Web 3.0 ve Dijital Kimlikler

107 WEB 3.0 VE DİJİTAL KİMLİKLER Duygu TOSUNAY GİRİŞ Günümüzün dijital ekonomisinde, çevrimiçi kimlik doğrulaması çevrimiçi işlemlerin en kritik yönlerinden biridir. Fiziksel yaşamda devlet tarafından verilen kimlikler ve diğer kişisel bilgiler çeşitli yöntemlerle korunmaktadır. Yüz, parmak izi, retina gibi bireylerin ölçülebilir biyolojik özellikleri olan biyometrik verilerin de çeşitli yöntemler kullanılarak korunması ve kişinin kimliğinin doğrulanma süreci belli bir sistemle yönetilmelidir. Kimlik yönetimi dijital kimliklerin yaratılmasını, gerektiğinde değişiklik ve güncellemelerin yapılmasını ve silinmesini içeren faaliyetlerdir (Grüner, Mühler & Meinel, 2018, s. 3). Dijital kimlik, gerçek dünyadaki bir kişi ya da varlığın elektronik ortamdaki temsilidir. Ticari ve yasal ortamı temelden değiştiren yeni bir kavram olarak dijital kimlik, ilk kez 2006 yılında incelenmiştir (Sullivan & Tyson, 2023, s. 433). Bu süre zarfında hemen hemen tüm sektörlerin hizmetlerini dijital alana taşımasıyla birlikte toplum, çevrimiçi bankacılıktan eticarete, mesajlaşmadan seyahat rezervasyonlarına kadar dijital ortamlarda birbirine bağlı hale gelmiştir. 25 Eylül 2015 tarihindeki Birleşmiş Milletler Genel Kurulu, 17 Sürdürülebilir Kalkınma Amacı (SKA) altında 169 hedef bulunan 2030 Sürdürülebilir Kalkınma Gündemini resmi olarak kabul etmiştir. “Barış, Adalet ve Güçlü Kurumlar” başlığını taşıyan Sürdürülebilir Kalkınma amaçlarının 16. Maddesi “Sürdürülebilir kalkınma için barışçıl ve kapsayıcı toplumlar tesis etmek, herkes için adalete erişimi sağlamak ve her düzeyde etkili, hesap verebilir ve kapsayıcı kurumlar oluşturmayı” amaçlamaktadır (BM Türkiye). 16.9 olarak belirtilen temel amaçta, üye ülkelerin, “2030’a kadar herkese doğum kaydı dâhil yasal kimlik kazandırılması” ifadesine yer verilmektedir (BM Türkiye). Kimlik kavramının birçok ülkede yasal bir karşılığının olmadığı düşünüldüğünde bu amaç, tüm insanların yasal bir kimlik sahibi olması ile ilgili küresel ölçekteki ilk hedef olması bakımından çok önemlidir. Herkes için adalete erişimi sağlayabilmek, eşitlikçi ve kapsayıcı uygulamalardan bahsedebilmek için öncelikle güvenilir kimlik kayıtlarının varlığından söz etmek gereklidir. Dijital kimlik uygulamaları ise hem kimliklerin oluşturulması hem de kimliklerin saklanması ve doğru şekilde kullanılması açısından kolaylık sağlayacağından küresel ölçekte benimsenmesi önem taşımaktadır. 108 Günümüzde “dijital kimlik” teriminin yıllar önceki bilinmezlik halinden sıyrılıp yaygın kullanıma geçtiğinin ve öneminin arttığının söylenmesi mümkündür. Blokzincir teknolojisinin kimlik doğrulamaya uygulanması, kimlik bilgilerinin kontrol edilme, doğrulanma ve yetkilendirilme biçimini kökten değiştirme potansiyeline sahiptir (Sullivan & Burger, 2019, s. 234). Ancak etkilerinin henüz tam olarak anlaşılamaması nedeniyle geleceği konusunda kesin yargılarda bulunmak mümkün değildir. Kimlik Kavramı İnsanlık için bir kimliğe sahip olmak eski dönemlerden beri önemli olmuştur (Akerlof & Kranton, 2011). Bağlama bağlı olarak, kimlik terimi farklı şekilde tanımlanır. Kimlik sözcüğü Latince “identidem” kelimesinden türemiştir ve “aynı ve aynı” anlamına gelen “idem et idem” ifadesinin kısaltılmasıyla oluşmuştur (Ayed, 2014). “Kimlik” ifadesi günlük söylemde ve çeşitli bağlamlarda yaygın olarak kullanılmasına rağmen, her anlamını kapsayacak yeterli ve özlü bir açıklama sağlamanın oldukça zor olduğu düşünülmektedir (James, 1999). Türk Dil Kurumu kimlik sözcüğünü ilk anlamıyla, “Toplumsal bir varlık olarak insanın nasıl bir kimse olduğunu gösteren belirti, nitelik ve özelliklerin bütünü; etiket”, ikinci anlamıyla, “Kişinin kim olduğunu tanıtan belge; kimlik belgesi, kimlik kartı, tanıtma kartı, hüviyet, hüviyet cüzdanı”, üçüncü anlamıyla da “Herhangi bir nesneyi belirlemeye yarayan özelliklerin bütünü; çehre” olarak tanımlamaktadır. Medya ve İletişim Sözlüğü ise kimliği birinci anlamıyla, “Zaman içindeki değişimlere rağmen kişide kalıcı olan aynılık.” ikinci anlamıyla ise, “Bir birey olarak, bir kişinin öznel kendilik hissi.” olarak tanımlamaktadır (Munday & Chandler, 2018, s. 236). Kimliğin bildiğimiz modern tanımı ilk olarak 1950'de Erik Erikson tarafından yapılmış ve çeşitli bağlamlarda ve amaçlarda kullanılmıştır (Soltani, Nguyen & An, 2021). Kimlik bazı kaynaklarda, bir kişinin veya şeyin fiziksel varlığının mantıksal bir temsili olarak (Glässer & Vajihollahi, 2010) ya da bir kişinin yaşamı boyunca kişiyi benzersiz bir şekilde tanımlayan, farklı yönlere ve koşullara rağmen aynılık ve süreklilik sağlayan tüm nitelikleri olarak tanımlanmaktadır (Wang & Filippi, 2020). Kimlikler insanların aidiyetlerini gösteren yapılarda karşımıza çıkmaktadır. İnsanlar vücutlarındaki belirgin özelliklerden, biyometrik verilerden, DNA’dan ve aidiyete dair yaşanmış birtakım deneyimlerinden oluşmaktadır (Giannopoulou, 2023, s. 7). Bauman (2019, s. 30), kimliği “olması gereken” ile “olan” arasındaki boşluğu kapatmayı ve gerçekliği fikrin belirlediği standartlara yükseltmeyi- fikrin benzerliğinde gerçekliği yeniden yaratmayı amaçlayan bir fikir olarak anlatır. Kimlik, sıklıkla insanın kendini tanımlamasının 109 farklı yönlerini vurgulamak için kullanılmasına rağmen katı bir kavram değildir (Giannopoulou, 2023, s. 7). Farklı araştırmacıların kimlik kavramını kendi bakış açılarına göre farklı şekilde ele aldıkları görülmektedir. Bauman’a (2019, s. 25) göre kimlik, keşfedilmesi gereken bir şey olarak değil, icat edilmesi gereken bir şey olarak; bir çabanın hedefi, “bir amaç” olarak ortaya çıkmaktadır. “Kimlik, farklı yollar açabilen bir patikaya öncülük eden bir yazıttır. Her biri farklı anlatılara dayalı olarak oluşturulan, sürdürülen, kullanılan ve değiştirilen birçok yönü vardır. Bir birey, bu nitelikleri biriktiren, çıkarımsayan veya yaratan varlığa bağlı olarak birkaç özellik kümesine sahip olabilir” (Giannopoulou, 2023, s. 7). Bu nedenle, kimlik dünyada verili bir şey değildir ancak aktörün kendisi veya başkaları tarafından bir inşa sürecinin sonucudur (Khatchatourov, 2019, s. 36). Fiziksel ortamlarda, bireyler kimliklerini doğrulamak için çeşitli yöntemler kullanabilirler. Örneğin bir tren istasyonunda, bilet almak veya bir indirimden yararlanmak için kimlik kartı kullanılabilmektedir. Ancak dijital ortamlarda birinin kimliğini doğrulamak çok daha zor olabilmektedir. İnternet şirketleri pratikte, kullanıcılarından her bir web sitesi erişimi için kimlik göstermelerini isteyemediklerinden bu durum ziyaretçilerin kimliğini tespit etmeyi karmaşık hale getirmektedir (Cheng, 2024). Yeni teknolojik gelişmelerle birlikte, dijital bağlamda daha “etkin”, “güvenli” ve “kullanıcı merkezli” dijital kimlikler vaat edilmektedir (Giannopoulou, 2023, s. 8). Bu bağlamda dijital kimlik kavramının nasıl geliştiğini anlamak gereklidir. Dijital Kimliğin Evrimi Siber kültür, interneti yalnızca “zihin” düzeyinde etkileşimde bulunulan ve bazen aşağılayıcı bir şekilde tanımlanan “bedeni” geride bırakarak kullanılan bir “alan” olarak tanımlamak için kurgusal anlatımlardan yararlanmıştır (Cover, 2023, s. 53). 1990'lardaki siber kültür anlayışının aksine, artık dijital iletişimin gündelik yaşamdan ve günlük bedenlerden tamamen ayrı olduğu düşünülmemektedir. Öyle ki dijital kimlik süreçlerinde de 1990’lardan bu yana ciddi bir gelişme kaydedilmiştir. Çevrimiçi alanlar kullanıcı kimliği doğrulamasıyla ilgili zorluklar oluşturduğundan dijital bir kimlik sisteminin ortaya çıkması bir gereklilik olmuştur. Bireyler fiziksel dünyada nasıl ki kimliklerini kanıtlamak için bir kimlik kartı kullanıyorlarsa benzer şekilde dijital kimlik, dijitalleştirilmiş bir tanımlama yöntemi oluşturmuştur. Ancak kimlik doğrulamanın fiziksel dünyadaki gibi standart bir yöntemi olmadığından, kullanıcılar etkileşime girdiği her dijital mecrada yeni bir kimlik oluşturmak zorunda kalmaya başlamıştır. Kişisel bilgisayarların ve internet kullanımının yaygınlaşmaya başladığı bu dönemde 110 kullanıcılar, web sitelerine genellikle yalnızca parola kullanarak girdiklerinden, önemli siber güvenlik riskleri oluşmaya başlamıştır. Bu nedenle Microsoft, Microsoft Passport adlı dijital kimlik 1.0 çözümünü bu endişeyi gidermek için tanıtmıştır (Cheng, 2024). Microsoft, bu projesiyle kullanıcılar ve web siteleri arasında aracı görevi görmek istemiştir. Microsoft Passport, kullanıcı verilerini görselleştirerek hesap güvenliğini güçlendirmeyi amaçlamış olsa da yetersiz kullanıcı deneyimi Microsoft'un planını sekteye uğratmış ve dijital kimlik 1.0 başarısızlıkla sonuçlanmıştır (Cheng, 2024). Web 2.0 dönemine geçildiğinde, her yeni uygulama yeni bir hesap kaydı oluşturmak anlamına geliyor ve bu hesaplar kullanıcıların belirli bir platformdaki çevrimiçi kimliği olarak işlev görüyordu. Bir bakıma Web 2.0'a geçişle birlikte, yukarıda da bahsedildiği gibi, bedenin yalnızca zihinden ayrı veya işlevsiz bir varlık olmadığı, aynı zamanda dijital iletişim ve kimlik deneyiminde eşit şekilde temsil edildiği de kabul görmüştür (Cover, 2023, s. 53). Bu dönemde Facebook ve Twitter gibi sosyal ağların öne çıkmasıyla birlikte kimlik suistimali tartışmalarının da arttığı