From: info@teknobilge.com
Date: Wed 21 Jan 2004 - 04:30:05 EST
Merhabalar,
Onceki mesajima bir ilave:
Ayni zamanda, herkese esit davranmayan yasalara da karsiyim. Yasaya
gore, Sertifika veren kurumlar, devletin belirledigi yeterlilik
kosullarina ve alt-ust fiyat limitlerine uymak zorunda. Ancak, sertifika
veren kurum, bir devlet kurumu ise, ne yeterlilik sartlarina uymasi
gerekiyor, ne de fiyat sinirlarina...
Bakiniz: http://www.ntvmsnbc.com/news/252838.asp
Kisacasi: Ben devletim, istedigim fiyata hizmetimi satarim, ben
devletim, kimse de yaptigim isin kalitesini, yeterliligini denetleyemez...
Devlet memuru, sade vatandastan, devlet kurumu ozel sirketten ustundur.
Sertifika dagitmaktan birileri para kazanacaksa, bu sadece devlet
kurumlari olmalidir. Devlet kurumu hata yapmaz. Dolandiricilik,
yolsuzluk hic yapmaz.
Ya da yapsa da, kimse hesap soramaz.
Bu yasaya gore, eger, bir devlet kurumu SSL sertifikasi dagitirken,
yolsuzluga, dolandiriciliga karisir, islemlerden birilerinin hesabina
para aktarir, ya da bazi kredi karti bilgilerini, ya da sifreli baska
bilgileri sizdirirsa, buna karsi ne yapilabilecegi, kime sikayet
edilinip, nasil dava acilacagi hakkinda kimsenin bir fikri var mi?
Eger ozel sirketse, biraktim devletin denetimini, cezalarini, piyasada
boyle bir tek haber duyulsa, is yapamaz hale gelir, batar. Peki bunu bir
kamu kurulusu yaparsa ne olur?
Sizce Turkiye'de hicbir sey olmama ihtimali var mı?
Boyle giderse, 3-5 yila kalmaz, fiilen internet kullanicilari, yabanci
sertifika saglayicilarina daha fazla guvendigi icin, kendi devletinin
kurdugu sertifikayi almaz, gider VeriSign'dan alir, Comodo'dan alir...
Devlet kurumu, isi iyi yapamadigi ve verimli olmadigi icin, kendi
faaliyetini devlet butcesinden finanse eder, fiyat kirar. Boylece yerli
ozel sirketler de piyasada tutunamaz. Butun Turkiye olarak, yabanci SSL
Sertifika saglayicilarindan hizmet ithal etmek durumunda kaliriz...
Ustelik, sertifika vermenin ve dagitmanin, hicbir teknik zorlugu yok
iken, OpenSSL ile herkes yapabilecek iken, tek onemli kosulun,
"guvenilirlik" ve belirli etik ahlak kurallarina uymayi gerektirmesi iken...
Umarim ongorulerimde yaniliyorumdur, ama bu yasa, bu haliyle, bunlari
getirir, benden soylemesi...
Saygilar,
Ozer Tayiz.
info@teknobilge.com wrote:
>Merhabalar,
>Tasari metnine gore, bence dogru anlamissiniz. Ben bu sekilde detayli
>olarak yasayi okumadan, isin teknigine dayali olarak, akil yurutmustum.
>
>Bununla birlikte, burada tanimlandigi hali ile, "izinsiz sertifika
>olusturanlar" teriminin asiri genis, ve kisitlayici oldugunu
>dusunuyorum. Su hali ile, daha once de deginildigi gibi, mesela ic
>guvenlik icin bile OpenSSL temelli bir cozum olusturmak, yasadisi.
>Diyelim iki bina arasinda telsiz ag kurdunuz, her anteni olan dinemesin,
>sadece kendi agimdaki iki makina arasinda, SSL sifreli mesaj
>alinsin-verilsin diye, OpenSSL kurdunuz, setifikayla alici/verici antene
>bagli makinalar arasinda guvenligi sagladiniz. Sucmu simdi bu?
