t.c.tez.sdu.edu.tr/tezler/tf04078.pdfzaman ve mekândan bağımsız eğitim olanağı sunduğu için...
TRANSCRIPT
T.C.
SÜLEYMAN DEMİREL ÜNİVERSİTESİ FEN BİLİMLERİ ENSTİTÜSÜ
UZAKTAN ÖĞRETİM YÖNETİM SİSTEMLERİ GÜVENLİĞİNİN ARTIRILMASI İÇİN ELEKTRONİK İMZA TABANLI MODÜL
TASARIMI
Ziya DİRLİK
Danışman Prof. Dr. Tuncay AYDOĞAN
YÜKSEK LİSANS TEZİ BİLGİSAYAR MÜHENDİSLİĞİ ANABİLİM DALI
ISPARTA - 2018
© 2018 [Ziya DİRLİK]
TEZ ONAYI Ziya DİRLİK tarafından hazırlanan "Uzaktan Öğretim Yönetim Sistemleri Güvenliğinin Artırılması İçin Elektronik İmza Tabanlı Modül Tasarımı" adlı tez çalışması aşağıdaki jüri üyeleri önünde Süleyman Demirel Üniversitesi Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı’nda YÜKSEK LİSANS TEZİ olarak başarı ile savunulmuştur. Danışman Prof. Dr. Tuncay AYDOĞAN Süleyman Demirel Üniversitesi Jüri Üyesi Doç. Dr. Ali Hakan IŞIK Süleyman Demirel Üniversitesi Jüri Üyesi Dr. Öğr. Üyesi Asım Sinan YÜKSEL Süleyman Demirel Üniversitesi Enstitü Müdürü Prof. Dr. Yasin TUNCER
TAAHHÜTNAME Bu tezin akademik ve etik kurallara uygun olarak yazıldığını ve kullanılan tüm literatür bilgilerinin referans gösterilerek tezde yer aldığını beyan ederim.
Ziya DİRLİK
i
İÇİNDEKİLER Sayfa
İÇİNDEKİLER ..................................................................................................................................... i ÖZET .................................................................................................................................................... ii ABSTRACT ....................................................................................................................................... iii TEŞEKKÜR ........................................................................................................................................ iv
ŞEKİLLER DİZİNİ ............................................................................................................................ v
ÇİZELGELER DİZİNİ ...................................................................................................................... vi SİMGELER VE KISALTMALAR DİZİNİ .................................................................................. vii 1. GİRİŞ ................................................................................................................................................ 1
2. KAYNAK ÖZETLERİ ................................................................................................................... 5
3. MATERYAL YÖNTEM ............................................................................................................. 13
3.1. Web Tabanlı Uzaktan Eğitim ...................................................................................... 13
Öğretim yönetim sistemleri ................................................................................ 17
Moodle öğretim yönetim sistemi ...................................................................... 18
3.2. Bilgi Güvenliği .................................................................................................................. 19
3.3. Elektronik İmza ............................................................................................................... 24
E-İmzanın özellikleri.............................................................................................. 25
Elektronik imza çeşitleri ...................................................................................... 27
Elektronik imza altyapısı (Açık Anahtar Altyapısı-AAA) ......................... 28
Elektronik sertifika................................................................................................. 35
4. ARAŞTIRMA BULGULARI ..................................................................................................... 39
4.1. E-imza Modülünün Geliştirilmesi ............................................................................. 40
4.2. ÖYS Giriş Modülünün E-imza Modülü ile Güçlendirilmesi.............................. 42
4.3. E-imza Modülü ile ÖYS Online Sınav Modülünün Güçlendirilmesi .............. 45
4.4. E-imzalı Sınav Belgelerinden Transkirpt Üretilmesi ........................................ 51
4.5. E-imzalı Sınav Belgelerinin Geçerlilik Kontrolünün Sağlanması .................. 52
5. SONUÇ VE ÖNERİLER ............................................................................................................ 54
5.1. Öğretim Yönetim Sistemlerinin Giriş Modülünün E-imza ile Güçlendirilmesi ........................................................................................................................ 55
5.2. Öğretim Yönetim Sistemlerinin Online Sınav Modülünün E-imza ile Güçlendirilmesi ........................................................................................................................ 56
5.3. Sınav Belgelerinden Transkript Üretilmesi .......................................................... 57
5.4. Sınav Belgelerinin Doğrulanması ............................................................................. 57
KAYNAKLAR .................................................................................................................................. 59
ÖZGEÇMİŞ ....................................................................................................................................... 64
ii
ÖZET
Yüksek Lisans Tezi
UZAKTAN ÖĞRETİM YÖNETİM SİSTEMLERİNİN GÜVENLİĞİNİN ARTIRILMASI İÇİN ELEKTRONİK İMZA TABANLI MODÜL TASARIMI
Ziya DİRLİK
Süleyman Demirel Üniversitesi
Fen Bilimleri Enstitüsü Bilgisayar Mühendisliği Anabilim Dalı
Danışman: Prof. Dr. Tuncay AYDOĞAN
Gelişen teknoloji ile birlikte günümüzde insanların eğitim alma istekleri ve ihtiyaçları sürekli artmaktadır. Zaman ve mekândan bağımsız eğitim olanağı sunduğu için uzaktan eğitime olan ilgi, gün geçtikçe artmaktadır. Bilişim teknolojilerindeki gelişmeler web/internet tabanlı uzaktan eğitim teknolojileri ve öğretim yönetim sistemlerini geliştirmektedir Uzaktan öğretim yönetim sistemlerinde öğrenciler, öğretmenler ve sistem yöneticilerinden kaynaklı zaaflardan dolayı insan temelli güvenlik açıkları oluşmaktadır. Bu tez çalışmasında, uzaktan öğretim yönetim sistemlerinin kullanıcı giriş modülü ve online sıav sistemi modülü e-imza ile güçlendirilmiş, e-imzalı sınav belgelerinden transkript üretilmesini ve geçerlilik kontrolünün sağlanması amacı ile e-imza tabanlı yazılım modülü geliştirilmiştir. Modüller geliştirilirken java, c#, web servis, Tübitak Bilgem tarafından geliştirilmiş ESYA e-imza kütüphanelerinden faydalanılmıştır. Geliştirlen modüller, yaygın olarak kullanılan açık kaynak kodlu Moodle öğretim yönetim sistemi üzerine entegre edilerek başarımı test edilmiştir. Geliştirilen bu sistem sayesinde, kullanıcıların sistem içerisinde yapmış olduğu tüm işlemlerin olumlu/olumsuz sonuçlarını kabul edecekleri 5070 sayılı Elektronik İmza Kanununa göre yasal yükümlülük altına alınmıştır. Anahtar Kelimeler: Elektronik İmza, Uzaktan Öğretim Yönetim Sistemleri, Kriptografi, Web Güvenliği, Belge Doğrulama 2018, 75 sayfa
iii
ABSTRACT
M.Sc. Thesis
ELECTRONIC SİGNATURE BASED MODULE DESIGNING FOR INCREASING THE RELIABILITY OF REMOTE TEACHING MANAGEMENT SYSTEMS
Ziya DİRLİK
Süleyman Demirel University
Graduate School of Natural and Applied Sciences Department of Computer Engineering
Supervisor: Prof. Dr. Tuncay AYDOĞAN
Today, with the developing technology, the desire and need for education are constantly increasing. Participation in lectures held at educational institutions is not ensured due to various student related reasons. The number of distance education management systems is increasing due to the difficulty of attending face-to-face courses. Most institutions conduct distance education management systems and examinations on the Internet. In distance education management systems, human-based security vulnerabilities arise due to weaknesses caused by students, teachers and system administrators. In this thesis study, an e-signature based software module has been developed with the aim of ensuring that transcripts are generated and validated from e-signed exam documents strengthened by the user login module of the distance education management systems and the online sıav system module e-signature. Modules were developed using java, c #, web service, public e-signature libraries. The developed modules have been tested for success by being integrated on the widely used open source Moodle teaching management system. Thanks to this developed system, users are legally obliged to comply with the Electronic Signature Law No. 5070, which will accept the positive / negative consequences of all the transactions performed by the users in the system. Keywords: Electronic Signature, Distance Learning Management Systems, Cryptography, Web Security, Document Validation 2018, 75 pages
iv
TEŞEKKÜR
Bu araştırma için beni yönlendiren, karşılaştığım zorlukları bilgi ve tecrübesi ile aşmamda yardımcı olan değerli Danışman Hocam Prof. Dr. Tuncay AYDOĞAN’a teşekkürlerimi sunarım. Tez geliştirme süreceinde desteklerinden ve vermiş oldukları yardımlardan dolayı SDÜ-Bilgi İşlem Daire Başkanlığı’nda çalışan iş arkadaşlarıma teşekkür ederim. Tez çalışmalarımda maddi, manevi desteğini esirgemeyen aileme gösterdikleri binbir emek ve fedakârlık ile bugünlere gelmemi sağladıkları için teşekkür ederim.
Ziya DİRLİK
ISPARTA, 2018
v
ŞEKİLLER DİZİNİ
Sayfa Şekil 3.1. Uzaktan eğtimde değişen öğretmenin rolü .................................................... 14
Şekil 3.2. Uzaktan eğitim sisteminin yapısı ....................................................................... 15
Şekil 3.3. Uzaktan eğitim sistemi içinde bulunan yapıların etkileşimi ................... 16
Şekil 4.1 Tasarlanan sistemin şeması .................................................................................. 39
Şekil 4.2. Elektronik imza uygulaması ................................................................................. 41
Şekil 4.3. Akıllı kart okuyucu ................................................................................................... 41
Şekil 4.4. Akıllı kart ..................................................................................................................... 42
Şekil 4.5. Moodle kullanıcı girişi ............................................................................................ 43
Şekil 4.6. Moodle kullanıcı E-imza girişi ............................................................................. 43
Şekil 4.7. Moodle kullanıcı giriş metot ................................................................................. 44
Şekil 4.8. Uygulanan sınav ekranı .......................................................................................... 46
Şekil 4.9. Türkçe dersi quiz etkinliğini bitirme onay kutusu ...................................... 47
Şekil 4.10. Elektronik imza uygulaması .............................................................................. 47
Şekil 4.11. Elektronik olarak imzalanan sınav evrağı .................................................... 48
Şekil 4.12. Moodle içerisinde elektronik imzanın çalıştırılması ................................ 49
Şekil 4.13. E-imzalı belgenin imzager ile imzacı bilgisinin kontrolü ....................... 53
Şekil 4.14. İmzager uygulaması ile e-imzanın doğrulama detayları ........................ 53
vi
ÇİZELGELER DİZİNİ
Sayfa
Çizelge 3.1. PUKÖ döngüsü ...................................................................................................... 21
Çizelge 3.2. Bilgi teknoloji sistemlerinde karşılaşılan tehditler ve kaynakları .... 23
Çizelge 3.3. Hash fonksiyonları .............................................................................................. 33
Çizelge 3.4. Elektronik sertifika örneği ............................................................................... 36
Çizelge 3.5. Türkiye’de elektronik sertifika hizmet sağlayıcıları .............................. 38 Çizelge 4.1. Moodle veritabanındaki kullanılan tabloların işlevleri………….……...45
vii
SİMGELER VE KISALTMALAR DİZİNİ
AAA Açık Anahtar Altyapısı AEHS Akredite Edilmiş Hizmet Sağlayıcısı BT Bilgi Teknolojileri BİT Bilgi ve İletişim Teknolojileri CMS Kriptografik Mesaj Sözdizimi (Cryptographic Message Syntax) CSI Computer Security Institute ÇDSDUP Çevrim Dışı Sertifika Durum Protokolü EİK Elektronik İmza Kanunu ESHS Elektronik Sertifika Hizmet Sağlayıcı ETSI Avrupa Telekomünikasyon Standartları Enstitüsü E-Finans Elektronik finans E-İmza Elektronik imza E-Ticaret Elektronik Ticaret İTUE İnternet Tabanlı Uzaktan Eğitim KBP Kamu Bilişim Platformu MD Message Digest NES Nitelikli Elektronik Sertifika NSA Ulusal Güvenlik Ajansı (National Security Agency) ÖYS Öğrenme Yönetim Sistemi PKI Public Key Infrastructure PUKÖ Planla-Uygula-Kontrol Et-Önlem Al SHA Güvenli Özetleme Algoritması (Secure Hahshing Algorithm) SİL Sertifika İptal Listesi YÖN Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve
Esaslar Hakkında Yönetmelik
1
1. GİRİŞ
Bilgi ve bilgisayar teknolojilerinin güvenliğinin sağlanması için teknolojileri
doğru bir şekilde kullanarak, bilginin her türlü elektronik ortamda, istenmeyen
kişilere karşı saklanarak gizliliğinin ve bütünlüğünün korunması en önemli
faktördür. Elektronik ortamları kullananan kişiler veya kurumlar
karşılaşabilecekleri tehlikleri ve tehditleri önceden öngörerek gerekli önlemleri
almaları gerekmektedir. Günümüzde kullanılan birçok güvenlik metodu
mevcuttur. Önemli olan bunlardan en uygun, doğru ve güncel olanı
kulanabilmektir. Yüksek bir güvenlik için, gizlilik, bütünlük, kimlik doğrulama,
inkâr edememe, fiziksel güvenlik, şifreleme ve antivirüs yazılımları gibi
yöntemlerin kullanımı sürekli artmaktadır (Avaroğlu, 2007).
Günümüzde bilgi teknolojileri çok hızlı bir şekilde ilerlemekte, çeşitlenmekte ve
geliştirilen yeni uygulamalarla hayatın tüm alanlarında kullanılmaktadır. Bilgi
teknolojilerindeki çeşitlilik ve kullanıcı sayısının artması sonucunda bilişim ve
bilgi güvenliğini konularında ortaya çıkan yeni güvenlik açıklarınının
kapatılmasına yönelik çalışmalar güncelliğini korumaktadır. Bilişim ve bilgi
güvenliğinin önemli olduğu alanlardan birisi de internet/web tabanlı uzaktan
eğitim sistemleridir.
Çağımızdaki teknolojik gelişmeler ile günlük yaşantımızda yapılan çoğu işlem
elektronik ortamda modellenmiştir. Elektronik postayla başlayan bu süreç,
internet bankacılığı, elektronik ticaret ve uzaktan eğitim sistemleri ile devam
etmiştir. Son yıllardaki atılımlar, eğitimde elektronik sistemlerin uygulanması ile
doruğa ulaşmıştır. Sanal ortamda artık birey derslerinin takibini yapabilmekte,
sınavları da elektronik ortamda yapılıp sonuçları da anlık olarak
yansıtılabilmektedir (Akçeşme, 2009).
Uzaktan Eğitim, zaman ve mekândan bağımsız olabilmesi, maliyetinin düşük
olması özellikleriyle bilgiye olan erişim olanaklarını artırmakta, dolayısıyla
eğitimdeki fırsat eşitsizliklerini azaltma yönünde önemli bir katkı sağlamaktadır
(Koyunoğlu, 2008).
2
Eğitim teknolojileri, matbaanın icadı ve yaygın halde kullanılmaya başlanmasıyla
beraber hız kazanmıştır; ne kadar uzakta olurlarsa olsunlar, birçok insan kitap
içerisinde hiç tanımadıkları veya görmedikleri kişilerden ihtiyaç duydukları
eğitimi alabilmiş, gerekli öğrenmeyi kazanabilmişlerdir. Eğitime matbaanın
kazandırdığı bu yeni tekniğin toplumsal gelişime katkıları da göz ardı edilemez.
Bugün eğitimin büyük ölçüde basılı kaynaklara dayanıyor olması bu yaklaşımı
desteklemektedir (Kılınç, 2015).
Aslında uzaktan eğitimin tarihi gelişimine bakıldığında yazılı kaynakların kolay
basımı, ucuz maliyetle çoğaltılması, dağıtılması ve istendiği zaman erişilebilir
olması uzaktan eğitimin gelişiminde önemli rol oynamıştır. Uzaktan eğitim
günümüzde örgün eğitime destek olarak kullanıldığı gibi, tek başına bir eğitim
yöntemi olarak da görülmektedir. Bu duruma sebep bilgisayar programlarının
uzaktan eğitimle bütünleşmiş olması, internet üzerinden istenen bilgiye kolay,
hızlı ve düşük fiyatlarla ulaşılması, çoklu ortam araç ve tekniklerinden
yararlanılması ile kullanıcı etkileşiminin gelişen teknolojiler ile arttırılması etkili
olmuştur (Kılınç, 2015).
Uzaktan eğitimde istenilen eğitim kalitesini elde etmek, yeterli öğrenci, öğretmen
ve eğitim materyali arasında yeterli etkileşimi sağlayabilmek, İnternetin ortaya
çıkışı ve eğitim platformu olarak kullanılmaya başlanması ile mümkün olmuştur.
Günümüzde kullanılan uzaktan eğitim programları, İnternetin yaygın hale
gelmesi, maliyetinin düşmesi ve kullanım ağının artması ile İnternete Dayalı
Uzaktan Eğitim ortaya çıkmış ve böylece İnternet uzaktan eğitim için uygun bir
platform olarak görmüştür (Işık vd., 2008).
Teknolojik gelişmeler kendisine imza konusunda da yer bulmuş ve gelişen
teknoloji ile birlikte imzanın çeşitleri ortaya çıkmıştır. Önceden ıslak imza
atılmaktaydu. Gelişen teknoloji ile birlikte günümüzde ıslak imzanın yanı sıra
digital ve elektronik imza da atılabilmekedir. E-imza, taraflar arasında imzanın,
elektronik ortamda atılmasını sağlayan bir yöntemidir. Bu noktada ıslak imza ile
farklılıklar ortaya çıkmaktadır. E-imza ile birlikte taraflar arasında bilgi
paylaşımında güvenlik sorunu önemli derecede çözülmektedir. Çünkü e-imza ile
3
birlikte kimlik doğrulama, veri bütünlüğünün sağlanması, inkâr edilemezlik ve
zaman damgası gibi özellikleri sayesinde internet ortamında karşılaşılan
güvenlik sorunlarının aşılmasına katkıda bulunması mümkündür. Bu gibi
özellikleri bünyesinde barındıran bir teknoloji unsurunun, resmi kurumların ve
özel kurumların kullanması neticesinde, kaynak kullanımında verimliliğin
artmasını söylemek mümkündür (Danacı, 2016).