görülmüştür. Örneğin Haziran 2013'te yaklaşık altı milyon Facebook kullanıcısının hassas kişisel verilerini ifşa eden bir hata haber olmuştur (Heiligenstein, 2023). Bu gibi durumlar karşısında, web siteleri hesap kaydı sırasında kullanıcıların gerçek kullanıcı olarak oturum açtıklarını doğrulayabilmek amacıyla kullanıcılardan bilgilerini toplamak için izin istemeye başlamıştır (Cheng, 2024). Bir yandan da dijital ve fiziksel alanlar arasındaki farkların belirsizleşmesiyle birlikte dijital kimliklerin uluslararası standartları da bu dönemlerde tartışılmaya başlanmıştır. Sullivan (2011, s. 143), kimlik konusundaki küresel standartlaşmadan şöyle bahsetmektedir: Böyle bir plan şu anda pek olası görünmese de küreselleşme yalnızca bir sonraki adımdır. Günümüzde ülkeler dijital pasaport, vize, çalışma izni ve diğer göç bilgilerini sınır kontrolünün bir parçası olarak paylaşmaktadır ve biyometri de dahil olmak üzere dijital bilgiler uluslararası kolluk kuvvetleri ve savunma yetkilileri arasında paylaşılmaktadır. Bu daha geniş kapsamlı düzenlemeler çerçevesinde, bir bireyin kayıtlı kimliği, yalnızca ulusal bazda değil, bölgenin ve nihayetinde dünyanın bir vatandaşı olarak da resmi olarak tanınan kimliği haline gelir. Dijital kimlik çözümlerinin tasarımındaki hızlanma, ilgili kimlik altyapılarına yerleştirilmiş güvenilir araçlar yaratma ihtiyacını somutlaştırmıştır. Dijital kimlik ve onu oluşturan altyapılara dair en önemli anahtar kavram kontroldür. Dijital kimlik altyapıları kullanıcı kimliklerini oluşturan, kontrol eden ve metalaştıran sistemler olarak tanımlanmaktadır (Plantin vd., 2018’den akt. Giannopoulou, 2023, s. 2). Bu altyapılar; 111 1. Kimlik sağlayıcı olarak faaliyet gösteren devlet aktörleri ve özel ticari aktörler tarafından oluşturulur; 2. Yönlendirilen kullanıcının doğrudan kontrolü veya müdahalesi olsun veya olmasın tanımlayıcıları oluşturur; 3. Bu kimlikleri, kimlik sağlayıcıların yönlendirdiği ve üzerlerinde güç ve kontrol uygulayan teknolojik tasarım tercihleri aracılığıyla iletir (Giannopoulou, 2023, s. 2). Dijital bir kimlik, dijital bir hizmet bağlamında her zaman benzersizdir ancak özneyi tüm bağlamlarda benzersiz bir şekilde tanımlaması gerekmemektedir. Başka bir deyişle, dijital bir hizmete erişim, öznenin gerçek hayattaki kimliğinin bilindiği anlamına gelmeyebilmektedir (Soltani, Nguyen & An, 2021, s. 4). Benzer şekilde Cameron (2005), dijital kimliği bir dijital öznenin kendisi veya başka bir dijital özne hakkında yaptığı iddialar kümesi olarak tanımlamaktadır. Uzun yıllar Microsoft’un kimlik tasarımının başında çalışan Kim Cameron (2005), aynı zamanda internetin kimlik katmanı olmadan oluşturulduğunu iddia etmiş ve eklemiştir: İnternet, kime ve neye bağlandığınızı bilmenin bir yolu olmadan inşa edildi. Bu, onunla neler yapabileceğimizi sınırlandırmakta ve bizi büyüyen tehlikelere maruz bırakmaktadır. Hiçbir şey yapmadığımız takdirde, hızla artan hırsızlık ve aldatma olaylarıyla karşı karşıya kalacağız ve bu da internete olan kamu güvenini büyüyerek zedeleyecektir. (Cameron, 2005). 1960’lı yıllarda Amerikan Ordusu tarafından internetin yeni geliştirildiği süreçte ana odağın makinelerin birbirine bağlanması olduğundan kimlik konusunun göz ardı edildiğini söyleyen Cameron (2005) bahsettiği kimlik katmanının önemini vurgulamak için Kimliğin Yedi Yasası’nı belirlemiştir. Bu yasalar şöyle özetlenebilir: 1. Kullanıcılar kimlik bilgilerinin nasıl paylaşılacağı konusunda kontrol sahibi olmalıdır. 2. Açıklanan bilgi miktarı yalnızca gerekli olan asgari miktar olmalıdır ve veriler diğer varlıklar tarafından ihtiyaç duyulandan daha uzun süre tutulmamalıdır. 3. Kullanıcı, kimlik bilgilerini hangi varlıkların yönettiği konusunda iyi bilgilendirilmelidir. 4. Kullanıcının bilgileri, yetkisiz varlıklar tarafından veri ilişkilendirme, desen tanıma veya varlık tanımlamasına izin verecek şekilde oluşturulmamalı veya ifşa edilmemelidir. 5. Farklı mimariler tarafından desteklenen çeşitli varlıklar arasında birlikte çalışabilirlik ve sorunsuz entegrasyon mümkün olmalıdır. 112 6. İnsan kullanıcılar ve makineler arasında güvenilir ve emniyetli entegrasyon güçlendirilmelidir. 7. Birden fazla bağlam ve teknolojide tutarlı kullanıcı deneyimi sunulmalıdır. Dijital kimlik hem anlamı hem de işlevi olan bilgilerden oluşmaktadır. “Dijital kimliği oluşturan bilginin işlevi, bir kimliği diğerlerinden ayırmaktır. Gerekli bilgi grubu veya kümesi girildiğinde, sistem tarafından önce kayıttaki birçok kayıtlı dijital kimlik arasından belirli kimliği tanımak ve ardından istenen işlemi etkinleştirmek için kullanılır” (Sullivan & Tyson, 2023, s. 435). Yani dijital kimlik bir kullanıcıyı tanımlayan ayırt edici bir bilgi olarak anlam taşımaktadır. Aynı zamanda anlamlı bir tanımlama yapan bu bilgiler, onaylama, doğrulama, izin verme gibi işlevleri de yerine getirmektedir. Kimliğin kendisi ile kimliğin oluşturulması, yazılması ve belgelenmesi süreci genellikle özdeş olarak algılanmaktadır. Bu durum İngilizce’de identity ve identification terimleriyle karşımıza çıkmaktadır. Bu iki kavram tamamen birbiriyle aynı olmasa da birbirine bağımlıdır. Çünkü kimlik kategorilerinin kullanımı olmadan kimliklendirme neredeyse düşünülememekte ve kategorizasyonun kendisi de kimliklendirme aygıtlarının geliştirilmesiyle ortaya çıkmaktadır (Torpey, 2018). Politika düzeyinde, dijital kimlik "belirli bir bağlamda bir kişiyi benzersiz bir şekilde tanımlayan ve elektronik işlemler için kullanılan, oluşturulan ve depolanan kimlik niteliklerinin bir koleksiyonu" olarak tanımlanmıştır (World Bank Group vd., 2016, s. 11). Bu da aslında tekil bir öznenin çevrimiçi işlemlerde temsil edilmesi anlamına gelmektedir (Grassi vd., 2020, s. 2). Kendine egemen kimlik sistemlerinde (Self-Sovereign Identity, SSI) kimliğin kendisi ve kimliğin belgelendirilmesi konusundaki anlamsal yanlış anlaşılma riski yaygındır çünkü aslında kendine egemen kimlik terimi, yalnızca teknolojik bir tasarıma atıfta bulunmak için tasarlanmıştır (Giannopoulou, 2023, s. 9). Dijital kimlik bu nedenle, bu alanın sorunsalının özünü oluşturan iki tamamlayıcı anlama sahip olabilir: a) kullanıcının ve dijital ortamdaki eylemlerinin tanımlanması ve b) dijital teknolojinin, kişinin kendisiyle, başkalarıyla ve kamusal alanla ilişkisi olarak anlaşılan kimliğin inşası üzerindeki etkileri (Khatchatourov, 2019, s. 24). Sullivan & Tyson (2023, s. 435), işlem kimliğini (transaction identity) oluşturan bilgi kümesinin genellikle bireyin tam adı, doğum tarihi ve cinsiyeti ve en az bir adet tanımlayıcı bilgi içerdiğini söylemektedir. Onlara göre; “Tanımlayıcı bilgiler, PIN, imza, tanımlayıcı numara veya bazen biyometri gibi bireye özgü olarak kabul edilir. Tasarımın gereksinimleri, işlemin değeri ve türü, birden fazla tanımlayıcı bilginin gerekli olup olmadığı da dahil olmak 113 üzere gereken tanımlayıcı bilgileri belirler. Biyometri gibi tanımlayıcılar genellikle daha yüksek değerli ve daha hassas işlemler için gereklidir.” (Sullivan & Tyson, 2023, s. 435). Tüm bunlardan anlaşılacağı üzere, Web 2.0'daki birçok web sitesi ve neredeyse tüm uygulamalar, verileri iletmek ve uygulamalardaki işlevleri etkinleştirmek için bir tür merkezi veritabanına güvenmektedir. Web 3.0'da ise uygulamalar, keyfi bir merkezi otoriteye sahip olmayan ve merkezi olmayan bir blokzincir yapısı altında çalışmaktadır. Blokzincir teknolojisiyle desteklenen merkeziyetsiz bir kimlik paradigmasında kullanıcılar kişisel dijital kimlikleri üzerinde tam kontrol uygulayarak kullanıcı odaklı özerk bir dijital kimlik oluşturmaktadır (Cheng, 2024). Teoride, daha demokratik olan bu bilgi oluşturma ve onaylama yolu, kullanıcılara internet üzerinde ve kişisel verilerinin nasıl kullanıldığı konusunda daha fazla kontrol sağlamaktadır. Kimlik ve Erişim Yönetimi Sistemi (Identity and Access Management) Dijital kimlik, kimi görüşe göre kimliklerin makineler tarafından okunabilen, verileştirilmiş bir formatta temsili olarak aktarılmaktadır (Giannopoulou, 2023, s. 3). Bu süreç, tek işlevli bir dijital yapı anlamına gelmemektedir. Nyst vd.’ye göre (2016, s. 8-9) dijital kimlik, bireylerin kimliklendirme sistemlerine, aynı zamanda erişim haklarını düzenleyen ve önceden belirlenmiş eylemlerin gerçekleştirilmesini yetkilendiren kimlik doğrulama sistemlerine karşılık gelir. Kimliklendirme, kimlik doğrulama ve yetkilendirme olmak üzere üç işlev de dijital olarak gerçekleştirilir (Nyst vd., 2016, s. 9). Dolayısıyla bu üç işlevi yerine getiren çevrimdışı bir alternatiften bahsedilmemektedir. Kimlik ve erişim yönetim sistemi (Identity and Access Management, IAM), bireysel kimlikleri, kimlik doğrulamalarını (authentication), yetkilendirmelerini (authorization), rollerini ve ayrıcalıklarını bir kuruluş içinde veya sınırlar içerisinde yönetmek için kullanılan araçlar, süreçler ve politikalar koleksiyonudur (Mohammed, 2017, s. 2; Preukschat & Reed, 2021, ss. 210-211). Bir kimlik ve erişim sistemi (IAM) sistemi, bir organizasyon veya ağın varlıklarına ait kimliklerin yönetimini bir dizi temel işlem yaparak kolaylaştırmaktadır (Şekil 5.1). Kimliklendirme (Identification) Şekil 5.1 Kimlik ve Erişim Yönetimi Sistemi Doğrulama (Verification) Kimlik Doğrulama (Authentication) Yetkilendirme (Authorization) Kaynak: Soltani, R., Nguyen, U. T., & An, A. (2021). A survey of self-sovereign identity ecosystem, Security and Communication Networks, 8873429. 