Proton Authenticator, aygıtınızda zaman tabanlı, tek kullanımlık parola (TOTP) kodları oluşturarak çevrim içi hizmetlere ekstra bir güvenlik katmanıyla erişmenizi sağlayan açık kaynaklı bir iki adımlı kimlik doğrulama (2FA) kimlik doğrulama uygulamasıdır. Proton ekosisteminin geri kalanını güvence altına alan aynı iyi test edilmiş şifrelemeyi kullanır. Proton Authenticator, gizliliğinizi korurken ve verileriniz üzerinde size tam mülkiyet verirken hemen hemen her platformda kullanılabilir olacak şekilde sıfırdan tasarlanmış olması bakımından benzersizdir.

Diğer kimlik doğrulama uygulamalarının aksine Proton Authenticator, aygıt senkronizasyonunu etkinleştirdiğinizde bile verilerinizi uçtan uca şifreleme ile güvence altına alır.

Bu, Proton Authenticator’ın, Proton’un kendisi de dahil olmak üzere herhangi birinin hangi çevrim içi hizmetlerde hesaplarınızın olduğunu bilmesini engellediği anlamına gelir. Bu bilgi, tıpkı e-postalarınız veya tarama geçmişiniz gibi, hakkınızda çok şey ortaya çıkarabilir ve bunu korumak gizliliğinizi sürdürmek için çok önemlidir.

Proton Authenticator’ın uçtan uca şifrelemesi, anahtar oluşturma ve veri şifreleme dahil tüm kriptografik işlemlerin aygıtınızda yerel olarak gerçekleştirilmesini garanti eder. Bu, şifrelenmemiş verilerinize Proton tarafından erişilemeyeceği veya herhangi bir üçüncü tarafla paylaşılamayacağı anlamına gelir. Proton sunucuları, Proton Account parolanız da dahil olmak üzere şifrelenmemiş verilerinize asla erişemez.

Şifreleme modeli

Proton Authenticator, tüm kullanıcı verileri için maksimum güvenlik ve gizlilik sağlamak adına kapsamlı bir yaklaşım benimser. Tüm kriptografik işlemler aygıtınızda yerel olarak gerçekleşir ve sunucuya iletilen tüm veriler her zaman şifrelenir. Proton, kullanıcı verilerinin şifresini çözmek için gereken düz metin anahtarlara asla erişemez, bu da üçüncü taraflarca talep edilse bile depolanan verilerin şifresini çözmemizi imkansız hale getirir.

Proton Authenticator, Proton Mail’de kimlik doğrulama için kullandığımız aynı gelişmiş şifrelemeyi kullanır. Bu, ortadaki adam (MITM) saldırılarına karşı daha güçlü güvenlik garantileri sunan Güvenli Uzak Parola (SRP) protokolünün güçlendirilmiş bir sürümünün kullanılmasını içerir. Uygulamamız, Proton ile bir kullanıcı arasındaki mesajları fark edilemeyecek bir şekilde keyfi olarak okuyabilen, değiştirebilen, geciktirebilen, yok edebilen, tekrarlayabilen veya uydurabilen bir saldırganın bile, oturum açma girişimi başına yalnızca tek bir parola tahmini kontrol etmekle sınırlı olduğu anlamına gelir; bu da doğrudan oturum açmaya çalışmanın eşdeğeridir. Bu şekilde, Proton ele geçirilse ve kötü niyetli davransa bile, parolaya eşdeğer bilgiler asla açığa çıkmaz.

Proton’un kimlik doğrulama şifrelemesi hakkında daha fazla bilgi edinin (İngilizce)

Veri şifreleme

Proton Authenticator, bir Proton Account hesabınız olmasa bile 2FA kodlarınızı güvenli bir şekilde saklamanıza olanak tanır. Bu, ilk şifreleme işleminin tamamen yerel aygıtınızda yapılması gerektiği anlamına gelir. Ardından, kodlarınızı aygıtlar arasında senkronize etmek için Proton Account hesabınızı kullanmaya karar verirseniz, senkronizasyonu gerçekleştirmek için Proton sunucularında saklanan kriptografik anahtarları kullanabiliriz.

Proton şifrelemesi, Proton sunucusunun kimlik doğrulama uygulamasının kullanıcının verilerini şifrelemek için kullandığı kök anahtarın şifrelenmiş sürümünü sağlamasıyla başlar. Her Proton kullanıcısının asimetrik bir Kullanıcı Anahtarı vardır ve Proton bu Kullanıcı Anahtarını aygıtınızda şu şekilde şifreler:

  • Tek bir hesap parolası kullanan hesaplar: Proton, Kullanıcı Anahtarını hesap parolasının ve hesap çeşnisinin (salt) bcrypt karması ile şifreler.
  • Çoklu hesap parolası özelliğimizi kullanan hesaplar: Proton, Kullanıcı Anahtarını anahtar parolasının ve hesap çeşnisinin (salt) bcrypt karması ile şifreler.

Proton Authenticator, parolanızı kaba kuvvet saldırılarına karşı ekstra bir koruma katmanı olarak hashlemek için bcrypt ve bir hesap çeşnisi (salt) kullanır. Kötü niyetli bir aktör Proton veritabanına erişim sağlasa bile, hesap anahtarlarınız kaba kuvvet saldırılarına karşı güvende olacaktır.

