Geçtiğimiz günlerde WhatsApp’ın yeni kullanıcı ve gizlilik sözleşmesiyle beraber birçok kullanıcı WhatsApp’a alternatif olarak gizliliklerini daha iyi bir şekilde sağlayabilecekleri alternatiflere yönelmeye karar vermişti. Alternatif mesajlaşma uygulamalarından bazılarının kullanıcı mahremiyeti için mesajları uçtan uca şifrelediğini söylerken, bazılarının ise sadece trafiği şifrelediği ve trafiğin çözümlendiği sunucularda mesajları sakladığı ortaya çıkmıştı. Peki ya nedir bu şifreleme? Daha doğrusu uçtan uca şifreleme neyi ifade ediyor?
Kullanıcı mahremiyeti, dijitalleşmenin ve bulut tabanlı servislerin iyice hayatımıza girmesiyle beraber gitgide sorgulanması gereken bir mevzu haline gelmeye başladı. Bunda dünya çapında yaşanan Covid-19 salgınıyla beraber pandemi döneminin etkisi de oldukça fazla. Aslında şöyle bir bakarsak çok uzak değil, bundan 15 sene öncesinde hiçbirimiz internet ve dijital servislerle çok fazla iç içe değildik. Birine mesaj yazacağımız zaman WhatsApp’ı değil SMS’i, arama yapacağımız zaman Skype’ı değil normal telefon hattımızı kullanıyorduk.
Veri o zamanlarda pek değerli sayılmazdı zira sözde globalleşen dünya ve bu dünyanın dev şirketleri insanların ürettiği koca veri yığınıyla, daha doğrusu veri çöpleriyle neler yapabileceği hakkında henüz tam anlamıyla bir fikir sahibi değildi.
Bugün ise artan dijitalleşme ve teknolojik alet kullanımı sonucunda verinin gitgide değerlendiğini, insanların veriler yardımıyla nasıl manipüle edilebildiğini görebiliyoruz. Arkadaşımızla alışveriş konuştuktan sonra karşınıza çıkan giyim reklamları, mesajlarımızda siyasetten bahsettikten sonra sosyal medyada ilgimizi çekebileceği için bize önerilen propaganda ve dezenformasyon içeriklerle maruz kaldığımız toplum mühendisliğinin bize ne şekilde etki ettiği hakkında en ufak bir fikrimiz yok.
Bazı insanlar bundan zamanla rahatsız olmaya başladı zira iki kişinin konuştuğu ve başkaları tarafından bilinmemesi gereken bilgilerin, yapay zekalardan ibaret olsa da ne idüğü belirsiz kimselerce bilinmesi hem ürkütücü hem de tuhaf bir durumdu. Bunun sonucunda kişiler arasında sağlanan iletişim esnasında verilerin şifrelenmesiyle gözetlemenin önüne geçilebileceği düşünüldü ve çeşitli şifreleme algoritmalarıyla teknikler geliştirildi. Günümüzde bu teknikler arasında en güvenli olan yöntem olarak uçtan uca şifrelemeyi biliyoruz.
Orta Çağda krallar, önemli bilgileri ve belgeleri bir yere ulaştırmadan önce tuzaklı bir sandık hazırlar ve bu sandığa birbirinden farklı olacak şekilde iki veya daha fazla kilit mekanizması koyardı. Her tarafta iki adet anahtar bulunurdu ve kral sandığı kime gönderecekse ilk kilidi onun anahtarıyla, ikinci kilidi ise karşıdakinde aynısından var olan kendi anahtarıyla kilitlerdi. Aynı şekilde kralın öncekinden farklı olan başka bir özel anahtarı da sandığın alıcısında bulunurdu. O da tekrar sandığı gönderirken, kralda bulunan başka anahtar ile kilitlerdi. Böylece belgeler yolda taşınırken olası bir düşman saldırdığında sandığın açılması için anahtarların alıcıların ve kilitleyenlerin ikisine de ihtiyaç olurdu. Eğer saldırganlar sandığı açmak için kaba kuvvet kullanırlarsa veya anahtar uyumsuz olursa sandığın tuzak mekanizmasındaki şişeler patlar, akan sıvı içindeki belgeyi yok ederdi.
Uçtan uca şifreleme de tam anlamıyla bu şekilde olmasa da benzer diyebiliriz.
