Uçtan Uca Şifreleme (E2EE) Nedir?

Giriş

Günümüzdeki dijital iletişimlerin doğası gereği karşı partilerle nadiren doğrudan iletişim kurarız. Arkadaşlarınızla aranızdaki mesajlaşmalarınız gizliymiş gibi gözükebilir ama aslında bu mesajlar kaydedilerek merkezi bir sunucuda saklanır.

Mesajınızı sizden alıp alıcıya iletmekte yükümlü sunucunun mesajlarınızı okumasını istemiyor olabilirsiniz. Bu durumda, uçtan uca şifreleme (ya da kısaca E2EE) size çözüm sunabilir.

Uçtan uca şifreleme, alıcı ve gönderici arasındaki iletişimleri, yalnızca bu partilerin verinin şifresini açabileceği şekilde şifrelemek için kullanılan bir yöntemdir. Temelleri, Phil Zimmerman'ın Pretty Good Privacy'yi (Oldukça İyi Gizlilik ya da PGP) yayınladığı 1990'lara dayanır.

E2EE'yi neden kullanmak isteyebileceğinizden ve bu yöntemin nasıl çalıştığından daha ayrıntılı bir şekilde bahsetmeden önce şifrelenmemiş mesajların nasıl çalıştığını inceleyelim.

Şifrelenmemiş mesajlar nasıl çalışır?

Önce, standart bir akıllı telefon mesajlaşma platformunun nasıl çalışıyor olabileceğinden bahsedelim. Uygulamayı kurar ve sizinle aynı işlemleri yapmış diğer kişilerle iletişim kurmanıza imkan tanıyan bir hesap oluşturursunuz. Bir mesaj yazar, arkadaşınızın kullanıcı adını girer ve bu mesajı merkezi sunucuya gönderirsiniz. Sunucu, bu mesajı arkadaşınıza gönderdiğinizi görür ve hedef kişiye ulaşacak şekilde aktarır.

Kullanıcı A ve B iletişim kuruyor. Birbirlerine ulaşabilmeleri için veriyi sunucudan (S) geçirmeleri gerekir.

Bunu istemci-sunucu modeli olarak biliyor olabilirsiniz. İstemcinin (telefonunuz) fazla birşey yapmasına gerek yoktur – ağır işin tamamı sunucu tarafından halledilir. Fakat bu aynı zamanda, hizmet sağlayıcıların siz ve alıcı arasında bir aracı olarak hareket ettiği anlamına da gelir.

Çoğu zaman, grafikteki A <> S ve S <> B arasındaki veri şifrelidir. Bunun bir örneği, istemciler ve sunucular arasındaki bağlantıları güvenli hale getirmek için sıklıkla kullanılan Taşıma Katmanı Güvenliği'dir (TLS).

TLS ve benzeri güvenlik çözümleri, mesajın istemciden sunucuya geçiş aşamasında başkaları tarafından ele geçirilmesini engeller. Bu önlemler dışarıdan kişilerin veriye ulaşmasını engellese de, mesaj halen sunucu tarafından okunabilirdir. Şifreleme bu noktada devreye girer. A'dan gelen veriler B'ye ait bir kriptografik anahtarla şifrelendiyse, sunucu bu verilere erişemez ya da verileri okuyamaz.

E2EE yöntemleri kullanılmazsa, sunucu veriyi diğer milyonlarca veriyle birlikte bir veritabanında saklayabilir. Tekrar tekrar yaşanan büyük ölçekli veri ihlallerinin de gösterdiği gibi bu durum son kullanıcılar üzerinde oldukça zararlı etkiler yaratabilir.

Uçta uca şifreleme nasıl çalışır?

Uçta uca şifreleme, hiç kimsenin, sizi diğerlerine bağlayan sunucunun bile iletişimlerinize erişememesini garanti altına alır. Bahsi geçen iletişim düz metinden, e-postaya ve video görüşmelerine kadar herhangi bir şey olabilir.

Whatsapp, Signal ya da Google Duo gibi uygulamalarda veriler şifrelenir, böylece yalnızca göndericiler ve hedeflenen alıcılar verinin şifresini açabilir (en azından öyle olduğu iddia edilir). Uçtan uca şifreleme düzenlerinde, anahtar değişimi adlı bir yöntemle bu sürece ihtiyaç ortadan kaldırılabilir.

Diffie-Hellman anahtar değişimi nedir?

Diffie-Hellman anahtar değişimi fikri, kriptograflar Whitfield Diffie, Martin Hellman ve Ralph Merkle tarafından ortaya atılmıştır. Anahtar değişimi, katılımcı tarafların potansiyel olarak düşman bir çevrede ortak bir parola yaratmasına imkan tanıyan güçlü bir tekniktir.

Diğer bir deyişle bu anahtar, güvenli olmayan forumlarda (başkaları izlerken bile), daha sonra paylaşılacak mesajların gizliliğini tehlikeye atmayacak şekilde yaratılabilir. Bu yaklaşım, tarafların iletişim kurmak için anahtarları fiziksel olarak değiş tokuş etmesini gerektirmediğinden Bilgi Çağı için özellikle değerlidir.

