Skip to main content
Surveillance
Self-Defense

< Ek Bilgiler

Anahtar Doğrulama

Son güncelleme: January 01, 2025

This page was translated from English. The English version may be more up-to-date.

Şifreleme anahtarları hakkında çok bilginiz yoksaTemel Şifreleme Kavramları metnimizi okuyabilirsiniz.

Biriyle uçtan uca şifreleme kullanarak çevrimiçi iletişim kurduğunuzda, iletişimdeki her kişinin kendi açık anahtarı bulunur. Bu anahtarı kullanarak mesajlarınızı onlara şifrelersiniz ve böylece şifreyi yalnızca onlar çözer.

Diyelim ki arkadaşınız Esra olduğunu iddia eden biri size WhatsApp ya da Signal gibi bir şifrelenmiş mesajlaşma uygulamasından sohbet isteği yolladı. Mesajlaşma uygulamanızın Esra’nın açık anahtarını kullandığını zannetseniz bile, aslında bambaşka birinden gelen anahtarı kullanarak mesajınızı şifreliyor olabilirsiniz. Yani bu sahte Esra, sizin o andan itibaren yollayacağınız bütün mesajların şifresini çözebilir.

Doğru şifreleme anahtarını kullandığınızdan emin olmak (ve başkalarının da sizin doğru şifreleme anahtarını kullandığınızı bilmesi) için doğrulanmış anahtarları kullanmak önemlidir. Günümüzde farklı servisler, güvenlik planlarına göre değişen farklı doğrulama anahtarı yöntemleri kullanır.

Anahtar Şeffaflığının Anahtar Doğrulamak İçin Perde Arkasında İşleyişi

Çoğu şifrelenmiş mesajlaşma uygulamasında, anahtarlar manuel olarak, her iki tarafın da ekranında belirip karşılaştığı bir kodla veya taranması gereken bir karekodla doğrulanır (bu kısma aşağıda değineceğiz.) Biri telefon değiştirdiğinde genellikle anahtar değiştirir ve kullandıkları her cihaz için ayrı bir anahtar taşıyor olabilirler. Bu tür durumlarda, özellikle grup sohbetlerinde kişilerin kimliklerini doğrulaması yorucu hale gelir.

WhatsApp’ın ve iMessage’ın kullandığı (seçim yapılınca etkinleşen) anahtar şeffaflığı bu sorunu çözmeyi amaçlar. Anahtar şeffaflığı sayesinde bir sunucuda tutulan açık anahtar uygulama tarafından kontrol edilip doğrulanır. Anahtar değiştiğinde, değişim kayıtlara geçer ve bu kayıt açık biçimde denetlenerek, sohbet servisi sağlayıcısının eylemlerini doğrular. Bu işlem anahtar doğrulamayı yarı otomatik hale getirir, böylelikle anahtar kayıtlı denetim karşılaştırılır ve sizin bu eylemi yürütmenize gerek kalmaz. Apple Mesajlar uygulaması, kayıtlı kişilerin anahtarı her değiştiğinde anahtar şeffaflığıyla doğrulama işlemi yaparken, WhatsApp bunu yalnızca anahtar doğrulama ekranında manuel doğrulamaya alternatif olarak verir.

Her uçtan uca şifrelenmiş iletişim uygulaması anahtar şeffaflığı özelliği taşımadığı gibi, anahtar doğrulama işlemini manuel yapabilme özelliğini de kaldırmaz. Anahtar şeffaflığı örneğin çok sayıda katılımcının olduğu grup sohbetlerinde her anahtar değişimini doğrulamak kolay olmayacağı için ilave bir güvenlik katmanı sunar. Ancak örneğin bir muhbirin bir gazeteciye ulaşmak istediği yüksek riskli durumlarda yürütülmesi gereken doğrulama işleminin yerini tutmaz.

Anahtarlar Ne Zaman ve Nasıl Manuel Doğrulanmalı?

