Anonim Telegram: sanal iletişim güvenliği hakkındaki gerçekler
2016-10-18 19:39:07
In:
Günümüzde mutlak iletişim anonimliğini sağlamak mümkün mü? Snowden'ın ifşaatlarından sonra bu konu daha da güncel hale geldi. Pavel Durov'un kardeşi Nikolai ile birlikte anonim Telegram'ı yaratırken göz önünde bulundurduğu güvenlik konseptidir. Geliştiriciler tarafından yapılan açıklamaya göre, söz konusu mesajlaşma programı hem sıradan bilgisayar korsanlarına hem de devlet istihbarat kurumlarının eylemlerine karşı güvenlik sağlayabiliyor. Ama bu gerçek bir durum mu? Bunu aşağıda anlayalım.
Temel bilgi güvenliği parametreleri
Uygulama yenilikçi bir gelişmeye dayanmaktadır - çeşitli şifreleme protokollerinin kullanımını içeren MTProto protokolüdür. Veri güvenliği için aşağıdaki algoritmalar kullanılır:
DH-2048, RSA-2048 (yetkilendirme ve kimlik doğrulama için);
AES (iletilen mesajlar için);
SHA-1, MD5 (kriptografik hash algoritmaları).
Mesajların iletilmesi sırasında şifreleme, istemci ve sunucu tarafından bilinen bir anahtarla AES algoritması aracılığıyla gerçekleştirilir. Aynı zamanda, mesajın sunucu tarafından ele geçirilmesine karşı koruma, yalnızca katılımcıların yalnızca kendileri tarafından bilinen ortak bir anahtara sahip olduğu Gizli Sohbetler adı verilen özel bir anonim Telegram modunda sağlanır. Standart bir modun aksine, Uçtan Uca şifreleme, mesajın şifresini çözme olasılığını ortadan kaldırır ve konuşma geçmişi yalnızca kullanıcıların cihazlarında saklanır.
Kusur arama yarışmalarının düzenlenmesi
Bu anonim mesajlaşma programı piyasaya girdiğinden beri (Ağustos 2013), geliştiricileri ve özellikle Pavel Durov, güvenlik açıklarını ortaya çıkarmak için kriptografi uzmanları arasında yarışmalar düzenlemeye başladı.
Türünün ilk örneği olan bu proje 2013 yılının sonlarında gerçekleştirilmiştir. Yarışmacıların görevi, sunucu ve uygulama arasındaki şifreli veri alışverişini kullanarak Pavel Durov ve kardeşinin gizli bir sohbetteki konuşmalarının şifresini çözmekten ibaretti. Yarışmanın başlamasından sadece birkaç gün sonra katılımcılardan biri bir sistem açığı bulmayı başardı. Mesele, bir kullanıcının doğrulama yapmadan sunucudan bir anahtar için parametreleri almış olmasıdır. Bu hata kriptografik bütünlüğü azaltmış ve gizli bir MITM saldırısının yürütülmesine izin vermiştir. Bu kişi Pavel ve Nikolai arasındaki konuşmanın şifresini çözememiş olsa da, kendisine ücretin yarısı olan 100 bin dolar ödenmiştir.
Geliştiricilerin sosyalliğine ve ortak çabalarla güvenlik açıklarını ortaya çıkarmaya çalışmalarına rağmen, pek çok uzman bu tür yarışmalara şüpheyle yaklaşmaktadır. Kazananların olmaması mutlak güvenliğin garantisi değildir, zira koşullar geliştirici tarafından belirlenir ancak analizler genellikle rastgele kişiler tarafından gerçekleştirilir. Ayrıca, 200 bin dolar kriptografi uzmanları için küçük bir meblağdır, bu nedenle en iyi temsilcilerin bu tür yarışmalara katılması pek olası değildir.
Anonim Telegram tam iletişim güvenliği sağlamaya izin veriyor mu?
Söz konusu uygulamaya karşı çıkanların temel argümanı, bir kullanıcıyı telefon numarasına bağlamaktan ibarettir. Söz konusu soru, sunucunun aşağıdaki bilgiler de dahil olmak üzere bir kişi hakkında neredeyse her şeyi söyleyebilecek telefon verilerini içermesi halinde bu mesajlaşma programının anonim olarak kabul edilip edilemeyeceğidir:
tam ad;
tam coğrafi koordinatlar;
iletişim bilgileri;
kişisel veriler, vb.
Kimlik doğrulama, bir kerelik giriş doğrulama kodunun belirtildiği bir kısa mesaj aracılığıyla gerçekleştirilir. Şifrenin olmaması daha da endişe vericidir. Başka bir deyişle, kullanıcının oturum açmak için mesajdan bir kod girmesi yeterlidir. Hizmet çok sayıda karmaşık şifreleme algoritması ile karakterize edilir ancak temel bir parolası yoktur. Dolayısıyla, kısa mesaj dinleme yoluyla müşterinin hesabında oturum açmak mümkündür (ki bu istihbarat teşkilatları için çok zor bir mesele değildir).