Uzaktan eğitim yönetim sistemleri genel olarak kullanıcıların ders içerikleri, ödev
ve sınav aktivitelerinin organizasyonu ile üretilen bilgi ve belgelerin arşiv
yönetimini sağlar. Kullanıcılar statülerine göre yetkilendirilerek sistemin
kendilerine verilen imkân ve kısıtlardaki özelliklerini kullanabilirler. Başta
kullanıcıların sisteme giriş bilgileri olmak üzere tüm arşiv veri tabanlarında
tutulur. Veri tabanlarındaki özlük bilgileri, ders içerikleri, devamsızlık bilgileri,
sınav soru/cevap ve not bilgileri gibi birçok bilginin hukuki açıdan sadece
silinmeye karşı değil, değiştirilmeye karşı da korunması, erişiminin kontrol
altında tutularak içeriğinin doğrulanabilir olması gerekir. Birçok internet/web
tabanlı sistemde olduğu gibi uzaktan eğitim yönetim sistemlerinde de bilişim
güvenliği erişim aşamasında kullanıcı tarafında kişiye özel kullanıcı adı/şifresi ile
başlamaktadır. Sistem tarafında ise çeşitli veri tabanı ve veri iletişim güvenlik
araçları kullanılmaktadır. Ancak kullanıcının sisteme erişim ve belgelerin de
doğrulanması ile ilgili zayıflıklar bulunmaktadır. Özellikle öğrencilerin ders
seçimi, kayıt, ders izleme, ödev yükleme hatta bazı online sınavların uygulanması
gibi durumlarda kişiye özel olan kullanıcı adı/şifresi bilgilerini kendi aralarında
paylaşarak daha sonra düzeltilmesi zor bazen de imkânsız sorunlara yol
açabilmektedirler. Ayrıca öğrencilerin çevirimiçi sınavlara verdikleri cevaplar,
aldıkları notlar ve değerlendirme sonuçları her zaman sonradan veri tabanı
üzerinden değiştirilmeye açık diğer bir zayıf noktadır. Bunlara öğretim
elemanlarının hazırladıkları ders içerikleri ve sınav soru/cevapları da
eklenebilir.
Bu çalışmada sektörde kullanılan uzaktan eğitim sistemlerine entegre olabilecek
bir uygulama geliştirilmesi amaçlanmaktadır. Bu uygulamada entegre edilen
uzaktan eğitim yönetim sisteminin kullanıcı tarafında erişim ve yetkilendirme
4
güvenliğinin ayrıca, sisteme yüklenen ve sistem tarafından üretilen belgelerin
güvenlik ve doğrulamasının elektronik imza ve karekod teknolojileri ile
sağlanarak güçlendirilmesi amaçlanmaktadır.
Bu amaçla uzaktan eğitim sistemlerinin sistem yöneticileri tarafından veri
tabanından not değişimine, öğrencinin çevirimiçi sınavlarda vermiş olduğu
cevapların değiştirilmesine, sisteme girişlerde öğrenci e-imza ile yapılacağından
başkasının yerine sınava girilmesinin engellenmesi gibi güvenlik açıklarının
önüne geçilmesi amaçlanmaktadır. Ayrıca; öğrencinin sistem içerisinde yapmış
olduğu tüm işlemlerin olumlu/olumsuz sonuçlarını kabul eden sözleşmeyi
elektronik olarak imzalayarak yapılan işlemler kayıt altına alınıp yasal bir boyut
kazandırılarak sistem güvenliğinin arttırılmasına yönelik bir uygulamanın,
geliştirilmesi hedeflenmektedir.
Tezin 2. Bölümünde araştırmaya katkı sağlayan literatür özeti, 3. Bölümünde
materyal yöntem, 4. Bölümünde sonuç ve bulgular ve 5. Bölümde uygulamanın
genel değerlendirilmesi ve ileriki çalışmalar için öneriler yer almaktadır.
5
2. KAYNAK ÖZETLERİ
YÖK tez merkezinde yapılan “Uzaktan Eğitim (UE)” anahtar kelimesinde 269
yüksek lisans ve doktora tezi taranmıştır. Bu çalışmalarda çoğunlukla; bazı
derslerin ve bazı programların UE ile verilebilirliğinin araştırılması, ders içeriği
oluşturma/geliştirme araştırmalarına rastlanmaktadır. UE’in farklı yaş,
alanlardaki eğitimlerdeki verimliliğinin öğrenciler ve öğretim elemanları
tutumları üzerinden değerlendirilmesinin yapıldığı, UE platformlarının
değerlendirilerek farklı programlama ve mobil bilişim teknolojileri ile tekrardan
hazırlanması, farklı öğretim teknolojilerinin UE’e uygunluğunun araştırılması,
UE’de ölçme ve değerlendirme yöntemlerinin uygunluğu ve geliştirilmesinin
araştırıldığı görülmüştür.
“Elektronik imza”, “e-imza” ve “sayısal imza” anahtar kelime taramalarında ise e-
imzanın finans sektörü, sigortacılık, hukuksal alandaki kullanımları, bilişim
suçları, e-ticaret, kamu yönetimi açısından önemi ve geliştirlen uygulamaların
olduğu görülmüştür. Ayrıca e-imzayı güçlendirme amacıyla konum damgası
sistemi, rol tabanlı kurumsal güvenli mesajlaşma sistemi, güvenli özet
algoritması gibi modellerin geliştiridiği görülmüştür. Bunlara ilave olarak dikkat
çeken ve yapılacak çalışmaya ışık tutan çalışmalardan bazıları aşağıda
özetlenmiştir.
Tekdal ve Şahin’in (2005), “Internet tabanlı uzaktan eğitimin etkililiği: Bir meta
analiz çalışması” başlıklı çalışmalarında, 1994-2004 yılları arasında, internet
tabanlı uzaktan eğitimin etkililiğini yüz yüze eğitimle karşılaştıran nicel
çalışmalar derlenerek meta-analiz yöntemiyle birleştirilmiştir. Meta-analize
toplam 58 çalışma dâhil edilmistir. Yapılan analizler sonucunda, internet tabanlı
uzaktan eğitim yüz yüze yapılan eğitime göre daha başarılı olduğu tespit
edilmiştir.
Özlü’nün (2011), “E-imza Güvenliğinin Artırılmasına Yönelik Konum Damgası
Sistemi Önerisi ve Uygulaması” başlıklı yüksek lisans tezinde, e-imzanın yetkisiz
kişiler tarafından kullanımını önlemek amacıyla, elektronik olarak imzalanan
6
belgelerin güvenliğini artıracak yeni bir sistem önerilmiştir. Küresel yer
belirleme sisteminden de yararlananan bu sistem e-imzalı belgelerin nerede
imzalandığının tespit edilmesine ve e-imza kullanımın konum açısından
sınırlanabilmesine olanak sağlamıştır. Çalışma kapsamında önerinin
gerçekleşebilirliğini ortaya koymak için geliştirilen e-imza güvenliğinin
artırılmasına yönelik konum damgası sistemi uygulamasında da başarılı
sonuçları elde etmiştir.
Danacı’nın (2016), “Elektronik İmzanın Hukuki Niteliği ve Vergi Hukukunda
Kullanılmasının Değerlendirilmesi” başlıklı Yüksek Lisans tezinde, e-imzanın
vergi hukukunda kullanımını değerlendirmiştir. Türkiye’de e-fatura, e-
beyanname, e-tebliğ, e-arşiv, e-defter ve e-haciz gibi e-maliye uygulamalarında
giderek yaygınalaşan e-imzanın, vergi hukuku açısından hukuki durumu, e-
imzanın maaliye alanında uygulanmasında sağlanan fayda ve eksiklikler
incelenmiştir.
Avaroğlu (2007), ”Elektronik İmza” başlıklı Yüksek Lisans tezinde, e-imza
kullanımı hakkında ülkemizdeki bilinç ve bilgi birikimine katkı saglamak
amacıyla bilgi ve bilgisayar sistemleri güvenliği, şifreleme bilimi, e-imza kavramı,
e-imza teknik altyapısı (AAA) ve elektronik sertifikalar konusunda bir araştırma
yapmıştır. Özellikle konumuzun ana teması olan e-imzanın kişilere ne olduğunun
tanıtılması, ne amaçla kullanıldığı, yararları, eksiklikleri, e-imza konusunda
yaşanılan problemler ile e-imzada kullanılan altyapıdan bahsedilmişdir. E-imza
sistemlerinin hayata geçirilmesinde dikkat edilmesi gereken hususlar ile e-
imzanın yaygınlaşmasına yönelik öneriler de sunulmuştur.
Erbayraktar’ın (2011), “Elektronik İmza ve Elektronik İmza Kanunu’na Göre
Sertifika Sağlayıcının Üçüncü Kişilere Karşı Hukuki Sorumluluğu“ başlıklı yüksek
lisans tezinde; elektronik imza kavramı ve 5070 sayılı Elektronik İmza Kanunu’na
göre sertifika sağlayıcıların üçüncü kişilere karşı hukuki sorumluluğu konusu
detaylı bir şekilde incelenmiştir.
7
Budak’ın (2010), “Güvenli Özet Algoritması” başlıklı yüksek lisans tezinde, tek-
yönlü özet fonksiyonlarının matematiksel temellerini, kripto analizini incelemiş
ve güvenli özet algoritmasının simülasyonununu gerçekleştirmiştir. Günümüzde
bir standart olarak kabul gören ve hemen hemen bütün yazılım ve donanım
tabanlı kriptografik uygulamaların ayrılmaz bir parçası olarak yer alan özet
fonksiyonlarının matematiksel temelleri ve yapıtaşlarını incelenmiş, bu
fonksiyonların kripto analizi yapılmıştır. Özet fonksiyonlarından biri olan ve
günümüzde bir standart olarak kabul gören güvenli özet algortimasının işleyişini
detaylı bir şekilde ele almış ve kripto analizini yapmıştır. Elektronik imza
hakkında genel bilgi verilmiş, özet fonksiyonlarındaki zayıflıklar incelenerek
elektronik imzaya etkisini ortaya koymaya çalışılmıştır.
Erol’un (2006), ”Kurumsal Ağlarda Açık Anahtar Altyapısı Tabanlı Elektronik
İmza Uygulaması” başlıklı yüksek lisans tezinde, kurumsal ağların güvenlik
altyapısını; elektronik imzanın teknik altyapısını ve hukuksal boyutunu;
dünyadaki ve ülkemizdeki elektronik imzaya karşı mevcut durumu, hukuksal
altyapısını ve örnek uygulamaları; kurumsal bir ağda elektronik imza
sistemlerinin uygulanabilirliğini ispatlayan bir uygulama ile incelemiştir.
Elektronik imzanın tüm detaylarıyla incelendiği bu çalışmayı, benzeri
örneklerinden ayıran en önemli nokta, kurumsal ağlarda elektronik imza
sistemlerinin nasıl hayata geçirileceğinin detaylı olarak anlatıldığı güncel bir
kılavuz doküman olma özelliği taşımasıdır.
Akçeşme’nin (2009), “Sanal Noter” başlıklı yüksek lisans tezinde, noter
hizmetlerini sanal ortamda modellemeye yönelik bir araştırma yapılmıştır. Noter
hizmetlerinin analizi yapılarak sanal ortamda modellemek için gerekli koşullar
belirlenmiştir. Belirlenen koşullara göre, bazı noter hizmetlerinin, mevcut
teknolojik koşullar ve yapılacak hukuki düzenlemeler ile hukuki geçerliliği olacak
şekilde sanal ortamda gerçeklenebileceği sonucuna varılmıştır. Bu sonuca göre;
sanal ortamda noter hizmetleri için gerekli koşullar, elektronik imza ve
kriptografik algoritmalar kullanılarak modellenmiştir. Noterlik kanunu temel
alınarak, sanal ortamda yapılabilecek noter hizmetleri belirlenmiştir. Modelin,
hukuki geçerliliği analiz edilerek, yapılması gereken hukuki düzenlemeler
8
belirlenmiştir. Önerilen modelde, sanal ortamda yapılabilecek işlemlerden biri
olan ihtarname işlemleri için prototip bir uygulama hazırlanarak, yapılan çalışma
somut olarak ortaya konulmuştur.
Haklı’nın (2012), “Bilgi Güvenliği Standartları ve Kamu Kurumları Bilgi Güvenliği
İçin Bir Model Önermesi” başlıklı yüksek lisans tezinde, Bilgi Güvenliğinin tanımı
yapılmış ve Bilgi Güvenliği Standartları incelenmiştir. Kamu kurumlarına, Bilgi
Güvenliği Standartları uygulanması için bir model tasarlanmış ve tasarlanan
model anlatılmıştır. Bu model önerisi için bir yazılım geliştirilmiştir. Bilgi
Güvenliği Yönetim Sistemi’ni (ISO/IEC 27001 BGYS) kurup yönetirken yapılması
gereken tüm adımlar sırasıyla yazılımda belirtilmiş ve açıklanmıştır. Kullanılan
program doğrultusunda örnek çalışmalar yapılmıştır. Bu yazılım ile kamu
kurumları ve şirketlere ISO/IEC 27001 BGYS’nin uygulanması için yol gösterici
olunmuştur.
Aslandağ’ın (2010), “Bilgi Güvenliği Kavramı ve Bilgi Güvenliği Yönetim
Sistemleri ile Şirket Performansı İlişkisine Dair Bir Uygulama” başlıklı Yüksek
Lisans tezinde, bir kurumda uygulanan Bilgi Güvenliği Yönetim Sisteminin,
kurumun performansına nasıl etki ettiği tespit edilmeye çalışılmıştır. Kurumda
anket yöntemi ile Bilgi Güvenliği unsurları olan gizlilik, bütünlük, erişilebilirlik
kavramlarının şirketin çalışan memnuniyetine, müşteri memnuniyetine ve süreç
yapısına nasıl etki ettiği incelenmiştir.
Tok’un (2010), “Kamu Kurumları İçin Bir Bilgi Güvenliği Yönetişim Modeli”
başlıklı Yüksek Lisans tezinde; Türkiye için kamu kurumlarında kullanılacak yeni
Bilgi Güvenliği Yönetim Modeli önerilmiştir. Öncelikle sadece bir kamu
kuruluşunda bu modelin nasıl uygulanacağı açıklanmıştır. Ayrıca modelin tek bir
kurum ya da kuruluşta kullanılması için tasarlanmasının yeterli olmayacağı
düşüncesiyle, önerilen modelde kurum ve kuruluşların birbiriyle olan
etkileşimini de içeren yeni bir yapı ortaya konulmuştur. Bu sistemin çalışabilmesi
için de tüm kamu kurumlarıyla birlikte özel şirketleri de içeren bir Bilgi Güvenliği
Stratejisi Kurulu (BGSK)’nun kurulmasının gerekliliğine vurgu yapılarak, bilgi
güvenliği konusunun yasal dayanaklarla desteklenmesi önerilmiştir. Bu modelin
9
İstanbul Büyükşehir Belediyesi, bağlı kurumları ve iştirak şirketlerinde nasıl
kurulabileceği örnek olarak anlatılmıştır.
Sağır (2014), “Açık anahtar altyapısı ve elektronik imzanın mobil tabanlı
uygulaması” başlıklı çalışmasında, Windows işletim sistemi üzerinde çalışan
İmzager, İmzala-Gönder ve PDF İmzalama uygulamalarının yaptığı işlemlerden
elektronik imzalama işleminin PFX dosyası formatıyla Android üzerinde
gerçekleştirilmesini sağlayan bir uygulama gerçekleştirmiştir.
Gölle (2009), “CMS tabanlı kütüphane kullanarak ETSI uyumlu elektronik imza
modülü ve çevrimiçi uygulama geliştirmek” başlıklı çalışmasında, farklı
standartlarda oluşturulan elektronik imzalı belgelerin uyumluluğunun
sağlanmasına yönelik olarak incelemeler yapmıştır. İşlemlerin hızlı yapılabilmesi
için bir elektronik imza kütüphanesi geliştirmiş. ETSI 101733 standardı ile
uyumlu elektronik imza modülü ve bu modülü kullanarak çalışan çevrimiçi bir
elektronik imza uygulaması başarıyla uygulamış ve kullanıma sunmuştur.
Yalçınkaya (2008), “Elektronik İmzalı Belgelerin Yönetimi ve Arşivlenmesi”
başlıklı çalışmasında, e-imzalı elektronik belgelerin arşivlenerek yönetimi
modelleri üzerinde durulmuştur. Uzun süreli arşivlemede, belgenin geçerliliğini
koruyarak, delil sayılabilmesi için aradan geçen yıllara rağmen belgenin
doğrulanabilmesi, bilgisayar sistemlerini ve yazılımlarını tehdit eden ve kalıcı
zararlar veren kötücül ve casus yazılımlar yine elektronik belge ve güvenliği ile
birlikte ele alınarak incelenmiş model önerilerinde bulunulmuştur.
Aydın (2010), “Elektronik belgelerin arşivlenmesi ve erişim” başlıklı
çalışmasında, genel olarak e-belge yönetimi ele almış, e-belgelerin sağlıklı
arşivlenmesi için gerekli hususlar üzerinde durmuş ve buna bağlı olarak e-
belgelere etkin ve güvenli erişimin nasıl sağlanacağı ortaya koyan araştırma
bulgularını paylaşmıştır.
Ergün (2013), “Elektronik imza uygulamaları güvenlik analizi ve test süit
çalışması” başlıklı çalışmasında, e-imza uygulamalarının imza oluşturma ve
10
doğrulama alanlarında güvenlik testlerini yapacak Public Key Infrastructure
(Açık Anahtar Alt Yapısı) PKI modelini ve bu modelin gerçeklenmesiyle elde
edilen E-İmza Test Süiti oluşturmuştur. E-İmza Test Süiti, içerisinde birçok
sertifika ve imzalı dosyayı barındıran, belirtilen amaç için üretilmiş ve PKI
altyapısında oluşabilecek hatalı durumların büyük çoğunu kapsayan özelliklere
sahiptir.
Arslan (2009), “Web Tabanlı Uzaktan Eğitim Sistemlerinde Bilgi Güvenliğinin
Sağlanması” isimli çalışmasında, uzaktan eğitimdeki bilgi güvenliğini ağ
güvenliği, sunucu sistem güvenliği ve yazılım güvenliği üzerinden araştırmıştır.
Tan (2016), “Çoktan seçmeli sınav sistemlerinin değerlendirmesinin ve
yerleştirmesinin gizliliği ve bütünlüğü” başlıklı çalışmasında, kâğıt tabanlı çoktan
seçmeli sınav sistemlerinin değerlendirme ve yerleştirme işlemlerinin üçüncü
şahıslar tarafından da denetimini sağlamak, denetim sırasında sınava giren
kişilerin gizliliğini korumak ve çevrimiçi saldırıların ve kötü niyetli sınav merkezi
çalışanlarının sisteme karşı olan tehditlerinin etkisini azaltılmasını amaçlamıştır.
Elektronik imzalar ile sitemdeki işlemleri gerçekleştiren yöneticilerin
işlemlerinin sorgulanabilir olması sağlanmış, değerlendirme ve yerleştirme
işlemlerinin kişisel bilgileri açığa vermeden, güvenli, bütünlüğü sağlanmış ve
hesap verebilir bir konuma getirilmesi hedeflenerek güvenliğin, bütünlüğün ve
hesap verebilirliğin yerleştirme işlemlerine yönelik bir uygulaması
gerçekleştirilmiştir.
