E-imza vs Dijital İmza vs Biyometrik İmza

Son zamanlarda e-imza ile birlikte dijital imza ve biyometrik imzayı da çok duyar ve konusur olduk. Dijital ve Biyometrik imza pratik kullanımları ve işlevlikleri ile yeni yaklaşımlar getiriyor. Sınırlı alanlarda yakında iş hayatının içerisine girmesini bekliyoruz.

Karşılaştırma yapmadan önce yanlış anlaşılmalara yol açan bir tanımlamayı düzeltmek gerekiyor. Özellikle Avrupa Birliği ile Amerika Birleşik Devletlerinde e-imza ve dijital imza birbirlerinin yerine kullanılıyor. Avrupa Birliği elektronik imzayı şuan Türkiye'nin de kullanıldığı gibi PKI altyapısına dayalı olarak işleyen bir sistem olarak tanımlıyor. Standartları ETSI adlı kuruluş ve "ETSI TS 101 733", "ETSI TS 101 903" ve "ETSI TS 102 778" numaralı dokümanlarla açıklamış durumda. Aynı zamanda 5070 sayılı kanununun yetkilendirdiği merci BTK'nın da referans aldığı standarttır. Birleşik Devletlerde ise bu kavram Dijital İmza olarak adlandırılıyor. Her ne kadar FDA 21 CFR Part 11 'de "electronik signatures" olarak geçse de, pratik hayatta bu kavramı dijital imza olarak yer almış durumda. Bu da ister istemez kavramları karıştırmaya yol açıyor. Yabancı menşeili uygulamaları kullanırken bu ayrıma dikkat etmek gerekir.

[ Amerika Birleşik Devletleri'nde Dijital İmza adıyla kullanılan örnekler:]
DocuSign : Understanding digital signatures
Comodo : What Is a Digital Signature?

Ayrıca dikkat edilmesi gereken diğer bir konu, düzenlemelerin ülke hukuklarıyla sınırlı olduğudur. Yani bir ülkede alınan elektronik imza ve bununla yapılan işlemler sadece o ülke sınırlarında geçerlidir. Avrupa Birliği ise üye ülkelerinde alınan elektronik imzanın bütün üye ülkelerde geçerli olduğu tanımlandığını belirtiyor [Tiered]. Amerika Birleşik Devletleri ve bir kaç ülke ise bir kaç istisna dışında aynı yasal statüde olduğunu ilan etmiş durumda. Bu ülkeler: ABD, Kanada, Yeni Zelanda, UK, Avusturalya, Sri Lanka ve Çin.

Tanımlamalar
Elektronik İmza Nedir?: AAA(PKI) altyapısı kullanılarak, yetki Elektronik Sertifika Hizmet Sağlayıcıları tarafından üretilen anahtar ikisinin(public, private key), USB token cihazı ortamında (sınırlandırılmış cihazlar) kişiye özel verilen sertifikadır.

Dijital İmza Nedir?: AAA(PKI) altyapısı kullanılarak veya kullanmayarak sanal bir görsel imge veya işaret ile, yetkili bir merci olmaksızın, elektronik belgeleri imzalama işlevini yapmak üzere oluşturulan elektronik kayıt veya iz. [araştırınız: technology-neutral]

Biometrik İmza Nedir?: Bireyin özel bir kalemle vasıtasıyla attığı "X,Y,Z koordinat", "Eğim", "Basınç", "Hız" ve "İvme" gibi belirleyici özelliklerin sayısallaştırılarak oluşturduğu veri kümesidir. Bu imza türünde her imza veri kümesine yakınlığı mertebesinde ( confidence degree ) doğrulanırlar. Kayıt altına alınan veriler "davranışsal" bir bütün oluşturur ve sistem bu sayede aradaki farkların da aynı kişiye ait olduğunu saptar.

Bunun dışında Tübitak Kamu Sertifikasyon Merkezi Tarafından oluşturulan NES ve Biyometrik imza karşılaştırmasını tıklayarak inceleyebilirisiniz.

Karşılaştırma Tablosu
Dijital İmza Biometrik İmza Elektronik İmza Mobil İmza

* Kanunen gerçerlilik ve kişinin imzaladığının ispatı gerekir.
** Örnekleme olmadan kimin imzaladığı bilinemez. Bilinen bir kişinin imzası ile karşılaştırılabilir.
Veri Bütünlüğü Korunması
Cihaz Gerektirmeden Kullanım
İnkar edilememezlik*
Kimliği Doğrulama**
Yasal Geçerlilik
Tanımlanmış Standart
Kullanım Kolaylık ve Pratiklik