114 Kimliklendirme (identification), bir hizmet sağlayıcı gibi başka bir varlıkla etkileşimde bulunan kullanıcının kimliğini tanımaya yönelik ilk adımdır ve bir kullanıcı veya makine gibi bir öznenin bir kimlik iddia etmesi durumunda gerçekleşmektedir (Soltani, Nguyen & An, 2021, s. 5). Bu işleme genellikle bir kullanıcı adı, benzersiz bir kimlik veya özneyi benzersiz bir şekilde tanımlayabilecek herhangi bir bilgi eşlik etmektedir. Kimlik doğrulama, kimliğin belirli niteliklerinin temsil ettiği varlıkla doğru bir şekilde ilişkilendirildiği süreçtir. Kimlik doğrulama (verification) işlemi bu listenin nispeten daha yeni bir öğesidir. Kimlik doğrulama, belirli kimlik niteliklerinin temsil ettikleri varlıkla doğru bir şekilde ilişkilendirildiği süreçtir. Genellikle bir sistemin kaynaklarına erişime izin vermenin ön koşulu olarak gerçekleşen kimlik doğrulama (authentication), kullanıcı, işlem veya cihaz gibi bir varlığın kimliğini doğrulamaktır (Grassi vd., 2020, s. 10). Bu işlem genellikle, alıcının korunan kaynağına erişmeden önce varlığın bir belirteç, parola veya biyometri gibi diğer bilgi biçimlerini sunması ile gerçekleştirilir. Yetkilendirme (authorization), bir kullanıcı veya program gibi bir varlığa erişim hakkı verme sürecidir. Yetkilendirme süreci, varlığın hedef bir kaynağa karşı neler yapabileceğini belirlemektedir. Kimliklendirmenin, kimlik doğrulamanın ve yetkilendirmenin üçünün bir arada eş zamanlı olarak, kaynaklara erişimin doğru yetkilerle yapıldığından emin olmak için kullanıldığı denetim sürecine erişim denetimi denir (Riabi, Ayed & Saidane, 2019, s. 502). Başka bir deyişle, kimlikler iki özne arasındaki etkileşim sırasında bir dizi erişim iznine değinirken, bilgisayar sistemlerinde kimlikler erişim kontrolleri için kullanılmaktadır. Bu nedenle, erişim kontrol mekanizmasının tasarlanması sırasında tamamen mevcut kimlik yönetim modeli dikkate alınmalıdır. Dijital kimlik Yönetim Modelleri Kimlik yönetim modelleri (Identity Management System, IDM), bir kuruluştaki verilere yalnızca yetkisi olan kişilerin erişebilmesini sağlamak için oluşturulan bir politika ve teknolojiler çerçevesini ifade etmektedir (Liu vd., 2020, s. 2). Dijital kimlik yönetim sistemleri, tanımlayıcılar (kullanıcı kimliği, e-posta, URL vb.), kimlik bilgileri (sertifikalar, belirteçler, biyometri), nitelikler (roller, pozisyonlar, ayrıcalıklar vb.) gibi kullanıcı kimlik bilgilerini yönetmekten sorumludur. Dijital kimlik yönetiminin evrimine bakıldığında literatürde genellikle üç modelden bahsedildiği görülmektedir. Bunlar; merkezi (centralized), federe (federated) ve kullanıcı merkezli (user-centric) kimlik yönetimi modelleridir. Kendine egemen (Self-sovereign identity, SSI) kimlik modelinin, kimi çalışmalarda diğer modellerle birlikte kimi çalışmalarda ise 115 diğerlerinden ayrı, yepyeni bir yapı olarak değerlendirildiği görülmektedir. Aşağıda gelişim sırasına göre öncelikle geleneksel dijital kimlik modelleri ele alınacak, sonrasında ise kendine egemen kimlik modeline ayrıca yer verilecektir. Merkezi Kimlik Modeli (Centralized identity model): Merkezi kimlik modeli, kimlik sağlayıcısı ve hizmet sağlayıcıların birbirinden ayrıldığı ancak aynı kuruluş tarafından yönetildiği modeldir. Hizmet sağlayıcılarıyla her kullanıcı etkileşimi, merkezi kimlik sağlayıcısı aracılığıyla doğrulanmaktadır. Merkezi model bir yandan internet kimliğinin orijinal biçimi sayılsa da bir yandan da günümüzde hâlen yaygın bir şekilde kullanılan biçimidir. Bu model içerisinde, bir web sitesi ya da uygulamada bir hesap kaydı yapılarak (genellikle bir kullanıcı adı ve parola) bir kimlik oluşturulmaktadır. Bu nedenle, modele hesap tabanlı kimlik de denir (Preukschat ve Reed, 2021, s. 7). Merkezi model, kullanıcının benzersiz tanımlanması, doğrulanması ve işlenmesi gibi tüm kimlik yönetimi işlemleri de dahil olmak üzere kimlik verilerinin merkezi yönetimini ifade etmektedir (Soltani, Nguyen & An, 2021, s. 6). Merkezi kimlik yönetimi modeli kullanıcı kimliklerinin sayısını azaltıyor gibi görünmesine rağmen kullanıcıların yine de farklı merkezi kimlik yönetim sistemleri ve güvenlik alanları tarafından yönetilen dağıtılmış hizmetlere erişmesini gerektirmektedir (Zhu & Bedr, 2018, s. 4). “Bu gibi merkezi sistemler çok büyük bir kitlenin kimlik verilerini sakladığından, siber saldırılar için çekici hedefler hâline gelmektedir. Ayrıca kimlik verilerinin yönetiminde ve paylaşılmasında kimlik sahibi kullanıcının kontrolü az olduğundan mahremiyet ve veri kontrolü konusunda zayıftır” (Doğan & Karacan, 2022, s. 261). Preukschat ve Reed (2021, s. 8) ise merkezi kimlik yönetiminin sorunlarına bazı eklemeler yapmaktadır:  Tüm kullanıcı adı ve şifreleri hatırlama ve yönetme yükü tamamen kullanıcılara aittir.  Her sitenin kendine ait güvenlik ve gizlilik politikaları birbirinden farklıdır (Şifre belirlemedeki farklı kurallar buna örnektir: minimum uzunluk, izin verilen özel karakterler vb.).  Kimlik verilerinin hiçbiri taşınabilir veya hiçbir yerde yeniden kullanılabilir değildir (kullanıcılar şifreleri asla yeniden kullanmamaları konusunda uyarılır). Aslında anlaşılacağı üzere tüm bu sorunlar verilerin tek bir merkezde toplanmasıyla ilişkilidir. Sonraki modellerde de bu yapının dışına çıkılma çabaları görülmektedir. 116 Federe Kimlik Modeli (Federated identity model) ve Kullanıcı Merkezli Model (User-centric identity model): Federe kimlik yönetimi modeli, kimlik sağlayıcıları arasında güven ilişkisi kurmaya çalışarak belli bir güvenlik alanındaki kullanıcının başka bir alandaki hizmete erişimini sağlamaktadır. Bu güvenlik alanları, birbirleriyle iş ilişkisi içerisinde bulunan farklı kuruluşların oluşturdukları federasyonlar içerisinde oluşturulmaktadır. Federe kimlik modeli, bir güvenlik alanında yer alan kullanıcılar hakkındaki bilgilerin federasyondaki diğer alanlarla paylaşılmasına olanak tanımaktadır (Zhu & Bedr, 2018, s. 4). Bu, bir alanda hangi kimliğin doğrulandığına bakılmaksızın, aynı federasyondaki başka bir alan tarafından sağlanan hizmetlere, kendi alanı tarafından sağlanan kimlik bilgilerine dayanarak erişilebileceği anlamına gelmektedir. Federe kimlik yönetimi modeli son yıllarda kullanıcı merkezli kimlik modeli (User-centric identity model) adıyla anılmaya başlamıştır (Preukchat & Reed, 2024, s. 8). Kullanıcıların tercih ettikleri kimlik sağlayıcısını ve paylaşmak istedikleri kimlik niteliğini seçme konusunda bir miktar özgürlüğe sahip olmalarını ve bu niteliklerin hangi koşullar altında paylaşılacağını belirlemelerini sağladığından, kullanıcı merkezli olarak tanımlanmaktadır. Farklı çevrimiçi hizmetlere erişmek için OpenID Connect gibi protokollerin kullanılması, Facebook (Meta) ve Google gibi oturum açma özelliklerinin kullanılması bu modelin işleyişine örnek gösterilebilir. Federe kimlik yönetimi modelinin ortaya çıkışı, farklı güvenlik alanlarından oluşturulmuş birçok kimliği yönetmenin karmaşıklığını hafifletmiş gibi görünmektedir. Ancak alan başına artan uygulama sayısı, bu alanlardaki tüm anlaşmaları, protokolleri, standartları ve süreçleri (yani kimlik doğrulama ve yetkilendirme) son derece karmaşık hale getirmiş ve kimliğin kullanılabilirliğini zayıflatmıştır (Zhu & Bedr, 2018, s. 5). Ayrıca birçok kimliği doğrulanmamış üçüncü taraf hizmet sağlayıcısının ayrı kimlik sağlayıcılarına erişimi, kimlik avı saldırılarının yayılmasına da neden olabilmektedir. Federe kimlik yönetim modeli aslında servis sağlayıcıların bakış açısıyla tasarlandığından kimlik sahibi kullanıcıların veriler üzerindeki kontrolü tartışmalıdır. Ayrıca kimlik yönetimi yapan kuruluşlar arasında güven ilişkilerinin kurulması, standartların ve yöntemlerin belirlenerek oturtulması genellikle zor ve zaman alıcı faaliyetlerdir (Doğan & Karacan, 2022, s. 261). Soltani, Nguyen & An’ın (2021, s. 6) da belirttiği gibi, aslında herhangi bir organizasyon tarafından benimsenen kimlik yönetim sistemlerinin en uygun modeli ve yapısı, çeşitli kültürel, tarihsel, yargısal ve teknik belirleyicilere bağlıdır. 