Teknik Beyaz Kitaplar

Bu beyaz kitap, PDF Pro'nun Güvenli Aktarım sisteminin mimarisini açıklar; dosyaların yüklenmeden önce AES-256-GCM kullanılarak istemci tarafında şifrelendiği bir sıfır bilgi dosya aktarım mekanizmasıdır. Sunucu yalnızca anlaşılmaz şifreli metni saklar ve dosya içeriğini herhangi bir noktada çözme, inceleme veya okuma yeteneğine sahip değildir. Sistem iki anahtar modunu destekler: otomatik oluşturulmuş rastgele anahtar (sunucuya asla gönderilmeyen URL fragmanı aracılığıyla taşınır) veya PBKDF2 kullanılarak parola ifadesinden türetilen anahtar. Her iki modda da şifreleme anahtarı yalnızca gönderenin ve alıcının tarayıcılarında bulunur. Bu belge, kriptografik ilkelleri, veri akışını, tehdit modelini ve sistemin dürüst sınırlamalarını ayrıntılı olarak açıklar.

Güvenli Aktarım sistemi, tüm kriptografik işlemlerin yalnızca tarayıcıda gerçekleştiği katı bir istemci-sunucu ayrımını takip eder:

• İstemci (Tarayıcı): Anahtar türetme, şifreleme, şifre çözme, dosya okuma, dosya yeniden oluşturma.
• Sunucu (Supabase Storage + Sunucusuz Fonksiyonlar): Şifreli blob'ları saklar, meta verileri (son kullanma, indirme sayısı) yönetir, erişim politikalarını uygular.

Sunucu, şifreli veriler için kasıtlı olarak "aptal bir boru" olacak şekilde tasarlanmıştır. Şifreleme anahtarı, parola ifadesi veya dosya içeriği hakkında hiçbir bilgisi yoktur. Bu, yalnızca politika ile değil, mimari olarak uygulanır.

Tüm dosya şifreleme, tarayıcının yerel Web Crypto API'si aracılığıyla erişilen AES-256-GCM kimliği doğrulanmış şifreleme algoritmasını kullanır. Bu, hem gizlilik (verilerin okunamaması) hem de bütünlük (verilerin algılanmadan değiştirilememesi) sağlar.

1.3.1 Algoritma Parametreleri

1.3.2 Şifreleme Uygulaması

// Basitleştirilmiş şifreleme akışı (Web Crypto API)

const iv = crypto.getRandomValues(new Uint8Array(12));
const salt = crypto.getRandomValues(new Uint8Array(16));

// Anahtarı parola ifadesinden türet (bkz. Bölüm 1.4)
const key = await deriveKey(passphrase, salt);

// Dosyayı şifrele
const ciphertext = await crypto.subtle.encrypt(
  { name: "AES-GCM", iv: iv },
  key,
  fileArrayBuffer
);

// Paket: [salt (16B)] + [iv (12B)] + [şifreli metin + etiket]
const blob = concatenate(salt, iv, ciphertext);

Son şifrelenmiş blob, üç bileşenin birleşiminden oluşur: 16 baytlık salt (anahtar türetme için kullanılır), 12 baytlık IV (AES-GCM için kullanılır) ve eklenmiş 16 baytlık GCM kimlik doğrulama etiketiyle şifreli metin. Bu blob, sunucunun aldığı ve sakladığı verilerdir.

Güvenli Aktarım, birbirini dışlayan iki anahtar modunu destekler. Mod, gönderici tarafından aktarım oluşturma sırasında seçilir.

1.4.1 Mod A — Otomatik Oluşturulmuş Anahtar (Varsayılan)

Varsayılan modda parola ifadesi söz konusu değildir. Tarayıcı, doğrudan kriptografik olarak rastgele bir 256 bit AES anahtarı oluşturur:

• Tarayıcı, crypto.getRandomValues() ve crypto.subtle.generateKey() aracılığıyla rastgele bir 256 bit AES-GCM anahtarı oluşturur.
• Anahtar, ham bayt olarak dışa aktarılır ve URL fragmanına (#) yerleştirilir.
• HTTP spesifikasyonuna göre URL fragmanı sunucuya asla gönderilmez — yalnızca tarayıcı tarafından işlenir.
• Gönderici, tam URL'yi (fragman dahil) tercih ettiği kanal aracılığıyla (ör. mesajlaşma uygulaması, e-posta) alıcıyla paylaşır.
• Alıcının tarayıcısı, anahtarı URL fragmanından çıkarır ve dosyanın şifresini çözmek için kullanır.