Chen, Shou (2009) “Research and implementation on security client of electronic
signature based on android” isimli çalışmasında elektronik imzanın Android
işletim sistemli mobil cihazlarda bir güvenlik araştırması yapmıştır. İlk olarak;
elektronik imzanın temel yapısını, Public Key Infrastructure (Açık Anahtar Alt
Yapısı) PKI temelli elektronik imza sistemini ve elektronik imza temel konularını
incelemektedir. İkincisi, kullanıcının özel anahtarı, elektronik belgeleri,
elektronik formları ve imza prosedürlerini içeren verilerin güvenli şekilde
depolanması ve analizlerin güvenli şekilde kullanılması hususunda ilgili
çözümler öne sürmektedir.
11
Song (2008), “Design and implementation of web-based electronic signature
system” isimli çalışmasında web tabanlı elektronik imza sistemi tasarlanmış ve
uygulaması yapılmıştır. Öncelikle karşılaşılan güvenlik sorunları ve elektronik
imza ihtiyacı ile ilgi bir anket hazırlanmıştır. Bu anketin sonucunda web tabanlı
elektronik imza sistemi, gereksinimleri karşılayacak etkili bir çözüm olduğu
kanısına ulaşılmıştır. Sonra imza üretim modülünü tamamlamak olmuştur. İmza
üretim modülü, elektronik imza ve girdi verilerini veri tabanına kayıt etmesidir.
İmza katmanı, elektronik imza zaman damgası, imza doğrulama, güvenli oturum
açma gibi işlevleri içermektedir. Araştırmalara dayanarak fikri mülkiyet hakları
saklanarak web tabanlı elektronik imza sistemi geliştirmiştir.
Breier vd. (2014), çalışmasında JavaCard 3.0 Connected Edition platformu
kullanarak aynı yerel ağdaki mobil telefon ile kişisel bilgisayar arasındaki
iletişimi kurarak, mobil telefon üzerindeki SIM karta erişimi sağlayarak imzalama
işlemini gerçekleştirmeyi çalışmıştır. SIM kartı istemci olarak kullanılmakta,
kişisel bilgisayar ise bir iletişim aracı olarak kullanılmaktadır.
Arivazhagan vd. (2014), çalışmasında sistemlerin bilgisayar güvenliğini, digital
imza ve karma mesaj algoritmasının önemini analiz etmektedir ve yeni bir dijital
imza algoritması önermektedir. Önerilen dijital imza algoritması, dijital imzanın
etkin çıktısını üretmek için yeni bir teknoloji sunmaktadır. Önerilen teknoloji
sonucunda imzaların imzalanması ve doğrulanması öncekilere göre çok hızlı
olduğu görülmüştür.
Pharow vd. (2004), çalışmasında uzun süreli depolama prosedürlerinin riskler ve
tehditleri ve uzun süreli saklanacak e-imzalı belgelerin korunmasına yönelik
öneriler sunmaktadır. Uzun süreli saklanan belgelerde; bütünlük, hesap
verilebilir, izlenebilir olması için elektronik imzayı ele almıştır. Belirtilen
güvenlik kategorileri ile ilgili uygulanan çözümler hakkında detaylı bilgileri
çalışmasında belirtmiştir.
Haak vd. (2002), çalışmasında tıbbi belgelerde elektronik imzanın
kullanılmasının sağlayacağı kolaylıkları araştırmıştır. Haak vd. göre,
12
hastanelerde kullanılan elektronik imza, elektronik kayıtların daha da
geliştirilmesini sağlamıştır.
Rossnagel (2004), çalışmasında mobil nitelikli elektronik imza sertifikalandırma
hizmetlerinin abone bilgilerinden ayrılarak birbirinden rekabet etmek yerine
işbirliği yapmasını sağlayan bir protokol önermektedir.
Literatür taramasında bilgi güvenliği açıklarının önüne geçilmek için altyapı,
algoritma geliştirme ve uygulama alanlarında çalışmalar yapıldığı görülmektedir.
Bu çalışmada, literatürden farklı olarak Uzaktan Öğretim Yönetim
sistemlerindeki bilgi açıklarını önlemeye yönelik e-imza tabanlı bir uygulama
geliştirilmiştir.
13
3. MATERYAL YÖNTEM
Bu bölümde uzaktan eğitim sistemleri ve elektronik imzanın bilgi güvenliği
alanlarındaki önemi ve özellikleri hakkında bilgi verilmiştir.
3.1. Web Tabanlı Uzaktan Eğitim
Uzaktan eğitim, yaşam boyu eğitimin üzerine getirdiği yükün, sorunların da
temelini oluşturmaktadır. Tam zamanlı bir işte çalışmakta olan birey ya da çeşitli
sebeplereden dolayı okula sürekli gelemeyecek insan, kişisel gelişimine yardımcı
olacak olan eğitim süreci için yeterli vakti ayıramamaktadır. Burada örgün eğitim
olarak adlandırabileceğimiz, öğrenci – sınıf – öğretmen ilişkisinin aynı fiziksel
alan içerisinde olduğu geleneksel eğitim modelinden farklı bir modele ihtiyaç
duyulmuştur. Bu ihtiyacı karşılayacak eğitim modelini uzaktan eğitim olarak
tanımlamak mümkündür (Madran ve Al, 2004).
Eğitimin çoğunluğunun öğretim elemanı ile öğrenenin aynı yerde olmadan
yürütüldüğü bir örgün öğretim süreci olarak tanımlanır. Eğitim eş zamanlı veya
ayrı zamanlı olarak gerçekleşebilir. Uzaktan eğitim mektuplaşma şeklinde
olabileceği gibi ses, video veya bilgisayar teknolojisi ile de gerçekleştirilebilir
(Fleming ve Hiple, 2004).
Uzaktan eğitimin tarihine bakıldığında zamanının çoğunu çalışarak geçiren ve
farklı coğrafi merkezlerde yaşayan bireylere eğitimin ulaştırılması görüşüne
odaklandığı görülmektedir. Zaman ve mekân bağımsız bir şekilde yürütülerek
öğretim elemanı ile öğrenenin farklı zamanlarda, mekânlarda iletişim kurmasına
imkân vermesi nedeniyle uzaktan eğitime olan talep giderek artmıştır. Özellikle
yetişkinleri; mesleki pozisyonları, kişisel yaklaşımları ve zaman azlığı nedenleri
ile uzaktan eğitime yönelten sebeplerin başında gelmektedir. Uzaktan öğrenme
ve dağıtık öğrenme gibi çeşitli isimler de alan uzaktan eğitim; farklı mekânlardaki
öğretmen ve öğrencileri, çeşitli eğitim etkinlikleri ile birbirine bağlayan bilgi
teknolojileri uygulamaları olarak tanımlanmaktadır (Schlosser ve Simonson,
2006).
14
Geleneksel eğitimde öğretmen rolünde olan kişiler artık uzaktan eğitimde
tasarlayıcı, yönetici ve motive edici gibi yeni roller üstlenmiş ve bu iş için daha
fazla zaman ayırmak durumunda kalmışlardır. Bodendorf ve Schertler, uzaktan
eğitimde değişen öğretmen rolünü Şekil 3.1’de özetleyerek öğretmenin merkezde
olduğu ve sıkı iletişim desteği ile öğretim etkinliklerini yönettiği bir model olarak
tanımlamaktadır. İyi tasarlanmış bir derste uzaktan eğitim öğretmeninin
öğrencilerle birlikte hareket etmesi başarı için gereklidir. Aynı zamanda
öğretmenler yazılı iletişim ortamlarını etkili bir şekilde tasarlama becerilerine de
sahip olmalıdır. Bu kapsamda uzaktan eğitimde ders verecek öğretmenlerin
eksikliklerini giderecek hizmet içi eğitimler alması faydalı olacaktır (Kaban,
2013).
Şekil 3.1. Uzaktan eğtimde değişen öğretmenin rolü
Uzaktan eğitim sisteminin temel ögelerinden biri olan öğretim elemanları
üzerinden, sistemi tartışmaya yönelmiştir. Sistem; bir amaç için birleşen,
birbirine dayanan ve birbirini etkileyen parçaların oluşturduğu bir bütündür. Bu
tanımlama ölçüsünde uzaktan eğitim sistemi ve içinde olması gereken yapılar
Şekil 3.2’de tanımlanmıştır (Yıldız, 2015).
15
Şekil 3.2. Uzaktan eğitim sisteminin yapısı
Uzaktan eğitim sistemleri; bir sistem olarak ele alındığında, farklı dinamikleri
içinde barındıran yapılardır. Bu yapılar; teknolojik, organizasyon, sosyal,
öğretimsel, psikolojik olmak üzere 5 grupta incelenmektedir.
Teknolojik yapı, uzaktan eğitim sistemi içinde zaman ve mekân esnekliğini
sağlamak ve öğretimsel süreci desteklemek amacıyla oluşturulmuş her
türlü yazılımsal ve donanımsal teknolojiyi ifade eder.
Organizasyon yapısı, bir eğitim sistemi içinde olması gereken kurumsal
yapıyı, bu yapının işleyişini ve organizasyon içindeki işbirliğini ifade
etmektedir.
Sosyal yapı, uzaktan eğitim sistemi içinde bulunan, sisteme doğrudan ya
da dolaylı olarak maruz kalan kişileri, bu kişilerin rollerini,
sorumluluklarını ve birbirleriyle olan iletişimini ifade eder.
Öğretimsel yapı, uzaktan eğitim sistemine bağlı öğretim etkinliklerinin
gerçekleştirilmesi sürecini ifade eder.
Psikolojik yapı ise, uzaktan eğitim sistemi içinde yer alan kişilerin uzaktan
eğitim uygulamalarını etkileyen bilgi, inanç, tutum, motivasyon gibi
değişkenleri ifade etmektedir.
16
Tüm bu yapıların birbiriyle etkileşimi ise Şekil 3.3’deki uzaktan eğitim sistemini
oluşturmaktadır (Yıldız, 2015).
Şekil 3.3. Uzaktan eğitim sistemi içinde bulunan yapıların etkileşimi
Birçok eğitimci uzaktan eğitim gören kişilerin, yüz yüze eğitim gören kişiler kadar
öğrenip öğrenmediğini sorguluyor. Araştırma sonuçları, doğru metot ve teknoloji
kullanıldığı sürece, öğrenciler arası iletişim sağlandığı sürece ve öğretmenden
öğrenciye dönük olduğu sürece uzaktan eğitimin yüz yüze eğitim kadar başarılı
olduğunu göstermiştir. Uzaktan eğitimin avantajları şu şekilde gösterilebilir:
Standartlaşma; eğitimin standartlaşmasını sağlar.
Uzaktan eğitimle, öğretmenden öğretmene değişen eğitim standart hale
gelmiştir. Aynı eğitim herkese, her yerde aynı nitelikte eğitim fırsatı
sunarak bir standart sağlamıştır.
Zaman; eğitim birimlerinde geçirilen zamanı azaltır. Çalışma zorunluluğu
olan ve bu sebeple eğitimine devam edemeyenler ve kendini geliştirmek
isteyen bireylere, istedikleri yerde fırsat sağlayarak uzaktan eğitim zaman
kaybını en aza indirger.
Maliyet; yerleşik eğitimin maliyetinin ve eğitim için harcanan yol
masraflarının azalmasını sağlar.
Örgün eğitimde aynı mekânda bulunma zorunluluğu uzaktan eğitimde
olmadığından öğrenen için maliyeti azaltmış olur.
17
Kolaylık; ihtiyaç duyulan zamanda ve yerde eğitimin verilebilmesini
sağlar. Öğrencinin kendini öğrenmeye hazır hissettiği ve ihtiyaç duyduğu
zamanda öğrenmesi, öğrenmenin kalıcı olmasını sağlar.
Çok yönlülük; ihtiyaca göre şekillendirilmiş, göreve özel eğitim
verilebilmesini sağlar.
Herhangi bir zamanda çalışanları hizmet içi eğitime alınabilmesi açısından
uzaktan eğitim ihtiyaca göre şekillendirilip, göreve özel olarak verilebilir.
Eğitim ve gerçek hayattaki uygulamalar arasındaki zaman farkını azaltır.
Örgün eğitimde sınıf ortamında oluşan zaman kayıpları uzaktan eğitimle
en aza indirilmiş olur.
Esneklik; beklenmedik durumlarda ihtiyaca göre eğitim imkânı sağlar.
İletişim; öğrenciler geri bildirimlerini kolayca yaparlar. Bir forum aracılığı
ile veya bir sohbet ortamı ile daha rahat geri bildirim yapılabilir.
Sınıf ortamındaki disiplin ve öğrencilerin kendilerini ifade etmelerindeki
çekinceleri forumlar aracılığıyla en aza indirgenir. Böylece öğrenciler
kendilerini en rahat bir şekilde ifade ederler.
Örgün eğitimde kullanılan öğretim yöntemlerinden daha fazla öğretim
tekniği kullanıldığından öğrenme kalıcı olur.
Eşitlik; özürlü, sağlıksız tüm kişiler de eğitim görebileceğinden halk
arasında eşitlik sağlanır. Kırsal yerlerdeki okullar da bu imkânlardan
yararlanma imkânı sağlanır.
Eğitimde fırsat eşitliği sağlar. Engellilere, okula uzak yerlerde ikamet
edenler için uzaktan eğitim bir fırsat eşitliğidir (Kılınç, 2015).
Öğretim yönetim sistemleri
Öğretim yönetim sistemleri (ÖYS), e-öğrenmeyi kolaylaştıran bilgi sistemleridir.
Öğretim yönetim sistemleri eğitimsel materyallerin işlenmesi, saklanmasına,
dağıtılmasına olanak sağlamakta, eğitim ve öğretimle ilişkili yönetimi ve iletişimi
desteklemektedir (Balat, 2014).
Öğretim yönetim sistemleri, öğrencilerin ders seçimine, derslerin içeriklerin
sunumuna, ölçme ve değerlendirme işlemlerine, kullanıcı hareketlerinin
18
izlenmesine olanak sağlayan yönetim yazılımları şeklinde tanımlanmaktadır
(Doğan, 2010). Öğretim yönetim sistemleri öğrenme aktivitelerinin yönetimini
sağlayan yazılımlardır. ÖYS’lerin amacı, uzaktan öğrenme faaliyetlerini
kolaylaştırmak ve daha sistematik, planlı bir şekilde gerçekleştirmektir. Öğretim
yönetim sistemleri aracılığıyla öğrenim faaliyetleri değerlendirildiğinden dolayı
öğrenim şekli sürekli olarak gelişmektedir. Öğrencinin sistem içerisindeki tüm
hareketleri izlenebildiği için, öğrencinin sorun yaşadığı durumlar kolayca tespit
edileceğinden, öğrenciye yardım etmek de kolaylaşmaktadır.
Kurumlar, gerekli araştırmaları yaptıktan sonra, kendi yapılarına uygun ÖYS’leri
kullandıkları takdirde, kurumların eğitim öğretim maliyetleri azalmaktadır
(Beyazşekeroğlu, 2015).
Moodle öğretim yönetim sistemi
Moodle, Genel Kamu Lisansı (GNU) koşulları altında ücretsiz olarak indirilebilen,
açık kaynak kodlu, eğitimcilerin çevrimiçi bilgi oluşturmalarına ve
paylaşmalarına fırsat veren bir yazılım olarak 1990’lı yıllarda bir doktora
öğrencisi olan Martin Dougiamas tarafından geliştirilmiştir. İlk sürümü 2002
Ağustos ayında kullanıma sunulan Moodle’ın 2.4.3+ versiyonu 2013 Nisan ayında
kullanıma sunulmuştur. MySQL, PostgreSQL, Oracle gibi veri tabanları altında,
PHP programlama dilini destekleyen Windows, Linux, Mac OS X gibi farklı işletim
sistemlerinde kullanılabilen Moodle, 233 ülkede yaklaşık 1,5 milyon eğitimci, 70
milyon kullanıcı tarafından kullanılmaktadır. PHP kullanabilen tüm sunucularda
çalışan, her bilgisayardan indirilebilen ve kolay kuruluma sahip olan Moodle,
kullanıcılar tarafından yeni versiyonlarına da kolayca güncellenebilmektedir
(Dougiamas, 2004).
Moddle, öğretim yönetim sistemlerinin tüm özelliklerine saip olduğu gibi
aşağıdaki özellikleri de kullanıcısına sunar:
Moodle tamamen ücretsizdir.
Sistem Windows ve Linux sistemlerinde çalışabilmektedir.
19
Çok büyük geliştirici ve son kullanıcı eğitmenlerden oluşan kitleye
sahiptir. Geniş geliştirici kitlesi sayesinde ürün yaşam çevrimi çok hızlıdır.
Yani çok kısa sürede yeni sürümler geliştirilmektedir.
Çoğu son kullanıcı hiçbir programlama ve veri tabanı deneyimine sahip
olmadan kullanmakta; sorun olduğunda sorunun giderilmesi ticari
sistemlerden daha hızlı olmaktadır.
Açık kaynak kodlu sistem olduğundan güvenlik açıklarının kapatılması
ticari sistemlere göre çok daha hızlıdır.
Ücretsiz olduğundan test edici kitlesi çok geniştir.
Sürekli olarak çok miktarda yeni özellik (blok veya modül)
geliştirilmektedir ve ücretsiz olarak dağıtılmaktadır (Soysal, 2015).
Moodle kendi içerisinde birçok ders aracı sunar. Bunlar; ders planları, anket,
anket formu, çalıştay, ders, forum, ödev, scorm, sınav, sohbet, sözlük, wiki
şeklinde örneklendirilebilir.
3.2. Bilgi Güvenliği
Bilgi, tarih boyunca insanlığın, yaşayışını, davranışını, gelişimini belirleyen
faktörlerin başında gelir. Bilişim teknoloilerinin hızlı bir şekilde
yaygınlaşmasıyla bilginin yönetilmesi, iş verimliliğinin ve akışlarının
hızlandırılması, çalışanlar ve diğer kurumlarla daha hızlı iletişim kurulabilmesi
sağlanmış, hayatı kolaylaştırılmış, üretilen ve tüketilen bilgilerde de artışlar
olmuştur. Bunun sonucunda elektronik ortamlarda bilginin işlenmesi, taşınması
ve saklanması kolaylaşmıştır (Çetinkaya, 2005).
Bilgi farklı ortamlarda işlenip depolanabilir. Önceleri sadece konuşarak bireyler
arasında yol alan bilgi, yazının keşfi ile etkili ve daha hızlı bir şekilde yol almaya
başladı. Arşiv anlayışı da bu şekilde tarihte kendine bir yer edindi. Bugün bilgiyi
kâğıt üzerinde basılı olarak, konuşarak sözlü olarak, elektronik bilgi depolama
cihazlarında (bellek vb.), internet ağı üzerinde sanal ortamda ve bulut ağı
ortamlarında saklayabiliyoruz. Bilgiye erişimde ise öncelikle mobil cihazlar,
basılı yayınlar, mesajlar, kuryeler kullanılmaktadır. Farklı ortamlarda saklanan
20
bilgiler korunmak için farklı uzman dalları gerektirse de, hepsi için ortak bilgi
güvenliği standartlarını bilmemiz ve göz ardı etmememiz gerekmektedir. Bilgiyi
sakalamak ve gizlemek kadar yetkili olan kişilerin de hizmetine sunabilmekte
önemlidir (Akay, 2014).