117 Geleneksel Dijital Kimlik Modellerinin Sorunları Geleneksel dijital kimlik sistemi, tanımlayıcıların potansiyel olarak şifrelenmiş veya karıştırılmış değerlerini depolayan ve bunları dijital kimlikle ilişkilendiren merkezi bir sistemdir (Sullivan & Burger, 2019, s. 240). Geleneksel dijital kimlik modellerinin sorunlu olduğu birçok farklı konu mevcuttur. Bunlardan ilki veri sahipliği ve yönetimi konusudur. Mevcut kimlik paradigması kullanıcılar arasında bir erişim uçurumu yaratmaktadır. Dünya Bankası'na göre 2021 yılı itibarıyla dünya genelinde yetişkinlerin %24'ünün bir bankada veya resmi bir kurumda hesabı bulunmamaktadır (World Bank Group, 2021). Financial Action Task Force’a (FATF, 2020) göre ise, dünya çapında banka hesabı olmayan 1,7 milyar yetişkinin %26'sı, bu duruma temel engel olarak belge eksikliğini göstermektedir. Kimlikle ilgili yasal düzenlemeler, yetişkinlerin resmi bir kimliğe sahip olmadığı ülkelerde bu açığın daha da büyümesine neden olabilmektedir. Kimlik açığını gidermek, hükümetler, uluslararası örgütler ve diğer paydaşların resmi kimliğe erişim sağlamak için kapsamlı çabası ve iş birliğini gerekmektedir (WEF, 2023, s. 12). Mevcut kimlik modelleri, çevrimiçi hesapları olan kişiler için de kimlik verileri üzerinde doğrudan kontrol sağlamamaktadır. Çünkü kullanıcılar, kişisel verilerinin servis sağlayıcılar tarafından nasıl yönetildiği, paylaşıldığı veya elden çıkarıldığı konusunda sınırlı kontrole veya görünürlüğe sahiptir (Soltani, Nguyen & An, 2021, s. 2). Birçok kimlik sağlayıcı, kullanıcılarının davranışsal verilerini toplayarak gelir elde etmekte ve bu verileri kullanarak gelişmiş kullanıcı davranışı analizi ve tahmin sistemleri geliştirmektedir (Zuboff, 2019). Bunlar daha sonra reklam verenlerin ürünlerine uygun bir hedef kitle seçebilecekleri yerlerde satılmaktadır. Günümüzde, çevrimiçi hizmet sağlayıcılarının çoğunun kendi özel veri yönetimi politikaları ve uygulamalarını tercih etmesi sektörde tekelciliğe yol açmaktadır (Soltani, Nguyen & An, 2021, s. 2). Dijital kimliğin bazı biçimleri veri ihlallerine kapı aralamaktadır. Birçok veri sahibi kimlik dolandırıcılığı olasılığını ve bunun sonuçlarını bilmesine rağmen, çevrimiçi hesapları için zayıf parolalar seçmeye devam etmektedir (Soltani, Nguyen & An, 2021, s. 3). Bu durumun kısmen, bir kullanıcı tarafından yönetilmesi gereken çok sayıda çevrimiçi hizmetin bulunmasından kaynaklandığı söylenebilir. Birçok veri sahibi hesap yönetimi konusunda zorlandığından kimlik doğrulaması yapmak için Facebook ve Google gibi sosyal hesaplarını kullanmakta ve bu da sosyal medya hesaplarını eskisinden daha fazla riske maruz bırakmaktadır. Çoğu durumda, parola tabanlı bir kimlik doğrulama sistemi, iki faktörlü bir kimlik doğrulama sisteminden daha kolay kurulmaktadır (Soltani, Nguyen & An, 2021, s. 3). Biyometri gibi parola kul- 118 lanmaya alternatif yöntemler yaygınlaşana kadar, parola kullanımı veri sahiplerinin kimlik doğrulamadaki birincil yöntemi olmaya devam edecektir. Bu durum belki de bahsedilen sorunların da var olmaya devam etmesine neden olacaktır. Kimlik bilgilerinin depolanma yöntemleri de sorunlara neden olmaktadır. Kimlik bilgilerinin merkezi olarak depolanması veya verileri metalaştırmak isteyen kuruluşlar tarafından erişilebilir hale getirilmesi, kişisel verilerin ticarileştirilme riskini artırabilecektir. Biyometri gibi hassas veriler yüksek bir istismar riski taşımaktadır. Örneğin biyometrik veriler aracı kuruluşlar tarafından istismar edilebilir ya da saldırganlar bir bireyin finansal kaynaklarına erişmek için biyometrik verileri ele geçirmek isteyebilirler (WEF, 2023, s. 17). Bu verilerin güvensiz kullanımı, ayrımcılık amaçlı bir hedeflemeyi de kolaylaştırabilecek olması nedeniyle endişe vericidir. Dijital ekonomideki bilginin yaygınlaşması, kimlik verilerinin çok sayıda çevrimiçi kimlik deposu arasında parçalanmasına yol açmıştır. Ortalama bir kullanıcının verileri çeşitli devlet, finans ve sosyal veri merkezleri arasında dağılmıştır ve yinelenen girişler, uyumsuzluklar ve güncel olmayan veriler, tüm kimlik depolarının yönetimini zorlaştırmaktadır (Soltani, Nguyen & An, 2021, s. 3). Ayrıca kimlik depoları arasında evrensel standartların ve birlikte çalışabilirliğin olmaması, kişisel verilerin erişilmesini, depolamasını, kaldırmasını veya paylaşmasını zorlaştırmaktadır. Mevcut dijital kimlik sistemleri aynı zamanda teknik riskler de yaratmaktadır. Verilerin toplanması en aza indirilse bile, dijital kimlik sistemleri yine de veri sızıntısı veya hırsızlığı olasılığına yol açmaktadır (WEF, 2023, s. 17). Dijital teknolojiler de bu riskleri kötüleştirebilmektedir. Çalınan kimlik bilgileri, kimlik sahibi için sorun yaratabilecek birçok farklı alanda kullanılabilme riski taşımaktadır. IBM CEO'su Ginni Rometty, siber suçun dünyadaki her meslek, sektör ve şirket için en büyük tehdit olduğunu ifade etmiştir (FinTech Futures, 2018). Yalnızca 2023 yılının ilk çeyreğinde dünya genelinde yaşanan veri ihlalleri sonucu 6,41 milyon veri kaydı sızdırılmış ve milyonlarca kişi etkilenmiştir (Petrosyan, 2024a). 2024 yılı itibarıyla bilinen en büyük sızıntılar şöyledir: “Ocak 2024 itibarıyla bildirilen en büyük veri sızıntısı, 10 milyardan fazla veri kaydını ifşa eden Mart 2020'deki Cam4 veri ihlaliydi. Tarihteki en büyük ikinci veri ihlali olan Yahoo veri ihlali, 2013'te meydana geldi. Şirket başlangıçta yaklaşık bir milyar ifşa edilmiş veri kaydı bildirdi, ancak bir soruşturmanın ardından şirket sayıyı güncelleyerek üç milyar hesabın etkilendiğini ortaya koydu. Bir sonraki önemli veri sızıntısı, 1,1 milyardan fazla kaydın ifşa edildiği Hin- 119 distan'ın ulusal kimlik veritabanı Aadhaar'ın Mart 2018'deki güvenlik ihlaliydi. Buna, diğer devlet hizmetlerinin yanı sıra banka hesapları açmak ve mali yardım almak için kullanılabilen kimlik numaraları ve parmak izi taramaları gibi biyometrik bilgiler dahildi.” (Petrosyan, 2024b). Yukarıda anlatılan ihlallerin yanı sıra, 2018'de iki milyardan fazla Facebook kaydının potansiyel olarak tehlikeye atıldığı ve 336 milyon Twitter kimlik bilgisinin ise düz metin olarak ifşa edildiği bilinmektedir (Soltani, Nguyen & An, 2021, s. 3). Tüm bunlardan anlaşılacağı gibi, fiziksel kimlik belgeleriyle başa çıkmada kullanılan eski yöntemler birtakım gizlilik ve güvenlik sorunları ortaya çıkarmaktadır. “Bireysel durumlarda, veri ihlalleri birinin cihazının kaybolması, kötü amaçlı yazılımların bulaşmış olması veya kişisel verilerin yetkisiz taraflara başka bir şekilde sunulması nedeniyle meydana gelebilir. Kuruluşlar ise veri ihlali olaylarını çeşitli senaryolarda yaşarlar. Örneğin kötü amaçlı kişiler hassas bilgileri çalmak amacıyla şirkete saldırabilir. En sık karşılaşılan ikinci senaryo, kuruluş içinden birinin kasıtsız hatasıdır. Bir sonraki yaygın durum, kuruluş içinden kötü niyetli birinin gizli ve hassas bilgilere erişmesidir. Veri ihlalleri ayrıca kaybolan veya çalınan varlıklar nedeniyle de meydana gelebilir. Örneğin gizli ve hassas bilgiler içeren bir şirket cihazının çalınması veya kaybolması.” (Petrosyan, 2024b). Son olarak, mevcut kimlik uyumluluğu uygulamalarının son derece maliyetli olduğu da söylenebilmektedir. Bazı tahminlere göre, dünya çapındaki finans kuruluşlarının mali suçlara karşı uyumluluk çalışmalarının toplam maliyeti 2020'de 214 milyar dolarken, 2022'de 274 milyar dolara yükselmiştir (LexisNexis Risk Solutions, 2022). Benzer uyumluluk maliyetleri kaçınılmaz olarak kamu sektöründe de görülmektedir. Doğru şekilde uygulanan ve düzenlenen merkeziyetsiz kimlikler, kurumların yükümlülüklerini yerine getirmek için yüksek güvenceli kimlik bilgilerini yeniden kullanmalarını sağlayarak uyumluluk kontrollerinden kaynaklanan maliyetleri azaltabilecektir (WEF, 2023, s. 12). Bu nedenle merkeziyetsiz kimlik sistemi ya da yaygın olarak bilinen adına kendine egemen kimliklerin ne olduğu ve nasıl işlediğini anlamak gerekir. Kendine Egemen Kimlik (Self-Sovereign Identity, SSI) Blokzincir temelli kimlik olarak bilinen kendine egemen kimlik (Self-sovereign identity, SSI), erişim kontrol haklarını ve kimliklerin yönetimini geleneksel kimlik sağlayıcılarından kimlik sahiplerinin kontrolüne aktaran bir yaklaşımı ifade etmektedir. Kendine egemen kimlik (SSI) başka bir deyişle, kimlik sahibinin kendi verileri üzerinde daha geniş bir kontrole sahip olduğu ve verilerinin başkalarıyla nasıl ve hangi koşullar altında paylaşılacağına karar verdiği bir kimlik yönetimi modelidir. Bu da kötü niyetli üçüncü taraf kimlik 120 sağlayıcılarından gelen saldırıları engellemektedir. Kendine egemen kimlik modeli, bir kimlik sahibinin kendi verilerini, farklı bağlamlarda ve istediği biçimde kullanabilmesi hakkını korumayı amaçlamaktadır (Soltani, Nguyen & An, 2021, s. 7). Kendine egemen kimlik kavramı, 2012 yılında Devon LoAreto'nun Satıcı İlişkileri Yönetimi (VRM) e-posta listesi için yazdığı “Why Sovereign Source Authority Matters” (Egemen kaynak yetkisi neden önemlidir?) başlıklı bir blog yazısından ortaya çıkmıştır (The Moxy Tongue, 2012). Farklı kaynaklarda “Kendi kendini yöneten kimlik”, “kullanıcı kontrollü kimlik”, “kullanıcı egemen kimlik” ya da “dağıtık kimlik” olarak da bilinmektedir. Kendine egemen kimlik kavramı daha sonra, Christopher Allen (2016) tarafından kişisel dijital egemenliğin bir ifadesi olarak ayrıntılı olarak açıklanmıştır. Allen bunu, kullanıcı merkezli, kendi kendini yöneten, birlikte çalışabilir dijital kimliklerden oluşan merkezi olmayan bir sistem yaratacak ilke tabanlı bir çerçeveyi tanımlamak için kullanmıştır (Giannopoulou & Wang, 2021, s. 3). Allen’a (2016) göre, bir kendine egemen kimlik sistemini tanımlayan on ilke vardır: 1. Varlık: Kullanıcıların bağımsız bir varlığı olmalıdır. 2. Kontrol: Kullanıcılar kimliklerini kontrol etmelidir. 3. Erişim: Kullanıcılar kendi verilerine erişebilmelidir. 4. Şeffaflık: Sistemler ve algoritmalar şeffaf olmalıdır. 5. Kalıcılık: Kimlikler uzun ömürlü olmalıdır. 6. Taşınabilirlik: Kimlik hakkındaki bilgiler ve hizmetler taşınabilir olmalıdır. 7. Birlikte çalışabilirlik: Kimlikler mümkün olduğunca yaygın bir biçimde kullanılabilir olmalıdır. 