Sayısal imzaları kullanarak bir verinin gerçekten beklenen kişi tarafından gönderildiği ve  iletim esnasında değişikliğe uğramadığını anlayabiliriz peki gönderilen verinin gerçekten beklediğimiz insana ulaştığından nasıl emin olabiliriz? Yani açık anahtarını kullanarak verileri şifrelediğimiz kişi gerçekte düşündüğümüz kişi midir? Nasıl emin olabiliriz? Burada sertifika tanımı ortaya çıkıyor. Bir sertifika basitçe kişinin açık anahtarının yetkili bir sertifika otoritesi tarafından imzalanmış halidir diyebiliriz.

Açık anahtar altyapısının kalbinde elektronik sertifikalar vardır. Basit bir açıklamayla elektronik sertifika; sahibinin belirleyici adını ve açık anahtarını içerir. Elektronik sertifikalar gerçek hayatta pasaportlara benzetilebilinir. Bir pasaport üçüncü parti bir kişi tarafından sağlanır(bir devlet), sahibinin, pasaportu sağlayan kurum gibi, kişisel tanımlayıcı bilgilerini içerir. Benzer bir şekilde elektronik sertifikalar da sertifika sahibinin ve sertifikayı o kişiye sağlayan kurumun tanımlayıcı bilgilerini içerir.

Elektronik sertifikaların genel özellikleri; sayısal olmaları, sahibi hakkında tüm bilgileri içermeleri, yayın tarihi ve son kullanma tarihi içermeleri, yayıncısının adını barındırması ve onun sayısal imzasıyla doğrulanması olarak sıralandırılabilinir. Sertifikalar genelde X.509 Açık Anahtar Altyapısı standardında tanımlanan sertifika biçimine uygun olarak üretilir. Açık anahtar ve kişisel bilgilerin bulunduğu sertifikalar gizli tutulması gereken dosyalar değildir. Sertifika içeriği sertifika hizmet sağlayıcıları tarafından doldurulur ve imzalanır.

Kişisel Sertifikalar
Kişisel sertifikalar şahısların kimlik bilgilerini ve açık anahtarını taşıyan elektronik dosyalardır. Nüfus cüzdanı veya ehliyet belgesi gibi kişisel sertifikalar da internet üzerinde kimliğin ispatlanması amacıyla kullanılırlar. Şahısların internet üzerindeki güvenli ve gizli iletişim yeteneklerinden faydalanabilmesi için öncelikle bir sertifikaya sahip olmaları gerekmektedir.Sertifika X.509 standartına uygun olarak üretilir ve bu standartla uyumlu olan web tarayıcılarına yüklenerek kişisel bilgisayarlarda tutulur. Bununla birlikte sertifikanın akıllı kartta veya diskette taşınıp kullanılması da mümkündür.

İnternet üzerinden şifreli ve/veya sayısal imzalı mesajların alınıp gönderilebilmesi için kullanılan en güvenilir yöntem çift anahtarlı kriptografi teknolojisidir. Bu teknolojide sayısal imza ve şifreleme için biri gizli diğeri kamuya açık olmak üzere iki anahtar kullanılır. Kamuya açık anahtar sertifikalar içinde tutulur ve sertifikalar gizli tutulması gereken dosyalar değillerdir.

Sunucu Sertifikası
Sunucu sertifikası, web sitesinin kimlik bilgilerini ve açık anahtarını taşıyan ve web sitesine bağlanan kullanıcılara sunulan elektronik dosyalardır. Örneğin bir internet tarayıcısı kullanıcısı bir web sunucuya gizli bir bilgi göndermek istediğinde, tarayıcı sunucunun göndermiş olduğu sunucu sertifikasını alır. İçinde web sunucusunun açık anahtarını bulunduran sunucu sertifikası tarayıcı tarafından şu amaçlarla kullanılır:

1. Web sunucunun kimliğinin doğrulanması
2. Sunucuya gönderilecek olan bilginin SSL (Secure Socket Layer) teknolojisi kullanılarak
şifreli gönderilmesi.

Gönderilecek olan bilgi sunucu sertifikanın içindeki açık anahtar ile şifrelenir. Bu şifreli bilgiyi çözecek gizli anahtar sadece sunucuda bulunduğundan başka birisinin şifreyi çözmesi mümkün değildir. Böylece şifreli bilginin internet üzerinden gönderiminde güvenlik sağlanmış olur.

Genel anlamda sertifikaların kullanım amaçları aşağıdaki gibi özetlenebilir:

1. Web üzerinde kullanıcı ile sunucu arasındaki güvenli iletişim kanallarında şifreleme
2. Kullanıcının ve sunucunun kimliklerinin doğrulanması
3. Güvenli internet e-posta iletişimi için mesajların şifrelenmesi
4. E-posta mesajlarında gönderenin kimliğinin doğrulanması
5. Web üzerinden yüklenebilen, imzalı, çalışabilir programların bütünlüğünün (değiştirilmediğinin) ve kaynağının (programı imzalayan kurum veya kişinin kimliğinin) doğrulanması.

