From: info@teknobilge.com
Date: Wed 21 Jan 2004 - 04:01:05 EST
Merhabalar,
Tasari metnine gore, bence dogru anlamissiniz. Ben bu sekilde detayli
olarak yasayi okumadan, isin teknigine dayali olarak, akil yurutmustum.
Bununla birlikte, burada tanimlandigi hali ile, "izinsiz sertifika
olusturanlar" teriminin asiri genis, ve kisitlayici oldugunu
dusunuyorum. Su hali ile, daha once de deginildigi gibi, mesela ic
guvenlik icin bile OpenSSL temelli bir cozum olusturmak, yasadisi.
Diyelim iki bina arasinda telsiz ag kurdunuz, her anteni olan dinemesin,
sadece kendi agimdaki iki makina arasinda, SSL sifreli mesaj
alinsin-verilsin diye, OpenSSL kurdunuz, setifikayla alici/verici antene
bagli makinalar arasinda guvenligi sagladiniz. Sucmu simdi bu?
Ya da web sitenizde eticaret bile yapmiyorsunuz, ancak insanlar
isimlerini, sifrelerini, e-posta adrestlerini girerken, islem guvenli
olsun diye, kendi sertifikanizi kendiniz urettiniz, ve koydunuz. Mesela,
portaliniza login olmak, guvenli baglanti ile yapiliyor. Ama
sertifikanizi kendiniz olusturdunuz. Suc mu?
Ya da, intranet'inizi, internetten de sirket calisanlarina ulasilabilir
kildiniz. Arada akan bilgi trafiginde ticari sirlariniz aciga cikmasin
diye, sanal ozel aginizi (VPN), kendi OpenSSL sertifikanizla
sifrelediniz. Bu suc mu?
Yasaya gore, suc. Cunku SSL sertifikasini olusturmak icin devletten izin
almadiniz.
Eger sucsa sorum su: Zarar goren kim? Magduru olmayan suc olur mu? Boyle
yasa olur mu? Basitce, sifreleme yontemleri ve guvenilir SSL sertifikasi
dagitimcilari ile ilgili olarak, halki bilinclendirmekle tum sorunlar
cozulurken, bilgisizlik disinda bir sorun yokken, bu kadar kisitlayici
yasalar niye? Magduru olmayan, zarara neden olmayan suc nasil oluyor,
ben anlamiyorum.
Gercekten de, bu yasalarin cikmasinda daha detayli rol ustlenmis, su
anda yasanin ne oldugunu daha iyi bilen insanlar bizi aydinlatirsa,
sevinirim.
Not: Nefes almak, su icmek, yemek yemek icin devletten ne zaman izin
almamiz gerekecek, merak ediyorum. Ve bu tur "izinli" "onleyici" derken,
insanlarin normal ozgurluklerini kisitlayan yasalara karsi oldugumu
belirtmek istiyorum.
Ozer Tayiz.
onuryalazi@mersin.edu.tr wrote:
>Merhaba,
>
>http://www.basbakanlik.gov.tr/tasarilar/Tasari-9.htm den alinti (bu yalnız tasarısı, yasada değişiklik var mı bilmiyorum.)
>
>[alıntı]
>...
>a) Elektronik veri: Elektronik, optik veya benzeri yollarla üretilen, taşınan veya saklanan kayıtları,
>
>b) Elektronik imza: Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi,
>...
>ı) Elektronik sertifika: İmza sahibinin imza doğrulama verisini ve kimlik bilgilerini birbirine bağlayan elektronik kaydı,
>--
>Elektronik sertifikalarda sahtekârlık
>
>..
>Madde 17- Tamamen veya kısmen sahte elektronik sertifika oluşturanlar veya geçerli olarak oluşturulan elektronik sertifikaları taklit veya tahrif edenler ile yetkisi olmadan elektronik sertifika oluşturanlar veya bu elektronik sertifikaları bilerek kullananlar, filleri başka bir suç oluştursa bile ayrıca, iki yıldan beş yıla kadar hapis ve bir milyar liradan aşağı olmamak üzere ağır para cezasıyla cezalandırılırlar.
>
>Yukarıdaki fıkrada işlenen suçlar elektronik sertifika hizmet sağlayıcısı çalışanları tarafından işlenirse bu cezalar yarısına kadar artırılır.
>
>Bu maddedeki suçlar nedeniyle oluşan zarar ayrıca tazmin ettirilir.
>
>...