Senkronizasyonu etkinleştirdiğinizde, Proton Authenticator 32 baytlık rastgele bir Kimlik Doğrulayıcı Anahtarı oluşturur. Bu anahtar Kullanıcı Anahtarınızla şifrelenir ve imzalanır, böylece şifresini yalnızca siz çözebilirsiniz — hiç kimse (Proton bile) yeni bir Kimlik Doğrulayıcı Anahtarı okuyamaz veya oluşturamaz. Kimlik Doğrulayıcı Anahtarına erişiminiz olduğunda, Proton Authenticator’daki tüm girişler 256-bit AES-GCM kullanılarak şifrelenir.

Proton Authenticator bir Proton Account hesabı gerektirmediğinden, verileriniz yalnızca aygıtınızda mevcut olduğunda bunları güvenli bir şekilde depolayan ayrı bir şifreleme şemasına da ihtiyacımız vardır. Sonuçta, bunu uygulamanın en kolay yolu Proton Account hesabını ayrı bir anahtar sağlayıcısı olarak ele almaktır. Sonuçta, şöyle görünür:

Proton Account olmadan Proton Authenticator şifrelemesinin diyagramı

Aygıtınızdaki yerel anahtar depolama alanı için, her sistemin güvenli anahtar depolama alanı sağlayıcılarına güveniyoruz:

  • Android: Anahtarı güvenli bir şekilde Android Keystore(yeni pencere)‘da saklarız, bu daha sonra uygulamanın korumalı dosya sisteminde sakladığımız bir Yerel Rastgele Anahtarı şifrelemek için kullanılır. Bu anahtar, aygıtınızdaki tüm Proton Authenticator girişlerini simetrik olarak şifrelemek için kullanılır.
  • iOS/iPadOS/macOS: Bir Yerel Rastgele Anahtar oluşturur ve bunu Keychain hizmetinde(yeni pencere) saklarız. Bu anahtar, aygıtınızdaki tüm Proton Authenticator girişlerini simetrik olarak şifrelemek için kullanılır.
  • Windows: Bir Yerel Rastgele Anahtar oluşturur ve bunu Windows Credential Manager(yeni pencere)‘da saklarız. Bu anahtar, aygıtınızdaki tüm Proton Authenticator girişlerini simetrik olarak şifrelemek için kullanılır. WCM bağlantısı kullanılamıyorsa, kullanıcının Yerel Rastgele Anahtarını bir parola ile şifrelemesine izin veririz.
  • Linux: Bir Yerel Rastgele Anahtar oluşturur ve bunu mevcut DBUS Secret Service’te saklarız. Bu anahtar, aygıtınızdaki tüm Proton Authenticator girişlerini simetrik olarak şifrelemek için kullanılır. Hiçbir DBUS gizli hizmeti yapılandırılmamışsa, kullanıcının Yerel Rastgele Anahtarını bir parola ile şifrelemesine izin veririz.

Yedek şifreleme

Proton Authenticator’ın ana güçlü yönlerinden biri, verilerinizi her zaman kontrol etmenizdir. Buna, kodlarınızı yerel aygıtınıza periyodik olarak yedeklemenize ve bu hassas verileri şifreleyen bir parola belirlemenize izin vermek dahildir.

Bu güvenli yerel yedeği uygulamak için, KDF (Anahtar Türetme İşlevi) olarak Argon2 kullanarak güvenli bir şifreleme anahtarı türetmek amacıyla sağladığınız parolayı kullanırız. KDF, kullanıcı tarafından girilen parolalar gibi gizli girdilerden kriptografik anahtarlar oluşturmak için kullanılır ve asıl amacı, saldırganların parolaları kırmasını zorlaştırarak ve daha fazla zaman alıcı hale getirerek güvenliği artırmaktır. Parolanızdan oluşturulan bu şifreleme anahtarını kullanarak, yedek sızdırılsa bile verilerinizin güvenli bir şekilde şifrelenmiş kalmasını sağlamak için tüm girişlerinizi seri hale getirir ve şifreleriz. Ve iyi bilinen ve açık teknolojileri kullanarak, verilerinizin şifresini Proton Authenticator kullanmadan çözebilirsiniz; bu da başka bir kimlik doğrulama uygulamasına geçmeye karar verseniz bile kontrolün sizde kalmasını sağlar.

Şeffaflık yoluyla güvenlik

Tüm Proton hizmetleri gibi, Proton Authenticator da açık kaynaklıdır. Güvenlik modelimizi doğrulamak için herkes kaynak kodumuza danışabilir. Diğer hizmetlerimizde olduğu gibi, Proton Authenticator da düzenli bağımsız güvenlik denetimlerinden geçecektir ve bu denetim raporlarını hazır olur olmaz kamuoyuyla paylaşacağız.

Son olarak, ilgili güvenlik araştırmacıları için Proton Authenticator, Proton’un yazılımındaki hataların keşfi için 100.000$’a kadar ödül sunan Proton’un Hata Bulma Ödül programına uygundur.