Bir bilgiyi saklamak kadar, yetkili olan kişilerin hizmetine sunabilmekte
önemlidir. Varlıklara istenilen yer ve zamanda yetkilendirme ve sınıflandırma
sonucunda kuruluşların kullanım yetkisine erişim denetimi denilir.
Bilgi güvenliği, “Bilginin varlık olarak hasarlardan korunması, doğru teknolojinin,
doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda,
istenmeyen kişiler tarafından elde edilmesini önlemek” olarak tanımlanır
(Madran ve Al, 2004). Bilginin bir varlık olarak ele alınması ve olası hasarlardan
korunması bilgi güvenliği olarak tanımlanmaktadır.
Bilgi güvenliği, bilginin sadece erişim yetkisi olan kişilerin erişelebileceğini
garanti etme, bilginin ve işleme yöntemlerinin doğruluğunu, verinin bütünlüğünü
garanti eder. Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili
kaynaklara erişebileceklerini garanti etme olarak tanımlanmaktadır. Bilgi
güvenliği, kurumsal bilgi teknolojileri kaynaklarının erişilebilirlik, bütünlük ve
gizliliği üzerindeki risk etkilerinin azaltılarak disipline edilmesidir (Solms, 2006).
Bilgi güvenliği yönetim sistemi (BGYS) standartları kapsamında BGYS’in
kurulumu, gerçekleşmesi, işletilmesi, izlenmesi, gözden geçirilmesi,
sürdürülmesi ve tekrar gözden geçirilmesi için PUKÖ döngüsü (Planla – Uygula –
Kontrol et – Önlem al) kullanılmaktadır.
PUKÖ döngüsüne ait açıklamalar Çizelge 3.1’de ifade edilmektedir. Bu döngüde
bir BGYS’nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi
olarak nasıl aldığını ve gerekli eylem ve işlemler aracılığıyla, bu gereksinimleri ve
beklentileri karşılayacak Bilgi Güvenliği sonuçlarını nasıl üretildiği gösterilir.
21
Çizelge 3.1. PUKÖ döngüsü
P PLANLA
(BGYS’nin Kurulması)
BGYS politikası, amaçları, hedefler, süreçler ve
prosedürlerin geliştirilmesi
U UYGULA
(BGYS’nin gerçekleştirilmesi ve işletilmesi)
BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesi
K KONTROL ET
(BGYS’nin izlenmesi ve gözden geçirilmesi)
BGYS politikası, amaçlar ve süreç performansını
değerlendirilmesi, uygulanabilen yerlerde
ölçülmesi ve sonuçların rapor edilmesi
Ö ÖNLEM AL
(BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi)
Yönetimin gözden geçirme sonuçlarına dayalı olarak,
düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi
Bilgi güvenliği tehditleri arasında, sistemde çalışan kişilerin oluşturabileceği
bilinçli veya bilinçsiz tehditler olarak tanımlayabileceğimiz iç tehditler önemli
yer tutmaktadır. Bilinçli tehditleri iki kategoride inceleyebiliriz. Birinci kategori,
sistem içerisinde çalışan kötü niyetli bir kişinin kendisine verilen erişim haklarını
kötüye kullanmasını içerir. İkinci kategori ise bir kişinin başka birine ait erişim
bilgilerini ele geçirerek normalde erişmemesi gereken bilgilere erişerek sistemde
kötü sayılabilecek işlemlerin gerçekleştirmesini kapsar. Veri tabanı yöneticisinin,
eriştiği verileri çıkar amacıyla başka bir firmaya satması ilk kategoriye örnektir.
Veri tabanı yöneticisi olmayan ve normalde veri tabanına erişim hakkı
bulunmayan birisinin erişim bilgilerini bir şekilde elde ederek verileri elde
etmesi ve bunu çıkarı için kullanması ikinci kategoriye örnektir.
Risk yönetimi, kurumun ya da kuruluşun çalışabilirliğini olumsuz yönde
etkileyecek faktörlerinin belirlenmesi, ölçülmesi ve en alt seviyeye indirilmesi
sürecidir. Risk yönetiminde, risklerin tamamen ortadan kaldırılması mümkün
değildir. Sorunların sistematik ve dikkatli şekilde yaklaşılması, almaya karar
verilen risklerin ise planlı yönetim ile kayıpların minimum seviyede olması
amaçlanmaktadır. Riski yönetmenin en doğru yolu, gerçekleşme olasılığı olan,
engellenemeyen risklerin, gerçekleştiğinde doğurabilecek zararı azaltacak risk
yönetim sürecinin oluşturulmasıdır.
22
Açıklıkların belirlenmesi; sistemlerin güvenlik prosedürlerinde, tasarımda,
uygulamada veya iç kontrollerde bulunan ve bilgi güvenliğinin korunamamasına
sebep olabilecek zayıflıklar, hatalar veya kusurlardır. Açıklıkların tek başlarına
bir tehlike oluşturmazlar. Açıklıkların belirlenmesinde anket, birebir görüşme,
dokümantasyon veya otomatik tarama araçları gibi yöntemler kullanılabilir
(BGPK, 2014).
Tehditlerin belirlenmesi; herhangi bir tehdit kaynağının kasıtlı veya kazayla bir
açıklığı kullanarak zarar verme potansiyeli olarak tanımlanmaktadır. Tehdit
kaynağı ise varlıklara zarar verme olasılığı olan olaylar ve durumladır. En bilinen
tehdit kaynakları şu şekildedir:
Doğal tehditler: Deprem, sel, toprak kayması, yıldırım düşmesi, fırtına gibi
tehditler.
Çevresel tehditler: Uzun süreli elektrik kesintileri, hava kirliliği, sızıntılar vs.
İnsan kaynaklı Tehditler: İnsanlar tarafından yapılan veya yol açılan bilinçli
veya bilinçsiz olaylar. Örneğin yanlış veri girişi, ağ saldırıları, zararlı yazılımların
yüklenmesi, yetkisiz erişimler vs.
Tehdit değerlendirmesi aşamasında tehdidin küçümsenerek göz ardı edilmesi
doğru değildir. Göz ardı edilen tehdit kurum güvenliğinde zayıflık yaratabilir.
Çizelge 3.2’de Bilgi Teknoloji (BT) sistemlerinde sıklıkla karşılaşılan tehditleri ve
bunların kaynakları görülmektedir. Bu tez çalışması, Çizelge 3.2’de “*” işareti ile
belirtilen satırların güvenlik zayıflıkları sonucunda, doğabilecek güvenlik
açıklarını önlemeyi amaçlamaktadır. (Çizelge 3.2’deki kısaltmalar B: İnsan
kaynaklı ve bilerek, K: İnsan kaynaklı ve kazayla, D: Doğal, Ç:Çevresel) (BGPK,
2014).
23
Çizelge 3.2. Bilgi teknoloji sistemlerinde karşılaşılan tehditler ve kaynakları
Tehdit Tehdidin Kaynağı Deprem D Endüstriyel bilgi sızması B.K. Yangın B.K Güç kesintisi B.K.Ç Havalandırma sisteminin arızalanması B.K.Ç Donanım arızaları K Tozlanma Ç Elektronik boşalma Ç Saklama ortamlarının izinsiz kullanılması* B.K Bakım hataları/eksiklikleri K. Program(Yazılım) hataları B.K. Yazılımların yetkisiz kullanılması* B.K. Kullanıcı kimlik bilgilerinin çalınması B.K. Yetkisiz kişilerin ağa erişimi* B Ağ trafiğinin dinlenmesi B İletişimin dinlenmesi B Mesajların yanlış yönlendirilmesi K İnkâr etme* K Kullanıcı hataları K Personel yetersizliği K
Yetkisiz kişilerin ağa erişimi, Bilgi ve İletişim Sistemleri’ne erişim yetkisi olmayan
kişilerin, sistemlere giriş parametrelerini elde ederek veya sistemlerdeki
güvenlik açıklıkları kullanarak Bilgi ve İletişim Sistemleri’ne erişmeleridir. Yetkili
kullanıcıların parametreleri, sosyal mühendislik, şebeke trafiğinin dinlenmesi,
kötücül yazılımlar kullanarak parametrelerin saklandığı dosyalara erişilmesi,
şifrelenmiş parametrelerin kırılması, çevrebirimleri aracılığıyla casusluk
yapılması gibi yollarla ele geçirilmekte ve sistemlere nüfuz etmek için
kullanılmaktadır. Yetkisiz erişim, kişisel mahremiyetin ve haberleşmenin
gizliliğinin ihlal edilmesine zemin hazırlamaktadır (Ünver ve Canbay, 2010).
Bu tez çalışması sayesinde; kullanılan uzaktan eğitimi sistemlerinin, kullanıcı
hataları, kullanıcı kimlik bilgilerinin çalınması, bakım hataları/yetersizliği,
personel hataları, istenmeyen siber saldırıları durumunda sistemin yetkisiz
kişilerin eline geçmesi, kötü yazılımlar (virüs, truva atı vb.) sebebi ile veriler
üzerindeki değişiklikler yapılması vb. durumlarında sistemdeki sınav
sonuçlarında herhangi bir değişiklik olduğunda belgeler üzerindeki elektronik
24
imza bozulmuş olunacağından notlardaki değişiklikler ortaya çıkacaktır. Sınav
sonuçlarının elektronik olarak imzalanmadığı durumda ise notların değiştirildiği
hiçbir şekilde belirlenemeyeceğinden dolayı değiştirilen not sayılacaktır.
3.3. Elektronik İmza
İmza, bir yazının kimin tarafından yazıldığını veya içeriğinin tasdik edildiğini belli
etmek amacıyla metnin altına konulan isim veya işarettir. İmza, bir yandan
kişinin hüviyetini, diğer yandan da beyanda bulunma iradesini tespit eder.
Böylece imzalayanın metni okuyup anladığı ya da belgeyi bizzat hazırlayan kişi
olduğu ve bağlanma iradesinin varlığı anlaşılır (Reed, 2003).
Elektronik imza bir üst kavramdır. Her türlü elektronik ses, sembol veya
uygulamayı kapsayan ve kullanılan teknolojiden bağımsız terim olduğu için üst
kavram olarak kabul edilebilir. Ancak “sayısal imza” kavramı yerine kullanımına
rastlamak da mümkündür.
Elektronik imza, veriyi gönderenin ve alanın kim olduğunun kanıtlanmasına
imkân tanır. Dolayısıyla imzalanmış bir belgeyi yollayan kişi onu yolladığını, alıcı
da aldığını inkâr edemez. Böylece elektronik imza, elle atılan imzanın elektronik
ortamdaki karşılığını oluşturmaktadır. Elektronik imza, kapsamlı bir güvenlik
teknolojisinin verilerde değişiklik yapılmasını önleyen veya bu verilerde
değişiklik yapılması durumunda bu değişikliğin gerçekleştiğini anlamamızı
sağlayan sistemdir. Elektronik imza aynı zamanda Adli Tıp incelemesinin ortaya
koyduğu sonuçları, yani verinin kaynağını; bir başka değişle elektronik imzalı
olarak veriyi kimin oluşturduğunun da tespitine olanak verir (Yalçınkaya, 2008).
Elektronik imza oluşturmak için tanımlanmış söz dizimi, Kriptografik Mesaj Söz
Dizimi (Cryptographic Message Syntax - CMS)’dir. CMS; imza oluşturmanın
yanında, özetleme, doğrulama ve isteğe bağlı mesaj içeriğinin şifrelenmesi gibi
işlemler için de kullanılır (Selçuk, 2016).
25
5070 sayılı Elektronik İmza Kanunu’nda yer alan şekliyle elektronik imza; başka
bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı
bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri olarak
tanımlanır. Elektronik imza; bir bilginin üçüncü tarafların erişimine kapalı bir
ortamda, bilgiyi ileten tarafın oluşturduğu orijinal haliyle, bütünlüğü bozulmadan
ve tarafların kimlik bilgileri doğrulanarak iletildiğini elektronik veya benzeri
araçlarla garanti eden harf, karakter veya sembollerden oluşur.
Nitelikli elektronik sertifikalar; Kanunun 9. maddesinde belirtildiği üzere
“nitelikli sertifika” olduğuna dair bir ibareyi, sertifika hizmet sağlayıcısının kimlik
bilgilerini ve kurulduğu ülke adını, imza sahibinin teşhis edilebileceği kimlik
bilgilerini, sertifikanın geçerli olduğu süreyi, sertifikanın seri numarasını ve
elektronik imza oluşturma verisine karşılık gelen imza doğrulama verisini
barındıran elektronik sertifikalardır.
E-İmzanın özellikleri
Yazılı dokümanlarda kullanılan imzalar gibi, elektronik imza da günümüzde
eposta veya elektronik verilerin sahiplerinin tespitinde kullanılmaktadır.
Elektronik imzalar, elektronik sertifikalar kullanılarak oluşturulur ve
doğrulanırlar. Günümüzde uluslararası yasama organları e-imzaları ıslak imzalar
gibi yasal olarak bağlayıcı ve uluslararası çapta kabul edilebilir kılmak için
yasalar çıkarmışlardır.
E-imzanın kullanımın dünyada gittikçe yaygınlaşmasının nedenlerini; güvenilir,
taklit edilemez, yeniden kullanılamaz, e-imzalı metin değistirilemez ve e-imza’nın
inkâr edilemez olması şeklinde sıralayabiliriz (Özler, 2007).
E-imzaların sağladığı başlıca özellikler; veri bütünlüğü, kimlik doğrulama, inkâr
edememe, gizlilik şeklinde sıralanabilir.
Veri bütünlüğü (Integrity), bilginin doğru olduğunu kanıtlar. Okunan mesajın
yanlışlıkla ya da kasten değiştirilmediği veri bütünlüğü ile ispatlanır. Teknik
açıdan elektronik imza, imzalanmış doküman bir özet değerini barındırır. İçerikte
26
yapılacak herhangi bir değişiklik özet değerini de değiştireceği için imzanın
geçerliliği bozulacaktır.
Kimlik doğrulama (Authentication), basit bir ifade ile karşılıklı olarak el sıkışma
işlemi denilebilir. Bu, bir kişinin (ya da ev sahibi firma, sunucu, müşteri)
kimliğinin bilinmesidir. Bilgiyi imzalayanın yetkinliğini, işleme kimlerin
katıldığını, bir başkası tarafından bilginin değiştirilmediğini kanıtlar. Kişinin
kimliğin doğruluğunu onaylayarak sisteme giriş yapmak isteyen kullanıcının
doğru kimliğini tespit eder.
İnkâr edememe (Non-repudiation), elektronik ortamda mesajı gönderen ya da
alan kullanıcı, mesajı aldığını ya da gönderdiğini inkâr edebilir. Bunu engellemek
için, karşılıklı haberleşmede tarafların birbirinden gelen mesajları aldığını,
gönderdiğini teyit etmesi veya bunu inkâr etmemesi gereklidir. Bunu sağlamak
için, mesajı gönderen veya alan kişilerin kayıtları güvenilir bir makam tarafından
tutulur. Güvenli haberleşmenin yapılabilmesi için uygulanan yaklaşımlar ile inkâr
edememezlik sağlanmaktadır (Özler, 2007).
Gizlilik, bilgiye sadece izni olan kişilerin, izin verilen yollarla erişi sağlamasıdır.
Bahsi geçen erişim, üzerinde değişiklik yapmaya değil sadece okumaya yönelik
bir erişim şeklidir. Bazen bir bilginin var olduğu bilgisi bile kısıtlama altına
alınmaktadır. Yetkili olmayan insanların herhangi bir bilginin var olduğu bilgisini
elde etmeleri dahi gizlilik ihlali sayılmaktadır (Özkan, 2004).
Güvenliğin en önemli unsuru gizlilik kavramıdır. Gönderilen mesajın başkaları
tarafından görülmesi istenen bir husus değildir. Veri haberleşmesinde gizlilik
mesajların şifrelenmesi ile sağlanmaktadır. Elektronik veri iletişiminde
gönderilen mesajlar başkaları tarafından öğrenilmeyecek şekilde şifrelenerek
anlaşılmaz bir hale getirilmektedir. Mesajı alan kullanıcı aynı algoritmayı
kullanarak mesajı deşifre etmektedir (Özler, 2007).
Günümüzde şifreleme altyapısının olmasının temel sebebini gizlilik ve bütünlük
oluşturmaktadır. Bilgi güvenliğinin her kavramı her kurum için eşit önemde
27
olmayabilir. Gizlilik özellikle kamu kurumları ve bankalar gibi kuruluşlar için
önemlidir (Yıldız, 2007).
E-imza, gönderilecek olan mesajın gizli kalmasını sağlar. İmzalanan evrak dijital
ortamda mühürlenmiş bir şekilde alıcısına ulaşana kadar gizli tutulur. Burada
işlemi yapan kişi işlemin ulaşmasını istediği kişileri belirleme hakkına sahip
olduğundan işlem gizli olarak kalır ve böylece üçüncü kişilerin işleme ulaşma
imkânı yoktur (Güler, 2008).
Elektronik imza çeşitleri
E-imzanın; basit, gelişmiş, güvenli elektronik imza şeklinde çeşitlendirilmektedir.
Basit elektronik imza, sadece verinin bütünlüğünün korunduğu e-imza türüdür.
Basit e-imzaya hukuki işlem güvenliğinin sağlanması bakımından çeşitli şartlar
getirilmiştir. Diğer e-imza türlerinin ayrımı, basit e-imzaya getirilen ek şartlara
göre yapılmış bir ayrımı ifade etmektedir. Böyle bir ayrımın tercih edilmesinin
sebebi, gerek Kıta Avrupası’ndaki hukuksal düzenlemelerde, gerekse Türk
Hukuku’ndaki düzenlemelerde e-imzanın çeşitlerine bakılmaksızın taşıdığı
özelliklere göre farklılık göstermesinden kaynaklanmaktadır. Bu tür bir
düzenlemede, teknikteki gelişmelerin değişikliğe uğrayabileceği dikkate
alınmaktadır (Erturgut, 2003).
Gelişmiş elektronik imza, veri bütünlüğünün korunmuş olduğunu göstermesinin
yanında, imzalayan kişinin kimliğinin tespitine de imkân sağlar (Erturgut, 2003).
EİK’de gelişmiş imza konusu yer almamaktadır. Fakat EİK’nin 4.maddesinde,
gelişmiş e-imzanın önemli bir özelliği olan, imzalayanın kimliğinin tespiti unsuru
da, güvenli e-imza konusunun içerisinde düzenlenmektedir.
