Blokzincirde Kimlik Tespiti

Yazar: Av. Burcu HEPGÜVEN

Giriş

Blokzincir teknolojisi, merkeziyetsiz yapısı ve şeffaflık ilkesi sayesinde finans, sağlık, kamu yönetimi ve hukuk gibi birçok alanda dönüştürücü etkilere yol açmaktadır. Ancak bu teknolojinin kullanım alanı genişledikçe, kimlik tespiti ve doğrulama süreçleri daha kritik hale gelmektedir. Özellikle kara para aklama ile mücadele, terörizmin finansmanının önlenmesi ve kişisel verilerin korunması gibi alanlarda, blokzincir tabanlı sistemlerin hukuka uygun kimlik doğrulama yöntemleri geliştirmesi gerekmektedir.

Blokzincirde Teknolojisinin Temel İşleyişi

Blokzincir teknolojisi, web üzerinde özel olarak birbirine bağlanan her makinenin diğerleri ile şifreli olarak iletişime geçmesine, yapılan herhangi bir işlem bilgisinin makineler arasında paylaşılmasına, makinelerin kendi aralarında anlık olarak işlemin yapıldığını teyit etmelerine, her işlemin ağdaki tüm makineler tarafından şeffaf bir şekilde tutulmasına ve görülmesine imkan vermektedir.[1] Blokzincir teknolojisinin bu özellikleri, bireysel işlem kayıtlarının depolandığı blokların birbiriyle zincir şeklinde bağlanması ve bu zincirin merkezi bir otorite olmaksızın dağıtık bir ağ yapısı üzerinde saklanması esasına dayanmaktadır. Bu yapı sayesinde blokzincir, merkezi olmayan bir veri tabanı modeli sunarak işlemlerin güvenliğini arttırmaktadır.[2]

Blokzincir sistemi, düğüm (node) olarak adlandırılan çok sayıda kişisel makinenin bir blokzincir ağına katılımıyla işlerlik kazanmaktadır. Bu sistemde, her bir düğüm blokzincirin tam bir kopyasını barındırmakta ve taraflar arasında gerçekleştirilen her işlem, ağdaki tüm düğümlere yayılmaktadır. İşlemler, bir zaman damgasıyla ve şifrelenmiş biçimde bloklara kaydedilmektedir. Bu kayıt işleminin gerçekleşebilmesi için, ilgili blokzincir sistemine tanımlı mutabakat mekanizması ile söz konusu verinin doğrulanması gerekmektedir.[3] Bu şekilde sistem, merkezi bir sunucunun ya da otoritenin müdahalesine gerek duyulmaksızın, işlemlerin doğrudan kullanıcılar arasında gerçekleşmesine olanak tanımaktadır.

Bir bloğun kapasitesi dolduğunda veya belli bir süre geçtiğinde[4] yeni bir blok üretilmekte ve önceki bloğa ait özet değer (hash), yeni bloğa referans olarak eklenmektedir. Blokların üretimi, “madenci” olarak adlandırılan düğümler tarafından gerçekleştirilmektedir. Madenciler, çeşitli mutabakat sistemleri[5] ile yeni bir blok eklemek için gerekli olan karmaşık matematiksel problemleri çözmektedir. Üretilen özet değer, ağdaki diğer tüm düğümlere gönderilmekte ve tüm kullanıcılar tarafından doğruluğu onaylandıktan sonra blokzincire eklenmektedir. Bu süreç, zincir halkaları gibi birbirine bağlı sonsuz sayıda bloğun oluşumuna imkan tanımaktadır. Ayrıca bir bloğa kaydedilen verilere karşılık gelen özet değer, bir sonraki bloğun girdilerinden biri haline gelerek sistemin bütünlüğü ve güvenliği temin edilmektedir.

Önceki blokta yer alan bir işlemin değiştirilmesi halinde, bu değişiklik özet değere yansıyacak ve bu özet değer bir sonraki bloğun girdilerinden biri olduğundan söz konusu değişiklik silsile halinde ilerleyecektir. Bloklarda yer alan tüm işlemler ağdaki tüm kullanıcılar tarafından görülebildiği ve onaylanması gerektiği için herhangi bir blokta yer alan veride yapılan bir değişiklik herkes tarafından kolaylıkla fark edilebilecektir. Bu özelliği sayesinde blokzincir teknolojisi şeffaf ve güvenilir kabul edilmektedir. Ancak her ne kadar blokzincir üzerindeki verileri değiştirmek teorik olarak mümkün olsa da pratikte blokzincirin dağıtık yapısı nedeniyle bunu gerçekleştirmek oldukça zordur. Bu bakımdan blokzincir sistemine kaydedilen verilerin geri dönülmez ve değiştirilemez olduğu kabul edilmektedir.[6]

