ETK

Teknik Çalışma Grubu’nun amacı, elektronik ticaretin Türkiye’de gelişip yaygınlaştırılması sürecindeki teknik problemlerin çözümünde yol gösterme ve danışmanlık yapmak için gereken teknik bilgi donanımını edinmektir. Bu noktadan hareketle; grup, sayısal imza, şifreleme, elektronik veri değişimi gibi elektronik ticaretin teknik bileşkeleri konusunda dünyada gelinen aşamayı saptamayı ve Türkiye koşullarına uygun teknik yapılanma konusunda gerekli standartları belirlemeyi hedeflemektedir.

Teknik Çalışma Grubu’nda yer alan kuruluş ve firmalar şunlardır: TÜBİTAK-BİLTEN (başkan), T.C. Sanayi ve Ticaret Bakanlığı, T.C. Ulaştırma Bakanlığı, T.C Sağlık Bakanlığı, Devlet Planlama Teşkilatı, Hazine Müsteşarlığı, Dış Ticaret Müsteşarlığı, Gümrük Müsteşarlığı, Devlet İstatistik Enstitüsü, Merkez Bankası, Ziraat Bankası, Türkiye Odalar ve Borsalar Birliği , KOSGEB ( Küçük ve Orta Ölçekli Sanayiileri Geliştirme Birliği),İGEME (İhraacaatı Geliştirme Merkezi),Orta Anadolu İhracaatçıları Birliği, TTGV ( Türk Teknoloji Geliştirme Vakfı), MPM ( Milli Prodüktivite Merkezi), Türk Patent Enstitüsü, İş Bankası, Emlak Bankası, Demirbank, Rekabet Kurumu, Türk Telekom A.Ş, Türk Eximbank.

Grup 26.2.1998 tarihinde yapılan ilk toplantısında üç aylık dönemler için çalışma planları yapmaya karar vermiş ve çalışmalarını yeterli ayrıntı düzeyinde sürdürebilmek için belli konularda uzmanlaşmaya yönelik alt çalışma grupları belirlemiştir (Bkz. Tablo 1). Aynı toplantıda alt grupların yapacağı çalışmaların raporlarının ve toplanan dokümanların ortak kullanıma açık bir ortamda saklanmasına, katılınan ve katılınacak olan uluslararası toplantılar hakkında grup içi bilgi iletişiminin sağlanmasına, uzmanlaşmış kuruluşların teknik konularda grubu bilgilendirmesine karar verilmiştir. Şu ana kadar yapılan toplantılarda, çeşitli kuruluşlar sunuşlar yapmıştır. Bu sunuşların özetleri Ek-1’de verilmiştir. Yapılan sunuşlarda geçen ve dünya genelinde incelenen elektronik ticaret ile ilgili metinlerde karşılaşılan elektronik ticaret terimlerinin Türkçe karşılıklarının belirlenmesi ve standart hale getirilmesi amacıyla elektronik ticaret ile ilgili bir terimler ve tanımlar sözlüğü oluşturulmuştur. Bu sözlük Ek-2’de verilmiştir.

	İŞ PAKETİ ADI	İLGİLİ KURULUŞLAR
1	Elektronik Ticarette Terimler ve Tanımlar	BİLTEN, İGEME, DTM
2	Elektronik Ticaretin Tarafları ve İlişkiler	San.veTic Bak, DTM, Gümrük Müst., TOBB, Eximbank, OAİB
3	Tarafların Elektronik Ticaretteki Mevcut Aktivitelerinin Belirlenmesi	Teknik Çalışma Grubu (başkan: BİLTEN)
4	Elektronik Ticaretin İhtiyaç Duyduğu Telekomünikasyon Altyapısı	BİLTEN, Ulaştırma Bak., Türk Telekom, Ziraat Bank., DPT
5	Standartlar -- Teknik ve Yazılım, Haberleşme Ölçütleri, Kodlama Standartları, SET, vb	KOSGEB, DİE, BİLTEN, TSE, TOBB, Sanayii Bak., Ziraat Bank., İş Bank.
6	EDİ'nin Tanıtılması ve Kullanıcı Grubu Oluşturulması	İGEME, Gümrük Müst., DİE, DTM, BİLTEN
7	Bilgi Güvenliği	BİLTEN, İş Bank., İGEME
8	Ödeme Sistemleri Teknolojileri ve İlişkin Teknik Sorunlar	Merkez Bankası, Bankalar

(Not: Koyu renkle yazılmış kuruluşlar bulundukları alt çalışma grubuna başkanlık etmektedirler.)

2. Elektronik Ticaret’e Genel Bakış

Bilgisayar ağlarının gündelik yaşama girmesi, dünyanın çehresini değiştirmekte ve kağıt üzerinde yapılagelmekte olan hemen hemen herşey için, yepyeni bir ortam sunmaktadır: Elektronik ortam... İnsanların birbirleriyle yüz yüze konuşarak yaptıkları birçok iş, yerini bilgisayarların otomatik olarak yapabildikleri bir haberleşme türüne bırakmaya başlamıştır: ‘Elektronik Veri Değişimi (EVD)’ , ya da ingilizcede kullanıldığı gibi ‘Electronic Data Interchange (EDI)’. EVD sayesinde bilgisayarlar, kendilerine belirli bir yazılımla önceden öğretildiği şekilde ve kullanıcılarının istediği konularda, birbirleriyle otomatik olarak veri değiş tokuşu yapmakta, otomatik olarak yollanan ve alıcısına ulaşan verileri yine otomatik olarak değerlendirebilmektedirler. Böylelikle bilgi, onu kullanacak olanın eline adeta hammaddeden ürüne dönüşmüş olarak ve gerekli son adıma kadar işlenmiş olarak geçebilmektedir.

Öte yandan, dünyanın apayrı iki ucundaki birbirini hiç tanımayan iki bilgisayar kullanıcısı, yüzyüze hiç görüşmeden, sanal bir uzay içinde tanışabilmekte, birbirleriyle görgü, bilgi veya mal alışverişinde bulunabilmektedirler. Elektronik ticaret olgusu, işte böyle bir gelişmenin sonucu olarak ortaya çıkmıştır.Elektronik ticaretin yaygınlaşabilmesinin önündeki en önemli engel, açık iletişim ağları üzerindeki kullanıcıların birbirlerine kimliklerini kanıtlayabilmeleri sorunudur. Çözüm olarak önerilen ‘açık anahtar altyapısı (public key infrastructure)’ , kimlik kanıtlamaya ek olarak, bilgi bütünlüğü ve gizliliğini de sağlamaya yöneliktir. Açık anahtarlı (veya çift anahtarlı) şifreleme ve sayısal imzalama yöntemlerini kullanan her kişinin, gizli ve açık anahtar adları verilen ve birbirleriyle özel bir ilişkisi olan iki anahtarı (sayı dizisi) vardır. Kişi, gizli anahtarını yalnız kendisi bilir ve imza atarken, ya da şifreli mesajlarını çözerken kullanır. Aynı kişinin açık anahtarı ise herkesin bilgisine ve kullanımına açıktır. Bu açık anahtarı kullananlar, ya anahtar sahibinin imzasını doğrulamak, ya da yalnızca o açık anahtar sahibinin çözebileceği şifreli bir mesaj hazırlamak amacını güderler. Hangi açık anahtarın hangi kişiye ait olduğunu belgelemek için onay kurumları – OK (certification authority – CA) tarafından hazırlanan ve sayısal olarak imzalanan elektronik kimlik belgeleri (digital certificate) gereklidir.

Bilgisayar kullanıcılarını birbirine bağlayan açık bir bilgisayar ağı olan Internet’e dünyanın pek çok ülkesinden ulaşılabilmektedir. Diğer bir deyişle, Internet üzerinden bir ‘dünya tülü’ ya da ingilizce sözcüklerle ‘world wide web – www’ oluşturulmuştur. Bu tülde bir tanıtım sayfası, yani ‘web sitesi’ hazırlayan herhangi bir firma, ürünlerini yaygın bir alıcı kitlesinin incelemesine sunmuş olmaktadır. 1993 yılında yalnızca 30 tane dünya tülü sunucusu (web server) varken, bugün aynı sayı 500 bini aşmıştır. Herkesin erişimine açık tül sayfası sayısı ise 7 milyon civarındadır ve 2000 yılına kadar bu sayının 1.1 milyara ulaşacağı öngörülmektedir. Internet üzerinde bugün 35-40 milyon olduğu sanılan kullanıcı sayısı, pek çok ülkede hızla artmaktadır. Internet trafiğinin yaklaşık olarak yarısı tül sayfalarından geçmektedir, bunun da yüzde 35’inin ticari amaçlı olduğu tahmin edilmektedir. Dünya tülüne dayalı müşteri/firma arası elektronik ticaret (E-ticaret) toplam değeri için ise, 1996 yılında 500 milyon dolar, 2000 yılında 6.6 milyar dolar gibi tahminler verilmektedir.

Firma/firma arasındaki E-ticaret toplam değerlerinin bu sayılardan çok daha fazla olacağı ve müşteri/firma arasındakilerin 100 katına ulaşabileceği düşünülmektedir. Firmaların kendi aralarındaki ticari işlemlerde, otomasyon ve elektronik veri değişimi (EVD) uygulamalarının daha anlamlı olacağı, zamandan, iş gücünden ve kağıt kullanımından yapılan tasarrufların, fiyatları önemli ölçüde düşüreceği savunulmaktadır. EVD, yaklaşık 25 yıldır gündemde olmakla birlikte, kullanımı hep büyük firmalarla sınırlı kalmıştır. Internet’e dayalı EVD, kapalı özel ağların desteklediği EVD’ye oranla daha ucuz bir seçenek sunduğu için son yıllarda daha çok tercih edilmeye başlanmıştır. Özel ağlar yerine Internet kullanımından doğabilecek aksaklıklar da yazılımla giderilmektedir. Öte yandan, E-ticaretin yaygın kullanımında elektronik veri değişimi (EVD) uygulamalarının yalnızca bir altküme oluşturacağı ve genel E-ticaret kavramının, EVD içermeyen uygulamaları da kapsayacak esneklikte olacağı öngörülmektedir.

