Nitelikli imzalar nedir?

Spec Spec: ETSI EN 319 411-2 ETSI EN 319 411-2 Spec Spec: ETSI EN 319 411-1 ETSI EN 319 411-1 Spec Spec: ETSI EN 319 421 ETSI EN 319 421 Evidence § Standard-backed Evidence: Standard-backed

Bir bakışta

“Nitelikli”, AB eIDAS Tüzüğü uyarınca yasal bir statüdür; bir kütüphanenin sunabileceği bir özellik değildir. Bunu oluşturmak için birden çok taraf belirli görevleri yerine getirir: bir nitelikli sertifika, bir nitelikli imza oluşturma aygıtı, bir nitelikli güven hizmeti sağlayıcısı ve yayımlanmış güvenilir listeler. Bu sayfa, söz konusu rolleri ortaya koyar ve NextPDF’in üstlendiği o dar rolü — ve üstlenmediği çok daha geniş rolleri — açıkça ayırır.

Bu neden önemli

Bir qualified electronic signature, kendi yargı alanında yasanın ona tanıdığı hukuki etkiye sahiptir. “Nitelikli” statüsünü çekici kılan da budur. Onu gevşek bir biçimde iddia etmenin tehlikeli olmasının nedeni de aynıdır. Bir iş akışının nitelikli imzalar ürettiği belirtiliyor ancak zincirdeki rollerden biri eksikse — sertifika nitelikli değilse, aygıt bir QSCD değilse ya da sağlayıcı bir güvenilir listede yer almıyorsa — imzalar nitelikli değildir. Bu boşluk genellikle en kritik anda ortaya çıkar: bir uyuşmazlıkta, bir denetimde, sınır ötesi bir kabul kontrolünde.

Zorluk şudur: kusursuz biçimde geçerli bir gelişmiş imza ile nitelikli bir imza, bir PDF görüntüleyicide birebir aynı görünebilir. Fark; sertifikada, aygıtta, sağlayıcıda ve güven listesindedir — ki bunların hiçbirini bir imzalama motoru sağlamaz. Asıl iş, hangi tarafın hangi güvenceyi verdiğini tam olarak bilmektir.

Kısa özet

• Nitelikli olan bir zincirdir, özellik değil. Bunun için bir nitelikli sertifika, bir QSCD üzerinde imzalama, bir nitelikli güven hizmeti sağlayıcısı tarafından düzenlenmiş olma ve güvenilir listeler aracılığıyla keşfedilebilir olma gerekir. Bunlardan herhangi biri eksikse sonuç artık nitelikli değildir.
• Bir QSCD zorunludur. Nitelikli sertifika politikaları uyarınca, imzalar yalnızca bir nitelikli imza oluşturma aygıtı tarafından oluşturulmalıdır. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5
• Münhasır kontrol, imza sahibine ve aygıta aittir. Özel anahtar, imza sahibinin münhasır kontrolünde olmalı ve onu koruyan ile kullanıcı adına imzalayan bir aygıtta tutulmalıdır. Spec Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5
• NextPDF’in rolü dar ve nettir. Yapısal olarak doğru bir PDF imzası birleştirir ve güvenilir bir zaman damgası ile uzun vadeli doğrulama materyali gömebilir. Kendisi bir QSCD değildir, bir (nitelikli) güven hizmeti sağlayıcısı değildir ve sertifika düzenlemez, güvenilir listeler işletmez ya da nitelikli statü vermez.

NextPDF buna nasıl yaklaşır

Adlandırılmış roller

Bir qualified electronic signature, eIDAS kapsamında birbirinden ayrı sorumlulukların birleşiminden oluşur. NextPDF tam olarak tek bir bölümü üstlenir; diğerleri motorun dışındaki taraflara ve standartlara aittir.

