İçindekiler
- Özet
- Giriş
- Güvenli Mesajlaşma Nedir?
- Şifreleme Yöntemleri
- Şifreleme Nedir
- Açık Anahtarlı Şifreleme
- Uçtan Uca Şifreleme
- Kimlik Doğrulama
- RSA Algoritması
- Güvenlik Protokolleri
- Signal Protokolü
- Double Ratchet Protokolü
- Diffie Hellman Protokolü
- Uygulama
- Sonuç
Özet
Kullandığımız mesajlaşma uygulamalarının bir çoğunda şifreleme yöntemleri varsayılan olarak kullanılmaz. Güvenli bir şekilde mesajlaşmak için bizim bu şifreleme yöntemlerini aktif etmemiz gerekebilir. Şifreleme yöntemleri ise birden fazladır. Hepsi birbirinden farklı bir şekilde çalışırlar. Çalışma mantıklarına göre avantajları ve dezavantajları mevcuttur.
Bu yazıda mesajlaşma uygulamalarını kullanırken nasıl daha güvende olacağımız ve nelere dikkat etmemiz gerektiğinden bahsedilmiştir.
Anahtar Sözcükler: Mesaj, Protokol, Şifreleme, WhatsApp
Giriş
Günlük hayatta sıklıkla kullandığımız uygulamalardan biri olan anlık mesajlaşma uygulamalarında en çok aradığımız özelliklerden birisi güvenliktir. Güvenlik dediğimizde aklımıza mesajların şifrelenmiş olması ve üçüncü kişilerin eline geçmemesi gelmelidir.
Birçok uygulama kendisini güvenli gibi gösterse de aslında güvenli değillerdir. Bundan dolayı bu uygulamaları kullanmadan bazı önlemler almak gereklidir. Bu önlemlerden birisi seçtiğimiz uygulamanın güvenlik protokolüne dikkat etmektir. Bir başka önlem ise şifreleme yöntemlerine bakmaktır.
Güvenli Mesajlaşma Nedir?
“Anlık mesajlaşma uygulamaları, günümüzde insanlar için vazgeçilmez hale gelmiştir. Bu tür uygulamalar birden fazla kullanıcı arasında bir bağlantı kurmayı amaçladıklarından ve istemci-sunucu mimarisini benimsediklerinden, özellikle “Ortadaki Adam (MITM)” saldırıları gibi iletişim güvenliğini tehdit eden olası saldırılara açık olabilirler.
MITM gibi saldırılardan ve istemci-sunucu modelinden kaynaklanan olası tehditlerden kaçınmak ve haberleşmenin güvenli olmasını sağlamak için, birçok anlık mesajlaşma uygulamasında farklı teknikler kullanılmaktadır.”(Bıçakçı,2019)
Şifreleme Yöntemleri
Şifreleme Nedir?
“Bulut bilişim sistemleri kullanırken, yüklemiş olduğumuz kişisel verilerin gizliliği ve üçüncü kişiler tarafından anılan verileri ele geçirme ya da verilere hukuka aykırı olarak erişim hususları düşünüldüğünde, bu tür durumları önlemek adına alınması gereken önlemlerin başında şifreleme işlemleri gelmektedir. Bulut sistemlerinde kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle verilerin şifrelenmesi, bulut ortamlarına şifrelenerek atılmasına şifreleme denir.”(Paşaoğlu,2020)
Açık Anahtarlı Şifreleme
“Asimetrik şifreleme” olarak da adlandırılan açık anahtarlı şifreleme (public key cryptography), şifreleme ve çözümleme anahtarlarının farklı olduğu ve günümüzde kullanım alanı oldukça yaygınlaşmış bir tür şifreleme metodudur. İlk olarak 1976 yılında Diffie ve Hellman tarafından ortaya atılmıştır. Bu şifreleme yönteminde, her bir kullanıcıda açık (public) ve gizli (private) anahtar olmak üzere iki adet anahtar bulunur. Açık anahtar, gizli anahtar kullanılarak elde edilebilirken açık anahtardan gizli anahtarın elde edilmesi ise ayrık logaritma problemine (discrete logarithm problem) dayanarak pratikte mümkün değildir. Bu yüzden, açık anahtar herkesle paylaşılabilirken gizli anahtar ise yalnızca sahibi tarafından bilinmesi gereken bir anahtardır.”(Bıçakçı,2019)
Uçtan Uca Şifreleme
Bu yöntemde, gönderici şifrelemek istediği veriyi alıcının açık anahtarıyla şifreleyerek sunucuya iletir. Sunucu ise şifrelenmiş olan veriyi alıcıya iletir. Böylelikle, sunucu şifreleme işleminin doğrudan bir parçası olmadığı ve alıcının özel anahtarını bilmediği için alıcıya gönderilen iletiyi çözemez.