Elektronik ticaret, elektronik araçlarla yapılan ticari işlemlere yönelik tüm çalışmaları içerdiği için E-ticareti sadece ‘Internet’ kapsamında görmemek gerekir. Bu bakımdan sanal ortamlarda verilecek iş emirlerini iki ayrı kategoride değerlendirmek gerekmektedir; bunlardan bazıları açık ( dünya tülü-www tabanlı), bazıları da kapalı sistemlerle mümkün olan işlemlerdir.

Dünyada elektronik ticaret konusundaki çalışmalarda gelişmiş ülkeler başı çekmektedirler. Çeşitli ülkelerin E-ticaret konusundaki çalışmaları incelenerek, G7 ülkeleri, Japonya, Avrupa Birliği, Avustralya gibi bazı ülkeler için aşağıda ana hatlarıyla özetlenmiştir.

G7 ülkelerinde Elektronik Ticaret ile ilgili çalışmalara Amerika Birleşik Devletleri’nin öncülük yaptığı gözlenmektedir. ABD hükümeti, elektronik ticaretteki gelişmeleri yakından takip etmekte, bu konuda özel sektörün çalışmalarını desteklemekte ve hiçbir şekilde bir kısıtlama getirmemeye çalışmaktadır. Önümüzdeki birkaç yıl içinde bilgisayar ağları üzerinden yapılan ticaretin 10 milyar doları aşmasının beklenmesi, konunun ciddiyetini arttırmaktadır. Son olarak Başkan Clinton’ın isteği üzerine Beyaz Saray tarafından küresel elektronik ticaret kurallarının incelendiği bir rapor hazırlanmış ve ‘Elektronik Ticaret için bir Çerçeve’ (A Framework for Global Electronic Commerce) adıyla yayınlanmıştır.

G7 Pilot Projesi olarak sürmekte olan “Küçük ve Orta Büyüklükteki İşletmeler için Küresel Pazar” (Global Marketplace for SME’s) kapsamında, elektronik ticaretin küçük ve orta boy işletmeler (KOBİ’ler) için yararları ve yapılması gereken düzenlemeler, çalışma grupları oluşturarak ele alınmıştır. Bu çalışma grupları:

-	enformasyon ağları (information networks),
-	küreselleşme ve getirdikleri (globalization),
-	uygulama boyutu (deployment),
-	yasal düzenlemeler ve güvenlik (legal, regulatory, security),
-	uyum (interoperability),
-	finansman (financial issues),
-	pilot uygulamalar (testbeds and pilots) konuları etrafında oluşmuş, bu konularda çerçeveler çizilmiş, hedefler belirtilmiş, ve hedeflere uygun örgütlenmeler yapılmıştır.

G7 ülkeleri genel olarak kendi altyapılarında sürmekte olan elektronik ticareti yaygınlaştırmayı, vergi kayıplarını engellemek için kontrol mekanizmaları oluşturmayı, gereken güvenlik altyapısını, yasal düzenlemeleri ve yerel uygulamaları geliştirmeyi öngörmektedirler. Bu alanda yapılacak çalışmalarla KOBİ’lerini uluslararası ticarete açmayı ve ticari işlemlerin bilgisayar ağları üzerinden yürütülmesini hedef seçmiş bulunmaktadırlar. Üzerinde çalıştıkları sistemler ile gümrük işlemleri de dahil olmak üzere ticari işlemlerin güvenli ve hızlı bir şekilde bilgisayar ağları üzerinden yapılmasını sağlayacaklardır.

G7 organizasyonu, elektronik ticaretin Internet üzerinden yapılacağı konusunu reddetmekte fakat ağyapıları ve iletişim konusundaki gelişmelerden de konuyu soyutlamamaktadır. Bu gelişmelerden X.25, X.400, B-ISDN ve ATM ağyapıları önemli görülmektedir. ATM yapıları ile daha hızlı iletişimin mümkün olması, çokluortam bilgilerinin Internet yoluyla yayınlanmasını, dolayısıyla coğrafi olarak uzak yerler arasında Internet üzerinden telekonferans ve görüntü transferini mümkün kılmaktadır. Böylece etkin ve yaygın ürün tanıtımları ile sunumlar Internet üzerinden yapılabilecektir.

G7 organizasyonu güvenlik ve yasal düzenlemeler konusunda, hem bilgilerin, hem de ticari işlemlerin güven altına alınması gerektiğini belirtmiş; ayrıca bu konudaki yerel ve uluslararası yasal düzenlemeler için bir model önermiştir. Güvenlik konusuna ek olarak, ticari ilişkide bulunacak tarafların güvenilirliklerinin tarafsız kuruluşlar tarafından onaylanmasının gerekliliği de belirtilmiştir.

Japonya’da sistematik elektronik ticaret çalışmaları 1996 yılının başında “Electronic Commerce Promotion Council of Japan (ECom)” adında bir kurumun oluşturulmasıyla başlamıştır. Bu kurum bünyesinde elektronik ticareti farklı yönlerden inceleyen ondört çalışma grubu kurulmuştur. Hali hazırda ondokuz test projesi yürütülmekte ve bu projelere Japonya’nın önde gelen şirket ve kuruluşları da dahil edilerek (350 şirket ve 7 kuruluş), ülke çapında bilgi ve tecrübe paylaşımı amaçlanmakta, elektronik ticaretin standartları belirlenmeye çalışılmaktadır.

Japonya, elektronik ticarete oldukça temelden ve uzun vadeli yaklaşmaktadır. Japonya’da geliştirilmeye çalışılan yöntem, politika ve teknolojilerin tümü, yakın bir gelecekte kağıt para yerine elektronik paranın geçmesini hedeflemektedir. Bu yüzden de Japonya için elektronik ticarette güvenliğin geliştirilmesi, bunun teknolojik ve yasal yönlerinin araştırılması en çok üzerinde durulan konuların başında gelmektedir. Bu ideale ulaşabilmek için gerekli yasal düzenlemelerin hazırlıkları da yine ECom bünyesindeki çalışma gruplarından “Onay Kurumları Çalışma Grubu” (“Certification Authority Working Group”) tarafından gerçekleştirilmektedir. Bu grup, ECom’a üye kurum ve kuruluşlara dağıtılmak üzere, elektronik ticarette yer alacak kurum ve kişilerin yetki ve sorumluluklarını ve birbirleriyle ilişkilerini belirleyen, güvenli elektronik ticaret için bir ön yönetmeliği de içinde barındıran bir rehber yayınlamıştır. Teknolojik olarak güvenli elektronik ticareti sağlamak için ise, IKP (Information security protocols) adı altında, daha güvenli iletişimi sağlayacak protokollerin geliştirilmesi için çalışmalar yapılmaktadır.

1980’lerin başından bu yana Avrupa Birliği, Avrupa - Ağı kapasitesini geliştirmek amacıyla AR-GE ağırlıklı programlar düzenlemekte (ESPRIT, RACE, ACTS, vb.); bu kapsamda EVD – Elektronik Veri Değişimi (EDI - Electronic Data Interchange) sistemlerine ve belirgin olarak da TEDIS(Trade EDI System) girişimine destek vermektedir. 1994’de Avrupa Komisyonu’nun isteği ve bilişim teknolojileri sektöründen önemli şirketlerin desteği ile Avrupa Bilişim altyapısını geliştirmek üzere 10 konuda hedef uygulama çalışmaları başlatılmıştır. Bu çalışmalardan dördü (KOBİ’ler için Telematik Servisleri, Elektronik Sunum, Avrupa Kamu Yönetimi Ağı ve Şehir Bilgi Ağı) elektronik ticaretle doğrudan ilişkilidir.

ESPRIT programı altında 1996’da sunulan AR-GE proje önerileri; yazılım, çoklu ortamlar, yüksek performanslı iletişim ağları, entegre üretim ve iş süreci (business process) teknolojilerini içerecek şekilde elektronik ticareti desteklemektedir.

Avrupa komisyonu, elektronik ticaret konusundaki çalışmaları örgütlemek amacıyla kendi altında açtığı birimler arasında bir görev dağılımı yapmıştır. Elektronik ticarete yönelik AR-GE programlarının büyük bir bölümü DGXIII’e kayıtlıdır. Bu programlar, “Avrupa için Güvenli Elektronik Pazar” oluşturulmasına ve bütün elektronik ticaret çevrimini kapsayan güvenlikli genel modellemeye (secure generic modelling) yöneliktir.

Güvenli, kağıtsız ticaret üzerine BOLERO projesi: sağlık, sosyal güvenlik, gümrük konularında ulusal ve AB aracı kuruluşları arasında idari doküman akışını sağlamaya yönelik IDA (Interchange of Data between Administration) programı DGIII tarafından pilot aşamada mali destek almaktadır. Diğer önemli girişimlerden DGXV tarafından idare edilen SIMAP, pan-Avrupa elektronik tedarik programı ve DGXXIII’e bağlı Commerce 2000 programı KOBİ’lerin elektronik ticarete yönelmesini teşvik etmektedir.

Dünyada bilgisayar dağılımında ikinci, kurulu bilgisayar gücü olarak sekizinci sırada yer alan Avustralya’da elektronik ticaretin gelişmesi hiçbir şekilde alışverişlerin parasal boyutlarıyla kısıtlanmamaktadır. Elektronik ticaret düzenlemeleri, sekiz kamu kuruluşu arasında dağıtılmıştır. Şu anda yürütülmekte olan ve “Yönetimsel Hizmetler Birimi” tarafından eşgüdümü sağlanan en önemli proje, bütün kamu tedarik hizmetlerinin elektronik ticaret ortamına geçirilişidir. Bu geçiş, Başsavcılık, Hazine ve Maliye Bakanlığı tarafından yürütülen politik ve yasal yapıların geliştirilmesi çalışmalarıyla desteklenmektedir. Avustralya hükümeti, endüstri ile işbirliği halinde ticaret ve taşıma zincirinde elektronik raporlama süreçlerinden sorumlu Tradegate kuruluşunun finansmanını sağlamaktadır. Bu kuruluş, sözleşmeli olarak ihracatçı ve ithalatçı şirketler ve Avustralya gümrüğü arasında elektronik bağlantıları kurmaktadır.