1. Step 1 of 5: eIDAS Regulation (EU) 910/2014 defines "qualified" and its legal effect — the legal frame eIDAS Regulation (EU) 910/2014 defines "qualified" and its legal effect — the legal frame
2. Step 2 of 5: ETSI EN 319 411-1 / 411-2 qualified certificate policy; QSCD mandatory; sole control ETSI EN 319 411-1 / 411-2 qualified certificate policy; QSCD mandatory; sole control
3. Step 3 of 5: ETSI EN 319 412-5 qualified-certificate profile — the QC statements ETSI EN 319 412-5 qualified-certificate profile — the QC statements
4. Step 4 of 5: ETSI EN 319 421 / RFC 3161 trusted time from a TSP issuing time-stamps ETSI EN 319 421 / RFC 3161 trusted time from a TSP issuing time-stamps
5. Step 5 of 5: ISO 32000-2 §12.8 the PDF signature carrier NextPDF builds ISO 32000-2 §12.8 the PDF signature carrier NextPDF builds

Bir qualified electronic signature'nin sırasıyla kat ettiği zincir ve her halkanın sahibi: nitelikli sertifika ile QSCD ile nitelikli güven hizmeti sağlayıcısı ile güvenilir liste, imzalama motoru değildir — NextPDF yalnızca PDF imza taşıyıcısını birleştirir ve güvenilir zaman ile doğrulama materyali ekleyebilir.

• Nitelikli sertifika. İmza sahibine düzenlenir; makine tarafından okunabilir biçimde onu elektronik imza için nitelikli bir sertifika olarak işaretleyen ve onu düzenleyen nitelikli güven hizmeti sağlayıcısını tanımlayan QC beyanlarını taşır. Spec Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 NextPDF onu düzenlemez.
• QSCD. Bir nitelikli imza oluşturma aygıtı — ETSI’nin terimleriyle, kullanıcının özel anahtarını tutan, onu ele geçirilmesine karşı koruyan ve imzalamayı kullanıcı adına gerçekleştiren güvenli bir kriptografik aygıt. Spec Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 NextPDF, böyle bir aygıt aracılığıyla imza atan bir yazılımdır; motorun kendisi bir QSCD değildir, yazılım anahtarı yolu da QSCD sayılmaz.
• Nitelikli güven hizmeti sağlayıcısı. QTSP, nitelikli sertifikayı düzenler ve kendisi denetime tabidir; politikalar, bu sertifikalar altındaki imzaların yalnızca bir QSCD tarafından oluşturulmasını gerektirir. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 NextPDF bir güven hizmeti sağlayıcısı değildir.
• Güvenilir listeler. Sağlayıcının ve hizmetin nitelikli olduğunu güvenen tarafların tespit etmesini sağlayan yayımlanmış kanıt. NextPDF güvenilir listeleri işletmez ya da onlar için kefil olmaz.

NextPDF’in üstlendiği dar rol

Bu zincirde NextPDF’in işi sınırlı ve somuttur. PDF imzasını birleştirir: imza alanını yerleştirir, bayt aralığını hesaplar ve CMS SignedData yapısını oluşturur; standart bunun Contents girdisinde tutulmasını gerektirir. Spec Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 İmzalama anahtarı bir QSCD üzerindeyken NextPDF, HSM destekli imzalama bölümünde anlatılan aynı donanım arabirimi üzerinden onun aracılığıyla imzalar ve anahtar aygıtta kalır.

NextPDF, bir imzayı kalıcı kılan iki bileşeni de gömebilir: bir zaman damgası makamından alınan güvenilir bir zaman damgası ve onu doğrulanabilir tutan uzun vadeli doğrulama materyali. Bir zaman damgası, bir verinin belirli bir andan önce var olduğunu gösteren Güvenilir Üçüncü Taraf kanıtıdır Spec Spec: RFC 3161, §1 RFC 3161 §1 ; AB çerçevesinde, o makam zaman damgaları düzenleyen güven hizmeti sağlayıcılarına yönelik bir politika altında çalışır. Spec Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF belirteci talep eder ve gömer. Zaman damgası makamını işletmez ve bir zaman damgası gömmek tek başına bir imzayı nitelikli kılmaz.

