‘Uçtan uca şifreleme’ nedir?
- HABER
- 4 dk
Günümüz, mesajlaşma servisleriyle iç içe geçiyor. Gerek iş, gerekse özel hayatımızla ilgili hassas bilgileri bu mesajlar aracılığıyla paylaşabiliyoruz. Peki bu bilgi akışının güvenliğinden nasıl emin olacağız? Şifrelerin önemine hep değiniyoruz ama mesajlaşma söz konusu olduğunda durum biraz farklılaşıyor.
Hükümetler, güvenlik güçleri ve teknoloji şirketleri arasında yıllardır süregelen kavganın en son konularından biri şifreleme. Bu sefer hükümetler, teknoloji şirketlerini suçlulara güvenli iletişim kurabilecekleri bir platform sunmakla suçluyor. Şirketler ise kullanıcılarının gizliliğini koruduklarını iddia ediyor.
Devam eden şifreleme tartışmasında Apple ve Whatsapp’ın ardından son olarak Facebook da spesifik olarak uçtan uca şifreleme konusunda manşetlere çıktı. ABD, İngiltere ve Avustralya hükümetleri Facebook’un kurucusu ve CEO’su Mark Zuckerberg’e yazdıkları bir açık mektupta platforma uçtan uca şifreleme özelliğinin eklenmemesini talep ettiler. Ayrıca mektupta daha önce de dile getirdikleri şifrelemelere arka kapı eklenmesi isteklerini yinelediler.
Bunları karışık bulduysanız gelin önce ‘uçtan uca şifreleme’nin ne olduğunu açalım.
Uçtan uca şifreleme nedir? Normal şifrelemeden farkı nedir?
Şifreleme nasıl çalışır?
Birazdan ‘uçtan uca’ şifrelemeye geleceğiz ama önce şifrelemenin ne olduğuyla ve ne işe yaradığıyla başlayalım.
İnterneti her kullandığımızda bilinçli veya bilinçsiz olarak dış dünyayla büyük miktarda bilgi alışverişi yapıyoruz. Bu bilgilerin bir kısmı gizli ve kişisel bilgilerdir (şifreleriniz, finansal bilgileriniz, kişisel fotoğraflarınız vb.).
Bu tip gizli bilgilerin başkalarının eline geçmesi veya çalınması durumunda ciddi zararlar meydana gelebilir. Özel bilgilerin başkalarının eline geçmesini önlemek için alınan önlemlerden biri şifrelemedir.
Şifreleme, verilerimizi hiçbir üçüncü tarafın okuyamayacağı veya değiştiremeyeceği bir biçime dönüştürmektir. İnternet okyanusunda kullanıcıları güvende tutan önlemlerden biri budur.
İşte şifrelenmiş bir metin örneği:
- Düz metin: Bu bir Facebook mesajıdır.
- Şifreli metin: eXP3jH+7giCt1gIg0zHm3j3DPI1xuFRvbhmaKJx/uQQ=
Gördüğünüz gibi, şifrelenmiş metin bir anlam ifade etmiyor - tabii ki, şifresini çözmek için özel anahtarınız yoksa.
Facebook Messenger zaten şifreli; işte çalışma prensibi:
Durum bu kadar hassas olunca, ister istemez herkes kullandığı mesajlaşma yöntemlerinin güvenliğini sorguluyor. Bilgisayarınız ya da telefonunuzda gerekli güvenlik önlemlerini almış olabilirsiniz? Peki ya mesajlarınız? Bir örnek verelim: Facebook Messenger zaten şifreleme kullanıyor, ancak uçtan uca şifreleme kullanmıyor. ‘Normal’ şifreleme (diğer adıyla bağlantı şifrelemesi) şu şekilde çalışır:
1. Gönderen, Facebook sunucularıyla şifreli bir bağlantı kurar.
2. Gönderen şifreli mesajı Facebook sunucularına gönderir.
3. Facebook mesajın şifresini çözer ve sunucularında saklar.
4. Facebook sunucuları, alıcıyla şifreli bir bağlantı kurar.
5. Alıcı, mesajı şifreli bir bağlantı aracılığıyla indirir.
Bu senaryoda Facebook'un şifreleme/şifre çözmeyi kontrol ettiğini ve Facebook'un şifresi çözülmüş mesaja erişimi olduğunu görüyoruz.
‘Uçtan uca şifreleme’ nasıl çalışır?
