Surveillance
Self-Defense

Çevrimiçi güvenlik emektarı?

  • Çevrimiçi güvenlik emektarı?

    Gözetim meşru müdafa kabiliyetinizi artırmak için gelişmiş rehberler.

    Tebrikler! Çoktan çevrimiçi iletişiminizin güvenliğini geliştirmek için adımlar atmışsınız. Şimdi bunu bir üst seviyeye çıkarmak istiyorsunuz ve bu playlist ile bunu yapabilirsiniz. Tehditleri nasıl anlayacağınızı ve iletişim kurduğunuz kişinin kimliğini teyit etmeyi öğrenecek ve repertuarınıza yeni araçlar ekleyeceksiniz.

  • Risklerinizi Değerlendirmek

    Verilerinizi herkesten sürekli korumaya çalışmak pratik olmadığı gibi yorucudur. Ancak korkunuz olmasın! Güvenlik bir süreçtir ve dikkatli bir planlamanın neticesinde sizin için neyin doğru olduğunu değerlendirmek mümkündür. Güvenlik sadece kullandığınız araçlardan veya indirdiğiniz uygulamalardan ibaret değildir. Güvenlik, karşılaştığınız tehditleri anlamak, ve bu tehditlere nasıl karşı gelebileceğinizi anlamakla başlar.

    Bilgisayar güvenliğinde bir tehdit, verinizi savunma çabanızı baltalamaya çalışabilecek olan potansiyel bir olaya verilen isimdir. Bu saldırılara karşı gelebilmek için neyi, kime karşı koruyacağınızı belirlemeniz gerekir. Bu işlemin adı "tehdit modellemesi"dir.

    Bu rehber kendi tehdit modelinizi nasıl oluşturabileceğinizi, ya da dijital bilgileriniz için riskleri nasıl analiz edebileceğinizi ve bu risklere karşı hangi çözümlerin çare olabileceğini öğretecek.

    Tehdit modellemesi neye benzer? Diyelim ki evinizi ve mülkünüzü güvende tutmak istiyorsunuz. Bu sorulardan bazılarını sorabilirsiniz:

    Evimde korumaya değer neler var?

    • Bunlar mücevherat, elektronik eşyalar, finansal belgeler, pasaport, veya fotoğraflar olabilir.

    Bunları kimden korumak istiyorum?

    • Mülkünüzü hırsızlardan, ev arkadaşlarınızdan, veya misafirlerinizden korumak isteyebilirsiniz.

    Mülkümü korumayı isteme olasılığım nedir?

    • Komşunuzun evi daha önce soyuldu mu? Ev arkadaşlarım veya misafirlerim ne kadar güvenilir? Düşmanlarım ne kadar kabiliyetli? Hangi riskleri düşünmeliyim?

    Başarısızlığın benim için zararı nedir?

    • Evimde yenisiyle değiştiremeyeceğim bir şey var mı? Eşyalarımı değiştirmek için yeterli zamanım veya param var mı? Evimden çalınan eşyalar sigorta güvencesinde mi?

    Bu sonuçları engellemek için ne kadar uğraşmaya niyetliyim?

    • Hassas belgeler için bir kasa almaya niyetim var mı? Kaliteli bir kilit almaya param var mı? Değerli eşyalarımı korumak için yerel bankamdan güvenlik kutusu kiralamaya vaktim var mı?

    Kendinize bu soruları sorduktan sonra, hangi tedbirleri alabileceğinize karşı bir fikriniz olacak. Eğer eşyalarınız değerliyse, ancak bunların çalınma riski düşükse, pahalı bir kilit almak istemeyebilirsiniz. Ama değerli eşyalarınızın çalınma riski büyükse, piyasadaki en iyi kilidi almaya ek olarak iyi bir güvenlik sistemine yatırım yapmak bile isteyebilirsiniz.

    Tehdit modelinizi oluşturmak, karşılaşabileceğiniz riskleri, varlıklarınızı, düşmanınızı, düşmanınızın kabiliyetini, ve bu risklerin gerçekleşme ihtimalini değerlendirmenize yardımcı olur.

    Tehdit modellemesi nedir ve nasıl başlarım?

    Tehdit modellemesi değer verdiğiniz şeylere karşı varolan tehditleri ve bu tehditlerin kimlerden gelebileceğini belirlemenize yardımcı olur. Tehdit modellemenizi oluştururken, aşağıdaki beş soruya cevap verin:

    1. Neyi korumak istiyorum?
    2. Kimden korumak istiyorum?
    3. Başarısızlık ne gibi kötü sonuçlara yol açar?
    4. Bu şeyi korumak zorunda kalma ihtimalim nedir?
    5. Muhtemel olasılıkları engellemek için ne tür zorluklara katlanabilirim?

    Bu soruları yakından inceleyelim.

    Neyi korumak istiyorum?

    "Varlık", değer verdiğiniz ve korumak istediğiniz bir şeydir. Dijital güvenlik bağlamında ise bir varlık bir tür bilgidir. Örneğin, epostanız, kişi listeniz, anlık mesajlarınız, konumunuz, ve dosyalarınız birer varlıktır. Cihazlarınız varlıklara başka bir örnektir.

    Varlıklarınızın bir listesini çıkarın: sakladığınız veriler, bunları nerede sakladığınız, bunlara kimlerin erişiminin olduğu, ve başkalarının bunlara erişimini neyin durdurduğu gibi.

    Kimden korumak istiyorum?

    Bu soruya cevap vermek için kimlerin sizi ve bilgilerinizi hedef alabileceğini belirlemek önemlidir. Varlıklarınıza karşı tehdit oluşturan bir kişi veya kuruma "düşman" (adversary) denir. Patronunuz, eski ortağınız, ticari rakibiniz, devletiniz, açık ağ üzerindeki bir hacker düşmanlara örnektir.

    Düşmanlarınızın veya varlıklarınızı ele geçirmeye çalışmak isteyebilecek kişilerin bir listesini hazırlayın. Listeniz kişileri, bir devlet kurumunu, veya şirketleri kapsayabilir.

    Düşmanınıza göre değişkenlik göstermekle birlikte, bu listeyi hazırladıktan ve tehdit modellemenizi yaptıktan sonra listenizi yok etmek isteyebilirsiniz.

    Başarısızlık ne gibi kötü sonuçlara yol açar?

    Bir düşmanın verinizi tehdit etmesinin birçok yolu vardır. Örneğin düşmanınız ağ üzerinden geçen gizli haberleşme trafiğinizi okuyabilir, veya verilerinizi silebilir ya da kullanılmaz hale getirebilir.

    Düşmanların gerekçeleri, saldırıları gibi farklılık gösterebilir. Polis şiddetini gösteren bir videonun yayılmasını engellemeye çalışan bir devlet için bu videoyu silmek veya dağıtımını kısıtlamak yeterli olabilir. Buna karşın siz farkında olmadan politik rakibiniz gizli belgelerinize erişmek isteyebilir ve bunları yayınlayabilir.

    Tehdit modellemesi sürecinde bir saldırganın varlıklarınızdan birine başarıyla saldırması durumunda yaşanabilecek kötü sonuçları irdelemek çok önemlidir. Bunun için düşmanınızın kabiliyetini hesaba katmalısınız. Örneğin, mobil hizmet sağlayıcınız telefon kayıtlarınızın hepsini elinde tutar, bu yüzden bu verileri size karşı kullanma kabiliyetine sahiptir. Açık bir Wi-Fi ağındaki bir hacker şifrelenmemiş görüşmelerinize erişebilir. Devletinizin kabiliyeti çok daha güçlü olabilir.

    Düşmanınızın gizli verilerinizle neler yapabileceğini bir yere yazın.

    Bu şeyi korumak zorunda kalma ihtimalim nedir?

    Belli bir varlığınıza karşı mevcut olan belli bir tehdidin gerçekleşme ihtimaline risk denir. Risk, kabiliyetle birlikte ele alınır. Mobil hizmet sağlayıcınız bütün telefon kayıtlarınızı elinde tutsa bile, bu kayıtları yayınlama riski kendi saygınlığına getireceği zarardan ötürü düşüktür.

    Tehdit ve risk ayrımını yapmak önemlidir. Tehdit, olabilecek kötü bir şeyken; risk, tehdidin gerçekleşme ihtimalidir. Örneğin tehdit, binanızın yıkılabilecek olmasıyken risk, binanızın yıkılma ihtimalinin depremlerin nadiren gerçekleştiği Stockholm'e oranla, depremlerin sıklıkla gerçekleştiği San Francisco'da yüksek olmasıdır.