Uçtan uca şifreleme, veriyi yalnızca gönderici ve alıcının okuyabilmesini sağlayan bir şifreleme yöntemidir. Bu teknik tam olarak şu şekilde işlemekte: Arkadaşınızla WhatsApp ile uçtan uca şifreleme kullanarak konuştuğunuzu düşünelim. Görüşme başladığında arkadaşımızın WhatsApp’ı bizlere kendisinin çözebileceği ve yalnızca kendisine özgü açık anahtarını gönderir. Bizdeki WhatsApp, göndereceğimiz mesajı bu anahtarla şifreler. Mesaj arkadaşımıza ulaştığında, arkadaşımız kendi özel anahtarı yardımıyla şifrelenen veriyi çözer. Aynı şekilde mesaj gönderirken de bizim anahtarımızı kullanır ve mesajı şifreli halde yollar. Bizler de kendi özel anahtarımızı kullanarak mesajın şifresini çözeriz. Tabi bütün bu şifreleme ve çözme işlemlerini WhatsApp veya bu yöntemi kullanan program halleder. Bu sayede trafiğimizi izleyen kimseler veya mesajımızın aracı olarak uğradığı sunucular mesajda ne yazdığını bilemez. Hatta biz bile arkadaşımızın açık anahtarıyla bir bilgiyi şifrelesek onun özel anahtarı olmadan ne yazdığını çözemeyiz.
Uçtan uca şifreleme kullanılmayan klasik mesajlaşma programlarında mesajlar göndericiden sunucuya kadar şifrelenir, burada sunucu şifreyi çözer ve tekrardan şifreleyerek alıcıya iletir. Bu noktada sunucu mesajın açık halini görebildiği için, sunucunun sahipleri ne kadar güvenilirse ve ne kadar önlem aldılarsa mesajlarınız da o kadar güvende oluyor.
Hatta bazı mesajlaşma yazılımları aradaki trafiği bile şifrelemeden saf metin olarak iletiyor ve cihazda da aynı şekilde açık metin olarak saklıyor. Bu durumda güvenlik ve gizlilik riski iyice artıyor. En az güvenli olandan en güvenliye doğru bir sıralama yapacak olursak uçtan uca şifrelemenin en güvenilir yöntem olduğunu görebiliriz.
- Güvensiz: Şifreleme Olmadan Veri Aktarımı
- Orta güvenli: Sunucu Taraflı Şifrelemeli Veri Aktarımı
- En güvenli: Uçtan Uca Şifreli Veri Aktarımı
Avantajlar:
Şifrelenen Veri Tek Taraflı Olarak Çözülemez
Şifrelenmiş veriyi tek taraflı olarak asla çözemezsiniz. Yani yazdığınız mesajı asla açılmayan bir sandığa koyduğunuzu düşünün. O saatten sonra tekrar geri getiremezsiniz. Ayrıca bu yerine göre dezavantaj veya avantaj sayılabilir. Zira mesajın göndericisi dışındaki kimse müdahale edemez veya değişiklik yapamaz. Modern şifreleme yöntemlerinde elde edilen şifreli çıktıda yapılan en ufak değişiklik bile mesajın tamamına etki ettiğinden, algoritmanın zorluğuna bağlı olarak şifreleme yönteminin kırılması günümüz şartlarında imkansız denilebilir.
Quantum bilgisayarlar ile bu kırılmazlık ve işlem gücü eşiğin aşılabileceği söyleniyor fakat quantum bilgisayarların günümüzde düzgün çalışan bir örneği olmadığı için şu anlık kullanılan güçlü algoritmalarla güvendeyiz denilebilir. Yine de bilim adamları ve matematikçiler quantum bilgisayarlar çıktığında yine aynı mantıkla güvenliği sağlayacak olan kuantum şifreleme algoritmaları da geliştirmeye çalışıyorlar.
Mesajlar Kurcalanamaz, Bozulmaya Uğrayamaz
Eğer uçtan uca şifreleme kullanan bir mesajlaşma programı yardımıyla görüşme gerçekleştiriyorsanız, mesaj size düzgün bir şekilde ulaştıysa kurcalanmadığından veya değiştirilmediğinden emin olabilirsiniz.
Mesajlaşma programları çoğunlukla otomatik olarak algoritma gereği mesajın bütünlüğünü kontrol etmektedir. İletim esnasında trafiğe müdahale eden birisi tarafından mesajda değişiklik yapılırsa algoritmayı sağlayan anahtarlar uyuşmadığı için şifreli mesaj başarıyla çözülemeyecektir.
Mesajlar Sunucu Tarafından Anlamlandırılamaz
Uçtan uca şifreleme kullanılarak gönderilen mesajlar, iletim için aracı olan sunucular tarafından anlamlandırılamaz veya analiz edilemez. Çünkü mesajlar anlaşılamayacak şekilde karıştırılmış, şifrelenmiştir. Özel anahtarlar sunucuda depolanmadığı için (bazı istisnalar ve arka kapılar hariç) başkaları tarafından mesaj içeriğinin ne olduğu bilinemez.