Psödonim bir sistem olarak tasarlanan blokzincir sistemi açık ve şeffaf olmakla birlikte kullanılan adreslerin bağlı olduğu kişilerin kimlik bilgileri paylaşılmamaktadır. Blokzincir ağında yer alan her kullanıcının, dijital imzalama ve doğrulama için açık anahtar (public key) ve özel anahtar (private key) olmak üzere asimetrik şifreleme yöntemiyle şifrelenmiş iki anahtarı bulunmakta ve bu anahtarların birbirlerini tamamladıkları ifade edilmektedir.[7] Blokzincir üzerindeki bir işlemin dijital olarak imzalanabilmesi için söz konusu işlem özel anahtar ile şifrelenerek karşı tarafa gönderilmekte, bu aşamada imza süreci tamamlanmaktadır.[8] Karşı taraf, imzalayan tarafın gönderdiği açık anahtar ile şifreyi açabiliyorsa yapılan işlemin gönderen tarafından imzalandığı; dolayısıyla işlemin gerçek olduğu ve içerdiği verilerin tahrif edilmediği anlaşılmakta ve bu aşamada da doğrulama süreci tamamlanmaktadır.[9] Taraflar arasında bu şekilde gerçekleşen her türlü veri transferi, şifrelenmiş olarak ağdaki tüm kullanıcılar tarafından takip edilebilmekte ve mutabakat mekanizmasına uygun şekilde doğrulandığı takdirde bloğa kaydedilmektedir.

Bir blokzincirin açık (public) ya da özel (private) olarak tasarlanması mümkündür. Açık bir blokzincirde internet bağlantısına sahip ve ilgili yazılımı yükleyen herkes blokzincirin tamamına erişebilmekte, blokzincir üzerinde işlem yapabilmekte ve doğrulama süreçlerine katılabilmektedir. Bu tür blokzincirlerde kullanıcılar takma isimleri ile, yani sıklıkla kullanılan ifadesiyle, psödonim (pseudonym) bir şekilde sisteme dahil olmaktadırlar.[10] Kripto paralara ilişkin blokzincirler de dahil olmak üzere mevcut blokzincir sistemlerinin birçoğu bu şekilde açık olarak inşa edilmektedir.[11] Özel blokzincirler ise sisteme erişimi belli kişi ya da gruplarla sınırlayan bir yapıya sahiptir. Dolayısıyla, bu tür bir blokzincire girişte kullanıcıların kimlik bilgilerinin ya da belirli şartları karşılamalarının istenmesi veya girişlerinin belli bir kişi tarafından onaylanması söz konusu olabilmektedir. Özel blokzincirlerde kullanıcıların kimlikleri belirli ya da belirlenebilirdir ve bu tür blokzincirler daha çok lojistik ve finans alanlarında tercih edilmektedir.

Blokzincirde Kimlik Tespiti

Blokzincir teknolojisi, birçok sistemde köklü değişiklikler yaratırken özellikle finansal suçlarla mücadele kapsamında ciddi kimlik doğrulama zorunluluklarını da beraberinde getirmektedir. Türkiye’de BDDK ve MASAK, uluslararası alanda ise Financial Action Task Force (FATF) gibi düzenleyici otoriteler, kripto varlık hizmet sağlayıcıları için sıkı Müşteri Tanı (KYC) ve Kara Para Aklamayı Önleme (AML) prosedürleri uygulamaktadır. Bu yasal çerçeve, Avrupa Birliği’ndeki 5. ve 6. Kara Para Aklamanın Önlenmesi Direktifleri (AMLD5/AMLD6) ile Türkiye’deki MASAK’ın 5 No’lu Genel Tebliği gibi düzenlemelerle güçlendirilmiştir.

Bu düzenlemeler, blokzincirin doğasında yer alan psödonimlik (takma adla işlem yapma) prensibi ile hukuki kimlik doğrulama gereklilikleri arasında bir denge kurma ihtiyacı doğurmuştur.

Veri Gizliliği ve “Unutulma Hakkı” Sorunu

Kimlik doğrulama süreçlerinde toplanan kişisel verilerin korunması, Türkiye’de Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde; Avrupa’da ise GDPR (Genel Veri Koruma Tüzüğü) ile güvence altına alınmıştır. Ancak blokzincirin geri dönülmez ve değiştirilemez yapısı, GDPR’de düzenlenen “unutulma hakkı” ile doğrudan bir çatışma oluşturmaktadır.

GDPR’in 17. maddesi, veri sahibinin belirli şartlar altında kişisel verilerinin silinmesini talep edebilmesini öngörür. Öte yandan, blokzincirin teknik doğası gereği veriler bloklara zincirlenerek saklanmakta ve değiştirilemezliği sağlanmaktadır. Bu durum, silme taleplerinin doğrudan blokzincir üzerinde uygulanmasını güçleştirmektedir.