    Risk analizini gerçekleştirmek hem subjektif hem de kişisel bir işlemdir çünkü herkesin öncelikleri ve tehdide bakış açısı farklıdır. Bazı kişiler için risk ne olursa olsun bazı tehditler kabul edilemez, çünkü sonucu ne olursa olsun tehdidin varoluşu ve düşük bile olsa gerçekleşme ihtimali onlar için yeterlidir. Diğer durumlarda ise bazı kişiler tehdidi bir problem olarak görmedikleri için yüksek riskleri görmezden gelirler.

    Ciddiye alacağınız tehditleri, ve hangilerinin zararsız (ya da mücadelesinin zor) veya nadiren gerçekleşebileceğini bir kenara yazın.

    Muhtemel olasılıkları engellemek için ne tür zorluklara katlanabilirim?

    Bu soruyu cevaplayabilmeniz için risk analizi yapmanız gerekir. Herkesin öncelikleri ve tehditlere bakış açısı farklıdır.

    Örneğin, ulusal güvenlikle ilgili bir konuda müvekkilini temsil eden bir avukat, davayla ilgili olan görüşmelerini korumak için bir annenin kızına kedi videoları yollamak için kullandığı eposta hesabından farklı olarak hesabını korumak için her türlü yola başvurabilir.

    Özgün tehditlerinizi hafifletmeye yönelik seçeneklerinizi bir yere yazın. Finansal, teknik, veya sosyal baskılarla karşı karşıya olup olmadığınıza dikkat edin.

    Sıradan bir uygulama olarak tehdit modellemesi

    Durumunuzla birlikte tehdit modelinizin de değişebileceğini aklınızdan çıkarmayın. Bu yüzden, tehdit modellemesi durumunuzu sıklıkla gözden geçirmek iyi bir pratiktir.

    Özgün durumunuza uygun kendi tehdit modelinizi yaratın. Daha sonra gelecek bir tarihi takviminizde işaretleyin. Bu işlem, tehdit modelinizi gözden geçirmeniz ve tehdit modelinizin mevcut durumunuzla uyumluluğunu kontrol etmeniz için sizi uyaracaktır.

    Son güncelleme: 
    10-01-2019
  • Araçlarınızı Seçmek

    Bireylerin dijital güvenliklerini geliştirmeye yardımcı olmak için firmaların ve websitelerinin birçok farklı araçlar sunduğu bu günlerde, sizin için doğru olan araçları seçmenin püf noktası nedir?

    Sizi güvende tutması garanti, dört dörtlük bir araç listesine sahip değiliz (ancak seçtiğimiz uygun araçların listesine Araç Rehberleri bölümünden ulaşabilirsiniz). Eğer korumak istediğiniz şeyin ne olduğuna ve kimden korumak istediğinize dair iyi bir fikriniz varsa, bu rehber amacınıza ulaşmak için doğru araçları seçmenizde size yardımcı olacak.

    Güvenliğin indirdiğiniz veya kullandığınız araçlarla ilgili olmadığını unutmayın. Güvenlik, size özel tehditleri belirleyerek ve bunlarla nasıl mücadele edileceğini anlayarak sağlanır. Risklerinizi Değerlendirmek isimli rehberimize göz atarak bu konuyla ilgili daha detaylı bilgi alabilirsiniz.

    Güvenlik Satın Alınan Bir Şey Değil, Bir Süreçtir

    Kullandığınız yazılımı değiştirmeden ya da yeni araçlar satın almadan önce unutmamanız gereken ilk şey, hiçbir aracın sizi gözetime karşı tamamen koruyamayacağıdır. Bu yüzden, dijital güvenlik konusunu bir bütün olarak düşünmeniz önemlidir. Örneğin, telefonunuzda güvenli araçlar kullanıyorsanız, ama bilgisayarınıza şifre koymamışsanız, telefonunuzdaki araçların size bir faydası olmayabilir. Eğer bir kişi sizin hakkınızda bilgi edinmek istiyorsa, bu kişi bilgilerinizi edinmenin zor değil, en kolay yolunu seçer.

    İkinci olarak, kendinizi her türlü hile veya saldırgana karşı korumanız imkansızdır. Bu yüzden hangi saldırganın bilgilerinizi çalmak isteyebileceği, bu bilgilerden ne istediği, ve nasıl elde edebileceği konusuna odaklanmanız önemlidir. Eğer karşılaşabileceğiniz en büyük tehdit, internet gözetim araçlarına sahip olmayan özel bir detektifin sizi fiziksel bir şekilde takip etmesi ise, NSA'e karşı etkili olduğunu iddia eden pahalı bir şifreli telefon sistemi satın almanıza gerek yoktur. Alternatif olarak, şifreleme araçları kullandıkları için muhalif görüşlü insanları düzenli olarak hapse atan bir devletle karşı karşıyaysanız, dizüstü bilgisayarınızda şifreleme yazılımları kullandığınıza dair ipucu bırakmak yerine, daha önceden belirlenmiş bir dizi kelime kodlarını kullanmak gibi daha basit hilelere başvurmanız daha mantıklı olabilir. Gelebilecek saldırılara karşı kendinizi korumanın planlamasını yapmaya tehdit modellemesi denir.

    Tüm bunları göz önünde bulundurduğunuzda, bir aracı indirmeden, satın almadan ya da kullanmadan önce sorabileceğiniz bazı sorular şunlardır:

    Uygulama Ne Kadar Şeffaf?

    Güvenlik araştırmacıları arasında açıklık ve şeffaflığın daha güvenli araçlara yol açtığına dair güçlü bir inanç vardır.

    Dijital güvenlik toplulukları tarafından kullanılan ve tavsiye edilen yazılımların büyük çoğunluğu ücretsiz ve açık kaynak kodludur. Yani yazılımları tanımlayan bu kod, herkesin inceleyebilmesi, modifiye edebilmesi ve paylaşabilmesi için halka açılmıştır. Programlarının nasıl çalıştığıyla alakalı şeffaf olan geliştiriciler, bu şekilde programlarındaki güvenlik açıklarını araştırmaları ve programlarını geliştirmeleri için başkalarını davet eder.

    Açık kaynak kodlu yazılımlar daha iyi güvenlik için bir fırsat sunar ancak güvenliği garanti etmez. Açık kaynak kodlu yazılımların avantajı, kodu kontrol edebilecek teknoloji uzmanlarının oluşturduğu topluluklara bağlıdır ancak bu seviyeye erişmek küçük çaplı projeler için zor olabilir (aynı şey popüler, karmaşık projeler için de geçerli olabilir).

    Bir aracı kullanmayı düşündüğünüzde, bu aracın kaynak kodunun mevcut olup olmadığını kontrol edin ve kodun güvenliğinin bağımsız bir güvenlik denetiminden geçtiğine emin olun. Yazılımlar ve donanımlar, başkalarının kontrol edebilmesi için en azından nasıl çalıştıklarını tarif eden detaylı teknik açıklamalara sahip olmalıdır.

    Uygulamanın Yaratıcıları, Uygulamanın Avantajları ve Dezavantajları Hakkında Dürüstler mi?

    Hiçbir yazılım ya da donanım tamamen güvenli değildir. Ürünlerinin limitasyonları hakkında dürüst olan yaratıcıları ya da satıcıları seçmeye dikkat edin.

    "Askeri düzey" ya da "NSA'e karşı güvenli" gibi genel açıklamalara güvenmeyin. Bu tarz açıklamalar hiçbir şey ifade etmez ve geliştiricilerin ürünlerinde gereğinden fazla güvendiklerini ya da ürünlerindeki muhtemel hataları düşünmek istemediklerini gösterir.

    Saldırganlar araçların güvenliğini kırmak için sürekli yeni yollar bulmaya çalıştığından, yazılımlar ve donanımlar açıklarını kapatmak için sıklıkla güncellenmeye ihtiyaç duyarlar. Uygulamaların yaratıcıları, bu güncellemeleri kötü reklam ya da problemleri düzeltecek gerekli altyapının yerinde olmaması korkusuyla yapmazlarsa, bu büyük bir problem teşkil edebilir. Bu yüzden bir uygulama seçerken, araçlarını güncel tutacak, ve yapılan güncelleme ile ilgili net ve dürüst olacak yaratıcıları seçmeye dikkat edin.

    Uygulama yaratıcılarının geçmişteki aktiviteleri, gelecekte nasıl hareket edeceklerine dair iyi bir göstergedir. Eğer aracın websitesi geçmişteki sorunları listeliyorsa ve düzenli göncellemelere ve bilgilere bağlantı vermişse (yazılımın en son ne zaman güncellendiği gibi), aracın yaratıcılarının bu hizmeti gelecekte de sağlayacakları konusunda daha rahat olabilirsiniz.

