--- url: 'https://www.corbado.com/tr/blog/dijital-cuzdan-guvencesi' title: 'Dijital Cüzdan Güvencesi: AB, ABD ve Avustralya Çerçeveleri' description: 'AB, ABD ve Avustralya''daki dijital cüzdan güvence çerçeveleri hakkında bilgi edinin, temel farklılıkları ve biyometrik doğrulama yöntemlerini keşfedin.' lang: 'tr' author: 'Vincent Delitz' date: '2025-07-25T07:01:10.941Z' lastModified: '2026-03-27T07:08:43.912Z' keywords: 'cüzdan güvencesi, cüzdan, dijital cüzdan, dijital cüzdan güvencesi' category: 'Passkeys Strategy' --- # Dijital Cüzdan Güvencesi: AB, ABD ve Avustralya Çerçeveleri ## 1. Giriş Dünya hızla dijital kimliğe doğru ilerliyor ve dijital cüzdanlar, insanların kimlik bilgilerini yönetmesinin ana yolu haline geliyor. Peki bu cüzdanlar ne kadar güvenilir? Değerleri, tamamen arkalarındaki güvence çerçevelerinin gücüne bağlı. Bu makalede, üç büyük küresel gücün [dijital kimlik](https://www.corbado.com/tr/glossary/open-id-4-vp) güvencesi ve [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) ortamlarına dalacağız: [eIDAS](https://www.corbado.com/glossary/eidas) 2.0 ile Avrupa Birliği, [NIST](https://www.corbado.com/blog/nist-passkeys) SP 800-63 ile Amerika Birleşik Devletleri ve [TDIF](https://www.corbado.com/glossary/tdif)/[AGDIS](https://www.corbado.com/glossary/agdis) çerçevesi ile Avustralya. Risk tabanlı güvence seviyeleri ve bir [dijital kimlik](https://www.corbado.com/tr/glossary/open-id-4-vp) bilgisini gerçek bir kişiye bağlamada biyometrinin kritik rolü gibi, dünya genelinde şaşırtıcı derecede benzer olan temel ilkeleri keşfedeceğiz. Ancak, mimarileri ve düzenlemelerindeki önemli farklılıkları da ortaya çıkaracağız. ABD'nin ayrıntılı ve esnek modelini, AB'nin birleşik ve birlikte çalışabilir yaklaşımını ve Avustralya'nın hibrit sistemini analiz edeceğiz. **İnceleyeceğimiz merkezi bir tema, cihaz merkezli güvenlik ile hesap tabanlı kullanıcı rahatlığı arasındaki gerilimdir**, özellikle Apple ve Google gibi büyük oyuncuların cihaza bağlı kimlik bilgilerinin üzerine bulut hesaplarını nasıl katmanladığıdır. Ayrıca, kimlik bilgisi katılımının pratik adımlarını detaylandıracak ve her yeni cihaz için kimliğinizi kanıtlamanın getirdiği "yeniden kayıt vergisinin" bir kusur değil, kasıtlı bir güvenlik özelliği olduğunu açıklayacağız. Son olarak, Avrupa [Dijital Kimlik](https://www.corbado.com/tr/glossary/open-id-4-vp) (EUDI) Cüzdanı'nın benzersiz yönlerine ve AB içinde ıslak imza ile aynı yasal ağırlığa sahip olan Nitelikli Elektronik İmzaların (QES) gücüne daha yakından bakacağız. Bu makalenin sonunda, küresel dijital kimliğin karmaşık ve gelişen manzarası ile geliştiricilerin, [hükümetlerin](https://www.corbado.com/passkeys-for-public-sector) ve kullanıcıların karşı karşıya olduğu stratejik seçimler hakkında kapsamlı bir anlayışa sahip olacaksınız. ## 2. Dijital Güvenin Temeli: Güvence Seviyelerini Anlamak ### 2.1 Güvenceyi Tanımlamak: Güvenlik, Kullanılabilirlik ve Riskin Kritik Üçlüsü Dijital alanda kimlik, bilinen veya bilinmeyen ikili bir kavram değildir; bir güven spektrumudur. Bir **Güvence Seviyesi (LoA)**, bu güveni ölçer ve belirli bir kimliği iddia eden bir bireyin, aslında o kimliğin "gerçek" sahibi olduğuna dair kesinlik derecesini temsil eder. Bu ölçü, her güvenli işlem ve etkileşimin temelini oluşturan dijital güvenin temelidir. Daha yüksek bir LoA, daha sıkı bir [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) ve kimlik denetimi süreci anlamına gelir, bu da kimlik sahtekarlığı, yetkisiz erişim ve diğer kötüye kullanım türlerinin riskini azaltır. Ancak, daha yüksek güvence elde etmenin maliyetleri vardır. Gerekli süreçler — örneğin yüz yüze doğrulama veya özel donanım kullanımı — hem kullanıcı (kimlik sahibi) hem de hizmet sağlayıcı (güvenen taraf) için önemli masraf ve rahatsızlık yaratabilir. Bu doğal sürtünme, erişim engelleri yaratabilir ve potansiyel olarak gerekli belgelere, teknik imkanlara veya karmaşık prosedürleri tamamlama yeteneğine sahip olmayan bireylerin dışlanmasına yol açabilir. Sonuç olarak, uygun bir LoA seçimi sadece teknik bir karar değil, güvenlik, kullanılabilirlik ve dışlanma potansiyeli arasında hassas bir denge kurmayı amaçlayan kritik bir risk yönetimi egzersizidir. Bu denge, bir [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) hatasının potansiyel etkisine göre belirlenir. Halka açık bir forumda hesap oluşturmak veya posta adresini değiştirmek gibi düşük riskli faaliyetler için daha düşük bir LoA tamamen kabul edilebilir. Bir hatanın sonuçları minimum düzeydedir. Tersine, hassas finansal veya sağlık kayıtlarına erişmek, büyük fon transferleri başlatmak veya yasal olarak bağlayıcı sözleşmeler imzalamak gibi yüksek riskli işlemler için, ciddi potansiyel zararı azaltmak amacıyla çok daha yüksek bir LoA zorunlu kılınır. Bu nedenle, bir güvence çerçevesi ve gerekli seviyelerinin seçimi, teknik uygulamanın ötesine geçerek ekonomik ve sosyal bir politika aracı haline gelir. Güvence çıtasını çok yükseğe koyan bir çerçeve, güvenli ancak nüfusun önemli bir bölümü için erişilemez olan aşılmaz bir kale yaratabilir, bu da dijital benimsemeyi ve ekonomik katılımı engelleyebilir. Tersine, standartları çok düşük olan bir çerçeve, yaygın dolandırıcılığa davetiye çıkarır, bu da tüketici ve iş dünyası güvenini aşındırır ve sonuçta desteklemeyi amaçladığı dijital ekonomiye zarar verir. Bu temel gerilim, büyük küresel ekonomilerin benimsediği farklı yaklaşımları şekillendirir ve dijital ekosistemlerini kendi benzersiz düzenleyici felsefelerine ve toplumsal önceliklerine göre biçimlendirir. ### 2.2 Güvenin Yapı Taşları: IAL, AAL ve FAL'ı Ayrıştırmak Geçmişte, Güvence Seviyesi tek parça bir kavramdı. Dijital kimlik alanındaki yeni bir gelişme, bu kavramın [ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından Özel Yayın 800-63, Revizyon 3](https://pages.nist.gov/800-63-3/) ile ayrıştırılması oldu. Bu revizyon, LoA'yı üç ayrı, dikey bileşene ayırarak daha hassas ve ayrıntılı risk yönetimine olanak tanıdı: Kimlik Güvence Seviyesi (IAL), Doğrulayıcı Güvence Seviyesi (AAL) ve Federasyon Güvence Seviyesi (FAL). | **Güvence Seviyesi** | **Kapsadığı Alan** | **Ana Odak** | **Tipik Teknikler/Gereksinimler** | | -------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Kimlik Güvence Seviyesi (IAL)** | Kimlik kanıtlama süreci: iddia edilen kimliğin gerçekten başvuru sahibine ait olduğunu belirlemek. | Kayıt veya tescilin tek seferlik olayı; gerçek dünya kimliğini dijital bir kimlik bilgisine bağlamak. | Fiziksel belgelerin (ör. pasaport, ehliyet) doğrulanması, yetkili kaynaklara karşı geçerlilik kontrolü, biyometrik kontroller. | | **Doğrulayıcı Güvence Seviyesi (AAL)** | Kimlik doğrulama süreci: bir hizmete erişen kişinin dijital kimliğin meşru sahibi olduğunu teyit etmek. | Kayıttan sonra oturum açma veya kimlik doğrulamanın devam eden süreci. | Bir veya daha fazla kimlik doğrulama faktörünün kullanımı: bildiğiniz bir şey (şifre), sahip olduğunuz bir şey (token, akıllı telefon) veya olduğunuz bir şey (parmak izi, yüz). | | **Federasyon Güvence Seviyesi (FAL)** | Federe kimlik sistemlerindeki onaylama protokolü: bir Kimlik Sağlayıcıdan bir Güvenen Tarafa gönderilen bilgilerin güvenliğini sağlamak. | Onaylamanın (kimlik doğrulama ve nitelik verilerinin imzalı paketi) güvenliği ve bütünlüğü. | Onaylama şifrelemesi ve kullanıcının bir kriptografik anahtara sahip olduğunun kanıtı gibi güçlü kriptografik korumalar. | Bu görev ayrımı, Avrupa Birliği'nde kullanılan daha birleşik modelden temel bir mimari farklılıktır. [NIST](https://www.corbado.com/blog/nist-passkeys) modeli, bir hizmet sağlayıcının kayıt riskini erişim riskinden ayırmasına olanak tanır. Örneğin, bir [devlet](https://www.corbado.com/passkeys-for-public-sector) kurumu, hassas kayıtlara erişim için bir dijital kimlik bilgisi vermek üzere çok yüksek güvenilirlikli, yüz yüze bir kimlik kanıtlama olayı (IAL3) gerektirebilir. Ancak, bu kayıtları görüntülemek için sonraki rutin erişimlerde, yalnızca orta güçte bir çok faktörlü kimlik doğrulama (AAL2) gerektirebilir. Bu esneklik, bir hizmet içindeki belirli eylemlere göre uyarlanmış güvenlik kontrollerinin daha incelikli bir şekilde uygulanmasına olanak tanır. Buna karşılık, AB'nin [eIDAS](https://www.corbado.com/glossary/eidas) çerçevesi, hem kayıt hem de kimlik doğrulama yönlerini kapsayan birleşik bir LoA (Düşük, Önemli, Yüksek) kullanır. İki sistem arasında eşleştirme yaparken, bir hizmetin genel güvencesi en zayıf halkası tarafından belirlenir. Örneğin, en yüksek seviyede kimlik kanıtlama (IAL3) ve federasyon (FAL3) ile tasarlanmış ancak yalnızca orta seviyede kimlik doğrulama (AAL2) kullanan bir sistem, [eIDAS](https://www.corbado.com/glossary/eidas) LoA "Yüksek" değil, "Önemli" seviyesine eşdeğer olarak sınıflandırılır. Bu ayrım, küresel sistemler inşa eden geliştiriciler ve mimarlar için derin sonuçlar doğurur, çünkü en yüksek ayrıntı seviyesi (NIST) için tasarım yapma ve ardından daha basit AB modeline eşleme yapma veya her bölgenin farklı