Yine de bazı mesajlaşma yazılımlarının algoritmalara çeşitli istihbarat kuruluşlarının isteği üzerine koymuş oldukları arka kapılar yardımıyla özel anahtarları uzak sunucuya aktaracak veya mesaj metnini sunucuda okuyabilecek şekilde geliştirildiği söyleneneler arasında.
Dezavantajlar:
Mesajların Alım ve Gönderim Hızı Yavaşlar
İki taraf için de şifreleme ve şifre çözme işlemleri yapıldığından, alım ve gönderim hızı milisaniyelerle de olsa yavaşlar. Yine de günümüzde uçtan uca şifreleme kullanan mesajlaşma uygulamalarının birçoğu uygun şekilde optimize edildiğinden bu ufak gecikmeyi bile fark edemiyoruz.
Mesajlar Şifreli Fakat Üst Veriniz Değil
Mesajlarınızın içeriği her ne kadar şifreli ve okunamaz olsa da kiminle hangi saatte ve nerede konuştuğunuz, ne kadar görüştüğünüz, hangi periyotlarla bunu yaptığınız bilgisi sunucular tarafından görülebilir. Bundan ötürü belirli aralıklarla belirli saatlerde görüşmeler yapmanız dikkatleri üstünüze çekmenize neden olabilir.
Cihazınıza Fiziksel veya Uzaktan Erişim Varsa Mesajlar Okunabilir
Görüşmeleri gerçekleştirdiğiniz telefon veya bilgisayar, artık hangi cihazı kullanıyorsanız ele geçirildiği takdirde tüm mesajlarınız okunabilir. Aslında buna dezavantaj diyemeyiz, tüm mesajlaşma yazılımları için bu geçerli olsa da kullanıcıların tedbirini uygun şekilde alması gerekiyor.
Ayrıca zararlı yazılımlar tarafından etkilenmiş bir cihaz söz konusuysa, zararlıya bağlı olarak mesajlarınız kötü amaçlı yetkisiz kimseler tarafından okunabilir. Bunun önüne geçmek için yapabilecekleriniz ise bilinçli olmak, bilinmeyen web sitelerine girmemek, uygulamaları kurmamak ve iyi bir güvenlik yazılımı kullanmak diyebiliriz.
Bütün bunlar bir yana, görüşmeyi yaptığınız kimsenin de cihazına başkalarının erişmediğinden emin olmanız gerekiyor. Ne yazık ki şu anlık bunu bilmenin herhangi bir yolu yok. Bu yüzden ne konuştuğunuza kişisel güvenliğiniz adına dikkat etmelisiniz. Örneğin çok güvendiğiniz biri olsa bile mesaj yoluyla parolalarınızı göndermeyin zira o mesajı gerçekten istediğiniz kişinin okuduğundan emin misiniz?
Bu şifreleme tekniği ile beraber kullanıcılar fazlasıyla güvende hissedebilir fakat uçtan uca şifreleme kullanılan mesajlaşma programları ile beraber mahremiyetiniz bir nebze daha korunsa da dikkat etmeniz gereken başka önemli şeyler de bulunuyor. Örneğin en basitinden kiminle konuştuğunuz, ne zaman konuştuğunuz, ne aralıklarla konuştuğunuz gibi bazı bilgiler daha önemli hale geliyor. Çünkü bu bilgiler şifreli değil ve açık bilgi olarak gözüküyor ve şirketler de bu bilgileri pazarlama için kullanabiliyor.
Ayrıca her mesajlaşma programı uçtan uca şifreleme kullanıyor diye tamamen güvenli gözüyle bakamayız. Zira çok yakın tarihte, şifreleme algoritmasına istihbarat kuruluşları için arka kapı bırakan birtakım programların var olduğunu ve bunun ortaya çıktığını biliyoruz. Veriler ne kadar şifrelenirse şifrelensin, algoritmadaki bir zayıflık yüzünden kırılma mümkün hale gelebiliyor.
İşte bu durumlara karşı kullanılan mesajlaşma yazılımının şifreleme standartları ve açık kaynaklı olup olmaması devreye giriyor. Açık kaynaklı ve açık standartlar kullanan mesajlaşma uygulamaları bu anlamda daha güvenilir diyebiliriz. Zira kodları açık olduğundan, algoritmaya yerleştirilmesi muhtemel herhangi bir zayıflık topluluk tarafından er ya da geç tespit edilebilir.
Her zaman dikkat etmeniz gereken en önemli şeyin, mesajınızın şifrelenmesinden ziyade ne konuştuğunuz olduğunu söylerek yazımızı burada sonlandıralım. Merak ettikleriniz varsa Technopat Sosyal‘de konu açabilir, eklemek istediğiniz bir şey varsa da yorum yazabilirsiniz.