E-imzanın iş hayatına uyumu hakkında

E-imza (digital signature) bir kriptografi teknolojisi. Daha önceki yazılarımda birkaç defa bahsettiğim bir konu; ayrıca BThaber okuyucularının iyi bildiklerini sandığım için detayları geçip şu soruyu sorayım: Niçin iş hayatına (ve dolayısıyla günlük hayatımıza) yoğun bir şekilde giremedi?
Bu yazıyı yazarken Kabataş 50’ye yakın müşterinin oturduğu bir kahvecideydim; üşenmedim, çoğuna sordum: E-imza nedir ve e-imzanız var mı? Bir kişi bile evet demedi. Cep telefonunuz var mı desem yüzde 90; arabanız var mı desem yüzde 30; kalp piliniz var mı diye bile sorsam (!) hiç olmazsa yüzde 5 evet cevabı alacağımı sanıyorum. Ama kahve müdavimleri olarak (ben hariç) e-imzamız yok. Peki niçin?
Cevap şu olmamalı: İnsanlarımız güvenli olduğunu anlamıyor ve bilmiyor. Nasıl çalıştığını anlamadığımız o kadar çok teknolojik ürün kullanıyoruz ki! Katalitik konverter nasıl çalışıyor bilmeden çevre dostu arabamızı sürüp, Viterbi algoritması nedir bilmeden cep telefonlarımızı gayet iyi kullanıyoruz. E-imzayı kullanabilmek için RSA algoritmasını bilmemiz de gerekmemeli.
1976’da Stanford & MIT’de genç 5 araştırmacının bulduğu bu teknolojiyi 1992 yılında Bank of America’da uygulamaya çalışan bir ekibin içinde oldum. 5 sene çalıştıktan sonra, banka e-imzaya geçmekten vazgeçti. Emeğimiz boşa gitti; maaşımızı aldık, problem o değil. Duygusal olarak çok bağlandığımız bir metodun milyonlarca banka müşterisi tarafında kullanılamayacak olmasına üzüldük. O zaman saf bir mühendislik yaklaşımım dolayısıyla anlamadığım bu kararı şimdi daha iyi anladığımı düşünüyorum.
E-imza kurucu, uygulayıcı ve savunucularının anlamadığı şey şu sanırım: E-imza söz verdiği hiç bir özelliği teslim edemedi. Çevrimdışı çalışabilen bir teknik olacaktı; sertifika iptal problemi yüzünden olamadı. Kolaylıkla büyüyebilen bir mimarisi yoktu. Sertifika ağaçları üzerindeki zayıf dalların kabul edilemez riskler yarattığı anlaşıldı. Üzerine kurulduğu iş modelleri olağanüstü mantıksız (transaction-based) ve kabul edilemez şeylerdi.
Sonuç olarak e-imza (hemen hemen tüm güvenlik teknolojileri gibi) ya kısa süreli veya dar alanda başarılı olabilirdi. Öyle de oldu zaten: https harika çalışıyor; akademisyenler ve cypherpunkçıların PGPsi de öyle. Hepsi bundan ibaret.