Kimlik Doğrulama
Uçtan uca şifrelemeden kaynaklanan tehditlerden kurtulmak için kimlik doğrulama mekanizmalarının uygulama tasarımlarında bulundurulması önemlidir. Bu tür mekanizmaların anlık mesajlaşma uygulamalarında rastlanılan biçimi “kimlik doğrulama seremonisi (authentication ceremony)” adı verilen bir dizi işlemdir. Bu seremoninin amacı, istemci-sunucu modelini benimseyen mesajlaşma uygulamalarının sunucu kaynaklı tehditlerden kurtularak gerektiğinde iki istemcinin, sunucudan bağımsız bir kanal vasıtasıyla açık anahtarlarını doğrulayabilmesidir.
RSA Algoritması
RSA Algoritması hem şifreleme hem de dijital imza amacıyla kullanılmaktadır. Açık anahtarlı şifreleme tekniği vardır. Bu teknikte çok büyük iki asal sayının çarpımından oluşan bir tamsayı oluşturma yöntemine dayanmaktadır.
Güvenlik Protokolleri
Signal Protokolü
“Signal Protokolü, anlık mesajlaşma uygulamalarında future ve forward secrecy gibi güvenlik özelliklerini sağlayan ve Open Whisper Systems tarafından geliştirilen açık kaynaklı bir şifreleme protokolüdür. Temel olarak Double Ratchet algoritması ve Extended Triple Diffie-Hellman anahtar anlaşması protokolünü kullanır. Bu protokol, ortak anahtar materyallerinin depolanması ve mesajların kullanıcılar arasında iletiminden sorumlu olan merkezi bir sunucuya bağlıdır. Bir kullanıcının gizli anahtarı, kayıt sırasında mobil cihazında saklanırken, karşılık gelen açık anahtar, merkezi sunucunun kimlik veri tabanında saklanır.”(Bıçakçı,2019)
Double Ratchet Protokolü
Double Ratchet algoritması anahtar yönetim algoritmasıdır. Bu algoritmanın 3 temel adımı vardır. Bu adımlar anahtar türetme fonksiyon zincirleri (key derivation function (KDF) chains), simetrik anahtar (symmetric key ratchet) ve Diffie Helmann adımlarıdır.
Anahtar türetme fonksiyonu, parolalardan belirli formatlar aracılığıyla gizli anahtar türetmeyi sağlar. Fonksiyonun çıkışının bir kısmı çıkış anahtarı olarak kullanıldığında KDF zinciri kullanılır. Bir kısmı ise daha sonra başka bir giriş ile kullanılabilen bir KDF anahtarını değiştirmek için kullanılır. Kullanıcılar için üç tane KDF zinciri oluşturulmaktadır. Bunlar kök zinciri, bir gönderici zinciri ve bir alıcı zinciridir.
Simetrik anahtar adımında ise çıkış anahtarları mesajların şifrelenmesi için ve mesajların şifresini çözmek için kullanılır. Her şifrelenecek mesajın bir mesaj anahtarı vardır. Bir saldırgan, mesajlaşan taraflardan birinin gönderici ve alıcı zincirlerini ele geçirirse, bundan sonra ağdaki mesajlara erişebilme yetkisine kavuşur. Bu mesajların şifrelerini çözebilir. Bunu önlemek için ise Signal protokolünde Diffie Hellman protokolü kullanılmaktadır.
