Sanal Kimlik – 2

İlk yazı için buraya tıklayabilirsiniz.

Bir önceki yazıya açıklık getirmek için devamını yazıyorum. Fikrin ortaya çıkışının temel sebebi kimlikleri sadece e-mail aracılığıyla kontrol edebilmemizdi. E-mail olmazsa telefon numarası ya da başka bir şey. Oysa belli standartları yakalamak için herkese benzersiz birer numara verilmeli.

T.C. Kimlik numarası bu işi görüyor ama güvelik sebeplerinden her sitede bu numaranın kullanılıp, saklanması pek sağlıklı olmaz. İşte bu noktada Sanal Kimlik projesi devreye giriyor. Bir topluluk(Vakıf/Dernek) devletin kimlik veritabanına erişme hakkı alır. Kullanıcı önce normal üye olur gibi buraya üye olur. Karşılığında kendisine şifrelenmiş bir id numarası verilir. Burada kullanıcının bu numarayı çok iyi saklaması gerektiğinin bilincinde olması gerekiyor. Kullanıcı sanal kimliğini aldıktan sonra normal şekilde sitelere yine üye olabilir. Ama sertifikalanmış sitelere yani sanal kimlik ile üyelik alan sitelere üye olmak için bu numaraya ihtiyacı olacaktır. Burada numara kullanıcının hesabıyla ilişkilendirilir. Diğer ayrıntılar istenmez, mail sorulmaz kullanıcıya. Numarası alınır ve doğrulu Sanal Kimlik sunucusu üzerinde kontrol edilir. Bakın tekrar ediyorum sunucudan kişi bilgileri alınmıyor. Sadece numara kontrol ediliyor. Güvenlik açısından numarayı kullanmaya başlayan site sunucuya bir kayıt girer. Bu çok basit bir 1 veya 0 verisidir. 1 se kullanıyorum der. Sertifikalı tüm siteler bu şekilde listelenir kullanıcı herhangi birini kullanmaya başlamadan önce değer 0’dır.

Site kimliği onayladıktan sonra normal şekilde kullanıcı üye olur işlemlerine devam eder. Hesabıyla ilişkili bir numarası vardır. Devlet başka bir kullanıcının ya da site yönetiminin isteği olmadıkça hangi kullanıcı hangi sitede ne yazıyor öğrenemez. Sanal Kimlik kuruluşu tamamen bağımsız olmalıdır. Burada devlette kendi işlemlerinde numara doğrulaması yapabilir tıpkı diğer siteler gibi bu kimliği kullanabilir ama zaten esas kimlik bilgilerine sahip olduğu için böyle bir şey yapmasına gerek yoktur. Kullanıcı yanlış bir işlem yaptığında site yönetimi kullanıcı adıyla birlikte id numarasını engeller. Böylelikle bu kullanıcı bir daha kendi kimliğiyle bu siteye üye olamaz. Herhangi bir suç işlendiğinde resmi makamlar id bilgilerini topluluktan isteyebilir. Toplulukta bu bilgileri verir ama sadece resmi istek olduğunda.

Burada bu kimlik sunucusunun güvenliği önemli. Bunu mutlaka profesyonel yazılımcılar yapmalı ve şifrecilerin desteği sağlanmalı. Tam güvenlik sağlandıktan sonra iş ulusal sitelerden çıkıp uluslar arası sitelerde bu kimliği kullanmaya gelir. Devam edelim;

Dünya çapındaki sitelere üye olurken yine kullanıcı normal şekilde üye olur ama bu sefer id numarasının yanında ulusal kodda kullanılır. Bu işlemleri yürütmesi ve diğer ülkelerde sanal kimliğin yaygınlaşması için ayrı bir topluluk kurulur. Bu topluluk diğer ülkelerin sanal kimlik uygulamasına geçmek için gerekli alt yapıya(hukuki ve teknik) sahip olup olmadığını kontrol eder. Eğer sahipse ulusal bir kod ilan eder ve o ülke vatandaşlarıda bu sitelere üye olabilir. Elbette kendi ülkelerinde de sanal kimlik numarası veren bir topluluğa ve bu topluluğun bağımsız olarak çalışmasına olanak veren yasalara ihtiyaçları vardır.

Son olarak tekrardan belirtmek istiyorum. Sanal Kimlik bir fişleme aracı değil tamamen kimlik doğrulamada kullanılan bir güvenlik protokolüdür. Ne siteler kullanıcının kimlik bilgilerine ulaşabilir ne de devlet kullanıcıların takma isimlerine ulaşabilir. Bu yazıyı görselle desteklemek isterim ama elimde gerekli araç yok. Yardımcı olabilecek olanlarla bir ara iletişime geçerim.

Bir sonraki yazı için tıklayınız.