Surveillance
Self-Defense

Şifreleme Hakkında Bilinmesi Gerekenler

Son güncelleme: 
24-11-2018
This page was translated from English. The English version may be more up-to-date.

"Şifreleme" terimini daha önce çeşitli bağlamlarda, ve başka kelimelerle bağlantılı olarak duymuş olabilirsiniz. Şifreleme genel anlamıyla bir mesajın, o mesajı çözmek için (decrypt) bir anahtara sahip olan kişi veya kişiler haricinde okunmasını engelleyen matematiksel işleme verilen isimdir.

İnsanlar, tarih boyunca yalnızca istedikleri kişinin okumasını umdukları mesajları şifreleme yöntemini kullanarak göndermişlerdir. Günümüzde ise bu şifreleme işlemini bizim yerimize yapabilen bilgisayarlara sahibiz. Bugün gizli mesajlaşmanın da ötesine giden dijital şifreleme teknolojisi, mesajların yazarını doğrulamak gibi özel amaçlar için de kullanılabiliyor.

Doğru kullanıldığında kırılması neredeyse imkansız olan şifreleme teknolojisi, elimizdeki bilgileri kötü aktörlerden, devletlerden, ve servis sağlayıcılarından korumamız için günümüzde sahip olduğumuz en önemli araçlardan biri.

Bu rehberde, şifrelemenin kullanıldığı iki büyük yönteme göz atacağız. Bunlardan biri saklanan verilerin karıştırılması, diğeri ise aktarım anında uygulanan şifreleme.

 

Saklanan Verilerin Şifrelenmesi Anchor link

"Data at rest" (Hareketsiz veri), herhangi bir yerde saklanan veri anlamına gelir. Bu verilerin saklandığı yer, cep telefonu, dizüstü bilgisayar, sunucu, veya bir harici sürücü olabilir. Veri saklanıyor durumdayken, bir yerden başka bir yere aktarılmaz.

Saklanan veriyi şifreli bir şekilde korumanın yollarından biri tam disk şifrelemesidir (buna bazen "cihaz şifrelemesi" de denir). Tam disk şifrelemesi, cihazda saklanan bilgilerin tamamını şifreleyerek, bu bilgileri bir anahtar parolası (passphrase) ya da başka bir kimlik kontrolü yöntemiyle korur. Mobil bir cihazda ya da dizüstü bir bilgisayarda, bu yöntem genellikle cihaz kilit ekranı görüntüsüne sahiptir. Tam disk şifrelemesini çözmek için bir parolaya (passcode), anahtar parolasına, ya da parmak izine ihtiyaç duyarsınız. Ancak cihazınızı kilitlemek, cihazınızda tam disk şifrelemesi özelliğinin etkin olduğu anlamına gelmeyebilir.

     
Şifre korumalı "kilit" ekranına sahip bir akıllı telefon ve dizüstü bilgisayar.

İşletim sisteminizin tam disk şifrelemesini nasıl etkinleştirdiğini ve yönettiğini kontrol edin. Bazı işletim sistemlerinde tam disk şifrelemesi varsayılan olarak etkinleştirilmiştir, ancak bu diğer işletim sistemleri için doğru olmayabilir. Bu da herhangi birinin cihazınıdaki şifrelemeyi kırmakla uğraşmadan, yalnızca cihazınızın kilidini aşarak verilerinize erişebileceği anlamına gelir. Bazı sistemler, cihazınızda tam disk şifrelemesi kullanıyor olsanız bile çeşitli bilgileri şifrelenmemiş şekilde bellekte saklar. Bellek (RAM) geçici bir sürücüdür, bu yüzden cihazınız kapandığına bellekteki bilgileri okumak genellikle mümkün değildir. Ancak, sofistike bir saldırganın soğuk önyükleme saldırısı ile bellekteki bilgileri elde edebilmesi teknik olarak mümkündür.

Tam disk şifrelemesi, verilerinizi cihazınıza fiziksel erişimi olan insanlardan korur. Verilerinizi ev arkadaşlarınızdan, iş arkadaşlarınız ya da patronunuzdan, ailenizden, partnerinizden, polisten, ya da diğer yasa uygulayıcılarından korumak istiyorsanız, tam disk şifrelemesi faydalı bir araçtır. Cihazınızı çaldırdığınız ya da kaybettiğiniz durumlarda da tam disk şifrelemesi verilerinizi korur.

Saklanan veriyi şifrelemenin başka yolları da vardır. Bilgisayarınızdaki veya başka bir sürücüdeki bireysel dosyaları şifreleyen "dosya şifrelemesi" (file encryption) bu yollardan biridir. Bir diğer yol ise, bir cihazdaki belli bir depolama alanını şifreleyen "sürücü şifrelemesi"dir (disk encryption).