8. Onay: Kullanıcılar kimliklerinin kullanımını kabul etmelidir. 9. En aza indirme: Farklı kaynakların hak talepleri en aza indirilmelidir. 10. Koruma: Kullanıcıların hakları korunmalıdır. Yukarıda da bahsedildiği gibi bu kavram, şifreleme ve güvenlik konuları etrafında bir araya gelen ve internette kalıcı, güvenli ve güvenilir bir kimlik katmanının olmamasını teknolojik bir biçimde çözülmesi gereken bir sorun olarak gören teknoloji toplulukları arasında çevrimiçi olarak ortaya çıkmıştır (Giannopoulou, 2023, s. 5). Çevrimiçi kimliğin kendine egemen kimliğe doğru evrimine ve bunun sunduğu potansiyele bağlı birçok beklenti oluşmuştur. Preukschat ve Reed (2021, s. 3), kendine egemen kimlikteki paradigma dönüşümünün, bir teknolojik dönüşümden daha derin olduğunu, internetin kendisinin altyapısında ve güç dinamiklerinde yaşanan bir dönüşüm olduğunu söylemektedir. Buradaki beklenti de kendine egemen kimlik sisteminin 121 mevcut güçleri yeniden düzenleyecek ve herkesin yararına eşitleyecek yeni bir teknolojik devrim olmasıdır. Teknolojik açıdan bakıldığında, kendine egemen kimlik, dijital kimliklendirmenin mevcut modelinde bulunan risklerden kaçınmak için tasarlanmış teknolojik bir mimari oluşturmaktadır (Hoepman, 2021). Bu mimari ise, çeşitli teknik toplulukların geleceğe ilişkin hayal kırıklıkları ve beklentileri hakkında fikir alışverişinde bulunarak belirledikleri resmi olmayan temel ve soyut ilkelere dayanmaktadır (Sheldrake, 2022, s. 10). Kendi egemen kimliğin teknik boyutu şimdiye kadar merkeziyetsiz kimlikler (decentralized identifier, DID), doğrulanabilir kimlik bilgileri, HTML ve HTTPS gibi ortak internet protokollerinin arkasındaki aynı standartlar kuruluşu olan World Wide Web Consortium (W3C) standartlarıyla ilişkilendirilmiştir (Giannopoulou, 2023, s. 6). Bu merkeziyetsiz kimlik standartları, tanımlanmış bir kişiyle ilgili verilerin kalıcı ve evrensel bir şekilde ilişkilendirilme yöntemlerini belirleyen bir dizi teknik standart oluşturmaktadır. Dolayısıyla bu kişi yalnızca bilgilerin bağlanma ve kullanılma şekli üzerinde kontrole sahip olmakla kalmamakta, aynı zamanda üçüncü taraf bir hizmet sağlayıcı yerine profilinin yöneticisi olarak kalmaktadır. Yani taraflar arasında, eş düzey gerçekleşen uçtan uca bir iletişim söz konusudur (Preukschat & Reed, 2021, s. 9). Şekil 5.2’de de görülebileceği gibi taraflar birbiriyle eş düzeyde bir güven ilişkisi sağlamaktadır. Şekil 5.2 Uçtan Uca İletişim Kaynak: Preukschat, A. & Reed, D. (2021). Self-sovereign identity. Manning Publications. Bu sistemde, bağlantılı verilerin tümü küresel olarak taşınabilir hale gelebilmekte ve her bir kullanıcı için kişisel olan bir dijital cüzdanda saklanabilmektedir. Bu sertifikalar, bir bireyi tanımlayan çeşitli bilgi türleri içermektedir. Genellikle tanımlanmış bir kişiye erişim hakkı veya ayrıcalık verirken, kimlik belgelerine, profesyonel sertifikalara veya başka herhangi bir veri veya bilgiye bağlantı gibi bilgi doğrulaması için de kullanılabilmektedirler (Giannopoulou, 2023, s. 6). 122 Kısacası, kendine egemen kimliğin temel özelliği, kimliğin herhangi bir devlete ya da bir başka güce tabi ya da bağımlı olmayacak olma düşüncesidir (Preukschat & Reed, 2021, s. 11). Bu şekilde kimlik doğrulama süreçlerinde bireyin dışsal aktörlere olan bağımlılıktan ayrılması amaçlanmaktadır. Giannopoulou’ya göre (2023, s. 6) kimliğin zaman içinde somutlaştırabileceği teknolojik biçimlerle iç içe geçmesi birçok paradoksa neden olabilecektir. Buna rağmen kendine egemen kimlik, hem bilgisayar ağlarına erişimin bireyselleştirilmesini resmileştirmeyi hem de bireysel kimliği oluşturan ilişkileri dijital olarak yeniden yaratmayı amaçlayan dijital bir çözüm olarak ortaya çıkmaktadır. Blokzincir Tabanlı Kimlik Yönetimi Projeleri Merkeziyetsiz bir kimlik sisteminin hayata geçirilmesini hedefleyen çok sayıda blokzincir tabanlı kimlik yönetimi projesi bulunmaktadır. Bunlardan en yaygın olarak bilinenler arasında uPort, Sovrin, ShoCard, SelfKey ve EverID gibi projeler bulunmaktadır. uPort uPort, Ethereum tabanlı dağıtılmış bir dijital kimlik yönetim hizmetidir ve kullanıcıların kimlik doğrulama, şifresiz oturum açma, dijital imza kullanma ve Ethereum üzerindeki diğer uygulamalarla etkileşim kurmalarına olanak tanımaktadır (Naik ve Jenkins, 2020). Kullanıcı, öncelikle talepleri imzalamak ve paylaşmak için kullanılan özel anahtarlar da dahil olmak üzere tüm kullanıcı kimlik verilerini depolayan özel bir mobil uygulama aracılığıyla bir kimlik oluşturur. Kullanıcı bir kimlik oluşturduğunda, iki akıllı sözleşme, denetleyici (controller) ve vekil (proxy) otomatik olarak Ethereum blokzincirinde dağıtılır (Dib ve Toumi, 2020, s. 28). Proxy, denetleyici ve kurtarma sözleşmesi esas olarak dijital bir kimliğin ana hatlarını çizmekte ve proxy sözleşmesinin adresi dijital kimliğin sürekli bir tanımlayıcısı olarak hizmet etmektedir. Grüner, Mühler & Meinel (2018, s. 6) bunu şöyle açıklamaktadır: Dijital kimlik, denetleyici sözleşmesi tarafından yönetilir ve kurtarma sözleşmesi kimlik doğrulama bilgilerini geri yüklemenin araçlarını sağlar. Ayrıca doğrulanabilir bir talep kaydı olarak merkezi bir akıllı sözleşme kullanılır. Dağıtılmış bir veri depolama, proxy sözleşmesinin adresini bir tanımlayıcı olarak alarak Ethereum blokzincirinde örtük olarak kullanılır. Ek olarak, doğrulanabilir talep kaydı, doğrudan blokzincirdeki niteliklerle ilgili verileri depolar. Bu nedenle, sağlanan çözüm için onaylanmış ve merkezi olmayan bir veri depolama uygulanır. 123 uPort kimliğinin Ethereum blokzincirine dayanması ve geleneksel yönetim sisteminde sertifika hizmeti sağlamaması nedeniyle, kullanıcıların daha doğrulanabilir kimlik bilgileri elde etmesine yardımcı olmak için çeşitli yayıncılarla iş birliği yapılması gerekmektedir (Bai vd., 2022, s. 505). Özetle uPort, blokzincir teknolojisini kullanmaya uyum sağlamış bir çözüm mimarisi uygulayan merkeziyetsiz bir kimlik sağlayıcısıdır. Ancak kendine egemen kimlik sistemleri içindeki standartların hızla geliştiği ortama ayak uydurmak amacıyla uPort, çalışmalarını Serto ve Veramo adındaki iki projeye ayırmıştır (uPort, 2021). Literatürde genellikle çalışmalar uPort hakkında yapılmış olsa da 2021 yılından itibaren uPort uygulamasının dijital kimlik yönetim hizmetleri Serto ve Veramo adlarıyla anılmaktadır. Sovrin Sovrin, blokzincir tabanlı, merkeziyetsiz bir kimlik sistemi gerçekleştirmeyi amaçlayan bir dijital kimlik sağlama projesidir. İsteyen herkesin, başkaları tarafından doğrulanabilen bir dijital imza içeren sertifika yayınlayabilmesini amaçlamaktadır (Tobin ve Reed, 2017, s. 12). Sovrin sistemi, tanımlayıcıları ve belirli durumlarda yetkileri blokzincirde depolamak için blokzincir tabanlı bir veri depolama kullanmaktadır. Böylelikle onaylanmış ve merkeziyetsiz bir veri depolama gereksinimi rahatlıkla karşılanmaktadır. Sovrin, hem genel hem de izinli bir blokzincir uyguladığından düğümler, özellikle de doğrulayıcılar, ağa katılmak için özel ayrıcalıklara ihtiyaç duymaktadır (Grüner, Mühler & Meinel, 2018, s. 6). Sovrin projesinin kimlik doğrulama alanında çok ilerleme kaydetmesine rağmen zincir üstü bilgilerin doğruluğu, kapsamı ve ekolojik yapısı açısından hâlen çözmesi gereken birçok teknik sorunu olduğu söylenmektedir (Bai vd., 2022, s. 505). ShoCard Blokzincir tabanlı merkeziyetsiz bir kimlik depolama projesi olan ShoCard, uygulamalarını ve işlevlerini gerçekleştirmek için bir ağ geçidi olarak kendine egemen kimlik modelini kullanmaktadır (ShoCard Inc., 2017). ShoCard ağı; kimlik doğrulama, yetkilendirme kanıtının değişimi ve kişisel sertifikaların kanıtının değişimi olmak üzere üç işlem uygulamaktadır (Bai vd., 2022, s. 505). ShoCard’ın uygulama kapsamı ve gizlilik koruması açısından birtakım eksiklikleri mevcuttur. Örneğin, kullanıcı dijital kimliği, kimlik sağlayıcısı tarafından oluşturulmakta ve yalnızca ilgili ekosistem içinde kullanılabilmektedir. 