Şimdi uçtan uca şifrelemeye geçelim. Bu, yalnızca gönderenin ve alıcının okuyabileceği/görebileceği şifreli bir iletişim türüdür. Uçtan uca şifreleme kullanıldığında aradaki hiç kimse (Facebook, hükümet veya mesajlaşma servis sağlayıcısı) bir cihazdan diğerine gönderilen mesajları okuyamaz/şifresini çözemez.
Başka bir deyişle, gönderdiğiniz mesajların şifresi mesajı gönderdiğiniz cihazda çözülür. Verileri gönderdiğiniz sunucu (yani bizim örneğimizde Facebook) mesajlarınızın şifresini çözemez veya onları görüntüleyemez.
Facebook, uçtan uca şifreli olduğunda mesajlarınızı göremez
İki şifreleme seçeneği arasındaki farkı şöyle anlatabiliriz: Normal şifreleme, iki cihaz haberleşirken aracı olup iletim sağlayan sunucunun, şifrelenmiş verilerin şifresini çözme yeteneğine sahip olmasıdır. Uçtan uca şifreleme ise verileri iletmek için sunucuyu kullanır (veri aktarımı için genellikle bir sunucu gereklidir). Ancak sunucunun verilerin şifresini çözmesine izin vermez. Bu durumda sunucu, yalnızca şifrelenmiş bilgilerin veri aktarımını kolaylaştıran bir ortamdır. Bu nedenle, WhatsApp veya uçtan uça şifreleme kullanan herhangi bir uygulama, istese de verilerinizi okuyamaz.
Uçtan uca şifrelemenin temel faydası
Güvenlik ve gizlilik uzmanları, uçtan uca şifreleme fikrini büyük ölçüde destekliyor çünkü bu yöntem, verilerinizi bilgisayar korsanlarından ve sizi gözetlemek isteyebilecek diğer taraflardan normal şifrelemeye kıyasla çok daha iyi korur. Veri aktarıcısının (bu durumda mesajlaşma servis sağlayıcısı) mesajlarınızın şifresini çözmesine izin verdiğinizde, sunucunun güvenliğinin ihlal edilmesi, saldırıya uğraması veya izlenmesi durumunda kullanıcı verilerin çalınmasına neden olabilecek önemli bir potansiyel güvenlik açığı bırakmış olursunuz.
Buna karşın veriler uçtan uca şifreleniyorsa, bu verilerin şifreli haliyle çalınmasının zaten bir anlamı olmayacaktır. Böylece uçtan uca şifreleme milyonlarca kişinin verilerini korur ve servis sağlayıcısı da dahil olmak üzere hiç kimsenin bu verileri çalmasına fırsat vermez. Bu nedenle mesajlaşma uygulamalarında uçtan uca şifreleme kullanılması önemlidir.
Suçluları yakalamayı zorlaştırıyor mu?
Uçtan uca şifrelemeye karşı ve bağlantı şifrelemesi lehinde ana argüman, uçtan uca şifrelemenin, güvenlik kontrolleri gerçekleştirecek üçüncü tarafların varlığına izin vermemesidir. Bu da suçlular için kolayca iletişim kurabilecekleri bir ‘güvenli alan’ anlamına geliyor. Başka bir deyişle, milyonlarca kişinin ve işletmenin gizliliğini koruyan teknoloji aynı zamanda suçluların da gizliliğini koruyor.
Bu argümanı desteklediğimi söylemiyorum ama inkâr edilemez şekilde bazı haklı yönleri var. Eğer sunucular verilerin şifrelerini çözebilirse suçluların mesajlarını yakalama şansımız olur. Ancak uçtan uca şifreleme durumunda bu seçenek ortadan kalkıyor. Başka hangi amaçları olabilir bilmiyorum ama ABD, İngiltere ve Avustralya hükümetlerinin uçtan uca şifrelemeyi ortadan kaldırmak için kullandıkları argüman bu.
Uçtan uca şifrelemeye ülkeler nasıl yaklaşıyor?
Çeşitli hükümetler tarafından ileri sürülen bu argüman bir dereceye kadar mantıklı olsa da, gerçek niyetlerinin bu olduğundan kuşku duyanlar var. Uçtan uca şifreleme nedeniyle gizlenebilecek suçları mı umursuyorlar; yoksa daha büyük bir amaca hizmet etmek için mi hazırlanıyorlar? Bu güç ne olabilir? Mesela insanları kolayca gözetleme gücüne sahip olmak...