mimari felsefesine uymak için ayrı mantık akışları sürdürme arasında bir seçim yapmaya zorlar. ABD modeli, güvenen taraf için risk yönetimi esnekliğine öncelik verirken, AB modeli sınır ötesi tanıma için basitliğe ve net birlikte çalışabilirliğe öncelik verir. ### 2.3 Güvencenin Sonuçları: LoA Nelerin Kilidini Açar Güvence Seviyesi soyut bir teknik derecelendirme değildir; bir kullanıcının dijital dünyada ne yapmasına izin verildiğini belirleyen birincil kapı bekçisidir. Bir dijital kimliğe atanan veya bir hizmet tarafından istenen LoA, işlemlerin kapsamını, erişilebilecek verilerin hassasiyetini ve gerçekleştirilen eylemlerin yasal ağırlığını doğrudan belirler. Spektrumun en alt ucunda, genellikle doğrulama olmaksızın kendi kendine beyan edilen düşük güvence seviyesine sahip bir kimlik, düşük riskli hizmetlere erişim sağlar. Bu, çevrimiçi forumlara katılmak, temel bir web posta hesabı oluşturmak veya bir sahtekarın erişim sağlamasının sonucunun ihmal edilebilir olduğu halka açık web sitelerine erişmek gibi faaliyetleri içerir. Güvence seviyesi "Önemli" seviyesine yükseldikçe, kullanıcı çok daha geniş ve daha hassas bir hizmet yelpazesine erişim kazanır. Bu seviye genellikle kullanıcının kimliğinin resmi belgelere göre doğrulanmasını ve çok faktörlü kimlik doğrulama (MFA) kullanılmasını gerektirir. Sonuç olarak, birçok yaygın ve önemli dijital etkileşim için standarttır. LoA Önemli seviyesinde açılan hizmetlere örnekler şunlardır: - Vergi beyan etmek veya sosyal yardımları kontrol etmek için çevrimiçi [devlet](https://www.corbado.com/passkeys-for-public-sector) portallarına erişim. - Çevrimiçi [bankacılık](https://www.corbado.com/passkeys-for-banking) işlemleri yapmak. - Kişisel sağlık kayıtlarına veya [sigorta](https://www.corbado.com/passkeys-for-insurance) bilgilerine erişim. - Kamu hizmeti sağlayıcıları veya telekomünikasyon şirketleriyle etkileşim. En yüksek güvence seviyesi olan "Yüksek", bir kimlik doğrulama hatasının sonuçlarının ciddi olabileceği, önemli mali kayıplara, yasal sorumluluğa veya bireylere ya da kamu yararına zarara yol açabileceği en kritik ve yüksek riskli işlemler için ayrılmıştır. Bu seviyeye ulaşmak, genellikle yüz yüze veya denetimli uzaktan doğrulamayı içeren en sıkı kimlik kanıtlama yöntemlerini ve donanım tabanlı, kurcalamaya dayanıklı doğrulayıcıların kullanılmasını gerektirir. LoA Yüksek talep eden hizmetler şunları içerir: - Emlak sözleşmeleri veya büyük kredi anlaşmaları gibi, ıslak imza ile aynı ağırlığa sahip yasal olarak bağlayıcı belgeleri elektronik olarak imzalamak. - Çok hassas [devlet](https://www.corbado.com/passkeys-for-public-sector) veya kurumsal verilere erişim. - Yüksek değerli finansal işlemler veya büyük para transferleri yapmak. - Kontrole tabi maddeler için elektronik reçeteleri yetkilendirmek. - Pasaport gibi temel kimlik belgelerinin kendisini düzenlemek. Birden fazla güvence seviyesini destekleyebilen bir dijital kimlik sistemi, esnek ve riske uygun bir mimariye olanak tanır ve kullanıcıların farklı işlemler için güvence seviyelerini gerektiği gibi yükseltmelerini sağlar. LoA Yüksek seviyesinde elde edilen bir kimlik bilgisi, kullanıcı onayıyla, Önemli veya Düşük güvence gerektiren hizmetlere erişmek için kullanılabilir, ancak tersi doğru değildir. Bu hiyerarşi, kurulan güven seviyesinin her zaman ilgili risk seviyesiyle orantılı olmasını sağlar. ## 3. Kimlik Güvence Çerçevelerinin Küresel Karşılaştırması Uluslar, dijital [altyapılarını](https://www.corbado.com/passkeys-for-critical-infrastructure) inşa ederken, güveni farklı güvence çerçeveleri aracılığıyla kodlamaktadırlar. Genellikle [ISO 29115 gibi uluslararası standartlarda](https://www.iso.org/standard/45138.html) ortak köklere sahip olsalar da, Avrupa Birliği, Amerika Birleşik Devletleri ve Avustralya'daki özel uygulamalar, birlikte çalışabilirlik, esneklik ve güvenlik konularında farklı öncelikleri ortaya koymaktadır. ### 3.1 Avrupa Birliği'nin eIDAS 2.0'ı: Birleşik, Birlikte Çalışabilir Bir Vizyon Avrupa Birliği'nin dijital kimliğe yaklaşımı, tüm üye devletlerde elektronik işlemler için öngörülebilir ve birlikte çalışabilir bir yasal ortam yaratmayı amaçlayan eIDAS Yönetmeliği'ne (Elektronik Kimlik Tanımlama, Doğrulama ve Güven Hizmetleri) dayanmaktadır. Güncellenmiş eIDAS 2.0 çerçevesi, her vatandaş, yerleşik kişi ve işletme için kişisel bir dijital cüzdan olan AB Dijital Kimlik (EUDI) Cüzdanı'nın oluşturulmasını zorunlu kılarak bu vizyonu genişletmektedir. eIDAS'ın merkezinde üç Güvence Seviyesi (LoA) bulunur: Düşük, Önemli ve Yüksek. Bu seviyeler, kayıttan kimlik doğrulamaya kadar tüm yaşam döngüsünü kapsayan bir elektronik kimlik (eID) bilgisinin güvenilirliğine dair birleşik bir ölçü sağlar. Bu birleşik yaklaşım, karşılıklı tanımayı basitleştirmek için tasarlanmıştır; bir üye devlet tarafından belirli bir LoA'da bildirilen bir eID kimlik bilgisi, aynı veya daha düşük bir LoA gerektiren hizmetler için diğer tüm üye devletler tarafından tanınmalıdır. Seviyeler şu şekilde tanımlanır: | **Güvence Seviyesi (LoA)** | **Güven Seviyesi** | **Kayıt Süreci** | **Kimlik Doğrulama Gereksinimleri** | **Tipik Kullanım Alanları** | | -------------------------- | ------------------ | ------------------------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ------------------------------------------------------------------------- | | **LoA Düşük** | Sınırlı | Bir web sitesinde kendi kendine kayıt; kimlik doğrulaması gerekmez | Tek faktör (ör. kullanıcı adı ve şifre) | Halka açık bir web sitesine erişim gibi düşük riskli uygulamalar | | **LoA Önemli** | Önemli | Kullanıcının kimlik bilgileri sağlanmalı ve yetkili bir kaynağa göre doğrulanmalıdır | En az iki farklı faktör (çok faktörlü kimlik doğrulama), ör. şifre artı bir cep telefonuna gönderilen tek kullanımlık kod | Devlet hizmetlerine, çevrimiçi bankacılığa, sigorta platformlarına erişim | | **LoA Yüksek** | En Yüksek | Yüz yüze kayıt veya kimlik belgelerinin denetimli uzaktan doğrulanması | Kopyalamaya ve kurcalamaya karşı korumalı yöntemler kullanan çok faktörlü kimlik doğrulama, genellikle donanım doğrulayıcıları ile (ör. akıllı kart, mobil cihazdaki güvenli eleman) | Yüksek riskli işlemler, EUDI Cüzdanı, yasal olarak bağlayıcı eylemler | EIDAS seviyeleri tanımlarken, belirli teknolojileri dayatmaz, bu da üye devletlerin Danimarka'nın MitID'si (üç LoA'yı da destekler) veya Belçika'nın itsme®'si (LoA Yüksek'te çalışır) gibi yerel bağlamlarını yansıtan kendi ulusal eID şemalarını geliştirmelerine olanak tanır. ### 3.2 Amerika Birleşik Devletleri'nin NIST SP 800-63'ü: Ayrıntılı, Riske Göre Ayarlanmış Bir Model Amerika Birleşik Devletleri'nin çerçevesi, [NIST](https://www.corbado.com/blog/nist-passkeys) Özel Yayını 800-63-3 tarafından tanımlanmış olup, güvenceye daha ayrıntılı ve bileşenlere ayrılmış bir yaklaşım benimser. Tek bir, birleşik LoA yerine, süreci üç ayrı güvence seviyesine ayırır: Kimlik (IAL), Doğrulayıcı (AAL) ve Federasyon (FAL). Bu model, federal kurumlara ve diğer kuruluşlara bir Dijital Kimlik Risk Değerlendirmesi (DIRA) yapmak ve güvenlik kontrollerini belirli işlemlerin risklerine göre hassas bir şekilde uyarlamak için esnek bir araç seti sunar. **Kimlik Güvence Seviyeleri (IAL):** | **Kimlik Güvence Seviyesi (IAL)** | **Açıklama** | **Kimlik Kanıtlama Gereksinimleri** | **Tipik Kullanım Alanı** | | --------------------------------- | --------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------- | | **IAL1** | En düşük seviye; kimlik kendi kendine beyan edilir. | Başvuru sahibini gerçek bir kimliğe bağlama zorunluluğu yoktur; kimlik kanıtlama yapılmaz. | Bir sosyal medya hesabı oluşturma. | | **IAL2** | İddia edilen kimliğe yüksek güven. | Uzaktan veya yüz yüze kimlik kanıtlama gereklidir. Başvuru sahibi "Güçlü" veya "Üstün" kanıt sunmalıdır (ör. pasaport, ehliyet) ve sistem gerçek dünya kimliğiyle ilişkiyi doğrulamalıdır. | Çoğu devlet hizmetine erişim veya finansal işlemler yapma. | | **IAL3** | En yüksek seviye; çok yüksek güven. | Kimlik kanıtlama yüz yüze veya denetimli bir uzaktan oturum aracılığıyla yapılmalıdır. Daha fazla ve daha yüksek kalitede kanıt gerektirir ve kimlik kanıtına karşı doğrulanan bir biyometrik örneğin (ör. parmak izi veya yüz görüntüsü) toplanmasını zorunlu kılar. | REAL ID uyumlu bir ehliyet gibi temel bir kimlik belgesinin verilmesi gibi yüksek riskli senaryolar. | **Doğrulayıcı Güvence Seviyeleri (AAL):** | **Doğrulayıcı Güvence Seviyesi (AAL)** | **Açıklama** | **Kimlik Doğrulama Gereksinimleri** | **Doğrulayıcı Örnekleri** | | -------------------------------------- | ----------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------------------------------------------------------------------------------------------- | | **AAL1** | Bir miktar güvence sağlar; düşük riskli senaryolar için uygundur. | Tek faktörlü kimlik doğrulamaya izin verir. | Şifreler, PIN'ler, OTP cihazları | | **AAL2** | Yüksek güven sağlar; orta riskli senaryolar için uygundur. | Çok faktörlü kimlik