5070 Sayılı Elektronik İmza Kanunu
5070 sayılı Elektronik İmza Kanunu, 23 Ocak 2004 tarihinde yürürlüğe girerek Türkiye'de güvenli elektronik imzayı el yazısı imza ile hukuki olarak eşdeğer kılan temel düzenlemedir. Kanun, nitelikli elektronik sertifikalara dayalı imzaların ıslak imzayla aynı sonucu doğurmasını sağlar.
ESHS Yetkilendirmesi
Kanun kapsamında Elektronik Sertifika Hizmet Sağlayıcıları (ESHS), nitelikli elektronik sertifika üreterek e-imza altyapısını işletir. Bu sağlayıcıları yetkilendirme ve denetleme yetkisi BTK'ya (Bilgi Teknolojileri ve İletişim Kurumu) aittir. Kamu kurumlarına yönelik sertifika hizmetleri ise büyük ölçüde Kamu Sertifikasyon Merkezi (Kamu SM) tarafından TÜBİTAK bünyesinde yürütülmektedir.
Mevcut Altyapının Kuantum Riski
Türkiye'de bugün kullanılan nitelikli elektronik sertifikalar ve e-imzalar RSA ve ECDSA gibi klasik algoritmalara dayanır. Bu algoritmalar yeterince güçlü bir kuantum bilgisayar tarafından Shor algoritmasıyla kırılabilir. Bu durum şu riskleri doğurur:
- Uzun ömürlü belgelerin (sözleşmeler, tapular, resmî kayıtlar) imzalarının gelecekte taklit edilebilmesi.
- USB token içindeki gizli anahtarların matematiksel olarak türetilebilmesi.
- Sertifika zincirlerinin kök seviyesinde güvenilirliğini yitirmesi.
PQC Geçiş İhtiyacı
5070 sayılı kanun teknoloji-nötr bir çerçeve sunsa da, alt düzenlemelerde tanımlanan algoritma listelerinin ML-DSA (FIPS 204) gibi kuantum-güvenli imza algoritmalarını içerecek biçimde güncellenmesi gerekmektedir. Cihazdan bağımsız, kuantum-güvenli e-imza çözümleri (örneğin tarayıcı tabanlı ML-DSA imzalama) bu geçişin pratik adımları arasında değerlendirilmektedir. Erken hazırlık, Türkiye'nin e-imza altyapısının kuantum çağında kesintisiz çalışmasını güvence altına alacaktır.