Internet üzerinde elektronik ticaret tam anlamıyla uygulamaya konulamamıştır. Bu konuda en büyük engel son kullanıcıların güvenlik konusunda duydukları kaygılardır. Internet üzerinden yürütülen ticaretin çok önemli bir kısmı ürün tanıtımı ve kullanıcı onayını takiben kredi kartı numaraları üzerinden faturalandırma esasıyla işlemektedir. İşletmeler arası ticarette ise, şifrelenmiş elektronik posta kullanarak yapılan yazışmalar gittikçe yaygınlaşmaktadır.

Güvenlik ve şifreleme konusunda yurtdışında bulunan özel kuruluşların verdiği hizmetlerden yararlanılmaktadır. Bu hizmetler arasında kredi kartının geçerliliğinin onaylanması ve siparişe bağlı veri ambarı uygulamaları önemli yer tutmaktadır. Varolan hizmetlere ek olarak güvenlik ve şifreleme konularında özel şirketler çalışmalarını sürdürmekte, kredi kartı işlemlerinin yerini elektronik para ile yapılan alışverişlerin alması yönünde uygulamalar geliştirmektedirler. İşlemlerin güvenliğine paralel olarak, ağ güvenliği pazarı da aynı hızda genişlemektedir.

Kullanıcıların E-ticarete güven duyabilmesinin önündeki en önemli teknik sorun, Internet üzerindeki bilgi güvenliğinin sağlanması ve güvenli ödeme yapılabilmesidir. Bilgi güvenliğinden amaçlananlar: i) kimlik kanıtlanması, ii) bilginin bütünlüğü, bozulmamışlığı, iii) bilginin gizliliğidir. Bilgi güvenliğinin sağlanabilmesi için, her kullanıcıya biri gizli diğeri açık iki anahtar (sayı dizisi) veren açık anahtarlı kriptografi tekniklerinin kullanılması ve dünya üzerine yayılmış bir açık anahtar altyapısı (public key infrastructure) kurulması gereklidir (Bkz.Ek.1, 1.Sunuş)..

Açık anahtarlı kriptografide kimlik kanıtlanması ve bilgi bütünlüğü, ‘sayısal imza (digital signature)’ ile sağlanır. Sayısal imza, yollanan mesajın özetinin, imzalayanın gizli anahtarıyla şifrelenmesiyle oluşur. İmzayı doğrulamak için, imzalayanın açık anahtarı kullanılır. Bu nedenle, açık anahtarlar herkesin kullanımına açık bir veri tabanında tutulmalı ve sürekli olarak güncellenmelidir. Bu veri tabanlarını güncelleyen, anahtar üretimi, dağıtımı ve yönetimini sağlayan, kişilerin açık anahtarları ve kimlik bilgilerini içeren elektronik kimlik belgelerini (EKB) hazırlayan onay kurumları (OK) veya güvenilir üçüncü kuruluşlar (GÜK), birbirleriyle eşgüdüm içinde çalışmalı, ulusal ve uluslarası düzeylerde, kendilerine benzer kuruluşlarla karşılıklı olarak birbirlerini tanımalıdırlar.

Dünya pazarındaki en tanınmış onay kurumu olan VeriSign, RSA Bilgi Güvenliği, Ameritech ve Visa şirketlerinin ortaklığıyla kurulmuştur. Açık ağlar üzerinden birbirine ulaşmak isteyen iki kullanıcı, örneğin Çin’de, ABD’de veya Avustralya’da olabileceği için, kimliklerini karşılıklı olarak hızlıca kanıtlayabilmeleri, bütün onay kurumlarının uyum içinde çalışıyor olmasına bağlıdır. Açık anahtar altyapısından amaçlanan da, eşgüdüm ve etkileşim içinde çalışması gereken onay kurumları/güvenilir üçüncü kuruluşlar/sayısal noterler/zaman damgası vurma veya anahtar bulma kurumları gibi kuruluşların sağladığı ulusal ve küresel hizmetler bütünüdür.

ABD’de açık anahtar altyapısı kurma sorumluluğunu üstlenen Ulusal Standartlar ve Teknoloji Geliştirme Enstitüsü, NIST, elektronik kimlik belgesi hazırlayan, içinde AT&T, Motorola, VeriSign gibi kuruluşların da bulunduğu 10 onay kurumunun yazılımlarını inceleyerek, bütün bu yazılımların uyum içinde çalışması için gerekli ölçütleri belirlemektedir.

Kanada’da ise Ottawa Northern Telekomünikasyon şirketi, 1998 yılında 15 milyon kullanıcıya destek verebilecek bir açık anahtar altyapısı kurmakta ve bu yapı içinde öncelikle, halkın kendisiyle ilgili devlet bilgilerine kolayca ulaşımını, devlet dairelerinin gerekli bilgileri paylaşmasını sağlamayı amaçlamaktadır.

Onay kurumlarının önemli bir bölümünü de banka ve benzeri kuruluşların oluşturması çok doğaldır. Örneğin, SET(Secure Electronic Transactions) standardını geliştiren MasterCard ve Visa, bu standardın gerektirdiği onay kurumu/ sertifika otoritesi hizmetlerini de veren kuruluşlar olacaklardır.

Dünya üzerindeki değişik ülkelerin kriptografi politikaları oldukça önemli farklılıklar göstermektedir. ABD, kriptografik ürünlerin dış satımına kısıtlamalar koymakta, örneğin çok yaygın olarak kullanılan bir açık(çift) anahtarlı şifreleme yöntemi olan RSA algoritmasının anahtarı olan n sayısının 512 ikili’yi aşmasına izin vermemektedir. Ülke içinde 1024 ikili uygulamaları yasaklamadığı halde, bu durumdan endişe duymakta ve sade vatandaşla birlikte, yasadışı örgütlerin de çok önemli bir gizli iletişim gücü ele geçirmesini sakıncalı bulmaktadır. ABD’nin bu soruna bulduğu çözüm, güvenilir üçüncü kuruluşlar, yani GÜK’ler yardımıyla, herkesin gizli (özel) anahtarına, yasalar gerektirdiği zaman ulaşılmasını sağlayacak yöntemler geliştirilmesidir. Fransa, İsrail, Belçika, Çin gibi ülkeler de, kriptografik ürünlerin dışalımını kısıtlamış, ve gizli anahtarların GÜK’ler tarafından saklanmasını zorlayıcı önlemler almışlardır. İngiltere’deki kriptografi politikaları da benzer endişelerle planlanmaktadır. En uç önlem ise bir Güneydoğu Asya ülkesinden gelmiş ve Birmanya, 1996’nın Eylül ayında Internet bağlantılarını yasaklamıştır.

Öte yandan birçok Avrupa ülkesi ve Avustralya, Japonya gibi ülkeler, kısıtlamalar ve yasaklamalardan yana değildirler. Özellikle Avrupa Birliği ülkeleri, ikili gizliliği tehdit eden her türlü önlemin, insan haklarına aykırı olduğunu ve elektronik ticaretin serbest gelişimini engelleyeceğini ileri sürmektedirler. Japonya, kriptografiye öncelikle ekonomiyi canlandırması açısından bakmakta, ulusal güvenlik yönünden kriptografiyi bir tehdit olarak algılamamaktadır. Bu ülkelerden, GÜK’ler konusundaki politikası belli olmayan Japonya dışındakiler, GÜK’lerin gerekliliğine inanmamakta, üçüncü kuruluşlara güvenilmesi gereksinimi yaratan bir toplumsal düzenlemenin, sonunda GÜK’lerin güvenilirliğini zorlayacak, sarsacak yöntemler gelişmesine yol açabileceğini düşünmektedirler. Bu durum ise yasalara uyan vatandaşların haklarını zedeleyecek, sayısal imzaların taklit edilebilmesine, gizli mesajların istenmeyen kişiler tarafından okunmasına, ekonominin zarar görmesine yol açabilecek ve E-ticaretin gelişmesini engelleyebilecektir.

GÜK’leri gerekli veya gereksiz bulan iki ayrı görüş, onay kurumlarının (OK) gerekliliği konusunda ise birleşmektedir. Onay kurumlarını GÜK’lerden ayıran en önemli özellik, gizli anahtarları saklamaması ve anahtar çiftini üretip kullanıcıya verse bile kendisindeki gizli anantar kopyasını imha etmesidir.