Anahtar değişiminin kendisi de büyük sayılar ve kriptografik sihirden oluşur. Burada ince detaylara girmeyeceğiz. Bunun yerine, popüler boya renkleri analojisini kullanacağız. Alice ve Bob'un bir koridorun iki ucunda yer alan farklı otel odalarında olduğunu ve belirli bir boya rengini birbirleriyle paylaşmak istediklerini, fakat başka hiç kimsenin bu rengi öğrenmesini istemediklerini varsayalım.

Ne yazık ki aynı zamanda etraftaki birçok casus da onları gözetlemektedir. Bu örnekte Alice ve Bob'un birbirlerinin odasına giremediğini, bu yüzden yalnızca koridorda iletişim kurabildiklerini de varsayalım. Yapacakları şey koridordayken ortak bir renk üzerinde anlaşmaya varmak olacaktır – diyelim sarı. Bir kutu sarı boya alır, bu boyayı aralarında bölüşür ve odalarına geri dönerler.

Kendi odalarında gizli bir boya karışımı hazırlarlar ve bu karışımın ne olduğunu başka hiç kimse bilmez. Alice, mavinin bir tonunu, Bob ise kırmızının bir tonunu kullanır. Casuslar, kullandıkları bu gizli renkleri göremez. Fakat, Alice ve Bob ellerinde mavi-sarı ve kırmızı-sarı karışımlarla odalarından çıkacağı için casuslar ortaya çıkan karışımları görebilir.

Koridorda bu karışımları takas ederler. O aşamada casuslar tarafından görülmeleri sorun olmaz çünkü eklenen rengin tam tonunun casuslar tarafından belirlemesi mümkün değildir. Bunun yalnızca bir analoji olduğunu unutmayın – bu sistemin altında yatan gerçek matematik gizli “rengin” tahmin edilmesini daha da zor hale getirir.

Alice, Bob'un karışımını ve Bob da Alice'in karışımını alır, her ikisi odalarına geri döner. Bu aşamada ellerindeki boyaya kendi gizli renklerini tekrar eklerler.

Alice, Bob'un kırmızı-sarı karışımına kendi gizli mavi tonunu ekleyerek kırmızı-sarı-mavi bir karışım yaratır
Bob, Alice'in mavi-sarı karışımına kendi gizli kırmızı tonunu ekleyerek mavi-sarı-kırmızı bir karışım yaratır.

Her iki kombinasyon da artık aynı renklere sahip olacak, dolayısıyla aynı gözükecektir. Böylece Alice ve Bob, düşmanları tarafından bilinmeyen benzersiz bir rengi başarıyla yaratmış olur.

Herkese açık bir çevrede ortak bir parola yaratmanın temel prensibi budur. Aradaki fark, koridorlar ve boyalar yerine güvenli olmayan kanallar, açık anahtar ve özel anahtarlarla uğraşmamızdır.

Karşılıklı mesaj gönderimi

Taraflar ortak parolalarını oluşturduktan sonra bu parolayı asimetrik bir şifreleme düzeninin temeli olarak kullanabilir. Popüler uygulamalar, daha güçlü bir güvenlik için genellikle ek tekniklerden de faydalanır, fakat bunların tamamı kullanıcının dışında arka planda gerçekleştirilir. Bir E2EE uygulamasında arkadaşınızla bağlantıya geçtiğinizde, şifreleme ve şifre açma yalnızca cihazlarınızın üzerinde gerçekleştirilir (böylece tüm ciddi yazılım açıkları engellenmiş olur).

Bir hacker, hizmet sağlayıcı hatta bir emniyet çalışanı olmanız fark etmez. Hizmet gerçek anlamda uçtan uca şifreliyse, ele geçireceğiniz herhangi bir mesaj karman çorman ve anlamsız gözükecektir.

➟ Kripto para dünyasına girmek mi istiyorsunuz? Binance'ten Bitcoin satın alabilirsiniz!

Uçtan uca şifrelemenin avantaj ve dezavantajları

Uçtan uca şifrelemenin dezavantajları

Uçta uca şifrelemenin yalnızca bir dezavantajı vardır – ve bunun bir dezavantaj olup olmadığı da tamamen sizin bakış açınıza dayanır. Bazıları için E2EE'nin ortaya koyduğu en temel değer olan anahtara sahip olmayan hiç kimsenin mesajlarınıza erişememesi kendi içinde sorunludur.

E2EE'ye karşı çıkanlar suçluların bu sistemi, devletlerin ve teknoloji şirketlerinin iletişimlerinin şifresini çözemeyeceğini bilmenin rahatlığıyla kullanabileceğini iddia eder. Sistemin karşıtları, kanunlara karşı gelen kişilerin mesajlarını ve telefon görüşmelerini gizli tutamamaları gerektiğine inanır. Bu görüş, iletişimlere erişilebilmesine imkan verecek arka kapıların sistemlere eklenmesi için yasa çıkarılmasını destekleyen birçok politikacı tarafından da paylaşılır. Tabi ki böyle bir değişiklik uçtan uca şifrelemenin tüm amacını ortadan kaldıracaktır.