    Yaratıcılar Tehlike Altındaysa Ne Olur?

    Güvenli yazılım ve donanım üretenler, bu araçları üretirken, kendileri için (aynen sizin gibi) net bir tehdit modeli belirlemelidirler. En iyi yaratıcılar, ürettikleri araçların sizi ne gibi saldırılara karşı koruyabileceğini sağladıkları dökümanlarda belirtirler.

    Ancak üreticilerin düşünmek bile istemediği bir saldırgan vardır: kendileri! Ya kendileri tehlike altındaysa veya kendi kullanıcılarına saldırmaya karar verirlerse? Örnek olarak, bir mahkeme ya da bir devlet, bir şirketi elinde tuttuğu kişisel bilgileri vermeye ya da hizmet olarak sunduğu araçlarındaki korumaları ortadan kaldıracak bir "arka kapı" yaratmaya zorlayabilir. Bu tarz durumlarda yaratıcıların hizmet verdiği ülkenin hukuki yetki alanlarını değelerlendirebilirsiniz. Örneğin, kendinizi İran devletine karşı korumak istiyorsanız, Amerika merkezli bir şirket, Amerikan mahkemelerinin kararına uymak zorunda olsa bile, İranlı mahkemelerin kararına karşı direnebilir.

    Yaratıcı, devletin uyguladığı baskıya karşı dirense bile, kullanıcılarına saldırmak amacıyla bir saldırgan, üreticinin sistemine sızarak aynı sonucu elde etmeye çalışabilir.

    En dirençli araçlar, bu tarz saldırıların gerçekleşme ihtimalini gözönüne alan ve bu saldırılara karşı korunmak için tasarlanmış olan araçlardır. Bir yaratıcının kişisel verilere erişmeyeceği sözünden ziyade, erişemeyeceği iddiasına dikkat edin. Kişisel verileri korumak için mahkemelerde mücadele veren kurumlara bakın.

    Geri Çağırmaları ve İnternetteki Eleştirileri Kontrol Edin

    Ürün satan şirketler ya da bu şirketin ürünlerinin reklamını yapan hayranlar kandırılabilir, yanıltabilir ya da açıkça yalan söyleyebilirler. İlk yayınlandığında güvenli olduğu sanılan bir ürünün, gelecekte korkunç güvenlik açıklarına sahip olduğu ortaya çıkabilir. Kullandığınız araçlarla ilgili haberleri yakından takip ettiğinizden emin olun.

    Bir araçla ilgili tüm haberleri takip etmek, tek bir kişi için oldukça zordur. Belli bir ürünü ya da servisi kullanan iş arkadaşlarınız varsa, neler olduğuyla alakalı bilgilerinizin güncel kalması için onlarla beraber çalışın.

    Hangi Telefonu Almalıyım? Ya da Hangi Bilgisayarı?

    Güvenlik eğitmenleri, "Android mi alayım, iPhone mu?", "PC mi kullanayım, Mac mi?" gibi sorularla sıkça karşılaşırlar. Bu soruların basit bir cevabı yoktur. Yazılımların ve cihazların güvenlik durumları, yeni kusurlar bulundukça ve eski hatalar yamalandıkça değişir. Şirketler size daha iyi güvenlik sunmak için rekabet edebilirler, ya da güvenliklerini zayıflatmak için devletler tarafından baskı altında olabilirler.

    Ancak bazı tavsiyeler her zaman geçerlidir. Cihazınız için yayınlanan yazılım güncellemelerini kurarak cihazınızı her zaman güncel tutun. Bu güncellemeler genellikle saldırıların faydalanabileceği eski kod tabanındaki güvenlik açıklarını kapatır. Eski olan bazı telefonların ya da işletim sistemlerinin güvenlik için bile olsa artık desteklenmeyebileceğini ise unutmayın. Örneğin Microsoft, Windows Vista, XP, ve daha önceki işletim sistemleri için kritik güvenlik açıkları dahil olmak üzere yeni güncellemeler yayınlamayacağını net bir şekilde belirtti. Eğer bu işletim sistemlerinden birini kullanıyorsanız, saldırganlara karşı korunmayı beklemeyin. Aynı durum 10.11 ya da El Capitan'dan önceki OS X sürümleri için de geçerlidir.

    Artık yüzleştiğiniz tehditleri düşündüğünüz, ve bir dijital güvenlik aracında ne aramanız gerektiğini bildiğiniz için, durumunuza özel araçları daha net bir şekilde seçebilirsiniz.

    Bu Rehberde Adı Geçen Ürünler

    Bu rehberde bahsettiğimiz yazılımların ve donanımların, yukarıda listelediğimiz kriterlere uyduğuna dikkat ediyoruz. İyi niyetli bir şekilde:

    • dijital güvenlikle alakalı bilgilerimize dayanarak sağlam temelleri olan,
    • genellikle işlevleri (ve hataları) konusunda şeffaf,
    • yaratıcılarının kendilerinin tehlike altında olabileceği ihtimaline karşı savunması olan, ve
    • güncel tutulan ve büyük, teknik konularda bilgili bir kullanıcı tabanı olan

    ürünleri listelemeye dikkat ettik.

    Bu ürünlerin, rehberin yazıldığı zamanda, hatalarının geniş bir kitle tarafından incelendiğini ve bir sorun oluşması durumunda halkın hızlıca uyarılacağına inanıyoruz. Lütfen bu ürünleri incelemek için yeterli kaynaklarımızın olmadığını ve güvenlikleriyle ilgili bağımsız bir güvence veremeyeceğimizi unutmayın. Biz bu ürünleri onaylamıyoruz ve güvenli olduklarını garanti edemeyiz.

    Son güncelleme: 
    29-10-2018
  • Anahtar Doğrulaması

    Şifreleme doğru bir şekilde kullanıldığında, haberleşmeleriniz ya da bilgileriniz sadece sizin ve haberleştiğiniz insan (ya da insanlar) tarafından okunabilmelidir. Uçtan uca şifreleme, verilerinizi üçüncü partilerin gözetiminden korur, ancak konuştuğunuz kişinin kimliğinden emin değilseniz, bu şifrelemenin yararı sınırlıdır. Anahtar doğrulaması bu noktada devreye giriyor. Açık anahtarları doğrulayarak, siz ve konuştuğunuz kişi birbirinizin kimliğini teyit ederek görüşmelerinize başka bir koruma katmanı daha eklersiniz ve konuştuğunuz kişinin doğru kişi olduğundan bu oranda emin olursunuz.

    Anahtar doğrulaması, PGP ve OTR gibi uçtan uca şifreleme kullanan protokollerin ortak özelliklerinden biridir. Sinyalte buna "safety numbers" denir. Başka birinin müdahalesi olmadan anahtarları doğrulamak için, şifreleyeceğiniz haberleşme yönteminden ziyade ikincil bir haberleşme yöntemini kullanmanız akıllıca olacaktır; bu yönteme bant dışı doğrulama denir. Örneğin, OTR parmak izlerinizi doğruluyorsanız, birbirinize anahtar parmak izlerinizi eposta olarak gönderebilirsiniz. Bu örnekte, eposta gönderimi ikincil bir haberleşme kanalıdır.

    Anahtarlarınızı bant dışı doğrulamak

    Bunu yapmanın birkaç yolu vardır. Eğer düzenli ve uygun bir şekilde ayarlanabilirse, anahtarlarınızı yüz yüzeyken onaylamak idealdir. Bu yöntem genellikle anahtar imzalama partilerinde ya da iş arkadaşları arasında halledilir.

    Eğer yüz yüze doğrulama yöntemini yapmanız mümkün değilse, yazıştığınız kişiyle anahtarlarını doğrulamak istediğiniz yöntemin dışında bir haberleşme yöntemini kullanarak iletişime geçebilirsiniz. Örneğin, bir kişiyle PGP anahtarlarını doğrulamaya çalışıyorsanız, telefonu ya da OTR görüşmesini kullanarak bu işlemi gerçekleştirebilirsiniz.

    Kullandığınız program ne olursa olsun, kendinizin ve konuştuğunuz kişinin anahtarını her zaman tespit edebileceksiniz.

    Anahtarınızı tespit etmenin yöntemi programdan programa değişse de, anahtarların doğrulanması yöntemi aşağı yukarı aynıdır. Birbirinizin anahtar parmak izini sesli bir şekilde okuyabilir (yüz yüzeyseniz ya da telefonda görüşüyorsanız), ya da kopyaladığınız parmak izini bir haberleşme programına yapıştırabilirsiniz, ancak hangi yöntemi seçerseniz seçin, her harfi ve sayıyı dikkatlice kontrol etmeniz gereklidir.