Yurdumuzda bilgisayar ağları altyapısının geliştirilmesi yönünde önemli çabalar vardır. Türk Telekom A.Ş.’nin Internet’in sağlıklı gelişimi ve Türkiye’de Internet gereklerinin saptanması için yürütmekte olduğu çalışmalar hızla devam etmektedir (Bkz.Ek.1, 5.Sunuş). Türk Telekom’un Internet stratejisi oluşturulurken, diğer ülkelerdeki telekomünikasyon operatörlerinin bu alandaki rolleri incelenmiş ve bu deneyimlerin sonuçları Türkiye uygulamasına aktarılmaya çalışılmıştır. Son yıllarda gerek Internet dünyasında, gerek Türkiye Internet şebekesinde önemli değişiklikler yaşanmıştır. Bu bağlamda, Türkiye’yi içine alan yeni teknoloji temelli ve en son uygulamalara açık bir Internet altyapı ağının kurulmasının gerekliliği konusunda görüş birliğine varılmıştır. 1995 yılı sonunda hızlı Internet hizmetleri için TURNET ihalesine çıkılmış ve 1996’da TURNET şebekesi kurulmuştur. Ancak, telefon konuşmaları için ortalama bağlantı süresi 1-2 dakika olarak düşünülen telefon şebekesi üzerinden yapılan veri bağlantıları, ortalama 15-20 dakikaya kadar çıktığı için, Internet trafiğini kaldıramayan şebekede teknik sorunlar çıkmıştır. Yurtdışı çıkış kapasitesi de oldukça yetersiz kalan TURNET ağı yerine 1998 yılı sonuna kadar, 3 x 34 megabit/saniyelik yurtdışı çıkışlı TTNET ağının kurulması planlanmaktadır. Üç metropolitanı ( Ankara, İstanbul, İzmir ) saniyede 155 megabit hızla birbirine bağlayacak olan bu ağ, 20 büyük ilde 34, geri kalan illerde de 2’şer megabit/saniyelik bağlantılar sağlayacaktır. Şu sırada Internet’e bağlı olan üniversiteler ve kamu kuruluşları dışında kalan kamu kuruluşlarının da, TTNET’in kurulmasından sonra, 1999 yılı içinde Internet’e bağlanması beklenmelidir.

Türkiye’de birçok kamu kuruluşu, bilgisayar donanım ve yazılım altyapısını geliştirerek, yapmakla yükümlü olduğu işlerin otomasyonu, böylelikle insani hatalardan arındırılması, veri bankalarında toplanan bilgilerin erişim kolaylığı ve çabukluğundan yararlanılması gibi amaçlarla projeler yürütmektedir. İçişleri Bakanlığı Merkezi Nüfus İşleri Sistemi (MERNİS), Sağlık Bakanlığı Temel Sağlık İstatistikleri Bilgi Sistemi, Gümrük Bakanlığı Gümrük Sistemleri Otomasyonu (Bkz.Ek.1, 3.Sunuş) gibi projeler bunların başlıcalarıdır.

Türk bankacılık sektörünün de oldukça gelişmiş bir bilgisayar altyapısı vardır. Birçok büyük banka, merkez ve şubeleri arasında gerçek zamanda bilgisayar iletişimini sağlamıştır (Bkz.Ek.1, 2.Sunuş). Merkez bankası ve diğer bankalar arasındaki elektronik fon transferleri (EFT) yine gerçek zamanda ve ‘RTGS-Real Time Gross Settlement’ sistemi kullanılarak yapılmaktadır, ve Türk bankalarının yüzde 99’u bu sisteme bağlıdır (Bkz.Ek.1, 4.Sunuş). RTGS kullanımında Türkiye, dünyadaki öncü 5-6 ülke içerisindedir. 1992 yılından beri çalışmakta olan EFT-1 projesinden sonra, çok daha kapsamlı ve yetenekleri arttırılmış olan EFT-2 ve EMKT (Elektronik Menkul Kıymet Transferi) projeleri kapsamında çalışmalara devam edilmektedir.

Internet üzerinden bankacılık hizmetlerine iki büyük banka başlamış, diğer ikisi de yakın bir gelecekte başlamayı planlamaktadır. Müşteriyle banka arasındaki iletişimde bilgi güvenliğinin sağlanması, bankalardan birincisinde tümüyle ulusal olarak geliştirilen bir yazılımla yapılırken, diğer banka yurtdışından satın aldığı standart bir yazılımı kullanmaktadır. İki bankanın tek anahtarlı simetrik şifre algoritması da 128 ikillik anahtarlarla çalıştırılmaktadır.

Elektronik ticarete başlangıç olarak düşünülebilecek bazı girişimler de vardır. Bilgisayar ürünleri ve kitap satan birkaç firma, ve büyük bir süpermarket, Internet üzerinde hazırladıkları ‘web siteleri’ yani tül sayfaları ile kullanıcıya ulaşmakta, zengin ürün çeşitleri sergileyebilmektedirler. Fakat bu uygulamaların hiçbirinde açık anahtarlı kriptografi kullanılmadığı için, firmaları kötü niyetli kullanıcıların aldatmasına karşı koruyabilecek bir önlem de yoktur. Diğer bir deyişle, kullanıcının iddia ettiği kimliğin kanıtlanması, kredi kartı numarasının kendisine ait olduğunun belirlenmesi ve mesajın yolda bozulmadığının gösterilmesine yarayacak sayısal imzanın olmaması, firmayı E-ticaret uygulamasında bir risk altına sokmaktadır.

Benzer eksiklikler kamu kuruluşlarının EDI projelerinde de sorun yaratmakta, sayısal imza için gereken teknik ve hukuksal altyapının Türkiye’de hazır olmaması, sistemi kullanmak için başvuran yurttaşların ‘ıslak imzalarının’ bulunduğu belgelerinin, görevliler tarafından, bilgisayar ekranındaki belgeyle karşılaştırılarak kontrolü insani hataları gündeme getirebilecektir.

Bu bölümde, dünyadaki bilgi güvenliği uygulamalarında çok sık karşılaşılan elektronik bankacılık ve elektronik ticaretten, bir uygulama örneği olarak sözedilecektir . Bankaların elektronik ticaret uygulamalarında, bilgi güvenliği konusu ön planda gelmektedir. Banka ile müşteri arasında güvenilir bir elektronik hesap açılabilmesi için şöyle bir yöntem düşünülebilir:

2. Banka başvurunun ciddiyetinden emin olabilmek için, formdaki bilgilerin tutarlı olup olmadığını, bazı devlet kuruluşlarıyla işbirliği yaparak denetleyebilir. Aynı nedenle banka, elektronik başvuruya ek olarak, müşterinin elle doldurup imzaladığı ve postayla yolladığı ikinci bir başvuru belgesi isteyebilir.

3. Banka, müşterinin verdiği posta adresinin güvenilirliğinden emin olduktan sonra, bu adrese müşterinin gizli anahtarını ve açık anahtarıyla kullanıcı adının eşlendiği elektronik kimlik belgesini (EKB) içeren bir disket veya akıllı kart yollayabilir. EKB’yi onaylayan kurum (OK) bankanın bağlı olduğu onay kurumu olabileceği gibi, OK görevini bankanın üstlenmesi de mümkündür.

4. Kullanıcı, disket veya akıllı kartını aldıktan sonra bankadaki elektronik hesabı açılmış olacağından, elektronik olarak yapacağı alışverişler, hesap açmış olduğu bankanın güvencesi altında olacaktır. Diğer bir deyişle, bu kullanıcının akıllı kart veya disketini kullanarak attığı sayısal imzası, alışverişteki muhatabına bankanın güvencesi altında yansıyacaktır.

Müşterilerin bankayla iletişimi, elektronik ortamda dünya üzerinde yayılmış ve akla gelebilecek her konudaki bilgiyi isteyenlerin kullanımına sunmak amacıyla hazırlanmış olan www (world wide web) ağını (ki buna dünya tülü de diyebiliriz) tarayıcı programlar yoluyla olur. www bilgi sitelerinin ilk oluşturulmaya başlandığı yıllarda (90 başları) düşünülen bilgi

verme / bilgi sunma amacı, günümüzde genişletilmiş ve www kullanıcılarının pasif / edilgin konumda bilgiyi almalarına ek olarak, bazı veri tabanlarına ulaşabilmelerine, aktif / etkin olarak işlem yapabilmelerine olanak tanınmıştır. Böylece müşterinin www ağından banka bilgi sitesine girmesi, onun banka veri tabanına ulaşması için yeterli olacaktır. Kullanıcı, banka hesabından para çekip istediği yere yatırır, hisse senedi alıp satar, ve yaptığı bütün işlemleri belgeleyen makbuzları bilgisayar ekranından evindeki yazıcıya aktarabilir. Elektronik ortamda yaptığı bütün işlemler bankanın bilgi sitesi içinde otomatik olarak şifrelenecektir. Bu şifreli mesajların kullandığı açık anahtar bankaya ait olduğu için, banka sunumcusu (server), bankanın gizli anahtarını kullanarak şifreyi çözecek ve kullanıcının isteklerini yerine getirecektir.

Banka sunumcusunun kullandığı işletim sisteminin de güvenilirlik koşullarını sağlaması gereklidir. (Örneğin, askeri güvenlik koşullarını sağlayan ve ticari kullanım için uyarlanmış işletim sistemleri piyasada bulunmaktadır.) ABD’de 14 bankanın katılımıyla 1995 yılında kurulan SFNB (Security First Network Banking) - güvenli bankacılık ağında, resmi uygulamalar dışındaki ilk güvenilir işletim sistemi teknolojisi kullanılmıştır. Bu işletim sistemi sayesinde, hem yapının dış etkilere karşı korunması, hem de sisteme erişimi, belli bir hiyerarşik otorite zincirine göre düzenleyip bazı erişimlere ayrıcalık tanınması mümkün olabilmektedir.

Güvenilir bir işletim sistemi, banka içi uygulamaları banka çevresinden ayıracak bir koruma duvarı yaratır. Bu koruma duvarı, açık bilgisayar ağından gelen tüm iletileri bir güvenlik denetiminden geçirdikten sonra banka içine ulaştırır. Böylece, açık ağdaki trafik, banka içi işlemleri etkileyemez ve bankanın kullanıcılara açık bilgi sitesine bilerek veya bilinçsizce yapılan herhangi bir elektronik saldırı, banka veri tabanına zarar veremez.

Güvenilir bir işletim sisteminin kötü niyetli kullanımlara karşı aldığı bir diğer önlem de, şüphe uyandırabilecek her işlemin, ayrıcalıkları kullanma denemelerinin, başarısız ağ bağlantılarının izlenmesi ve bu tür bağlantıların gerekirse engellenebilmek üzere kaydedilmesidir.