1.4.2 Mod B — Parola İfadesi Korumalı Aktarım

Gönderici parola ifadesi belirlemeyi seçtiğinde, anahtar bu parola ifadesinden PBKDF2 kullanılarak türetilir:

• Kullanıcı bir parola ifadesi sağlar.
• Parola ifadesi, PBKDF2-SHA256 aracılığıyla bir AES-256 anahtarı türetmek için kullanılır.
• Parametreler: 600.000 yineleme, rastgele 16 baytlık salt.
• Türetilen anahtar dosyayı şifreler.
• Salt, şifreli metnin yanında saklanır (şifreli blob'un başına eklenir).
• Parola ifadesi, bant dışı paylaşılır (bağlantıdan ayrı olarak).
• Parola ifadesi kurtarma mümkün değildir — ne sunucu ne de PDF Pro unutulmuş bir parola ifadesini kurtarabilir.

1.4.3 PBKDF2 Parametreleri (Mod B)

1.4.4 Anahtar Türetme Uygulaması (Mod B)

async function deriveKey(passphrase, salt) {
  // Parola ifadesini ham anahtar malzemesi olarak içe aktar
  const keyMaterial = await crypto.subtle.importKey(
    "raw",
    new TextEncoder().encode(passphrase),
    { name: "PBKDF2" },
    false,
    ["deriveKey"]
  );

  // AES-256-GCM anahtarını türet
  return crypto.subtle.deriveKey(
    {
      name: "PBKDF2",
      salt: salt,
      iterations: 600000,
      hash: "SHA-256"
    },
    keyMaterial,
    { name: "AES-GCM", length: 256 },
    false,
    ["encrypt", "decrypt"]
  );
}

Güvenli bir aktarımın tam yaşam döngüsü şu yolu izler:

1.5.1 Gönderme (Yükleme) — Mod A (Otomatik Oluşturulmuş Anahtar)

1. Gönderici, tarayıcıda bir dosya seçer.
2. Tarayıcı, crypto.getRandomValues() kullanarak rastgele bir 256 bit AES-GCM anahtarı ve rastgele 12 baytlık bir IV oluşturur.
3. Tarayıcı, AES-256-GCM kullanarak dosyayı şifreler ve şifreli metin + kimlik doğrulama etiketi üretir.
4. Tarayıcı, [IV | şifreli metin+etiket] bileşenlerini tek bir blob'da birleştirir.
5. Tarayıcı, şifrelenmiş blob'u HTTPS üzerinden sunucuya yükler.
6. Sunucu blob'u Supabase Storage'da saklar ve bir meta veri kaydı oluşturur (aktarım kimliği, son kullanma, indirme limiti, dosya adı, dosya boyutu).
7. Sunucu bir aktarım URL'si döndürür. Tarayıcı, dışa aktarılan anahtarı URL fragmanına (#) ekler.
8. Gönderici, tam URL'yi (fragman ile) alıcıyla paylaşır.

