İçindekiler

  • Özet
  • Giriş
  • Güvenli Mesajlaşma Nedir?
  • Şifreleme Yöntemleri
    • Şifreleme Nedir
    • Açık Anahtarlı Şifreleme
    • Uçtan Uca Şifreleme
    • Kimlik Doğrulama 
    • RSA Algoritması
  • Güvenlik Protokolleri
    • Signal Protokolü
    • Double Ratchet Protokolü
    • Diffie Hellman Protokolü
  • Uygulama
    • WhatsApp
  • Sonuç

Özet

Kullandığımız mesajlaşma uygulamalarının bir çoğunda şifreleme yöntemleri varsayılan olarak kullanılmaz. Güvenli bir şekilde mesajlaşmak için bizim bu şifreleme yöntemlerini aktif etmemiz gerekebilir. Şifreleme yöntemleri ise birden fazladır. Hepsi birbirinden farklı bir şekilde çalışırlar. Çalışma mantıklarına göre avantajları ve dezavantajları mevcuttur.

Bu yazıda mesajlaşma uygulamalarını kullanırken nasıl daha güvende olacağımız ve nelere dikkat etmemiz gerektiğinden bahsedilmiştir.

Anahtar Sözcükler: Mesaj, Protokol, Şifreleme, WhatsApp

Giriş

Günlük hayatta sıklıkla kullandığımız uygulamalardan biri olan anlık mesajlaşma uygulamalarında en çok aradığımız özelliklerden birisi güvenliktir. Güvenlik dediğimizde aklımıza mesajların şifrelenmiş olması ve üçüncü kişilerin eline geçmemesi gelmelidir.

Birçok uygulama kendisini güvenli gibi gösterse de aslında güvenli değillerdir. Bundan dolayı bu uygulamaları kullanmadan bazı önlemler almak gereklidir. Bu önlemlerden birisi seçtiğimiz uygulamanın güvenlik protokolüne dikkat etmektir. Bir başka önlem ise şifreleme yöntemlerine bakmaktır. 

Güvenli Mesajlaşma Nedir?

“Anlık mesajlaşma uygulamaları, günümüzde insanlar için vazgeçilmez hale gelmiştir. Bu tür uygulamalar birden fazla kullanıcı arasında bir bağlantı kurmayı amaçladıklarından ve istemci-sunucu mimarisini benimsediklerinden, özellikle “Ortadaki Adam (MITM)” saldırıları gibi iletişim güvenliğini tehdit eden olası saldırılara açık olabilirler.

MITM gibi saldırılardan ve istemci-sunucu modelinden kaynaklanan olası tehditlerden kaçınmak ve haberleşmenin güvenli olmasını sağlamak için, birçok anlık mesajlaşma uygulamasında farklı teknikler kullanılmaktadır.”(Bıçakçı,2019)

Şifreleme Yöntemleri

Şifreleme Nedir?

“Bulut bilişim sistemleri kullanırken, yüklemiş olduğumuz kişisel verilerin gizliliği ve üçüncü kişiler tarafından anılan verileri ele geçirme ya da verilere hukuka aykırı olarak erişim hususları düşünüldüğünde, bu tür durumları önlemek adına alınması gereken önlemlerin başında şifreleme işlemleri gelmektedir. Bulut sistemlerinde kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle verilerin şifrelenmesi, bulut ortamlarına şifrelenerek atılmasına şifreleme denir.”(Paşaoğlu,2020)

Açık Anahtarlı Şifreleme

“Asimetrik şifreleme” olarak da adlandırılan açık anahtarlı şifreleme (public key cryptography), şifreleme ve çözümleme anahtarlarının farklı olduğu ve günümüzde kullanım alanı oldukça yaygınlaşmış bir tür şifreleme metodudur. İlk olarak 1976 yılında Diffie ve Hellman tarafından ortaya atılmıştır. Bu şifreleme yönteminde, her bir kullanıcıda açık (public) ve gizli (private) anahtar olmak üzere iki adet anahtar bulunur. Açık anahtar, gizli anahtar kullanılarak elde edilebilirken açık anahtardan gizli anahtarın elde edilmesi ise ayrık logaritma problemine (discrete logarithm problem) dayanarak pratikte mümkün değildir. Bu yüzden, açık anahtar herkesle paylaşılabilirken gizli anahtar ise yalnızca sahibi tarafından bilinmesi gereken bir anahtardır.”(Bıçakçı,2019)

Uçtan Uca Şifreleme

Bu yöntemde, gönderici şifrelemek istediği veriyi alıcının açık anahtarıyla şifreleyerek sunucuya iletir. Sunucu ise şifrelenmiş olan veriyi alıcıya iletir. Böylelikle, sunucu şifreleme işleminin doğrudan bir parçası olmadığı ve alıcının özel anahtarını bilmediği için alıcıya gönderilen iletiyi çözemez.