3. Sonuç

Türkiye’de yaklaşık olarak evlerin yüzde 6-7’si, iş yerlerinin ise yüzde 11’inde bilgisayar bulunmaktadır. Bu oran gelişmiş ülkelerdeki oranlardan çok düşüktür; bu nedenle, bilgisayar ağları üzerinden yapılacak elektronik ticarete Türk halkının yaygın olarak katılacağı düşünülmemelidir. Öte yandan, az sayıda da olsa bazı ticari kuruluşlarımızın Internet üzerinde dünya tülü sayfaları hazırlayarak dünya ile iletişim kurabilmesi ve ürünlerini tanıtıp dünya çapındaki rekabetle başedebilmesi mümkündür. Fakat dünya tülü üzerindeki satıcı sayısının bir çığ gibi büyüyeceği varsayılırsa, böyle yaygın bir rekabete uzun süre dayanılması kolay olmayacaktır. Bu nedenle, elektronik ticaretteki gelişmelerin uzun vadede küçük ve orta boy işletmelerden çok, büyük kuruluşlara yarayacağı öngörülebilir. Eğer elektronik ticaret, ABD’li uzmanların tahmin ettiği ölçüde ve hızda yaygınlaşırsa, ağlar üzerinden ticaret yapanlardan çok daha önce, bilgisayarları, açık anahtar altyapısının gerektirdiği donanım ve yazılımları üreten, dünya standartlarının oluşmasında öncülük eden firmalar oldukça önemli boyutlarda kazanımlar sağlayacaklardır.

Açık ağlarda kimlik kanıtlama ve bilgi bütünlüğünü koruma sorunlarına çözüm getiren sayısal imza uygulaması, ağ üzerindeki kullanıcıların birbirlerine güven duymasına yarayacak; ama beraberinde yeni ve farklı bir güven sorunu getirecektir: Onay kurumlarına, onlar tarafından dağıtılan anahtar çiftlerinin düzgün üretilmiş olduğuna, kişilerin gizli anahtarlarının iyi, dürüst ve sağlam ellerde saklanacağına, ya da üretilir üretilmez imha edileceğine, elektronik kimlik belgelerinin güncellenmesinin düzgün yürütüleceğine, yasal olarak gizli anahtara erişim durumlarında kişilik haklarının zarar görmeyeceğine, kısacası onay kurumunun işleyişine güvenme veya güvenmeme sorunu. Bu nedenle, 1997 yılı Mart ayında yayınlanan OECD Kriptografi Politikaları Kılavuzu’nda da belirtildiği gibi, kriptografi konusunda hizmet veren kurumların yasal sorumluluklarının açıkça belirlenmesi ve ilgili yasaların ivedi olarak hazırlanması gereklidir(Bkz.Ek.1, 1.Sunuş).

Elektronik ticaretin yaygın, ve hem firmalara hem de müşterilere güven verecek şekilde kullanılmaya başlaması, güvenilir bir açık anahtar altyapısı (AAA) kurulmasıyla paralel olarak yürüyecektir. Bu altyapının kurulmasında öncülük görevi, dünyada olduğu gibi Türkiye’de de bankalara ve finans kuruluşlarına düşecek gibi görünmektedir. E-ticaretin sağlıklı ilk uygulamaları, belirli bir bankada hesabı olan alıcı ve satıcılar arasında kolaylıkla gerçekleşebilir; çünkü aradaki bankanın varlığı, iki taraf için de gerekli güven ortamını oluşturacaktır.

İkinci aşamada, birden fazla bankanın kurduğu ortak yapıya kayıtlı alıcı ve satıcıların, Internet üzerinden alışveriş yapabileceği güvenli bir ortam yaratılabilir. Bankalararası Kredi Kartları Merkezi, böyle bir ortam için uygun bir zemin olacaktır. Fakat böyle bir ağ, Internet üzerinde olsa bile, açık değil, kapalı bir bilgisayar ağı olacaktır; yani bu bankalar grubunda hesabı olmayan bir kişinin sisteme katılabilmesi mümkün olmayacaktır. Böyle bir yapının dünyaya bağlanabilmesi için gereken açık anahtarlı sayısal imza ve şifreleme yazılımı, ya da donanımı dünya standartlarına uyum sağlamak zorundadır.

Gizli anahtarın korunabilmesi için en güvenli ortam, kişinin biometrik bir özelliğine (göz, parmak izi gibi) bağlı olarak çalıştırılabilen akıllı kartlardır. Önümüzdeki yıllarda bilgisayarlara yüklenen sayısal imza ve şifreleme yazılımlarının, bilgisayar tarafından okunabilen akıllı kartlar sayesinde çalıştırılması beklenmektedir. Elektronik ticaret ve açık anahtar altyapısıyla ilgili standartların oluşum sürecine Türk bankalarının birlikte katılmaları, bu konuda yapacakları yatırımları belirlenen standartlar doğrultusunda ve birbirleriyle eşgüdüm içinde yönlendirmeleri, genel verimliliğin artması açısından çok uygun olacaktır.

Ülkemizde yaşanan banker faciası, veya bankalardan bol kredi alıp yurtdışına kaçan firma sahipleri gibi olaylar hatırlanırsa, GÜK’lü bir örgütlenmenin Türkiye’de toplumsal felaketlere yol açması olasılığı hiç de düşük değildir. Güvenilir bir kuruluşun güvenilmez bir elemanının ulaşacağı bir gizli (özel) anahtar, o anahtarın gerçek sahibini mağdur edecek uygulamalara başlangıç olacaktır. Bu durumda, Türkiye için önerilerimizi şöyle sıralayabiliriz:

1. Bir çok ülkenin yaptığı gibi, Türkiye de dünyadaki gelişmeleri yakından izlemeli, fakat yasal düzenlemeler yapıp sayısal imzaya yasal geçerlilik kazandırmakta fazla aceleci davranmamalıdır. İvedilikle alınması gereken önlem, OK (ya da sertifika merkezi) olmak için girişimde bulunan ve reklam yaparak kullanıcıları iki anahtarlı kriptografik yöntemler hazırlayan, sayısal imza veya şifre uygulamalarına alıştıran özel kuruluşların denetlenmesidir.

Bu kuruluşların, teknik içeriğin farkına bile varmadan, müşterilerini atılan sayısal imzaların güvenilirliğine, şifrelerin çözülemeyeceğine ikna etmeleri mümkündür. Halbuki henüz herşey çok yenidir, hiçbir kullanıcının kendi üretmediği ve başkasının ona verdiği gizli anahtarın gerçekten herkesten gizli ve dünyada tek olduğuna inanması için bir neden yoktur. Sertifika dağıtımı yapan bir kuruluşun gerçek bir OK olduğu ve o kurumun gizli anahtarının iyi korunduğu da varsayılmamalıdır.

2. Kullanıcılara, iki anahtarlı kriptografiye hızla uyum sağlamaları, alışverişlerini açık elektronik ağlardan yapmaları için reklam yapılması doğru değildir. Ancak,

i) kişi haklarını koruyucu, OK yetki ve sorumluluklarını belirleyici ve elektronik ticaretin sağlıklı gelişmesini hazırlayıcı yasaların ayrıntılı olarak tartışılması,

ii) elektronik ticaret uygulamalarına başlayan ülkelerin deneyimlerinin gözönünde bulundu-rulması ve

iii) güvenilir yasal çerçevenin oluşmasından sonra, kullanıcıların mağdur olmadan elektronik alışverişlere başlaması özendirilebilir. Türkiye’nin hazırlıksız bir şekilde kriptografik uygulamalara başlamasının ülkemize bu noktada kazandıracağı hiçbir şey yoktur; aksine bireylere ve ülkeye zarar vermesi önlenmelidir.

3. Onay kurumu (OK) görevi yapmak isteyen adayların böyle bir yetkiyi ancak etkin bir denetim ve bağlayıcı sözleşmelerden sonra alması gereklidir. OK’lerin toplum içinde güven kazanabilmesi için, ilk onay kurumlarının kamu kuruluşu ya da çok güvenilir özel kuruluşlardan olması düşünülebilir. Ayrıca, onay kurumu olabilmek için sertifika alınması sürecinin çok dikkatli planlanması uygun olacaktır.

4. Japonya, Kanada, Singapur gibi ülkelerde olduğu gibi, ülkemizde de açık anahtarlı kriptografik altyapının kurulup elektronik ticaretin denenmeye başlandığı pilot/test projelerin ivedilikle üretilmesi ve sonuçlarının değerlendirilmesi çok yerinde olacaktır.

Elektronik ticaretin gelişebilmesi, birbirlerine açık bilgisayar ağları üzerinden bağlanan kişiler arasında aktarılan bilgilerin güven oluşturacak şekilde iletimine bağlıdır. Bilgi güvenliği kavramının içerdiği üç önemli bileşen vardır:

i) açık ağlardan yollanan bilginin kim tarafından yazıldığının belirlenebilmesi , kimliğin kanıtlanabilmesi / doğrulanabilmesi, ve

ii) bilginin ağ üzerindeki yolculuğu sırasında değiştirilmemiş, üçüncü bir kişi tarafından bozulmamış olduğunun, bilgi bütünlüğünün kanıtlanması, ‘sayısal imza’ sayesinde sağlanır.

Sayısal imza, ‘açık anahtarlı kriptografi’ adı verilen bir şifreleme tekniği kullanır. Açık anahtarlı kriptografide her kullanıcıya, iki ayrı anahtar(sayı dizisi) verilir. Bu anahtarlardan biri gizli, diğeri ise herkese açıktır ve iki anahtar arasında özel bir matematiksel ilişki vardır; fakat açık anahtarı bilen herhangi bir kişinin gizli anahtarı bulabilmesi, hesaplayabilmesi mümkün değildir. Açık anahtarlar herkesin ulaşabileceği veri tabanlarında saklanır.