1.5.2 Gönderme (Yükleme) — Mod B (Parola İfadesi)

1. Gönderici, tarayıcıda bir dosya seçer ve bir parola ifadesi girer.
2. Tarayıcı, crypto.getRandomValues() kullanarak rastgele bir 16 baytlık salt ve 12 baytlık IV oluşturur.
3. Tarayıcı, PBKDF2 (600K yineleme) kullanarak parola ifadesinden bir AES-256 anahtarı türetir.
4. Tarayıcı, AES-256-GCM kullanarak dosyayı şifreler ve şifreli metin + kimlik doğrulama etiketi üretir.
5. Tarayıcı, [salt | IV | şifreli metin+etiket] bileşenlerini tek bir blob'da birleştirir.
6. Tarayıcı, şifrelenmiş blob'u HTTPS üzerinden sunucuya yükler.
7. Sunucu blob'u Supabase Storage'da saklar ve bir meta veri kaydı oluşturur (aktarım kimliği, son kullanma, indirme limiti, dosya adı, dosya boyutu).
8. Sunucu, aktarım kimliğini içeren bir aktarım URL'si döndürür.
9. Gönderici, aktarım URL'sini ve parola ifadesini ayrı kanallar aracılığıyla alıcıyla paylaşır.

1.5.3 Alma (İndirme) — Mod A

1. Alıcı tam aktarım URL'sini açar (anahtar fragmanda).
2. Tarayıcı AES anahtarını URL fragmanından çıkarır (sunucuya asla gönderilmez).
3. Tarayıcı şifrelenmiş blob'u HTTPS üzerinden sunucudan indirir.
4. Tarayıcı blob'dan IV'yi (ilk 12 bayt) çıkarır.
5. Tarayıcı, çıkarılan anahtar ve IV ile AES-256-GCM kullanarak şifreli metnin şifresini çözer.
6. Şifre çözme başarılı olursa (GCM etiketi doğrulanırsa), düz metin dosya kullanıcıya sunulur.
7. Sunucu indirme sayacını günceller ve okunduğunda-yok-et etkinse blob'u siler.

1.5.4 Alma (İndirme) — Mod B

1. Alıcı aktarım URL'sini açar ve tarayıcıda parola ifadesini girer.
2. Tarayıcı şifrelenmiş blob'u HTTPS üzerinden sunucudan indirir.
3. Tarayıcı, blob'dan salt'ı (ilk 16 bayt) ve IV'yi (sonraki 12 bayt) çıkarır.
4. Tarayıcı, PBKDF2 (600K yineleme) kullanarak parola ifadesi + salt'tan AES-256 anahtarını türetir.
5. Tarayıcı, türetilen anahtar ve IV ile AES-256-GCM kullanarak şifreli metnin şifresini çözer.
6. Şifre çözme başarılı olursa (GCM etiketi doğrulanırsa), düz metin dosya kullanıcıya sunulur.
7. Şifre çözme başarısız olursa (yanlış parola ifadesi = yanlış anahtar = geçersiz GCM etiketi), bir hata gösterilir.
8. Sunucu indirme sayacını günceller ve okunduğunda-yok-et etkinse blob'u siler.

Tüm güvenli aktarımlar tasarım gereği geçicidir. Kalıcı depolama seçeneği yoktur.

1.7.1 Son Kullanma Seçenekleri

1.7.2 Silme Garantisi

Bir aktarımın süresi dolduğunda veya okunduğunda yok edildiğinde, şifrelenmiş blob Supabase Storage'dan kalıcı olarak silinir. Meta veri kaydı, kalıcı olarak temizlenmeden önce 30 gün boyunca yumuşak silinmiş bir durumda (suistimal araştırması için) saklanır. Meta veri kaydı; şifreleme anahtarı, parola ifadesi veya dosyayı yeniden oluşturmak için kullanılabilecek herhangi bir bilgi içermez.

1.8.1 Varsayımlar

• Güvenilir tarayıcı çalışma zamanı (kötü amaçlı uzantı yok)
• Bağlantı/parola ifadesi paylaşımı için güvenli kanal
• HTTPS sonlandırmasına güvenilir
• Alıcı cihazı ele geçirilmemiştir
• Ekran görüntüsü engelleme yok

1.8.2 Kapsam Dışı

• Uç nokta cihazlarındaki kötü amaçlı yazılım
• Sosyal mühendislik / kimlik avı saldırıları
• Alıcıların ekran görüntüsü alması
• Ele geçirilmiş tarayıcı uzantıları
• Kuantum bilgi işlem saldırıları (gelecekteki dikkate alma)