Kanıt ne söylüyor

Evidence § Standard-backed Evidence: Standard-backed QSCD gereksinimi nitelikli sertifika politikalarında açıkça yer alır: abonenin (ya da yöneten TSP’nin) yükümlülükleri kapsamında dijital imzalar yalnızca bir QSCD tarafından oluşturulmalıdır. Spec Spec: ETSI EN 319 411-2, §6.3.5 ETSI EN 319 411-2 §6.3.5 Aygıtın kendisi, kullanıcının özel anahtarını tutan, onu ele geçirilmesine karşı koruyan ve imzalamayı kullanıcı adına gerçekleştiren bir aygıt olarak tanımlanır Spec Spec: ETSI EN 319 411-1, §3.1 ETSI EN 319 411-1 §3.1 ; gerçek bir kişi için özel anahtar, imza sahibinin münhasır kontrolünde olmalıdır. Spec Spec: ETSI EN 319 411-1, §6.3.5 ETSI EN 319 411-1 §6.3.5 Bir imzalama kütüphanesi, bu yükümlülüklerin hiçbirini zincir adına yerine getiremez.

Evidence § Standard-backed Evidence: Standard-backed Bir sertifikayı nitelikli kılan bilgi, sertifikanın QC beyanlarında taşınır; bunun içinde, elektronik imza için nitelikli bir sertifika olarak düzenlendiğine dair makine tarafından okunabilir bir gösterge ve onu düzenleyen nitelikli güven hizmeti sağlayıcısını tanımlayan veriler bulunur. Spec Spec: ETSI EN 319 412-5, §4.2 ETSI EN 319 412-5 §4.2 Bir imza oluşturmak için bir sertifikayı kullanan bir kütüphane, sertifikayı nitelikli kılmaz; bunu onu düzenleyen QTSP yapar.

Evidence § Standard-backed Evidence: Standard-backed Güvenilir zamanın kendi sağlayıcı rolü vardır. RFC 3161, bir Zaman Damgası Makamını, belirli bir zaman anında bir veriye varlık kanıtı sağlayan bir Güvenilir Üçüncü Taraf olarak tanımlar Spec Spec: RFC 3161, §1 RFC 3161 §1 ; ETSI EN 319 421, zaman damgaları düzenleyen güven hizmeti sağlayıcılarına yönelik politika ve güvenlik gereksinimlerini belirtir; bunlar dijital imzaları destekleyebilir ya da bir verinin belirli bir zamandan önce var olduğunu kanıtlayabilir. Spec Spec: ETSI EN 319 421, §1 ETSI EN 319 421 §1 NextPDF, böyle bir sağlayıcıdan bir belirteç gömer; sağlayıcının nitelikli statüsü, varsa, sağlayıcıya aittir, motora değil.

Human-factors note: Human-factors note

Bu sayfa, mekanizma ayrıntılarından önce zinciri ve eksik bir halkanın bedelini öne çıkarır; çünkü yasal güven bağlamında en kritik bilgi, gözden kaçırılamayacak bir yerde olmak zorundadır. Yapı bilinçlidir: önce roller, ardından NextPDF’in dar kutusu açıkça adlandırılır, sonra standartlar — böylece bir okur “Kısa özet”ten sonra durabilir ve hangi güvencelerin motorun verebileceği güvenceler olmadığını zaten bilir.

Pratik örnek

“Bir imzayı nitelikli kılan” bir API yoktur ve aksini ima eden bir kod örneği başlı başına hata olurdu. Burada yararlı olan çıktı, bir incelemecinin kullanabileceği sorumluluk kontrol listesidir:

Zincirdeki halka	Sahibi kim	NextPDF’in rolü
Nitelikli sertifikanın düzenlenmesi	Nitelikli güven hizmeti sağlayıcısı	Onu kullanır; düzenlemez
Bir QSCD üzerinde imzalama	İmza sahibi + aygıt	Onun aracılığıyla imzalar; bir QSCD değildir
Özel anahtarın münhasır kontrolü	İmza sahibi + aygıt	Bir QSCD üzerindeyken anahtarı asla tutmaz
Sağlayıcı/hizmetin nitelikli olması	QTSP + denetim	Onun hakkında hiçbir şey öne sürmez
Güvenilir listeler aracılığıyla keşfedilebilirlik	Güvenilir liste operatörleri	Onları işletmez ya da denetlemez
PDF imzasının doğru biçimlendirilmesi	İmzalama motoru	Bu, NextPDF’in kutusudur
Güvenilir zaman damgasının gömülmesi	Bir zaman damgası makamı	Belirteci talep eder ve gömer
Uzun vadeli doğrulama materyali	signing/validation akışı	Onu gömebilir (bkz. İlgili belgeler)