Yukarıda bahsedilen saklanan veriyi şifreleme yöntemlerini birlikte kullanabilirsiniz. Tıbbi belgelerinizi saklamak istediğinizi varsayalım. İlk önce dosya şifrelemesi kullanarak bu belgeleri bireysel olarak şifreleyebilirsiniz. Daha sonra sürücü şifrelemesi kullanarak bu dosyaların bulunduğu sürücü bölümünü şifreleyebilirsiniz. Son olarak, cihazınızda tam disk şifrelemesini etkinleştirdiyseniz, tıbbi belgelerinizle birlikte sürücünüzde bulunan diğer tüm dosyaları, işletim sisteminin kendi dosyaları da dahil olmak üzere korumaya alabilirsiniz.

Gözetim Meşru Müdafaa'da, cihazlarınızda şifrelemeyi nasıl etkinleştirebileceğinize dair birkaç rehber yazdık. Saklanan verilerin şifrelenmesiyle ilgili detaylı bilgiler internette ve SSD üzerinde mevcut olsa da, bu bilgilerin sürekli değiştiğini, ve rehberlerin güncelliklerini yitirebileceğini unutmayın.

 

Aktarılan Verinin Şifrelenmesi Anchor link

İnternet servis sağlayıcılarının varsayılan olarak sık sık kullandıkları verileri şifresiz aktarma yöntemini grafikte görebilirsiniz. Sol taraftaki telefon, sağ taraftaki telefona yeşil, şifresiz bir mesaj gönderiyor. Aktarma sırasında mesaj önce şirket sunucularına, daha sonra da bir diğer baz istasyonuna yollanıyor. Şifresiz mesajın ulaştığı bilgisayar ve ağların tamamı, mesajın içeriğini görebiliyor. Aktarım sonunda diğer uçtaki telefon şifresiz "Hello" (Merhaba) mesajını alıyor.

"Aktarılan veri" (data in transit) bir ağdan diğer ağa hareket eden bilgilere verilen isimdir. Örneğin, bir mesajlaşma uygulamasını kullanarak gönderdiğiniz mesajlar, önce servisini kullandığınız şirketin sunucularına, sonra da alıcının cihazına gider. İnternette dolaşmak aktarılan verilere bir başka örnektir: bir siteyi ziyaret ettiğinizde, sayfada gösterilen veriler sitenin sunucusundan bilgisayarınıza aktarılır.

Popüler mesajlaşma uygulamalarının bazıları, kaybolan mesajlar gibi mesajlarınızı koruma görüntüsü veren farklı özellikler sunar. Ancak bir uygulamanın güvenli hissi veriyor olması, bu uygulamanın güvenli olduğu anlamına gelmez. Mesajınızı ileten bilgisayarlar, aktarım sırasında mesajınızın içeriğine göz atabilir.

Konuştuğunuz kişiyle yaptığınız haberleşmenin şifreli olduğunu doğrulamak kadar, şifreleme yöntemini doğrulamak da önemlidir.

Aktarılan veriyi şifrelemenin iki yolu vardır: aktarım katmanı şifrelemesi (transport-layer encryption) ve uçtan uca şifreleme (end-to-end encryption).

 

Aktarım Katmanı Şifrelemesi Anchor link

Aktarım katmanı şifrelemesini grafikte görebilirsiniz. Sol taraftaki telefon yeşil, şifrelenmemiş bir mesaj ("Hello") gönderiyor. Baz istasyonuna aktarıldığı sırada şifrelenen bu mesajın şifresi, ortada bulunan şirket sunucularına ulaştığında çözülüyor. Mesaj, şirket sunucularından çıkarken tekrar şifreleniyor ve bir diğer baz istasyonuna gönderiliyor. Aktarım sonunda alıcıya ait cihaz, şifrelenmiş mesajın şifresini çözüyor ve mesaj okunabilir hale geliyor.

Aktarım katmanı şifrelemesi, ya da diğer adıyla aktarım katmanı güvenliği (TLS), mesajlarınızı kullandığınız uygulamanın sunucularına aktarılırken ve uygulamanın sunucularından alıcıya aktarımı sırasında şifreler. Aktarım işleminin ortasında bulunan mesajlaşma servis sağlayıcısı, gezdiğiniz internet sitesi, ya da kullandığınız uygulama, mesajlarınızın şifresiz kopyalarını okuyabilir. Şirket sunucuları tarafından okunabilen (ve saklanabilen) mesajlarınız, şirketin yaşayabileceği veri sızıntılarına ya da kullanıcı bilgilerine yönelik yasal taleplere karşı korunmasızdır.