Güvenli (nitelikli) elektronik imza sahibine bağlı olan, sadece imza sahibinin
tasarrufunda bulunan güvenli elektronik imza aracı ile oluşturulan, nitelikli
elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitine imkân
28
sağlayan, imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp
yapılmadığının tespitini sağlayan e-imzadır (EİK, 2004).
Güvenli e-imza, basit ve gelişmiş elektronik imza tanımlardaki e-imza çeşitlerine
göre daha ayrıntılı olup, onların yanında güvenliğe daha önem veren ve
elektronik sertifika gerektiren bir müessesedir. Güvenli e-imza oluştururken ismi
ile aynı olan güven konusunun sağlanması gerekmektedir. Bu e-imza türünün
güvenli olarak sıfat almasının nedeni, bazı araçlarla oluşturulması ve
doğrulanabilir olmasındandır.
Elektronik imza altyapısı (Açık Anahtar Altyapısı-AAA)
Gizlilik, kimlik denetimi, bütünlük gibi bilgi güvenliği kavramlarını sağlayabilmek
için uygulanan matematiksel yöntemlerin hepsine kriptografi denir. Bu
matematiksel yöntemler, bilginin aktarımı esnasında olabilecek aktif ya da pasif
saldırılardan bilgiyi ve bilgi ile birlikte bilginin göndericisi ve alıcı bilgisini de
korumayı hedeflemektedir. Kısaca okunur olan bir verinin istenmeyen kişilerce
okunamayacak duruma dönüştürülmesinde kullanılan yöntemlerin tamamı
olarak tanımlanabilir.
Elektronik ortamda iletilen bilginin dönüştürülmesi işlemlerine şifreleme
denilmektedir. Bu yöntemde bilgi, alıcı dışında başka bir kişi tarafından
okunamaması ya da değiştirilememesi için kodlanır. Şifreleme ile gönderilen
herhangi bir bilginin gizliliği korunmuş ve bütünlüğü bozulmamış olur (Çak,
2002).
Elektronik imza, Açık Anahtar Altyapısını (AAA, PKI = Public Key Infrastructure)
kullanmaktadır. Açık Anahtar Altyapısını kullanılarak oluşturulan elektronik
imza verisi imzacıya ve imzalanan dokümana özel oluşturulmaktadır. Bu nedenle
başkaları tarafından taklit edilemez ve imzalı belge üzerinde değişiklik
yapılamaz. İstenildiğinde elektronik imzanın doğruluğu kontrol edilebilir.
Elektronik imza, imza sahibinin kimliğinin doğruluğunu kanıtlar. İmzalanmış
29
olan verinin içeriğinin başka kişi tarafından değiştirilip değiştirilmediğini
(bütünlüğünün bozulup bozulmadığını) kanıtlar (Başbakanlık, 2005).
Özel anahtar (private key), imza sahibine ait olan, imza sahibi tarafından
elektronik imzayı oluşturmak için kullanılan ve benzersiz, kriptografik, gizli
anahtar gibi verilerdir. E-imzayı oluşturmak için kullanılır. Sadece kişinin
kendisinde bulunur ve güvenli elektronik imza oluşturma aracı içinde saklanır.
Açık anahtar, elektronik imza doğrulama verisidir. Elektronik imzanın
doğrulanması için kullanılan şifreler, kriptografik, açık anahtarlar gibi verilerdir.
E-imzayı doğrulamak için kullanılır, gizli olmayan herkese açık bir veridir ve
elektronik sertifikanın içerisinde tutulur.
Bir AAA’da; makamlar (kayıt makamı, sertifika makamı, kök sertifika makamı),
sertifikalar, depolama, arşivleme birimleri ve güvenlik prensipleri bulunur. Bu
yapıda, kullanıcı sertifikaları, kullanıcı imza ilişkileri, açık ve nadiren de olsa gizli
anahtarlar, sertifikalarla ilgili işlemler, sertifika ve dizin sunucuları yer
almaktadır. Güvenilir sertifika makamlar tarafından anahtar ve sertifika
oluşturma, onaylama, saklama, yayımlama, dağıtma, onayları geçici olarak
durdurma ve sonlandırma işlemleri gerçekleştirilir.
Genel bir AAA içerisinde, kayıt makamı, sertifika makamı, kullanıcılar (e-banka,
e-devlet vb.) vb. temel bileşenleri arası haberleşme işlemleri sırası;
1. E-devlet, e-iş, e-ticaret veya bankacılık yapmak isteyen bir kullanıcı, kayıt
makamına (KM) müracaat eder.
2. Kullanıcı, kayıt makamından gizli anahtarını almak için istenilen bilgi ve
belgeleri, hazırlar ve KM’ye teslim eder.
3. Bilgi ve belgeler, KM tarafından güvenli bir şekilde Sertifikasyon Merkezi
(SM)’ye ulaştırılır. Belgeler kontrol edilir.
4. Kayıt makamında veya SM’de, o kullanıcı için bir açık ve gizli anahtar çifti
üretilir.
5. Üretilen açık anahtar, bir sertifika ile ilişkilendirilir.
30
6. Kullanıcıya ait gizli anahtar ise, kullanıcıya, bir akıllı çubuk veya akıllı kart
içerisine aktarılarak sunulur.
7. Güvenliği arttırmak için, kullanıcıya, geçici olarak (veya sürekli) bir PIN
numarası da verilebilir veya bir PIN numarası belirlenmesi istenebilir.
Bunu sebebi, kaybolma veya çalınma durumlarında gizli anahtarın direkt
olarak kullanımını zorlaştırmaktır.
8. SM, verilen sertifikanın anahtar ve sertifika bilgilerini, sürekli olarak
yayınlanması için, uygun bir sunucuya yönlendirir. Kullanıcıların
kendileri veya is ve işlem yapacağı diğer kullanıcıların, sertifika detayları
hakkında bilgi alabilecekleri sekilde, kullanıcılara sunulur.
9. Problemli sertifikalar ise, sertifika iptal listelerinde (SİL) yayımlanır.
Bilgi teknolojilerindeki gelişimle birlikte iletişim teknolojileri de daha yaygın
kullanım alanı bulmaya başlamıştır. Bu gelişmeler paralelinde, çağımız “Bilgi
Çağı” olarak adlandırılmaya başlamıştır. Bilgi ve iletişim teknolojilerindeki bu
hızlı gelişim, toplumların ve devletlerin değişim ve dönüşüm süreçlerini de
hızlandırmaktadır. Böylece tüm toplumlar, Bilgi Çağı’na ayak uydurup birer “Bilgi
Toplumu” olma yolunda ilerlemektedirler. Bir yandan kişisel bilgisayar sayısı ve
internet kullanımı hızla artarken, diğer yandan ekonomik, toplumsal ve yönetsel
alışkanlıklar da değişmektedir. BİT’in hayatımızda bu derece yoğun kullanımda
olması, yerleşik kavramların ve araçların yerine yenilerinin ikame edilmesine yol
açmıştır. Bu yeni kavramlardan ve araçlardan başlıcaları, e-Ticaret, e-Bussines, e-
imza, e-noter, online hizmet, İnternet Bankacılığı olup hepsi birer e-
uygulamalarıdır (Özler, 2007).
Elektronik imza ile ıslak imza karşılaştırıldığında; elektronik imza, el yazısıyla
atılan bir imza şekli değildir. Aynı şekilde elektronik imzalı belgenin bilgisayar
çıktısında da, ıslak imzada bulunan karakteristik kişileştirme özelliği yoktur.
Elektronik imzada, metnin altında kişisel bir imza bulunmamakta, aksine, sadece,
imza sahibinin kimliğinin tespiti için ek bir veriyle tamamlanmış şekli
bulunmaktadır. Bu sebeple elektronik imzadan söz edildiğinde, ıslak imza ile aynı
olduğunu söylemek mümkün olmamaktadır.
31
Islak imza ile elektronik imzanın işlevleri karşılaştırırken elektronik imzada, veri
güvenliginin, ıslak imzaya nazaran daha yüksek olduğu belirtilmelidir. Bu durum,
dijital imzada verinin bütünlüğünün sonraki değişmelere karşı korunması;
imzalayanın kimliğinin dolaylı da olsa tespitinin sağlanması; imza ile metin
arasındaki bağın kolaylıkla ve güvenilir şekilde tespit edilebilmesi ve imzanın
kontrolünün tamamen makine tarafından ve otomatik olarak yapılması
özellikleri dikkate alındığında daha iyi şekilde görülebilecektir (Şahinbaş, 2009).
E-imza ile birlikte, imzalanması gereken belgelerin ve bu belgelerin kopyalarının
taraflar arasında fiziksel olarak taşınmasına gerek kalmamaktadır. Bilgi ve
belgeler kullanıcıların bilgisi doğrultusunda çevrimiçi olarak, elektronik
ortamdan taşınarak kâğıt ve zaman tasarrufu sağlanmaktadır. E-imza
altyapısının sağlamış olduğu güvenlik önlemleri ile birlikte, bilgi ve belgelerin
gizliliği sağlanmakta ve bunun için daha önceleri kullanılan fiziki prosedürlere
gerek kalmamaktadır. Ayrıca bilgi ve belgeler elektronik ortamda bir arşivde
gizliliği sağlanarak tutulabilmekte ve mevcut durumda kullanılan dosya, dolap ve
arşiv odası gibi uygulamalarda tasarruf sağlanmaktadır. Dolayısıyla kâğıt
ortamında yapılan belge yönetimine oranla elektronik ortamda yapılan belge
yönetimi çok daha etkili olmaktadır. Zaman, mekân kâğıt tasarrufu sağlandığında
ise verimlilik artmaktadır (KBP, 2005).
Hash fonksiyonu, bilgisayar dilinde yazılan mesajın kısaltılmış şeklii özeti olarak
tanımlanmaktadır. Elektronik imzalamada, her kullanıcının bir açık anahtarı bir
de gizli anahtarının bulunduğu asimetrik sistemler kullanılır. Açık anahtardan
gizli anahtara ulaşmanın matematiksel karmaşıklığı pratik bir saldırı veya atak
düzenlenemeyecek derecede yüksektir. Açık anahtarla doğrulama işlemi ve gizli
anahtarla imza atma işlemi yapılır. Diğer taraftan asimetrik sistemler simetrik
sistemlere göre son derece yavaştırlar. Bu nedenle asimetrik sistemler ile
elektronik veri imzalanmadan önce, simetrik bir algoritma ile imzalanacak
verinin boyutu küçültülerek özeti elde edilir. Sayısal imza da verinin bu özetine
atılır. Kriptografide bu tekniğe “hash fonksiyonu” adı verilemektedir (Sağıroğlu
ve Alkan, 2005).
32
Günümüzde kullanılmakta olan elektronik İmza şemalarının temel olarak iki
kısımdan oluştuğunu düşünebiliriz. Bunlardan birincisi imzalanacak verinin
boyutunu küçülterek özetini çıkaran “hash fonksiyonu”, ikincisi ise oluşturulan
özeti kriptografik olarak imzalayan imzalama işlemidir. Özetin uzunluğu, verinin
uzunluğundan bağımsızdır ve sabittir. Özet uzunluğu mesajın uzunluğu ne olursa
olsun oldukça kısadır (Sağıroğlu ve Alkan, 2005).
Mesaj ilk alındığında mesajın bir özeti çıkarılır. Gelen mesaj ekinde yer alan şifreli
mesaj özeti gönderenin açık anahtarıyla karşılaştırılmaktadır. Bu işlemle
gönderenin kimliği doğrulanır. Gelen mesaj özeti ile yeni hesaplama sonucu
bulunan mesaj özeti karşılaştırılır. İkisi de aynı ise mesaj orijinaldir, değişikliğe
uğramamış anlamına gelmektedir. Böylelikle bütünlük kontrolü
gerçekleştirilmiştir. Metinde yapılacak en küçük bir değişiklik, muhatap tarafında
çıkarılacak mesaj özetinin gönderen tarafta oluşan mesaj özetinden farklı
olacağından doğrulama işleminin başarısızlıkla sonuçlanmasına yol açmaktadır
(Önder, 2007).
Hash fonksiyonları (Çizelge 3.3) ile elde ettiğimiz hash değeri, fonksiyon
girdisinin boyutu değişkenlik gösterse de boyutu her zaman sabittir. Genelde
hash değeri girdiye göre çok daha ufak bir boyuttaki değerdir. Hash
fonksiyonlarında çakışma olma olasılığı yoktur. Yani hash fonksiyonu altında aynı
hash değerini veren iki girdinin bulunma ihtimali yoktur.
Yukarıda verilen özellikler ışığında hash değeri verilerin parmak izi olarak
düşünülebilir. Nasıl ki her insanın parmak izi farklıdır, aynı sekilde, her metin
için, sabit uzunlukta çok büyük oranda benzersiz metin üretilebilen bir
algoritmadır.
33
Çizelge 3.3. Hash fonksiyonları
Hash Fonksiyonları
Yöntem Şifreleme Uzunluğu Lisans Sınırlamaları MD5
SHA-1
HIPE-MD
128 bit
160 bit
128 veya 160 bit
Yok
Yok
Yok
MD (Message Digest) serisi özetleme algoritmaları, Ron Rivest tarafından
geliştirilmiştir. 128 bit özetleme sağlamaktadır. Bu seride MD2 en yavası, MD4 en
hızlı olanıdır. MD5, MD4’e göre daha kapsamlı geliştirildiğinden hızı daha
düşüktür. MD5 güvenilir olarak kabul edilmiş olmasına rağmen yapılan son
arastırmalar MD5’inde kırılabileceğini göstermiş ve MD5’e duyulan güvende
kaybolmuştur (Şahinbaş, 2009).
SHA özetleme fonksiyonu, (Güvenli Özetleme Algoritması-Secure Hahshing
Algorithm) NSA (Ulusal Güvenlik Ajansı-National Security Agency) tarafından
geliştirilmiştir. SHA–1 MD algoritmalarına göre daha uzun bit üretebilmektedir.
160 bit uzunluğunda üretilen bir dizi için gerekli süre MD5 algoritmasından %25
daha yavaş olsa da bu algoritmanın kullanılması tavsiye edilmektedir. İlk sürüm
SHA–0 olarak adlandırılmıştır. SHA-0 ve SHA-1 en fazla 264 uzunlukta
mesajlardan 160 bitlik özet değeri üretir. Daha sonra SHA’nın 256, 384 ve 512 bit
versiyonları çıkarılmıştır. En son güncel versiyonu ise SHA–2 (sha–224, sha 256,
sha– 384, sha–512 algoritmalarına verilen genel isimi ve bunlarda herhangi bir
zayıflık bulunamamış) olarak kullanılmaya başlanmıştır (Avaroğlu, 2007).
Zaman damgası, elektronik bir belgenin ispat gücünü artırmak için, diğer
koşulların yanı sıra belgenin düzenlendiği zamanın şüpheye yer bırakmayacak
bir şekilde tespit edilmesine olanak sağlamaktadır. Zira elektronik ortamda
işlemlerin yapıldığı zamanın tayini, işlem güvenliği açısından önemli olup,
imzanın doğrulanması ve mesaj bütünlüğünün denetlenmesi açısından
vazgeçilmez bir unsurdur. Mesajı alan taraf mesajın geçerli olup olmadığını
denetleyebilmek için imzanın atıldığı tarihe ihtiyaç duyar. İşte elektronik
ortamda doküman, kayıt, sözleşme gibi elektronik verilerin, belirli bir zamandan
34
önce var olduğunu kanıtlamak için zaman damgası kullanılır. Zaman damgası
elektronik ortamdaki işlemlere güvenilir zaman bilgisi eklenebilmesini sağlar ve
üzerinde zaman bilgisi olması gereken elektronik başvuru, tutanak, sözleşme ve
benzeri her türlü elektronik veri üzerinde kullanılabilir (Önder, 2007).
E-imzanın belirli bir tarihten önce var olduğu zaman damgası ile ispat edilebilir;
ancak, imzanın geçerli olabilmesi için imzanın atılmış olduğu sertifikanın da bu
tarihte geçerli olduğunun ispatı gerekmektedir. Bu nedenle, imzaya sertifika
kontrolü için gerekli imzacı sertifikasının üst kök sertifikalar zinciri ve bu
sertifikalara ait iptal bilgisinin kontrol edilebileceği bilgiler de eklenmelidir.
Ancak, bu bilgiler imzaya eklendiğinde imzanın boyutu çok büyüyeceğinden bu
bilgilere ait özet değerler imzaya eklenerek, bilgilerin imza kontrolü sırasında
erişilebilecek başka bir yerde saklanması sağlanmalıdır (Selçuk, 2016).
Elektronik imzalı belgelerde zaman damgası, imzalı belgelerin gönderilmesinde,
saklanmasında ve kontrol edilmesinde elektronik imzanın oluşturulma zamanı
(tarih, saat, dakika) önemlidir. Eğer sertifika bloke edilmişse, mesajın veya
metnin, bloke zamanınından önce mi, yoksa sonra mı imzalandığı durumu, sadece
zaman damgası sayesinde tespit edilebilir. Elektronik imzanın kullanıldığı
zamanda geçerli bir sertifikaya dayanıp dayanmadığı zaman damgası sayesinde
mümkündür (Erturgut, 2004).
Zaman damgası imzalı veriye eklenir ve bu işlem sertifika hizmet sağlayıcıları
tarafından gerçekleştirilir. Bu yöntem sayesinde zaman damgasının sonradan
değiştirilmesi olanaksızdır. Zaman damgasında yapılacak olan bir değişiklik
elektronik imzanın da bozulmasına yol açacağından dolayı belgedeki imzanın
geçerliliğini bozacaktır.
Belgedeki bir başka zaman ifadesi ise, kullanıcının kendi bilgisayarındaki yerel
zamandır. Bu zaman ifadesinin kullanıcılar tarafından rahatlıkla değiştirilmesi
mümkün olacağından resmi bir geçerliliği yoktur. Bu durumu ortadan kaldırmak
için zaman damgası eklenmiştir.
35
Elektronik sertifika
Elektronik sertifika, günlük hayatta kullanmış olduğumuz nüfus cüzdanı, ehliyet,
pasaport vb. kimlik kartlarının elektronik ortamdaki karşılığıdır. Elektronik
sertifikalar, kişi için üretilen anahtar çiftlerinden açık anahtarı, kişinin kimlik
bilgisine bağlayan elektronik kayıtlardır. Başka bir ifadeyle elektronik sertifikalar
kişinin sanal ortamdaki kimlik kartı olarak ifade edilebilir.
Elektronik sertifikaların temel görevi, kişinin sanal ortamda kimliğini belirlemek
ve yapılan işlemin inkâr edilememesini sağlamaktır.