Sayısal imza, iki bileşene bağlı olarak atılır: i) İmza atanın gizli anahtarı ii) İmzalanan mesaj. Mesaj belirli bir özetleme algoritmasından geçirilir, bu özet imza atanın gizli anahtarıyla şifrelenir; bu şekilde şifrelenmiş mesaj özeti sayısal imzayı oluşturur. İmzanın doğrulanabilmesi için, önce, imzayı atanın açık anahtarıyla mesaj özetinin şifresi açılır. Mesajın aslı, yine özetleme işlevinden geçirilerek ikinci bir mesaj özeti daha bulunur. Şifresi açılmış mesaj özeti ile yeni bulunan mesaj özeti tamamen birbirinin aynıysa, imza doğrulanmış, gönderenin kimliği ve bilginin bütünlüğü kanıtlanmış olur. Sayısal imzayı atan kişi kendi gizli anahtarını kullanırken, sayısal imzayı doğrulamak isteyenler ise, imzayı atanın açık anahtarını kullanmaktadırlar.

Bilgi güvenliğinin üçüncü bileşeni olan gizlilik, yine açık anahtarlı kriptografi ile sağlanabilir. Herhangi bir kullanıcıya gizli mesaj yollamak isteyenler, onun açık anahtarını kullanarak mesajı şifrelerler, bu şifreyi açacak olan gizli anahtar yalnızca bu kullanıcıda bulunmaktadır; bu nedenle, başka bir kişinin şifreli mesajı çözebilmesi olası değildir.

Açık ve gizli anahtar çiftlerinin her kullanıcı için ayrı ayrı üretimi, anahtar yönetimi, kişilerin gizli anahtarlarının mutlak gizliliğinin sağlanması, kişi/açık anahtar bağlantısını onaylayan elektronik kimlik belgelerinin hazırlanması gibi hizmetlerin ulusal ve uluslararası düzeylerde eşgüdüm içinde yürütülebilmesi amacıyla kurulması öngörülen yapıya ‘açık anahtar altyapısı-AAA’ (public key infrastructure) adı verilmektedir. Dünya üzerinde pek çok ülke, bu altyapının kurulması çalışmalarını sürdürmektedir; fakat bu işin başarıyla sonuçlandırıldığı bir ülke henüz yoktur. ABD dahil olmak üzere, teknolojinin en ileri düzeyde olduğu ülkeler, açık anahtarlı kriptografik uygulamalar sunmak için kurulmuş olan onay kurumu-OK (certifying authority-CA), güvenilir üçüncü kuruluş (trusted third party-TTP), anahtarı bulan kuruluş-ABK (key recovery agency-KRA) gibi kurumların yazılımlarını inceleyip, ortak bazı paydalar altında buluşturma ve eşgüdüm sağlama çabaları içindedirler.

Elektronik ticaretin beklenen hızlı gelişimine ayak uydurabilmek için sık sık toplantılar düzenleyen ve çeşitli öneriler geliştiren OECD ülkeleri, 1997 Mart ayında yayımladıkları OECD Kriptografi Politikaları Kılavuzu’nda şu sekiz maddeyi vurgulamaktadırlar:

2. SUNUŞ: Bankalararası Kredi Kartları Merkezi (BKM) Nedir, Nasıl Çalışır?

1990 tarihinde kurulan Bankalararası Kredi Kartları Merkezi bir hizmet kuruluşu olarak çalışmalarına başlamıştır. Her Visa veya Mastercard üyesi bankanın BKM’ye üye olma yükümlülüğü vardır. BKM toplam 37 üye sayısıyla elektronik ticarete ilişkin çalışmalarını yürütmektedir. BKM çalışma komiteleri 13 özel ve kamu bankasıyla ortak olarak yürütülmektedir.

Merkezi altyapı olanakları, kart ödeme sistemlerinde ortak standartların ve yurt içi kredi ve banka kartı istatistiklerini saptanmasını mümkün kılmaktadır. Altyapı olanaklarının yanında kredi kartları için yurt içi takas, sahtekarlığı önleme ve birleşik uyarı listesi (sakıncalı kartlar listesi) konularında çalışmalar güvenli bir şekilde sürdürülmektedir. Güvenliğin sağlanması için öngörülen konulardan biri Emniyet Teşkilatı’nın kredi kartı sahteciliği konusunda sürekli bilgilendirilmesidir. Diğer yandan, anahtarlama (‘switch sistemi’) ve gerçek zamanlı çalışma (‘on-line’) sistemlerindeki hızlı artış, kuruluşun hizmetlerini geliştirmesinde etkili olmaktadır. Switch işlem adetleri 1993’te 892.000 iken bu rakam 1997’de 76.575.433’e çıkmış, buradan da anlaşılacağı üzere ATM(Automatic Teller Machine) seti, POS(Point of Sale) seti ve diğer işlemlerin yapıldığı BKM Switch sisteminden geçen işlemlerde önemli ölçüde artışlar

gözlenmiştir. Ulusal istatistiklerden de belirlendiği üzere kredi kartı, banka kartı, ATM, POS sayılarındaki artış, ülkeye getirilen net döviz tutarı ve yurt içi kredi cirosundaki artışlarla devam etmiştir.

Bankaların kendi aralarında kullandıkları elektronik fon transferi sistemi, BKM’nin Merkez Bankası’nda açtığı tek bir hesaba ulaşmasını mümkün kılacak şekilde sağlanmaktadır. Ödemelerin tek tek işlenip alıcının hesabına anında aktarımı EFT sistemlerinin gelişimiyle olmuştur. Merkez Bankasının başlattığı EFT-RTGS sistemi ile bankalararası EFT işlemleri Merkez Bankası bünyesinde kurulan tek bir EFT merkezinden yürütülmektedir. İletişim ağı TICNET ile bankalararası işlemler aktarıcı bilgisayarlar (RC-relay computer) sayesinde özel iletişim ağı üzerinden yapılmaktadır. EFT sisteminde banka bağlantıları, EFTNET sayesinde aktarıcı bilgisayar kullanımı, uzak terminal bağlantısı ve ana bilgisayar bağlantısı ile sağlanmaktadır. Sistemde gerçekleşen işlem türleri Merkez Bankası ve bankalararası işlemler, yine bankalar arasında genel amaçlı fon transferleri, genel iletişim ve kontrol ( log-in, log-out, acknowledgement messages) mesajlarıdır ve tamamen elektronik ortamda yürütülmektedir. Halen banka kartı ve kredi kartı yasası üzerinde çalışmalar devam etmektedir.

Gümrük Müsteşarlığı Gümrük İdaresini verimli kılmak amacıyla 1988 yılından beri sürdürdüğü Gibos ve Dış Ticaret İstatistikleri otomasyon projelerini Türkiye genelinde yaygınlaştırmak ve değişen teknoloji paralelinde geliştirmek için Bilge Projesini başlatmıştır. Bilge projesi gümrüklerde otomasyonun sağlanması için yürütülen önemli projelerdendir. Avrupa Birliği ile girmiş olduğumuz Gümrük Birliğinde rekabete girecek olan ithalat ve ihracaatçılara destek olacak modern bir gümrük organizasyonu ve AB’ye uyumlu bir gümrük mevzuatının hayata geçirilmesi zorunlu gözükmektedir. Daha etkili vergi tahsilatı, ticaret kesimine daha etkin hizmet verilmesi, mevzuatın tek örnek uygulanması ve dış ticaret istatistiklerinin daha sağlıklı üretilmesi modernizasyon hedefleri kapsamındadır. Gümrük Modernizasyonu Projesi Dünya Bankası kredisi ile desteklenmektedir ve projenin finansmanı toplam 68 milyon dolar tutarındadır. Bu bağlamda Gümrük Müsteşarlığı Mart 1995’te bir Fransız firmasından satın aldığı Sofix yazılımını Bilge adı altında ve Türk Gümrük İdaresinin kullanıcı istekleri doğrultusunda adapte etmeye başlamış ve proje için seçilen Atatürk Havalimanı’nda Temmuz 1998 tarihinde uygulamayı başlatmayı planlamıştır.Proje ile ilişkili olarak 1996’da IMF ile Teknik Yardım Antlaşması yapılmış, Dünya Bankası’ndan sağlanan krediye ilişkin İkraz Anlaşması yürürlüğe girmiş bulunmaktadır. Eylül 1996’da Müsteşarlık bünyesinde projede daimi görev yapmak üzere Modernizasyon Projesi Birim Başkanlığı kurulmuştur.

Diğer yandan elektronik veri değişimi-EVD (electronic data interchange-EDI) ihalesi başlatılmış ve bu konuda yürütülecek çalışmalar yine Atatürk Havalimanı giriş ve çıkış müdürlükleri için tasarlanmıştır.Bu proje ile beyan sahiplerinin Gümrük Beyannamesi bilgilerini, elektronik ortamda EDIFACT standardında Gümrük Bilgisayar Sistemine aktarmaları sağlanacaktır. Ekim 1998’de Türkiye çapında yaklaşık elli gümrük idaresi ve bölge merkezini içine alacak geniş alan şebekesi için gerekli yazılım ve donanım alımına yönelik açılan uluslararası ihale sonuçlandırılacaktır. Bilge projesinin eğitim çalışmaları başlatılmış ve 2001 yılı başlarında otomasyonun Türkiye genelinde tüm Gümrük İdarelerinde yaygınlaştırılması amaçlanmaktadır. Proje tamamlandığında gümrük denetimlerinin az sayıda ve daha seçici olması, sonradan kontrollerin attırılması beklenmektedir. Hedef, kağıtlı ortamlarda yapılan işlemleri 2000’li yıllarda asgari düzeye indirmek, gümrüklerde doğacak yığılmaları önlemek için elektronik ortamda hizmet sunmaktır.

