Kriptografik Varsayımlar

Programlanabilir Ödeme Taahhüdü (PÖT) platformunun güvenliği, belirli kriptografik varsayımlar ve bu varsayımlara dayalı olarak tanımlanmış sorumluluk ayrımları üzerine inşa edilmiştir. Bu varsayımlar, yalnızca teknik güvenliği değil; aynı zamanda hukuki geçerlilik, denetlenebilirlik ve regülasyon uyumunu da kapsayacak şekilde ele alınmıştır.

Kullanıcı İradesinin Kriptografik İspatı

(Cryptographic Proof of User Intent)

PÖT platformunda gerçekleştirilen tüm kritik işlemler, kullanıcının açık iradesine dayanır. Bu irade, kullanıcıya ait KEK anahtarları ile üretilen dijital imzalar (KEK signature) aracılığıyla kriptografik olarak ispatlanır. KEK imzası, yalnızca “kimin işlem yaptığına” değil; “hangi içeriğin, hangi bağlamda ve hangi koşullar altında onaylandığına” dair kanıt üretir.

Bu yaklaşım, klasik kimlik doğrulama yöntemlerinden farklıdır. Parola, OTP veya biyometrik doğrulama gibi yöntemler, kullanıcının kimliğini doğrularken; imzalanan içeriğin sonradan inkâr edilemezliğini (non-repudiation) sağlamada sınırlı kalır. KEK imzası ise, belirli bir mesajın kullanıcı tarafından bilinçli olarak imzalandığını teknik olarak kanıtlar.

İmza Doğrulama Yetkisinin Merkezileştirilmesi

PÖT mimarisinde imza doğrulama yetkisi, bankalar arasında dağıtılmamış; merkezi ve tarafsız bir otorite olarak TCMB bünyesinde konumlandırılmıştır. Bankalar, bir imzanın geçerliliği konusunda nihai kararı vermez; yalnızca TCMB’den alınan doğrulama sonucuna dayanarak kendi iş kurallarını uygular.

Bu tasarım kararı, bankalar arasında imza doğrulama yöntemlerinin veya yorumlarının farklılaşmasını engeller. Regülasyon perspektifinden bakıldığında, imza doğrulamanın tekil bir otorite tarafından yapılması; hukuki tutarlılık, standartlaşma ve denetlenebilirlik açısından kritik öneme sahiptir.

Nonce ve Süre Aşımı Mekanizmaları

(Nonce & Expiry)

KEK imzası ile imzalanan her mesaj, benzersiz bir sayı (nonce) ve geçerlilik süresi (expiry) içerir. Nonce, her imzalı mesajın tekil olmasını sağlar; aynı içeriğin tekrar kullanılarak sistemin yanıltılmasını engeller. Süre aşımı ise, imzalanan mesajın belirli bir zaman aralığı dışında geçersiz sayılmasını garanti eder.

Bu iki mekanizma birlikte kullanılarak, tekrar saldırıları (replay attacks) etkili şekilde önlenir. Regülasyon açısından bu yaklaşım, eski veya bağlamından koparılmış onayların sonradan kötüye kullanılmasını engelleyerek hukuki belirsizlikleri azaltır.

Mesaj Bütünlüğü ve Bağlam Doğrulaması

(Message Integrity & Context Validation)

İmzalanan her mesaj, yalnızca imza doğrulamasından geçirilmez; aynı zamanda içerik ve bağlam açısından da kontrol edilir. Bu kontroller, bankaların kendi alanlarında (on-prem domain) yer alan orkestrasyon ve anti-korozyon katmanlarında gerçekleştirilir.

Bu kapsamda doğrulanan unsurlar şunları içerir:

• Mesaj türünün (type) beklenen işlemle uyumlu olması

• Mesaj içeriğindeki potId, tutar ve hedef adres gibi alanların tutarlılığı

• İlgili PÖT’ün mevcut durumunun (state) işlemle uyumlu olması

• Nonce’un daha önce kullanılmamış olması

• Süre aşımının dolmamış olması

Bu çok katmanlı doğrulama yaklaşımı, tek başına kriptografik doğrulamanın ötesine geçerek operasyonel güvenliği güçlendirir.

Hashleme ve Tek Yönlü Fonksiyonlar

(One-Way Hash Functions)

PÖT platformunda, zincir üzerinde tutulan veriler için tek yönlü kriptografik özet fonksiyonları (one-way hash functions) kullanılır. Kimlik referansları, talep eden banka bilgileri veya benzeri hassas veriler, geri döndürülemez şekilde hash’lenerek zincire yazılır.

Bu varsayım, zincir üzerindeki verilerin herkese açık olmasına rağmen, kişisel veya kurumsal hassas bilgilerin ifşa edilmemesini sağlar. Aynı zamanda, regülasyon kapsamında paylaşılması gereken zincir verilerinin güvenli biçimde denetlenebilmesine olanak tanır.

Kriptografi ve Hukuki Geçerlilik İlişkisi

PÖT platformunda kullanılan kriptografik mekanizmalar, yalnızca teknik güvenlik sağlamak amacıyla değil; hukuki geçerlilik ve ispat yükümlülüklerini desteklemek amacıyla konumlandırılmıştır. KEK imzası, zincir üzerindeki olay kayıtları (event logs) ve TCMB doğrulama çıktıları birlikte değerlendirildiğinde, bir PÖT işlemine ilişkin uçtan uca bir ispat zinciri (chain of evidence) oluşturur.

Bu ispat zinciri, regülasyon denetimleri, ihtilaf çözümü ve hukuki incelemelerde kullanılabilecek nitelikte, teknik olarak doğrulanabilir bir temel sunar.