    İpucu: Arkadaşlarınızdan biriyle anahtarlarınızı doğrulamaya çalışın. Belirli bir programı kullanarak anahtarların nasıl doğrulandığını öğrenmek istiyorsanız, o programın "nasıl" rehberine gözatın.

    Son güncelleme: 
    13-01-2017
  • Key Concepts in Encryption

    Under some circumstances, encryption can be fairly automatic and simple. But there are ways encryption can go wrong. The more you understand it, the safer you will be against such situations. We recommend reading the “What Should I Know About Encryption?” guide first if you haven’t already.

    In this guide, we will look at five main ideas. These are important concepts for understanding encryption in transit:

    • A cipher, a key
    • Symmetric and asymmetric encryption
    • Private and public keys
    • Identity verification for people (public key fingerprints)
    • Identity verification for websites (security certificates)

    A Cipher, A Key

    You’ve probably seen something that, on its face, is not understandable to you. Maybe it looks like it’s in another language, or like it’s gibberish—there’s some sort of barrier to being able to read and understand it. This doesn’t necessarily mean that it’s encrypted.

    What differentiates something that is not understandable from something that’s encrypted?

    Encryption is a mathematical process used to scramble information, so that it can be unscrambled only with special knowledge. The process involves a cipher and a key.

    A cipher is a set of rules (an algorithm) for encrypting and decrypting. These are well-defined steps that can be followed as a formula.

    A key is a piece of information that instructs the cipher in how to encrypt and decrypt. Keys are one of the most important concepts for understanding encryption.

    One Key or Many Keys?

    In symmetric encryption, there is one single key to both encrypt and decrypt information.

    Older forms of encryption were symmetric. For the “Caesar cipher” used thousands of years ago by Julius Caesar, the key to encrypt and decrypt a message was a shift of three. For example, “A” would be changed to “D.” The message “ENCRYPTION IS COOL” would be encrypted to “HQFUBSWLRQ LV FRRO” using the key of three. That same key would be used to decrypt it back to the original message.

    Symmetric encryption is still used today—it often comes in the form of “stream ciphers” and “block ciphers,” which rely on complex mathematical processes to make their encryption hard to crack. Encryption today includes many steps of scrambling data to make it hard to reveal the original content without the valid key. Modern symmetric encryption algorithms, such as the Advanced Encryption Standard (AES) algorithm, are strong and fast. Symmetric encryption is widely used by computers for tasks like encrypting files, encrypting partitions on a computer, completely encrypting phones and computers using full-disk encryption, and encrypting databases like those of password managers. To decrypt this symmetrically-encrypted information, you’ll often be prompted for a password. This is why we recommend using strong passwords, and provide tutorials for generating strong passwords to protect this encrypted information.

    Having a single key can be great if you are the only person who needs to access that information. But there’s a problem with having a single key: what if you wanted to share encrypted information with a friend far away? What if you couldn’t meet with your friend in person to share the private key? How could you share the key with your friend over an open Internet connection?

    Asymmetric encryption, also known as public key encryption, addresses these problems. Asymmetric encryption involves two keys: a private key (for decryption) and a public key (for encryption).

    Symmetric Encryption

    Asymmetric Encryption

    • Fast
    • Slow
    • Doesn’t require a lot of computing power
    • Requires a lot of computing power
    • Useful for encrypting both large and small messages
    • Useful for encrypting small messages
    • Requires sharing the key for encryption and decryption
    • The decryption key does not need to be shared — only the “public key” for encryption is shared
    • Cannot be used for verifying identities (authentication)
    • Can be used for identity verification (authentication)

    Symmetric and asymmetric encryption are often used together for encrypting data in transit.

    Asymmetric Encryption: Private and Public Keys

    Private and public keys come in matched pairs, because the private key and public key are mathematically tied together. You can think of it like a rock that is split in half. When held back together, the two halves fit in place to form the whole. No other rock-half will do. The public key and private key files are much the same, but are ultimately composed of computer-readable representations of very large numbers.

    Although it is called a “public key,” it can be confusing to think of the public key as an actual, literal key to open things. It doesn’t quite serve that function. For more in-depth information on public keys and private keys, see SSD’s deep dive on public key cryptography.

    A public key is a file that you can give to anyone or publish publicly. When someone wants to send you an end-to-end encrypted message, they’ll need your public key to do so.

    Your private key lets you decrypt this encrypted message. Because your private key allows you to read these encrypted messages, it becomes very important to protect your private key. In addition, your private key can be used to sign documents so that others can verify that they really came from you.

    Since the private key is ultimately a file on a device that requires protection, we encourage you to password protect and encrypt the device where the private key is stored. On Surveillance Self-Defense, we have guides for strong passwords and device encryption.

    Public Key

    Private Key

    • A file that can be shared widely (can be shared over the Internet easily)
    • A file that must be kept safe and protected
    • Sender needs the public key to encrypt information to the recipient
    • Used to decrypt encrypted messages that are addressed to the matched public key
    • Represented by a “public key fingerprint,” which is used for verifying identities (authentication)
    • Used for digital signatures, allowing a way to verify a sender’s identity (authentication)
    • Can be optionally posted to permanent, publicly-accessible databases, such as “keyservers” (keyservers are prominent in PGP encrypted email)
     

    In some ways, you can think of sending information in transit like sending a postcard. In the postcard illustration on the left (below), a sender writes: “HI! :-)” The sender addresses it to the message recipient. This message is unencrypted, and anyone passing the message along the way can read it.

    On the right is that same postcard, with the message encrypted between the sender and receiver. The message still conveys the message “Hi! J” but now it looks like a block of encrypted gibberish to the rest of us.

    How is this done? The sender has found the recipient’s public key. The sender addresses the message to the recipient’s public key, which encrypts the message. The sender has also included their signature to show that the encrypted message is really from them.

    Note that the metadata—of who is sending and who is receiving the message, as well as additional information like time sent and received, where it passed through, and so on—is still visible. We can see that the sender and receiver are using encryption, we can tell that they are communicating, but we can’t read the content of their message.

    Who Are You Encrypting To? Are They Who They Really Say They Are?

    Now, you might be wondering: “I get that my public key lets someone send me an encrypted message, and that my private key lets me read that encrypted message. But what if someone pretends to be me? What if they create a new public and private key, and impersonate me?”

    That’s where public key cryptography is especially useful: It lets you verify your identity and your recipient’s identity. Let’s look at the capabilities of the private key more closely.

    In addition to letting you read encrypted messages that are sent to your public key, your private key lets you place unforgeable digital signatures on messages you send to other people, as though to say “yes, this is really me writing this.”

    Your recipient will see your digital signature along with your message and compare it with the information listed from your public key.

    Let’s look at how this works in practice.

    Identity Verification for People: Public Key Fingerprints

    When we send any kind of message, we rely on the good faith of people participating. It’s like in the real world: We don’t expect a mail delivery person to meddle with the contents of our mail, for example. We don’t expect someone to intercept a friend’s letter to us, open and modify it, and send it to us, as though nothing had been changed. But there’s a risk this could happen.

    Encrypted messages have this same risk of being modified, however, public key cryptography allows us a way to double-check if information has been tampered with, by double-checking someone’s digital identity with their real-life identity.

    The public key is a giant block of text in a file. It is also represented in a human-readable shortcut called a key fingerprint.

    The word “fingerprint” means lots of different things in the field of computer security.

    One use of the term is a “key fingerprint,” a string of characters like “65834 02604 86283 29728 37069 98932 73120 14774 81777 73663 16574 23234” that should allow you to uniquely and securely check that someone on the Internet is using the right private key.

    In some apps, this information can be represented as a QR code that you and your friend scan off each other’s devices.

    You can double-check that someone’s digital identity matches who they say they are through something called “fingerprint verification.”

    Fingerprint verification is best done in real-life. If you’re able to meet with your friend in person, have your public key fingerprint available and let your friend double-check that every single character from your public key fingerprint matches what they have for your public key fingerprint. Checking a long string of characters like “342e 2309 bd20 0912 ff10 6c63 2192 1928” is tedious, but worth doing. If you’re not able to meet in person, you can make your fingerprint available through another secure channel, like another end-to-end encrypted messaging or chat system, or posted on a HTTPS site.