Şimdiye kadar elimizde bulunan kanıtlara bakılırsa, her ikisi de doğru.
Belirtmekte fayda var: Amerikan Ulusal Güvenlik Dairesi’nin (NSA) ünlü muhbiri Edward Snowden, daha önce Birleşik Krallık ve ABD'deki istihbarat servislerinin uzun yıllardır çeşitli kanallardan kitlesel ölçekte iletişimi gözetlediğini açıklamıştı. Bu durumda hükümetlerin müdahalesi söz konusu olduğunda sınır nasıl belirlenmeli? Şifreleme hem iyi hem kötü amaçlarla kullanılabileceği gibi hükümet gözetimi de hem iyi hem kötü amaçlarla kullanılabilir.
Güvenlik güçleri için bir şifreleme arka kapısı çözüm olamaz
Tüm bu şifreleme tartışmalarını daha önceden takip ettiyseniz, ‘arka kapı’ terimine rastlamış olmalısınız.
Temel olarak, bir arka kapı, şifreleme anahtarlarının uçtan uca şifrelemeyi çözebilen matematiksel bir özelliğidir ve bu özellikten, anahtarı geliştiren insanlar dışında kimsenin haberi olmaz. Bir yargıç, belirli bilgilerin şifresi çözülmüş bir biçimde hükümete teslim edilmesi kararı verdiğinde mesajlaşma uygulaması veya devlet kurumu, şifresi çözülmüş mesajlarınızı hükümete vermek için bu ‘arka kapıyı’ kullanabilir. Ancak bu durum çok büyük bir tehlikeyi beraberinde getiriyor. Ya bu güç yanlış ellere düşerse? Bir siber suçlu bir şekilde bu ‘gizli anahtarı’ ele geçirirse, tüm özel resimlerinize, mesajlarınıza ve verilerinize erişebilir ve onlarla kim bilir neler yapabilir! İşte bu yüzden bir arka kapı oluşturmak, standart şifreleme kullanmaktan gelen risklerden bile daha tehlikeli olabilir.
Teknoloji şirketleri neden uçtan uca şifreleme kullanmak istiyor? (Sorumluluktan mı kaçıyorlar?)
Uçtan uca şifreleme kullanmak, Facebook'un bile kendi mesajlaşma servisi aracılığıyla paylaşılan bilgilere erişimi olmayacağı anlamına gelir. Bu, Facebook'un veriden para kazanma etrafında oluşturduğu iş modeline hayli aykırı görünüyor.
Peki, Facebook neden bu verileri istemiyor? Gizliliğe gerçekten önem verdiği için mi yoksa perdenin arkasında saklanan başka bir şey mi var?
Facebook'un uçtan uca şifrelemeyi kullanmayı planlamasının olası bir nedeni kanunların ve tartışmaların baskısından basitçe kurtulmak olabilir. Şu anda Facebook, platformu aracılığıyla gönderilen her içeriği ve mesajı izlemek için yapay zekâ (AI) ve insanlardan oluşan bir moderatör ekibi kullanıyor. Şüpheli bir durum tespit edildiğinde bu içeriği yetkililere bildiriyor. Bu içerik denetleme sistemi, Facebook için birçok masrafın, hakkında çıkan olumsuz haberlerin ve hatta aldığı cezaların kaynağı.
Uçtan uca şifreleme uygulandığında, bunların hepsi ortadan kalkabilir çünkü Facebook iletişimi deşifre edemez. “Maalesef, istesek de bu içeriklere erişemeyiz” deyip sorumluluktan kaçabilir. Bu durum Facebook’u çok fazla para zaman ve iş gücü harcamaktan kurtarır.
Bundan sonra ne olur?
Facebook'un sahip olduğu ve dünya genelinde en yaygın kullanılan mesajlaşma hizmeti WhatsApp'ta zaten uçtan uca şifreleme kullanıldığını düşünürsek, Facebook'un diğer hizmetlerinde de uçtan uca şifrelemenin kullanılacağı görülüyor. Asıl soru bundan sonra ne olacağı. Hükümetlerin tavrı ne olur? Teknoloji şirketleri ne tür kararlar alır? Bu bitmeyen kavga zamanla çok daha büyük bir savaşa dönüşebilir ve bizler de bu kargaşanın içinde mağdur olabiliriz.
Kaynak: https://www.thesslstore.com