Sistemde açık, denetimde sessizlik: E-İmza sahtekârlığı Türkiye’yi uyarmalı
Diğer
03 Ağustos 2025
Bugünkü haberlere göre, Ankara Cumhuriyet Başsavcılığı, kamu yöneticilerinin e-imzalarını kopyalayarak sahte e-imza üreten 199 kişilik bir şebekeyi soruşturuyor. Bu kişiler, BTK, YÖK, MEB ve üniversite sistemlerine yetkisiz giriş yapmış.
TÜRKTRUST ve EİMZATR gibi yetkili elektronik sertifika sağlayıcılar üzerinden alınan e-imzalarda "yüz yüze kimlik tespiti" onayı yer alıyor. Ancak soruşturmada bu durumu şüpheye düşüren ciddi kanıtlar mevcut.
Soruşturmaya göre sahte e-imzalar aracılığıyla, 400 akademisyenin usulsüz atanması (doçent, profesör) gerçekleştirildi. Üniversite diplomaları, not ortalaması ve mezuniyet kayıtları, lise diplamaları gibi çeşitli kayıtlarda değişiklik ile dolandırıcılık yapıldı. Motorlu taşıt ehliyeti sınav sonuçları, başarısız olanların başarılı gibi düzenlendi. Yine soruşturmaya göre, depremde vefat eden avukatların diplomaları silindi ve yerine sahte kayıtlar oluşturuldu.
Belgelerin fiyatlarının 250 bin TL ile 2,5 milyon TL arasında değiştiği, bazı ödemelerin kripto para ile yapıldığı kaydediliyor.
Yürütülen soruşturmada 65 yeni şüpheli hakkında ikinci iddianame sunuldu. Şüpheliler arasında BTK yöneticileri, YÖK bürokratları, üniversite personelleri ve siyasetçiler bulunuyor. Hapis cezaları 5–50 yıl arasında talep ediliyor.
Buraya kadar, basında çıkan haberleri özetledik. Ama teknopolitik tarafı daha derin ve de uyarı dolu.
Olayın taraflarından biri Türktrust isimli elektronik imza hizmeti sağlayıcı firması olunca, aklımıza 2012’deki olay geldi. Çünkü bu olayda sorunun temelinde, elektronik sertifika güvenliği yatıyor. O zaman da Türktrust elektronik sertifika güvenliği konusunda bir sorun yaşamıştı.
2012 sonunda TÜRKTRUST tarafından üretilen iki adet ara sertifika (intermediate CA certificate) ile ilgili olarak ağustos 2011’den beri süren bir sorun ortaya çıkmıştı. Bunlardan biri, Google’a aitmiş gibi sahte bir SSL sertifikası üretmek için kullanıldı. Zaten olayı da Google ortaya çıkardı.
Google Chrome tarayıcısı, bu sahte sertifikayı HTTPS üzerinden Gmail trafiğini izlemeye çalışan bir saldırıyı tespit etti. Durumun fark edilmesi üzerine Google ve Mozilla gibi büyük tarayıcı üreticileri harekete geçti. Çünkü bu durum, "Ortadaki Adam Saldırısına (Man in The Middle)" müsade ediyor ve e-devlet, internet bankacılığı ve e-imza trafiğini sahte olarak yönlendirebiliyordu.
Google, Mozilla ve Microsoft gibi firmalar TÜRKTRUST kök sertifikasını geçici olarak engelledi. Chrome ve Firefox, yeni güvenlik güncellemeleriyle TÜRKTRUST’a ait şüpheli sertifikaları bloke etti. Uluslararası elektronik güven zincirinde Türkiye’ye duyulan güven ve düzenleyici kurumun (BTK) denetimi sorgulandı.
Bu noktada hatırlatalım, 5070 sayılı elektronik imza kanunu çerçevesinde, elektronik sertifika hizmet sağlayıcılarına yani e-imza veren kurumlara yetkiyi BTK verir. Denetlemesi gereken kurum da BTK'dır.
Küresel anlamda sertifika üretimi ve dağıtımı süreçlerinde, genel anlamda daha sıkı kontrol ve bağımsız denetim talepleri arttı. Türkiye'de ise o dönem, BTK, TUBİTAK-UEKAE ve TÜRKTRUST arasında sorumluluk tartışmaları yaşandı.
2012'deki olay, dünya çapında etki yarattı. CA (sertifika yetkilisi) kurumların sorumluluğu ve şeffaflığı konusunu ilk kez geniş kitlelere taşıdı. Küresel anlamda elektronik güvenlik reformu yapıldı. Tarayıcıların ve işletim sistemlerinin sertifika yetkilisi güvenini nasıl ele aldığına dair güncellemeler yapıldı. Çünkü bu ihlalin, ülke düzeyindeki aktörlerin bile sertifika altyapısını kötüye kullanabileceğini gösterdiği düşünüldü.
Dünyadaki reformlara karşı, şu andaki e-imza soruşturması, ülke içinde bu sistemlerin denetiminin yapılmadığını ve halen kurum içi kötüye kullanıma açık olduğunu düşündürüyor. Her iki olay da Türkiye’de dijital kimlik altyapısının ve kamu anahtar altyapısının (PKI) hem teknik hem yönetişimsel zayıflıklarını ortaya koyuyor. Şunlar yapılmalıydı (ve halen yapılmalı) :
Çünkü bu olay, güvenli elektronik imzanın bile kötüye kullanıldığında sistem güvenliğini nasıl tehdit ettiğini gösteriyor. E-imzanın kanıt değeri taşımaya başlaması, aynı zamanda kötü niyetli üretim ve kullanım senaryolarını artırıyor. Kamu sistemlerine yüksek erişim gücü sağlayan bu altyapının yalın denetimsizlikle çalışması, kurumlar arası dijital egemenliğe zarar verebiliyor.
2004 yılında yayınlanan 5070 sayılı kanun çerçevesinde, 2005'den itibaren uygulamaya alınan e-İmza ve bugün yaşanan soruşturmanın durumu konusunda, görüştüğüm hukukçu ya da e-İmza sektörü yetkilileri, o günden bu yana gereken geliştirmelerin yapılmadığı düşüncesinde. İsminin açıklanmasını istemeyen bir uzman, gereken gelişmelerin ve denetimlerin yapılmadığı düşüncesinde.
"Bizdeki e-imza sistemi tamamen USB üzerine kurulu. Yani fiziksel donanıma bağlı bir sistemiz. Haliyle USB sahibi (şsmi üstünde e-Tuğra firması da var) tuğranın sahibi oluyor. AB'de özellikle uzaktan imzalama ve ilave kimlik doğrulama........© T24