E2EE kullanan uygulamaların %100 güvenli olmadığını belirtmek de önemlidir. Mesajlar bir cihazdan diğerine gönderilirken gizlenir, fakat uç noktalarda (örneğin uçtaki dizüstü bilgisayar ya da akıllı telefonlar) görünürdür. Bu uçtan uca şifrelemenin zayıf bir yönü değildir fakat yine de akılda tutulması gerekir.

Mesaj şifrelemeden önce ve şifre açıldıktan sonra düz metin olarak gözükür.

E2EE, verilerinizin gönderim aşamasında hiç kimse tarafından okunamamasını garanti altına alır. Fakat, yine de başka tehditler söz konusu olabilir:

Cihazınız çalınabilir: Bir PIN kodunuz yoksa ya da hacker bu kodu açmayı başarırsa mesajlarınıza erişim sağlayabilir.
Cihazınız ele geçirebilir: Cihazınızda, gönderilmeden önce ya da alındıktan sonra mesajlarınızı izleyen zararlı bir yazılım olabilir.

Bir diğer risk ise, bir kişinin ortadaki adam (man in the middle) saldırısı düzenleyerek kendisini sizin ve iletişimde olduğunuz karşı tarafın arasına sokmasıdır. Bu saldırı iletişimin başlangıç aşamasında gerçekleştirilebilir – anahtar değişimi yapıyorsanız, karşınızdaki kişinin arkadaşınız olduğundan kesin emin olamazsınız. Bir saldırganla, farkında olmadan ortak bir parola yaratabilirsiniz. Daha sonra saldırgan sizden gelen mesajı alır ve mesajın şifresini çözmek için anahtara da sahiptir. Saldırganlar arkadaşınızı da benzer şekilde kandırabilir, yani mesajları yönlendirebilir, okuyabilir ya da istedikleri gibi değiştirebilir.

Birçok uygulama bu riski ortadan kaldırmak için bir tür güvenlik kodu özelliği kullanır. Kod, iletişim kuracağınız kişilerle güvenli bir kanal üzerinden (idealde çevrimdışı) paylaşacağınız bir sayı dizisi ya da QR kodudur. Sayılar eşleşiyorsa, üçüncü bir partinin iletişiminizi gizlice izlemediğine emin olabilirsiniz.

Uçtan uca şifrelemenin avantajları

Daha önce bahsettiğimiz güvenlik açıklarının olmadığı bir düzende E2EE şüphesiz, daha fazla gizlilik ve güvenlik sunan çok değerli bir kaynak olacaktır. Soğan yönlendirme gibi E2EE de, dünyanın her yerindeki gizlilik savunucuları tarafından desteklenen bir teknolojidir. Alışkın olduğumuz uygulamalara kolayca dahil edilebilir, bu da mobil telefon kullanabilen herhangi birinin bu teknolojiye erişebileceği anlamına gelir.

E2EE'yi yalnızca suçlular ya da muhbirler için kullanışlı bir mekanizma olarak görmek hata olur. Görünürde en güvenli şirketlerin bile siber saldırılara açık olduğu ispatlanmış, şifrelenmemiş kullanıcı bilgileri kötü niyetli kişilerin eline geçmiştir. Hassas iletişimler ya da kimlik belgeleri gibi kullanıcı verilerinin ele geçirilmesi, kişiler üzerinde çok ciddi olumsuz etkiler yaratabilir.

Kullanıcıları E2EE kullanan bir şirkette güvenlik ihlali meydana gelse bile hacker'lar mesajların içeriğine yönelik anlamlı bir bilgi edinemez (şifreleme uygulamasının güçlü olduğu varsayıldığında). Hacker'lar en fazla meta veriyi ele geçirebilir. Güvenlik açısından bu durum hala sıkıntılı olsa da, yalnızca şifrelenmiş mesajlara ulaşılacağından yine de daha avantajlıdır.

Son düşünceler

Yukarıda bahsettiğimiz uygulamalara ek olarak, ücretsiz erişilebilen E2EE araçlarının sayısı gitgide artmaktadır. Apple'ın iMessage'ı ve Google'ın Duo'su iOS ve Android işletim sistemleriyle birlikte gelir. Gizliliğe ve güvenliğe daha fazla önem veren yeni yazılımlar da piyasa çıkmaya devam etmektedir.

Uçtan uca şifrelemenin her tür siber saldırıya karşı sihirli bir bariyer olmadığını tekrarlamamız gerekir. Fakat bu sistemi kullandığınızda, çevrimiçi bir ortamda karşı karşıya olduğunuz riskleri nispeten az bir çabayla büyük oranda azaltabilirsiniz. Tor, VPN'ler ve kripto paraların yanında E2EE mesaj uygulamaları da dijital güvenlik araçlarınıza değerli bir katkı sunabilir.

➟ Uçtan uca şifreleme hakkında sorularınız mı var? Topluluğumuzla sorularınız üzerine sohbet etmek için Academy'ye Sor'u ziyaret edebilirsiniz!