Elbette, korumalı ABD sunucu platformlarında bilgi depolanması kullanıcılara bir miktar garanti sağlar. Ancak, bir müşterinin kişisel bilgilerinin üçüncü bir tarafın erişimine açık hale gelebileceği gerçeği, mutlak anonimlik fikriyle çelişmektedir. Dahası, ABD'de yakın zamanda yaşanan olaylar (başkan adaylarından Hillary Clinton'a ait bir e-posta hesabının hack saldırısına uğraması) modern bilgisayar güvenlik sistemlerinin kırılganlığının bir göstergesidir.
Sonuç
Şüphesiz, Telegram, gizli sohbet modunda iletişim kurarken yüksek düzeyde veri güvenliği elde etmeyi sağlayan karmaşık şifreleme algoritmalarına sahiptir. Aynı zamanda, telefon numarası bağlama, mutlak güvenlik hakkında konuşmaya ve bilgisayar korsanlığı saldırısının bir sonucu olarak bilgilerin üçüncü şahıslar tarafından erişilemeyeceğini doğrulamaya izin vermez.
Özet olarak: verilen uygulamayı kullanmaya değer mi? Özel iletişim amacıyla hızlı ve kullanışlı bir hizmet almak isteyen kullanıcılar için mükemmel bir varyanttır. Ancak, mutlak konuşma ve kişisel veri güvenliğinden emin olmak isteyen paranoyak zihin yapısına sahip insanlar söz konusu olduğunda, Telegram bunu garanti edemez. Bu tür garantiler sağlayan başka herhangi bir habercinin varlığının bugün şüpheli kalması başka bir konudur.
Mesajların iletilmesi sırasında şifreleme, istemci ve sunucu tarafından bilinen bir anahtarla AES algoritması aracılığıyla gerçekleştirilir. Aynı zamanda, mesajın sunucu tarafından ele geçirilmesine karşı koruma, yalnızca katılımcıların yalnızca kendileri tarafından bilinen ortak bir anahtara sahip olduğu Gizli Sohbetler adı verilen özel bir anonim Telegram modunda sağlanır. Standart bir modun aksine, Uçtan Uca şifreleme, mesajın şifresini çözme olasılığını ortadan kaldırır ve konuşma geçmişi yalnızca kullanıcıların cihazlarında saklanır.
Geliştiricilerin sosyalliğine ve ortak çabalarla güvenlik açıklarını ortaya çıkarmaya çalışmalarına rağmen, pek çok uzman bu tür yarışmalara şüpheyle yaklaşmaktadır. Kazananların olmaması mutlak güvenliğin garantisi değildir, zira koşullar geliştirici tarafından belirlenir ancak analizler genellikle rastgele kişiler tarafından gerçekleştirilir. Ayrıca, 200 bin dolar kriptografi uzmanları için küçük bir meblağdır, bu nedenle en iyi temsilcilerin bu tür yarışmalara katılması pek olası değildir.
Kimlik doğrulama, bir kerelik giriş doğrulama kodunun belirtildiği bir kısa mesaj aracılığıyla gerçekleştirilir. Şifrenin olmaması daha da endişe vericidir. Başka bir deyişle, kullanıcının oturum açmak için mesajdan bir kod girmesi yeterlidir. Hizmet çok sayıda karmaşık şifreleme algoritması ile karakterize edilir ancak temel bir parolası yoktur. Dolayısıyla, kısa mesaj dinleme yoluyla müşterinin hesabında oturum açmak mümkündür (ki bu istihbarat teşkilatları için çok zor bir mesele değildir).
Elbette, korumalı ABD sunucu platformlarında bilgi depolanması kullanıcılara bir miktar garanti sağlar. Ancak, bir müşterinin kişisel bilgilerinin üçüncü bir tarafın erişimine açık hale gelebileceği gerçeği, mutlak anonimlik fikriyle çelişmektedir. Dahası, ABD'de yakın zamanda yaşanan olaylar (başkan adaylarından Hillary Clinton'a ait bir e-posta hesabının hack saldırısına uğraması) modern bilgisayar güvenlik sistemlerinin kırılganlığının bir göstergesidir.
Özet olarak: verilen uygulamayı kullanmaya değer mi? Özel iletişim amacıyla hızlı ve kullanışlı bir hizmet almak isteyen kullanıcılar için mükemmel bir varyanttır. Ancak, mutlak konuşma ve kişisel veri güvenliğinden emin olmak isteyen paranoyak zihin yapısına sahip insanlar söz konusu olduğunda, Telegram bunu garanti edemez. Bu tür garantiler sağlayan başka herhangi bir habercinin varlığının bugün şüpheli kalması başka bir konudur.