Diffie Hellman Protokolü
“Diffie Hellman 1976 yılında Whitfield Diffie ve Martin Hellman [35] tarafından anahtar değişimi problemini gidermek için önerilmiştir. Bu algoritma güvensiz bir iletişim kanalında karşılıklı haberleşen iki tarafın ortak bir gizli anahtar oluşturmasını sağlar. Oluşturulan gizli anahtar kullanılarak ağ üzerinden gizli iletişim sağlanabilmektedir.”(Akman,2018)
Uygulama
Günlük hayatta birçok insanın kullandığı bir uygulama olan WhatsApp, siz şifreleme yöntemlerini açmadığınız sürece şifreleme yöntemlerini kullanmıyor.
WhatsApp’ın sitesine girdiğimizde karşımıza şöyle bir yazı çıkıyor: ” En kişisel anlarınızdan bazılarını WhatsApp üzerinden paylaşıyorsunuz. Bu nedenle uçtan uca şifrelemeyi geliştirerek uygulamamıza entegre ettik. Uçtan uca şifrelendiğinde mesajlarınızın, fotoğraflarınızın, videolarınızın, sesli mesajlarınızın, belgelerinizin ve aramalarınızın yanlış kişilerin eline geçmesi engellenmiş olur.”
Burada gördüğümüze göre yazıda uçtan uca şifreleme yöntemini kullandıkları yazıyor. Lakin siz bunu aktifleştirmediğiniz sürece kullanamazsınız. WhatsApp uygulamasını daha güvenli bir şekilde kullanmak için yapmamız gereken bazı şeyler vardır.
-
Bunlardan ilki mesajları zamanlı olarak kullanmaktır. Bunun için öncelikle ayarlar kısmına girmemiz gerekiyor. Buradan hesap kısmına giriyoruz.
-
Hesap kısmından gizlilik kısmına giriyoruz.
-
Gizlilik kısmından ise mesaj zamanlayıcısına giriyoruz.
-
Burada mesajlarımızın silinmesi için zaman süresini ayarlayabiliriz.
- İkinci olarak iki adımlı doğrulama özelliğini açabilirsiniz. Bu özelliği açtığınızda sizden ara ara şifreyi girmenizi isteyecektir. Buradaki temel amaç, uygulamayı sizden başkasının kullanmasının önüne geçmektir.
-
Bu özelliği açmak için öncelikle hesap kısmına giriyoruz. İki adımlı doğrulama kısmına giriyoruz.
-
6 haneli bir değer giriyoruz.
-
Şifreyi girdikten sonra sizden mail adresinizi girmenizi isteyecektir.
-
Sonrasında başarılı bir şekilde şifreyi oluşturmuş olacaksınız.
-
Bu özelliği aktif ettikten sonra uygulamaya girerken sizden ara ara şifre isteyecektir.
-
Üçüncü olarak birisi ile konuşurken mesajlarınızın kimseye ulaşmasını istemiyorsanız eğer sohbetinizi şifreleyebilirsiniz. Bunun için öncelikle sohbet ettiğiniz kişinin profiline giriyorsunuz.
-
Buradan şifreleme kısmına giriyoruz. Burada QR kod vardır. Bu kodu karşı tarafın veya sizin okutması lazımdır. Burada önemli bir nokta vardır. İki tarafında kodları aynı olmalıdır. Aşağıdaki görsellerde ikisi de aynıdır.
- Gerekli işlemler yapıldıktan sonra aşağıdaki görüntünün oluşması lazımdır. Bu görüntü çıkmışsa QR kodlar eşleştirilmiş demektir. Böylelikle sohbet uçtan uca korunacaktır.