• Parola ifadesi gücü kullanıcı tarafından kontrol edilir. Arayüzde minimum uzunluğu zorunlu kılabiliriz, ancak kullanıcıların zayıf parola ifadeleri seçmesini engelleyemeyiz. Şifrelemenin güvenliği, parola ifadesinin entropisi ile doğru orantılıdır.
• Parola ifadesi iletimi bant dışıdır. Parola ifadesini paylaşmak için güvenli bir kanal sağlamıyoruz. Parola ifadesi güvensiz bir kanal üzerinden (ör. aktarım URL'si ile birlikte şifrelenmemiş e-posta) paylaşılırsa, güvenlik modeli zayıflar.
• Dosya meta verileri şifrelenmez. Orijinal dosya adı ve dosya boyutu sunucuda düz metin olarak saklanır. İçeriği şifrelenmiş kalsa da bu, aktarılan dosyanın türünü ve yaklaşık doğasını açığa çıkarır.
• İstemci tarafı kod güveni. Kullanıcıların CDN'imiz tarafından sunulan JavaScript'in doğru ve değiştirilmemiş kod olduğuna güvenmesi gerekir. Ele geçirilmiş bir CDN veya DNS ele geçirmesi kötü amaçlı JavaScript sunabilir. Bu, tüm web tabanlı kriptografinin temel bir sınırlamasıdır.
• İleri gizlilik yok. Parola ifadesi şifrelenmiş blob silinmeden önce herhangi bir noktada ele geçirilirse, blob'un saklanan bir kopyasının şifresi çözülebilir. Okunduğunda yok et ve kısa son kullanma süreleri bunu hafifletir.
• Tarayıcı güvenlik modeli bağımlılığı. Sistemin güvenliği, tarayıcının Web Crypto API uygulamasına ve bellek izolasyonuna bağlıdır. Ele geçirilmiş bir tarayıcı veya kötü amaçlı tarayıcı uzantısı tüm istemci tarafı korumaları baltalayabilir.
• Kuantum bilgi işlem. AES-256 kuantum dirençli kabul edilir (Grover'ın algoritması etkin güvenliği 128 bite düşürür, bu da hâlâ imkansızdır). Ancak SHA-256 ile PBKDF2, özellikle kuantum sonrası direnç için tasarlanmamıştır. Bu yakın vadeli bir endişe değildir ancak eksiksizlik için not edilmiştir.

Bu beyaz kitap, PDF Pro'nun Gizlilik İmzası sisteminin mimarisini açıklar; PDF belgesinin imzalayanın tarayıcısından asla ayrılmadığı kriptografik bir belge imzalama mekanizmasıdır. Sistem, ayrık dijital imzalar üretmek için P-256 eğrisi ile ECDSA ve SHA-256 hash'leme kullanır. Sunucuya yalnızca belge hash'i, kriptografik imza ve açık anahtar iletilir. Özel anahtarlar; PBKDF2 anahtar türetme (600.000 yineleme) ve AES-256-GCM şifrelemesi ile korunarak IndexedDB kullanılarak yalnızca kullanıcının tarayıcısında oluşturulur, şifrelenir ve saklanır. Bu belge, eksiksiz imzalama ve doğrulama mimarisini, anahtar yönetim modelini, imzalanmış yük şemasını, denetim izi tasarımını, tehdit modelini ve dürüst sınırlamaları ayrıntılı olarak açıklar.

Gizlilik İmzası sistemi temel bir kısıtlama etrafında tasarlanmıştır: PDF belgesi sunucuya asla iletilmemelidir. Bu, ayrık imza modeli aracılığıyla mimari olarak uygulanır.

• İstemci (Tarayıcı): Anahtar oluşturma, anahtar depolama (IndexedDB'de şifrelenmiş), belge hash'leme (SHA-256), imza oluşturma (ECDSA P-256), imza doğrulama.
• Sunucu (Supabase): Açık anahtarları, imza kayıtlarını (hash + imza + meta veri) ve denetim izi olaylarını saklar. PDF belgesini, özel anahtarları veya anahtar parola ifadelerini asla almaz.