>Elektronik sertifika hizmet sağlayıcısı
>
>Madde 8- Elektronik sertifika hizmet sağlayıcısı, elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile özel hukuk gerçek veya tüzel kişilerdir. Elektronik sertifika hizmet sağlayıcısı, Kuruma yapacağı bildirimden iki ay sonra faaliyete geçer
>
>.......
>Madde 12- Elektronik sertifika hizmet sağlayıcısı;
>
>a) Elektronik sertifika talep eden kişiden, elektronik sertifika vermek için gerekli bilgiler hariç bilgi talep edemez ve bu bilgileri kişinin rızası dışında elde edemez,
>
>b) Elektronik sertifika sahibinin izni olmaksızın sertifikayı üçüncü kişilerin ulaşabileceği ortamlarda bulunduramaz,
>
>c) Elektronik sertifika talep eden kişinin yazılı rızası olmaksızın üçüncü kişilerin kişisel verileri elde etmesini engeller. Bu bilgileri sertifika sahibinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz.
>
>[/alıntı]
>
>Şimdi bu anlamda ben
>a) ya dayanarak; Web sitesi (özellikle dinamik olanlar) Elektronik veri
>b) ye dayanarak; PGP ve SSL Kriptografik anahtarlarını Elektronik imza
>ı) ya dayanarak; SSL Sertifikalarını Elektronik Sertifika olarak
>anlayabilir miyim? En azından bu şekilde yorumlanabilir kanaatindeyim.
>j) Kurum: Telekomünikasyon Kurumunu,
>
>ifade eder.
>
>
>
>Şimdi Madde 8 e göre Ben kurumdan (tanımda -madde j- Telekomunikasyon Kurumu alarak geçiyor ki Türkiye'de bu kurumda Türk telekom olarak tanımlandı sanırım. ) a bu işlemi yapacağımı bildirip 2 içinde kurumdan gelecek olan izni alamazsam, Madde 17 ye göre SSL sertifikası oluşturmam durumunda hapis ve para cezası ile karşılaşabilirim.
>
>
>Yanlış mı anlıyorum?
>
>Ayrıca dikkatimi çeken bir nokta; Sertifika hizmet sağlayıcılarının yükümlülüklerinde olan 12.maddenin c ve d bendleri ne göre, sertifika sahibi "bütün internet alemi bu sertifikaya ulaşabilir" gibi bir izin vermezse, SSL web sitesi sunması, hizmet sağlayıcının zor durumda klamasına neden olmaz mı? Sadece ilgimi çektiği için belirttim.
>
>
>( Avukat falan değilim ama tasarıyı anlayabildim. İlginçtir tasarı Türkçe yazılmış )
>
>
>
>20 Jan 2004 17:17 EET tarihinde yazmışsınız:
>
>
>
>>Merhabalar,
>>
>>Hukuki degil ama, teknik ozetlemek istiyorum durumu.
>>
>>Birincisi, imza ayrı şeydir, sertifika ayrı şeydir. Imza, bir belgeyi
>>sizin gerçekten onayladiginizi, karsi tarafin eline gecene kadar
>>degismedigini belirten bir isarettir. Imzayi siz olusturursunuz. Ancak,
>>cesitli amaclarla, "benim imzam budur" diye bildirirsiniz. Ornek: Firma
>>kurmak icin Noter'e kayitli imza bildirimi.
>>
>>Sertifika, bir otoritenin, size verdigi bir belgedir, bir cesit kimlik
>>belgesi gibi, ya da ehliyet gibi. "Bu adam gercekten bu kimlige, bu
>>adrese sahip adamdir. Bu isi yapmaya yetkilidir" gibi bir belge.
>>Dolayisi ile, sertifikanin sadece bir yerlere kaydi yeterli olmaz, bir
>>
>>
>
>--
>Onur Yalazi
>
>linux-sohbet listesinden cikmak ve tum listeci islemleri icin
>http://liste.linux.org.tr/ adresini kullanabilirisniz.
>Bu listeden cikmak icin <a href="mailto:linux-sohbet-request@liste.linux.org.tr?Subject=unsubscribe">tiklayiniz</a>
>
linux-sohbet listesinden cikmak ve tum listeci islemleri icin
http://liste.linux.org.tr/ adresini kullanabilirisniz.
Bu listeden cikmak icin <a href="mailto:linux-sohbet-request@liste.linux.org.tr?Subject=unsubscribe">tiklayiniz</a>