Kimlik Doğrulama

Uçtan uca şifrelemeden kaynaklanan tehditlerden kurtulmak için kimlik doğrulama mekanizmalarının uygulama tasarımlarında bulundurulması önemlidir. Bu tür mekanizmaların anlık mesajlaşma uygulamalarında rastlanılan biçimi “kimlik doğrulama seremonisi (authentication ceremony)” adı verilen bir dizi işlemdir. Bu seremoninin amacı, istemci-sunucu modelini benimseyen mesajlaşma uygulamalarının sunucu kaynaklı tehditlerden kurtularak gerektiğinde iki istemcinin, sunucudan bağımsız bir kanal vasıtasıyla açık anahtarlarını doğrulayabilmesidir.

RSA Algoritması

RSA Algoritması hem şifreleme hem de dijital imza amacıyla kullanılmaktadır. Açık anahtarlı şifreleme tekniği vardır. Bu teknikte çok büyük iki asal sayının çarpımından oluşan bir tamsayı oluşturma yöntemine dayanmaktadır. 

Güvenlik Protokolleri

Signal Protokolü

“Signal Protokolü, anlık mesajlaşma uygulamalarında future ve forward secrecy gibi güvenlik özelliklerini sağlayan ve Open Whisper Systems tarafından geliştirilen açık kaynaklı bir şifreleme protokolüdür. Temel olarak Double Ratchet algoritması ve Extended Triple Diffie-Hellman anahtar anlaşması protokolünü kullanır. Bu protokol, ortak anahtar materyallerinin depolanması ve mesajların kullanıcılar arasında iletiminden sorumlu olan merkezi bir sunucuya bağlıdır. Bir kullanıcının gizli anahtarı, kayıt sırasında mobil cihazında saklanırken, karşılık gelen açık anahtar, merkezi sunucunun kimlik veri tabanında saklanır.”(Bıçakçı,2019)

Double Ratchet Protokolü

Double Ratchet algoritması anahtar yönetim algoritmasıdır. Bu algoritmanın 3 temel adımı vardır. Bu adımlar anahtar türetme fonksiyon zincirleri (key derivation function (KDF) chains), simetrik anahtar (symmetric key ratchet) ve Diffie Helmann adımlarıdır.

Anahtar türetme fonksiyonu, parolalardan belirli formatlar aracılığıyla gizli anahtar türetmeyi sağlar. Fonksiyonun çıkışının bir kısmı çıkış anahtarı olarak kullanıldığında KDF zinciri kullanılır. Bir kısmı ise daha sonra başka bir giriş ile kullanılabilen bir KDF anahtarını değiştirmek için kullanılır. Kullanıcılar için üç tane KDF zinciri oluşturulmaktadır. Bunlar kök zinciri, bir gönderici zinciri ve bir alıcı zinciridir.

Simetrik anahtar adımında ise çıkış anahtarları mesajların şifrelenmesi için ve mesajların şifresini çözmek için kullanılır. Her şifrelenecek mesajın bir mesaj anahtarı vardır. Bir saldırgan, mesajlaşan taraflardan birinin gönderici ve alıcı zincirlerini ele geçirirse, bundan sonra ağdaki mesajlara erişebilme yetkisine kavuşur. Bu mesajların şifrelerini çözebilir. Bunu önlemek için ise Signal protokolünde Diffie Hellman protokolü kullanılmaktadır.

Diffie Hellman Protokolü

“Diffie Hellman 1976 yılında Whitfield Diffie ve Martin Hellman [35] tarafından anahtar değişimi problemini gidermek için önerilmiştir. Bu algoritma güvensiz bir iletişim kanalında karşılıklı haberleşen iki tarafın ortak bir gizli anahtar oluşturmasını sağlar. Oluşturulan gizli anahtar kullanılarak ağ üzerinden gizli iletişim sağlanabilmektedir.”(Akman,2018)

Uygulama

Günlük hayatta birçok insanın kullandığı bir uygulama olan WhatsApp, siz şifreleme yöntemlerini açmadığınız sürece şifreleme yöntemlerini kullanmıyor.

WhatsApp’ın sitesine girdiğimizde karşımıza şöyle bir yazı çıkıyor: ” En kişisel anlarınızdan bazılarını WhatsApp üzerinden paylaşıyorsunuz. Bu nedenle uçtan uca şifrelemeyi geliştirerek uygulamamıza entegre ettik. Uçtan uca şifrelendiğinde mesajlarınızın, fotoğraflarınızın, videolarınızın, sesli mesajlarınızın, belgelerinizin ve aramalarınızın yanlış kişilerin eline geçmesi engellenmiş olur.”

