• 3 dakika önce whatsapp'tan arkadaşa içinde "iş güvenliği" yazan bi cümle kurdum. şimdi her yerde google ads'lerde baret, emniyet askısı, çelik halat, güvenlik yeleği, nalbur reklamları görüyorum. uçtan uca sikerler böyle şifrelemeyi.
  • turkcell’in bip’inde, chat ekranında yazan ama gizlilik politikası’nda hiç yer vermediği ve büyük ihtimalle de zaten olmayan, göz boyama amacıyla chat ekranının üstüne kondurulmuş şifreleme algoritması.

    kısaltılmış olarak “e2ee” şeklinde ifade edilir.
  • iletişim gizliliği açısından muhteşem bir algoritmadır. yalnız iletişiminizin gizliliğini private bir app kullanmadıktan sonra asla garanti etmez. buna güvenip millete zikini daşağını gönderenler var. akıl fikir diliyorum. kızlar siz de aynı şekilde.

    şimdi bir şifreleme algoritması vardır uygulamanın. bu algoritma, yazılımı yapan şirket tarafından iletişimdeki 2 cihaz içindeki device id, telefon numarası, mesaj gönderim zamanı vs. gibi verilerle uygulamaya konur. gönderilen mesajlar da, buna göre anahtar oluşturulup gönderilmeden önce bu anahtarla şifrelenir.

    peki karşıdaki cihaz bu anahtarı nasıl bilip kriptolanmış veriyi çözüyor? teslim edildiği cihazda da bu algoritma bilindiğinden dolayı gelen mesajın bilgileri ( gönderen device id, gönderim zamanı vs.) ile aynı algoritmayı kullanarak o anahtarı yeniden üretip decrypt işlemi yapıyor. mesaj geldiği anda her iki cihazın da bildiği tek şey bu anahtarın üretilme algoritması. bilmedikleri şey ise anahtarların kendisi.

    çok sık duyduğumuz x şirketi, y şirketi verilerini fbi'a, cia'ye vermiyormuş haberleri de işte bu algoritmayı kastediyor. yani fbi diyor ki, bak x şirketi kardeş. ben yaptığım dinlemelerdeki veriye ulaşmam için sürekli mahkemeye başvurmam gerekiyor. gel sen bana şu anahtar üretme algoritmanı ver. beni zırt pırt uğraştırma. x şirketi de bunu reddediyor ve git kardeşim mahkemeye başvur ben istediğin iki kişi arasındaki iletişimde kullanılan anaharları sana vereyim diyor. bu da sana biz verilerimizi fbi'a cia'ye bile vermiyoruz olarak pazarlanıyor.

    konuyu app store ve google play özelinde değerlendirseniz dahi ciddi bir açık olduğunu görürsünüz ki zaten app store'a uygulama gönderdiğinizde apple size herhangi bir şifreleme algoritması kullanıyor musunuz? diye sorar. iletişim protokolü olarak https dahi kullanıyor olsan bunun bilgisini iletmek durumundasındır. sebebi ab yasaları gereği talep edildiği takdirde uçtan uca şifreleme verileri de dahil bunu teslim etmeniz gerektiğidir. telegram bulut verileri konusunda anahtarları parçalayarak bunu bir kaç ülkede tutup konuyu kısmen çözmüş. gizlilik politikasında da belirtiyor. eğer diyor birisi bizden veri isterse bu ülkelerin mahkemelerine ayrı ayrı başvurmak zorunda. yani o dahi verinin gizliliğini garanti edemiyor.

    aynı şekilde google play'de bu yasalara tabi olduğundan aynı politikayı o da uygulamak zorunda. yani bu ab yasaları gereği anahtarlar saklanmak zorunda. saklamasalar dahi talep edildiğinde vermek durumundular. bunu da gdpr'deki çok alakasız bir maddeye dayandırıyorlar. bu madde, verinin buluta teslim edilmesinde şifreleme yapılıp olası bir veri çalınması durumunda veriyi teslim eden şirketin yükümlülüğünün ortadan kalkmasıyla alakalı bir madde. bu maddeye göre veri çalındığında şirketin yükümlülüğü ortadan kalkması için, teslim edilen veri şifrelenmeli, verilerin anahtarları şirkette olabilir fakat istendiğinde vermek zorundadır. mesajlaşma uygulamalarını da nereden yüklediğini hatırlarsan bu noktada verilerinin gizliliğinin de ne kadar garanti altında olduğunu anlarsın.

    gelelim şimdi kim görecek diye üzerinde milyonlarca çocuk öldürdüğünüz büyük günahlarınızın tek şahidine.

    telegram, gizlilik politikasında diyor ki. "birisine gönderdiğiniz mesaj sadece sizin telefonunuzdadır. telefonunuz yanınızda olduğu sürece de güvendedir."