2.3.1 Algoritma Parametreleri

2.3.2 İmzalama Akışı

// 1. PDF belgesini hash'le (istemci tarafı)
const fileBuffer = await file.arrayBuffer();
const hashBuffer = await crypto.subtle.digest("SHA-256", fileBuffer);
const hashHex = Array.from(new Uint8Array(hashBuffer))
  .map(b => b.toString(16).padStart(2, '0')).join('');

// 2. Hash'i özel anahtarla imzala (istemci tarafı)
const signature = await crypto.subtle.sign(
  { name: "ECDSA", hash: "SHA-256" },
  privateKey,   // IndexedDB'den CryptoKey (şifresi çözülmüş)
  hashBuffer
);

// 3. Sunucuya gönder: hash + imza + açık anahtar (PDF DEĞİL)
await submitSignature({
  documentHash: hashHex,
  signature: base64Encode(signature),
  publicKey: exportedPublicKeyJWK
});

2.4.1 Anahtar Oluşturma

// ECDSA P-256 anahtar çifti oluştur (Web Crypto API)
const keyPair = await crypto.subtle.generateKey(
  {
    name: "ECDSA",
    namedCurve: "P-256"
  },
  true,   // çıkarılabilir (şifreleme + depolama için gerekli)
  ["sign", "verify"]
);

// Sunucu kaydı için açık anahtarı JWK olarak dışa aktar
const publicKeyJWK = await crypto.subtle.exportKey("jwk", keyPair.publicKey);

// Şifrelenmiş depolama için özel anahtarı JWK olarak dışa aktar
const privateKeyJWK = await crypto.subtle.exportKey("jwk", keyPair.privateKey);

Kalıcı özel anahtarlar asla düz metin olarak saklanmaz. IndexedDB'ye yazılmadan önce özel anahtar (JWK JSON olarak dışa aktarılmış), Güvenli Aktarım ile aynı model kullanılarak şifrelenir:

2.5.1 Koruma Parametreleri

2.5.2 Depolama Şeması

// Şifrelenmiş bir imzalama anahtarı için IndexedDB kayıt yapısı
{
  "keyId":       "uuid-v4-unique-identifier",
  "publicKey":   { /* JWK formatı, şifrelenmemiş */ },
  "encryptedPrivateKey": {
    "salt":       "base64-encoded-16-bytes",
    "iv":         "base64-encoded-12-bytes",
    "ciphertext": "base64-encoded-aes-gcm-ciphertext"
  },
  "algorithm":   "ECDSA",
  "curve":       "P-256",
  "createdAt":   "2026-04-16T00:00:00.000Z",
  "userId":      "supabase-auth-user-id"
}

PDF Pro, ayrık imza modeli kullanır; bu, imzanın belgeden ayrı olarak saklandığı anlamına gelir. Bu kritik gizlilik mekanizmasıdır: belge imzalayanın cihazından asla ayrılmaz.

2.6.1 Sunucuya Gönderilenler

• PDF'nin SHA-256 hash'i (32 bayt, 64 karaktere hex kodlanmış).
• Hash üzerinde ECDSA imzası (64 bayt, base64 kodlu).
• İmzalayanın açık anahtarı (JWK formatı).
• Meta veri: imzalayan görünen adı, imzalayan e-postası (kimliği doğrulanmışsa), zaman damgası, imza kimliği.

2.6.2 Sunucuya Gönderilmeyenler

• PDF belgesinin kendisi — asla iletilmez.
• Özel anahtar — tarayıcıdan asla ayrılmaz.
• İmzalama parola ifadesi — tarayıcıdan asla ayrılmaz.
• PDF'deki herhangi bir sayfa içeriği, metin veya görüntü.

