Whatsapp Görüşmeleri Gerçekten Güvenli Mi? Oldukça Güvenli Gözüküyor…

2
1987'de Ankara'da doğdu. Bilkent Üniversitesi Elektrik - Elektronik Mühendisliği Bölümü'nde lisans ve yüksek lisansını, Yıldız Teknik Üniversitesi Kontrol ve Otomasyon Mühendisliği Bölümü'nde doktorasını tamamladı. Halen, Yıldız Teknik Üniversitesi Mekatronik Mühendisliği Bölümü'nde öğretim elemanı olarak görevini sürdürmektedir.

Whatsapp görüşmelerimiz (mesajlaşma, konuşma, dosya iletimi dahil) bir süredir uçtan-uca kriptolu (end-to-end encryption). Peki bu uçtan uca kriptolama sistemi nedir? Ne kadar güvenli?

Kripto nedir?

Kripto, mesajlarımızı karşılıklı anlayabileceğimiz, ancak dışarıdan bir kişinin anlayamayacağı şifreli bir dile çevirmektir. Çok ilkel bir kriptolama örneği vermek gerekirse, kelimedeki her harfi, alfabedeki bir sonraki harfe çevirmek olabilir. Bu durumda uçak = üdbl olur. Karşılıklı bu tekniği bildiğimiz için doğrusunu anlarız.

Günümüzde ise bu teknik şöyle uygulanıyor. Milyarlarca kriptolama tekniği arasından hangisiyle haberleştiğimizi karşlılıklı biliyoruz. Her bir kripto tekniğin bir kodu var. Karşılıklı güvenli bir şekilde konuşuyoruz. Tek istisna, bize kodu veren de mesajlarımızı okuma hakkına sahip oluyor. Dolayısıyla, birileri bir şekilde programcıdan kripto kodunu elde ederse, mahremiyetimizi kaybetmiş oluyoruz.

Uçtan-uca kripto nedir?

Şimdi uçtan-uca kriptolama sisteminden bahsedelim. Bu kriptolama sisteminde karşılıklı görüştüğümüz kişiden başka hiç kimse mesajlarınızı göremiyor. Whatsapp sunucu bile… Dolayısıyla Whatsapp’ın (programından değil, sunucudan bahsediyorum), bizde olan kripto kodunu bilmemesi gerekiyor.

Whatsapp Kriptolama Sistemi

Whatsapp kriptolama sistemini bir PDF dosyasında anlatıyor. Ben de kabaca burada anlatmaya çalışacağım. Whatsapp’ta her yeni bir kişiyle konuşmamız, yeni bir kripto kodu demektir. Kripto kodları konuşacağımız kişi ve kendi telefonlarımızda üretiliyor. Ama ikimizde de aynı kodun üretilmesi gerekiyor. Aksi halde haberleşemeyiz.

Bu kripto kodunu üretirken telefonumuz, 6 tane bilgiyi kullanıyor. Bunlardan 3’ü Whatsapp sunucusu tarafından biliniyor. Bu 3 bilgi sayesinde 4’üncüsü, 4’üncüsü sayesinde 5’incisi ve nihayet kripto kodumuz olan 6’ıncısı elde ediliyor. Bu durumda Whatsapp sunucuları da aslında kripto teknik kodumuzu, kendisi üretebilir. Ancak…

Şimdi bu bilgilerin detaylarından bahsetmek istiyorum. Whatsapp tarafından bilinen bilgiler (hepsi rastgele üretilmiş bilgiler):

  • Kimlik Bilgisi: Whatsapp’ı telefonumuza yüklediğimiz an bizim için üretiliyor.
  • Ön Bilgi: Whatsapp’ı telefonumuza yüklediğimiz an bizim için üretiliyor. Bu bilgi zamanla değişime uğruyor. Buna çok güvenemeyiz. Nasıl bir değişime uğradığını bilen önceki versiyonlarını üretebilir.
  • Tek Kullanımlık Ön Bilgi: İşin sırrı burada. Bu bilgi, bir konuşma başlatıldığı an Whatsapp serverından imha ediliyor ve bir daha geriye dönük bunu bulamıyoruz.

Karşılıklı iki kişi görüşme başlattığı an, birbirlerine kimlik bilgilerini, ön bilgilerini ve tek kullanımlık ön bilgiyi iletiyorlar. Tek kullanımlık ön bilgiler Whatsapp serverından imha ediliyor. Bu kişiler için, daha sonraki görüşmelerinde kullanılmak üzere yenileri rastgele üretiliyor.

Karşılıklı paylaşılan bu bilgiler, belirli işlemlerden geçirilerek, telefonumuzda kripto kodu 3 aşamalı olarak elde ediliyor. 3 aşamada elde edilmesi çok bir şeyi değiştirmiyor. Sadece kırma işlemini zorlaştırmak için. Burada işin esprisi bahsettiğim gibi tek kullanımlık ön bilgide. Konuşmalarımızı kırmak isteyen birisi bu bilgiyi elde etmeli.

Tek kullanımlık ön bilgiyi yalnızca konuşmanın başladığı ana kadar birisi elde edebilir. Konuşma başladıktan sonra Whatsapp bile bilmiyor. Kripto kodlarımız sadece karşılıklı iki kişide (grup konuşmalarında ikiden fazla kişide). Konuşma başladığı an tek kullanımlık ön bilgi dünya üzerindeki varlığını yitiriyor. Burada öncelikle Whatsapp’a güveniyor olmamız gerekiyor. Konuşma başlamadan önce bu veriyi kimseye vermemesi lazım. Çok güvenilir olduklarını söylüyorlar.

Bir de konuşma başlatıldığı an, bu bilgi dünyanın internet kabloları üzerinden geçiyor ve telefonlarımıza iletiliyor. O sırada bu bilgi çalınabilir mi? Emin değilim… Tek bildiğim imkânsıza yakın olduğu…

Tek başına kripto, mesele bitti mi?

Tabii güvenliğiniz için bir tek kriptolamak yetmez. Eğer mesajlarınızı yedekliyorsanız, yedekteki mesajlar artık kriptolu değil, bulut sistemlerinden elde edilebilir. Bir ikincisi, telefonunuzu kimseye kaptırmamanız gerekiyor.

 

2 YORUMLAR

CEVAP VER