Yukarıdaki tabloda motorun kutusunun üzerinde kalan satırlardan herhangi biri karşılanmazsa sonuç — en iyi ihtimalle — geçerli bir gelişmiş imzadır, nitelikli bir imza değil. NextPDF, sahibi olduğu her satırı doğru kılabilir ve yine de imzayı nitelikli kılmayabilir; çünkü statü, motorun verebileceği bir şey değildir.

Yaygın yanlış anlama

“NextPDF nitelikli imzalar üretir.”

Üretmez ve buradaki kesin ifade biçimi önemlidir. NextPDF, yapısal olarak doğru PDF imzaları üretir ve bir QSCD üzerinde imzalama ile nitelikli sağlayıcı zaman damgalarını gömme senaryolarıyla uyumludur. Belirli bir imzanın nitelikli olup olmadığı dağıtıma bağlıdır: bir nitelikli sertifikaya, bir QSCD’ye, bir nitelikli güven hizmeti sağlayıcısına ve güvenilir liste statüsüne bağlıdır — ki bunların hiçbirini motor sağlamaz ya da onaylamaz. Doğru iddia şudur: “NextPDF imzayı birleştirir; nitelikli statü sertifikadan, aygıttan ve sağlayıcıdan gelir.” Bundan fazlasını söylemek, yazılımın veremeyeceği yasal bir statüyü fazladan iddia etmektir.

Sınırlar ve kapsam

Sınır, açık ve yumuşatılmadan ifade edilmiştir:

• NextPDF nedir. Bir PDF 2.0 imzalama motoru. İmzayı Spec Spec: ISO 32000-2, §12.8 ISO 32000-2 §12.8 uyarınca oluşturur, kendisine sağlandığında bir aygıt aracılığıyla imzalar ve bir zaman damgası ile uzun vadeli doğrulama materyali gömebilir.
• NextPDF ne değildir. Bir QSCD değildir, bir nitelikli (ya da herhangi bir) güven hizmeti sağlayıcısı değildir, bir sertifika makamı değildir ve bir güvenilir liste operatörü değildir. Nitelikli statüyü değerlendirmez, doğrulamaz ya da vermez.
• Uygun olmak, sertifikalı olmak değildir. Bu, NextPDF’in imzaları PDF imza standardına uygun olarak oluşturduğuna ve bir AdES profilinin beklediği unsurları taşıyabildiğine dair yapısal bir ifadedir. Bu, ortaya çıkan herhangi bir imzanın nitelikli olduğuna dair bir sertifikasyon değildir ve onu nitelikli kılan — birlikte ele alındığında — QSCD, sertifika, sağlayıcı ve güvenilir liste koşullarının yerine geçmez.
• Yargı alanı önemlidir. “Nitelikli” ve onun yasal etkisi, eIDAS Tüzüğü’nün kapsamı içinde tanımlanır. Bu sayfa bir mühendislik açıklamasıdır, hukuki tavsiye değildir. Bir imzanın belirli bir kullanım için hukuki yeterliliği, ilgili yasanın ve tarafların hukuk danışmanlarının konusudur, bir kütüphanenin belgelerinin değil.

Qualified-signature support — edition availability

Edition	Availability
Core	○ Core, PDF imza taşıyıcısını ve CMS kapsayıcısını oluşturur. Tek başına nitelikli statü sağlamaz.
Pro	○ Pro, yönetilen anahtarla imzalama ve davranış düzeyinde açıklanan imza güçlendirmesi ekler. Yine de bir QSCD ya da bir güven hizmeti sağlayıcısı değildir.
Enterprise	○ Enterprise, PKCS#11 aracılığıyla donanım belirteciyle imzalama ekler; böylece imzalama anahtarı, bir dağıtımın QSCD olarak işlettiği bir aygıtta bulunabilir. Motor, aygıt aracılığıyla imzalar; nitelikli statü sertifikaya, aygıta ve sağlayıcıya aittir — asla motora değil.

