İçeriğe geç
Tüm yazılar

Dijital Delilde Bütünlük: Hash, Zaman Damgası ve Muhafaza Zinciri

Vedat ELEALMAK — Adli Bilişim Bilirkişisi

Dijital delil bütünlüğü, bir verinin elde edildiği andan mahkemede değerlendirildiği ana kadar değişmediğinin teknik olarak kanıtlanabilmesidir. Kağıt bir belgenin aksine dijital veri, iz bırakmadan ve saniyeler içinde değiştirilebilir; bu yüzden dijital delilin güvenilirliği içeriğinden önce bütünlük zincirinin sağlamlığıyla ölçülür. Bu zincirin üç teknik halkası vardır: kriptografik hash, zaman damgası ve muhafaza zinciri kaydı.

Hash nedir ve neden delilin “parmak izi” sayılır?

Hash (kriptografik özet), bir dosyanın tamamının matematiksel olarak tek bir sabit uzunluklu değere indirgenmesidir. SHA-256 algoritmasıyla alınan bir hash, 64 karakterlik bir dizidir ve şu iki özelliği taşır:

  1. Aynı veri her zaman aynı hash’i üretir. Dosya bir bit bile değişirse hash tamamen farklılaşır.
  2. Hash’ten veriye geri dönülemez ve aynı hash’i üreten ikinci bir dosya üretmek pratikte imkânsızdır.

Bu iki özellik sayesinde hash, delilin parmak izi işlevi görür. Uygulama şöyledir: delil (örneğin bir telefon imajı veya ses kaydı) elde edildiği anda hash değeri hesaplanır ve tutanağa yazılır. İnceleme, delilin kopyası üzerinde yapılır; işin sonunda kopyanın hash’i yeniden hesaplanır. İki değer aynıysa, incelenen verinin elde edilen veriyle bit düzeyinde özdeş olduğu kanıtlanmış olur.

Pratik uyarı: Eski MD5 ve SHA-1 algoritmalarında çakışma (collision) üretilebildiği gösterilmiştir. Güncel incelemelerde SHA-256 tercih edilmeli; eski dosyalarda MD5 varsa, mümkünse SHA-256 ile birlikte doğrulanmalıdır.

Zaman damgası: “Ne zaman” sorusunun kanıtı

Hash, verinin ne olduğunu sabitler; zaman damgası ise ne zaman var olduğunu. İki farklı düzeyde karşımıza çıkar:

Dosya sistemi zamanları (üstveri): Her dosyanın oluşturulma, değiştirilme ve erişim zamanları vardır. Bunlar incelemede değerlidir ancak tek başına kesin kanıt değildir; cihaz saati yanlış olabilir veya üstveri sonradan değiştirilmiş olabilir. İyi bir rapor, dosya zamanlarını cihaz saat ayarı ve diğer kayıtlarla (şebeke kayıtları, sunucu logları) çapraz doğrular.

Nitelikli elektronik zaman damgası: 5070 sayılı Elektronik İmza Kanunu kapsamında yetkili hizmet sağlayıcılardan alınan zaman damgası, bir verinin belirli bir andan önce var olduğunu üçüncü taraf güvencesiyle kanıtlar. Delil niteliği taşıyabilecek bir kaydı (örneğin ekran görüntüsü, sözleşme dosyası) ileride kullanmak üzere saklayacak tarafların, hash + nitelikli zaman damgası kombinasyonunu erken aşamada uygulaması, ileride “bu dosya sonradan oluşturuldu” itirazını büyük ölçüde kapatır.

Muhafaza zinciri: Delilin yolculuğunun kaydı

Muhafaza zinciri (chain of custody), delilin elde edilmesinden mahkemeye sunulmasına kadar kimin, ne zaman, hangi amaçla ve hangi işlemi yaparak delile temas ettiğinin kesintisiz kaydıdır. Sağlam bir muhafaza zinciri kaydında şunlar bulunur:

  • Delilin elde edildiği yer, tarih-saat ve elde eden kişi
  • Elde etme anında hesaplanan hash değerleri
  • Her devir-teslimin tarafları ve zamanı
  • Yapılan her işlem (imaj alma, kopyalama, inceleme) ve kullanılan araçlar
  • Delilin saklandığı ortam ve erişim koşulları

Zincirdeki bir kopukluk delili otomatik olarak geçersiz kılmaz; ancak karşı tarafa güçlü bir itiraz zemini verir ve delilin ispat gücünü zayıflatır. Tersinden bakılırsa: karşı tarafın sunduğu dijital delilde zincir belgelenmemişse, bu eksikliğin teknik raporla ortaya konması etkili bir savunma aracıdır.

İnceleme pratiğinde bütünlük nasıl korunur?

Kendi çalışmalarımda uyguladığım temel kurallar şunlardır:

  1. Asla orijinal üzerinde çalışılmaz. İnceleme, hash doğrulamalı birebir kopya (adli imaj) üzerinde yapılır.
  2. Her teslim alma tutanaklıdır. Dosya hangi kanaldan gelirse gelsin, alındığı anda hash hesaplanır ve teslim kaydına işlenir.
  3. Salt okunur erişim esastır. Mümkün olan her ortamda yazma koruması kullanılır; ses/görüntü iyileştirme gibi işlemler yalnızca kopya üzerinde yapılır ve raporda beyan edilir.
  4. Rapor tekrarlanabilirlik hedefler. Kullanılan araç ve sürümler, uygulanan adımlar ve ara çıktılar; başka bir uzmanın aynı sonuca ulaşabileceği ayrıntıda yazılır.

Avukatlar ve taraflar için kontrol listesi

  1. Dosyadaki dijital delilin hash değeri tutanakta var mı? Hangi algoritmayla alınmış?
  2. İnceleme orijinal üzerinde mi, imaj üzerinde mi yapılmış?
  3. Delilin elde edilmesinden incelemeye kadar geçen sürede kimlerin eriştiği belgelenmiş mi?
  4. Rapor, inceleme sonrası hash doğrulamasını içeriyor mu?
  5. Zaman iddiaları tek kaynağa mı dayanıyor, çapraz doğrulama yapılmış mı?

Sonuç

Dijital delilde güven; hash ile ne’nin, zaman damgası ile ne zaman’ın, muhafaza zinciri ile kimlerin elinden geçtiğinin kanıtlanmasıyla kurulur. Bu üç halkadan herhangi biri eksikse, delilin içeriği ne kadar çarpıcı olursa olsun güvenilirliği tartışmaya açıktır. Dosyanızdaki dijital delilin bütünlük yönünden incelenmesi veya mevcut bir incelemenin bu ölçütlerle denetlenmesi için iletişim sayfasından ulaşabilirsiniz.

Dosyanızı iletin; kapsam ve süre çıkaralım.

Dava dosyanızdaki dijital delil, HTS kaydı veya ses kaydı hakkında kısa bir ön değerlendirme için iletişime geçin. İlk değerlendirme ücretsizdir ve yükümlülük doğurmaz.