Elektronik imzaya ve ait olduğu varlığın kimliğinin doğruluğuna güvenin
sağlanması ve başkaca gereksinimlerin yerine getirilmesi için sertifika hizmet
sağlayıcılarına ihtiyaç duyulur. Sertifika hizmet sağlayıcıları, sertifika otorileri,
onay kurumları ya da güvenilir üçüncü kişiler olarak adlandırılan sertifika
makamları ve kök sertifikasyon makamlarıdır (Önder, 2007).
Elektronik sertifika hizmet sağlayıcıları tarafından oluşturulan ve elektronik
ortamda işlem yapan kişinin, nesnenin, kurumun tanınması, bilinmesi için
kullanılan elektronik veya sayısal kimliğe ya da dokümana, "elektronik sertifika"
denir (Sağıroğlu-Alkan, 2005). Elektronik sertifika, kimlik sahibi hakkında detaylı
bilgi vermenin yanında, bu bilgilerin doğruluğu, güvenilirliği, kullanıcıların ve
sertifika hizmet sağlayıcıların zarar görmemeleri için nasıl kullanılması ve hangi
kurallara uyulması gerektiği gibi detayları içerirler. Aynı zamanda, elektronik
ortamda kişilerin gizliliğini ve kimlik doğrulamasını sağlamak amacıyla, kimlik
sahibine ait olan açık ve gizli anahtar çiftleriyle, kimlik bilgileri arasında ilişki
kurulmasını sağlarlar. Elektronik sertifika hizmet sağlayıcıları sertifikadaki
kişinin gerçekten o kişi olup olmadığını teyit eder. Yani açık anahtar ve kimlik
bilgilerini sertifikaya yerleştirip kendi özel anahtarlarını kullanarak kişiyi
doğrular (Orta, 2005). Böylece imza anahtarı sahibi, sertifika hizmet sağlayıcısına
başvurduktan sonra elde ettiği özel anahtarıyla elektronik belgeleri
imzaladığında, imza anahtarı sahibinin sertifikası da imzalı elektronik belgelere
eklenir (Erturgut, 2004).
36
Dijital imzalı bir elektronik belgenin ekindeki sertifika ile birlikte alıcıya
ulaştığında, alıcı kimlik tespiti yapması için öncelikle, sertifika hizmet
sağlayıcısının açık anahtarı ile sağlayıcının kimliğini kontrol edecektir. İkinci
adım olarak sertifika sayesinde imza sahibinin açık anahtarı ile imza sahibinin
kimliğini kontrol edecektir. İmza sahibinin kimliğinin tespiti ise sertifika hizmet
sağlayıcısının her zaman ulaşılabilir dizin hizmeti sayesinde mümkündür. Bu
nedenle sertifikalar, elektronik ortamda herkese açık yapıdadırlar ve kullanıcılar
tarafından kolaylıkla erişilebilecek yerlerde yayımlanırlar (Önder, 2007).
Elektronik sertifikaların oluşturulması ve yayımlanması, talep üzerine
oluşturulur. Çizelge 3.4’te bir elektronik sertifika örneği gösterilmektedir. ESHS
tarafından, nitelikli elektronik sertifika başvurusundan sonra sertifika
oluşturulur ve sertifika sahibine teslim edilir. Sertifikanın geçerlilik süresi
sözleşmeyle belirlenir. Sertifika, teslim edilmeden önce sertifikayı talep eden
kullanıcıya, elektronik imza kullanımına ilişkin aydınlatma yükümlülüğünün
yerine getirilmesi ve sigortalandıktan sonra teslim edilmesi gerekmektedir (EİK,
2004).
Çizelge 3.4. Elektronik sertifika örneği
Sertifika Seri Numarası 59014325431 Sertifika Sahibinin Kimlik Bilgileri
Ziya DİRLİK
Sertifika Geçerlilik Başlangıç Tarihi
10 Subat 2008 14.00
Sertifika Geçerlilik Bitiş Tarihi 10Eylül 2009 14.00 Sertifikanın Kullanım Amacı Test Kullanımı Kullanılacak Algoritma Sha1RSA Sertifika Sahibinin Açık Anahtar Bilgisi
65 94 73 58 59 ef 8e 6f 1e 95 22 a7 c9 67 2e a5 d4 ee 2c 1c
Yayınlayan ESHS XXXX Kurumu ESHS Elektronik İmzası 4t 4a 31 e8 9y 3d fa 3e 0a b7 dd 70 71
c7 51 7c 45 83 4f 11
Nitelikli elektronik sertifikaların yenilenmesi ve iptali, elektronik sertifika hizmet
sağlayıcılarının elektronik sertifika sahibinin fiil ehliyetinin sınırlanması, iflâsı
veya ölmesi hâlinde elektronik sertifikayı iptal etmesi yetki ve yükümlülüğü
37
düzenlenmiş, böylelikle yapılacak hukukî işlemden iyi niyetli üçüncü kişilerin
zarar görmemesi amaçlanmıştır.
Yönetmeliğin 13’üncü maddesine göre nitelikli elektronik sertifikanın iptaline
ilişkin talepler; ESHS, sertifika sahibi ve sözleşme ile belirlenen kişiler tarafından
yapılabilir. ESHS, bu duruma ilişkin taleplerin yapılabilmesini, asgari olarak
telefonla ve kesintisiz sağlamak durumundadır. ESHS nitelikli elektronik sertifika
sahibini söz konusu durum hakkında bilgilendirmesi zorunludur. Kurumsal
başvurularda başvuru sahibinin de bilgilendirilmesi öngörülmüştür (Orta, 2007).
NES’ler kullanım süresinin dolması ya da başka bir sebeple geçersiz olsa bile,
ESHS tarafından arşivlenirler. Sertifikanın geçerli olduğu zaman diliminde
yapılan işlemlerin doğrulanması için bu işlem gereklidir. Çünkü günlük hayatta
olduğu gibi sanal ortamda da geçmiş işlemlerin geçerliliğinin sorgulanma ihtiyacı
vardır.
Elektronik sertifika hizmet sağlayıcı (ESHS), sertifikanın tanziminden sonra bir
sertifikanın içerdiği bilgilerin doğruluğunu kontrol etmek zorunda değildir.
Ancak sertifika çalınmış veya kötüye kullanılmış ise gereğini yapmak
durumundadır. ESHS’nin kanunda belirtilen sertifika verdiği kişilerin kimliğini
resmî belgelere göre güvenilir şekilde tespit etmesi işlevi, sertifikanın
tesliminden öncedir. Tespit işlemini belgelere göre yapamıyorsa sertifika
oluşturmaması gerekmektedir. Sertifikanın oluşturulup tesliminden sonra
meydana gelecek değişiklikler ESHS’nin elektronik sertifikadaki bilgiler
yönünden kendisini sorumluluk altına sokmaz. Ancak sertifika sahibinin
bilgilerinde meydana gelen değişiklikleri biliyorsa veya bilmesi gerekiyorsa
sertifikaya güvenerek işlem yapan üçüncü kişilere karşı sorumlu olacaktır (EİK,
2004).
Ülkemizde şu anda hizmet veren beş tane ESHS vardır (Şekil 3.5). 5070 Sayılı
Elektronik imza Kanunu’nun kabulü ile ilk kurulan ESHS’lardan biri TUBITAK-
UEKAE’dir. TUBITAK-UEKAE devlet desteği ile kurulan bir kamu ESHS’dır.
Yapılan yasal düzenlemeler ile TUBITAK-UEKAE sadece kamu kurumu
38
çalışanlarına nitelikli elektronik sertifika vermektedir. Vatandaşlar ve işletmeler
diğer ESHS’lardan nitelikli elektronik sertifika alabilmektedirler.
Çizelge 3.5. Türkiye’de elektronik sertifika hizmet sağlayıcıları
Elektronik Sertifika Hizmet Sağlayıcı
-TÜRKİYE- Faaliyete Başlama
Tarihi Elektronik Bilgi Güvenliği A.ş. (E-Güven) 24.06.2005 TUBİTAK-UEKAE (Kamu Sertifikasyon Merkezi) 30.06.2005 E-İmza Bilgi Güvenliği Hizmetleri A.Ş.(e-İmzaTR) 03.02.2014 TürkTrust Bilgi, İletisim ve Bilişim Güvenliği Hizmetleri A.ş. 16.07.2005 EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. (E-Tuğra) 01.09.2006
ESHS’ların temel görevleri; nitelikli sertifika üretimi, zaman damgası hizmeti,
nitelikli elektronik sertifikaları bir dizinde yayınlama (Örnek olarak LDAP dizini),
SİL (CRL-Sertifika İptal Listesi) yayınlama, ÇDSDUP (OCSP-Çevrim Dışı Sertifika
Durum Protokolü) hizmeti, sertifika mali sorumluluk sigortası yaptırma, sertifika
ilkeleri ve sertifika uygulama esaslarına göre hizmet verme, tüm bu hizmetleri
sürekli kılma şeklinde sıralanmaktadır.
39
4. ARAŞTIRMA BULGULARI
Bu bölümde, araştırmanın amacı olan ÖYS’nin e-imza ile güvenliğinin
arttırılmasına yönelik geliştirilen modüller ve modüllerin Moodle ÖYS üzerine
eklenerek uygulanması ve elde edilen çıktılar anlatılmıştır.
Geliştirilen uygulamanın Öğretim Yönetim Sistemlerine uygulanabilirliğini etkin
kılmak için, dünya çapında yaygın bir şekilde kullanılan açık kaynak kodlu ÖYS
olan, moodle sistemine entegre edilerek çalışabildiği ve uygulanabildiği
gözlenmiştir. Şekil 4.1’de tasarlanan sistemin yapısal şeması görülmektedir.
Şekil 4.1 Tasarlanan sistemin şeması
Tasarlanan sistemde geliştirilen modüllerdeki işlemler aşağıda anlatıldığı gibidir.
Birinci modülde, öğrencinin ÖYS’ye e-imza doğrulaması ile girişi ve sistemde aktif
olan sınavını uyguladıktan sonra, sınav sonucunun elektronik imza ile imzalama
işlemleri yer almaktadır. İkinci modül, geliştirilen yazılım modülü ile
haberleşmeyi sağlamaktadır. Üçüncü modül, ÖYS sisteminin (Moodle)
veritabanından, ilgili tablolardan öğrenci ve sınav bilgilerinin çekilmesini ve
verilerin düzenlenmesini sağlamaktadır. Dördüncü modül, üçüncü modülde
çekilen verilerin düzenlenerek, ilgili sınavın sorularının, cevap şıklarının,
öğrencinin vermiş olduğu cevapların da yer aldığı pdf formatındaki sınav evrağını
40
oluşturma işlemini yapmaktadır. Beşinci ve altıncı modüller, oluşturulan sınav
evrağının imzalanma işleminin gerçekleştirildiği modüllerdir. Altıncı modül,
elektronik imza uygulamasının yazıldığı modüldür.
Sistemdeki modüllerin kendi aralarında haberleşme adımları şu şekildedir:
Araştırma ve deneme amacı ile sunucu bilgisayarı tahsis edildi ve
sunucuya moodle sistemi kuruldu.
Moodle veritabanı detaylı şekilde incelendi. Yapılan incelemeler
sonucunda veritabanında herhangi bir değişikliğe ihtiyaç görülmedi.
Moodle sistemine girişlerde e-imza kontrolü eklendi. Kurulan sistemde e-
imza uygulamasını çalıştırmak için “kullanicigiris.php” sayfası ile webApi
servisi arasında bağlantı kuruldu. E-imza uygulaması çalıştırıldı. E-imza
girişi başarılı bir şekilde sağlandığında sisteme giriş izni verildi.
Moodle arayüzünde, eğitmen örnek olarak her bir sınav 10 sorudan
oluşmak üzere 2 sınav etkinliği eklendi.
Moodle arayüzünde öğrenci sınavını uyguladıktan sonra, webapi servisi
ile bilgiler verilerin düzenlenmesi için geliştirilen csharp uygulamasına
gönderildi.
Veriler veritabanından çekildikten sonra sınav evrağı oluşturuldu.
Sınav evrağı elektronik imza ile imzalanması için e-imza uygulaması
çalıştırıldı. Öğrenci e-imza şifresi doğru şekilde girildikten sonra moodle
sistemine başarılı sonucu döndürüldü ve sınav başarılı şekilde
sonlandırılmış oldu.
4.1. E-imza Modülünün Geliştirilmesi
Elektronik imza modülü, işletim sistemlerinde (Macos, Windows, Linux)
bağımsız şekilde çalışabilmesi için Java programalam dilinde geliştirilmiştir.
Uygulamayı geliştirmek için Netbeans programı kullanılmıştır. Farklı
bilgisayarlarda ve Macos, Windows, Linux işletim sistemlerinde uygulama test
edilmiş olup sorunsuz çalıştığı gözlenmiştir.
41
Uygulamanın çalışması basit anlamda, istemci bilgisayarda imzala düğmesine
basıldığında, bilgisayarda kurulmuş olan elektronik imza programı (Şekil 4.2)
çalışmaktadır. Elektronik imza programı, bilgisayara takılı olan sertifika hizmet
sağlayıcıları tarafından kullanıcıya verilen akıllı kart okucuya (Şekil 4.3) takılı
olan, sertifika sahibinin bilgilerinin tutulduğu akıllı kart (Şekil 4.4) okunmakta ve
sertfika sahibi, sertifika geçerlilik tarihi bilgileri geliştirilen elektronik imza
uygulaması arayüzünde gösterilmektedir (Şekil 4.2).
Şekil 4.2. Elektronik imza uygulaması
Şekil 4.3. Akıllı kart okuyucu
42
Şekil 4.4. Akıllı kart
Sertifika sahibi “kamusm.gov.tr” adresinden “Bireysel Nitelikli Elektronik
Sertifika İşlemleri” kısmından belirlemiş olduğu akıllı kartın şifresini doğru bir
şekilde girdikten sonra imzala düğmesine basıldığında, kamu sertifikasyon
merkezi (kamusm) tarafından sağlanmış olan elektronik imza kütüphaneleri
aracılığı ile geliştirilen elektronik imza uygulaması imzalama işlemini
gerçekleştirmekte ve imzalama sonucunun başarılı/başarısız bilgisi istemci
bilgisayara geri bildirim yapılmaktadır.
Kamu Sertifikasyon Merkezi tarafndan sağlanan elektronik imza kütüphaneleri
aracılığı ile geliştirilen elektronik imza uygulamasının kısaca çalışması
anlatılmıştır. Geliştirilen uygulama web servis aracılığı ile moodle sistemine
entegre edilmiştir. Geliştirilen uygulama esnek bir uygulama olup istenilen
sistemlere kolaylıkla entegre edilebilmektedir.
4.2. ÖYS Giriş Modülünün E-imza Modülü ile Güçlendirilmesi
E-imza kullanılarak yapılan giriş ile yetkisiz kişilerin sisteme giriş yapmaları
engellenecektir. Elektronik imzasını, başkasına vererek kendi adına
kullanılmasına izin veren kullanıcı yapılan işlemlerin yasal sorumluluğu
üstlenmiş olacaktır.
ÖYS’lerde, başkasının yerine sınava girmek, telefon aracılığı ile müsait olunan kişi
bulunana kadar denenmekteydi. Çünkü sisteme girişlerdeki tek güvenlik önlemi
kullanıcı adı ve şifreydi. Kullanıcı adı ve şifre bilgilerini elinde bulunduran herkes
43
sisteme kolaylıkla giriş yapabilmekteydi. Bu durum uzaktan eğitim sistemlerinin
büyük bir güvenlik eksiğiydi. Geliştirilen sistemde, bu güvenlik eksiğini gidermek
amacıyla sisteme girişlerde elektronik imza kontrolü konuldu. ÖYS’ye ilk giriş
yaptığımızda karşımıza Şekil 4.5’te görülen ekran gelmektedir. Kullanıcı adı ve
şifre doğru şekilde girildikten sonra karşımıza Şekil 4.6’da görülen elektronik
imza kontrolü gelmektedir.
Şekil 4.5. Moodle kullanıcı girişi
Şekil 4.6. Moodle kullanıcı E-imza girişi
Moodle sisteminde kullanıcı giriş işlemlerinin gerçekleştirildiği sayfa, login
dizinin altındaki “index.php” sayfasında olduğu görüldü. Sayfadaki ilgili metot
üzerinde Şekil 4.7’deki gibi düzenlemeler yapıldı ve e-imza modülü entegre
edilmiştir.
44
if ($user) {
} else if (($frm->username == 'guest') and empty($CFG->guestloginbutton)) {
$user = false;
$frm = false;
} else {
if (empty($errormsg)) {
$response = file_get_contents('http:// www.uzaktanegitimmodul.com/api/EimzaGiris/');
$data = 'kullaniciAdi= '+$frm->username;
$options = array(
'http' => array(
'header' => "Content-type:application/x-www-form-urlencoded",
'method' => 'POST',
'content' => http_build_query($data, '', '&'),
),
);
if ($response=="true") {
$user = authenticate_user_login($frm->username, $frm->password, false, $errorcode);
} else {
print_r("Elektronik imza Girişi Sağlanamadı");
exit();
} } }
Şekil 4.7. Moodle kullanıcı giriş metot
Şekil 4.7’deki kodlarda görüldüğü gibi moodle’ın sisteme giriş kontrolü
sağlandıktan sonra webapi servisine istekte bulunup, elektronik imza uygulaması
çalışmaktadır. E-imza girişinden başarılı sonuç döndüğü zaman kullanıcının
sisteme girişi izin verilmektedir. Eğer giriş başarısız ise ekrana “Elektronik İmza
Girişi Sağlanamadı” uyarısı verilip sistemden “exit()” komutu ile çıkılır ve giriş
yapmaya izin verilmemektedir.
ÖYS giriş modülünün elektronik imza ile güçlendirilmesi sayesinde, artık
kullanıcı girişlerine ikinci bir güvenlik önlemi gelmiştir. Sisteme girişlerde sadece
kullanıcı adı ve şifreyi bilmenin yanında, sisteme giriş yapacak olan kullanıcının
elektronik imzasının yanında bulunması gerekmete ve elektronik imzanın
şifresinin de doğru biliniyor olunması gerekmektedir. Bu şartların hepsi doğru
şekilde sağlandığında ÖYS’ye giriş işlemi başarılı şekilde sağlmaktadır. Aksi
durumda oluşan senaryolarda sistem girişler başarısız olunacaktır.
45
4.3. E-imza Modülü ile ÖYS Online Sınav Modülünün Güçlendirilmesi
Geliştirilen modül sayesinde, ÖYS’de sınava katılan öğrencinin sorulara verdiği
cevaplar ve aldığı not bir pdf belgesine dönüştürülerek, bu belgenin E-imza ile
imzalanması, sınav belgesinin ve sonucunun ileride değiştirilemez ve inkâr
edilemez şekilde güven altına alınmış olacaktır. Modülün yazım aşamasında
Öğretim Yönetim Sistemi olan moodle veritabanında bulunan tablolardan
kullanılanların işlevleri Çizelge 4,1’de gösterilmektedir.