    Verifying someone’s key fingerprint gives you a higher degree of certainty that it’s really them. But it’s not perfect because if the private keys are copied or stolen (say you have malware on your device, or someone physically accessed your device and copied the file), someone else would be able to use the same fingerprint. For this reason, if a private key is “stolen,” you will want to generate a new public and private key pair, and give your friends your new public key fingerprint.

    Summary: Public-Key Encryption Capabilities

    In general, using public-key encryption can provide users:

    Secrecy: A message encrypted with public-key cryptography allows the sender to create a message that is secret, so that only the intended recipient can read it.

    Authenticity: A recipient of a message signed with public-key cryptography can verify that the message was authentically crafted by the sender if they have the sender’s public key.

    Integrity: A message signed or encrypted with public-key cryptography, in general, cannot be tampered with, otherwise the message will not decrypt or verify correctly. This means that even unintentional disruption of a message (e.g. because of a temporary network problem) will be detectable.

    Identity Verification for Websites and Services: Security Certificates

    You might wonder: “I can verify public key fingerprints, but what’s the equivalent for the web? How can I double-check that I’m using a service that really is the service that it says it is? How can I be sure that no one is interfering with my connection to a service?”

    Someone using end-to-end encryption shares their public key widely so others can verify that they are who they say they are. Similarly, when using transport-layer encryption, your computer automatically checks to confirm whether a public key for a service is who it really says it is, and that it is encrypting to the intended service: this is called a security certificate.

    Below, you can see an example of the security certificate for SSD from a generic Web browser. This information is often accessible by clicking the HTTPS lock in your Web browser and pulling up the certificate details.

    The Web browser on your computer can make encrypted connections to sites using HTTPS. Websites often use security certificates to prove to your browser that you have a secure connection to the real site, and not to some other system that’s tampering with your connection. When they do that, they examine certificates to check the public keys of domain names—(like www.google.com, www.amazon.com, or ssd.eff.org). Certificates are one way of trying to determine if you know the correct public key for a person or website, so that you can communicate securely with them. But how does your computer know what the right public key is for sites you visit?

    Modern browsers and operating systems include a list of trusted Certificate Authorities (CAs).  The public keys for these CAs are pre-bundled when you download the browser or buy a computer. Certificate Authorities sign the public key of websites once they’ve validated them as legitimately operating a domain (such as www.example.com). When your browser visits an HTTPS site, it verifies that the certificate the site delivered has actually been signed by a CA that it trusts. This means that a trusted third-party has verified that the site is who they are claiming to be.

    Just because a site’s security certificate been signed by a Certificate Authority, does not mean that the website is necessarily a secure site. There are limits to what a CA can verify—it can’t verify that a website is honest or trustworthy. For example, a website may be “secured” using HTTPS, but still host scams and malware. Be vigilant, and learn more by reading our guide on malware and phishing.

    From time to time, you will see certificate-related error messages on the Web. Most commonly this is because a hotel or cafe network is trying to intercept your connection to a website in order to direct you to their login portal before accessing the web, or because of a bureaucratic mistake in the system of certificates. But occasionally it is because a hacker, thief, or police or spy agency is breaking the encrypted connection. Unfortunately, it is extremely difficult to tell the difference between these cases.

    This means you should never click past a certificate warning if it relates to a site where you have an account or are reading any sensitive information.

    Putting It All Together: Symmetric Keys, Asymmetric Keys, & Public Key Fingerprints.

    The example of Transport-Layer Security Handshakes

    When using transport-layer encryption, your computer’s browser and the computer of the website you’re visiting are using both symmetric algorithms and asymmetric algorithms. 

    Let’s examine a concrete example of how all these ideas work together: when you connect to this HTTPS website (https://ssd.eff.org/), what happens?

    When a website uses HTTPS, your browser and the website’s server have a very fast set of interactions called “the handshake.” Your browser—the likes of Google Chrome, Mozilla Firefox, Tor Browser, and so forth—is talking to the server (computer) hosting our website, https://ssd.eff.org.

    In the handshake, the browser and server first send each other notes to see if they have any shared preferences for encryption algorithms (these are known as “cipher suites”). You can think of it like your browser and our ssd.eff.org server are having a quick conversation: they’re asking each other what encryption methods they both know and should communicate in, as well as which encryption methods they prefer. (“Do we both know how to use an asymmetric algorithm like RSA in combination with a symmetric algorithm like AES? Yes, good. If this combination of encryption algorithms doesn’t work for us, what other encryption algorithms do we both know?”)

    Then, your browser uses asymmetric encryption: it sends a public key certificate to ssd.eff.org to prove that you are who you say you are. The site server checks this public key certificate against your public key. This is to prevent a malicious computer from intercepting your connection.

    Once your identity is confirmed, the site’s server uses symmetric encryption: it generates a new, symmetric, secret key file. Then, using asymmetric encryption to encrypt the key using your browser’s public key, and sends it to your browser. Your browser uses its private key to decrypt this file.

    If this symmetric key works, your browser and website’s server use it to encrypt the rest of their communications. (This set of interactions is the transport layer security (TLS) handshake.) Thus, if all goes right in the handshake, your connection to ssd.eff.org shows up as Secure, with HTTPS beside ssd.eff.org.

    For a deeper dive on public and private keys, as well as verification, read our SSD guide on public key encryption next.

    Son güncelleme: 
    26-11-2018
  • Açık Anahtar Kriptografisi ve PGP'ye Giriş

    PGP'nin açılımı "Oldukça İyi Gizlilik" (Pretty Good Privacy)'dir ve aslında çok iyi gizlilik sağlar. Doğru bir şekilde kullanıldığında gönderdiğiniz mesajların, metinlerin ve hatta dosyaların içeriğinin, sağlam bütçeli devlet gözetim programları tarafından dahi okunmasını engelleyebilir. Edward Snowden "şifreleme işe yarıyor" dediğinde, PGP ve onunla alakalı yazılımlardan bahsediyordu. Ancak belirtmemiz gerekir ki devletlerin kişilerin bilgisayarlarından özel anahtarını çalması (bilgisayara el koyarak ya da fiziksel erişim ya da kimlik avı amacıyla zararlı yazılım yükleyerek) ve bununla tüm çabanızı boşa çıkarması ve hatta eski maillerinizi okuması duyulmamış şey değil. Bu durum şuna benzer; siz evinizin kapısına kırılması imkansız bir kilit takabilirsiniz, ancak yine de birisi, size hiç fark ettirmeden anahtarınızı cebinizden çalıp bir kopyasını alıp geri koyabilir—ve böylece kilidi kırmaya ihtiyaç duymadan evinize girebilir.

    Maalesef, PGP kolay anlaşılabilir ya da kolay kullanılabilir olma konusunda pek iyi değildir. PGP'nin kullandığı güçlü şifreleme—açık anahtar şifrelemesi—oldukça marifetlidir, ancak tam anlamıyla kavraması güçtür. PGP yazılımı 1991 yılından beridir elimizin altında, bu da onu Microsoft Windows'un ilk versiyonları kadar eski yapar, ve görünümü de o günden bu yana pek değişmedi.

    İyi haber ise, günümüzde PGP'nin bu antik tasarımını gizleyecek ve onu özellikle de PGP'nin en temel kullanım alanı olan epostaları şifrelemek ve doğrulamak için kullanılması daha kolay hâle getiren birçok program bulunmaktadır. Bu yazılımın kurulumunu ve kullanımını anlatan rehberleri ayrı bir yere ekledik.

    PGP ve onu kullanan diğer programları kurcalamaya başlamadan önce açık anahtar şifrelemenin temellerini anlamak için birkaç dakika ayırmakta fayda var: sizin için neler yapabileceği, neler yapamayacağı ve ne zaman kullanmanız gerektiği gibi.

    İki Anahtarın Hikayesi

    Gözetimle savaşmak için şifrelemeyi kullandığımızda, yapmaya çalıştığımız şey şudur:

    "Merhaba anne" gibi herkes tarafından açıkça okunabilecek bir mesajı alırız. Bunu şifreler ve bakan hiç kimsenin anlayamayacağı bir kodlanmış mesaja çeviririz ("OhsieW5ge+osh1aehah6," gibi). Bu mesajı internet üzerinden birçok kişinin okuyabileceğini ama hiç kimsenin anlayamayacağını umarak göndeririz. Ardından mesaj hedefine ulaşır ve yalnızca amaçlanan alıcımız onu deşifre edip orjinal mesajımıza çevirmenin bir yoluna sahip olur.

    Başka hiç kimse yapamıyorken, bizim alıcımız mesajın kodunu nasıl çözeceğini nereden biliyordu? Başka kimsenin bilmediği bir ekstra bilgiye sahip olması gerekiyor. Buna kod çözme anahtarı diyelim, çünkü mesajımızın içindeki kodu çözebiliyor.