Aşağıdaki JSON şeması, sunucuda saklanan eksiksiz imza kaydını tanımlar:

{
  "schemaVersion":  "1.0",
  "signatureId":    "uuid-v4",
  "documentHash":   "sha256-hex-64-chars",
  "hashAlgorithm":  "SHA-256",
  "signature":      "base64-encoded-ecdsa-signature",
  "signatureAlgorithm": "ECDSA",
  "curve":          "P-256",
  "publicKey": {
    "kty": "EC",
    "crv": "P-256",
    "x":   "base64url-encoded-x-coordinate",
    "y":   "base64url-encoded-y-coordinate"
  },
  "signer": {
    "identityLevel": "authenticated | self-asserted",
    "displayName":   "string or null",
    "email":         "string or null",
    "userId":        "supabase-uid or null"
  },
  "timestamp":      "ISO-8601-UTC",
  "metadata": {
    "fileName":     "original-file-name.pdf",
    "fileSize":     123456,
    "pageCount":    12,
    "clientVersion": "2.0.0",
    "userAgent":    "browser-user-agent-string"
  },
  "auditChain": {
    "previousEventHash": "sha256-of-previous-audit-event or null",
    "eventHash":         "sha256-of-this-record"
  }
}

İmza doğrulama iki aşamalı bir süreçtir: istemci tarafı kriptografik doğrulama ve ardından sunucu tarafı çapraz kontrol.

2.8.1 1. Aşama: İstemci Tarafı Kriptografik Doğrulama

1. Kullanıcı tarayıcıya bir PDF yükler.
2. Tarayıcı yüklenen PDF'nin SHA-256 hash'ini hesaplar.
3. Tarayıcı, bu hash ile eşleşen imza kayıtlarını sunucuya sorar.
4. Döndürülen her imza kaydı için tarayıcı ECDSA doğrulaması gerçekleştirir:

   const isValid = await crypto.subtle.verify(
     { name: "ECDSA", hash: "SHA-256" },
     importedPublicKey,
     signatureBuffer,
     hashBuffer
   );

5. isValid === true ise imza kriptografik olarak geçerlidir: belge imzalamadan bu yana değiştirilmemiştir ve imza, ilgili özel anahtarın sahibi tarafından üretilmiştir.

2.8.2 2. Aşama: Sunucu Tarafı Çapraz Kontrol

1. Sunucu, imza kaydındaki açık anahtarın bilinen bir kullanıcıya kayıtlı olduğunu doğrular (kimliği doğrulanmış imzalar için).
2. Sunucu, imza kaydının iptal edilmediğini doğrular.
3. Sunucu, denetim izi bütünlüğünü doğrular (hash zinciri doğrulaması).
4. Sunucu, imzalayanın kimlik seviyesini ve kayıt durumunu döndürür.

2.8.3 Doğrulama Sonuçları

Her imzalama ve doğrulama olayı, oynanması tespit edilebilir bir denetim izinde kaydedilir. Olaylar hash ile zincirlenir: her olay, bir önceki olayın SHA-256 hash'ini içerir ve blok zincirine benzer yalnızca ekleme yapılan bir zincir oluşturur.

2.9.1 Denetim Olay Türleri

2.9.2 Hash Zinciri Yapısı

// Her denetim olayı şunları içerir:
{
  "eventId":            "uuid-v4",
  "eventType":          "DOCUMENT_SIGNED",
  "timestamp":          "ISO-8601-UTC",
  "data":               { /* olaya özgü yük */ },
  "previousEventHash": "sha256-of-previous-event-json",
  "eventHash":          "sha256-of-this-event-json-without-eventHash"
}

// Oynama tespiti: zinciri doğrulamak için hesaplayın:
// SHA-256(JSON.stringify(eventHash alanı olmadan olay))
// ve eventHash ile eşleştiğini onaylayın.
// Ardından previousEventHash'in önceki olayın eventHash'i ile eşleştiğini onaylayın.

Zincirdeki herhangi bir olay değiştirilirse, sonraki tüm hash bağlantıları kopar ve bu da oynamanın anında tespit edilmesini sağlar. Bu, denetim izi bütünlüğüne güçlü bir garanti sağlar.

Not: Ürün arayüzünde 'self_asserted', 'Kendi Beyanı Kimliği' veya 'Misafir İmzalama' olarak görüntülenebilir. 'authenticated', 'Kimliği Doğrulanmış Hesap' olarak görüntülenebilir. Bunlar, aynı temel kimlik seviyeleri için görüntüleme etiketleridir.