Merkez Bankasının 1 Nisan 1992’de başlattığı EFT-RTGS ( Elektronik Fon Transferi) sistemi, bankalar ve finans kuruluşlarının özel-kapalı bir bilgisayar ağında işlemlerini gerçekleştirmelerini, gerçek zamanlı birebir mutabakat tekniği ile sağlamaktadır. EFT katılımcılarına bulundukları şehire göre özel iletişim ağında bulunnan santrallere bağlı kiralık hatlar vasıtası ile doğrudan erişim imkanını sağlanmıştır. Sözkonusu bağlantıların ‘dial-up’ ve TURPAK yedekleme imkanlarıda mevcuttur. 1992 yılından bu yana finans sektörünün vazgeçilmez aracı haline gelmiş olan sistemin geliştirilmesine yönelik çalışmalara başlanılmış ve EFT ikinci nesil (EFT2) ve Elektronik Menkul Kıymet Transferi (EMKT) projeleri olarak adlandırılan bu projelerin yazılım geliştirme aşamasına gelinmiş bulunmaktadır. Fonların süratli, güvenilir ve denetimli ortamlarda aktarılmasını sağlayan bu sistemde (EFT-RTGS) 1997 yılında gerçekleşen toplam mesaj adedi 10.184.901, yapılan toplam ödeme miktarı ise 192 katrilyon olmuştur. Buradan da anlaşılacağı üzere, EFT-RTGS sistemi büyük hacimli ödemelerin yapıldığı bir sistem olarak işlemektedir.

EFT-RTGS, yani gerçek zamanlı birebir mutabakat tekniği ile ile çalışan sistem, fon akışlarının bankalar arasında süratli yapılmasını sağlarken, küçük hacimli müşteri ödemelerine de imkan sağlayarak bireysel bankacılık hizmetlerine katkıda bulunmaktadır. Sistem halen 74 banka ile çalışmalarını sürdürmektedir, bu da Türk bankalarının yüzde 99’u demektir. EFT- NET özel iletişim ağıyla İstanbul - Ankara arasında saniyede 64 kilobit hızla birbirine bağlanmış olan bankalar, aktarıcı bilgisayar (RC) sistemleri ile EFT sistemini kullanabilmektedirler.

EFT Merkezi ile günün başında rezerv değerlerinin TCMB’den bankalara aktarımı, gün içinde banka mesajlarının alınması, gönderilmesi, mesaj içeriği ve rezerv kontrolü, banka rezervlerinin güncelleştirilmesi, gün sonunda ise TCMB’ye mutabakat bilgilerinin ve gün sonu raporlarının gönderilmesi işlemleri gerçekleşmektedir. EFT2 ve EMKT projeleri kapsamında yer alan önemli konulardan bir kaç tanesi ise, EFT yedek merkezinin kurulması, Merkezi Kuyruklama yapısının getirilmesi, Aşamalı kapanışın sağlanması ve Devlet İç Borçlanma Senetlerinin Kaydi ortamda işlem göreceği ve bankalararası işlemlerde para ile kıymetin ayni anda değişiminin sağlanacağı EMKT sistemleridir.

Merkez Bankasının 1 Nisan 1992’de başlattığı EFT ( Elektronik Fon Transferi) sistemi çalışmaları bankalar ve finans kuruluşlarının kapalı bir bilgisayar ağında işlemlerini gerçekleştirmelerini sağlamakta, aynı zamanda müşteriyle doğrudan bağlantı imkanını gerçek zamanda vermektedir. Halen üzerinde çalışılan sistemler, ödeme sistemleri, EFT-RTGS (Real Time Gross Settlement) ile EFT2 ve EMKT projeleridir. Ödeme sistemleriyle paraların süratli, güvenilir ve denetimli ortamlarda aktarılması için elektronik süreçler başlatılmıştır. 1992-1998 yılları arasında EFT-RTGS sisteminden geçen toplam mesaj adedi 10.267.478’e, yapılan toplam ödeme miktarı 1.2 trilyona ulaşmıştır. Buradan da anlaşılacağı üzere EFT-RTGS az işlem miktarına sahip iken, en yüksek ödemelerin yapıldığı bir sistem olarak işlemektedir.

EFT-RTGS yani gerçek zamanlı birebir mutabakat projesi ile, iş akışlarının bankalar arasında süratli yapılması, müşteri hizmetlerine de yansıyabilmektedir. Sistem halen 74 banka ile çalışmalarını sürdürmektedir, bu da Türk bankalarının yüzde 99’u demektir. EFT- NET özel iletişim ağıyla İstanbul Ankara arası saniyede 64 kilobit hızla birbirine bağlanmış, aktarıcı bilgisayarlar sayesinde kiralık hatlar kurulmuştur. EFT Merkezi ile günün başında rezerv değerlerinin TCMB’den bankalara aktarımı, gün içinde banka mesajlarının alınması, gönderilmesi, mesaj içeriği ve rezerv kontrolü, banka rezervlerinin güncelleştirilmesi, gün sonunda ise TCMB’ye mutabakat bilgilerinin ve gün sonu raporlarının gönderilmesi işlemleri gerçekleşmektedir. EFT2 ve EMKT projeleri ile hedeflenen, bir EFT yedek sisteminin kurulmasıdır. Aynı zamanda EMKT merkezi ile, para ile kıymetin ayni anda değişimi sağlanacak ve döviz transferi işlemlerinin EFT2 altyapısına eklenmesi çalışmaları başlatılacaktır.

Son yıllarda gerek Internet dünyasında, gerek Türkiye Internet şebekesinde yaşanan önemli değişiklikler, Türkiye’yi içine alan yeni teknoloji temelli ve en son uygulamalara açık bir Internet altyapı ağının kurulmasını gerekli kılmıştır. Bu doğrultuda Türk Telekom A.Ş tarafından, kapsamlı bir altyapı çerçevesinde Internet kullanımı, tüm servis sağlayıcılarıyla ülke genelinde yaygınlaştırılmaya başlanmıştır. Türkiye’de Internet’in hem Internet Servis Sunucusu - ISS’ler(Internet Service Provider – ISP), hem de Türk Telekom için yeni olması nedeniyle Internet, Türk Telekom A.Ş. tarafından katma değerli bir servis olarak görülmüş ve 1995 yılı sonunda hızlı Internet hizmetleri için TURNET ihalesine çıkılarak 1996’da TURNET şebekesi kurulmuştur.

TURNET’in düğüm noktaları Ankara, İstanbul ve İzmir’de olup, Ankara – İstanbul 4 megabit/saniye, İstanbul – İzmir ve Ankara – İzmir düğüm noktaları ise 2 megabit/ saniye hızlarıyla birbirlerine bağlanmıştır. TURNET’in yurtdışı kapasitesi toplam 8 megabit/saniye giriş, 5 megabit/saniye çıkıştır; fakat özellikle yurtdışı hatlarının doluluk oranı

yüzde 100’dür. Bağlantılar telefon şebekesi üzerinden yapılmış, fakat telefon konuşmaları için 1-2 dakika olarak düşünülen ortalama bağlantı süresi veri bağlantılarında ortalama 15-20 dakikaya kadar çıktığı için, Internet trafiğini kaldıramayan şebekede teknik sorunlar çıkmıştır. Yurtdışı çıkış kapasitesi de oldukça yetersiz kalan TURNET ağı yerine 1998 yılı sonuna kadar TTNET ağının kurulması planlanmıştır.

Yeni kurulacak TTNET ile hedeflenen, Internet için gerekli olan veri iletişim altyapısının bir an önce sağlanması, yurt dışına doğrudan Internet bağlantısının kurulması ve bu doğrultuda TURNET ücret tarifelerinin düşürülmesidir. Ayrıca TTNET ile Internet erişimini ülke genelinde yaygınlaştırmak, yerel seviyelere indirmek, iletişim olanaklarının verimli kullanımını ve uçtan uca servis kalitesini ( QQS) sağlamak, tüm kullanıcılara aynı ücretle ve eşit olanaklarla Internet hizmeti sunmak, Milli Eğitim ve KamuNet gibi projeleri desteklemek, ve ATM, FR, LL, PSTN, ISDN, ADSL, Kablo TV gibi hizmetlerle erişim çeşitliliğini sağlamak amaçlanmaktadır. TTNET şebekesi üzerinden, merkezlerde servis sağlayıcılara “Özel sanal şebeke” (VPN) ve “virtual POP” servisi verilecektir. Böylece, herhangi bir ilde sistem kurma maliyetini karşılamak istemeyen servis sunucular, Türk Telekom A.Ş.’nin sağladığı kapasiteyi kullanarak o ilde servis verebileceklerdir. Diğer bir deyişle, TTNET projesi, servis sunucuları dışlamak bir yana, onlarla anlam kazanacaktır.

TTNET ağında, Ankara, İstanbul ve İzmir’de kurulan erişim noktalarının saniyede 155 megabit hızla birbirlerine, 3x34 megabit hızla ise yurtdışına bağlanması hedeflenmektedir. Teknik altyapı olarak elektronik ticaret kapsamında ATM(asynchronous transfer mode) altyapısı öngörülmektedir.

Ayrıca, 20 büyük ile 2 x 34, geri kalan illere de 2 x 2’şer megabit/saniyelik bağlantılar sağlanacaktır. Şu sırada Internet’e bağlı olan üniversiteler ve kamu kuruluşları dışında kalan kamu kuruluşlarının da, TTNET’in kurulmasından sonra, 1999 yılı içinde Internet’e bağlanması beklenmelidir.