    Alıcımız bu anahtarı nasıl biliyor? İster bu "mesajı aynaya tutmayı dene" ya da "alfabedeki her harfi kendinden bir sonraki harfe dönüştür" olsun, sıklıkla gönderen anahtarı önceden söylemiştir. Ancak bu stratejide bir sorun var. Eğer kodlanmış bir mesaj gönderirken birilerinin sizi dinlemesinden korkuyorsanız, bu anahtarı göndermek istediğinizde, birisinin bu konuşmanızı da dinlemediğinden nasıl emin olacaksınız? Eğer saldırgan mesajınızın kodunu nasıl çözeceğini biliyorsa, becerikli bir şekilde şifrelenmiş mesaj göndermenin hiçbir anlamı olmayacaktır. Ve eğer kod çözme anahtarlarını gönderebileceğiniz bir gizli yolunuz varsa, neden tüm gizli mesajlarınız için başka bir yola ihtiyacınız olsun?

    Açık anatar kriptografisinin buna çok zarif bir çözümü vardır. Görüşmeye dahil olan herkesin iki anahtar yaratmak için bir yolu vardır. Bunlardan birisi gizli anahtardır, bunu kendilerine saklarlar ve başka kimseye vermezler. Diğeri ise açık anahtardır, bunu da kendileriyle iletişim kurmak isteyen herkese verirler. Açık anahtarınızı kimin gördüğü hiç önemli değildir. İsterseniz herkesin görmesi için çevrimiçi bir yere bile koyabilirsiniz.

    "Anahtarlar", işin aslında belirli matematiksel özelliklere sahip olan çok büyük sayılardır. Açık anahtar ve gizli anahtar birbirine bağlıdır. Eğer bir şeyi, bir açık anahtar kullanarak kodlarsanız, başka birisi onun eşi olan gizli anahtar ile kodunu çözebilir.

    Şimdi bunun nasıl çalışabileceğini görelim. Aarav'a bir gizli mesaj göndermek istediniz. Aarav bir gizli anahtara sahip, ve iyi bir açık anahtar kriptografisi kullanıcısı olarak, bağlı olan açık anahtarını da websitesine koymuş. Siz açık anahtarı indirirsiniz, mesajınızı onu kullanarak şifrelersiniz ve ona gönderirsiniz. O mesajın kodunu çözebilir, çünkü bağlı olan gizli anahtara sahip – ama başka kimse çözemez.

    Zamanların işareti

    Açık anahtar kriptografisi mesaj göndermek istediğiniz kişiye el altından kod çözme anahtarı ulaştırma çabasından sizi kurtarır, çünkü o kişi zaten anahtara sahiptir. Sizin yapmanız gereken yalnızca kodlama anahtarını almaktır, ki alıcı bunu ajanlar da dahil herkese verebilir. Çünkü bu anahtar yalnızca mesaj kodlamaya yarar ve bir mesajın kodunu çözmek için hiçbir faydası olmaz.

    Ama dahası var! Eğer bir mesajı belirli bir açık anahtarla kodlarsanız, yalnızca eşleşen gizli anahtar kodu çözebilir. Ancak bunun tersi de geçerlidir. Eğer bir mesajı belirli bir gizli anahtarla şifrelerseniz, o mesaj yalnızca onunla eşleşen açık anahtarla deşifre edilebilir.

    Peki bunun ne gibi bir faydası olabilir? İlk bakışta, gizli anahtarınızla dünyadaki herkesin (en azından açık anahtarınıza sahip olan herkesin) kırabileceği bir gizli mesaj yazmanın bir avantajı olmayacağını düşünebilirsiniz. Ancak düşünün, "Aazul'a 100 dolar ödeyeceğime söz veriyorum" diyen bir mesaj yazıyorum ve bunu gizli anahtarımla bir şifreli mesaja dönüştürüyorum. Mesajın kodunu herkes kırabilir—ama bu mesajı yalnızca bir kişi yazmış olabilir: gizli anahtarıma sahip olan kişi. Eğer gizli anahtarımı güvende tutmak konusunda iyi bir iş çıkardıysam da, o kişi yalnızca ben olabilirim demektir. Gerçekte, gizli anahtarımla onu kodlayarak, mesajın kesinlikle benden gelebileceğinin teminatını verdim. Bir diğer deyişle, gerçek dünyada yaptığım gibi, dijital dünyada bir mesajı imzaladım.

    İmzalamak aynı zamanda mesajları kurcalanmaya karşı da korur. Eğer birisi "Aazul'a 100 dolar ödeyeceğime söz veriyorum" mesajını "Bob'a 100 dolar ödeyeceğime söz veriyorum" şeklinde değiştirmek isterse, mesajı sizin gizli anahtarınızla tekrar imzalaması mümkün olmayacaktır. Bu yüzden imzalı bir mesaj, belirli bir kaynaktan geldiğinin ve yolda değiştirilmediğinin garantisini verir.

    Açık anahtar kriptografisi açık anahtarını bildiğiniz herkese güvenli bir şekilde şifreli mesajlar göndermenizi sağlar. Eğer başkaları sizin açık anahtarınızı biliyorsa, onlar da size, sadece sizin kodunu çözebileceğiniz mesajlar gönderebilir. Ve eğer insanlar sizin açık anahtarınızı biliyorsa, mesajlarınızı imzalayarak insanlara o mesajın yalnızca sizden gelebileceğinin güvencesini verebilirsiniz. Ve eğer siz başkalarının açık anahtarını biliyorsanız, onlar tarafından imzalanmış mesajların kodunu çözebilir ve mesajın yalnızca o kişiden geldiğine emin olabilirsiniz.

    Ne kadar çok kişi sizin açık anahtarınızı bilirse açık anahtar kriptografisinin o kadar kullanışlı olacağını sanırız açık bir şekilde anladınız. Ayırca açıktır ki, gizli anahtarınızı gerçekten güvende tutmalısınız. Eğer bir başkası gizli anahtarınızın kopyasını ele geçirirse, sizmiş gibi davranabilir ve mesajları sizin tarafınızdan yazılmış gibi göstermek için imzalayabilir. PGP, bir gizli anahtarı "iptal etme" özelliğine sahiptir ve insanları artık güvenilmez olduğuna dair uyarabilir, ancak bu çok iyi bir çözüm değildir. açık anahtar kriptografisi sistemlerini kullanırken dikkat edilmesi gereken en önemli kısım, gizli anahtarınızı çok dikkatli bir şekilde korumaktır.

    PGP nasıl çalışır

    Pretty Good Privacy ağırlıklı olarak açık ve gizli anahtarlar yaratmaya ve onları kullanmaya dair küçük ayrıntılarla ilgilenir. Onunla açık/gizli anahtar eşleri yaratabilir, gizli anahtarınızı bir parolayla koruyabilir ve onu ve açık anahtarınızı kullanarak metin şifreleyebilir ve imzalayabilirsiniz. Ayrıca diğer insanların açık anahtarlarını indirmenize ve sizin açık anahtarınızı, diğer insanların onu bulabileceği depolar olan "açık anahtar sunucularına" yüklemenize imkan verir. Eposta yazılımınıza PGP-uyumlu yazılımları kurmak için rehberlerimize bakabilirsiniz.

    Eğer bu ön bakıştan alacağınız bir şey varsa, o da şudur: gizli anahtarınızı güvenli bir yerde saklayın ve uzun bir parolayla koruyun. Açık anahtarınızı sizinle iletişim kurmak ya da bir mesajın sizden geldiğini doğrulamak isteyen herkese verebilirsiniz.

    Gelişmiş PGP: The Web of Trust (Güven Ağı)

    Açık anahtar kriptografisinin çalışma biçiminde potansiyel bir açığı fark etmiş olabilirsiniz. Düşünelim ki, Barack Obama'ya ait olduğunu söyleyen bir anahtar yarattım ve dağıtmaya başladım. Eğer insanlar bana inanırsa, anahtarı kullanarak Barack'a gizli mesajlar göndermeye başlayabilir. Ya da bu anahtar ile imzalanan her şeyin Barack'ın yaptığı yeminli bir açıklama olduğunu düşünebilirler. Bu çok nadirdir, ancak gerçek hayatta gerçekleştiği görüldü, hatta bu dökümanın yazarlarından birkaçının da başına geldi—onlara yazan bazı insanlar kandırıldı! (Bu sahte anahtarları yapanlar mesajlara yolda sızıp okuyabildiler mi, yoksa güvenli bir iletişim kurmak isteyen insanların işini zorlaştırmak için mi bunu yaptılar kesin olarak bilemiyoruz.)