>
>Ya da web sitenizde eticaret bile yapmiyorsunuz, ancak insanlar
>isimlerini, sifrelerini, e-posta adrestlerini girerken, islem guvenli
>olsun diye, kendi sertifikanizi kendiniz urettiniz, ve koydunuz. Mesela,
>portaliniza login olmak, guvenli baglanti ile yapiliyor. Ama
>sertifikanizi kendiniz olusturdunuz. Suc mu?
>
>Ya da, intranet'inizi, internetten de sirket calisanlarina ulasilabilir
>kildiniz. Arada akan bilgi trafiginde ticari sirlariniz aciga cikmasin
>diye, sanal ozel aginizi (VPN), kendi OpenSSL sertifikanizla
>sifrelediniz. Bu suc mu?
>
>Yasaya gore, suc. Cunku SSL sertifikasini olusturmak icin devletten izin
>almadiniz.
>
>Eger sucsa sorum su: Zarar goren kim? Magduru olmayan suc olur mu? Boyle
>yasa olur mu? Basitce, sifreleme yontemleri ve guvenilir SSL sertifikasi
>dagitimcilari ile ilgili olarak, halki bilinclendirmekle tum sorunlar
>cozulurken, bilgisizlik disinda bir sorun yokken, bu kadar kisitlayici
>yasalar niye? Magduru olmayan, zarara neden olmayan suc nasil oluyor,
>ben anlamiyorum.
>
>Gercekten de, bu yasalarin cikmasinda daha detayli rol ustlenmis, su
>anda yasanin ne oldugunu daha iyi bilen insanlar bizi aydinlatirsa,
>sevinirim.
>
>Not: Nefes almak, su icmek, yemek yemek icin devletten ne zaman izin
>almamiz gerekecek, merak ediyorum. Ve bu tur "izinli" "onleyici" derken,
>insanlarin normal ozgurluklerini kisitlayan yasalara karsi oldugumu
>belirtmek istiyorum.
>
>Ozer Tayiz.
>
>onuryalazi@mersin.edu.tr wrote:
>
>
>
>>Merhaba,
>>
>>http://www.basbakanlik.gov.tr/tasarilar/Tasari-9.htm den alinti (bu yalnız tasarısı, yasada değişiklik var mı bilmiyorum.)
>>
>>[alıntı]
>>...
>>a) Elektronik veri: Elektronik, optik veya benzeri yollarla üretilen, taşınan veya saklanan kayıtları,
>>
>>b) Elektronik imza: Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi,
>>...
>>ı) Elektronik sertifika: İmza sahibinin imza doğrulama verisini ve kimlik bilgilerini birbirine bağlayan elektronik kaydı,
>>--
>>Elektronik sertifikalarda sahtekârlık
>>
>>..
>>Madde 17- Tamamen veya kısmen sahte elektronik sertifika oluşturanlar veya geçerli olarak oluşturulan elektronik sertifikaları taklit veya tahrif edenler ile yetkisi olmadan elektronik sertifika oluşturanlar veya bu elektronik sertifikaları bilerek kullananlar, filleri başka bir suç oluştursa bile ayrıca, iki yıldan beş yıla kadar hapis ve bir milyar liradan aşağı olmamak üzere ağır para cezasıyla cezalandırılırlar.
>>
>>Yukarıdaki fıkrada işlenen suçlar elektronik sertifika hizmet sağlayıcısı çalışanları tarafından işlenirse bu cezalar yarısına kadar artırılır.
>>
>>Bu maddedeki suçlar nedeniyle oluşan zarar ayrıca tazmin ettirilir.
>>
>>...
>>Elektronik sertifika hizmet sağlayıcısı
>>
>>Madde 8- Elektronik sertifika hizmet sağlayıcısı, elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile özel hukuk gerçek veya tüzel kişilerdir. Elektronik sertifika hizmet sağlayıcısı, Kuruma yapacağı bildirimden iki ay sonra faaliyete geçer
>>
>>.......
>>Madde 12- Elektronik sertifika hizmet sağlayıcısı;
>>
>>a) Elektronik sertifika talep eden kişiden, elektronik sertifika vermek için gerekli bilgiler hariç bilgi talep edemez ve bu bilgileri kişinin rızası dışında elde edemez,
>>
>>b) Elektronik sertifika sahibinin izni olmaksızın sertifikayı üçüncü kişilerin ulaşabileceği ortamlarda bulunduramaz,
>>
>>c) Elektronik sertifika talep eden kişinin yazılı rızası olmaksızın üçüncü kişilerin kişisel verileri elde etmesini engeller. Bu bilgileri sertifika sahibinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz.