Türk Telekom A.Ş yakın zamanda Milli Eğitim ve Kamu Net gibi projelerin altyapı çalışmalarını TTNET ile başlatacak, ve erişim çeşitliliğinin arttırılması için uygun altyapı sağlayacaktır.

açık anahtar (public key): Açık anahtarlı bir kriptografik yöntem (algoritma) kullanan bir kullanıcının kendisine ait olan iki anahtarından kamuya açık olanı

açık anahtar altyapısı-AAA (public key infrastructure-PKI ): Bilgi iletişiminde açık anahtarlı kriptografinin yaygın ve güvenli olarak kullanılabilmesini sağlamaya yarayan ve birbirleriyle eşgüdüm içinde çalışan anahtar üretimi, anahtar yönetimi, onay kurumu, sayısal noterlik, zaman damgası gibi hizmetlerin tümü.

açık anahtarlı kriptografi (public key cryptography): Her kullanıcıya, sürekli kullanım için biri açık diğeri gizli iki anahtarın verildiği şifreleme/şifre çözme yöntemlerinin tümü. Asimetrik kriptografi ya da çift anahtarlı kriptografi adını da alır.

açık bilgisayar ağı (open computer network): İsteyen herhangi bir bilgisayar kullanıcısının bağlanabileceği ve diğer kişilerle bilgisayar üzerinden iletişim kurabileceği, herkese açık elektronik iletişim ortamı. Örnek: Internet.

anahtar (key): Şifreleme ve şifre çözme sırasında kullanılan sayı dizisi.

anahtarı bulan kurum-ABK (key recovery agency-KRA): Yasal erişime yardımcı olmak amacıyla kurulan ve yargının gerektirdiği durumlarda, zan altındaki kişinin gizli anahtarının matematiksel yöntemlerle elde edilmesini sağlayan kurum. Gizli anahtarını kaybeden herhangi bir kişi de, kimliğini belgeleyerek ABK’ye başvurursa anahtarını yeniden elde edebilir

anahtar üretimi (key generation): Açık anahtarlı kriptografide, her kullanıcının açık/gizli anahtar çiftinin, kullanılan kriptografik yönteme bağlı matematiksel işlemlerle hazırlanması

anahtar yönetimi (key management): Açık anahtarlı kriptografide her kullanıcıya farklı anahtar çiftleri verilmesi, kullanıcıların açık anahtarlarının herkesin ulaşımına açık olarak saklanması ve kullanıcıların gizli anahtarlarının mutlak gizliliğinin sağlanmasından sorumlu düzen

bilgi bütünlüğü (message integrity): Bilginin saklanması veya açık/kapalı iletişim ağlarından iletimi sırasında içerik açısından herhangi bir değişime uğratılmamış olması, özgün halinde korunması

bilgi güvenliği (information security): Bilginin, i) kime ait olduğu belirlenmiş, ii) bütünlüğü korunarak, ve iii) gizliliği sağlanmış olarak iletimi ve saklanması.

çift anahtarlı kriptografi (double key cryptography): Açık anahtarlı kriptografi veya asimetrik kriptografi.

elektronik kimlik belgesi-EKB (digital certificate): Onay kurumunun hazırladığı ve sayısal olarak imzaladığı, hangi açık anahtarın hangi kişiye ait olduğunu gösteren belge.

elektronik veri değişimi-EVD (electronic data interchange-EDI): Standart bir formda yazılmış olan bilgilerin bilgisayarlar arasında aktarımı ve otomatik olarak yorumlanıp işlenebilmesi.

erişim (access): Herhangi bir sistemi kullanmaya başlama, örneğin bir elektronik ticaret sistemine bilgisayar üzerinden bağlanarak iletişim kurma.

EVD kurumu (EDI association): Bir ülkede EVD kullanımını düzenleyen kuruluş, örneğin, ABD’deki EDIA, Avustralya’daki EDICA, Kanada’daki EDICC veya Yeni Zelanda’daki EDIANZ

EVD servis sunucusu (EDI server): Bir EVD servisinin merkezinde olan bilgisayar sistemi.

gizlilik (privacy): İletişim kuran iki taraf arasındaki yazışmaların üçüncü kişilerden gizli tutulması, veya bir kişiye ait bilgilerin kendisi dışında herkesten gizli tutulması.

gizli -özel,kişisel- anahtar (private key): Açık anahtarlı kriptografi kullanan bir kullanıcının, kendisine ait olan iki anahtarından gizli tutulanı.

güvenilir üçüncü kuruluş, kurum veya kişi-GÜK (trusted third party-TTP): Bir çeşit onay kurumu. Onay kurumlarının yaptığı gibi kişilerin kimliğini güvenli olarak belirleyip, elektronik kimlik belgelerini hazırlamaya ve anahtar yönetimini sağlamaya ek olarak, kişilerin gizli anahtarlarını çok güvenli bir ortamda saklayan ve gerektiğinde yargı kararıyla yetkili makamlara veren kuruluş.

kanal (channel): Bilginin bir kullanıcıdan diğerine iletimi için gereken fiziksel iletişim ortamı, örneğin, bilgisayar bağlantısı, telefon kablosu, radyolink ve uydu üzerinden diğer kullanıcıya ulaşan bağlantının tümü

kapalı bilgisayar ağı (closed computer network): Kullanıcılarından biri olmak için belirli koşulların sağlanması gerektiği, herkese açık olmayan bilgisayar ağları. Örnek: Bankalar ve bankamatikler arasındaki bağlantı.

kimlik belirleme (authentication): Herhangi bir servisi almak isteyen birinin, gerçekten de kendi iddia ettiği kişi olduğunun belirlenmesi.

kriptografik algoritma (cryptographic algorithm): Şifreleme / şifre çözmede kullanılan belirli bir yöntemin ayrıntılı içeriği, bu içeriğin matematiksel adımları.

kriptoloji (cryptology): Güvenli bilgi iletişimi ve/veya saklanması için sifreleme ve sifre çözme yöntemleri türeten, geliştiren, inceleyen bilim dalı.

onay kurumu-OK (certifying authority-CA): Kişilerin kimliğini güvenli olarak belirleyip elektronik kimlik belgelerini hazırlayan ve anahtar yönetimini sağlayan kuruluş.

sayısal imza (digital signature): Elektronik ortamdaki yazışmalara eklenen, yazıyı gönderenin kimliğini ve gönderilen yazının iletim sırasında bozulmadığını kanıtlamaya yarayan bölüm. Sayısal imza, yazının içeriğine ve imzalayanın gizli anahtarına bağlı bir kriptografik yöntemle atıldığı için, sayısal imzanın doğrulanmasında, imzayı atanın açık anahtarı kullanılır.

sayısal noter (digital notary): Bilgisayar ağlarında iletilen bilgileri tarafların isteği ile saklayıp, kendisine başvurulduğunda belgeleyebilen kuruluş.

tek anahtarlı kriptografi (single key cryptography): Şifreleme ve şifre çözme için aynı anahtarı kullanan kriptografik yöntemlerin tümü. Simetrik kriptografi veya gizli anahtarlı kriptografi adını da alır. Kullanılan gizli anahtarı mesajı gönderen ve alan kişilerin paylaşması gerektiği için, tek anahtarlı kriptografinin güvenilirliği, her kullanıcı çiftine ayrı bir anahtar verilebilmesine bağlıdır. Bu durumda, bir kullanıcı, haberleşeceği herkes için farklı bir anahtar kullanmak zorundadır; bu ise önemli bir anahtar dağıtımı problemine yolaçar. Çift anahtarlı kriptografi , bu sorunu ortadan kaldırmıştır.

yasal erişim ( lawful access): Devletin, açık anahtarlı bir kriptografik algoritma kullananların gizli anahtarlarına, yasaların gerektirdiği durumlarda ve yargı kararıyla ulaşabilme yetkisi.

zaman damgası (time stamp): Bilgisayar ağlarında iletilen mesajlara eklenen ve mesajın yazıldığı zamanı güvenli olarak belgeleyen damga.

Bölüm kodu: (Segment code) Bölüm rehberinde tanımlandığı şekilde, her bölümü tek olarak gösteren kod.

Bölüm rehberi: (Segment directory) Tanımlandırılmış, isimlendirilmiş bölümler listesi.

Bölüm adı: (Segment name) Doğal dilde bir ya da daha çok sözcük ile veri bölümü kavramının tanımlanması.

Basit veri elemanı: (Simple data element) Tek bir değer taşıyan veri elemanı.

Basit bölüm: (Simple segment) Hiçbir sınıflandırmaya ihtiyacı olmayan bölüm. (Anlamı sabit ve açık olan bölüm)

Doküman: (Document) Bir verinin üzerine kayıt edildiği, insan ya da makine tarafından okunabilen, (değişmez) veri taşıyıcı.

Elektronik Veri Değişimi: (Electronic Data Interchange) Standart bir yapıda bilgisayardan – bilgisayara veri (ticari) transferi.

Kod: (a) Bilginin kısaltılarak kayıt edildiği ya da tanımlandığı karakter dizisi

(b) Bilgisayarın tanıyacağı formda özel semboller kullanılarak bilginin gösterilmesi ya da tanımlanması

Mesaj: (Message) Bilgiyi taşımak üzere planlanmış sıralı (düzenli) karakter serisi

UN/EDIFACT : Mesaj rehberinde belirlendiği düzende sıralı bölümler kümesi.

Mesaj kodu: (Message code) Mesaj tipini tanımlayan ve tek olan alfabetik referans (isim).

Mesaj çizeneği: (Message diagram) Bir mesaj içindeki bölüm dizisinin grafiksel gösterimi.

Mesaj rehberi: (Message directory) İsimlendirilmiş, tanımlandırılmış ve tarif edilmiş mesaj tiplerinin listesi.

Mesaj tipi: (Message type) Belirlenmış işlem tipi için ihtiyaçları kapsayan, tanımlanmış ve planlanmış veri kümesi (seti).

Veri: Bilginin, iletişim, yorum, ya da işlem için uygun olarak formülize edilmiş şekilde gösterilmesi

Veri elemanı: Verinin, tanımlamak, değer göstermek için özellikleri belirlenmiş bir birimi.

Veri elemanı Niteliği: (Data element attribute) Veri elemanının tanımlanmış özelliği

Veri elemanı rehberi: (Data element directory) Tanımlanmiş, isimlendirilmiş veri elemanı niteliklerinin, uygun veri elemanı değerinin nasıl simgeleneceğine ilişkin spesificasyonları içeren liste.

Veri Elemanı Adı: (Data element name) Doğal dilde bir ya da daha çok sözcük ile veri elemanı kavramının tanımlanması.

1.Değerlendirme Raporu

2. Elektronik Ticaret’e Genel Bakış

3. Sonuç