    Saldırganların gerçekleştirebileceği bir diğer sinsi saldırı da çevrimiçi konuşan iki kişinin arasında oturmak, tüm konuşmalarını gizlice dinlemek ve zaman zaman kendi yanlış mesajlarını konuşmaya sızdırmaktır. İnternetin mesajları birçok farklı bilgisayar ve özel şahışlar üzerinden dolaştıran tasarımı sayesinde, böyle bir saldırı oldukça mümkündür. Bu koşullar altında ("ortadaki adam saldırısı" denir), önceden sözleşmeden bir anahtar takası gerçekleştirmek oldukça riskli bir hâl alır. Barack Obama olduğunu düşündüğünüz birisi "İşte anahtarım," der ve size bir açık anahtar dosyası gönderir. Ancak birisinin o zamana kadar bekleyip tam da anahtar dosyası gelirken iletişimi bozarak onun yerine kendi anahtarını konuşmaya sızdırmadığından nasıl emin olabiliriz?

    Bir anahtarın belirli bir kişiye ait olduğunu nasıl kantılayabiliriz? Bunun bir yolu, anahtarı o kişiden direkt olarak almaktır, ancak bu, en başta yaşadığımız birilerine farkına varmadan gizli anahtar alma sorunumuzdan farksız bir durumdur. Yine de, insanlar özel buluşmalarında ya da herkese açık cryptoparty'lerde açık anahtr takası gerçekleştirirler.

    PGP'nin "web of trust" (güven ağı) adı verilen biraz daha iyi bir çözümü var. Güven ağında, eğer bir anahtarın belirli bir kişiye ait olduğuna inanıyorsam, o anahtarı imzalayabilir ve imzamla birlikte açık anahtar sunucularına yükleyebilirim. Bu anahtar sunucuları da, o anahtarı soranlara imzalanmış anahtarları gönderir.

    Basitçe anlatacak olursak, bir anahtarı ne kadar çok kişi imzalamışsa, o anahtarın iddia ettiği kişiye ait olduğuna daha çok inanırım. PGP sizin başkalarının anahtarlarını imzalamanıza ve ayrıca diğer imzacılara da güvenmenize imkan tanır; böylece eğer onlar bir anahtarı imzalarsa, yazılımınız o anahtarı otomatik olarak güvenilir sayacaktır.

    Güven ağı birçok zorluğu da beraberinde getirir ve EFF gibi organizasyonlar bu soruna daha iyi çözümler bulabilmek için araştırmalarını sürdürmektedir. Ancak şimdilik, birebir anahtar teslim etmeye bir alternatif arıyorsanız, en iyi çözüm güven ağı ve açık anahtar sunucularını kullanmak olacaktır.

    Metadata (Metaveri): PGP Ne Yapamaz

    PGP tamamen mesajlarınızın gizli, özgün ve müdahale edilmemiş olmasını sağlamakla ilgilidir. Ancak sahip olduğunuz tek gizlilik sorunu bu olmayabilir. Daha önce bahsettiğimiz gibi, mesajlarınız hakkındaki bilgiler de içeriği gibi birçok şeyi açık edebilir (Bakınız "metaveri"). Eğer ülkenizin bilinen bir muhalifi ile PGP mesajları alışverişi yapıyorsanız, mesajlarınızın kodları çözülmese bile, yalnızca onlarla iletişim kurduğunuz için bile tehlikede olabilirsiniz. Ayrıca, kimi ülkelerde şifrelenmiş mesajların kodunu çözmeyi reddettiğiniz için hapis cezası bile alabilirsiniz.

    PGP, kimlerle görüştüğünüzü ya da görüşürken PGP kullandığınızı gizlemek için hiçbir şey yapmaz. Hatta, eğer açık anahtarınız anahtar sunucularına yüklüyse ve başkalarının anahtarlarını imzalıyorsanız, aktif bir şekilde dünyaya hangi anahtarın sizin olduğunu ve kimleri tanıdığınızı ilan ediyorsunuz demektir.

    Bunları yapmak zorunda değilsiniz. PGP açık anahtarınızı sessiz tutabilir, yalnızca güvendiğiniz insanlara verebilir ve onlara asla herkese açık anahtar sunucularına yüklememelerini söyleyebilirsiniz. Anahtarınıza isminizi eklemek zorunda da değilsiniz.

    Belirli bir kişiyle iletişim kurduğunuzu gizlemek ise daha zordur. Bunu yapmanın bir yolu, her iki tarafın da anonim eposta hesapları kullanması ve bunlara yalnızca Tor kullanarak giriş yapmasıdır. Bunu yaparsanız PGP, eposta mesajlarınızı başkalarından gizli tutarak ve birbirinizin mesajlarına müdahale edilmediğinden emin olmanızı sağlayarak, faydalı olmaya devam edecektir.

    Son güncelleme: 
    09-05-2018
  • Nasıl: Mac için OTR kullanımı

    Adium, Google Hangouts, Yahoo! Messenger, Windows Live Messenger, AIM, ICQ ve XMPP gibi farklı sohbet protokollerini kullanan insanların OS X işletim sistemi üzerinde birbiriyle konuşmalarını sağlayan ücretsiz ve açık kaynak kodlu bir anlık mesajlaşma programıdır.

    OTR (Off-the-record), insanların aşina oldukları mesajlaşma araçlarını kullanarak güvenilir bir şekilde görüşme yapmalarını sağlayan bir protokoldür. Bu protokol, sadece konuşma tarihini devre dışı bırakan ve herhangi bir şifreleme ya da doğrulama sağlamayan Google'ın "Off the record" (kayıt dışı) özelliğiyle karıştırılmamalıdır.

    OTR uçtan uca şifreleme kullanır. Bu, Google Hangouts gibi servisleri kullanıyor olsanız bile, bu şirketlerin görüşmelerinizin içeriğini okuyamayacağı anlamına gelir. Ancak, bir konuşma yaşıyorsanız aslında sağlayıcısına görülebilir.

    Adium ve OTR'ı neden kullanmalıyım?

    Google Hangouts üzerinden görüşme yaptığınızda, konuşmalarınız HTTPS kullanılarak şifrelenir. Bu, konuşmalarınızın içeriğinin taşıma halindeyken başkaları tarafından görülmesinin engellendiği anlamına gelir. Ancak konuşmalarınızın içeriği, bu şifrelerin anahtarlarına sahip olan Google tan gizlenemez ve bu şirketler gerektiğinde konuşma kayıtlarınızı yetkililere verebilir veya pazarlama için bunları kullanın.

    Adium'u yükledikten sonra uygulamaya giriş yaparak birkaç hesabı aynı anda kullanabilirsiniz. Örnek vermek gerekirse, Google Hangouts ve XMPP hesaplarınızı aynı anda kullanabilirsiniz. Adium aynı zamanda bu servisleri OTR'sız kullanmanıza da olanak sağlar. OTR'ın çalışması, görüşme yapan her iki kişinin de OTR kullanmasına bağlı olmasına rağmen, görüşmek istediğiniz kişi OTR kullanmıyorsa bile bu kişiyle Adium'u kullanarak konuşabilirsiniz.

    Adium, konuştuğunuzu düşündüğünüz kişinin gerçekten konuşmak istediğiniz kişi olduğunu doğrulamak ve MITM saldırısına maruz kalmadığınızdan emin olmak için bant dışı doğrulama yapmanıza olanak sağlar. Yapacağınız her görüşme için, size ve görüştüğünüz kişiye ait olan anahtar parmak izlerini görebilme opsiyonunuz vardır. "Anahtar parmak izi", daha uzun bir açık anahtarı doğrulamak için kullanılan, "342e 2309 bd20 0912 ff10 6c63 2192 1928” şekline benzer bir karakter dizesidir. Parmak izlerinizi Twitter'ın özel mesaj bölümünden ya da eposta gibi başka bir iletişim kanalını kullanarak paylaşın ve kimsenin konuşmanıza müdahil olmadığından emin olun. Tuşları eşleşmiyor zaman, doğru kişi konuşurken emin olamaz. Uygulamada, insanlar kendi anahtarlarını kaybeder, ya da birden fazla tuşunu kullanın, böylece sık sık arkadaşlarınızla anahtarları doğrulamak zorunda şaşırmayın.

    Kısıtlamalar: Hangi durumlarda Adium ve OTR'ı kullanmamalıyım?