Kök Sertifika
Kök sertifika sertifika hizmet sağlayıcısının kimlik bilgilerini ve açık anahtarını taşıyan elektronik dosyadır. Kök sertifikayı diğer sertifikalardan ayıran tek özellik, üzerinde kendi imzasını taşıyor olmasıdır. Yayınladıkları diğer sertifikalara güvenilirlik onayının verilebilmesi için kök kimliklerin kullanıcı tarafında mevcut olmaları gereklidir. Örneğin, bir web sunucusununsertifikasını alan internet tarayıcısı bu kimliğe güvenip güvenmeyeceğine karar verebilmesi için sunucuya sertifikayı veren sertifika hizmet sağlayıcısının sertifikasına ihtiyaç duyar. Eğer söz
konusu kök sertifika internet tarayıcısında tanımlı değilse, tarayıcı bu sitenin güvenilir olmadığını kullanıcıya bildirir. Bazı sertifika hizmet sağlayıcısı sertifikaları, Netscape ve Internet explorer gibi popüler olan tarayıcılarda önceden tanımlanmıştır yani kök sertifikalar tarayıcıya yüklenmişdurumdadır. Diğer sertifika hizmet sağlayıcılarının da tarayıcıya tanımlanabilmesi için kök sertifikalarının tarayıcıya yüklenmesi gerekmektedir.

a) Nitelikli Sertifika
Nitelikli Sertifika (Qualified Certificate), X.509 Sertifikası baz alınarak hazırlanan ve sadece gerçek kişilere verilen bir sertifika çeşididir. Bu sertifika tipi RFC 3739′da tanımlanmıştır.

Nitelikli sertifikalar Türkiye’de ve bir çok Avrupa ülkesinde elle atılan ıslak imzaya eşdeğer elektronik imzalar atmak için kullanılır. Bu sertifikaları standart X.509 sertifikasından farklı kılan en önemli özellik üretiminde ve sahibine verilmesinde çok sıkı kimlik doğrulama kuralları uygulanması ve sertifika merkezlerinin işletiminin denetlenmesi olarak sayılabilir.

Nitelikli sertifikalar Türkiye’de, 5070 Sayılı Elektronik İmza Kanununda (Kanun) tarif edilmiştir. Kanunda görevlendirilen Telekomünikasyon Kurumu tarafından hazırlanan Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik(Yönetmelik) ve Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ (Tebliğ) ile Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) ve onların üreteceği nitelikli elektronik sertifikalar konusunda düzenlemeler yapılmıştır.

Nitelikli sertifika alanları ile ilgili önemli bilgiler aşağıda verilmiştir:

Yayınlayıcı adı (Issuer Name) aşağıdakilerin bir alt kümesidir:
domainComponent, countryName, stateOrProvinceName, organizationName, localityName, serialNumber.

Kullanıcı adı(Subject Name) aşağıdakilerin bir alt kümesidir:
countryName,  commonName,  surname, givenName, pseudonym, serialNumber, organizationName, organizationalUnitName, stateOrProvinceName, localityName, postalAddress.

X.509 ‘da olmayan ya da var olanları genişleten eklentiler
Kullanıcı Dizin Özellikleri (Subject Directory Attributes)
title, dateOfBirth, placeOfBirth, gender, countryOfCitizenship,  countryOfResidence.

Biyometrik Bilgi (Biometric Information)
Elle atılan imza, resim, parmak izi  gibi bilgilerin özeti sertifikada, kendisi ulaşılabilen bir sunucuda bulunur. Bu bilgilerin yorumlanmasının insanlara bırakılması tavsiye edilmiştir.

b) Görev Sertifikası
Görev Sertifikası (Attribute Certificate), açık anahtarın bulunduğu sertifikaya bağımlı ek bir sertifikadır. Bu sertifikanın başlıca özellikleri şöyledir:

• Ömrü genellikle daha kısa, sık sık yenilenebilir.
• Açık anahtar sertifikası kişi bazlı tanımlama yaparken, görev sertifikası bu kişinin hangi
gruba ya da role dahil olduğunu belirtir. Böylece kişi o grubun ya da rolün haklarına sahip
olur.
• Görev sertifikası yayınlayan makamın açık anahtar yayınlayan makamdan ayrı olması
zorunludur ve bu makam kendi başına güvenilmek zorundadır. Bu makam açık anahtar
sertifikası yayınlamaz.

c) Çapraz Sertifikasyon
Kendi kendine imzalanmış (Self Signed) sertifika yayınlayabilen yani güvenilir nokta olan bir sertifikasyon makamının (otonom SM’nin) –ki bu kesin hiyerarşide kök sertifikasyon makamıdır- diğer otonom SM’lerle karşılıklı veya tek taraflı olarak açık anahtarları sertifikalandırmasıdır.

Çapraz sertifikasyonda kullanılan eklentiler

•   Policy Constraints
•   Name Constraints
•   Path Length Constraints

Kaynaklar:

http://kap.kamusm.gov.tr/sss/index.jsp#_sertifika_nedir

O’REILLY – Network Security With Openssl

Açık Anahtar Altyapısı Eğitim Kitabı, TÜBİTAK UEKAE

http://en.wikipedia.org/wiki/X.509

http://www.kamusm.gov.tr/tr/Ym/Nes/Kurye

Gülsüm KAYABAŞI