Türkiye'de E-İmzanın Kuantum-Güvenli Geleceği

Türkiye, e-devlet hizmetlerinde dünyanın önde gelen ülkelerinden biridir ve elektronik imza bu altyapının temel taşıdır. Peki bu altyapı kuantum çağına hazır mı?

5070 Sayılı Kanun ve Mevcut Durum

5070 sayılı Elektronik İmza Kanunu, 2004'ten bu yana güvenli elektronik imzayı ıslak imza ile hukuken eşdeğer kılmaktadır. Bugün milyonlarca nitelikli elektronik sertifika, kamu ve özel sektörde belge imzalamak için kullanılıyor. Ancak bu sertifikaların tamamına yakını RSA ve ECDSA gibi klasik algoritmalara dayanıyor.

USB Token Sorunu

Türkiye'de nitelikli e-imza geleneksel olarak bir USB token içinde saklanan gizli anahtara dayanır. Bu yaklaşımın iki temel sorunu vardır:

• Kullanım zorluğu: Fiziksel donanım gerektirir; sürücü kurulumu, kart okuyucu ve tarayıcı uyumluluğu sürekli bir sorun kaynağıdır.
• Kuantum riski: Token içindeki RSA/ECDSA anahtarı, kuantum bilgisayar tarafından açık anahtardan türetilebilir; donanım koruması bu matematiksel zaafı gideremez.

Çözüm: ML-DSA Tabanlı Cihazdan Bağımsız İmza

NIST'in FIPS 204 (ML-DSA) standardı, e-imza için kuantum-güvenli bir temel sunar. ML-DSA imzaları kafes tabanlıdır ve Shor algoritmasıyla taklit edilemez.

ML-DSA, yalnızca kuantum-güvenli olmakla kalmaz; imzalama işleminin doğrudan tarayıcıda ya da mobil cihazda yapılmasını da mümkün kılarak USB token bağımlılığını ortadan kaldırır.

sign.pqcnow.com gibi platformlar, ML-DSA imzasını WebCrypto benzeri teknolojilerle tarayıcıda üreterek hem kullanım kolaylığı hem de kuantum güvenliği sağlar — PDF, XML ve JSON belgeleri herhangi bir donanım olmadan imzalanabilir.

Mevzuat Uyumu

5070 sayılı kanun teknoloji-nötr bir çerçeve sunar; geçiş için asıl gereken, alt düzenlemelerdeki onaylı algoritma listelerinin ML-DSA'yı içerecek biçimde güncellenmesidir. TÜBİTAK ve BTK'nın bu yöndeki çalışmaları, Türkiye'nin e-imza altyapısının kuantum çağında kesintisiz işlemesini güvence altına alacaktır.