    Teknoloji uzmanlarının dışarıdan gelen saldırılara karşı savunmasız olması muhtemel bir programı veya teknolojiyi tanımlamak için kullandıkları bir terim vardır: saldırıya açık olan bu sistemleri, "geniş saldırı yüzeyine" sahip şeklinde tanımlarlar. Adium geniş bir saldırı yüzeyine sahiptir. Adium kompleks ve güvenlik ön planda tutularak kodlanmamış bir programdır. Programda neredeyse kesinlikle bazı yazılım hataları bulunmaktadır ve bu hataların bazıları bilgisayarlara sızmak amacıyla devletler veya büyük şirketler tarafından kullanılabilir. Hedefsiz bir şekilde herkesin internet konuşmalarını izlemeye alan bu gözetleme ağına karşı konuşmalarınızı şifreleyerek Adium kullanmanız, bu izlenmeye karşı iyi bir koruma sağlar ancak iyi kaynaklara sahip biri veya birileri tarafından (devletler gibi) izlendiğinizi düşünüyorsanız, daha güçlü önemler almayı düşünmelisiniz. (PGP ile epostalarınızı şifrelemek ve bu şekilde iletişim kurmak gibi.)

    Adium ve OTR'ı Mac'inize yüklemek

    1. Adım: Programı yükleyin

    https://adium.im/ adresini ziyaret edin. "Download Adium 1.5.9" linkine tıklayın. Dosya .dmg ya da disk imajı olarak indirilecek ve muhtemelen "Downloads" (İndirilenler) klasörünüze kaydedilecek.

    Dosyaya çift tıklayın. Şuna benzer bir pencere açılacak:

    Adium ikonunu "Applications" (Uygulamalar) klasörüne taşıyın ve programı yükleyin. Program yüklendikten sonra, "Applications" (Uygulamalar) klasörünün içinden programı bulun ve açmak için çift tıklayın.

    2. Adım: Hesap kurulumu

    İlk önce Adium'u hangi sohbet araçlarını ya da protokolleriyle kullanmak istediğinize karar vermelisiniz. Her araç için kurulum işlemi benzerdir ancak birebir aynı değildir. Kullanacağınız her bir araç ya da protokol için kullanıcı adınızı ve şifrenizi bilmelisiniz.

    Hesabınızı kurmak için ekranınızın üst kısmındaki Adium menüsüne gidin ve önce Adium'a, daha sonra da "Preferences" (Ayarlar) seçeneğine tıklayın. Bu işlem sonrasında üst kısımda farklı bir menüye sahip yeni bir pencere açılacak. "Accounts" (Hesaplar) seçeneğine tıkladıktan sonra ekranınızın alt kısmında bulunan "+" işaretine tıklayın. Şu görünüme sahip bir pencere açılacak:

    Giriş yapmak istediğiniz programı seçin. Hesabınıza giriş yapmak için ya kullanıcı adınızı ve şifrenizi girmeniz ya da Adium'un yetkilendirme aracını kullanmanız istenecek. Adium'un yönergelerini dikkatlice takip edin.

    OTR sohbetini başlatmak

    Hesap veya hesaplarınıza giriş yaptıktan sonra, OTR'ı kullanmaya başlayabilirsiniz.

    Hatırlatma: OTR üzerinden görüşme yapabilmek için, görüşmenin iki ucundaki insanın da OTR'ı destekleyen bir sohbet uygulaması kullanması gereklidir.

    1. Adım: OTR sohbeti başlatın

    İlk olarak OTR kullanan birini bulun ve Adium üzerinden bu kişinin ismine çift tıklayarak görüşme penceresini açın. Pencere açıldıktan sonra ekranın sol üst köşesinde küçük ve açık bir kilit simgesi göreceksiniz. Bu simgeye tıklayın ve "Initiate Encrypted OTR Chat" (Şifreli OTR Sohbetini Başlat) seçeneğine tıklayın.

    2. Adım: Bağlantınızı doğrulamak

    Görüşmeyi başlattıktan ve karşıdaki kişi davetinizi kabul ettikten sonra, kilit simgesinin kapandığını göreceksiniz. Bu şekilde konuşmanızın şifrelendiğinden emin olabilirsiniz (tebrikler!). Ama bir dakika, daha yapmanız gerekenler var!

    Şu an için doğrulanmamış şifreli bir görüşme başlattınız. Bu, iletişiminizin şifreli olduğu, ancak konuştuğunuz kişinin gerçekten konuşmak istediğiniz kişi olup olmadığını doğrulamadığınız anlamına gelir. Konuştuğunuz kişiyle aynı odada değilseniz ve birbirinizin ekranına bakmıyorsanız, konuştuğunuz kişinin kimliğini doğrulamak oldukça önemlidir. Daha fazla bilgi için lütfen Anahtar Doğrulaması sayfasına gözatın.

    Bir başka kullanıcının kimliğini doğrulamak için, kilit simgesine tekrar tıklayın ve "Verify" (Doğrula) seçeneğine tıklayın. Sizin ve diğer kullanıcının anahtarlarını görebileceğiniz bir pencere açılacak. Adium'un bazı versiyonları yalnızca manuel parmak izi doğrulamasını destekler. Bu, sizin ve konuştuğunuz kişinin Adium'un gösterdiği anahtarların birbiriyle eşleştiğini bir şekilde doğrulaması gerektiği anlamına gelir.

    Bunun en kolay yolu, yüz yüzeyken bu anahtarları birbirinize okumanızdır ancak bu her zaman mümkün değildir. Bu doğrulamayı yapmanın başka yolları da vardır ancak her yolun güvenilirlik düzeyi farklıdır. Örnek olarak, anahtarlarınızı birbirinize telefon üzerinden okuyabilirsiniz ya da başka bir doğrulanmış iletişim yöntemi olan PGP'yi kullanarak anahtarlarınızı birbirinize eposta olarak yollayabilirsiniz. Bazı insanlar anahtarlarını websitelerinde, Twitter hesaplarında ya da kartvizitlerinde paylaşırlar.

    En önemli şey, anahtarınızdaki her harfin ve rakamın birebir eşleşmesidir.

    3. Adım: Sohbet kaydını devre dışı bırakmak

    Konuştuğunuz kişinin kimliğini doğruladığınız ve şifreli bir görüşme başlattığınıza göre, yapacağınız son bir şey kaldı. Adium OTR'la şifrelenmiş görüşmelerinizi varsayılan olarak kayda alır ve bu görüşmeleri sabit sürücünüze kaydeder. Bu, görüşmeleriniz şifrelenmiş olsa bile, görüşmelerin şifresiz olarak bir metin dosyasına kaydedildiği anlamına gelir.

    Bu kaydı kapatmak için, ekranınızın üst kısmındaki Adium menüsüne, daha sonra da "Preferences" (Ayarlar) seçeneğine tıklayın. Açılan yeni pencereden, "General" (Genel) seçeneğine tıklayın. Sonrasında "Log messages" (Mesajları kaydet) ve "Log OTR-secured chats" (OTR sohbetlerini kaydet) ayarlarını devre dışı bırakın. Sohbet günlüğünü devre dışı bırakmış olsa bile, sohbet olduğunuz kişinin üzerinde hiçbir kontrole sahip. O senin konuşma ekran görüntülerini alarak olabilir.

    Aynı zamanda, Adium yeni bir mesaj geldiğinde size bir bildirim gösterir ve bu bildirimler OS X işletim sisteminin Bildirim Merkezi tarafından kayıt altına alınabilir. Adium görüşmelerinize dair herhangi bir iz bırakmıyor olsa bile, sizin veya konuştuğunuz kişinin kullandığı bilgisayardaki OS X versiyonu bu görüşmelerin bir bölümünü kayıt altına alabilir. Bunu engellemek için bildirimleri devre dışı bırakın.

    Bunu yapmak için, "Preferences" (Ayarlar) penceresinden "Events" (Etkinlikler) seçeneğine tıklayın ve "Display a notification" (Bildirim göster) ismindeki girdiyi bulmaya çalışın. Girdileri genişletmek için gri renkteki üçgene tıklayın ve yeni açılan sıradan "Display a notification" (Bir bildirim göster) seçeneğine tıklayın. Daha sonra bu satırı kapatmak için sol alt kısımda bulunan eksi ("-") simgesine tıklayın. Bütün bu işlemlerden sonra halen bilgisayarınızda kalabilecek kayıtlardan endişeliyseniz, bilgilerinizin başka kişiler tarafından şifreniz olmadan okunmasını engelleyen "Full-disk encryption" (Tam disk şifreleme) özelliğini kullanın.

    Son güncelleme: 
    19-01-2017
Next:
JavaScript license information