Güvenli farklı mesajlaşma sistemlerinin manuel anahtar doğrulama yöntemleri farklıdır, ancak hepsinde mesajlaşma sistemi dışına çıkarak anahtarları kontrol etmeniz önerilir. Buna “bant dışı doğrulama ” denir. Örneğimize dönecek olursak, çevrimiçi gözüken Esra’nın gerçek hayattaki Esra olduğunu kontrol etmenin başka bir yolu daha olmalı. Esra’yı telefonla arayabilirsiniz, ya da bizzat buluşarak sizin gördüğünüz açık şifreleme anahtarının ya da güvenlik numarasının gerçekten ona ait olup olmadığını doğrulayabilirsiniz.

“Bant dışı doğrulama” neden kullanılır?

  • Bir anahtarın kimden geldiğini kesin olarak bilmediğinizde, güvenli mesajlaşma sistemlerinde henüz güvenlik sağlanmış olmaz.
  • Birden fazla servis üzerinden iletişim kimliği sahteciliği daha zordur. Örneğin, FaceTime’da görüntülü sohbet esnasında Signal parmak izini doğrulama talebi yollarsanız, sahte kişinin hem Signal hem de FaceTime’da sahte hesaplarının bulunması ve görüntülü konuşma esnasında arkadaşınızın kimliğine bürünmesi gerekecektir.
  • Kanal üzerinde gizli bir bilgi talep ettiğinizde (“bant içi doğrulama”), dolandırıcının gizlice iki tarafla da konuşuyor olma riski doğabilir. Buna “ortadaki adam” ya da “ortadaki makine” saldırısı denir. Böyle bir durumda güvenlik sorusu ya da anahtar parmak izi gibi gizli bir bilgi talebi yeterli olmaz (aşağıda ayrıntılarına yer vereceğiz). Örneğin, “En son buluştuğumda ne giyiyordum?” gibi bir soru sorduğunuzda, dolandırıcı hemen soruyu karşı tarafa sorup size anında gerçek cevapları iletebilir. Anahtar parmak izi istediğinizde ise, bu sefer saldırgan size kendi parmak izini yollar ve bunu fark etmezsiniz.

Yeni bir mesajlaşma aracıyla iletişime geçmeden önce ya da birinin anahtarı değiştiğinde anahtarlarınızı doğrulamalısınız. Yeni bir telefon satın alan ya da (tablet veya bilgisayar gibi) yeni bir cihaz ekleyen kişinin anahtarları değişebilir.

Bant Dışında Anahtar Doğrulama

Şifreleme anahtarları çok uzun rakamlardan oluştuğu için sesli okunması ve manuel kontrolü zordur. Anahtar doğrulamayı kolaylaştırmak adına, ilgili iletişim yazılımı size anahtara bağlı ama daha kısa ve kontrolü daha kolay bir “parmak izi ” veya “güvenlik numarası” gösterebilir. Parmak izleri daha küçük rakamlardan, bir grup bilindik kelimeden, ya da bir grafik veya resimden oluşur. Genellikle karekoda gömülü olup kontrol edilmeleri kolaydır.

İrtibatta olduğunuz kişi anahtarının parmak izini size okuyup ya da gösterdikten sonra, bu bilgileri cihazınızdaki onlara ait anahtar parmak iziyle eşleştirdiğinizde anahtar doğrulanır. Siz karşı tarafın anahtarını doğruladıktan sonra, o kişi size doğrulama talebi ileterek anahtar parmak izinizi okumanızı veya göstermenizi isteyebilir, ardından bu bilgileri kendi cihazlarındaki bilgilerle eşleştirebilirler. İkiniz de doğru anahtarlara sahip olduğunuzu teyit ettiğiniz andan itibaren daha güvenli iletişime başlayabilirsiniz.. Bu işlemi en kolay ve en iyi yüz yüze yapabilirsiniz, ancak görüntülü sohbet veya başka bir mesajlaşma uygulaması gibi araçlara da başvurabilirsiniz (mesajlaşma uygulamaları başka riskleri beraberinde getirir)

Yüz Yüze Anahtar Doğrulama

En ideal yöntem anahtarların yüz yüze doğrulanmasıdır, çünkü biri karşınızdayken onun gerçekten olduğunu iddia ettiği kişi olduğunu doğrulamanız daha kolaydır.