    şayet yazdığınız mesajı karşınızdaki kişiye telefonunuz ekranından gösterdiyseniz evet bu doğru. ama internet üzerinden gönderdiyseniz en iyi ihtimalle sen, internet servis sağlayıcın ve gönderdiğin kişidedir mesaj. ve maalesef once on the internet always on the internet.

    telegram'ın gizli sohbetler için belirttiği ifşa edilecek verimiz yok konusu da şu. telegram ifşa edilecek verimiz yok derken bu mesajlar sizin telefonunuzda biz tutmadığımız için bizim verecek bir şeyimiz yok demek istiyor. yukarda gördük ki bu mesajlar sadece bizim telefonumuzda değil. yani mesajın değil, şifreleme anahtarlarının da istendiği durumlar olabilir ve bir anahtarın loglanmaması o anahtarın aynı şekilde yeniden üretilemeyeceği anlamına gelmez. bu bilgiyi de koyun cebinize. ne demiştik? saklamasalar dahi istendiğinde vermek durumundalar.

    ve şunu da söyleyeyim, teknolojinin bir gün bu anahtarları saniyeler içerisinde çözebilecek seviyeye gelmeyeceğini kimse garanti edemez. gelecek nesiller sizin zikinizi daşağınızı görmek zorunda da değil. kimse görmüyor diye kendinizi kaybetmeyin. ya da kaybedin bana ne *
  • uçtan uca şifreleme = "sizi başkalarına kaptırmıyoruz. sadece tanıdık firmalarla paylaşıyoruz. raad olun" demektir.
  • çok ciddi (bkz: computation) gerektirdiği için çoğu web servisi bu şifrelemeyi kullanmaktan kaçınır.
    özellikle mobil cihazlar için batarya ömrü ve işlemci kullanımını artırdığı için çok verimli tasarım gerektirir. (bkz: whatsapp)
    siber güvenlik şakaya gelmez.
  • aytek buse’ye naber yazıp mesaj gönderecektir:

    1. “naber” cümlesi buse’nin public anahtarı ile şifrelenir.
    2. şifrelenmiş “6excmlj56?)-24” tekst sunucuya gönderilir.
    3. sunucu buse’nin public anahtarını bilir; ancak private anahtarını bilmediğinden mesajı çözemez. hatta yol boyu kimse çözemez.
    4. sunucudan mesaj buse’ye ulaşır. buse kendi private anahtarı ile “6excmlj56?)-24” mesajını çözer ve “naber” yazısını görür.

    kısaca uçtan uca şifreleme budur. örnek, standart şifreleme mimarisinden alınmıştır isimler türkçeleştirilmiştir. aytek aşkımızın meyvesidir, buse de tavuk taşlık yiyip cırcır olmuş bir ortamcıdır.

    ayrıca;

    (bkz: rsa)
    (bkz: public key)
    (bkz: private key)
  • (bkz: #118000745) no'lu entryde bahsedilen asimetrik şifrelemedir.

    genellikle (her zaman olacak diye bir şey yok) uctan uca şifreleme mevzularında simetrik şifreleme kullanılır. bunu kullanmak daha kolaydır zira, ayrıca uzun vadede bile daha rahat kullanıma sahip diyebiliriz. (simetrik şifreleme, quantum bilgisayarlara karşı da diğerine göre daha iyi şimdilik)

    simetrik şifrelemelerde de iki taraf da ayni anahtari kullanir.
    en basit ornekle (ornegin whatsapp'ın yaptigi) soyle anlatalim (cok basitlestirilmis)

    1. mesajı yazıp yollaya basarsınız
    2. uygulama, mesajı yollamadan bir kutuya koyar ve anahtarla kitler. öyle gönderir.
    3. bu anahtar sadece sizde ve karşı cihazda bulunur.
    4. karşı taraf kutuyu alır ve anahtarla açar, mesajı okur.

    olayı nedir?
    anahtarlar sadece sizde oldugu icin arada verileri ele geçiren biri olursa ancak kutuyu alır. kutunun icindekini goremez cünkü anahtarı yoktur. whatsapp ya da bu sekilde e2ee kullananlar da anahtarların telefonlarda olustugunu ve kendilerinin bunu saklamadıgını soyler, iddia ederler. (signal bunu mahkemede gosterdi)
  • wiki
    --- spoiler ---

    uçtan uca şifreleme (e2ee), sadece uç noktadaki kullanıcıların okuyabildiği bir iletişim sistemidir. hedefi, internet sağlayıcıları, ağ yöneticileri gibi aradaki potansiyel gizli dinleyicilerin, konuşmanın şifresini çözmek için gereken şifreleme anahtarlarına erişmesini engellemektir.
    --- spoiler ---
hesabın var mı? giriş yap