124 Özetle, önerilen blokzincir tabanlı kimlik sağlayıcı altyapısı önemli bir merkezileşme noktasını uygulamaya koyuyor gibi göründüğünden ShoCard’ın güvenilir bir üçüncü taraf haline geldiği söylenmektedir (Grüner, Mühler & Meinel, 2018, s. 6). SelfKey SelfKey, kullanıcıların verilerinin kişisel bir cihazda saklandığı bir kendine egemen kimlik ağıdır. SelfKey’de kullanıcılar kimlik bilgilerini ayrı bir cihaza veya kişisel bir yedekleme çözümüne yedekleyebilmektedir (SelfKey, 2017). “Böylece üçüncü bir taraf belirli bilgileri toplamak istediğinde, kullanıcıya önce bildirimde bulunulur ve bilgiler ifşa edilmeden önce bir onay istenir. Toplama onaylandığında, yalnızca gerekli olan asgari miktarda verinin ifşa edilmesini sağlamak için ZKP protokolleri kullanılır” (Dib & Toumi, 2020, s. 31). ZPK (Zone Pin Key) protokolleri, dağıtımı otomatik olan ve aynı zamanda PIN Koruma Anahtarı (PPK) olarak da bilinen veri şifreleme anahtarıdır. Bir kimliği doğrulamak için SelfKey, merkeziyetsiz ve sansüre dirençli algoritmalar kullanmaktadır ve kullanıcıların yalnızca kanıtlanabilir özellikteki talepleri güvenilir varlıklar tarafından doğrulanabilmektedir (Van Bokkem vd., 2019, s. 4). SelfKey'in sağlam mimarisine rağmen, Proof of Identity (PoA) konsensüsüne sahip özel bir Ethereum örneğine güvenmenin birçok gizlilik sorununa kapı açabileceği de not düşülmektedir (Dib & Toumi, 2020, s. 31). EverID EverID, blokzincir teknolojisine ve bu sistemin kriptografik temellerine dayanan kullanıcı merkezli bir kendine egemen kimlik ve değer aktarımı çözümüdür. uPort'un aksine, EverID'nin merkezi olmayan sistemi kullanıcı kimlik verilerini, dokümantasyonu ve biyometrikleri depolamak ve onaylamak için kullanılmaktadır (Van Bokkem vd., 2019, s. 4). EverID, kullanıcıların birden fazla üçüncü taraf tarafından doğrulanmasını kolaylaştırmakta ve ağ üyeleri arasında güvenli değer transferine izin vermektedir. Bu da kullanıcılar tarafından oluşturulan taleplerin kanıtlanabilir olduğu anlamına gelmektedir ve platformun merkezi olmayan mimarisi yalnızca kullanıcı tarafından erişilebilen bir kişisel veri mülkiyeti sağlamaktadır (Van Bokkem vd., 2019, s. 4). EverID sistemindeki kullanıcının mobil bir cihaza sahip olması gerekmemektedir, çünkü biyometrik veriler ve üçüncü taraf sertifikaları yalnızca bir bulutta saklanabilmektedir. Tüm bunlara rağmen, doğrulamalar için bir kimlik bilgisi gerektiğinde, kullanıcının tüm verilerini tamamen ifşa etmesi söz konusudur (Dib & Toumi, 2020, s. 30). Tüm bu bilgiler doğrultusunda merkeziyetsiz kimlik modellerinin önemi ve avantajlarına da değinmek doğru olacaktır. 125 Kendine Egemen Kimlik Sistemlerinin Önemi ve Avantajları Merkeziyetsiz kimlik modelinde, kimlik verilerini oluşturmak ve verilerin yönetilmesini sağlamak için kriptografi, dijital cüzdanlar ve benzeri teknolojiler kullanılmaktadır. Merkezi olmayan bir kimlik yönetim sistemi, kimlikleri oluşturmak ve yönetmek için bir veya birden fazla hizmet sağlayıcısına bağlı değildir. Bunun yerine, kimlik bilgilerini saklamak için özel bir veri deposuna ve yaşam döngülerini yönetmek için dijital bir cihaza güvenmektedir (Dib & Toumi, 2020, s. 24). Merkeziyetsiz bir kimliğin, kimlik sahibinin kimlik üzerinde kontrol sahibi olduğu sürece güvenli olduğu kabul edilmektedir. Merkeziyetsiz kimlik sistemleri, yayıncıları (issuer), sahipleri (holder) ve doğrulayıcıları (verifier) birbirine bağlayan bir güven üçgeni oluşturmaktadır (WEF, 2023, s. 10). Kimlik yayıncıları, tasdikleri dijital olarak imzalayan ve bunları sahiplerine sağlayan kuruluşlardır. Kimlik sahipleri, kimlik bilgilerini yöneten ve bunları kendi verileriyle ilgili iddiaları kanıtlamak için kullanan bireysel kullanıcılardır. Doğrulayıcılar ise, gereklilikleri karşılayıp karşılamadıklarını belirlemek için bu kimlik tasdiklerin değerlendirenlerdir. Kimin yayınlayıcı ve doğrulayıcı olarak hareket ettiği sorusu bağlama göre değişmektedir. “Örneğin, bir web sunucusu (doğrulayıcı) bir ziyaretçiden (sahip) kimliğini doğrulamasını isteyebilir. Başka bir durumda, bir kolluk kuvveti görevlisi (doğrulayıcı) bir sürücüden (sahip) sürücü belgesini doğrulamasını isteyebilir. Bu iki durumda olduğu gibi, doğrulayıcı bir insan veya otomatik bir teknoloji olabilir” (Hancock, 2020). Günümüzde sosyal medya platformları ve benzeri şirketler, genellikle federe kimlik hizmetleri sunmaktadır. İnternet üzerinde yaygın olan bu güç merkezileşmesi, kurumsal güvenlik ve bireysel kontrol pahasına gözetim ve veri toplamanın yükselişiyle hızlanmıştır (WEF, 2023, s. 11). Kendine egemen kimlik ve blokzincir tabanlı kimlik yönetim sistemleri, tüm kullanıcıların ve hizmet sağlayıcıların kimlik yönetimini takip ettiği sistemlerdir. Dolayısıyla bazı büyük üçüncü taraf kimlik sağlayıcılarına körü körüne güvenmek yerine kendi kimliklerini doğrulayarak gereksiz merkezi kimlik sağlayıcılarını ortadan kaldırmaktadır (Şekil 5.3). Merkezi ve federe kimlik modellerinde, kontrol odağı ağdaki yayıncılar ve doğrulayıcılarken; merkezi olmayan kendine egemen kimlik modelinde kontrol odağı, artık herkesle eşit olarak etkileşime girebilen bireysel kullanıcıya kaymaktadır (Preukschat & Reed, 2021, s. 12). Blokzincir temelli kimlik yönetim sistemlerindeki talep kavramı, esasen federe kimlik yönetim modelindeki ilişkilerin bir uzantısıdır çünkü bireylerin gerçek kimliklerini doğrulayabilmelerine rağmen birbirlerine güvenmemeleri (veya birbirlerini tanımamaları) nedeniyle doğrulama talepleri oluşturulmaya devam etmektedir (Zhu & Bedr, 2018, s. 9). Şekil 5.3’te de görüleceği 126 gibi, merkezi/federe kimlik modellerinde kullanıcı, kontrol odağının dışında kalırken merkeziyetsiz modellerde kullanıcı, kimlik yönetimini kontrol odağının merkezinde gerçekleştirmektedir. Şekil 5.3 Merkezi ve Merkeziyetsiz Kontrol Mekanizması Kaynak: Preukschat, A. & Reed, D. (2021). Self-sovereign identity. Manning Publications. Gizlilik konusu hem bireyler hem de kuruluşlar için son derece önemlidir. Dijital iletişim şirketi Cisco tarafından 2019 yılında dünya çapında 2600 yetişkinle yapılan anket, katılımcıların %32'sinin gizliliğe önem verdiğini, bilgi üzerindeki kontrollerini artırmak için harekete geçmeye istekli olduğunu ve bunu veri veya veri paylaşım politikaları konusunda şirket veya sağlayıcı değiştirerek yaptığını ortaya koymuştur (Cisco, 2019). Buna rağmen mevcut kimlik paradigması, kuruluşları kişisel verileri toplamaya, depolamaya ve ifşa etmeye zorlamaya devam etmektedir. Hatta mevcut sistem, kuruluşları çok fazla kişisel bilgi toplamaya ve birçok durumda diğer paydaşların da çalışmalarını yinelemeye teşvik edebilir; bu da kişisel verilerin birçok yerde yeniden depolanmasına ve siber güvenlik risklerinin oluşmasına neden olabilmektedir (WEF, 2023, s. 12). Kendine Egemen Kimlik Sistemlerinin Riskleri ve Tartışmalar Kendi egemen kimlik sistemlerinin avantajları olduğu kadar bazı riskleri ve tartışılan boyutları da vardır. Dib & Toumi (2020, s. 33) bunları teknik ve teknik olmayan sorunlar olarak kategorize etmiştir. Teknik sınırlamalar açısından, dağıtık defter olarak blokzincir kullanımı ve anahtar depolamadan bahsetmişlerdir. Yazarlar ayrıca eski sistemleri, düzenlemeleri, standartları, uyarlamaları, erişilebilirliği ve aktörlerin davranışlarını teknik olmayan sorunlar olarak listelemişlerdir. Yeni teknolojilerin hızla gelişen doğası, bazı kuruluşların merkeziyetsiz kimlikle etkileşime girmekten çekinmesine neden olabilmektedir. Merkeziyetsiz kimlik modelleri, verilerin nasıl doğrulandığı, kaydedildiği, depolandığı ve yayınlandığı konusunda bir paradigma değişimini gerektirdiğinden, merkezi 127 olmayan bir modele geçiş, yüksek ön geliştirme maliyetlerine neden olmakta ve hatta bazı durumlarda eski sistemlerin elden geçirilmesini gerektirebilmektedir (WEF, 2023, s. 20). Standardizasyon zorlukları, birlikte çalışabilirlik veya sistemlerin bilgi alışverişi kapasitesi elde etmede bazı engeller yaratabilmektedir. Birlikte çalışabilirlik olmadan, dijital kimlik sistemleri sağlayıcı bağımlılığı riski taşımakta ve bireyleri yeni bir sağlayıcıya geçmenin yüksek maliyetleri nedeniyle tek bir sağlayıcı veya sağlayıcı seti kullanmaya zorlamaktadır (WEF, 2023, s. 20). Verileri sistemden sisteme taşıma yeteneği olmadan, merkeziyetsiz kimlik uygulamaları kullanıcı merkezlilik vizyonlarına ulaşamayacaktır. Günümüz teknolojisini kullanarak kriptografi tabanlı varlıkları yönetmenin zorluğunun bir sonucu olarak, birçok merkeziyetsiz yaklaşımda etkili kullanıcı arayüzü ve kullanıcı deneyimi tasarımı da eksiktir (Becker vd., 2022). İleride bu teknolojilerin kullanımı kolaylaşsa bile, kolaylık düzeyi kullanıcı eğitimine, bireylerin cüzdanları ve özel anahtarları yönetmek için gerekli becerileri geliştirme düzeyine bağlı olacaktır (WEF, 2023, s. 20). İnsanların verilerinin ve bilgilerinin korunmasını güvence altına almak için, elektronik imzalar, işlemler, sertifikalar, zaman damgaları vb. ile ilgili düzenlemelerin yanı sıra veri gizliliği ve koruması konusunda da düzenlemeler gereklidir. Merkeziyetsiz kimliklerin teşviki, blokzincir ağı, merkezi olmayan tanımlayıcılar, doğrulanabilir kimlik bilgileri ve dijital cüzdan gibi unsurların yasal değerinin tanınmasına bağlıdır (Bai vd., 2022, s. 506). Ancak günümüzde hâlen birçok ülke kişisel verileri koruma, elektronik imza ve dijital işlemler konusunda düzenlemelere sahip değildir. Öte yandan merkeziyetsiz kimlikler, kullanıcılarının kişisel gizliliğini korumada önemli bir atılım yapmış olsa da yasal düzenlemeler konusundaki zorluklar devam etmektedir. Blokzincir, verilerin yalnızca yüklendikten sonra değiştirilemeyeceğini garanti etmektedir; dolayısıyla yüklenmeden önceki bilgilerin gerçekliği garanti edilemediğinden, giderek daha fazla suç örgütü, yasa dışı işlemleri tamamlamak için şifreli bilgiler kullanmaktadır (Bai vd., 2022, s. 506). Özetle, her yeni teknolojide olduğu gibi burada da kullanım avantajlarının yanında birtakım riskler mevcuttur. Elbette merkeziyetsiz kimlik sistemlerinin hâlen geliştiği ve standartların sıklıkla güncellendiği de unutulmamalıdır. Kendine Egemen Kimlik Sistemlerinin Kullanım Alanları Kendine egemen kimlik sistemlerinin, dijitalin olanaklarından yararlanan hemen her sektörde kullanım alanı mevcuttur. Kimliklerin düzenlenmesi, denetlenmesi ve doğrulanması konularında devletlerin temel bir rol oynadığı 128 düşünüldüğünde