Zaman Damgası Nedir? Neden Gereklidir?
Zaman damgası kavramını bu içeriğimizde detaylıca ele alıyoruz.
Zaman damgası, 5070 sayılı Elektronik İmza Kanunu’nda tanımlandığı üzere; elektronik bir verinin, üretildiği, değiştirildiği, gönderildiği, alındığı veya kaydedildiği zamanın tespit edilmesi amacıyla, hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kayıtların resmi olarak kanıtlanmasıdır.
Zaman damgaları, verinin belirtilen tarihte oluşturulduğu, değiştirildiği veyahut gönderilip alındığını bilgisini doğrulamada kullanılmaktadır. Zaman sunucusu üzerinden açık bir anahtar teknolojisi kullanılarak verinin bütünlüğü veya varlığını onaylanır. Örnek olarak iki kişi arasındaki bir sözleşmeyi ele alalım: Bu sözleşme imzalandığı zaman sözleşme bedelinin transfer edilmesi, başvurunun yapılması, karşı tarafa gönderilme durumu gibi bilgileri tarih ve saati damgalayarak kanıtlayabilirsiniz.
Zaman damgaları günümüz teknoloji dünyasında elektronik verinin doğruluğunu, bütünlüğünü ve değiştirilmediğini kanıtlayabilmek için zaman damgaları geliştirilmiştir. Diğer bir yandan bir çizim, fotoğraf, araştırma, formül, algoritma gibi eserler üretilirken değerleri ve bu değerlerin fikri ve mülkiyet haklarını kanıtlamak ve doğrulamak için de kullanılmaktadır.
Zaman Damgasının Amacı Nedir?
Zaman damgasının asıl amacı veri doğrulamadır. Ancak bunun yanı sıra, internet dünyasında birçok alanda kullanılmaya ve yaygınlaşmaya başlanmıştır. Dijital varlıklarımız çoğaldıkça, markaların, kurumların, belediyelerin ve hatta devletimizin birçok hizmeti bu alanda sunulmaya ve kullanılmaya başlamıştır. Doğal olarak verinin doğruluğunu, bütünlüğünü ve varlığını kanıtlamak için zaman damgalarına ihtiyaç duymaktayız. Özellikle de siber saldırıdan sonra ortaya çıkartılabilecek delillerin ve adli bilişim çalışmalarının daha verimli kullanılabilmesi için de zaman damgaları sıklıkla kullanılır.
Siber suçluların sistemlere erişimlerde kullandıkları yöntemler, sistemlere sızdıklarında elde ettikleri veriler ve işlenen suçun ortaya çıkartılması için log'lama kayıtları hayati önem taşımaktadır.
Bu log kayıtlarının doğruluğunu, bütünlüğünü ve siber suçluların ortaya çıkartılabilmesi için elde edilen delillerin kanıt olarak sunulabilmesi için log kayıtları da zaman damgası ile güvene alınmalıdır.
Ortak Wi-Fi ağlarında da zaman damgaları ile imzalanmış log kayıtlarının tutulması zorunlu hale getirilmiştir. Bir siber suç işlendiği zaman devletin kolluk kuvvetleri işletme sahiplerinden bu zaman damgalı log kayıtlarını talep ederek siber suçluların tespiti için kullanmaktadırlar.
Zaman damgasının olmadığı dönemlerde bir ağa bağlanarak işlenen siber suç o ağın sahibi tarafından işlenmiş olarak kabul ediliyordu. Ancak yapılan düzenlemeler sonrasında suçu işleyen kimselerin cezalandırılması sağlanmış ve 5070 sayılı “Elektronik İmza Kanununu” uyarınca; bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve / veya kaydedildiği zamanın tespit edilmesi maksadıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kaydı, ifade eder.” şeklinde tanımlama yapılarak zaman damgaları zorunlu hale getirilmiştir. Toplu internet kullanımı ile ilgili hükümler içeren 5651 numaralı kanuna göre toplu internet kullandıracak kurum ve mekânların bu damgayı edinmesi mecburi hale getirilmiştir. Bu kanun sayesinde artık siber suçluların ceza alması sağlanarak işletme sahiplerinin de korunması amaçlanmıştır.
Zaman Damgalarının İşleyişi Nasıldır?
Bir şirkette veya açık bir Wi-Fi hizmeti verilen yerlerde her kullanıcının internette gerçekleştirdiği işlemleri kayıt altına almak adına zaman damgası ile kullanıcıların işlemlerini tutularak işlemin gerçekleştirildiği tarihi eklenir ve kayıt altına alınır. Kayıt altına alma işlemleri genel olarak zaman damgası özelliği olan firewall cihazları veya özel log cihazları üzerindeki resmi uygulamalar ile yapılmaktadır. Bu sistemde her veri zaman damgası adı ile kayıt altına alınarak siber güvenlik konusunda önemli bir adım atılır.
Zaman Damgası Kullanımı Zorunluluğu ile İlgili Kanun ve Yönetmelikler Nelerdir?
