Sosyal Medyada Zorunlu Kimlik Doğrulama ve ZKP

2. Giriş

İnternetin kitlesel kullanımı sosyal medya platformlarını dönüştürmüştür. Bu platformlar artık küresel kamusal alanlardır. Bireyler burada fikir ve bilgi paylaşır. Dolayısıyla yeni bir tartışma ortaya çıkmıştır. Platformlar kullanıcı kimliğini doğrulamalı mıdır? Bu nedenle hükümetler ve platform sahipleri harekete geçmiştir. Zaman zaman “gerçek ad” ya da “kimlik bağlama” politikaları getirmişlerdir. Amaç ise çevrimiçi taciz, dezenformasyon ve nefret söylemini önlemektir.

Ne var ki kimlik bağlama yeni etik sorunlar da doğurur. Örneğin zorunlu kimlik açıklaması bireyleri savunmasız bırakır. Bu kişiler dijital gözetime, veri ihlaline ve siyasi baskıya açık hâle gelir. Bu noktada kritik bir fark önem kazanır. Söz konusu fark, “kimliği doğrulamak” ile “kimliği ifşa etmek” arasındadır. Bununla birlikte bu farkı teknik olarak mümkün kılan bir yaklaşım vardır. Bu yaklaşım, kriptografi alanından gelen Sıfır Bilgi İspatı (ZKP) yöntemidir.

Sonuç olarak bu çalışma üç konuyu karşılaştırmalı bir çerçevede ele almaktadır. İlk olarak Güney Kore’nin zorunlu gerçek ad sistemini inceler. Bu sistem, tarihsel bir başarısızlık örneğidir. Ardından sistemin yol açtığı etik sorunları tartışır. Son olarak ZKP tabanlı teknik alternatifleri değerlendirir. Bu alternatifler, anonimliği korur. Ayrıca politika düzeyinde nasıl uygulanabilecekleri de gösterilir.

3. Temel Kavramlar

3.1 Anonimlik ve Dijital Mahremiyet

Anonimlik, bireyin bir hakkıdır. Bu hak, kimliği üçüncü şahıslara açıklamadan iletişim kurabilmektir. Özellikle dijital ortamda bu hak başka haklarla kesişir. Bu haklar; ifade özgürlüğü, mahremiyet ve bilgiye erişimdir. Nitekim BM İnsan Hakları Konseyi 2015 raporunda bir değerlendirme yapmıştır. Konsey, şifrelenmiş anonim iletişim araçlarını temel insan haklarının dijital uzantısı saymıştır. Böylece devletlerin bu araçları kısıtlamasına karşı çıkmıştır (Kaye, 2015).

Dijital mahremiyet ise farklı bir özgürlüğü kapsar. Bu özgürlük, kişisel veriler üzerinde karar verebilmektir. Birey, verilerini kimin toplayacağına, saklayacağına ve işleyeceğine karar verir. Bu bağlamda söz konusu hak güvence altındadır. Hem Avrupa İnsan Hakları Mahkemesi içtihadı hem de GDPR bu hakkı korur. Nitekim GDPR bunu temel bir bireysel özgürlük sayar (European Parliament, 2016).

3.2 Sıfır Bilgi İspatı (ZKP) Nedir?

Sıfır Bilgi İspatı (Zero-Knowledge Proof — ZKP) kriptografik bir protokoldür. Bu protokol, ispatlayan tarafa (prover) bir olanak tanır. İspatlayan, belirli bir bilgiyi bildiğini kanıtlayabilir. Ya da belirli bir niteliği taşıdığını gösterebilir. Üstelik bunu, bilgiyi doğrudan açıklamadan matematiksel olarak yapar. Esasen bu kavram ilk kez 1985 yılında tanımlanmıştır. Tanımı yapanlar Goldwasser, Micali ve Rackoff’tur (Goldwasser, Micali ve Rackoff, 1985).

Şekil 1. ZKP tabanlı kimlik doğrulama akışı: Kullanıcı gerçek kimliğini açıklamadan yalnızca gerekli niteliği kanıtlar.

