Şifreleme nedir? Mesajlarımı nasıl korur?

Geçen yazımda WhatsApp’ın yeni sözleşmesin ve uçtan uca şifreleme metodunu nasıl kullandığını anlatmıştım. Bu yazıda (uçtan uca) şifreleme konusunu derinleştirip, mesajlarımızı nasıl koruduğunu anlatmaya çalışacağım.

Şifreleme metodları

Kavram olarak “end to end” (kısa: e2e) ya da Türkçe’siyle “uçtan uca” şifreleme metodu geçtiğimiz yıllarda öne çıktı. Özellikle 2013’de “Snowden belgeleri”iyle birlikte popüler online servislerde yaygınlaşan “şifreleme” (encryption) kavramı, bir mesajın gönderici tarafından şifrelenmesi ve iletişimin tarafı olan iki veya daha fazla alıcı tarafından çözülebilmesi anlamına geliyor. Uçtan uca alternatif olarak, mesajların kullanıcı tarafından şifrelendikten sonra sunucuya aktarılması ve sunucu tarafından çözülüp çeşitli işlemlere sunulması.

Dijital iletişimin diğer tabakalarında yer bulan SSL/TLS gibi şifreleme metodları da mevcuttur. Ancak uygulama alanı başka olduğu için bu yazıda konu etmeyeceğiz.

Simetrik ve Açık Anahtarlı Şifreleme

Şifreleme algoritmaları kabaca iki kategoriye ayrılır: Simetrik ve Açık Anahtarlı algoritmaları. Simetrik şifrelemede iletişim tarafları aynı şifreyi kullanır. Buna göre, taraflarca bilinen şifre kullanılıp mesajlar şifrelenir ve taraflara ulaştırılır. Alıcı tarafından mesaj şifre ile çözülür ve içerik böylece okunabilir hale gelir. Açık anahtarlı sistemlerde ise her tarafın kendi şifresi bulunuyor ve şifrelenen mesaj, her tarafın şifresiyle şifrelenip alıcı tarafından çözülebilir.

Simetrik şifreleme kolay olmakla birlikte, şifreyi elinde bulunduran bir saldırganı, mesajı çözüp okuyabilmesi çok kolay. Ayrıca, şifreyi iletişim taraflarına gizlice bildirme gibi bir büyük dezavantajı var. Yani, bu metodu kullanan kişi veya sistemler, şifrenin güvenli aktarilmasını ve korunmasını garanti etmek zorunda.

Açık anahtarlı algoritmalar ise, gönderici ve alıcıdan oluşan bir şifreleme metodu kullandığı için, daha güvenli. İletişimde olan iki kişi, “public” ve “private” anahtar oluşturur. Private anahtarlar titizlikle saklanmalı ve kimsenin eline geçmemeli. Public anahtar ise iletişimde olunan kişiler tarafından bilinmeli. Ayrıca public anahtarların güvenli olmayan yollarla gönderilmesi sorun oluşturmuyor. Örneğin Bob, Alice’a göndermek istediği mesajı, kendi private anahtarı ve Alice’in public anahtarı ile şifreler. Alice, Bob’un public ve kendi private anahtarını bildiği için, mesajı çözer ve içeriğine ulaşır.

Bu metod, daha güvenli olmakla birlikte, teknik olarak çok karmaşık ve anahtar depolaması hayli zahmetli. Bu yüzden, çok eski ve bugüne kadar bir çok kez test edilmiş ve güvenirliği kanıtlanmış olmasına rağmen yaygınlık kazanamadı.

WhatsApp ve diğer Online Servisler’de e2e

WhatsApp, 2016 yılında uçtan uca şifrelemeyi duyurmuştu. Duyuruda, Signal Vakfı’nın geliştirdiği Açık Anahtarlı Şifreleme metodunu içeren “Signal Protocol”ü kullanıldığını belirtti. Signal Protocol güvenli olmakla birlikte, WhatsApp, yukarıda belirttiğimiz public ve private anahtarları nasıl oluşturduğunu ve oluşturduktan sonra (varsa) nerede depoladığını bilmiyoruz. Ayrıca, taraflar arası public anahtarların nasıl aktarıldığı ve alınan mesajlar cihazda, mesaj çözüldükten sonra, başka türlü analize (örneğin reklam amaçlı) uğrayıp uğramadığı da bilinmiyor. Konu hakkında sadece WhatsApp ve ana şirketi Facebook tarafından yapılan açıklamalar mevcut. WhatsApp’ın kodu kapalı olduğu için, söz konusu açıklamalar üçüncü kişiler tarafından doğrulanamıyor.

Şifreleme kullanmalı mıyım?

Prensip olarak bu soruya “evet” diyorum. Kullandığımız online servislerin kar amaçlı bize sunulduğunu, bizden para talep etmedikleri halde verilerimiz ile ticaret yaptığını aklımızda tutmamız gerekiyor.

Bu yüzden – tekrar prensip olarak – Open Source Software ve uygulamaları öneririm. Open Source genellikle herkese açık, kullanımı ücretsiz ve çoğu zaman da bir vakıf tarafından üretiliyor.

Bu bağlamda, online servislerde kullandığınız şifre ve kullanıcı adını güvenli depolamak ve güçlü şifreler üretmek istiyorsanız, Open Source Password Manager “Keestash”‘i tavsiye ediyorum.


Şifreleme hakkında ne düşünüyorsunuz? Fikirlerinizi çok merak ediyorum, yorumlara bırakabilirsiniz 😊

Yorum yapın