doğrulama gerektirir. Kullanıcı iki farklı kimlik doğrulama faktörü sunmalıdır. En az bir faktör yeniden oynatmaya karşı dayanıklı olmalı ve onaylanmış kriptografi kullanmalıdır. | Şifre artı doğrulayıcı uygulaması, şifre artı donanım token'ı, passkey'ler (yazılım tabanlı veya cihaza bağlı) | | **AAL3** | En yüksek seviye; yüksek riskli senaryolar için uygundur. | Doğrulayıcı taklidi saldırılarına karşı dayanıklı olan "sert" bir kriptografik doğrulayıcı (donanım tabanlı cihaz) dahil olmak üzere çok faktörlü kimlik doğrulama gerektirir. | FIDO2 güvenlik anahtarı (donanım passkey'i), akıllı kart, güvenli donanım token'ı | Bu ayrıntılı model, bir kuruluşun seviyeleri gerektiği gibi karıştırıp eşleştirmesine olanak tanır. Örneğin, bir sistem kayıt sırasında tek seferlik bir IAL2 kanıtlama olayı gerektirebilir, ancak daha sonra kullanıcıların aynı uygulama içinde düşük riskli eylemler için [AAL1](https://www.corbado.com/faq/authenticator-assurance-levels-aal-digital-identity) (yalnızca şifre) ve daha yüksek riskli eylemler için [AAL2](https://www.corbado.com/blog/nist-passkeys) (MFA) arasında seçim yapmasına izin verebilir. ### 3.3 Avustralya'nın Güvenilir Dijital Kimlik Çerçevesi (TDIF): Hibrit, Aşamalı Bir Yaklaşım Avustralya'nın yaklaşımı, tarihsel olarak Güvenilir Dijital Kimlik Çerçevesi (TDIF) tarafından yönetilen ve şimdi Dijital Kimlik Yasası 2024 kapsamında Avustralya Hükümeti Dijital Kimlik Sistemi'ne (AGDIS) dönüşen, hem AB hem de ABD sistemleriyle özellikler paylaşan hibrit bir modeli temsil etmektedir. [TDIF](https://www.corbado.com/glossary/tdif), kimlik kanıtlama ve kimlik doğrulama gücü kavramlarını, NIST'in [IAL](https://www.corbado.com/glossary/ial)/[AAL](https://www.corbado.com/faq/authenticator-assurance-levels-aal-digital-identity) ayrımına çok benzer şekilde ayırır, ancak kendi farklı terminolojisini kullanır. **Kimlik Kanıtlama (IP) Seviyeleri:** [TDIF](https://www.corbado.com/glossary/tdif), doğrulanan kimlik belgelerinin sayısına ve kalitesine ve kullanıcının kimliğe bağlanma yöntemine dayalı olarak bir dizi artan IP seviyesi tanımlar. | **IP Seviyesi** | **Açıklama** | **Tipik Kullanım Alanları** | | ------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------- | | **IP1 (Temel)** | Belge doğrulaması olmaksızın kendi kendine beyan edilen veya takma adlı kimliği destekler. | Önemsiz riskli hizmetler, ör. park cezası ödeme | | **IP1+ (Temel)** | Bir kimlik belgesinin doğrulanmasını gerektirir. | Düşük riskli hizmetler, ör. sadakat kartı programı | | **IP2 (Standart)** | Geleneksel bir "100 puan kontrolüne" benzer şekilde iki veya daha fazla kimlik belgesinin doğrulanmasını gerektirir. | Orta riskli hizmetler, ör. kamu hizmeti hesapları oluşturma | | **IP2+ (Standart)** | Birey ile iddia ettiği kimlik arasında biyometrik bir bağlantı içeren "Bağlama Hedefinin" karşılanmasını gerektirerek IP2'nin üzerine inşa edilir. | Orta ila yüksek riskli işlemler | | **IP3 (Güçlü)** | Biyometrik bağlamayı da gerektiren yüksek güven seviyesi. Örneğin, myGovID "Güçlü" kimliği, bir pasaport fotoğrafıyla biyometrik olarak eşleştirilen bir "selfie" gerektirir. | Yüksek riskli devlet hizmetleri, ör. vergi dosyası numarası için başvurma | | **IP4 (Çok Güçlü)** | Dört veya daha fazla belge gerektiren, tüm IP3 gereksinimlerini karşılayan ve yüz yüze bir görüşmeyi zorunlu kılan en yüksek seviye. | Çok yüksek riskli hizmetler, ör. pasaport verilmesi | **Kimlik Bilgisi Seviyeleri (CL):** TDIF, devam eden erişim için kullanılan kimlik doğrulama bilgisinin gücünü tanımlar. | **Kimlik Bilgisi Seviyesi (CL)** | **Açıklama** | **Kimlik Doğrulama Gereksinimleri** | **Notlar** | | -------------------------------- | ------------------------ | ------------------------------------------------------ | --------------------------------------------------------------------------------------------------------- | | **CL1** | Temel kimlik bilgisi | Tek faktörlü kimlik doğrulama (ör. şifre) | | | **CL2** | Güçlü kimlik bilgisi | İki faktörlü kimlik doğrulama (MFA) gerekli | Avustralyalı yetkililer, internete açık çoğu hizmet için minimum olarak CL2'yi şiddetle teşvik etmektedir | | **CL3** | Çok güçlü kimlik bilgisi | İki faktörlü kimlik doğrulama artı donanım doğrulaması | | Bu hibrit yapı, Avustralya hizmetlerinin erişim için hem gerekli kimlik gücünü (IP seviyesi) hem de gerekli kimlik doğrulama gücünü (CL seviyesi) belirtmesine olanak tanır ve prensipte NIST'e benzer bir risk tabanlı çerçeve sunar. ### 3.4 Karşılaştırmalı Analiz: Küresel Çerçeveleri Sentezleme Farklı terminolojilere ve mimari felsefelere rağmen, AB, ABD ve Avustralya çerçevelerinde üç katmanlı bir risk hiyerarşisinin net bir deseni ortaya çıkmaktadır. Gereksinimlerini eşleştirerek genel bir bakış oluşturabiliriz. Bu karşılaştırma, güçlü bir altta yatan eğilimi ortaya koyuyor: yüksek güvenceli kimlik için kesin güven çıpası olarak biyometrik bağlama üzerinde küresel bir yakınlaşma. Çerçeveler farklı diller kullansa da — NIST'in IAL3'teki "zorunlu biyometrik toplama", Avustralya'nın IP2+ ve üzeri için "Bağlama Hedefi" ve [EUDI Cüzdan](https://www.corbado.com/tr/blog/digital-credentials-api)ı'nın LoA Yüksek'e ulaşmak için planlanan canlılık tespiti kullanımı — ilke aynıdır. Üç büyük Batı ekosisteminin hepsinde, en yüksek dijital güven seviyesi artık sadece belgeleri kontrol ederek veya gizli sorular sorarak kurulmuyor. Canlı, mevcut bir insanın, yetkili, devlet tarafından verilmiş kimlik kanıtına biyometrik doğrulama yoluyla bağlanmasıyla elde ediliyor. Bu "canlılıktan belgeye" kontrolü, tipik olarak bir pasaport veya ehliyet fotoğrafıyla eşleştirilen bir yüz taraması, yüksek güvenceli dijital kimlik kanıtlaması için fiili uluslararası standart haline gelmiştir. Bu, herhangi bir kimlik sağlayıcısının teknoloji yığını için sonuçlar doğurur ve sertifikalı canlılık tespiti ile yüksek doğruluklu biyometrik eşleştirmeyi, katma değerli özelliklerden, dijital güven ekonomisinin en üst seviyelerinde faaliyet göstermeyi amaçlayan herhangi bir platformun temel, pazarlık edilemez bileşenlerine yükseltir. Aşağıdaki tablo, her çerçevenin gereksinimlerini ortak bir yapıya çevirerek doğrudan bir karşılaştırmalı analiz sunmaktadır. | **Özellik** | **Avrupa Birliği (eIDAS)** | **Amerika Birleşik Devletleri (NIST SP 800-63)** | **Avustralya (TDIF/AGDIS)** | | :----------------------------- | :----------------------------------------------------------------------- | :----------------------------------------------------------------------- | :------------------------------------------------------------------------- | | **Seviye 1 (Düşük/Temel)** | | | | | **Terminoloji** | LoA Düşük | IAL1 / AAL1 | IP1 / CL1 | | **Kimlik Kanıtlama** | Kendi kendine kayıt, doğrulama gerekmez | Kendi kendine beyan, kanıtlama gerekmez | Kendi kendine beyan veya takma ad, doğrulama yok | | **Kimlik Doğrulama** | Tek faktörlü (ör. şifre) | Tek faktörlü (ör. şifre, OTP cihazı) | Tek faktörlü (ör. şifre) | | **Örnek Kullanım Alanları** | Halka açık web sitelerine, çevrimiçi forumlara erişim | Sosyal medya hesabı oluşturma | Park cezası ödeme, balıkçılık ruhsatı alma | | **Seviye 2 (Önemli/Standart)** | | | | | **Terminoloji** | LoA Önemli | IAL2 / AAL2 | IP2, IP2+ / CL2 | | **Kimlik Kanıtlama** | Kimlik bilgileri yetkili kaynağa göre doğrulanır | Güçlü kanıtlarla (ör. pasaport, ehliyet) uzaktan veya yüz yüze kanıtlama | İki veya daha fazla belge doğrulanır (IP2); artı biyometrik bağlama (IP2+) | | **Kimlik Doğrulama** | Çok faktörlü kimlik doğrulama (MFA) gerekli | MFA gerekli; yeniden oynatmaya karşı direnç | İki faktörlü kimlik doğrulama (MFA) gerekli | | **Örnek Kullanım Alanları** | Çevrimiçi bankacılık, vergi beyanı, devlet hizmetlerine erişim | Finansal hesaplara, devlet kayıtlarına (CUI) erişim | Kamu hizmetlerine erişim, büyük finansal işlemler | | **Seviye 3 (Yüksek/Güçlü)** | | | | | **Terminoloji** | LoA Yüksek | IAL3 / AAL3 | IP3, IP4 / CL3 | | **Kimlik Kanıtlama** | Yüz yüze veya eşdeğer denetimli kayıt | Yüz yüze/denetimli uzaktan kanıtlama; zorunlu biyometrik toplama | Biyometrik bağlama (IP3); artı yüz yüze görüşme (IP4) | | **Kimlik Doğrulama** | Kopyalamaya/kurcalamaya karşı korumalı MFA (ör. akıllı kart) | Donanım tabanlı, doğrulayıcı taklidine dirençli bir doğrulayıcı ile MFA | Donanım doğrulamalı iki faktörlü kimlik doğrulama | | **Örnek Kullanım Alanları** | Yasal olarak bağlayıcı sözleşmeleri imzalama, çok hassas verilere erişim | Kontrole tabi maddeler için elektronik reçeteler, REAL ID verilmesi | Refah hizmetlerine erişim, pasaport verilmesi | ![dijital cüzdan güvence seviyeleri](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/digital_wallet_assurance_b1238e1486.png) ### 3.5 Birleşik Krallık ve Kanada: Küresel Normlarla Uyum Sağlama Bir zamanlar AB'nin eIDAS rejimine tabi olan Birleşik Krallık, uluslararası en iyi uygulamaları yansıtan bir güvence çerçevesiyle kendi yolunu çizmiştir. [Birleşik Krallık'ın İyi Uygulama Kılavuzu 45 (GPG45)](https://www.gov.uk/government/publications/identity-proofing-and-verification-of-an-individual), bir kimlik doğrulamasında dört _güven seviyesinden_ birini üreten titiz bir kimlik kanıtlama süreci tanımlar: **Düşük, Orta, Yüksek veya Çok Yüksek**. Bu yaklaşım, bilinen çok katmanlı LoA modelleriyle yakından uyumludur; nitekim GPG45, eIDAS, NIST 800-63, ISO/IEC 29115 ve Kanada'nın [Pan](https://www.corbado.com/glossary/pan)-Kanada Güven Çerçevesi ile uyumluluğuna açıkça atıfta bulunur. Pratikte GPG45, bir kullanıcının kimlik profili için güven seviyesini belirlemek üzere kontrollerin (belge özgünlüğü, etkinlik geçmişi, biyometrik eşleştirme vb.) puan tabanlı bir değerlendirmesini kullanır. Bu temel üzerine inşa edilen Birleşik Krallık hükümeti, kimlik sağlayıcıları ve güvenen taraflar için sertifikasyon kuralları oluşturacak yeni bir **Dijital Kimlik ve Nitelikler Güven Çerçevesi** (şu anda beta sürümünde) sunmaktadır. Birleşik Krallık'ın güven çerçevesinin temel bir hedefi, uluslararası birlikte çalışabilirliktir – İngiliz dijital kimliklerinin yurtdışında güvenilir olmasını ve tersini sağlamak – aynı zamanda [ülkenin kendi gizlilik ve güvenlik ilkelerini](https://www.gov.uk/government/publications/uk-digital-identity-and-attributes-trust-framework-beta-version/uk-digital-identity-and-attributes-trust-framework-beta-version) korumaktır. Bu, Birleşik Krallık'ın AB sonrası dijital kimlik ekosistemini geliştirirken bile küresel standartlarla uyumlu kalma yönündeki daha geniş bir stratejiyi yansıtmaktadır. Kanada'nın yaklaşımı, Kanada Dijital Kimlik ve Kimlik Doğrulama Konseyi (DIACC) tarafından [**Pan-Kanada Güven Çerçevesi (PCTF)**](https://diacc.ca/trust-framework/) aracılığıyla yönetilmekte olup, çok seviyeli güvence ve birlikte çalışabilirliğin temel ilkelerini de benimsemiştir. Tarihsel olarak Kanada, NIST ve ISO 29115 şemalarıyla karşılaştırılabilir dört katmanlı bir güvence modeli (Seviye 1 ila 4) kullanmış, çoğu federal e-devlet hizmeti "yüksek" güvenceli bir oturum açma (kabaca Seviye 3'e eşdeğer) gerektirmiştir. Ancak, Kanadalı paydaşlar, tek bir bileşik LoA'nın bir kimliğin nasıl doğrulandığına dair önemli farklılıkları maskeleyebileceğini fark etmiştir. Örneğin, çok farklı kanıtlama yöntemleri – diyelim ki, uzaktan bilgi tabanlı doğrulama ile yüz yüze belge kontrolleri – her ikisi de aynı geleneksel LoA'yı karşılayabilir ve değişen risk seviyelerini gizleyebilir. Şu anda _Kanada'da geniş bir fikir birliği_, güvencenin daha ayrıntılı ve yeteneklere özgü olması gerektiği yönündedir. PCTF, kimlik kanıtlama güvencesini doğrulayıcı (kimlik bilgisi) güvencesinden ayıran, [NIST tarafından öncülük edilen IAL/AAL ayrımını](https://diacc.ca/2020/10/21/next-evolution-of-levels-of-assurance/) yansıtan modernize edilmiş, risk tabanlı bir modele doğru evrilmektedir. Bu evrim, kapsamlı bir güven çerçevesi ve akreditasyon programı gerektirir: kimlik sağlayıcıları, kimlik bilgisi ihraççıları ve denetçiler, bir ilde veya sektörde denetlenen bir dijital kimliğin başka bir yerde güvenle kabul edilebilmesi için ortak kriterlere göre sertifikalandırılır. Sonuç, Birleşik Krallık ve Kanada'nın – her biri kendi mekanizmalarıyla – aynı küresel normları pekiştirdiği yakınsak bir yaklaşımdır: güçlü başlangıç kanıtlamasına (genellikle [biyometri](https://www.corbado.com/tr/blog/dinamik-eslestirmede-biyometri-odeme-yapani-farkindaligi) ile) dayanan yüksek güvenceli dijital kimlik, devam eden çok faktörlü kimlik doğrulama ve gizlilik ve kullanıcı kontrolü için katı standartlar. Her iki ülke de, sınır ötesi dijital işlemleri destekleyen uluslararası güven dokusuyla uyumlu kalırken, farklı yargı bölgelerinin uygulama konusunda nasıl yenilik yapabileceğinin bir örneğidir. ## 4. Dijital Cüzdanı Güvence Altına Alma: Kimlik Doğrulama ve Kimlik Bilgisi Katılımı Güvence çerçeveleri güven için teorik bir temel sağlarken, dijital cüzdanlar içindeki pratik uygulamaları sistemin gerçek dünya güvenliğini ve kullanılabilirliğini belirler. Bu, iki kritik aşamayı içerir: cüzdanın kendisine erişimi güvence altına almak ve güvenilir bir dijital kimlik bilgisinin ilk, yüksek riskli katılım süreci. ### 4.1 İlk Savunma Hattı: Cüzdan Erişimi için En İyi Uygulamalar Dijital cüzdan, bir bireyin en hassas kimlik bilgileri için güvenli bir kaptır. Bu kabı korumak her şeyden önemlidir. Bir cüzdanın güvenliği, cihazın fiziksel güvenliğiyle başlayan ve kullanımını yöneten kriptografik protokollere kadar uzanan çok katmanlı bir yapıdır. İlk ve en temel savunma katmanı, cihazın kendi erişim kontrol mekanizmasıdır; örneğin bir PIN, şifre veya biyometrik tarama (ör. [Face ID](https://www.corbado.com/faq/is-face-id-passkey), parmak izi taraması). Bu, kilidi açık bir cihaza fiziksel erişim sağlayan fırsatçı bir saldırganın cüzdana hemen erişmesini engeller. Ancak, bu katman tek başına yüksek güvenceli işlemler için yeterli değildir. > [NIST SP 800-63B](https://www.corbado.com/faq/nist-sp-800-63b-supplement-passkey-adoption) açıkça, bir akıllı > telefon gibi bir cihazın kilidini açmanın, [AAL2](https://www.corbado.com/blog/nist-passkeys) veya daha yüksek > seviyedeki bir işlem için gerekli kimlik doğrulama faktörlerinden biri olarak kabul > edilmeyeceğini belirtir. Bu nedenle, cüzdan uygulamasına erişmek ve daha da önemlisi bir kimlik bilgisinin sunumunu yetkilendirmek için ikinci, bağımsız bir kimlik doğrulama katmanı gereklidir. [EUDI Cüzdan](https://www.corbado.com/tr/blog/digital-credentials-api) çerçevesi gibi en iyi uygulamalar ve yeni düzenlemeler, cüzdanın işlevlerine erişmek için güçlü, çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılar. Bu genellikle aşağıdaki faktörlerden en az ikisinin birleştirilmesini içerir: - **Bildiğiniz bir şey:** Cüzdana özgü bir PIN veya şifre. - **Sahip olduğunuz bir şey:** Kriptografik anahtarları içeren fiziksel cihazın kendisi. - **Olduğunuz bir şey:** İşlem anında gerçekleştirilen parmak izi veya yüz taraması gibi bir biyometrik doğrulama. Kullanıcı kimlik doğrulamasının ötesinde, cüzdanın temel teknolojisi sağlam olmalıdır. Temel güvenlik uygulamaları şunları içerir: - **Güvenli Eleman (SE) veya Güvenilir Yürütme Ortamı (TEE) Kullanımı:** Kritik kriptografik anahtarlar, cihazın donanım korumalı, kurcalamaya dayanıklı bir bölümünde, ana işletim sisteminden ayrı olarak saklanmalıdır. Bu, kötü amaçlı yazılımların özel anahtarları çıkarmasını engeller. - **Uçtan Uca Şifreleme:** Hem cüzdan içinde bekleyen hem de bir sunum sırasında aktarılan tüm veriler, müdahaleyi ve yetkisiz erişimi önlemek için kriptografik olarak şifrelenmelidir. - **Sağlam Yedekleme ve Kurtarma:** Kimlik bilgileri yerel olarak saklanabileceğinden, cihazın kaybolması, çalınması veya hasar görmesi durumunda güvenli bir kurtarma mekanizması esastır. Bu, şifreli bulut yedeklemeleri veya daha yaygın olarak merkezi olmayan sistemlerde, cüzdanı yeni bir cihazda geri yükleyebilen kullanıcı tarafından tutulan bir kurtarma veya "tohum" ifadesi ile sağlanabilir. "Sıfır Güven" ilkesine bağlı kalmak da hayati önem taşır; cüzdan hiçbir isteğe örtük olarak güvenmemeli, bunun yerine her etkileşimi doğrulamalıdır. Güçlü kullanıcı kimlik doğrulamasını sertleştirilmiş bir teknik mimariyle birleştirerek, bir dijital cüzdan, bir kullanıcının dijital kimliğinin gerçekten güvenilir bir koruyucusu olarak hizmet edebilir. ### 4.2 Dijital Kimlik Bilgisine Giden Yol: Katılım Yolculuklarını Analiz Etme Bir cüzdana yüksek güvenceli bir Kişisel Kimlik Verisi (PID) kimlik bilgisi veya bir Mobil Sürücü Belgesi (mDL) verme süreci, bir IAL2 veya daha yüksek kimlik kanıtlama olayının pratik bir uygulamasıdır. Bu yolculuk, kimlik bilgisinin yaşam döngüsündeki en kritik adımdır, çünkü gelecekteki tüm işlemlerin dayanacağı temel güveni oluşturur. Bu yüksek güvenceli katılım için iki ana yöntem vardır: cihazın kamerasına dayanan bir **optik yolculuk** ve Yakın Alan İletişimi (NFC) kullanan bir **kriptografik yolculuk**. #### 4.2.1 Optik Katılım Yolculuğu Bu, NFC çipi olmayan veya NFC kullanılmadığında belgeler için en yaygın yöntemdir. Belirli adımlar yargı bölgeleri ve cüzdan sağlayıcıları arasında biraz farklılık gösterebilse de, temel akış oldukça tutarlıdır ve bir dizi doğrulama ve bağlama eylemini içerir: | **Adım** | **Açıklama** | | --------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **1. Başlatma** | Kullanıcı, yerel bir işletim sistemi cüzdanı (Apple veya Google Cüzdan gibi) içinden veya özel bir üçüncü taraf ihraççı uygulamasını indirerek katılım sürecini başlatır. | | **2. Belge Yakalama** | Kullanıcıdan fiziksel, devlet tarafından verilmiş kimlik belgesinin (ör. ehliyet veya kişisel kimlik) görüntülerini yakalaması istenir. Genellikle, makine tarafından okunabilir bölge (MRZ) veya barkod dahil olmak üzere ilgili tüm veri alanlarını toplamak için kartın hem önü hem de arkası taranır. Yüksek kaliteli taramalar, iyi aydınlatma ve yansıtıcı olmayan bir arka plan gerektirir. | | **3. Canlılık Tespiti ve Biyometrik Bağlama** | Sahtekarlık saldırılarını önlemek için, kullanıcının