ZKP’nin temel üç özelliği ise şunlardır: (1) Tamlık — iddia doğruysa, dürüst bir ispatlayan doğrulayıcıyı her zaman ikna eder; (2) Sağlamlık — iddia yanlışsa, aldatıcı bir ispatlayan doğrulayıcıyı ikna edemez; (3) Sıfır bilgi — doğrulayıcı, iddianın doğruluğu dışında bilgi edinmez (Goldwasser, Micali ve Rackoff, 1985). Günümüzde ayrıca açık kaynaklı uygulamalar bu teknolojiyi pratiğe taşır. Örnekleri Semaphore, zkEmail ve Worldcoin’in Semaphore protokolüdür (Semaphore, 2024).

4. Güney Kore Vakası: İnternet Gerçek Ad Sistemi

Güney Kore, 2007 yılında zorunlu bir kimlik doğrulama uygulaması başlatmıştır. Bu uygulamanın adı “İnternet Gerçek Ad Sistemi”dir (인터넷 실명제, Internet Real-Name Verification System). Sistem, günlük 100.000’den fazla ziyaretçi alan web sitelerini hedeflemiştir. Özellikle kullanıcılara bir zorunluluk getirmiştir. Bu kişiler, yorum yapmak veya içerik paylaşmak istiyordu. Bunun için Kore ulusal kimlik numarasını sisteme kaydetmeleri gerekiyordu (Kang, 2012).

Sistemin uygulandığı dönemde yetkililer çeşitli gerekçeler öne sürmüştür. Bu gerekçeler; siber tacizi, kimlik avını ve dezenformasyonu önlemekti. Ne var ki uygulama pratikte ciddi sorunlar doğurmuştur:

Bunun yanı sıra analistler önemli bir bulguya ulaşmıştır. Sistem, siber tacizi önlemede beklenen düzeyde etkili olmamıştır. Nitekim kullanıcılar anonim platformlara yönelmiştir. Bu kişiler alternatif kanallarla zararlı içerik üretmeye devam etmiştir. Ayrıca sistemin başka bir olumsuz etkisi de olmuştur. Muhaliflerin, gazetecilerin ve azınlık gruplarının ifade özgürlüğünü fiilen kısıtlamıştır (Kang, 2012).

Sonuçta 2012 yılında Güney Kore Anayasa Mahkemesi bir karar vermiştir. Mahkeme, gerçek ad sistemini oybirliğiyle iptal etmiştir. Gerekçe, sistemin temel hakları ihlal etmesidir. Bu haklar, Anayasa’nın güvence altına aldığı ifade özgürlüğü ve mahremiyettir. Dahası mahkeme bir orantısızlığa dikkat çekmiştir. Sistemin koruma gerekçesi bir yandadır. Diğer yanda ise bireylere yüklediği hak ihlali yükü vardır. Mahkeme, bu ikisi arasındaki dengesizliği vurgulamıştır (Korean Constitutional Court, 2012).

5. Etik Analiz

5.1 İfade Özgürlüğü ve Anonimlik Hakkı

BM Özel Raportörü Kaye (2015) önemli bir etki belgelemiştir. Zorunlu gerçek ad politikaları bir “caydırma etkisi” (chilling effect) yaratır. Özellikle bireyler kimliklerinin açık olduğunu bilir. Bu nedenle hassas konularda görüş paylaşmaktan kaçınırlar. Böylece kamusal tartışma fiilen daralır (Kaye, 2015). Nitekim Güney Kore deneyimi bu tezi somutlaştırır. Zira o dönemde belirgin bir düşüş gözlemlenmiştir. Bu düşüş, tartışmalı siyasi içeriklerde ve hükümet eleştirisi içeren yorumlarda yaşanmıştır (Kang, 2012).

5.2 Veri İhlali Riski

Bunun yanında zorunlu kimlik bağlama platformları dönüştürür. Platformlar merkezileşmiş veri havuzlarına döner. Bu havuzlar milyonlarca kişinin hassas bilgisini barındırır. Bu sebeple güvenlik araştırmacıları bir uyarıda bulunur. Bu tür merkezi yapılar saldırganlar için cazip hedeflerdir (Anderson, 2020). Örneğin Güney Kore’nin 2011 veri ihlali bu riskin somut kanıtıdır. Bununla birlikte benzer vakalar başka ülkelerde de yaşanmıştır.

Ayrıca kimlik verilerinin tek noktada toplanması bir başka risk doğurur. Veri ihlali sonucunda ortaya çıkacak zararı orantısız biçimde artırır. Şöyle ki bir sosyal medya şifresi değiştirilebilir. Oysa kimlik numarası değiştirilemez.

