Hangi Uçtan Şifreleme? Güvenli Telefonlar ve EncroChat Vakası
Uçtan uca şifreleme (End-to-End Encryption) terimini sıkça duyuyoruz. Mesajlaşma güvenliğinin altın standardı olarak kabul edilen bu yöntem, verinin yoldayken okunmamasını garanti eder. Peki ya transfer edilen veriyi barındıran cihazın kendisi veya uygulamanın çalıştığı sistem hacklenirse ne olur? Güvenlik zinciri hangi halkada kopar?
Bu yazıda, güvenli telefonların evrimi, PGP ve OTR protokolleri arasındaki farklar ve yakın tarihin en büyük siber operasyonlarından biri olan EncroChat baskını ışığında bu sorulara yanıt arayacağız.
Güvenli Telefonların Evrimi: Blackberry'den Android'e
Bir zamanlar Aselsan gibi kurumların ürettiği, özel şifreleme çipleri barındıran donanım tabanlı güvenli telefonlar hayallerimizi süslerdi. Ancak bu cihazların üretimi maliyetliydi ve sadece çok özel ekipler tarafından kullanılıyordu. Zamanla bu teknolojiler yerini daha erişilebilir, Android tabanlı hibrit sistemlere bıraktı.
Eski nesil BlackBerry cihazlarda tespit edilen güvenlik açıkları ve 2G gibi eski ağ protokollerinin yetersiz kalması, sektörü yeni bir yöne itti. Günümüzde güvenli telefon sektörü, donanım olarak Android cihazları temel alan; ancak üzerine eklenen özel işletim sistemleri ve sürücülerle güçlendirilmiş modeller üzerinden ilerliyor.
PGP mi, OTR mi?
Güvenli iletişim denince akla gelen iki temel protokol vardır: PGP (Pretty Good Privacy) ve OTR (Off-the-Record Messaging).
- PGP: Mesajları güvenli anahtarlarla şifreler. Ancak bu anahtarlar çalınabilir veya sızdırılabilir.
- OTR: PGP'den farklı olarak "Mükemmel İleri Güvenlik" (Perfect Forward Secrecy) sağlar. Her mesaj ayrı bir anahtarla şifrelenir. Konuşma bittikten sonra doğrulama anahtarları paylaşılır; bu sayede herkes o kimlikten mesaj atabilir hale gelir. Bu teknik özellik, geriye dönük olarak kimliğin doğrulanamamasını (anonimliği) ve inkar edilebilirliği sağlar.
Pazar Savaşları: EncroChat ve Rakipleri
Güvenli telefon pazarı, yasal firmaların yanı sıra illegal servislere hizmet eden sağlayıcıların da rekabet ettiği bir alandır. Bu rekabet bazen oldukça sertleşebiliyor.
Örneğin, yakın zamanda çökertilen EncroChat, rakiplerine karşı agresif bir tutum sergilemişti. 2016 yılında EncroChat cihazlarının ne kadar kolay hacklenebileceğini iddia eden videolar yayımlanmış, buna karşılık EncroChat de rakip firmaların alan adlarını ifşa eden listeler yayınlamıştı. Hatta rakibi "Ciphr" tarafından kullanılan Samsung Knox altyapısını hacklediklerini iddia eden videolarla piyasayı manipüle etmeye çalışmışlardı,.
Donanım ve "Kendi Kriptonu Yazma" Hatası
Sızdırılan belgelere göre EncroChat, temelinde BQ Aquaris X2 model telefonları kullanıyordu. Cihazın güvenliğini artırmak için GPS, kamera ve mikrofon donanımsal olarak sökülmüştü.
Ancak EncroChat'in en büyük iddiası ve belki de sonunu hazırlayan kibri, PGP'ye olan güvensizliğiydi. PGP'nin artık güvenli olmadığını (özellikle İngiliz ve Hollanda polisinin BlackBerry PGP şifrelerini çözebildiği vakalardan sonra) savunan firma, kendi geliştirdikleri bir kripto sistemini (RSA+AES tabanlı ancak özelleştirilmiş) kullanıyordu. Kriptografi dünyasında bilinen en temel kuralı ihlal etmişlerdi: "Kendi kripto algoritmanı/sistemini kullanma." Standart dışı, kapalı devre kripto sistemleri, genellikle felaketle sonuçlanan güvenlik zafiyetlerine davetiye çıkarır,.
Sonuç olarak, uçtan uca şifreleme sadece bir protokoldür; cihazın fiziksel güvenliği, kullanılan algoritmanın standartlara uygunluğu ve işletim sisteminin bütünlüğü sağlanmadığında "güvenli telefon" kavramı sadece bir pazarlama stratejisinden ibaret kalabilir.