Sonuç
Anlık mesajlaşma uygulamalarını kullanırken aslında güvende değilizdir. Güvende olmamız için kendimizin ekstra önlemler alması gereklidir. Alacağımız önlemler ise basittir. Şifreli konuşma seçeneğini açtığımız takdirde konuşmalarımız şifrelenecektir veya silinecektir.
Kaynakça
- Bıçakçı, K. (2019).Blokzincir kullanılarak kimlik doğrulama seremonisini ortadan kaldıran bir güvenli mesajlaşma uygulamasının geliştirilmesi. Ankara: TOBB ETÜ Fen Bilimleri Enstitüsü. [Yayınlanmamış yüksek lisans tezi], from https://hdl.handle.net/20.500.11851/4076
- Akman, G. (2018). Popüler güvenli mesajlaşma uygulamalarında kimlik doğrulama ve şifreleme anahtarının değişmesi ile kullanıcı etkileşimi. Ankara: TOBB ETÜ Fen Bilimleri Enstitüsü. [Yayınlanmamış yüksek lisans tezi], from http://hdl.handle.net/20.500.11851/2260
- Paşaoğlu, C. & Cevheroğlu, E. (2020). Bulut Bilişim Sistemleri Kapsamında Kişisel Verilerin Şifreleme Yöntemleri ile Korunması . Bilişim Teknolojileri Dergisi , 13 (2) , 183-195 . DOI: 10.17671/gazibtd.559235
Kapak görsel: Photo by Alok Sharma on Pexels
https://www.pexels.com/tr-tr/fotograf/siyah-android-akilli-telefon-177707/
Makale içerisindeki görseller sahiplerinden izin alarak kullanılmıştır.
Bu makale plagiarism checker sitesi üzerinden 27.05.2022 tarihinde kontrol edilmiştir. Makale, benzerlik değeri ile kabul edilmiştir. Results Completed: 100% Plagiarism: %19 Unique: %81
Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.
Merhaba ben Yiğitcan ERCAN, Bahçeşehir Koleji Anadolu Lisesinden mezun oldum. Lise sonrası bilgisayar ile ilgili bir bölümde okumak istediğimden dolayı Marmara Üniversitesi Bilgisayar ve Öğretim Teknolojileri Öğretmenliği bölümünü seçtim. Bölüme başladığımda altyapım hiçbir şekilde yoktu. Bölüme başladıktan sonra yavaş yavaş öğrenmeye başladım. HTML, C, C++, Python, SQL dillerini orta düzeyde biliyorum. Alanımızda İngilizce önemli olduğundan dolayı ve de bizim bölümümüzde İngilizce dilinde yapılmadığından dolayı MÜSEM İngilizce kursuna gittim ve B1 (Pre – Intermediate) sertifikamı aldım. İngilizceden bağımsız iki dil daha öğrenmeyi planlıyorum. Bunlar Fransızca ve İspanyolca olacak büyük ihtimalle. Boş zamanlarımda spor yapmayı, kitap okumayı, dizi ve film izlemeyi, doğa yürüyüşü yapmayı ve bağlama çalmayı severim. Lisede iki yıl boyunca Beşiktaş futbol okuluna gittim. Akademik kariyerime odaklanmak istediğimden dolayı futbolu bırakmak zorunda kaldım. Okul sonrası Web Developing sektörünün Front-End kısmında çalışmayı düşünüyorum. Bundan dolayı HTML, CSS, JavaScript, React js dillerini öğrenmeye başladım. Aynı zamanda bu bölüme ek olarak Yönetim Bilişim Sistemleri bölümünü de okumayı planlıyorum. Oyun geliştirme ile de bir süre uğraştığımdan dolayı okulumuzun oyun geliştirme kulübüne üyeyim aynı zamanda. Gelecek planlarımda yurtdışında yaşamak var. Bundan dolayı eğitimime orada da devam etmek istiyorum. Yurtdışında eğitimime destek olması için birçok üniversiteden sertifika alıyorum. Öncelik olarak Kanada veya ABD’ye gitmek istiyorum. Eğer bu ülkeler olmazsa Avrupa’ya gitmeyi planlıyorum.