika Gerekleri"

[ETSI TS 102 023] Electronic Signatures and Infrastructures (ESI); Policy Requirements for Time-Stamping Authorities, "Zaman Damgası Otoriteleri İçin Politika Gerekleri".

[ETSI TS 101 861] Time Stamping Profile, "Zaman Damgası Profili".