Zaman damgası konusunda 04/05/2007 Tarihli ve 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve 24/10/2007 tarihli ve 26680 sayılı Resmi Gazetede yayımlanan Telekomünikasyon Kurumu Tarafından Erişim Sağlayıcılara ve Yer Sağlayıcılara Faaliyet Belgesi Verilmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik bulunmaktadır. Ayrıca 30/11/2007 tarihli 26716 sayılı Resmi Gazetede yayımlanan İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmeliklerin bilinmesi gerekmektedir.
Bu kanunun gerekliliği olarak oteller, hastaneler, küçük işletmeler, üniversiteler gibi insanların toplu olarak internet erişimi sağladığı yerlere ek olarak restoranlar, kafeler ve internet kafeler gibi kablolu veya kablosuz her türlü internet hizmeti sağlayan mekânlar, ilgili düzenlemeleri yapmalıdırlar. Bu mekânlar zaman damgası adı verilen sunucu ile de spesifik bir verinin hangi tarihte kullanıldığını ya da internette var olduğunu belirtmek zorundadırlar. Bir yıl boyunca günlük olarak kaydedilmesi gereken bilgilerin 2 yıl boyunca da saklanması zorunludur. Buna göre zaman damgası sayesinde internet içeriklerinin takibi mümkün kılınmaktadır. Bu noktada 5651 sayılı kanuna uygun olarak hareket etmeyen işletmelerin ilgili kişilerine ise altı ay ile iki yıl arası hapis cezası uygulanmaktadır. Kişilerin hapis cezası dışında alacağı maddi cezalar da mevcuttur.
Piyasada loglama ve zaman damgası üzerinde birçok ürün ve yazılım geliştirilmiştir. Geliştirilen bu uygulamaların 5070 Sayılı Elektronik İmza Kanunu kapsamında Bilgi Teknolojileri ve İletişim Kurumu’ndan (BTK) tarafından yetkilendirilen Elektronik Sertifika Hizmet Sağlayıcısı (ESHS) olarak hizmet veren kurumlar üzerinden imzalanması gerekmektedir. Kamu SM üzerinde resmi olarak damgalanmadan kripto veyahut benzeri bir işlemle güvene alındığı iddia edilen sistemlerin resmi geçerliliği bulunmamaktadır. Bu noktada loglama hizmeti sunan veya sunduğunu iddia eden güvenlik ve loglama ürünlerinin resmiyetinden emin olunması gerekmektedir.
Zaman Damgası İçin Kullanılan Başlıca Yöntemler
- Database
- Linking-based
- Distributed
- Transient key
- MAC
- PKI-tabanlı zaman damgası
- Blockchain tabanlı
Bu çözümlerden günümüzde aktif kullanılanı -kolay kullanımlı olduğu için- Açık Anahtarlama Sistemi kullanan PKI-based algoritmasıdır. Bu algoritma ve RFC3161 standardı ile de tanımlanmaktadır. Bu standart güvenilir bir zaman damgası sunucusuna nasıl damga vurulacağını tanımlar.
RFC3161 standardına göre zaman damgası güvenli bir zaman damgası sunucusu tarafından vurulan ve daha sonra sadece doğrulama için kullanılan bir elektronik veridir. Bu güvenilir Zaman Damgası sunucusuna TSA (TimeStamping Authority) denir. Türkiye'de damgası hukuki delil olarak kabul edilen Zaman damgası sunucuları bulunmaktadır. Bu yöntemle vurulan damgada damga tarihini değiştirmek mümkün olmamaktadır. Elbette ki loglama ve zaman damgalama sistemlerinin Kamu SM sunucuları üzerinden işlem yapmaları gerekmektedir.
Berqnet UTM Firewall ailesi ek bir donanıma veya yazılıma ihtiyaç duymadan kendi içerisinde zaman damgası ile log kayıtlarını imzalayabilmektedir. Bu imzalama süreçleri Kamu SM, Türktrust ve Elektronik Sertifika Hizmet Sağlayıcıları’yla entegre şekilde gerçekleşebilmektedir.
(ESHS) sunucuları üzerinde ve resmi geçerliliğe sahiptir. Birçok firewall üreticisi ülkemiz kanunlarından 5651 için ek modüller geliştirip ek yazılımlar kurdururken Berqnet Firewall sayesinde ek bir ücret ödemeden, hiçbir uğraşa ve donanıma ihtiyaç duymadan işletmeniz için hem loglama hem de zaman damgası ile imzalama gerçekleştirebilirsiniz. Log kayıtlarını cihaz üzerindeki bir USB portu ile alabildiğiniz gibi iç ağınız üzerinde açacağınız bir paylaşım alanı da aktarım yaparak saklayabilirsiniz. Seçeceğiniz Firewall veya log'lama ürünlerinde bu noktalara dikkat etmenizi tavsiye ederiz. Yapmanız gereken tek şey yetkili bir Kamu Serfikasyon Merkezinden bir hesap satın alarak, kullanıcı adı ve şifrenizle birlikte hesabınızı Berqnet Firewall cihazınıza tanımlamak ve diğer tüm işlemleri Berqnet'e bırakmaktır.