Burada gördüğümüze göre yazıda uçtan uca şifreleme yöntemini kullandıkları yazıyor. Lakin siz bunu aktifleştirmediğiniz sürece kullanamazsınız. WhatsApp uygulamasını daha güvenli bir şekilde kullanmak için yapmamız gereken bazı şeyler vardır.

  • Bunlardan ilki mesajları zamanlı olarak kullanmaktır. Bunun için öncelikle ayarlar kısmına girmemiz gerekiyor. Buradan hesap kısmına giriyoruz.

  • Hesap kısmından gizlilik kısmına giriyoruz.

     

  • Gizlilik kısmından ise mesaj zamanlayıcısına giriyoruz.

  • Burada mesajlarımızın silinmesi için zaman süresini ayarlayabiliriz.

               

  • İkinci olarak iki adımlı doğrulama özelliğini açabilirsiniz. Bu özelliği açtığınızda sizden ara ara şifreyi girmenizi isteyecektir. Buradaki temel amaç, uygulamayı sizden başkasının kullanmasının önüne geçmektir.
  • Bu özelliği açmak için öncelikle hesap kısmına giriyoruz. İki adımlı doğrulama kısmına giriyoruz.

  • 6 haneli bir değer giriyoruz.

               

  • Şifreyi girdikten sonra sizden mail adresinizi girmenizi isteyecektir.

                 

  • Sonrasında başarılı bir şekilde şifreyi oluşturmuş olacaksınız.

             

  • Bu özelliği aktif ettikten sonra uygulamaya girerken sizden ara ara şifre isteyecektir.

  • Üçüncü olarak birisi ile konuşurken mesajlarınızın kimseye ulaşmasını istemiyorsanız eğer sohbetinizi şifreleyebilirsiniz. Bunun için öncelikle sohbet ettiğiniz kişinin profiline giriyorsunuz.

  • Buradan şifreleme kısmına giriyoruz. Burada QR kod vardır. Bu kodu karşı tarafın veya sizin okutması lazımdır. Burada önemli bir nokta vardır. İki tarafında kodları aynı olmalıdır. Aşağıdaki görsellerde ikisi de aynıdır.

                                                          

  • Gerekli işlemler yapıldıktan sonra aşağıdaki görüntünün oluşması lazımdır. Bu görüntü çıkmışsa QR kodlar eşleştirilmiş demektir. Böylelikle sohbet uçtan uca korunacaktır.

                           

Sonuç

Anlık mesajlaşma uygulamalarını kullanırken aslında güvende değilizdir. Güvende olmamız için kendimizin ekstra önlemler alması gereklidir. Alacağımız önlemler ise basittir. Şifreli konuşma seçeneğini açtığımız takdirde konuşmalarımız şifrelenecektir veya silinecektir. 

Kaynakça

  • Bıçakçı, K. (2019).Blokzincir kullanılarak kimlik doğrulama seremonisini ortadan kaldıran bir güvenli mesajlaşma uygulamasının geliştirilmesi. Ankara: TOBB ETÜ Fen Bilimleri Enstitüsü. [Yayınlanmamış yüksek lisans tezi], from https://hdl.handle.net/20.500.11851/4076
  • Akman, G. (2018). Popüler güvenli mesajlaşma uygulamalarında kimlik doğrulama ve şifreleme anahtarının değişmesi ile kullanıcı etkileşimi. Ankara: TOBB ETÜ Fen Bilimleri Enstitüsü. [Yayınlanmamış yüksek lisans tezi], from http://hdl.handle.net/20.500.11851/2260
  • Paşaoğlu, C. & Cevheroğlu, E. (2020). Bulut Bilişim Sistemleri Kapsamında Kişisel Verilerin Şifreleme Yöntemleri ile Korunması . Bilişim Teknolojileri Dergisi , 13 (2) , 183-195 . DOI: 10.17671/gazibtd.559235

 

Kapak görsel: Photo by Alok Sharma on Pexels

https://www.pexels.com/tr-tr/fotograf/siyah-android-akilli-telefon-177707/ 

Makale içerisindeki görseller sahiplerinden izin alarak kullanılmıştır.

Bu makale plagiarism checker sitesi üzerinden 27.05.2022 tarihinde kontrol edilmiştir. Makale, benzerlik değeri ile kabul edilmiştir. Results Completed: 100% Plagiarism: %19 Unique: %81 

 

Creative Commons Lisansı
Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.