Çizelge 4.1. Moodle veritabanındaki kullanılan tabloların işlevleri
Tablo Adı İşlevi
mdl_user Moodle kullanıcı bilgilerinin tutulduğu tablo
mdl_question_categories Uygulanan sınavın bilgileri tutulmakta
mdl_question_attempts Öğrencinin soruya vermiş olduğu cevaplar
tutulamakt
mdl_question_answers Soruların doğru cevaplarının tutulduğu tablo
Sisteme öğrenci rolüyle başarılı giriş yapıldıktan sonra öğrenciye aktif olan
dersler listelenmektedir. İlgili ders bilgisine tıklandığında öğrenciye aktif olan
sınavlar listelenmektedir.
Tez çalışmasında, Türkçe dersi için sınavlar oluşturulmuştur. İlgili sınav bilgisine
tıklanıp “Sınavı Şimdi Uygula” düğmesine tıklanıldıktan sonra Şekil 4.8’de
görülen sınav ekranı gelmektedir.
46
Şekil 4.8. Uygulanan sınav ekranı
Öğrenci, sınavdaki cevaplarını işaretledikten sonra, sınavını başarılı şekilde
bitirmek için “Tümünü gönder ve bitir” (Şekil 4.9) bağlantısına tıklanır.
47
Şekil 4.9. Türkçe dersi quiz etkinliğini bitirme onay kutusu
Türkçe Dersi Quiz etkinliğini bitirme onay kutusundan, tümünü gönder ve bitir
düğmesine basıldıktan sonra öğrencinin cevaplamış olduğu sorulardan oluşan
pdf dosyasının imzalanması için Şekil 4.10’da görüldüğü gibi E-imza uygulaması
çalışmaktadır.
Şekil 4.10. Elektronik imza uygulaması
Öğrenci e-imza pin kodunu başarılı şekilde girdikten sonra, sınavı başarılı şekilde
sonlanmış olacaktır. Oluşan pdf formatındaki sınav evrağı elektronik olarak
imzalanarak bir kopyası öğrenciye Şekil 4.11’deki gibi gösterilmektedir. Sınav
evrağı uzak sunucuda her öğrencinin ayrı olacak şekilde bir klasörleme yapısında
saklanmaktadır.
48
Şekil 4.11. Elektronik olarak imzalanan sınav evrağı
Şekil 4.11’de görüldüğü üzere elektronik olarak imzalanan sınav evrağının en
altına ‘Bu evrak 5070 sayılı Elektronik İmza Kanununun 5. Maddesi gereğince
güvenli elektronik imza ile imzalanmıştır.’ ibaresi yer almaktadır. Bu ibare,
oluşan evrağın elektronik imza kanununa göre güvence altına alındığını
belirtmektedir.
49
Şekil 4.9’daki sınav etkinliğini bitirme işlemlerinin yönetildiği mod/quiz dizinin
altındaki “attemptlib.php” sayfasındaki ilgili pdf dosyasının oluşturulması
sonrasında elektronik imza uygulamasının çalıştırılmasını sağlayan kodlar
eklendi (Şekil 4.12).
public function process_finish($timestamp, $processsubmitted) {
global $DB;
$transaction = $DB->start_delegated_transaction();
if ($processsubmitted) {
$this->quba->process_all_actions($timestamp);
}
$DB->update_record('quiz_attempts', $this->attempt);
if (!$this->is_preview()) {
$this->get_access_manager($timestamp)->current_attempt_finished(); }
$transaction->allow_commit();
$obje = $this->quba;
$questionattempts = $this->accessProtected($obje, questionattempts);
$cId = 0;
foreach ($questionattempts as $qua){
$quvalue = $this->accessProtected($qua, behaviour);
$qa = $this->accessProtected($quvalue, qa);
$qb = $this->accessProtected($qa, behaviour);
$question = $this->accessProtected($qb, question);
$cId=$question->category;
}
$this->ServicePostIslemleri($cId);
}
public function ServicePostIslemleri($cId) {
$url = 'http://www.uzaktanegitimmodul.com/api/EimzaGiris;
$data = array('userId' => $this->attempt->userid, 'questionusageid' => $this->attempt-
>uniqueid,'categoryId'=>$cId);
$options = array(
'http' => array(
'header' => "Content-type:application/x-www-form-urlencoded",
'method' => 'POST',
'content' => http_build_query($data, '', '&'),
),
);
$context = stream_context_create($options);
$result = file_get_contents($url, false, $context);
var_dump($result);
}
Şekil 4.12. Moodle içerisinde elektronik imzanın çalıştırılması
Uygulanan sınav sonrasında elektronik olarak imzalanan pdf dosyasının
oluşturulması, Şekil 4.9’da “Tümünü gönder ve bitir” butonuna tıklanıldıktan
sonra, sınava giren öğrencinin userid, questionusedid, categoryid bilgiler
paremetre olarak webapi servis aracılığı ile geliştirilen modüle gönderilmektedir.
50
Geliştirlen yazılım modülü ile sınava giren öğrencinin bilgileri, webapi servis
aracılığı ile gelen “userid” bilgisi ile “mdl_user” tablosundan sorgulanarak, sınava
girilen öğrencinin bilgileri çekilmiştir. Şekil 4.11’deki oluşan sınav evrağının
imzacı bilgileri kısmına öğrenci bilgileri eklendi. Sınav evrağının başlık bilgisine
ise öğrencinin; Adı, Soyadı, Eposta adresi bilgileri eklenerek sınav evrağı
oluşturulmuştur.
Uygulanan sınavın bilgileri, webaspi servis aracılığı ile gelen “categoryid” bilgisi
ile “mdl_question_categories” tablosundan sorgulanarak, uygulanan sınav
biilgileri çekilmiş, böylece Şekil 4.11’deki oluşan sınav evrağının başlık kısmı
düzenlemiştir.
Uygulanan sınavın sorularının düzenlenmesi, gönderilen “categoryId” bilgisi ile
“mdl_question_categories” tablosundan sorgulanarak, sınava atanmış olan
sorular moodle veritabanından çekilmiştir. Öğrencinin sorulara vermiş olduğu
cevaplar “questionusageid” bilgisi ile “mdl_question_attempts” tablosundan
sorgulanmıştır. Soruların doğru cevapları ise “mdl_question_answers” tablosuna
ilgili sorunun “questionid” bilgisi ile veritabanından çekilmiştir.
Öğrencinin sorulara vermiş olduğu cevap şıkkı koyu olarak belirtildi. Sorunun
doğru cevabı ise cevap şıklarının altında, ‘Doğru Cevap:B’ şeklinde doğru cevap
belirtilmiştir. Sorunun sağ altındaki karekod bilgisinde ise; sorunun numarası,
öğrencinin işaretlemiş olduğu cevabı ve sorunun doğru cevabı bilgisi
tutulmuştur.
Sorunların düzenlenmesi işlemi, her soru için tek tek gerçekleştirilmektedir.
Veriler veri tabanından başarılı şekilde çekildikten sonra, Şekil 4.11’deki oluşan
sınav evrağında görüldüğü biçimde sorular düzenlenmiştir.
Sınav evrağı başarılı şekilde oluştuktan sonra elektronik imza uygulaması
otomatik olarak çalıştırılmaktadır ve öğrenciye Şekil 4.10’daki gibi
gösterilmektedir. Öğrenci e-imza şifresini başarılı şekilde girdikten sonra, sınav
evrağının elektronik imza işlemi gerçekleştirilmiş olmaktadır.
51
Tübitak Bilgem tarafından geliştirilmiş ESYA E-imza kütüphaneleri, güvenliği ve
standartları belirlenmiş, imzalama işlemlerinin hızlı ve güvenli bir şekilde
yapılmasına imkân verir. Yazılımlara e-imza entegrasyonunun yapılabilmesi için
Java ve. NET platformlarında yazılım kütüphaneleri geliştirilmiştir.
Temel imza (BES), zaman damgalı imza (ES-T), ilkeli imza (EPES), uzun dönemli
imza (ES-X) ve arşiv imzası (ES-A) elektronik imza formatlarına destek
vermektedir.
Bu tez çalışmasında, Açık Anahtar Altyapısı kullanılarak, Tübitak Bilgem
tarafından geliştirilmiş ESYA E-imza kütüphanelerinden Java kütüphaneleri
kullanılarak, zaman damgalı imza (ES-T) E-imza uygulaması geliştirilmiştir.
Elektronik imzalama işleminden sonra, uygulanan sınavın evrağı artık 5070 sayılı
Elektronik İmza Kanununa göre güvence altına alınılmıştır. Evrak üzerindeki
yapılan değişiklikler, üzerindeki elektronik imza ve zaman damgası bilgisinin
geçerliliğini bozacağından dolayı yasal suç teşkil etmektedir. Bu tür durumlar
öğrencinin uygulanan sınavdan sonraki yapılacak değişiklikleri kolaylıkla
anlaşılması sağlanacaktır.
4.4. E-imzalı Sınav Belgelerinden Transkirpt Üretilmesi
Oluşturulan sınav evaklarının başlık kısmında karekod bilgisinde, ilgili sınavın
adı ve öğrencinin almış olduğu puan bilgisi yer almaktadır. Geliştirilen uygulama
ile birlikte sınav evraklarının üzerindeki karekod bilgilerinden ilgili öğrencinin
transkripti oluşturulabilmektedir.
Öğrencinin eposta bilgisi girilerek, uzak sunucuda ilgili öğrencinin klasörlenmiş
olarak tutulan e-imzalı sınav evraklarının dizini bulunur. O zamana kadar
uygulamış olduğu sınav evraklarının üzerindeki karekod bilgisinden sınavların;
adı ve aldığı puanların listelendiği bir transkript çıktısı oluşmaktadır.
52
4.5. E-imzalı Sınav Belgelerinin Geçerlilik Kontrolünün Sağlanması
Elektronik imza uygulaması gerçekleştirilmesinde gerekli altyapı için Açık
Anahtar Altyapısı ve ESHS(Elektronik Sertifika Hizmet Sağlayıcı) gereklidir.
Tübitak Bilgem tarafından geliştirilmiş imzager uygulaması, Türkiye’de
elektronik imzanın yaygınlaşması amacıyla üretilmiş bir yazılımdır. İmzager
gelişmiş e-imza özelliklerini ücretsiz olarak kullanıma sunmaktadır. İmzager’i iki
türlü kullanmak mümkündür:
Güvenli Elektronik İmza oluşturulması:
• Elektronik ortamdaki belgelerin basit ve gelişmiş imza formatlarında
imzalama gerçekleştirilebilir.
• Bir belgeye birden çok seri/paralel imza ekleme yapabilir.
• Bu işlemi sadece Türkiye’de faaliyet gösteren ESHS’lerin vermiş olduğu
nitelikli elektronik sertifikalar kullanılarak yapılabilir.
• Çeşitli imzalama standartlarını (E-Yazışma, CADES imza, XADES imza,
PADES imza, ASIC imza) desteklemektedir.
Güvenli Elektronik İmza görüntüleme:
• İmzager uygulaması, her türlü elektronik imzalı belgenin, basit ve gelişmiş
imza formatlarında imzalı dokümanların imza bilgilerinin görüntülenip
doğrulanabilmelerini sağlar.
• Elektronik Yazışma (E-Yazışma) paketi yapısında imzalanmış belgeleri
görüntülemeyi de desteklemetedir (Kamu SM, 2018).
İmzager’in Güvenli Elektronik İmza görüntüleme yöntemi yardımı ile imzalanan
evrakların elektronik imzalarının geçerlilik durumu doğrulanabilmektedir.
Öğrenci tarafından e-imza ile imzalanan sınav kâğıdının, İmzager’in Güvenli
Elektronik İmza görüntüleme yöntemi ile imzanın geçerlilik durumu kontrolü ve
imzacının detaylı bilgileri Şekil 4.13’deki gibi görüntülenmektedir. Şekil 4.14’te
e-imzalı evraktaki elektronik imzanın doğrulama detayları gösterilmektedir.
53
Şekil 4.13. E-imzalı belgenin imzager ile imzacı bilgisinin kontrolü
Şekil 4.14. İmzager uygulaması ile e-imzanın doğrulama detayları
Şekil 4.11’deki oluşturulan evrağın, dışarıdan doğrulanması ise; geliştirilen
uygulama sayesinde olmaktadır. Sınav evrağı oluşturulurken en alt kısmına, her
sınav için benzersiz bir doğrulama kodu üretilmektedir. Bu doğrulama kodunu
geliştirilen uygulamaya girildikten sonra sınav evrağının önizlemesini
gerçekleştirilebilmektedir. Bu sayede istenildiği zaman sınav evrağının
doğrulamasını ve önizlemesi gerçekleştirilebilmektedir.
54
5. SONUÇ VE ÖNERİLER
Günümüzde ÖYS’ler, ösellikle lisans seviyesindeki kuruluşlarda öğretme ve
öğrenme faaliyetlerine yardımcı olan güçlü araçlardır. Ancak ÖYS’lerin sunmuş
olduğu olanakları, güvenlik seviyeleri ve güvenilirlikleri daha ileriye taşınması
gerekmektedir.
Bu tez çalışmasında, eğitim-öğretim sektöründe kullanılan ÖYS’ye entegre
olunabilecek bir uygulama geliştirilmiştir. Geliştirilen uygulamada entegre edilen
ÖYS’nin kullanıcı tarafından sisteme erişim güvenliği arttırılmıştır. ÖYS’de
uygulanan online sınav sonrasında, üretilen belgeler elektronik imza ile
imzalanarak, e-imza kanununa göre güvence altına alınmıştır. Ayrıca sınav
evrağının başlık kısmında karekod ve benzersiz şekilde oluşan, o sınav evrağına
ait kod bilgisi oluşmaktadır. Karekod bilgisi ile öğrencinin transkripti
oluşmaktadır. Benzersiz şekilde oluşan kod bilgisi ise belgenin doğrulanması için
kullanılmaktadır.
Piyasadaki mevcut ÖYS’lerde sınav olduğu zamanlarda, sınavı olan öğrenci
tarafından telefon ile arkadaş çevresindeki en müsait kişiyi bularak sınavı kendi
yerine yaptırabilmektedir. Bu tür problemler uzaktan eğitim sistemlerindeki
kullanıcı giriş modülünün büyük bir güvenlik açığıdır. Kullanıcı giriş
modülündeki bu açığı gidermek için elektronik imza modülü eklenmiştir. Eklenen
e-imza modülü sayesinde Öğretim Yönetim Sistemine başkasının yetrine giriş
ortadan kaldırılmıştır. ÖYS'ye giriş kontrolü e-imza'yı elinde bulunduran tek bir
kişi tarafından gerçekleştirilmektedir. Geliştirilen uygulama ile ÖYS kullanıcı giriş
modülünün güvenliği arttırılmıştır.
E-imza, kâğıt ortamında yapılan işlemlere göre oldukça etkin ve verimlidir. Tez
çalışmasında geliştirilen uygulama ile düşük maliyet, kâğıt tüketiminde azalma,
bilgi, belge ve sınav güvenliğini büyük ölçüde arttırmıştır.
55
5.1. Öğretim Yönetim Sistemlerinin Giriş Modülünün E-imza ile
Güçlendirilmesi
ÖYS'de kullanıcı giriş işlemleri, sistemde belirli olan basit bir kullanıcı adı ve şifre
ile gerçekleştirilmektedir. Sistemlerin genelinde, kullanıcı giriş modülünde başka
bir güvenlik önlemi bulunmamaktadır. Kullanıcı adı ve şifreyi elinde bulunduran
herkes başkasının yerine sisteme rahatlıkla giriş yapabilmektedir. Başkasının
yerine giriş yapan kullanıcı, sisteme kayıtlı olan asıl öğrencinin bilgilerinde de
rahatlıkla değişiklik yapabilmektedir. Sistem yöneticilerine en çok gelen
şikâyetlerin başında "arkadaşım benim yerime sisteme girerek bilgilerimi
değiştirmiş ya da şifremi bloke etmiş" şeklindedir.
Sınav dönemlerinde ise sınavı olan öğrenci tarafından, telefon aracılığı ile
arkadaş çevresindeki en müsait kişi bulunana kadar aranmaktadır. Uygun kişi
bulunduktan sonra, arkadaşına kullanıcı adı ve şifre bilgisi verilerek sisteme giriş
yaptırılmaktadır. Sisteme giriş yapan kişi ise arkadaşının yerine sınavı
uygulamaktadır. Bu tür durumlarda ÖYS’ye giriş yapan kullanıcının doğruluğu
bilinememektedir ve bu durum ÖYS’lerin en büyük güvenlik açıklarından
birisidir.
Geliştirilen sistem ile kullanıcıların sisteme giriş işlemleri e-imza doğrulaması ile
sağlanılmıştır. ÖYS’ye girişlerde e-imza’yı yanında bulunduran kişi, ÖYS’nin
kullanıcı adı ve şifre bilgilerini doğru şekilde girdikten sonra e-imza doğrulaması
gerekmektedir. E-imza doğrulamasını da başarılı bir şekilde gerçekleştiren
kullanıcı, sisteme giriş işlemini gerçekleştirebilmektedir. Aksi durumda, iki
doğrulamadan herhangi birini başarısız şekilde gerçekleştiren kullanıcının,
sisteme giriş izni verilmemektedir. Bu sayede, sisteme girişler tek kişi kontrolüne
indirgenmiş olunmaktadır.
Geliştirilen modül ile Öğretim Yönetim Sistemlerine giriş yapan kullanıcı sistem
içerisinde yapılan tüm işlemlerin kabul ettiği metni de imzalamakta ve yapılan
işlemlerin yasal yükümlülüğü e-imza kanuna göre güvence altına alınmaktadır.
56
5.2. Öğretim Yönetim Sistemlerinin Online Sınav Modülünün E-imza ile
Güçlendirilmesi
Eğitmen tarafından moodle ÖYS sistemine, her bir testte 10 adet soru olacak
şekilde 2 adet sınav oluşturuldu. Sınavlar sistemdeki öğrencilerin görebileceği
şekilde atandı.
Öğrenci sisteme elektronik imzası ile giriş yaptıktan sonra, moodle arayüzünden
kendine atanan sınavları görmektedir. Öğrenci, ilgili sınavı seçtikten sonra sınavı
uygulamaya başlar. Sınavın sonunda ‘Tümünü Göster ve Bitir’ butonuna
tıklandığında, sınavı uygulayan öğrencinin ve sınavın bilgileri, webapi servis
aracılığı ile geliştirilen modüle gönderilmiştir. Geliştirilen yazılım modülünde;
öğrencinin bilgileri, sınav bilgileri, sınava atanan sorular ve öğrencinin vermiş
olduğu cevaplar moodle veritabanından çekilmiştir. Veritabanından çekilen
bilgiler sınav evrağı oluşturulacak şekilde düzenlenmiş ve sınav evrağı
oluşturulmuştur. Java programlama dilinde geliştirilen elektronik imza
uygulaması çalıştırılmış ve moodle arayüzünden öğrencinin ekranına getirilecek
şekilde düzenlemiştir. Öğrenci e-imza şifresini doğru şekilde girdikten sonra,
oluşan sınav evrağı elektronik olarak imzalanmış ve öğrencinin ekranına
imzalanan sınav evrağı gösterilmiştir. Öğrencinin sınavdan almış olduğu puan
sınav evrağının üzerinde gösterilmektedir.