>>
>>[/alıntı]
>>
>>Şimdi bu anlamda ben
>>a) ya dayanarak; Web sitesi (özellikle dinamik olanlar) Elektronik veri
>>b) ye dayanarak; PGP ve SSL Kriptografik anahtarlarını Elektronik imza
>>ı) ya dayanarak; SSL Sertifikalarını Elektronik Sertifika olarak
>>anlayabilir miyim? En azından bu şekilde yorumlanabilir kanaatindeyim.
>>j) Kurum: Telekomünikasyon Kurumunu,
>>
>>ifade eder.
>>
>>
>>
>>Şimdi Madde 8 e göre Ben kurumdan (tanımda -madde j- Telekomunikasyon Kurumu alarak geçiyor ki Türkiye'de bu kurumda Türk telekom olarak tanımlandı sanırım. ) a bu işlemi yapacağımı bildirip 2 içinde kurumdan gelecek olan izni alamazsam, Madde 17 ye göre SSL sertifikası oluşturmam durumunda hapis ve para cezası ile karşılaşabilirim.
>>
>>
>>Yanlış mı anlıyorum?
>>
>>Ayrıca dikkatimi çeken bir nokta; Sertifika hizmet sağlayıcılarının yükümlülüklerinde olan 12.maddenin c ve d bendleri ne göre, sertifika sahibi "bütün internet alemi bu sertifikaya ulaşabilir" gibi bir izin vermezse, SSL web sitesi sunması, hizmet sağlayıcının zor durumda klamasına neden olmaz mı? Sadece ilgimi çektiği için belirttim.
>>
>>
>>( Avukat falan değilim ama tasarıyı anlayabildim. İlginçtir tasarı Türkçe yazılmış )
>>
>>
>>
>>20 Jan 2004 17:17 EET tarihinde yazmışsınız:
>>
>>
>>
>>
>>
>>>Merhabalar,
>>>
>>>Hukuki degil ama, teknik ozetlemek istiyorum durumu.
>>>
>>>Birincisi, imza ayrı şeydir, sertifika ayrı şeydir. Imza, bir belgeyi
>>>sizin gerçekten onayladiginizi, karsi tarafin eline gecene kadar
>>>degismedigini belirten bir isarettir. Imzayi siz olusturursunuz. Ancak,
>>>cesitli amaclarla, "benim imzam budur" diye bildirirsiniz. Ornek: Firma
>>>kurmak icin Noter'e kayitli imza bildirimi.
>>>
>>>Sertifika, bir otoritenin, size verdigi bir belgedir, bir cesit kimlik
>>>belgesi gibi, ya da ehliyet gibi. "Bu adam gercekten bu kimlige, bu
>>>adrese sahip adamdir. Bu isi yapmaya yetkilidir" gibi bir belge.
>>>Dolayisi ile, sertifikanin sadece bir yerlere kaydi yeterli olmaz, bir
>>>
>>>
>>>
>>>
>>--
>>Onur Yalazi
>>
>>linux-sohbet listesinden cikmak ve tum listeci islemleri icin
>>http://liste.linux.org.tr/ adresini kullanabilirisniz.
>>Bu listeden cikmak icin <a href="mailto:linux-sohbet-request@liste.linux.org.tr?Subject=unsubscribe">tiklayiniz</a>
>>
>>
>>
>
>
>
>linux-sohbet listesinden cikmak ve tum listeci islemleri icin
>http://liste.linux.org.tr/ adresini kullanabilirisniz.
>Bu listeden cikmak icin <a href="mailto:linux-sohbet-request@liste.linux.org.tr?Subject=unsubscribe">tiklayiniz</a>
>
linux-sohbet listesinden cikmak ve tum listeci islemleri icin
http://liste.linux.org.tr/ adresini kullanabilirisniz.
Bu listeden cikmak icin <a href="mailto:linux-sohbet-request@liste.linux.org.tr?Subject=unsubscribe">tiklayiniz</a>