kendine egemen kimliklerin en yaygın kullanıldığı alan devlet hizmetleridir. Dünya çapındaki birçok devlet halihazırda elektronik devlet hizmetleri geliştirmiş olsa da kullanıcı deneyimi, güvenlik, teknik eksikler gibi nedenlerle yeterince hızlı bir yaygın kullanıma geçilememiştir. Kendine egemen kimlik sistemleri bu hizmetleri daha verimli kılmaktadır. Örneğin Estonya'nın blokzincir kavramlarını kullanması Bitcoin öncesine dayanmaktadır. Estonya, vatandaşları ve oturma izni sahipleri için geliştirdiği ulusal kimlik şemasını ve uluslararası e-ikamet programını blokzincir üzerinde temellendirmesiyle dikkat çekmektedir (Sullivan & Burger, 2019, s. 249.). Estonya, Birleşik Krallık, Kanada ve Avustralya gibi ülkelerin yanı sıra günümüzde Avrupa Birliği’nin de blokzincir temelli merkeziyetsiz kimlik çözümleri üzerinde durduğu bilinmektedir (Bouma & Roberts, 2021; WEF, 2023). Devletler; resmi kimlikler, pasaportlar, vizeler, çalışma izinleri ve daha fazlası doğrulanabilir kimlik bilgilerine ihtiyaç duymaktadır. Vatandaşlar ise bu kimlik bilgilerini vergi ödemeleri, abonelik işlemleri, sağlık hizmetleri, elektronik oy verme gibi hizmetlere erişmek için kullanabilmektedir. Sağlık sektöründe hastaların sağlık verilerinin kullanım biçimlerinde uluslararası kabul edilmiş bir standart bulunmamaktadır. Kendine egemen kimlikler, sağlık hizmetleri yönetiminde yeni, daha verimli ve güvenli bir yol sunmaktadır. Bilişim teknolojileri açısından sağlık sektörünün acil bir dönüşüme ihtiyacı olduğu düşünülmüyor olsa da blokzincir tabanlı sistemlerin kullanımının kullanıcı deneyimi açısından sektörde bir kolaylık yaratması beklenmektedir (Shuaib vd., 2023, s. 205). Preukschat & Reed (2021, s. 16) ise sağlık sektörünün dijital altyapısının aslında çoğunlukla sektör profesyonelleri için kolaylık sağladığını ve kendine egemen kimlik sistemleriyle birlikte kendi sağlık verilerini yönetebilmeleri sayesinde hastaların da sisteme daha etkin bir şekilde katılabileceğini ifade etmişlerdir. Tıbbi kayıtlar, sigorta bilgileri, aşı takibi, e-reçeteler gibi dijital sağlık bilgilerinin küresel düzeyde tanınan bir sistemde yer alması hem sağlık sektörü hem de hastalar açısından büyük bir avantaj oluşturacaktır. Kendine egemen kimlik sistemlerinden yararlanılmasının kullanıcılar açısından fark yaratacağı sektörlerden biri de bankacılıktır. Türkiye Bankalar Birliği’ne (2024) göre, Ocak-Mart 2024 dönemi içinde bireysel ve kurumsal aktif dijital bankacılık müşteri sayısı 113 milyon 630 bin kişiye ulaşmıştır. Ancak bu sayı tüm bankalar arasındaki tekilleştirilmiş müşteri sayısı değildir. Bankalar arasındaki müşteri sayılarının tekilleştirilememesi de mevcut sistemde kendine egemen kimliklerin kullanılmıyor olmasıyla ilişkilidir. Dijital bankacılık faaliyetlerinin neredeyse tamamı bankalar, kredi birlikleri veya diğer finans kuruluşları tarafından doğrudan müşterilerin kullanımı için tasarlanmış uygulamalar tarafından sağlanmaktadır (Preukschat & Reed, 2021, s. 15). 129 Bunların bazıları kullanılabilirlik, güvenlik ve gizlilik özellikleri nedeniyle ödül kazanmış olsa da çoğu yine de tek bir sağlayıcıyla çalışan ve kendi oturum açma bilgileri/şifreleri olan özel uygulamalardır. Bu açıdan bakıldığında kendine egemen kimlik sistemleri özellikle son yıllarda bankacılık sektöründeki güvenlik açıkları ve telefon dolandırıcılıklarının önüne geçebilme fırsatı olarak da görülmektedir. Kendine egemen kimlik sistemleri Merkeziyetsiz Finans (Decentralized Finans, DeFi) ile aynı merkeziyetsizlik ilkelerini paylaşmaktadır ve bu da iki sistemin kimlik doğrulama görevleri için ideal bir çalışma ortamı sağlamaktadır. SSI, merkeziyetsiz uygulamalar (dApp) için her işlemde bir müşteri tanıma (Know Your customer, KYC) veya kayıt sürecinden geçme ihtiyacını ortadan kaldırmaktadır (Giacobino vd., 2022, s. 466). Pandemiden en çok etkilenen sektörlerden biri olan seyahat ve hizmet sektörü, kendine egemen kimliklerin yaygınlaşmasından en çok avantaj sağlayacak sektörlerden biri olarak kabul edilmektedir (Giacobino vd., 2022, s. 466). Özellikle uluslararası seyahatte gümrük işlemlerinin daha kolay ve etkin bir şekilde çözümlenebilmesiyle ilgili birçok farklı uygulama denenmektedir. ABD'deki Global Entry ve CLEAR, Kanada'daki Nexus, Birleşik Krallık’taki Registered Traveller ve dünya çapındaki diğer programlar, kimlik bilgilerinin derinlemesine bir kontrolünü yapmak, biyometrik bilgileri kaydetmek ve böylece gümrükten hızlı bir şekilde geçmeyi sağlamak için tasarlanmıştır (Preukschat & Reed, 2021, s. 17). Ancak bu programların uygulanması oldukça maliyetli olmakla birlikte her havaalanında özel tesisler ve personel gerektirmektedir. Gümrük işlemlerinin yanı sıra pasaportlar, vizeler, Covid19 aşı sertifikaları, şirketlere ait üyelik bilgileri, havaalanı güvenliği, hızlı havayolu check-in'i gibi birçok bilgi ve hizmet merkeziyetsiz kimlikler sayesinde daha kolay işlenebilir ve kullanılabilir olma potansiyeline sahiptir. Kendine egemen kimlik sistemlerinin kullanım senaryolarının olasılığı, özellikle e-ticaret, tedarik zinciri, gayrimenkul alım-satım ve kiralama, eğitim, dolandırıcılık tespiti, güvenilir veri aktarımı gibi birçok alanda çeşitlendirilebilir. SONUÇ Dijital kimlik, bir kullanıcının veya varlığın kendi özelliklerden veya verilerinin niteliklerinden oluşmaktadır ve bir kullanıcıyı veya varlığı çevrimiçi ve dijital dünyada tanımlamak için kullanılmaktadır. İnternet teknolojisinin ortaya çıkışından bugüne, bireylerin birer kullanıcı olarak işlem yapmaları gereken her durumda kendi varlıklarını doğrulamaları için kullanılması gerekmiştir. İnternet teknolojilerinin evrimi sürecinde ise tespit edilmiş ihtiyaçlar 130 veya ortaya çıkan birtakım sorunlar doğrultusunda, dijital kimlik sistemleri değişmeye ve dönüşmeye devam etmiştir. Günümüzden geçmişe bakıldığında Web 1.0 döneminde oldukça temel düzeyde olan kimlik yönetimi biçimi, Web 2.0 döneminde yeni sistemler ve farklı protokollerle güncellenmiştir. Ancak bu dönemde merkezi kimlik yönetimi sistemlerinin yaygın bir pratiğe dönüşmüş olduğu görülmektedir. Verilerin merkezi olarak oluşturulması, depolanması ve kullanılması ise veri güvenliği açısından ciddi sorunlar yaratmaktadır. Web 3.0 ve dijital kimlik kavramlarının gelişimi, bireylerin çevrimiçi dünyada kimliklerini güvenli ve etkili bir şekilde yönetmeleri için yeni fırsatlar sunmaktadır. Başta blokzincir olmak üzere teknolojik yenilikler, kullanıcıların dijital kimliklerini merkezi olmayan bir yapıda yönetmelerine olanak tanırken, bu kimliklerin güvenliği ve gizliliği konusunda da önemli adımlar atılmaktadır. Ancak, bu teknolojilerin potansiyelinin tam olarak anlaşılması ve uygulanması için daha fazla araştırma ve geliştirme gerekmektedir. Dijital kimliklerin geleceği, bu alandaki yeniliklerin toplumsal ve yasal yapılarla nasıl entegre edileceğine bağlı olarak şekillenecektir. KAYNAKÇA Akerlof, A. & Kranton, R. E. (2011). Identity economics: How our identities shape our work, wages, and well-being. Princeton University Press. https://doi.org/ 10.1515/9781400834181. Allen, C. (2016). The path to self-sovereign ıdentity. Life with Alacrity. http://www.lifewithalacrity.com/2016/04/the-path-to-self-soverereignidentity.html#dfref-1111 [Erişim Tarihi: 13.08.2024] Ayed, G. B. (2014). Architecting user-centric privacy-as-a-set-of-services: Digital identity-related privacy framework, Springer. Bai, Y., Lei, H., Li, S., Gao, S., Li, J., & Li, L. (2022). Decentralized and self-sovereign identity in the era of blockchain: A survey. 2022 IEEE International Conference on Blockchain, 500-507, DOI: 10.1109/Blockchain55522.2022.00077. Bauman, Z. (2019). Kimlik. (M. Hazır, Çev.) Heretik Yayınları. Becker, K., Serota, L., Scuri, S., & Wang, T. (2022). UX in Cryptocurrency: An Overview of User Experience in Cryptocurrency Applications, CRADL Report. https://cradl.org/ux-in-cryptocurrency. [Erişim Tarihi: 15.08.2024] Bouma, T. & Roberts, D. (2021). Canada: Enabling self-sovereign identity. In A. Preukschat & D. Reed (Eds.) Self-sovereign identity. Manning Publications. BM Türkiye, Sürdürülebilir kalkınma amacı 16. Barış, adalet ve güçlü kurumlar. https://turkiye.un.org/tr/sdgs/16 [Erişim Tarihi: 20.08.2024] 131 Bugyis, G. (2021). Introducing Veramo. Medium. https://medium.com/uport/ introducing-veramo-5a960bf2a5fe [Erişim Tarihi: 04.10.2024] Cameron, K. (2005). The laws of identity. Kim Cameron’s Identity Weblog. www.identityblog.com/?p=352 [Erişim Tarihi: 13.08.2024] Cheng, S. (2024). Web 3.0: Concept, content and context, Tsinghua University Press Cisco. (2019). Consumer privacy survey: The growing imperative of getting data privacy right, Cisco Cybersecurity Series. https://www.cisco.com/c/dam/ global/en_uk/products/collateral/security/cybersecurity-series-2019cps.pdf [Erişim Tarihi: 15.08.2024] Cover, R. (2023). Identity and digital communication: Concepts, theories, practices. Routledge. Dib, O. & Toumi, K. (2020). Decentralized identity systems: Architecture, challenges, solutions and future directions. Annals of Emerging Technologies in Computing (AETiC). 