Akademik literatürdeki birçok çalışmada, bu çatışmanın çözümü için şu yaklaşımlar önerilmiştir:

  • Off-chain Depolama + Hash / Referans Modeli: Kişisel veriler zincir dışında (off-chain) güvenli veri depolarında saklanır; blokzincirde ise yalnızca bu verilere işaret eden kriptografik hash’ler veya referans göstergeleyicileri (pointer) tutulur. Böylece, veriyi silme ya da güncelleme işlemi yalnızca off-chain veride yapılabilir. Bu yöntem “veri minimalizasyonu” ilkesine de hizmet eder.
  • Anonimleştirme / Psödonimleştirme: Veriler açıkça kişisel kimlik bilgisi içeriyorsa, bunların etkili anonimleştirilmesi ya da kuvvetli biçimde psödonimleştirilmesi yolu ile GDPR kapsamından çıkarılması hedeflenir. Ancak anonimleştirme işlemi bazen zorlayıcıdır ve yasal belirsizlikler doğurabilir.
  • Akıllı Sözleşmeler / Zamanlayıcı Expiry (Süre Aşımı) Mekanizmaları: Bazı sistemlerde, belirli koşulların sağlanmasıyla birlikte dönüştürücü işlemler (örneğin, belirli bir kimlik verisi ile ilgili token’ın geçerliliğinin kalkması) otomatik olarak tetiklenebilir. Bu, tamamen silinmenin değil ama erişimin kısıtlanmasının bir yolu olabilir.

Ancak bu yaklaşımlar da tam çözüm sunamamaktadır; zira bir verinin hashing ile gizlenmiş hali bile, “geri dönüşümü mümkünse” hala kişisel veri olarak nitelendirilebilecektir. GDPR ve literatürde bu konuda belirsizlikler devam etmektedir.

Blokzincir Uyumlu Kimlik Doğrulama Çözümleri

Blokzincir teknolojisi, yasal gerekliliklere uyum sağlamak ve kullanıcı mahremiyetini korumak için çeşitli yenilikçi çözümler sunmaktadır:

  • Self-Sovereign Identity (SSI – Kendi Kendine Egemen Kimlik): Bu yaklaşım, kullanıcıların kimlik verilerini merkezi bir otoriteye değil, kendi kontrolünde tutmalarını sağlar. Kullanıcı, ihtiyaç duyduğunda doğrulanan bilgiyi (örneğin, bir üniversiteden alınmış diploma bilgisi) bir doğrulanabilir kimlik bilgisi (verifiable credential) olarak saklayabilir ve sadece gerekli durumlarda bu bilgiyi paylaşabilir. Bu model, veri minimizasyonu ilkesini destekler ve merkezi veri tabanı hack’lerinin önüne geçer.
  • Zero-Knowledge Proofs (Sıfır Bilgi İspatları – ZKP): ZKP, bir bilginin doğruluğunu, o bilginin kendisini ifşa etmeden ispat etme yöntemidir. Örneğin, bir kullanıcının 18 yaşından büyük olduğunu kanıtlamak için doğum tarihinin tamamını paylaşmasına gerek kalmadan, sadece yaş koşulunu sağladığını ispatlaması yeterli olabilir. Bu teknoloji, hem gizliliği hem de güvenliği en üst düzeye çıkararak mahremiyet odaklı blokzincir uygulamalarının temelini oluşturur.
  • Decentralized Identifiers (DID – Merkeziyetsiz Tanımlayıcılar): W3C (World Wide Web Consortium) tarafından desteklenen bu standartlar, kimlik bilgilerinin blokzincir gibi merkeziyetsiz ağlar üzerinde oluşturulmasını ve yönetilmesini sağlar. DID’ler, farklı blokzincir platformlarında birlikte çalışabilirliği (interoperability) mümkün kılarak, merkeziyetsiz kimlik altyapısının temel taşlarından biri haline gelmiştir.

Bu teknolojik çözümler, blokzincir ekosisteminin yasal gerekliliklere uyumunu kolaylaştırırken, aynı zamanda bireylerin mahremiyetini koruma ve veri üzerinde tam kontrol sahibi olma hedefini de gerçekleştirmeyi amaçlamaktadır.