Bizzat bir araya geldiğinizde, arkadaşınız elinizdeki açık anahtar parmak izinizi kendi cihazındaki parmak iziyle karşılaştırır. Bunun en kolay yolu, uygulama eğer karekod tarama özelliği taşıyorsa arkadaşınızın sizdeki karekodu okutarak işlemi tamamlamasıdır. Diğer uygulamalar için ise, arkadaşınız açık anahtar parmak izinizdeki her bir karakteri, kendilerinde bulunan ve size ait açık anahtar parmak iziyle eşleştirmelidir. Biraz sıkıcı bir iş de olsa katlanmaya gerçekten değer. Yüz yüze kontrol yöntemi, açık anahtar parmak izleriyle kartvizit paylaşılan ya da iş arkadaşlarının toplantıda bir araya geldiği durumlarda uygulanabilir.

Uçtan uca şifrelenmiş her mesajlaşma uygulaması birbirinden farklıdır ve bazıları anahtar parmak izlerini alternatif yöntemlerle kontrol etme olanağı sunar. Şu anda bu işlemin ismi ve uygulamasına dair genelgeçer bir terim yoktur.

Diyelim ki An Ming arkadaşı Ghassan’ı bir toplantıda görüyor. Akıllı telefonlarında uçtan uca şifrelenmiş bir uygulama üzerinden haberleşmeleri gerektiğini düşünüyorlar ve bu amaçla Signal’i indiriyorlar. An Ming ve Ghassan bir aradayken bu uygulamaların anahtar doğrulama özelliklerinden istifade, birbirlerinin kare kodunu okutarak güvenlik numaralarını doğruluyorlar.

Akıllı telefonlarının ekranındaki karekodları ve rasgele harf ve rakamdan oluşan dizileri gösteriyorlar. Telefonlarındaki kamerayla karşı tarafın karekodunu tarayarak anahtar parmak izini doğruluyorlar. Telefonlarında kilit ikonu ve yeşil tik beliriyor.                                   

Farklı mecrada anahtar doğrulama

Anahtarları yüz yüze doğrulayamadığınızda, iletişim için kullandığınızdan farklı bir iletişim kanalıyla arkadaşınızla irtibat kurabilirsiniz.

Örneğin, biriyle Signal güvenlik numaralarını doğrulamak istediğinizde, telefon açabilir, görüntülü sohbete ya da WhatsApp gibi başka bir uçtan uca şifrelenmiş iletişim uygulamasına başvurabilirsiniz. Bir siber saldırganın bütün bu farklı mecralardaki mesajlarınızı aynı anda ele geçirmesi zordur, ancak yeterince azimli biriyse olanaksız değildir. Yazışmaya dayalı uygulamalara kıyasla görüntülü konuşma esnasında taklidinizin yapılması daha zordur. Kişisel tehdit modelinizi dikkate alarak, kolaylığı güvenliğe tercih edeceğiniz bir karar vermeniz gerekebilir. Anahtarlarını doğruladığınız farklı bir şifrelenmiş uygulama en iyi çözüm olsa da, bu yola her zaman başvurmak mümkün olmayabilir.

Her uygulamada anahtarınızın konumu değişecektir, ancak anahtar doğrulama yöntemleri aşağı yukarı aynıdır. Anahtar parmak izinizi sesli olarak okuyabilirsiniz (görüntülü veya sesli konuşma esnasında), ya da bir iletişim programına kopyalayıp yapıştırabilirsiniz. Her iki yöntemde de, bütün harfleri ve rakamları tek tek kontrol etmeniz önemlidir.

Son olarak, uçtan uca şifreleme uygulamalarının çoğunda anahtar değişimleri bildirilir. Arkadaşlarınızın anahtarlarının değişmesi ihtimaline karşı hazırlıklı olun, bu değişimin olağan olduğunu onlarla teyit edin ve yeni anahtarları doğrulayın. Bunu bizzat veya başka bir mecra üzerinden yapabilirsiniz.

Arkadaşınızla anahtar doğrulamayı denemeye hazır mısınız? Signal, WhatsApp, veya Apple’ın Mesajlar uygulamalarında bu linklerdeki bilgilere göre anahtarları doğrulayabilirsiniz.

Açık anahtarlar ve anahtar doğrulamanın işleyişine dair daha fazla bilgi için Surveillance Self-Defense’e ait Temel Şifreleme Kavramları ve Ayrıntılarıyla Uçtan Uca Şifreleme kılavuzlarını inceleyebilirsiniz.