Signal Mi, Telegram Mı, Bip Mi Güvenli?

Signal Telegram Bip

Facebook tarafından 2014 yılında satılan alınan çevrimiçi mesajlaşma uygulaması WhatsApp, “gizlilik ilkesi” koşullarını güncelledi. Yeni düzenlemeye göre uygulamayı kullananların verileri artık Facebook ile paylaşılabilecek. WhatsApp’ı kullanmak isteyenler, buna onay vermek zorunda olacak. Kullanıcılara yeni şartlar, 8 Şubat’a kadar uygulamayı açtıklarında karşılarına çıkan bilgi mesajıyla iletilecek ve onay vermeleri istenecek. (Avrupa Bölgesi dışındaki tüm kullanıcılar için geçerli.) Onay vermeyen kullanıcılar uygulamayı kullanamayacak.

Bu gelişme sonrası insanlar birbirlerine hangi anlık mesajlaşma uygulamasına geçmenin daha sağlıklı olacağını sormaya başladılar.

Birçok tartışma konusunda olduğu gibi sosyal medyada fazla sayıda yanlış bilgi de dolaşmaya başladı. DigitalTalks olarak siber güvenlik analisti Utku Şen’in Twitter’de paylaştığı kimi tweetleri kendisinin de izni ile sizlere aktarmak istiyoruz.

Şifreleme (Encryption) Nedir ve Neden Önemlidir?

“…Daha fazla bilgi isteyen çok oldu. Bir “siber güvenlik uzmanı” olarak, herkesin anlayabileceği şekilde konuyu çok bulandırmadan açıklamak istiyorum”

“Öncelikle herkesin dilinde olan “şifreleme” yani “encryption” konusuna kısaca değinelim. Encryption, verinin gizliliğinin korunması ve değiştirilmemesi için icat edilmiş matematiksel bir sistemdir. Bu şifrelenen verinin okunabilmesi için bir “anahtar”a ihtiyaç vardır.”

“Bu anahtara sahip olmayan kişiler veriyi okuyamaz. Tek anahtarlı şifreleme algoritmaları olduğu gibi açık/gizli şeklinde ikili anahtara sahip olan algoritmalar da vardır. Bunların detayına girmeyeceğim. Ama buradaki önemli olan konu: “anahtara sahip olmayan veriyi okuyamaz””

“Örneğin websitesini ziyaret ettiğinizde, gönderdiğiniz veriler HTTPS (TLS) üzerinden gider. Sizinle aynı ağda bulunan bir kişi, ya da telekom operatörünüz, gönderdiğiniz verinin içeriğini göremez. Çünkü şifreleme anahtarı websitesinin sunucusunda yer almaktadır.”

“Tabi ki, websitesi anahtara sahip olduğu için verinin içeriğini görebilecektir. Aynı sistem çok uzun yıllar mesajlaşma uygulamalarında da kullanıldı. Ama burada bir problem var: Mesajlaşma uygulamaları bizim en mahrem mesajlarımızı okuyabiliyor. Bu büyük bir sorundu.”

“Bu sorunun çözülmesi için yıllar içinde pek çok sayıda algoritma geliştirildi. Ancak bunların neredeyse hepsi pratik bir şekilde kullanıma dökülemedi. Ta ki 2013 yılında ünlü kriptograf ve aktivist Moxie Marlinspike “Signal Protocol” isimli protokolü geliştirene kadar.”

“Bu protokol, şifreleme anahtarlarının sadece iletişim kuran iki kişinin cep telefonunda kalmasını sağlayan oldukça kompleks fakat başarılı bir sistemdi. Akademik olarak pek çok kez incelenmiş, fakat sistemde herhangi bir zayıflık bulunamamıştır.”

“Moxie ve ekibi, bu protokolü “TextSecure” ve “RedPhone” isimli kendi çıkardıkları uygulanmalara entegre etti. Daha sonra bu iki uygulamayı birleştirerek ortaya bugün herkesin bildiği “Signal”i çıkardılar.”

“Signal pek çok kez test edilmiş, güvenliği Edward Snowden gibi kişiler tarafından da tasdik edilmiş güvenilir bir uygulamadır. Kullandığı Signal Protokolü sayesinde mesajları sadece gönderen ve alıcı okuyabilir, Signal sunucuları mesajın açık halini göremez.”

“Peki Whatsapp bu işin neresinde? 2016 yılında Whatsapp, Moxie ve ekibine ulaşarak Signal Protokolüne geçmek istediğini söyledi. Daha sonra bizzat Moxie’nin ekibi ve Whatsapp bir araya gelerek Signal Protokolünü başarılı bir şekilde entegre ettiler.”