4(5), 19–40. DOI: 10.33166/AETiC.2020.05.002. Doğan, Ö. & Karacan H. (2022). Türkiye’deki e-ticarete özgü blokzincir tabanlı dijital kimlik güven çerçevesi önerisi. Bilgi Yönetimi Dergisi, 5(2), 256–279. DOI: 10.33721/by.1113558. FATF (2020), Guidance on digital identity. https://www.fatf-gafi.org/en/ publications/Financialinclusionandnpoissues/Digital-identity-guidance.html. [Erişim Tarihi: 13.08.2024] FinTech Futures. (2018). The future of client onboarding. FinTech Futures, https://www.fintechfutures.com/2018/09/the-future-of-client-onboarding. [Erişim Tarihi: 15.08.2024] Giacobino, A., Grierson, D., Singh, H. P., McHale, P., & Maggs, S. (2022). Cosmos Cash: public permissionless approach towards SSI and use cases. 2022 IEEE International Conference on Blockchain. 462-467. DOI 10.1109/Blockchain 55522.2022.00071 Giannopoulou, A. (2023). Digital identity infrastructures: A critical approach of selfsovereign identity. Digital Society, 2(18). https://doi.org/10.1007/s44206023-00049-z. Giannopoulou, A. & Wang, F. (2021). Self-sovereign identity. Internet Policy Review, 10(2). https://doi.org/10.14763/2021.2.1550. Glässer, U. & Vajihollahi, M. (2010). Identity management architecture. In C. Yang, M. Chau, J. H. Wang, & H. Chen (Eds.) Security informatics. Annals of information systems, vol 9. Springer. https://doi.org/10.1007/978-1-4419-1325-8_6. Grassi, P., Garcia, M., & Fenton, J. (2020). Digital identity guidelines. NIST special publication 800–63–3. https://doi.org/10.6028/NIST.SP.800-63-3. [Erişim Tarihi: 15.08.2024] Grüner A., Mühle A., & Meinel C. (2018). On the relevance of blockchain in identity management. Hasso-Plattner-Institut, https://hpi.de/fileadmin/user_upload/ fachgebiete/meinel/teaching/ws2020/relevance_blockchain.pdf. [Erişim Tarihi: 16.08.2024] 132 Hancock, A. (2020). Digital identification must be designed for privacy and equity. Electronic Frontier Foundation. https://www.eff.org/deeplinks/2020/08/ digital-identification-must-be-designed-privacy-and-equity-10. [Erişim Tarihi: 15.08.2024] Heiligenstein, M. X. (2023). Facebook data breaches: Full timeline through 2023. Firewall Times. https://firewalltimes.com/facebook-data-breach-timeline/. [Erişim Tarihi: 17.08.2024] Hoepman, J. H. (2021). Privacy is hard and seven other myths: Achieving privacy through careful design. The MIT Press. James, D. F. (1999). What is identity (as we now use the word), Stanford University. Karahan, Ç. & Tüfekci, A. (2020). Blokzincir teknolojisinin dijital kimlik yönetiminde kullanımı: Bir sistematik haritalama çalışması, Politeknik Dergisi, 23(2), 483496. https://doi.org/10.2339/politeknik.654503. Khatchatourov, A. (2019). Digital identities in tension. Between autonomy and control. Wiley. LexisNexis Risk Solutions. (2022). True cost of financial crime compliance study – Global summary. https://risk.lexisnexis.com/insights-resources/research/ true-cost-of-financial-crime-compliance-study-global-report. [Erişim Tarihi: 15.08.2024] Liu, Y., He, D., Obaidat, M. S., Kumar, N., Khan, M. K., & Choo, K. K. R. (2020). Blockchain-based identity management systems: A review. Journal of Network and Computer Applications, 166, 102731. https://doi.org/10.1016/ j.jnca.2020.102731. Mohammed, I. A. (2017). Systematic review of identity access management in information security. International Journal of Innovations in Engineering Research and Technology, 4(7), 1-7. https://repo.ijiert.org/index.php/ ijiert/article/view/2780/2466. Munday, R., & Chandler, D. (2018). Medya ve iletişim sözlüğü. (B. Taşdemir, Çev.). İletişim Yayınları. Naik, N. & Jenkins, P. (2020). uPort open-source identity management system: An assessment of self-sovereign identity and user-centric data platform built on blockchain, 2020 IEEE International Symposium on Systems Engineering (ISSE), 1-7. DOI: 10.1109/ISSE49799.2020.9272223. Nyst, C., Makin, P., Pannifer, S., & Whitley, E. (2016). Digital identity: Issue analysis: executive summary. Consult Hyperion, Guildford. https://chyp.com/wpcontent/uploads/2020/06/PRJ.1578-Omidyar-Network-Digital-IdentityIssue-Analysis-Executive-Summary-v1_2-1.pdf. [Erişim Tarihi: 16.08.2024] Petrosyan, A. (2024a). Data breaches worldwide. Statistics & facts. Statista. https://www.statista.com/topics/11610/data-breachesworldwide/#topicOverview. [Erişim Tarihi: 13.08.2024] Petrosyan, A. (2024b). All-time biggest online data breaches 2024. Statista. https://www.statista.com/statistics/290525/cyber-crime-biggest-onlinedata-breaches-worldwide/. [Erişim Tarihi: 13.08.2024] 133 Plantin, J.-C., Lagoze, C., Edwards, P. N., & Sandvig, C. (2018). Infrastructure studies meet platform studies in the age of Google and Facebook. New Media & Society, 20(1), 293-310. https://doi.org/10.1177/1461444816661553. Preukschat, A. & Reed, D. (2021). Why the internet is missing an identity layer—and why SSI can finally provide one. In A. Preukschat & D. Reed (Eds.) Self-sovereign identity. Manning Publications. Riabi, I., Ayed, H. K. B., & Saidane, L. A. (2019). A survey on Blockchain based access control for Internet of Things, 2019 15th International Wireless Communications & Mobile Computing Conference (IWCMC), 502-507, DOI: 10.1109/IWCMC.2019.8766453. SelfKey, (2017). Selfkey DAO WhitePaper. The SelfKey Foundation, https://selfkey.org/selfkey-whitepaper-2017-en/. [Erişim Tarihi: 19.08.2024] Sheldrake, P. (2022). Human identity: The number one challenge in computer science. Generative Identity. https://generative-identity.org/human-identity-thenumber-one-challenge-in-computer-science/. [Erişim Tarihi: 16.08.2024] ShoCard Inc. (2017). Shocard whitepaper. Identity management verified using the blockchain. ShoCard Inc. https://shocard.com/wp-content/uploads/2016/ 11/travel-identity-of-the-future.pdf. [Erişim Tarihi: 19.08.2024] Shuaib, M., Alam, S., Alam, M. S., & Nasir, M. S. (2023). Self-sovereign identity for healthcare using blockchain. Materials Today: Proceedings, 81, 203-207. ISSN 2214-7853, https://doi.org/10.1016/j.matpr.2021.03.083. Sullivan, C. (2011). Digital identity: An emergent legal concept. University of Adelaide Press. Sullivan, C. & Burger, E. (2019). Blockchain, digital identity, e-government. In H. Treiblmaier & R. Beck (Eds.), Business transformation through blockchain. Palgrave Macmillan, https://doi.org/10.1007/978-3-319-99058-3_9. Sullivan, C., & Tyson, S. (2023). A global digital identity for all: the next evolution. Policy Design and Practice, 6(4), 433–445. https://doi.org/10.1080/ 25741292.2023.2267867. Soltani, R., Nguyen, U. T., & An, A. (2021). A survey of self-sovereign identity ecosystem, Security and Communication Networks, 8873429, https://doi.org/10.1155/2021/8873429. The Moxy Tongue (2012). What is sovereign source authority? The Moxy Tongue. https://www.moxytongue.com/2012/02/what-is-sovereignsourceauthority.html [Erişim Tarihi: 13.08.2024] Tobin, A. & Reed, D. (2017). The inevitable rise of self-sovereign identity, The Sovrin Foundation. https://sovrin.org/library/inevitable-rise-of-self-sovereignidentity/. [Erişim Tarihi: 19.08.2024] Torpey, J. C. (2018). The invention of the passport. Cambridge University Press. Trust Over IP Foundation. (2022). Overcoming Human Harm Challenges in Digital Identity Ecosystems, https://trustoverip.org/wp-content/uploads/ Overcoming-Human-Harm-Challenges-in-Digital-IdentityEcosystems-V1.02022-11-16.pdf. [Erişim Tarihi: 15.08.2024] 134 Türkiye Bankalar Birliği. (2024). Dijital, internet ve mobil bankacılık istatistikleri. https://www.tbb.org.tr/Content/Upload/istatistikiraporlar/ekler/4321/Dijit al-Internet-Mobil_Bankacilik_Istatistikleri-Mart_2024.pdf [Erişim Tarihi: 06.10.2024] Van Bokkem, D., Hageman, R., Koning, G., Nguyen, L., & Zarin, N. (2019). Self-sovereign identity solutions: The necessity of blockchain technology. arXiv preprint, https://doi.org/10.48550/arXiv.1904.12816. [Erişim Tarihi: 12.08.2024] Wang, F. & Filippi, P. D. (2020). Self-sovereign identity in a globalized world: Credentials-based identity systems as a driver for economic inclusion, Frontiers in Blockchain, 2(28), https://doi.org/10.3389/fbloc.2019.00028. World Bank Group. (2021). The global findex database 2021: Executive summary visualization. https://www.worldbank.org/en/publication/globalfindex/interactiveexecutive-summary-visualization. [Erişim Tarihi: 15.08.2024] World Bank Group, GSMA, Secure Identity Alliance. (2016). Digital identity: Towards shared principles for public and private sector cooperation. World Bank Group https://www.gsma.com/solutions-and-impact/connectivity-forgood/mobile-for-development/gsma_resources/digital-identity-towardsshared-principles-public-private-sector-cooperation/. [Erişim Tarihi: 15.08.2024] World Economic Forum (WEF). (2023). Reimagining digital ID. Insight Report. https://www3.weforum.org/docs/WEF_Reimagining_Digital_ID_2023.pdf. [Erişim Tarihi: 12.08.2024] Zhu, X. & Badr, Y. (2018). Identity Management Systems for the internet of things: A survey towards blockchain solutions. Sensors, 18(12), 4215; https://doi.org/ 10.3390/s18124215. Zuboff, S. (2019). The age of surveillance capitalism: The fight for a human future at the new frontier of power. Profile Books.