Aktarım katmanı şifrelemesine bir örnek: HTTPS

Tarayıcının adres satırındaki ssd.eff.org adresinin solundaki “https://” yazısı ve yeşil kilidi fark ettiniz mi? HTTPS, internette sıklıkla karşılaştığımız aktarım katmanı şifrelemesine bir örnektir. HTTPS, korunmasız olan HTTP'ye göre daha güvenlidir. Neden? Çünkü HTTPS kullanan siteleri gezdiğinizde, girdiğiniz bilgiler (mesajlarınız, aramalarınız, kredi kartı numaraları, giriş bilgileri vs.) site tarafından görülse de, internet ağınızı izleyen aktörler tarafından görülemez.

Ağınızı izleyen ya da gezdiğiniz siteleri takip etmeye çalışan kişilere karşı HTTP bir koruma sağlamaz. HTTPS ise gezdiğiniz sitelerin belli sayfalarını bu aktörlerden gizler. HTTPS kullanan bir siteyi gezdiğinizde, ağınızı izleyen eden bir aktör, yalnızca taksimden (/) önceki adresi görebilir. Yani HTTPS kullanarak “https://ssd.eff.org/tr/module/verilerinizi-g%C3%BCvende-tutmak” adresini ziyaret ederseniz, ağınızı izleyen eden aktörler yalnızca “https://ssd.eff.org” adresini ziyaret ettiğinizi görebilir.

İnternet şu anda tüm sitelerin HTTPS kullanmaya başladığı büyük bir dönemden geçiyor. Bu geçişin arkasındaki neden HTTPS'nin güvenli olmasıdır. HTTP kullanan siteler ise, takip edilme, içerik değiştirme, çerez çalma, kullanıcı adı ve şifre çalma, hedefli sansür, ve diğer birçok probleme karşı korunmasızdır.

HTTPS'den daha yüksek koruma almak için, EFF tarafından geliştirilen bir tarayıcı eklentisi olan HTTPS Everywhere'i kullanmanızı tavsiye ediyoruz. HTTPS Everywhere eklentisi, bildiğimiz bir sitenin HTTPS mevcutken HTTP kullanması durumunda, aynı site üzerindeki sayfaların otomatik olarak HTTPS'ye yükseltilmesini sağlar.

Bir servisin HTTPS kullanıyor olması, bu servisin kullanıcılarının gizliliğini koruduğu anlamına gelmez. Örneğin HTTPS kullanan bir servis, çerezler aracılığıyla kullanıcılarını takip edebilir, ya da kötü amaçlı yazılımlar servis edebilir.

Aktarım katmanı şifrelemesine bir örnek: VPN

Sanal Özel Ağlar (VPN), aktarım katmanı şifrelemesine bir başka örnektir. VPN olmadan, internet trafiğinizi internet servis sağlayıcınız aktarır. VPN kullandığınızda ise, internet trafiğiniz her ne kadar internet servis sağlayıcınız tarafından aktarılsa da, bu trafik sizin ve VPN sağlayıcınız arasında şifrelenir. Eğer bir kişi internet trafiğinizi izlemek amacıyla yerel ağınıza sızarsa, bu kişi bir VPN'e bağlandığınızı görebilir, ancak gezdiğiniz siteleri göremez. İnternet servis sağlayıcınız, kullandığınız VPN servisini tespit edebilir.

VPN kullandığınızda internet trafiğiniz internet servis sağlayıcınız tarafından izlenemez, ancak kullandığınız VPN servisi tarafından izlenebilir. Kullandığınız VPN servisi, internet trafiğinizi izleyebilir, saklayabilir, ya da modifiye edebilir. VPN kullanmak, güveninizi internet servis sağlayıcısından, VPN sağlayıcısına kaydırır. Bu yüzden VPN servisinize güvendiğinizden emin olmalısınız.

Doğru VPN servisini seçmek ve VPN'ler hakkında genel bir bilgi edinmek için, konuyla ilgili rehberimizi okuyabilirsiniz.

 

Uçtan Uca Şifreleme Anchor link

Grafikte uçtan uca şifrelemenin nasıl çalıştığı gösterilmiştir. Sol taraftaki telefon yeşil, şifrelenmemiş bir mesaj gönderiyor. Yazıldıktan sonra şifrelenen bu mesaj, önce baz istasyonuna, sonra da şirket sunucularına gönderiliyor. Sonunda alıcının telefonuna ulaşan ve burada çözülen mesaj okunabilir hale geliyor. Aktarım katmanı şifrelemesinin aksine, uçtan uca şifrelemede internet servis sağlayıcınızın şifrelenmiş mesajlarınızı çözmesi mümkün değildir. Bu şekilde gönderilen mesajların şifrelerini yalnızca uç noktadaki (şifreli mesajı gönderen ve alan) cihazlar çözebilir.  