Sonuç

Blokzincir teknolojisi, psödonimlik ve merkeziyetsizlik özellikleri ile kişisel verilerin korunmasına yönelik ilkeler ve klasik kimlik tespit mekanizmalarıyla çatışma potansiyeline sahiptir. Ancak gelişen hukuki düzenlemeler ve yenilikçi teknolojik çözümler, bu ikilem arasında denge kurulabileceğini göstermektedir. Özellikle self-sovereign identity, zero-knowledge proofs ve decentralized identifiers gibi teknolojiler, blokzincir tabanlı kimlik tespitinin geleceğinde önemli rol oynayacaktır. Bu bağlamda hem ulusal hem de uluslararası düzenleyici otoritelerin, teknolojik gelişmeleri dikkate alan esnek ve uyumlu bir mevzuat çerçevesi oluşturması gerekmektedir.

Yazar: Av. Burcu HEPGÜVEN

KAYNAKÇA

  • Financial Action Task Force (FATF), Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers, 2019.
  • Avrupa Parlamentosu ve Konseyi, Directive (EU) 2018/843 (AMLD5), 30 May 2018.
  • Avrupa Parlamentosu ve Konseyi, Directive (EU) 2018/1673 (AMLD6), 23 October 2018.
  • MASAK, Kripto Varlık Hizmet Sağlayıcıları Rehberi, 2021.
  • EPRS | European Parliamentary Research Service, Blockchain and the General Data Protection, 2019.
  • W3C, Decentralized Identifiers (DIDs) v1.0, 2022.
  • Allen, C., The Path to Self-Sovereign Identity, 2016.
  • Zyskind, G., Nathan, O., & Pentland, A., Decentralizing Privacy: Using Blockchain to Protect Personal Data. IEEE Security and Privacy Workshops, 2015.
  • Palomares, J., Immutable Yet Compliant: Harmonizing Blockchain with GDPR, 2024.

[1] Didem Kayalı, “Uluslararası Özel Hukuk Perspektifinden Akıllı Sözleşmeler”, TBB Dergisi, S.162, 2022, s.252-253.

[2]  Ece Su Üstün, TBK Kapsamında Geleneksel Sözleşmeler ile Mukayeseli Olarak Akıllı Sözleşmeler – Blokzincir Teknolojisi, Ankara, Seçkin, 2021, s.21; Damla Beril Çubukçu, Teknik ve Hukuki Yönleriyle Akıllı Sözleşmeler, Ankara, Yetkin, 2021, s.12.

[3] Örneğin, Proof of Work tabanlı blokzincirlerde kayıt işleminin gerçekleşebilmesi için, sistemdeki kullanıcıların en az %51’i tarafından ilgili verinin doğrulanması gerekmektedir., bkz. Üstün, a.g.e., s.23.

[4] Örneğin Bitcoin blokzincirinde 10 dakikada bir yeni bir blok üretilmektedir., bkz. Satoshi Nakamoto, Bitcoin: A Peer-to-Peer Electronic Cash System, (Çevrimiçi) https://bitcoin.org/bitcoin.pdf (Erişim Tarihi:01/05/2025).

[5] Ethereum’da yapılan işlemlerin mutabakat sistemleri “Proof of Stake (Hisse Kanıtı)” yani işlem mutabakatına, Bitcoin ise “Proof of Work (İş Kanıtı)” yani emek ispatına tabidir. İşlem ve onay mekanizmaları farklı olan bu algoritmalar bahse konu blokzincirlerde yapılan işlemlerin hızını ve onay sürelerini belirleyen unsurlardır., bkz. Mete Tevetoğlu, “Ethereum ve Akıllı Sözleşmeler”, İnönü Üniversitesi Hukuk Fakültesi Dergisi, 2021, s.200.

[6] Osman Gazi Güçlütürk, “Blokzincir ve Regüle Edilebilirlik”, Gelişen Teknoloji ve Hukuku I: Blokzincir, eds: Eylem Aksoy Retornaz, Osman Gazi Güçlütürk, İstanbul, On İki Levha, 2020, s.27.

[7] Mustafa Tanrıverdi, Mevlüt Uysal ve Mutlu Tahsin Üstündağ, “Blokzincir Teknolojisi Nedir? Ne Değildir?: Alanyazın İncelemesi”, Bilişim Teknolojileri Dergisi, C. 12, S. 3, 2019, s.207.

[8] Kayalı, a.g.e., s.255.

[9] Vedat Güven ve Erkin Şahinöz, Blokzincir – Kripto Paralar – Bitcoin – Satoshi Dünyayı Değiştiriyor, İstanbul, Kronik, 2021, s. 44-46.

[10] Ekin Ömeroğlu, Milletlerarası Özel Hukukta Akıllı Sözleşmelere Uygulanacak Hukuk ile Uyuşmazlık Çözüm Yollarının Tespiti, 2.bs., Ankara, Seçkin, 2023, s.33.; Kayalı, a.y.

[11] Pınar Çağlayan Aksoy, Akıllı Sözleşmelerin Kuruluşu ve Geçerlilik Şartları, 2.bs., İstanbul, On İki Levha, 2021, s.29-30.