bir canlılık kontrolünü tamamlaması gerekir—genellikle bir selfie veya kısa bir video çekerek. Gülümsemek, göz kırpmak veya başını çevirmek gibi eylemleri yapması istenebilir. Bu canlı biyometrik veriler iki amaca hizmet eder: kullanıcının fiziksel olarak mevcut olduğunu doğrulamak ve yüzünü taranan kimlik belgesindeki fotoğrafla eşleştirerek canlı kişiyi resmi kimlik kanıtına bağlamak. | | **4. Arka Uç Doğrulaması** | Yakalanan belge ve biyometrik veriler, ihraç eden makama (ör. bir eyaletin Motorlu Taşıtlar Dairesi veya ulusal bir kimlik sicili) güvenli bir şekilde iletilir. Yetkili, belgenin orijinalliğini doğrular ve kullanıcının kimliğini teyit etmek için verileri kayıtlarıyla karşılaştırır. | | **5. İhraç ve Sağlama** | Başarılı doğrulamadan sonra, ihraççı dijital kimlik bilgisini kriptografik olarak imzalar ve kullanıcının cüzdanına güvenli bir şekilde sağlar. Kimlik bilgisi artık aktif ve kullanıma hazırdır. | Bu tüm süreç, NIST IAL2 veya eIDAS LoA Önemli/Yüksek gibi çerçevelerin yüksek güven gereksinimlerini karşılamak üzere tasarlanmıştır. Özellikle canlılık kontrolü, uzaktan optik katılım sırasında en yaygın kimlik sahtekarlığı türlerini önlemek için pazarlık edilemez bir bileşendir. #### 4.2.2 Kriptografik Katılım Yolculuğu (NFC) Alman Personalausweis gibi modern elektronik kimlik belgeleri (eID'ler) için, NFC kullanarak daha güvenli bir kriptografik katılım yolculuğu mümkündür. Bu yöntem, verileri doğrudan belgenin gömülü çipinden okuyarak optik taramaya göre üstün güvenlik sunar. Tipik NFC katılım yolculuğu şu şekilde gelişir: 1. **Başlatma:** Kullanıcı cüzdan uygulamasında süreci başlatır ve elektronik kimliğini kullanması istenir. 2. **Çipin Kilidini Açma:** Çipe erişmek için önce kilidinin açılması gerekir. Bu, Şifre Doğrulamalı Bağlantı Kurulumu (PACE) olarak bilinen bir protokol aracılığıyla güvenli bir bağlantı kurmak için belge üzerine basılmış 6 haneli bir Kart Erişim Numarası (CAN) girilerek yapılır. 3. **NFC Veri Okuma:** Kullanıcı kimlik belgesini akıllı telefonundaki NFC okuyucusuna tutar. Uygulama, kişisel detayları ve yüksek çözünürlüklü, devlet onaylı bir fotoğrafı içeren verileri çipten güvenli bir şekilde okur. 4. **Kriptografik Doğrulama:** Uygulama arka planda kritik güvenlik kontrolleri gerçekleştirir. **Pasif Doğrulama**, veriler üzerindeki ihraç eden makamın dijital imzasını doğrulayarak kurcalanmadığından emin olur. **Aktif Doğrulama**, orijinal olduğunu ve bir klon olmadığını doğrulamak için çipe bir sorgu gönderir. 5. **Sahip Doğrulaması (Bağlama):** Kriptografik olarak güvenli bir belgeyle bile, sistem onu tutan kişinin gerçek sahibi olduğunu doğrulamalıdır. Bu iki şekilde yapılabilir: - **Canlılık ve Biyometrik Eşleştirme:** Kullanıcı bir canlılık kontrolü gerçekleştirir (optik yolculukta olduğu gibi) ve yüzü, çipten okunan yüksek kaliteli, güvenilir fotoğrafla biyometrik olarak eşleştirilir. - **eID PIN Girişi:** Alman eID'sinde olduğu gibi en yüksek güvence seviyesi için, kullanıcıdan kişisel 6 haneli PIN'ini girmesi istenir. Bu, "sahiplik ve bilgi"yi (kullanıcının kartı var ve PIN'i biliyor) kanıtlar ve o özel adımda bir canlılık kontrolüne gerek kalmadan bir LoA Yüksek bağlaması oluşturur. 6. **İhraç ve Sağlama:** Kimliğin yüksek bir güvence seviyesine başarıyla doğrulanmasıyla, ihraççı dijital kimlik bilgisini kriptografik olarak imzalar ve kullanıcının cüzdanına sağlar. [EUDI Cüzdan](https://www.corbado.com/tr/blog/digital-credentials-api) çerçevesi, hem ilk kurulum hem de [hesap kurtarma](https://www.corbado.com/tr/blog/tamamen-sifresiz-sisteme-nasil-gecilir) için bir temel taşı olarak görerek, LoA Yüksek'e ulaşmak için NFC tabanlı katılımın önemini açıkça kabul etmektedir. Bu kriptografik yöntem, taranmış bir görüntünün görsel denetimine dayanmak yerine belgenin dijital orijinalliğini doğrudan doğruladığı için optik yolculuktan temel olarak daha güvenlidir. ### 4.3 Yerel ve Üçüncü Taraf Cüzdanlar: Karşılaştırmalı Bir Katılım Analizi Bir kullanıcının katılım deneyimi, bir kimlik bilgisini cihazının işletim sistemine entegre edilmiş yerel bir cüzdana (ör. Apple Cüzdan, Google Cüzdan) mı yoksa bir ihraççı veya başka bir kuruluş tarafından sağlanan bağımsız, üçüncü taraf bir uygulamaya mı eklediğine bağlı olarak önemli ölçüde farklılık gösterebilir. Bu modeller arasındaki seçim, ihraççılar ve kullanıcılar için bir değiş tokuş sunar: yerel platformların entegre rahatlığı ve geniş erişimi ile özel bir uygulamanın tam kontrolü ve özelleştirilmiş deneyimi. Aşağıdaki tablo, bu iki katılım yolculuğunun adım adım bir karşılaştırmasını sunarak, [dijital kimlik bilgileri](https://www.corbado.com/tr/blog/dijital-kimlik-bilgileri-passkeys) yayınlamayı veya doğrulamayı planlayan herhangi bir kuruluş için önemli bir kılavuz sunar. | **Adım** | **Yerel Cüzdanlar (Apple/Google)** | **Üçüncü Taraf Cüzdanlar (ör. İhraççı Uygulaması)** | | :------------------------------------ | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **1. Başlatma** | Kullanıcı, önceden yüklenmiş [İşletim Sistemi Cüzdanı uygulamasında](https://support.apple.com/en-us/111803) "Kimlik Ekle"ye dokunur. | Kullanıcı, App Store veya Google Play'den belirli ihraççının uygulamasını aramalı, indirmeli ve yüklemelidir. | | **2. Belge Yakalama** | Fiziksel kimliğin ön ve arka yüzünü taramak için standartlaştırılmış, işletim sistemi düzeyinde bir kamera arayüzü kullanır. | Uygulama sağlayıcısı tarafından geliştirilen özel, uygulama içi bir kamera arayüzü kullanır. Deneyim uygulamalar arasında değişebilir. | | **3. Canlılık ve Biyometrik Kontrol** | Selfie ve jest tabanlı canlılık kontrolü için işletim sistemi tarafından sağlanan istemleri ve API'leri kullanır. | Kendi canlılık tespit teknolojisini uygular veya bir üçüncü taraf SDK'sını entegre eder. İstemler ve gereksinimler uygulamaya özeldir. | | **4. Arka Uç Doğrulaması** | İşletim sistemi platformu, yakalanan veri paketini doğrulama ve onay için kayıtlı ihraç eden makama (ör. DMV) güvenli bir şekilde gönderir. | Uygulama, doğrulama için ihraç eden makamın sistemlerine bağlanan kendi arka ucuyla doğrudan iletişim kurar. | | **5. Kimlik Bilgisi İhracı** | Onay üzerine, kimlik bilgisi ihraççı tarafından kriptografik olarak imzalanır ve doğrudan İşletim Sistemi Cüzdanı'nın güvenli depolama alanına sağlanır. | Onay üzerine, kimlik bilgisi üçüncü taraf uygulamasının kendi güvenli depolama alanına sağlanır. Genellikle yerel İşletim Sistemi Cüzdanı'nda erişilebilir değildir. | | **6. Yeni Cihaz Sağlama** | **Apple:** Apple Hesabına bağlıdır; kurulum sırasında yeni bir cihaza, hesabın güvenilir durumundan yararlanarak bir "aktarım" akışı sunar.
**Google:** Genellikle yeni cihazda yeniden kayıt gerektirir; kimlik bilgisi cihaza ve Google Hesabına bağlıdır, ancak yeni bir istek gönderilmelidir. | Neredeyse evrensel olarak, belge taramasını ve canlılık kontrolünü tekrarlamak da dahil olmak üzere yeni cihazda tam bir yeniden kayıt gerektirir. Bazı uygulamalar tescilli yedekleme/geri yükleme işlevleri sunabilir. | Bu durum, bir kullanıcının farklı eyaletlerden veya ihraççılardan (örneğin, Louisiana [mDL](https://www.corbado.com/blog/mobile-drivers-license)'si için bir uygulama ve Kaliforniya [mDL](https://www.corbado.com/blog/mobile-drivers-license)'si için başka bir uygulama) kimlik bilgilerine ihtiyacı olması durumunda birden fazla farklı cüzdan uygulamasını yüklemesi ve yönetmesi gerekebileceği parçalanmış bir ekosisteme yol açabilir. ## 5. Teknik Derinlemesine Bakış: ISO 18013-5 ve EUDI Cüzdanı Dijital kimlik cüzdanlarının pratik uygulaması, teknik standartlar ve mimari çerçeveler temelinde yatmaktadır. Bu bölüm, modern kimlik manzarasındaki en önemli iki sütunun ayrıntılı bir analizini sunmaktadır: mobil sürücü belgeleri için ISO/IEC 18013-5 standardı ve yakında çıkacak olan AB Dijital Kimlik Cüzdanı'nın mimarisi. ### 5.1 mDL Standardı (ISO/IEC 18013-5) ISO/IEC 18013-5, bir mobil sürücü belgesini (mDL) ve diğer benzer kimlik bilgilerini saklamak, sunmak ve doğrulamak için arayüzü tanımlayan uluslararası standarttır. Güvenliği, gizliliği ve en önemlisi birlikte çalışabilirliği sağlamak için tasarlanmıştır, böylece bir yargı alanında verilen bir [mDL](https://www.corbado.com/blog/mobile-drivers-license) başka bir yerde okunabilir ve güvenilebilir. #### 5.1.1 Veri Bağlama: Kullanıcı Hesabı vs. Cihaz Cüzdan mimarisindeki kritik bir soru, bir dijital kimlik bilgisinin kullanıcının cihazına mı yoksa kullanıcının hesabına mı bağlı olduğudur. [ISO 18013-5](https://www.corbado.com/glossary/iso-18013-5) standardı, güvenlik mimarisinde temel olarak **cihaz merkezlidir**. Birincil amacı, kimlik bilgisi klonlamasını önlemek ve bir sunumun, kimlik bilgisinin verildiği otantik cihazdan geldiğinden emin olmaktır. Bu, kimlik bilgisinin özel anahtarlarının mobil cihazın Güvenli Eleman (SE) veya Güvenilir Yürütme Ortamı (TEE) gibi güvenli, kurcalamaya dayanıklı bir donanım bileşeninde saklandığı güçlü **cihaz bağlama** ile sağlanır. Bir sunum sırasında, cihaz bu