Uçtan uca şifreleme, göndericiden alıcıya aktarılana kadar mesajlarınızı korur. Uçtan uca şifrelemede veri, orijinal göndereni tarafından (ilk uç) şifreli bir mesaja çevrilir ve bu mesajın şifresi alıcı tarafından (ikinci uç) çözülür. Kullandığınız uygulama dahil olmak üzere, aradaki hiçbir etken aktivitelerinizi izleyemez ya da "kulak kabartamaz".

Cihazınızla bir uygulama aracılığıyla uçtan uca şifreli mesajlara erişmek, bu mesajların uygulama geliştiricisi şirket tarafından okunamayacağı anlamına gelir. Şifrelemeyi tasarlayan ve uygulayan kişilerin veya kurumların kıramaması, iyi şifrelemenin temel özelliklerinden biridir.

Gözetim Meşru Müdafaa'da, uçtan uca şifreleme araçlarının kullanılmasıyla ilgili Başkalarıyla Haberleşmek başlığı altında topladığımız birkaç rehber hazırladık. Detaylı bilgiler için bu rehberlere göz atabilirsiniz.

 

Aktarım Katmanı Şifrelemesi mi, Uçtan Uca Şifreleme mi? Anchor link

Bu kararı vermeden kendinize sormanız gereken oldukça önemli sorular vardır: Kullandığınız servise ya da uygulamaya güveniyor musunuz? Bu sistemlerin teknik altyapısına güveniyor musunuz? Kullanıcı bilgileri için gelebilecek yasal taleplere karşı bu servislerin kullanıcılarını savunacağına inanıyor musunuz?

Eğer bu soruların herhangi birine cevabınız "hayır" ise, uçtan uca şifreleme kullanmalısınız. Sorulara cevabınız "evet" ise, aktarım katmanı şifrelemesini destekleyen bir servis sizin için yeterli olabilir; ancak mümkün olduğu müddetçe uçtan uca şifreleme kullanan servisleri tercih etmek genellikle daha iyi bir karardır.

 

Aşağıda, uçtan uca şifrelemenin ve aktarım katmanı şifrelemesinin taşınan veriler için nasıl çalıştığını gösteren bir animasyon hazırladık. Sol tarafta uçtan uca şifreleme kullanan bir sohbet uygulaması aracı ("OTR" yani "Off-the-Record" olarak da bilinen şifreli anlık mesajlaşma protokolünü kullanan bir sohbet penceresi) var. Sağ tarafta ise aktarım katmanı şifrelemesi kullanan bir sohbet uygulaması var (Google Hangouts'un websitesinde kullandığı HTTPS ile şifrelenmiş).

Animasyonda, birinci kullanıcı mesajını Google Hangouts sohbet penceresine yazıyor:

“Hi! This is not end-to-end encrypted. Google can see our conversation.” (Merhaba! Bu mesaj uçtan uca şifreli değil. Google mesajlarımızı okuyabilir.)

Kullanıcının ekranında aynı zamanda Off-the-Record (OTR) sohbet penceresi açık, ve bu pencereden "private conversation" (gizli konuşmalar) özelliğini etkinleştiriyor. OTR sohbet penceresindeki açıklayıcı yazıda şu yazıyor:

“Attempting to start a private conversation with [gmail account]. Private conversation with [gmail account] has started. However, their identity has not been verified.” ([Gmail kullanıcısı] ile gizli sohbet başlatmaya çalışıyorsunuz. [Gmail kullanıcısı] ile gizli sohbetiniz başladı. Ancak kullanıcının kimliği doğrulanmadı.)

Aynı zamanda, Google Hangouts penceresinde kullanıcıların Off-the-Record (OTR) uçtan uca şifrelemesini kullandığını gösteren şifreli karmaşık metin alışverişi gerçekleşiyor. OTR penceresinden yazılan her mesaj Google Hangouts penceresinde de gözüküyor, ancak bu metinler okunabilir bir şekilde paylaşılmıyor. İkinci kullanıcı OTR penceresinden bir mesaj gönderiyor:

“It looks like gibberish to anyone else.” (Bu mesaj başkalarına anlamsız gözüküyor.)