Mini SSS

Gelişmiş bir imza, nitelikli bir imzayla aynı mıdır? Hayır. Bir görüntüleyicide birebir aynı görünebilirler. Nitelikli bir imza, ek olarak bir nitelikli sertifika, bir QSCD ve bir nitelikli güven hizmeti sağlayıcısı gerektirir; gelişmiş bir imza bunları gerektirmez. Fark, PDF baytlarında değil, zincirdedir.

Bir HSM üzerinde imzalamak bir imzayı nitelikli kılar mı? Tek başına değil. Bir QSCD gereklidir ancak yeterli değildir. Sertifika, bir nitelikli güven hizmeti sağlayıcısından alınmış bir nitelikli sertifika olmalı ve aygıt, o dağıtım için QSCD ölçütlerini karşılamalıdır. Genel amaçlı bir HSM otomatik olarak bir QSCD değildir.

Bir zaman damgası eklemek bir imzayı nitelikli kılar mı? Hayır. Güvenilir bir zaman damgası kalıcılığı ve zaman kanıtını güçlendirir; nitelikli statüyü tanımlayan sertifika, aygıt ya da sağlayıcı koşullarını sağlamaz. Uzun vadeli profiller için gereklidir, nitelikli statü için yeterli değildir.

NextPDF, imzamın nitelikli olup olmadığını bana söyleyebilir mi? Hayır. Motor, nitelikli statü hakkında hiçbir şey öne sürmez. Bunu tespit etmek; sertifikanın, aygıtın, sağlayıcının, güvenilir listelerin ve uygulanabilir yasanın bir sorunudur — motorun sorumluluğunun dışındadır.

İlgili belgeler

• HSM destekli imzalama — bir QSCD tabanlı imzanın kullandığı aygıt arabirimi ve anahtar sınırının bulunduğu yer.
• Zaman damgaları ve güvenilir zaman — bir RFC 3161 zaman damgasının neyi kanıtladığı ve arkasındaki sağlayıcı rolü.
• Uzun vadeli doğrulama — bir imzayı zaman içinde doğrulanabilir tutan doğrulama materyali.

Sözlük

• Nitelikli elektronik imza — eIDAS Tüzüğü uyarınca, bir QSCD tarafından oluşturulan ve bir nitelikli sertifikaya dayanan gelişmiş bir elektronik imza; yasal bir statü, bir yazılım özelliği değil.
• eIDAS — elektronik kimlik tanımlama ve güven hizmetlerine ilişkin AB Tüzüğü (EU) No 910/2014; “nitelikli” terimini ve etkisini tanımlayan yasal çerçeve.
• QSCD (nitelikli imza oluşturma aygıtı) — eIDAS ölçütlerini karşılayan bir aygıt; ETSI terimleriyle, kullanıcının anahtarını tutan, onu koruyan ve kullanıcı adına imzalayan güvenli bir kriptografik aygıt.
• Nitelikli sertifika — QC beyanları onu makine tarafından okunabilir biçimde elektronik imza için nitelikli olarak işaretleyen, bir nitelikli güven hizmeti sağlayıcısı tarafından düzenlenmiş bir sertifika.
• QTSP (nitelikli güven hizmeti sağlayıcısı) — nitelikli sertifikalar ve ilgili nitelikli hizmetler düzenleyen, denetime tabi bir güven hizmeti sağlayıcısı.
• Güvenilir liste — bir sağlayıcının ve hizmetin nitelikli olduğunu güvenen tarafların tespit etmesini sağlayan yayımlanmış kanıt.
• Münhasır kontrol — gerçek kişi bir imza sahibinin özel anahtarının, o imza sahibinin münhasır kontrolünde tutulması yükümlülüğü.
• Zaman Damgası Makamı (TSA) — zaman içinde bir an için bir veriye varlık kanıtı sağlayan bir Güvenilir Üçüncü Taraf (RFC 3161).