anahtarla bir kriptografik işlem gerçekleştirerek kimlik bilgisinin gerçek sahibi olduğunu kanıtlar. Standart, kimlik bilgilerinin ya orijinal mobil cihazda ya da ihraç eden makam tarafından yönetilen bir sunucuda saklanmasını açıkça gerektirerek bu cihaz merkezli modeli pekiştirir. Ancak standart, bir kullanıcı hesabının yönetim ve düzenleme katmanı olarak kullanılmasını açıkça **yasaklamaz**. Bu, özellikle Apple ve Google'ın yerel cüzdan uygulamalarında hibrit bir modelin ortaya çıkmasına yol açmıştır. Bu modelde, kriptografik güvenlik çıpası fiziksel cihaz olarak kalır, ancak kullanıcı merkezli bir bulut hesabı (ör. bir Apple ID veya Google Hesabı) **yaşam döngüsü yönetim çıpası** olarak hizmet eder. Bu hesap katmanı, Apple durumunda olduğu gibi bir kimlik bilgisini yeni, güvenilir ve yakındaki bir cihaza aktarma gibi kullanıcı dostu özellikleri kolaylaştırabilir. #### 5.1.2 Canlılık Doğrulama Zorunlulukları: "Yeniden Kayıt Vergisi" [ISO 18013-5](https://www.corbado.com/glossary/iso-18013-5) standardı öncelikle veri modeline ve bir kimlik bilgisini _sunma_ arayüzüne odaklanır, ilk _kayıt_ sürecinin özelliklerine değil. Ancak, bir mDL'nin yüksek güvenceli (ör. NIST IAL2 veya eIDAS LoA Yüksek'i karşılayan) kabul edilmesi için kayıt sürecinin sağlam olması gerekir. Pratikte, yüksek güvenceli bir mDL'nin her büyük uygulaması, ilk katılım sırasında bir canlılık tespiti kontrolünü zorunlu kılar. Bu adım, canlı insan kullanıcıyı fiziksel kimlik belgesine bağlamak ve sunum saldırılarını önlemek için esastır. Bir kullanıcı yeni bir cihaz edindiğinde daha karmaşık bir soru ortaya çıkar. Bir mDL yeni bir telefona her sağlandığında bir canlılık kontrolü gerekli midir? Optik tabanlı katılım için cevap ezici bir çoğunlukla **evet**'tir. En güvenli uygulama, yeni bir cihaza sağlamayı tam bir **yeniden kayıt** olarak ele almaktır. Bu bir sistem hatası değil, kasıtlı bir güvenlik tasarımı seçimidir. Güvenlik modeli cihaz merkezli olduğundan ve kriptografik anahtarlar belirli donanımlara bağlı olduğundan, kimlik bilgisini basitçe kopyalamak mümkün veya güvenli değildir. Kullanıcı ile yeni donanım arasında yeni bir bağ kurulmalıdır. Ancak, bu yeniden kayıt her zaman bir canlılık kontrolü gerektirmez. Kullanıcı, NFC çipli yüksek güvenceli bir kimlik belgesine ve bunu destekleyen bir cüzdana sahipse, bölüm 4.2.2'de detaylandırıldığı gibi çipi okuyarak ve sahipliği kanıtlayarak (ör. bir PIN ile) kriptografik bir yeniden kayıt gerçekleştirebilir. Bu, yeni cihaza eşit derecede güçlü, hatta daha güçlü bir bağ sağlar. Uygulamalar bu duruşu doğrulamaktadır. Alandaki bir teknoloji sağlayıcısı olan Credence ID, bir kullanıcı telefon değiştirdiğinde güvenlik nedenleriyle yeniden kaydın zorunlu olduğunu, çünkü sürecin cihaza özgü anahtarlar kullandığını ve verilerin aktarılamaz olduğunu açıkça belirtmektedir. Benzer şekilde, yeni bir [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) telefonda Google Cüzdan'a bir mDL ekleme süreci, kullanıcının DMV'ye tamamen yeni bir istek göndermesini gerektirir. Apple daha akıcı bir "aktarım" süreci sunar, ancak bu, temel güvenlik ilkelerinin üzerine inşa edilmiş bir kullanılabilirlik katmanıdır. Aktarım, kullanıcının Apple Hesabının güvenilir durumuna ve yeni iPhone'un güvenli kurulum sürecine, tam bir yeniden kanıtlama için bir vekil olarak hareket etmesine dayanır. Kullanıcının hala kimliğini doğrulaması ve taşımayı onaylaması, etkili bir şekilde yeni donanıma olan bağı yeniden yetkilendirmesi gerekmektedir. Her yeni cihazda biyometrik bağlantıyı yeniden kurma zorunluluğu, yüksek güvenliği sürdürmek için bir **"yeniden kayıt vergisi"** olarak düşünülebilecek bir dereceye kadar kullanıcı sürtünmesi yaratır. Rahatsız edici olsa da, bu, kimlik bilgisi klonlamasını önlemeyi yüksek güvenceli kimlik belgelerinin sorunsuz senkronizasyonundan haklı olarak daha öncelikli tutan bir güvenlik modelinin doğrudan bir sonucudur. ### 5.2 EUDI Cüzdan Ekosistemi Avrupa Dijital Kimlik (EUDI) Cüzdanı, eIDAS 2.0 düzenlemesinin merkezindedir. Her AB Üye Devleti tarafından sağlanacak, vatandaşların kişisel kimlik verilerini (PID) ve sürücü belgesi, üniversite diploması veya reçete gibi diğer elektronik nitelik beyanlarını (EAA'lar) saklamasına ve paylaşmasına olanak tanıyan güvenli, kullanıcı kontrollü bir uygulama olarak tasarlanmıştır. #### 5.2.1 Çoklu Cihaz Sorusu: Bir Vatandaş, Birden Fazla Cüzdan mı? EUDI Cüzdanı için önemli bir mimari soru, çoklu cihaz kullanımını nasıl ele alacağıdır. Mevcut [Mimari ve Referans Çerçevesi (ARF)](https://eu-digital-identity-wallet.github.io/eudi-doc-architecture-and-reference-framework/2.3.0/architecture-and-reference-framework-main/) ve ilgili analizler, EUDI Cüzdanı'nın durumunu birden fazla cihaz arasında sorunsuz bir şekilde senkronize eden tipik bir bulut hizmeti gibi **çalışmayacağını** göstermektedir. Bunun yerine, mimari, bir kullanıcının güven kökü olarak hareket eden bir birincil, cihaza bağlı cüzdanı olduğu bir modele işaret etmektedir. Düzenleme, her Üye Devletin vatandaşlarına en az bir cüzdan sağlamasını zorunlu kılar. Temel mimari bileşen, bir kullanıcının kişisel mobil cihazında bulunan ve güvenliği için yerel veya uzak bir Cüzdan Güvenli Kriptografik Cihazına (WSCD) dayanan Cüzdan Birimi'dir. Bu tasarım, cüzdanın en yüksek güvenlik işlevlerini doğal olarak belirli bir cihaz bağlamına bağlar. ARF, cihazlar arası _kullanım_ akışlarını — örneğin, bir dizüstü bilgisayardaki bir oturumu doğrulamak için bir akıllı telefonla bir QR kodu taramak gibi — açıkça belirtse de, bu bir _etkileşim_ modelidir, bir _senkronizasyon_ modeli değildir. Cüzdanın durumu, özel anahtarları ve kimlik bilgileri de dahil olmak üzere, birden fazla cihaz arasında gerçek senkronizasyonu teknik olarak karmaşıktır ve kullanıcının "tek kontrolü" ilkesiyle çelişebilecek önemli güvenlik zorlukları ortaya çıkarır. Çerçevenin mevcut analizleri, çoğu EUDI Cüzdan uygulamasının tek cihaz kullanımı için tasarlandığı sonucuna varmaktadır. Bu, çoklu cihaz manzarası hakkında birkaç sonuca yol açar: - **Bir Birincil Cüzdan:** Bir vatandaşın muhtemelen Üye Devleti tarafından verilen, birincil kişisel cihazına bağlı bir birincil EUDI Cüzdanı olacaktır. - **Birden Fazla, Bağımsız Cüzdan:** Çifte vatandaşlığa sahip bir vatandaş, birden fazla EUDI Cüzdanına (örneğin, biri Almanya'dan, diğeri Fransa'dan) sahip olabilir, ancak bunlar ayrı, bağımsız ve senkronize edilmemiş örnekler olacaktır. - **Ayrı İş Cüzdanları:** Kişisel, tek cihazlı bir cüzdanı profesyonel amaçlar için kullanmanın pratik olmaması, kurumsal rolleri ve kimlik bilgilerini yönetmek için ayrı bir cüzdan [altyapısı](https://www.corbado.com/passkeys-for-critical-infrastructure) olan Avrupa İş Cüzdanı (EUBW) konseptinin geliştirilmesine yol açmıştır. Bu mimari yaklaşım, EUDI Cüzdanı'nı "senkronize bir bulut cüzdanı"ndan çok bir **"dijital kimlik merkezi"** olarak konumlandırır. Kullanıcının birincil mobil cihazı, yüksek güvenceli dijital etkileşimler için kişisel güven kökü olarak hizmet edecektir. Diğer cihazlar, eşit akranlar olmaktan ziyade bu merkezle _etkileşime girecektir_. Bunun önemli kullanılabilirlik sonuçları vardır: kullanıcılar kritik işlemleri gerçekleştirmek için birincil cihazlarına ihtiyaç duyacaklardır. Ayrıca, birincil cihazın kaybı dijital kimliği tam bir yeniden kayıt tamamlanana kadar erişilemez hale getirebileceğinden, sağlam ve kullanıcı dostu yedekleme ve kurtarma mekanizmalarının kritik önemini vurgular. #### 5.2.2 Mimari ve Birlikte Çalışabilirlik: Güven Omurgasını İnşa Etmek EUDI Cüzdan ekosistemi, AB genelinde federe ancak tamamen birlikte çalışabilir bir sistem oluşturmayı amaçlayan ayrıntılı bir Mimari ve Referans Çerçevesi (ARF) üzerine inşa edilmektedir. ARF, dört temel tasarım ilkesine dayanmaktadır: kullanıcı merkezlilik, birlikte çalışabilirlik, tasarım gereği güvenlik ve tasarım gereği gizlilik. Mimari, bir dizi net rol ve etkileşim tanımlar: | **Rol** | **Açıklama** | | ------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------- | | **Cüzdan Kullanıcısı** | Cüzdanı elinde tutan ve kontrol eden birey. | | **Cüzdan Sağlayıcısı** | Cüzdan uygulamasını kullanıcıya sağlayan kuruluş (kamu veya özel). | | **Kişisel Kimlik Verisi (PID) Sağlayıcısı** | Genellikle bir devlet kurumu olan, yüksek güvenceli kimlik doğrulaması yapan ve temel PID kimlik bilgisini cüzdana veren güvenilir bir kuruluş. | | **Nitelik Beyanı Sağlayıcısı** | Diploma veya mesleki lisanslar gibi diğer kimlik bilgilerini (EAA'lar) veren herhangi bir güvenilir kuruluş (kamu veya özel). | | **Güvenen Taraf** | Bir hizmet sağlamak için cüzdandan veri talep eden ve tüketen herhangi bir kuruluş (kamu veya özel). | Birlikte çalışabilirlik, bu ekosistemin temel taşıdır ve bir Üye Devlette verilen bir cüzdanın başka herhangi birinde bir hizmete erişmek için kullanılabilmesini sağlar. Bu, ortak teknik standartların zorunlu olarak benimsenmesiyle sağlanır. Uzak (çevrimiçi) etkileşimler için ARF, [Doğrulanabilir