Birinci kullanıcı cevap veriyor:

“Yup, it looks like nonsense.” (Aynen, mesajlar manasız gözüküyor.)

Birinci kullanıcının tepkisine istinaden ikinci kullanıcı, birinci kullanıcıya cevap olarak gülücük yolluyor.

 

Aktarım Sırasında Şifrelemenin İşe Yaramadığı Yerler Anchor link

Şifreleme her derde deva değildir. Mesajlarınızı şifrelenmiş bir şekilde gönderiyor olsanız bile, konuştuğunuz kişi bu mesajların şifresini çözecektir. Uç noktalarınızın (haberleşmek için kullandığınız cihazlar) güvenliği ihlal edildiyse, bu cihazlar üzerindeki şifrelenmiş yazışmaların güvenliği de ihlal edilebilir. Buna ek olarak, yazıştığınız kişi yazışmalarınızın ekran görüntüsünü alabilir, ya da konuşma kayıtlarını (log'larını) saklayabilir.

Şifrelenmiş yazışmalarınızın yedeğini otomatik olarak "bulutta" (yani size ait olmayan başka bilgisayarlarda) saklıyorsanız, yedeklerinizin de şifrelenmiş olduğuna dikkat edin. Bu şekilde yazışmalarınızın sadece aktarım sırasında değil, hareketsiz halde de (yani saklanırken) şifrelenmiş olduğundan emin olursunuz.

Verilerinizi aktarım halindeyken şifrelerseniz, yazışmalarınızın içeriği korunur, ancak metaveri şifrelenmez. Örneğin, mesajlarınızın içeriğini şifreleyerek bunları başkalarının anlamayacağı şekilde değiştirebilirsiniz, ancak bu şifreleme:

  • kiminle yazıştığınızı,
  • yazışırken şifreleme kullandığınızı,
  • lokasyon, zaman, ve yazışma süresi gibi diğer bilgileri koruma altına almaz.

Gözetim konusunda daha büyük endişelere sahip olan (ağlarının aktif olarak izlendiğini düşünen) kişiler, şifrelemeyi yalnızca hassas zamanlarda ya da belli aktivitelerde bulunurken kullanırlarsa kendilerini riske atabilirler. Neden? Çünkü şifrelemeyi yalnızca arada sırada kullanırsanız, metaverileriniz önemli tarihlerle ya da saatlerle ilişkilendirilebilir. Bu yüzden, sıradan işlemler için bile olsa şifrelemeyi sürekli kullanmaya çalışın.

Aynı zamanda, şifrelemeyi bir ağ üzerinde kullanırsanız, metaverileriniz şüpheli gözükebilir. Şifreleme destekçilerinin herkesi şifreleme araçlarını kullanmaya cesaretlendirmesinin arkasındaki sebep de budur: şifrelemenin daha çok kullanılması, onu normalleştirir.

 

Özet Anchor link

Verileri hem aktarırken, hem de saklarken şifrelemek daha kapsamlı bir koruma sağlayacaktır. Güvenlik uzmanlarının "tam koruma" derken kastettikleri şey budur. Verilerinizi farklı yöntemlerden yararlanarak korumak, daha komple bir güvenlik çözümüdür.

Örneğin, şifrelenmemiş mesajlarınızı (aktarım halindeki veriler şifrelenmemiş), şifrelenmiş bir cihazla gönderirseniz (saklanan veriler şifrelenmiş), mesajlarınız ağ takipçilerine, devletlere, servis sağlayıcılarına, ya da teknik olarak yetkin düşmanlara karşı korunmayacaktır. Ancak cihazınızda sakladığınız veriler, cihaza fiziksel erişimi olan, ancak parolanızı bilmeyen bir saldırgana karşı korunacaktır.

Buna karşılık, uçtan uca şifrelenmiş mesajlarınızı (aktarım halinde şifrelenmiş), şifrelenmemiş bir cihazla gönderirseniz (saklanan veriler şifrelenmemiş), ağ üzerinde mesajlarınızı başkalarının okunması mümkün olmayacaktır. Ancak cihazınızda sakladığınız veriler, cihaza fiziksel erişimi olan bir saldırgana karşı korunmayacaktır.

Örneklerle de görüldüğü gibi, verilerinizi hem aktarırken, hem de saklarken şifrelemek, verilerinizi maruz kalabilecekleri birbirinden farklı saldırılara karşı daha kapsamlı bir şekilde koruyacaktır.

Şifrelemenin nasıl kullanılması gerektiğiyle ilgili daha detaylı bilgiler edinmek istiyorsanız, konuyla ilgili hazırladığımız rehbere göz atabilirsiniz.

JavaScript license information