5.3 Kırılgan Grupların Dışlanması

Öte yandan bazı bireylerin resmi kimlik belgesi bulunmaz. Bunlar; belgesiz göçmenler, devlet destekli tacize maruz kalan kişiler, siyasi muhalifler veya evsiz bireylerdir. Bu kişiler zorunlu kimlik doğrulama sistemlerinde platforma erişemez. Dolayısıyla bu durum ciddi bir sonuç doğurur. Zaten dezavantajlı gruplar dijital kamusal alandan tamamen dışlanır. Nitekim uluslararası insan hakları kuruluşları bu sonucu eleştirir. Bu kuruluşlar, durumu kapsayıcılık ilkesiyle bağdaşmaz bulur (Access Now, 2022).

6. Karşılaştırmalı Analiz

Aşağıdaki tablo; zorunlu kimlik bağlama politikasını, AB Dijital Hizmetler Yasası çerçevesini ve ZKP tabanlı yaklaşımı temel etik ve teknik boyutlar açısından karşılaştırmaktadır.

Not. Tablo yazara aittir. DSA = Dijital Hizmetler Yasası; ZKP = Sıfır Bilgi İspatı; GDPR = AB Genel Veri Koruma Tüzüğü. (CC BY-SA 4.0)

Tabloda da görüldüğü üzere AB Dijital Hizmetler Yasası (DSA) önemli bir hak tanır. Yasa, kullanıcıların anonim biçimde hizmet almasını güvence altına alır. Bu, temel bir haktır (European Commission, 2022). Dolayısıyla bu çerçeve zorunlu kimlik bağlamadan ayrışır. Hesap verebilirliği bireyin kimliğini ifşa etmeden sağlamayı hedefler.

8. Uygulama

Bu bölümde ZKP kavramının pratik işleyişi incelenmektedir. Ayrıca kişisel verilerin gizliliğinin nasıl korunduğu ele alınır. İnceleme, özel olarak geliştirilmiş bir web simülasyonu üzerinden yapılır. Buna göre simülasyon iki farklı aşamadan oluşur. Bu aşamalar “Kimlik Sağlayıcı” ve “Doğrulayıcı Platform”dur.

8.1 Bölüm 1: Etkileşimli ZKP Demosu — Kimlik ve Taahhüt (Commitment) Üretimi

ZKP sistemlerinde kullanıcının gerçek verilerini açığa çıkarmadan kriptografik bir kimlik oluşturma sürecini anlamak için aşağıdaki adımlar izlenebilir:

8.2 Bölüm 2: Hizmet Sağlayıcıda (Instagram) ZKP ile Yaş Doğrulaması

Merkezi bir platformun, kullanıcıdan doğum tarihi veya resmi belge istemeden yaş doğrulamasını nasıl gerçekleştirdiğini (Sıfır Bilgi mantığını) incelemek için ise şu adımlar izlenmelidir:

8.3 Bölüm 3: Güney Kore Vakasının ZKP ile Analizi ve Çözüm Yaklaşımı

Şimdi Güney Kore’deki SK Communications veri ihlali vakasını yeniden ele alalım. Bu vakada milyonlarca kişinin kimlik muadili verisi çalınmıştı. Veriler merkezi veritabanlarından sızdırılmıştı. Bu açıdan bakıldığında ZKP mimarisinin sunduğu paradigma değişimi net görülür.

Örneğin bir varsayım yapalım. “Gerçek İsimle Doğrulama” yasası kapsamında geleneksel yöntemler kullanılmasaydı. Bunun yerine 7.1 ve 7.2 bölümlerindeki ZKP tabanlı mimari uygulansaydı. Bu durumda veri tabanında kişisel bilgiler saklanmazdı. Yani isim, yaş veya kimlik numarası tutulmazdı. Bunların yerine yalnızca “Commitment” değerleri saklanırdı. Dolayısıyla olası bir siber saldırı farklı sonuçlanırdı. Saldırganlar yalnızca karmaşık matematiksel diziler ele geçirirdi. Üstelik bu dizilerden geriye dönük kimlik tespiti yapılamazdı. Sonuç olarak bu etkileşimli uygulama önemli bir şeyi kanıtlar. Zorunlu yaş veya kimlik doğrulama, kullanıcı gizliliğini feda etmeden de tasarlanabilir.