Sunumlar](https://www.corbado.com/tr/glossary/open-id-4-vp) için OpenID (OpenID4VP) ve Doğrulanabilir Kimlik Bilgileri İhracı için OpenID (OpenID4VCI) protokollerinin kullanılmasını belirtir. Yakın (yüz yüze) etkileşimler için çerçeve, ISO/IEC 18013-5 standardına uyumu zorunlu kılar. Bu geniş, merkezi olmayan ağdaki güven, **Güvenilir Listeler** sistemi aracılığıyla kurulur ve sürdürülür. Her Üye Devlet, sertifikalı Cüzdan Sağlayıcıları, PID Sağlayıcıları ve diğer nitelikli güven hizmeti sağlayıcılarının listelerini tutacaktır. Bu ulusal listeler, merkezi bir AB Güvenilir Listeler Listesi'nde toplanır ve ekosistemdeki herhangi bir katılımcının başka herhangi bir katılımcının meşruiyetini kriptografik olarak doğrulamasına olanak tanıyan doğrulanabilir bir "güven omurgası" oluşturur. ## 6. Nitelikli Elektronik İmzalar (QES) Kimlik doğrulama, bir hizmete erişim amacıyla kimliği teyit ederken, bir dijital imza farklı, daha derin bir amaca hizmet eder: bir kişinin bir belgenin veya veri setinin içeriğine yasal niyetini yakalar. Avrupa Birliği'nin eIDAS çerçevesi içinde, bunun en yüksek ve yasal olarak en önemli biçimi Nitelikli Elektronik İmza (QES)'dir. ### 6.1 Kimlik Doğrulamanın Ötesinde: Canlı Kimlik Bilgisi İmzaları eIDAS yönetmeliği, her biri bir öncekinin üzerine inşa edilen net bir elektronik imza hiyerarşisi kurar. | **İmza Türü** | **Tanım ve Gereksinimler** | **Tipik Örnekler** | **Yasal Durum** | | ------------------------------------------------------------------------------------------------------------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------- | | **[Basit Elektronik İmza (SES)](https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eSignature+FAQ)** | En temel form, "elektronik formdaki veriler... diğer verilere eklenmiş veya mantıksal olarak ilişkilendirilmiş ve imzalayan tarafından imzalamak için kullanılan" olarak tanımlanır. Belirli teknik gereksinimler yoktur. | Bir e-postanın sonuna bir isim yazmak, bir "kabul ediyorum" kutusunu işaretlemek veya el yazısı bir imzanın taranmış bir görüntüsünü eklemek. | En düşük seviye; genellikle düşük riskli işlemler için kabul edilir, ancak sınırlı kanıt değeri sunar. | | **[Gelişmiş Elektronik İmza (AES)](https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eSignature+FAQ)** | İmzalayana özgü olarak bağlantılı olmalı, onları tanımlayabilmeli, imzalayanın tek kontrolü altındaki veriler kullanılarak oluşturulmalı ve herhangi bir değişikliğin tespit edilebilmesi için imzalanan belgeye bağlı olmalıdır. | Güvenli belge imzalama platformlarında kullanılanlar gibi, açık anahtar altyapısına (PKI) dayalı çoğu dijital imza. | Daha yüksek yasal değer; daha yüksek bir güvence seviyesinin gerekli olduğu çoğu iş işlemi için uygundur. | | **[Nitelikli Elektronik İmza (QES)](https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eSignature+FAQ)** | En yüksek seviye, AES üzerine iki ek gereksinimle inşa edilir: Nitelikli Güven Hizmeti Sağlayıcısı (QTSP) tarafından verilen nitelikli bir sertifikanın kullanılması ve Nitelikli İmza Oluşturma Cihazı (QSCD) ile oluşturulması. | Sertifikalı bir dijital cüzdandan, canlı kimlik doğrulaması ile doğrudan sözleşmeleri veya resmi belgeleri imzalamak. | AB genelinde ıslak imza ile yasal olarak eşdeğerdir; en yüksek kanıt değeri ve yasal etkiye sahiptir. | ### 6.2 AB'de QES'in Yasal Gücü QES'in en önemli sonucu yasal etkisidir. eIDAS Yönetmeliği'nin 25. Maddesi uyarınca, bir Nitelikli Elektronik İmza **ıslak imzanın eşdeğer yasal etkisine sahip olacaktır**. Bu, 27 AB Üye Devletinin tamamında tek tip olarak tanınan güçlü bir yasal karinedir. Bu, QES ile imzalanmış bir belgenin, yalnızca elektronik formda olduğu gerekçesiyle yasal etki veya yasal işlemlerde delil olarak kabul edilebilirliğinin reddedilemeyeceği anlamına gelir. Ulusal yasalar hala hangi tür sözleşmelerin yazılı bir form gerektirdiğini belirlese de, ıslak imzanın yeterli olduğu herhangi bir işlem için QES onun yasal eşdeğeridir. Bu, QES'i yüksek değerli, önemli yasal risk içeren veya yazılı imza için yasal gereklilikleri olan işlemler için altın standart haline getirir, örneğin: - Gayrimenkul alım satım sözleşmeleri. - Yüksek değerli kredi ve kredi sözleşmeleri. - Noter tasdikli belgeler ve resmi mahkeme dosyaları. - İş sözleşmeleri ve kurumsal kararlar. QES kullanımı **inkar edilemezlik** sağlar, yani imzalayanın imzalanan anlaşmadaki katılımını inkar etmesi engellenir, bu da yasal anlaşmazlıklarda kritik bir özelliktir. Bu sınır ötesi yasal tanıma, AB'nin Dijital Tek Pazarı'nın temel bir direğidir ve işletmelerin ve vatandaşların kağıt tabanlı süreçlerin idari yükü ve maliyeti olmaksızın güvenli ve uygun elektronik işlemlere girmelerini sağlar. ### 6.3 QES Oluşturma Süreci QES'in yasal gücüne sahip bir imza oluşturmak, en yüksek düzeyde kimlik güvencesi ve güvenliği sağlayan katı, düzenlenmiş bir süreci içerir. İki temel bileşen zorunludur: 1. **Elektronik İmzalar için Nitelikli Bir Sertifika:** Bu, imza doğrulama verilerini (bir açık anahtar) belirli, adı geçen bir bireye bağlayan bir dijital sertifikadır. Bu sertifika yalnızca bir **Nitelikli Güven Hizmeti Sağlayıcısı (QTSP)** tarafından verilebilir. Bir [QTSP](https://www.corbado.com/glossary/qtsp), ulusal bir denetim organı tarafından sıkı bir denetim ve sertifikasyon sürecinden geçmiş ve AB Güvenilir Listesi'nde yer alan bir kuruluştur. Nitelikli bir sertifika vermeden önce, [QTSP](https://www.corbado.com/glossary/qtsp), başvuru sahibinin kimliğini, genellikle yüz yüze veya eşdeğer uzaktan kimlik belirleme prosedürleri aracılığıyla yüksek bir güvence seviyesine kadar doğrulamalıdır. 2. **Nitelikli İmza Oluşturma Cihazı (QSCD):** Elektronik imzanın kendisi bir QSCD kullanılarak oluşturulmalıdır. Bu, eIDAS'ın katı güvenlik gereksinimlerini karşıladığı onaylanmış, yapılandırılmış bir donanım veya yazılım parçasıdır. QSCD'nin birincil işlevi, imzayı güvenli bir şekilde oluşturmak ve imzalayanın özel imzalama anahtarını korumak, her zaman tek kontrolü altında kalmasını sağlamaktır. QSCD örnekleri arasında sertifikalı donanım güvenlik modülleri (HSM'ler), akıllı kartlar veya bir [QTSP](https://www.corbado.com/glossary/qtsp) tarafından yönetilen güvenli uzaktan imzalama hizmetleri bulunur. EUDI Cüzdanı, ya kendisi bir QSCD olarak sertifikalandırılarak ya da bir QTSP tarafından sağlanan bir uzaktan QSCD hizmetiyle güvenli bir şekilde iletişim kurarak bu işlevselliği entegre etmek için açıkça tasarlanmıştır. Bu entegrasyon, QES'e erişimi demokratikleştirecek ve tam olarak kurulmuş bir EUDI Cüzdanı olan herhangi bir Avrupa vatandaşının sadece birkaç dokunuşla yasal olarak bağlayıcı dijital imzalar oluşturmasına olanak tanıyacak, bu da tamamen dijitalleşmiş, kağıtsız bir yönetim ve ekonomiye doğru önemli bir adımdır. ## 7. Uygulanabilir Öneriler Küresel dijital kimlik manzarası, biyometrik güven ve cihaz merkezli güvenlik gibi temel ilkeler etrafında birleşiyor. Bu gelişen arazide gezinmek, tüm katılımcılardan stratejik eylem gerektirir. Aşağıdaki öneriler, kilit paydaşlara güvenlik, kullanılabilirlik ve birlikte çalışabilirliği dengelemede rehberlik etmek için sunulmuştur. ### 7.1 Cüzdan İhraççıları, Geliştiriciler ve Hizmet Sağlayıcıları İçin - **Hedef Güvence Seviyelerini Analiz Edin:** Geliştirmeden önce, cüzdanınızın veya hizmetinizin ulaşması gereken güvence seviyesini tam olarak belirleyin. Kimlik bilgileri [KYC](https://www.corbado.com/blog/iso-18013-7-mdl-bank-kyc-onboarding) veya yüksek riskli doğrulama gibi düzenlenmiş süreçler için kullanılacaksa, kimlik kanıtlama ve kimlik doğrulama önlemlerinin en başından itibaren bu özel yasal ve uyumluluk gereksinimlerini karşılayacak kadar sağlam olduğundan emin olun. - **Cüzdan Benimsemesine Öncelik Verin:** En güvenli cüzdan, kimse kullanmıyorsa işe yaramaz. Kullanıcıları cüzdanlarını yüklemeye ve sağlamaya teşvik eden basit, düşük sürtünmeli katılım akışları tasarlayın. Bir cüzdan ekosistemi üzerine katma değerli hizmetler inşa etmek, yalnızca hedef kullanıcı tabanı arasında kritik bir benimseme kitlesi varsa mümkündür. - **Esnek Bir Mimari Benimseyin:** Kimlik ve kimlik doğrulama platformlarını, hem ayrıntılı (NIST tarzı) hem de birleşik (eIDAS tarzı) güvence modellerine eşlenebilen bir iç mimariyle tasarlayın. Bu, tamamen ayrı ürün yığınları gerektirmeden küresel pazarlara hizmet verme yeteneği sağlar. - **Temel Güven Teknolojilerine Yatırım Yapın:** Sertifikalı canlılık tespiti ve yüksek doğruluklu biyometrik eşleştirme artık isteğe bağlı özellikler değildir; herhangi bir yüksek güvenceli kimlik teklifi için temel bileşenlerdir. Sunum saldırısı tespiti için ISO/IEC 30107-3 gibi standartlarla uyumlu teknolojilere yatırım yapmak kritiktir. - **"Yeniden Kayıt Vergisi" için Tasarım Yapın:** Yeni bir cihaza yeniden kaydolmanın bir hata değil, bir güvenlik özelliği olduğunu kabul edin. Biyometrik bağlama sürecinin bütünlüğünü korurken sürtünmeyi en aza indiren açık, kullanıcı dostu ve son derece güvenli katılım ve yeniden kayıt yolculukları tasarlayın. - **Tüm