ÖYS’de sınav sonuçlarında, yetkili ya da yetkisiz kişiler tarafından sistemin
veritabanına erişilip öğrencinin notlarında değişikliklerin yapılması
mümkündür. Bu not değiştirme işlemi farkında olunarak ya da olunmadan
yapılabilir. Bu tür güvenlik açıklarını önlemek için ÖYS’lerde online sınav
modülünden sonra, öğrencinin ilgili sınavda vermiş olduğu cevaplar ve sınavın
sorularından oluşan, pdf formatında sınav evrağı oluşturulmaktadır. Bu sınav
evrağı, öğrenci tarafından e-imza ile imzalanılarak, öğrencinin uygulamış olduğu
sınav elektronik imza kanuna göre güvence altına alınılmıştır.
57
5.3. Sınav Belgelerinden Transkript Üretilmesi
Öğrencinin sınav evraklarının arşivlenmesi, klasör yapısı şeklinde tutulmuştur.
Her öğrenciye ait klasör oluşturulmuştur. Klasör dizininin altında öğrencinin,
uygulamış olduğu sınavların evrakları tutulmuştur.
Online sınav uygulandıktan sonra oluşturulan sınav evraklarının, başlık
kısmındaki karekod bilgisinde, ilgili sınava ait sınavın adı, öğrenci bilgileri,
öğrencinin mail adresi ve öğrencinin sınavdan almış olduğu puan tutulmaktadır.
Transkript belgesinin üretilmesi, geliştirilen yazılım modülünün arayüzünden
öğrencinin mail adresi girilerek, ilgili öğrencinin sınav evraklarının bulunduğu
klasör dizinine erişilir. İlgili klasör dizininin altındaki sınav evrakları taranarak,
evrağın başlık kısmındaki karekod bilgileri okunur. Karekod bilgisindeki
verilerden öğrencinin transkript bilgisi oluşturulur. Bu sayede öğrencinin sınav
sonuçları toplu şekilde görülebilmektedir. Öğrencinin notlarındaki şüpheli
durum, notlar toplu şekilde görüleceğinden kolaylıkla ortaya çıkacaktır.
5.4. Sınav Belgelerinin Doğrulanması
Sınav evraklarının iki şekilde doğrulanması sağlanmıştır. İlki, kamusm tarafından
yayımlanan imzager programı ile evrağın üzerindeki e-imzanın geçerliliğinin
kontrol edilmesi ile sağlanmaktadır. Sınav evrağının üzerindeki elektronik imza
geçersiz ise sınav evrağının üzerinde değişim olduğu ve şüphenilmesi gereken bir
durumun olduğu tespit edilir.
İkinci doğrulama şekli, geliştirilen yazılım modülü ile sağlanmıştır. Sınav
evrağının başlık kısmındaki, ilgili sınava özel olarak benzersiz şekilde oluşturulan
sınavın kod bilgisinden sağlanmıştır. Geliştirilen uygulamanın arayüzünden,
öğrencinin mail adresi ve sınav evrağının kod bilgisi girildiğinde ilgili sınav evrağı
sistemde var ise, kopyası önizleme olarak gösterilmiştir. Bu sayede ilgili sınavın
önizlemesi ve doğrulaması rahatlıkla yapılabilmektedir. Girilen bilgiler
sonucunda sınav evrağı sistemde yoksa "ilgili sınav evrağı bulanamamıştır."
şeklinde uyarı mesajı verilmektedir.
58
Sistemin daha sonraki çalışmalarında, transkript üretilmesi ÖYS içerisinde
geliştirilen modül ile sağlanabilir. Bu sayede harici bir yazılım modülüne ihtiyaç
duyulmadan sistem içerisinden sınav evraklarının doğrulanması kolaylıkla
sağlanabilecektir.
Öğretim Yönetim Sistemlerindeki online sınav modülüne girişlerde e-imza
doğrulaması konulabilir. Bu sayede sınav güvenliği bir seviye daha arttırılmış
olunacaktır.
Bir diğer öneri ise, sınav belgelerininin doğrulanmasının da sistem içerisinden
yapılmasıdır. İmzager programı ile yapılan e-imza geçerlilik kontrolü geliştirilen
modül aracılığı ile ÖYS içerisinden yapılabilir. Sınav evraklarının kod ile
doğrulanması da sistem içerisinden yapılabilir.
Sonuç olarak, uzaktan eğitim sistemlerinde geliştirilen bu yöntem sayesinde,
sisteme başkasının yerine girişler daha da zorlaşmıştır. Yetkili veya yetkisiz
kişiler tarafından, moodle veritabanından notların değiştirilme durumundaki
belirsizlik ortadan kaldırılmıştır. Veritabanındaki notlar değişmiş olsa bile
elektronik olarak imzalanan sınav evrakları mevcuttur. Elektronik olarak
imzalanan sınav evrakları ile notların kıyaslaması yapılarak öğrencinin asıl notu
rahatlıkla tespit edilebilir. E-imzalı sınav evraklarında herhangi bir değişikliğin
olduğu durumlarda, e-imza’nın geçerliliği bozulacağından kolaylıkla
anlaşılacaktır. Bu sayede Öğretim Yönetim Sistemlerine olan güven daha da
artacaktır.
59
KAYNAKLAR
Akay, İ. G., 2014, Bilgi güvenliği yönetim sistemleri: Bilgi güvenliği uygulama
mülakatları, Bilecik Şeyh Edebali Üniversitesi, Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, 158s, Bilecik
Akçeşme, D., 2009. Sanal Noter, Yıldız Teknik Üniversitesi, Fen Bilimleri
Enstitüsü, Yüksek Lisans Tezi, 93s, İstanbul Al, U., Madran, O., 2004, Web Tabanlı Uzaktan Eğitim Sistemleri Sahip Olması
Gereken Özellikler, Bilgi Dünyası Arslan, Y., 2009. Web Tabanlı Uzaktan Eğitim Sistemlerinde Bilgi Güvenliğinin
Sağlanması, Afyon Kocatepe Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 110s, Afyon
Aslandağ, K., 2010. Bilgi Güvenliği Kavramı ve Bilgi Güvenliği Yönetim Sistemleri
ile Şirket Performansı İlişkisine Dair Bir Uygulama, Gebze Yüksek Teknoloji Enstitüsü, Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, 106s, Gebze
Avaroğlu, E., 2007. Elektronik İmza, İnönü Üniversitesi, Fen Bilimleri Enstitüsü,
Yüksek Lisans Tezi, 170s, Malatya Aydın, C., 2010. Elektronik belgelerin arşivlenmesi ve erişim, Ankara Üniversitesi,
Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, 210s, Ankara Balat, Ş., 2014. Öğrenme Yönetim Sistemi ve Sosyal Paylaşım Ortamlarındaki
Etkinliklerin Sosyal Bulunuşluk, Öğrenme Ve Memnuniyet Düzeyine Etkisi, Atatürk Üniversitesi, Eğitim Bilimleri Enstitüsü, Yüksek Lisans Tezi, 2014s, Erzurum
Başbakanlık, 2005. E-dönüsüm Ttürkiye projesi birlikte çalışabilirlik esasları
rehberi Beyazşekeroğlu, Ü., 2015. Moodle Öğrenme Yönetim Sistemi Üzerinde Matlab
Yazılımı Kullanarak Akıllı Soru Bankası Gerçekleştirilmesi, Kocaeli
Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 143s, Kocaeli
BGPK, 2014. Sağlık Bakanlığı Bilgi Güvenliği Politikalar Kılavuzu, Erişim Tarihi: 20.04.2018. https://bilgiguvenligi.saglik.gov.tr/files/BilgiGüvenliğüPolitikalarıKılavuzu.pdf
Budak, B. (2010).Güvenli özet algoritması, Gazi Üniversitesi, Fen Bilimleri
Enstitüsü, Yüksek Lisans Tezi, 110s, Ankara
60
Brandner, R., Haak, M. V. D., Hartmann, M., Haux, R., Schmücker, P., 2002. Electronic Signature for Medical Documents – Integration and Evaluation of a Public Key Infrastructure in Hospitals, Heidelberg University, Department of Dermatology, Almanya
Breier, J., Pomothy, A., 2014. Qualified Electronic Signature via SIM Card Using
JavaCard 3 Connected Edition Platform Çak, M., 2002. Dünyada ve Türkiye’de Elektronik Ticaret ve Vergilendirilmesi, ITO
Yayınları, İstanbul Çak, M., 2002. Elektronik Ticaret ve Vergilendirilmesi, İstanbul Üniversitesi,
Sosyal Bilimler Esntitüsü, Yüksek Lisans Tezi, 158s, İstanbul Çetinkaya, M., 2005. Bilgi Güvenliği Yönetim Sistemi Altyapısının
Değerlendirilmesi İçin Bir Test Aracı Geliştirilmesi, İstanbul Kültür Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 71s, İstanbul
Chen, Shou, M. 2009. Research and implementation on security client of
electronic signature based on android Danacı, D., 2016. Elektronik İmzanın Hukuki Niteliği ve Vergi Hukukunda
Kullanılmasının Değerlendirilmesi, Balıkesir Üniversitesi, Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, 163s, Balıkesir.
Doğan, M., 2010. E-Dershane Uygulamasnın Geliştirilmesi ve Fizik Eğitimi
Üzerine Uygulamasının Yapılması, Eskişehir Osmangazi Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 132s, Eskişehir
Dougiamas, M., 2004. Moodle: Virtual Learning Environment for The Rest of Us. The Electronic Journal. EİK, 2004. 25355 Sayılı 5070 numaralı, Elektronik İmza Kanunu Erbayraktar, B., 2011. Elektronik İmza ve Elektronik İmza Kanunu’na Göre
Sertifika Sağlayıcının Üçüncü Kişilere Karşı Hukuki Sorumluluğu, İstanbul Üniversitesi, Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, 246s, İstanbul
Ergün, T., 2013. Elektronik imza uygulamaları güvenlik analizi ve test süit
çalışması, Orta Doğu Teknik Üniversitesi, Uygulamalı Matematik Enstitüsü, Doktora Tezi, 89s, Ankara
Erol, H., 2006. Kurumsal Ağlarda Açık Anahtar Altyapısı Tabanlı Elektronik İmza
Uygulaması, Gazi Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 279s, Ankara
Erturgut, M., 2003, Elektronik İmza Kanunu Bakımından E-belge ve E-imza,
Bankacılar Dergisi,
61
Erturgut, M., 2004. Medeni Usul Hukukunda Elektronik İmzalı Belgelerin Delil
Olarak Değerlendirilmesi, Dokuz Eylül Üniversitesi, Sosyal Bilimler Enstitüsü, Doktora Tezi, 396s, İzmir
Fleming, S., Hiple, D. 2004. Distance Education to Distributed Learning: Multiple
Formats and Technologies in Language Instruction Ganeshkumar, K., Arivazhagan, D., 2014. Generating A Digital Signature Based On
New Cryptographic Scheme For User Authentication And Security Gölle, H., 2009. CMS tabanlı kütüphane kullanarak ETSI uyumlu elektronik imza
modülü ve çevrimiçi uygulama geliştirmek, Gazi Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 134s, Ankara
Güler, M., 2008. Türkiye’de E-imza Alanındaki Hukuki Düzenlemelerin ve Kamu
Kurumlarında Bazı E-imza Uygulamalarının İncelenmesi, Hacettepe Üniversitesi, Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, 116s, Ankara
Gürbüz, A., 2005. “Elektronik İmza”, Ankara Üniversitesi, Sosyal Bilimler
Enstitüsü, Yüksek Lisans Tezi, 136s, Ankara. Haklı, T., 2012. Bilgi Güvenliği Standartları ve Kamu Kurumları Bilgi Güvenliği
İçin Bir Model Önerisi, Süleyman Demirel Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 100s, Isparta
Işık, İ., Işık, A. H., Güler, İ., 2008. Uzaktan Eğitimde Üç Boyutlu Web
Teknolojilerinin Kullanılmas, Bilişim Teknolojileri Dergisi Kaban, A., 2013. Uzaktan Eğitim Kalite Stanartlarının Belirlenmesi ve Atatürk
Üniversitesi Uzaktan Eğitim Sisteminin İncelenmesi, Gazi Üniversitesi, Eğitim Bilimleri Enstitüsü, Yüksek Lisans Tezi, 208s, Ankara
Kamu Sertifikasyon Merkezi, 2009. İmzager Teknik Özellikleri, Erişim Tarihi:
10.07.2018,https://yazilim.kamusm.gov.tr/sites/default/files/public/imzager-2.5.pdf
Kılınç, M., 2015. Uzaktan eğtim uygulamarının etkililiği üzerine bir araştırma
“İnönü Üniversitesi Uzaktan Eğitim Merkezi İlahiyat Lisans Tamamlama Programı Örneği”, İnönü Üniversitesi, Eğitim Bilimleri Enstitüsü, Doktora Tezi, 132s, Malatya
Koyunoğlu, F., 2008. Sistem Yaklaşımı Açısından Uzaktan Eğitim: İnönü
Üniversitesi Uzaktan Eğitim Merkezi Model Önerisi, İnönü Üniversitesi, Sosyal Bilimler Enstitüsü, 105s, Malatya
Orta, M., 2005. Elektronik İmza ve Uygulaması, Seçkin Yayıncılık, Ankara Orta, M., 2007. Türkiye’de Elektronik İmza Uygulaması, Elektrik Mühendisliği
62
Önder, F., 2007. Borçlar Hukuku Açısından Elektronik İmza, Kırıkkale
Üniversitesi, Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, 192s, Kırıkkale Özler, İ., 2007., Bilgi Güvenliği ve Elektronik İmza Kavramları, Ekonomik
Boyutlarının İncelenmesi ve Elektronik İmza Uygulamaları, Dicle Üniversitesi, Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, 125s, Diyarbakır
Özlü, M., 2011. E-imza Güvenliğinin Arttırılmasına Yönelik Konum Damgası
Sistemi Önerisi ve Uygulaması, Selçuk Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 78s, Konya
Özkan, Ö., 2004. Veri Güvenliğinde Saldırı ve Savunma Yöntemleri, Süleyman
Demirel Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 100s, Isparta
Pharow, P., Blobel, B., 2004. Electronic signature for long-lasting storage
purposes in electronic archives Reed, C., 2003. 'What is a Signature?', The Journal of Information, Law and
Technology Rossnagel, H., 2004. Mobile Qualified Electronic Signatures and Certification on
Demand, Johann Wolfgang Goethe University, Almanya Sağır, M., 2014. Açık anahtar altyapısı ve elektronik imzanın mobil tabanlı
uygulaması, Kocaeli Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 73s, Kocaeli
Sağıroğlu, Ş., Alkan, M., 2005. Her Yönüyle E-İmza, Grafiker Yayınları, Ankara Schlosser, L. A. and Simonson, M. 2009. Distance Education: Definition and
Glossary of Terms. United States of America: IAP-Information Age Publishing, 249.
Selçuk, G. H., 2016, E-devlet Uygulamaları için Elektronik imza formatları,
TÜBİTAK – UEKAE Kamu Sertifikasyon Merkezi Solms, B. V., 2006. Information Security—The Fourt Wave, University of
Johannesburg, Afrika Song,Q., 2008. Design and implementation of web-based electronic signature
system Sosyal, E., 2015, Bilişim Teknolojilerinin Eğitimde Ölçme Aracı Olarak
Kullanılması ve Örnek Uygulama Olarak Moodle Kullanımı, Zirve
63
Üniversitesi, Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, 140s, Gaziantep
Şahin, M. C., Tekdal, M., 2005. Internet tabanlı uzaktan eğitimin etkililiği: Bir meta
analiz çalışması, Çukurova Üniversitesi, Adana. Şahinbaş, K., 2009. Bazı Devlet Kurumlarında Elektronik İmza Uygulaması ve
Karşılaşılan Sorunlar, Beykent Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 84s, İstanbul
Tan, Y. Ş., 2016. Çoktan Seçmeli Sınav Sistemlerinin Değerlendirmesinin Ve
Yerleştirmesinin Gizliliği Ve Bütünlüğü, Fatih Üniversitesi, Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 78s, İstanbul
KBP, 2005. ‘E-imza, E-imzanın Toplumsal Boyutu’ II.Çalışma Grubu, Türkiye
Bilişim Derneği Kamu Bilişim Platformu. Telekomikasyon Kurumu, 2004. Elektronik İmza Ulusal Koordinasyon Kurulu
Hukuk Çalısma İlerleme ve Sonuç Raporu Tok, H., 2010. Kamu Kurumları İçin Bir Bilgi Güvenliği Yönetişim Modeli, Gebze
Yüksek Teknoloji Enstitüsü, Mühendislik ve Fen Bilimleri Enstitüsü, Yüksek Lisans Tezi, 69s, Gebze
Ünver, M., Canbay, C., 2010. Siber Güvenliğin Sağlanması: Türkiye’deki Mevcut
Durum ve Alınması Gereken Tedbirler, Elektrik Mühendisliği, 438 Yalçınkaya, B., 2008. Elektronik İmzalı Belgelerin Yönetimi ve Arşivlenmesi,
Marmara Üniversitesi, Türkiyat Araştırmaları Enstitüsü, Yüksek Lisans Tezi, 160s, İstanbul
Yıldız, M., 2015, Uzaktan Eğitim Programnlarında Ders Veren Öğretim
Elemanlarının Uzaktan Eğitime Yönelik Bilgi, İnanç ve Uygulamaları Arasındaki İlişkiler, Hacettepe Üniversitesi, Bilgisayar ve Öğretim Teknolojileri Eğitimi A.B.D, Yüksek Lisans Tezi, 131s, Ankara
Yıldız, B., 2007. Bilgi Güvenliği ve E-Devlet Kapsamında Kamu Kurumlarında Bilgi
Güvenliği Yönetimi Standartlarının Uygulanması, Gebze Yüksek Teknoloji Enstitüsü, Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, 94s, Gebze
64
ÖZGEÇMİŞ
Adı Soyadı : Ziya DİRLİK Doğum Yeri ve Yılı : Çaycuma, 1990 Medeni Hali : Bekar Yabancı Dili : İngilizce E-posta : [email protected] Eğitim Durumu Lise :Çaycuma Teknik ve Endüstri Meslek Lisesi Lisans :SDÜ, Teknik Eğitim Fakültesi, Bilgisayar Sistemleri Öğretmenliği SDÜ, Mühendislik Fakültesi, Bilgisayar Mühendisliği Mesleki Deneyim SDÜ Bilgi İşlem Daire Başkalığı 2014-…….. (halen)
ranmış Fotoğraf
(3.5cm x 3cm)