2.11.1 Varsayımlar

• Güvenilir tarayıcı çalışma zamanı
• Web Crypto API uygulaması doğrudur
• IndexedDB diğer kaynaklara erişilebilir değildir
• Kullanıcı parola ifadesini korur
• Sunucu kodu yayımlanan davranışla eşleşir

2.11.2 Kapsam Dışı

• Uç nokta cihazlarındaki kötü amaçlı yazılım
• Sosyal mühendislik / kimlik avı saldırıları
• Alıcıların ekran görüntüsü alması
• Ele geçirilmiş tarayıcı uzantıları
• Kuantum bilgi işlem saldırıları (gelecekteki dikkate alma)

• Nitelikli Elektronik İmza (QES) değildir. PDF Pro imzaları, Nitelikli Elektronik İmzalar için AB Yönetmeliği 910/2014 (eIDAS) gerekliliklerini karşılamaz. Nitelikli Güven Hizmeti Sağlayıcısı (QTSP) değiliz ve imzalama anahtarlarımız Nitelikli İmza Oluşturma Cihazı (QSCD) üzerinde oluşturulmaz.
• eIDAS nitelikli değildir. eIDAS kapsamında, yalnızca Nitelikli Elektronik İmzalar tüm AB üye devletlerinde el yazısı imzalarla yasal eşdeğere sahiptir. PDF Pro imzaları en iyi ihtimalle gelişmiş elektronik imzalardır ve yasal geçerliliği belirli yargı bölgesine ve kullanım durumuna bağlıdır.
• Adobe onaylı değildir. PDF Pro imzaları Adobe Approved Trust List (AATL) listesinde görünmez. PDF Pro ile imzalanmış bir belgeyi Adobe Acrobat'ta açtığınızda, imza Adobe'nin arayüzünde "güvenilir" olarak gösterilmez. Doğrulama, PDF Pro'nun doğrulama sistemi aracılığıyla yapılmalıdır.
• Sertifika otoritesi değildir. X.509 sertifikaları yayımlamıyoruz. Açık anahtar altyapımız PDF Pro'ya özeldir ve devlet kurumları veya sertifika otoriteleri tarafından kullanılan PKI sistemleriyle birlikte çalışabilir değildir.
• Noter tasdiği değildir. PDF Pro imzaları noter tasdiği, apostil veya herhangi bir devlet onaylı belge kimlik doğrulaması biçimini oluşturmaz.
• Gerçek dünyada kimlik doğrulaması yoktur. Supabase Auth aracılığıyla e-posta adreslerini doğruluyoruz ancak devlet kimliği doğrulaması, biyometrik doğrulama veya şahsen kimlik kanıtlaması yapmıyoruz.

2.12.1 PDF Pro İmzalarının Uygun Olduğu Durumlar

• İş akışları — Tarafların PDF Pro kimlik modeline güvendiği iç belge onayları, ekip imzaları, tedarik yetkilendirmeleri.
• Bütünlük doğrulaması — Bir belgenin belirli bir zaman noktasından bu yana değiştirilmediğini kanıtlama.
• İnkâr edilemezlik (sınırlı) — Belirli bir özel anahtarın sahibinin belirli bir zamanda belirli bir belgeyi imzaladığını gösterme. İnkâr edilemezliğin gücü, özel anahtarın ne kadar iyi korunduğuna ve açık anahtarın bir kimliğe nasıl bağlandığına bağlıdır.
• Denetim uyumluluğu — İç uyumluluk gereksinimleri için belge imzalama olaylarının oynanması tespit edilebilir bir denetim izini sağlama.
• Sözleşme imzalama — Birçok yargı bölgesinde, elektronik imzalar (nitelikli olmayanlar dahil) ESIGN (ABD), UETA (ABD) ve eIDAS Madde 25(1) (AB) gibi yasalar kapsamında çoğu ticari sözleşme için yasal olarak geçerlidir.