Yaşam Döngüsünü Güvence Altına Alın:** Yalnızca katılıma değil, aynı zamanda güvenli yedekleme ve kurtarma mekanizmalarına da odaklanın. EUDI Cüzdanı ve diğer cihaz merkezli modeller yaygınlaştıkça, kullanıcı dostu ancak güvenli kurtarma süreçleri (ör. tohum ifadelerine veya ihraççı tarafından yönetilen protokollere dayalı) önemli bir ayırt edici olacaktır. - **Birlikte Çalışabilir Geri Dönüş Mekanizmaları ile Cüzdan Seviye Yükseltmeyi Uygulayın:** Cüzdan tabanlı kimlik doğrulamasını (ör. [KYC](https://www.corbado.com/blog/iso-18013-7-mdl-bank-kyc-onboarding) için) entegre ederken, mevcut olduğunda [Dijital Kimlik Bilgileri API](https://www.corbado.com/tr/blog/digital-credentials-api)'si gibi yeni ortaya çıkan standartları kullanın. Ancak, API'yi henüz desteklemeyebilecek platformlar ve cüzdanlar arasında geniş uyumluluk sağlamak için, QR kodu veya derin bağlantı tabanlı akışlar (ör. [OpenID4VP](https://www.corbado.com/glossary/open-id-4-vp) kullanarak) gibi sağlam geri dönüş mekanizmaları uygulayın. Bu, tutarlı bir kullanıcı deneyimi ve daha geniş bir erişim sağlar. - **Hesapları Passkey'ler ile Koruyun:** Kullanıcı meta verilerini veya kimlik bilgilerini yönetmek için çevrimiçi hesaplar kullanan üçüncü taraf cüzdanlar için, bu hesaplar kritik bir güvenlik sınırı haline gelir. Mümkün olan en güçlü, kimlik avına dayanıklı kimlik doğrulama yöntemleriyle, örneğin [passkey'ler](https://www.corbado.com/tr/blog/tamamen-sifresiz-sisteme-nasil-gecilir) (FIDO2) ile korunmalıdırlar. Bu, kullanıcı verilerini tehlikeye atabilecek veya sahte yeniden kayıt faaliyetlerini kolaylaştırabilecek hesap ele geçirme saldırılarını önler. ### 7.2 Güvenen Taraflar (İşletmeler ve Hükümetler) İçin - **Titiz Risk Değerlendirmeleri Yapın:** Güvenceye tek tip bir yaklaşım benimsemeyin. Her bir hizmet veya işlem için uygun [IAL](https://www.corbado.com/glossary/ial) ve [AAL](https://www.corbado.com/faq/authenticator-assurance-levels-aal-digital-identity) seviyesini belirlemek için ABD'deki [DIRA](https://www.corbado.com/glossary/dira) süreci gibi risk değerlendirme çerçevelerini kullanın. Düşük riskli etkileşimleri aşırı güvence altına almak gereksiz sürtünme yaratırken, yüksek riskli olanları yetersiz güvence altına almak dolandırıcılığa davetiye çıkarır. - **Hesapları Passkey'ler ile Koruyun:** Yüksek güvenceli bir kimlik doğrulaması (seviye yükseltme) için bir dijital cüzdan kullandıktan sonra, kullanıcı hesabının onaylanmış bir kimlik durumu vardır. Bu yüksek değerli hesabı kimlik avına karşı güvence altına almak çok önemlidir. Sonraki girişler için passkey kullanımını zorunlu kılın veya şiddetle teşvik edin, çünkü bunlar kimlik avına dayanıklı MFA sağlar ve doğrulanmış hesabın daha zayıf kimlik doğrulama yöntemleriyle tehlikeye atılmamasını sağlar. - **Çoklu Cüzdan Dünyasına Hazırlanın:** Gelecek tek bir cüzdan değil, çok sayıda cüzdandır. İşletmeler ve devlet kurumları, birlikte çalışabilir ve standartlara dayalı doğrulayıcı teknolojisine ve [altyapısına](https://www.corbado.com/passkeys-for-critical-infrastructure) yatırım yapmalıdır. Bu, EUDI Cüzdanı, yerel işletim sistemi cüzdanları ve diğer üçüncü taraf çözümleri de dahil olmak üzere geniş bir cüzdan yelpazesinden kimlik bilgilerini kabul etme yeteneğini sağlamak için [OpenID4VP](https://www.corbado.com/glossary/open-id-4-vp) ve [ISO 18013-5](https://www.corbado.com/glossary/iso-18013-5) gibi protokolleri desteklemek anlamına gelir. - **Yüksek Güvenceli Senaryolar için Cihaz Bağlama Standartlarını İzleyin:** Belirli bir fiziksel cihazı tanımlamaya dayanan risk modelleri için (özellikle senkronize edilmiş passkey'lerle), cihaz bağlama güven sinyalleri için WebAuthn standartlarının gelişimini yakından izleyin. İlk teklifler durdurulmuş olsa da, Güvenen Tarafların güvenilir bir cihaz ile yeni senkronize edilmiş bir cihaz arasında ayrım yapmasına olanak tanıyan ve kullanıcı rahatlığından ödün vermeden daha ayrıntılı risk değerlendirmesi sağlayan yeni çözümler geliştirilmektedir. - **Ekrana Değil, Kriptoya Güvenin:** Çalışanları eğitin ve süreçleri, bir kullanıcının telefon ekranındaki bir kimlik bilgisinin görsel denetimine değil, uyumlu bir okuyucudan gelen kriptografik doğrulamaya dayanacak şekilde tasarlayın. Görsel denetim, sahtekarlığa ve dolandırıcılığa karşı son derece hassastır. ### 7.3 Politika Yapıcılar İçin - **Uluslararası İşbirliğini Teşvik Edin:** Parçalanmayı azaltmak ve dijital güven için ortak bir dili teşvik etmek amacıyla uluslararası standart kuruluşlarına (ISO ve W3C gibi) destek vermeye ve katılmaya devam edin. Mümkün olan yerlerde tanımları ve gereksinimleri uyumlu hale getirmek, ticaret ve yenilik önündeki engelleri azaltacaktır. - **Çoklu Cihaz Zorluğunu Ele Alın:** Çoklu cihaz yönetiminin ortaya çıkardığı önemli kullanılabilirlik ve güvenlik zorluklarını kabul edin. "Tek kontrol" ilkesinden ödün vermeyen, güvenli, kullanıcı merkezli kimlik bilgisi kurtarma ve senkronizasyonu için standartların ve çerçevelerin geliştirilmesini teşvik edin. - **Gizlilik ve Güvenliği Dengeleyin:** Biyometrik veriler yüksek güvenceli kimliğin temel taşı haline geldikçe, yasal ve düzenleyici çerçevelerin GDPR gibi ilkelerle uyumlu olarak bu hassas bilgiler için sağlam gizlilik korumaları sağladığından emin olun. Bu stratejileri benimseyerek, paydaşlar yalnızca mevcut ortamın karmaşıklıklarında gezinmekle kalmaz, aynı zamanda gelecek için daha güvenli, birlikte çalışabilir ve kullanıcı merkezli bir dijital kimlik ekosistemi oluşturmaya aktif olarak katkıda bulunabilirler. ## 8. Corbado Nasıl Yardımcı Olabilir? Geleceğin dijital kimliği, cihazlardaki güvenli donanım öğelerinin bir kullanıcının kimliğini kanıtlamak için kriptografik sorguları imzaladığı bir makineden makineye paradigmasıdır. İnsan tarafından hatırlanabilen sırlardan donanım destekli güvene bu geçiş, özellikle kimlik avı olmak üzere tüm saldırı sınıflarını ortadan kaldırmak için temeldir. Corbado bu geçişte uzmanlaşmıştır. Cüzdan sağlayıcılarından düzenlenmiş güvenen taraflara kadar işletmelerin gerçekten şifresiz bir geleceğe yolculuklarını hızlandırmalarına yardımcı oluyoruz. Platformumuz şunları yapmak için tasarlanmıştır: - **Zeka ile Passkey Benimsemesini Artırın:** Sadece passkey sunmak yeterli değildir; benimsemeyi artırmak için kullanıcı deneyiminin sorunsuz olması gerekir. Çözümümüzün temel bir bileşeni olan **Passkey Intelligence**, kimlik doğrulama akışlarını optimize eden akıllı bir mantık katmanıdır. Kafa karıştırıcı [QR kod](https://www.corbado.com/tr/blog/qr-kod-giris-kimlik-dogrulama) döngüleri veya yanlış cihazda passkey istemleri gibi yaygın çıkmazları önlemek için kullanıcının bağlamını—cihaz, tarayıcı ve geçmiş—analiz eder. Kullanıcıları akıllıca en başarılı yola yönlendirerek, passkey oluşturma ve kullanım oranlarını önemli ölçüde artırır, böylece yüksek değerli, kimliği doğrulanmış hesapların hem güvenli hem de sürtünmesiz bir kimlik doğrulama yöntemiyle korunmasını sağlar. - **Kimlik Tespiti ve Kurtarmayı Kolaylaştırın:** Corbado'nun çözümü, mevcut kimlik doğrulama (IDV) satıcıları için yerel entegrasyonlar ve eklentiler aracılığıyla sağlam [hesap kurtarma](https://www.corbado.com/tr/blog/tamamen-sifresiz-sisteme-nasil-gecilir) ve kimlik tespiti süreçlerini destekler. - **Dijital Kimlik Bilgilerini Doğrulayın:** İleriye dönük olarak, platformumuz, düzenlenmiş ortamlarda gereken en yüksek güvence seviyelerini karşılamanıza olanak tanıyan [Dijital Kimlik Bilgileri API](https://www.corbado.com/tr/blog/digital-credentials-api)'si gibi yeni ortaya çıkan standartları kullanarak dijital kimlik bilgilerinin doğrulanmasını yerel olarak desteklemek üzere oluşturulmuştur. İster güvenli kimlik doğrulama sunmak isteyen bir cüzdan sağlayıcısı olun, ister size sunulan kimlik bilgilerine güvenmesi gereken bir güvenen taraf olun, Corbado modern, kimlik avına dayanıklı kimlik standartları üzerine inşa etmek için temel [altyapıyı](https://www.corbado.com/passkeys-for-critical-infrastructure) sağlar. ## 9. Sonuç AB, ABD ve Avustralya'nın dijital kimlik çerçeveleri üzerinden yaptığımız yolculuk, güvenin temel ilkeleri konusunda net bir küresel fikir birliğini ortaya koyuyor. Tüm büyük Batı çerçeveleri, katmanlı, risk tabanlı bir yaklaşımı benimsiyor ve yüksek güvenceli kimlik için altın standart olarak biyometrik doğrulamayı —"canlılıktan belgeye" kontrolünü— benimsemiş durumda. Ancak, bu güvene ulaşma yolları farklılaşıyor. ABD modeli ayrıntılı esneklik sunarken, AB'nin eIDAS çerçevesi birleşik birlikte çalışabilirliği savunuyor ve Avustralya'nın sistemi bu iki felsefe arasında yer alıyor. Sonuç olarak, dijital cüzdanların başarısı kullanıcılar, güvenen taraflar ve [hükümetler](https://www.corbado.com/passkeys-for-public-sector) arasındaki bir güven ağına bağlıdır. İncelediğimiz çerçeveler bu yeni dönemin planlarıdır. Şimdi zorluk, bunların üzerine inşa ederek sadece güvenli ve birlikte çalışabilir değil, aynı zamanda her birey için gerçekten güçlendirici bir kimlik ekosistemi yaratmaktır.