“Bu değişimle alakalı Whatsapp, akademik bir makale de yayınladı. Whatsapp açık kaynak kodlu bir uygulama olmasa da bu hiçbir şey bilmediğimiz anlamına gelmiyor. Tersine mühendislik çalışmalarıyla bu algoritmanın düzgün entegre edilip edilmediği anlaşılabilir.”

“Yapılan hiçbir analizde entegrasyon problemi tespit edilemedi. Dolayısıyla Whatsapp 2016 yılından beri mesajlarınızı, fotoğraflarınızı ve videolarınızı okuyamaz. Okuyamadığı için üçüncü parti yerlerle paylaşamaz. Bunun aksini gösterecek hiçbir bilimsel veri bulunmamaktadır.”

“Moxie de daha önce pek çok kez Whatsapp’ta herhangi bir arka kapı olmadığını dile getirdi. Peki Moxie yalan söylüyor olamaz mı? Bu durumda Signal Protokolünü analiz eden akademisyenlerin, tersine mühendislerin de yalan söylüyor olması gerekli.”

“Yani ne Whatsapp’a ne Signal’e güvenebiliriz. Bu bakış açısının “dünya düzdür herkes bizi kandırıyor” ya da “aşıların içinde çip var doktorlar işin içinde” bakış açısından bir farkı yok. Peki Whatsapp %100 temiz bir uygulama mı? Hayır değil.”

“Whatsapp, mesajlarınızı ya da fotoğraflarınızı okuyamıyor. Ancak kiminle ne sıklıkta mesajlaştığınız, nerede mesajlaştığınız, hangi Wifi ağlarına bağlandığınız gibi metabilgileri işleyip paylaşacak. Bu da malesef oldukça sakıncalı bir durum.”

“Dolayısıyla Whatsapp’tan Signal’e geçmek daha mantıklı olabilir. Fakat Telegram konusunda da bazı soru işaretleri var. Onunla ilgili detayları da aşağıda okuyabilirsiniz:”

“Son olarak da şunu söylemek isterim: Siber güvenlikle alakalı bir konuda konuşması gereken kişiler siber güvenlik uzmanlarıdır. Tıp ile akalı bir konuda konuşması gerekenler alanında uzman doktorlardır. Sizden ricam konunun uzmanı olmayan kişileri dinlememenizdir.”

Telegram’ın Dezavantajı Nedir?

“WhatsApp ve Signal arasinda kalsam Signal’i secerim. Ama WhatsApp ve Telegram arasında kalsam şu an icin WhatsApp’ı seçerim. Facebook nispeten daha seffaf ve Avrupa Birliği’nin gözü üstünde bir firma. Telegram Rus bir iş adamı tarafından finanse edilen kapalı bir kutu.”

“Sahibinin Rus iş adamı olması tabi ki bir uygulamayı doğrudan kötü yapmaz da “Telegram çok güvenli, WhatsApp çok güvensiz” argumanı maalesef temelsiz. WhatsApp’in default olarak Signal protokolünü kullanarak uçtan-uca-şifreleme yapması önemli bir artı.”

“Telegram’da ise uçtan-uca-şifreleme kullanmak icin özellikle “secret chat” seçeneğinin seçilmesi gerekiyor. Bu da sıradan kullanıcılar icin uygun bir durum degil. Şimdilik görüşüm böyle. Yarın bir gün farklı bir durum olur, o zaman görüşüm değişebilir tabii.”

Bip’e Geçmeli Miyim?

“”Bip Messenger” önerisi çok soruldu. Hiç lafı dolandırmadan uzak durmanızı tavsiye ediyorum. Bunun için sayılabilecek çok fazla sebep var, birkaçına değinmek istiyorum.”

“Birincisi WhatsApp, Telegram, Signal gibi uygulamalar güvenin ya da güvenmeyin şeffaflar. Sizin verilerinizi nasıl şifrelediklerini akademik makalelerle açıklıyorlar. Bunlar da diğer akademisyenler tarafından teste tabi tutuluyor.”

“Bip messegengerda böyle bir şeffaflık kaygısı yok. Bunun yanında uçtan-uca-şifreleme olmadığını da kesin olarak biliyoruz. Yani ilgili firma sizin yazışmalarınıza rahatça ulaşabilir. Bip’ten yazacağınız herhangi bir şaka mesajı mahkemede karşınıza çıkabilir.”

İlginizi çekecek bir yazı:

Etiketler