@ucantosbaga84 Normalde bu makamlara güvenilmesi gerekiyor ama yaşadığımız örnekler gösteriyor ki siz de çekincelerinizde haklısınız. İşin ESHS kısmına çok hakim değilim ancak akıllı kart için uyulması gereken bir kamyon standart ve almamız gereken kazık gibi güvenlik sertifikası varken; +++

@ucantosbaga84 +++ eminim bu kurumların da uyması gereken standartları vardır. Maalesef yine yaşadığımız örnek, bu standartlara pek de uyulmadığını gösteriyor. Tek olayı güven merkezi olmak olan kurumu yoldan geçen adamın kandırabilmesi de ne bileyim, diyecek çok da bir şey yok? +++

@ucantosbaga84 İçinizi rahatlatmak için kullanılan akıllı kartı (veya secure element, artık ne ise) öğrenip, dokümanlarını bulup, sorgulayarak, anahtarın kart içerisinde mi üretildiğini tespit etmek gerekiyor. Maalesef bu da herkesin vakit ayırabileceği bir konu değil. +++

@ucantosbaga84 Oturup böyle bir tool yapsam, bana da güvenmezsiniz. Kaldı ki akıllı kartın kendisine de güvenmeyebilirsiniz. Bu durumda en güvenli yol sizin önerdiğiniz gibi gizli anahtarı sizin üretmeniz. Ama bu sefer de başka güvensizlikler ortaya çıkıyor ☺️ İş böyle böyle boka sarıyor +++

@ucantosbaga84 İşte en başta o sertifika makamına güvenmemiz yeterli olmalıydı. “İş bilmez” veya “yaptığı işe önem vermez” veya gerçekten de “kötü niyetli” kişiler yüzünden bugün o güven kaybolmuştur. (Nokta)

@ucantosbaga84 Öncelikle yanlış ifade ettiğim bir noktayı düzelteyim: siz anahtar üretince sizin güvenilmez olduğunuzu kastetmek istememiştim.Ürettiğiniz anahtarın,üretim,saklama ve kullanımı açısından saldırılara çok daha açıksınız,bunu kastetmek istemiştim.Hoş;pratikte siz haklı çıktınız.+++

@ucantosbaga84 Anlatmak istediğim güven, "ben sana inanıyorum kanka" gibi bir güven değil. Bağımsız adamların denetlediği, bana "bu adam işini doğru yapmış" diye CC EAL 5+ sertifika verdiği, o sertifikayı almak için benim olmadık yerlerimden ter aktığı, +++

@ucantosbaga84 kaynak koduma kadar her şeyimi paylaştığım, sertifikayı alırken yapılan testlerin raporlarının tüm dünya ile paylaşıldığı bir süreç. Eminim bu yaşadığım zorlukların bir benzeri ESHS'ler için de geçerlidir. Bu yazdıklarımla çelişiyor gibi gözükeceğim ama işin pratiğinde, +++

@ucantosbaga84 bu alanda öncü ünlü yabancı markanın, milletimizin pek sevdiği bir ülkenin laboratuvarları tarafından alınmış CCEAL5+ sertifikalı çiplerinin çok kolay ve aptalca sızıntılar yaptığını da gördük; sahte kimlikle sertifika veren makamı da gördük. Hala "güven" demem saçma oluyor tabi.

@ucantosbaga84 Teknik konulara gelirsek: imzalanan dokümanların bir listesi var mı bilmiyorum. Ancak imzalanan bir belgeyi kullanıcı kendisi doğrulayabilir. Böylece ne imzalı ne imzasız bilebilir.+++

@ucantosbaga84 Her akıllı kartta olmayabilir, olsa bile ilgili kurum/kuruluş bu özellikleri kullanmıyor olabilir. Ancak +++

@ucantosbaga84 bizim yaptığımız akıllı kartta, pin girdikten sonra, imza işleminin bir kere yapılmasını, ardından girilen pinin unutulmasını sağlayan bir mekanizma vardı (non-repudiation: inkar edilememezlik diyorduk). Bunun amacı, sen bir belgeyi imzalamak için pin girdikten sonra +++

@ucantosbaga84 arka planda kötü niyetli yazılımın senden habersiz imza atmasını engellemekti. Ayrıca yine akıllı kartta saklanan özel anahtarın kaç defa kullanıldığı bilgisi de akıllı karttan öğrenilebiliyordu (anahtar kullanım sayacı diyorduk). +++