9. Sonuç

Bu çalışmada önemli bir sonuç ortaya konulmuştur. Zorunlu kimlik doğrulama politikaları bilişim etiği açısından derin sorunlar barındırır. Nitekim Güney Kore’nin İnternet Gerçek Ad Sistemi bunu somut biçimde göstermiştir. Bu sistem ifade özgürlüğünü fiilen kısıtlamıştır. Ayrıca 35 milyon kişilik bir veri ihlaline kapı aralamıştır. Üstelik kırılgan grupları dijital kamusal alandan dışlamıştır (Kang, 2012; Lee ve Kim, 2011). Dahası Anayasa Mahkemesi bu uygulamayı iptal etmiştir. Gerekçesi, ifade özgürlüğü ve mahremiyet haklarının ihlalidir. Bu da bir gerçeği teyit eder. Karşı karşıya olduğumuz mesele teknik bir tercih değildir. Temel bir haklar sorunudur.

Ayrıca karşılaştırmalı analiz bir bulgu sunmuştur. AB Dijital Hizmetler Yasası “anonim kullanım hakkı” ilkesini benimser. Bu ilke, zorunlu kimlik bağlamaya kıyasla daha dengelidir (European Commission, 2022). Öte yandan teknik boyutta ZKP protokolleri öne çıkar. Bu protokoller kritik bir ayrımı gerçekleştirilebilir kılar. Söz konusu ayrım, kimliği doğrulamak ile kimliği ifşa etmek arasındadır. Böylece Semaphore gibi açık kaynaklı ZKP uygulamaları bir olanak tanır. Kullanıcı gerçek kimliğini asla açıklamaz. Bunun yerine gerekli niteliği kriptografik olarak kanıtlar. Ayrıca üç ilkeyi eş zamanlı olarak karşılar. Bu ilkeler anonimlik, hesap verebilirlik ve veri minimizasyonudur (Semaphore, 2024; Buterin, 2022).

Sonuç olarak dijital kamusal alanlarda bir denge kurulmalıdır. Bu denge, güvenlik ile özgürlük arasındadır. Kimliği açık etmeyi zorunlu kılan politikalar bu dengeyi sağlamaz. Bunun yerine kriptografik araçlar tercih edilmelidir. Bu araçlar kimliği gizleyerek doğrulama yapar. Dolayısıyla bu çalışmanın bir katkı sunması umulur. Politika yapıcılar ve platform mimarları ZKP tabanlı alternatifleri değerlendirebilir.

10. Kaynakça

1. Access Now. (2022). Digital rights and identity: Why anonymity matters for marginalized communities. Access Now. https://www.accessnow.org/digital-rights-identity-anonymity
2. Anderson, R. (2020). Security engineering: A guide to building dependable distributed systems (3. baskı). Wiley. https://www.cl.cam.ac.uk/~rja14/book.html
3. Buterin, V. (2022). Soulbound tokens and privacy in Web3. Ethereum Foundation Blog. https://vitalik.ca/general/2022/01/26/soulbound.html
4. European Commission. (2022). Digital Services Act: Regulation (EU) 2022/2065 of the European Parliament and of the Council. Official Journal of the European Union. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022R2065
5. European Parliament. (2016). General Data Protection Regulation (GDPR): Regulation (EU) 2016/679. Official Journal of the European Union. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679
6. Goldwasser, S., Micali, S., ve Rackoff, C. (1985). The knowledge complexity of interactive proof-systems. Proceedings of the 17th Annual ACM Symposium on Theory of Computing, 291–304. https://doi.org/10.1145/22145.22178
7. Kang, J. (2012). The Korean real-name verification system and its constitutional challenge. Pacific Rim Law & Policy Journal, 21(3), 569–599.
8. Kaye, D. (2015). Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression: Encryption and anonymity (A/HRC/29/32). UN Human Rights Council. https://undocs.org/A/HRC/29/32
9. Korean Constitutional Court. (2012). Decision 2010Hun-Ma47, 252 (consolidated). Korean Constitutional Court. https://www.ccourt.go.kr
10. Lee, B. ve Kim, J. (2011). The 2011 South Korea data breach: Implications for identity-linked systems. Journal of Information Security and Applications, 16(4), 245–258. https://doi.org/10.1016/j.jisa.2011.09.002
11. Semaphore. (2024). Semaphore: A zero-knowledge protocol. Applied ZKP. https://semaphore.appliedzkp.org