Güvenlik ve gizlilik söz konusu olduğunda Signal genellikle şifrelenmiş mesajlaşma uygulamalarında altın standart olarak kabul edilir. Ancak bu itibar ne ölçüde haklıdır? Bu makalede, Signal ve WhatsApp, Facebook Messenger, RCS uçtan uca şifreleme için Google Mesajlar ve Özel Sohbetler özelliği için Skype (artık durduruldu) gibi diğer benzer uygulamaları güvence altına alan temel kriptografik protokol olan Signal Protokolü de dahil olmak üzere Signal uygulamasının ne kadar güvenli olduğunu araştırıyoruz.

Signal uygulaması nedir?

Signal ücretsiz, uçtan uca şifrelenmiş (E2EE) bir mesajlaşma uygulamasıdır. E2EE, iletilerin göndericinin aygıtında şifrelendiği ve iletim veya depolama sırasında Signal tarafından değil, yalnızca amaçlanan alıcı tarafından şifresinin çözülebileceği anlamına gelir. Bu nedenle WhatsApp ve Facebook Messenger gibi popüler ancak tescilli ve daha az gizlilik dostu uygulamalara (bunu aşağıda daha ayrıntılı inceleyeceğiz) karşı ikna edici bir alternatiftir.

Signal’in sahibi kim?

Hem Signal hem de Signal Protokolü açık kaynaklıdır, bu da herkesin kodlarını doğrulayabileceği, kullanabileceği ve değiştirebileceği anlamına gelir. Bunlar, ünlü kriptograf ve gizlilik aktivisti Moxie Marlinspike ve 2018’de Facebook’tan ayrıldıktan sonra vakfı başlatmak için 50 milyon dolar bağışlayan WhatsApp kurucu ortağı Brian Acton tarafından kurulan ABD merkezli 501(c)(3) kâr amacı gütmeyen kuruluş(yeni pencere) Signal Foundation tarafından geliştirilmektedir.

Signal nasıl para kazanıyor?

“İnsanların korku veya engelleme olmadan özgürce iletişim kurmasını sağlayan gizlilik araçları” yaratma hedefiyle yola çıkan Signal Foundation’ın kâr amacı gütmeyen bağımsızlığı, tıpkı Proton Foundation‘ın Proton için yaptığı gibi, tipik Silikon Vadisi fonlama modelini reddetmesine ve gizliliği hissedar kârlarına tercih etmesine olanak tanır.

Daha da önemlisi Signal Foundation’ın “satacak verisi, satacak reklamvereni ve böyle bir satıştan yararlanacak hissedarı yoktur”. Signal ve Signal Protokolü’nün geliştirilmesini desteklemek için şunlardan fon alır:

  • Bireysel bağışlar (birincil kaynak)
  • Signal Sustainer(yeni pencere) abonelikleri (bireysel bağışları düzenli hale getiren büyüyen bir gelir akışı)
  • Hayırsever hibeleri
  • Brian Acton’ın bağışı (Vakıf için finansal bir dengeleyici olmaya devam ediyor)

Signal güvenli mi?

Signal üzerindeki tüm iletiler, üç ana bileşenden oluşturulmuş modern bir asenkron uçtan uca şifrelenmiş mesajlaşma protokolü olan Signal Protokolü kullanılarak güvence altına alınır:

1. X3DH (Extended Triple Diffie–Hellman)

Bir kişiye ilk iletinizi göndermeden önce uygulamanız, Signal sunucusundan o kişinin herkese açık anahtarlarını alır. Bunları kullanarak, yalnızca sizin aygıtınızın ve karşınızdaki kişinin aygıtının hesaplayabileceği paylaşılan bir sır oluşturur.

Sunucu iletilerin iletilmesine yardımcı olsa da sır hakkında hiçbir şey öğrenemez. Bunu, birinin kapısına sadece o kişinin benzersiz anahtarının açabileceği kilitli bir paket bırakmak gibi düşünün.

Signal, orijinal X3DH anahtar anlaşması protokolünü post-kuantum dirençli hale getirmek için yükseltti; şirket bu tasarıma PQXDH(yeni pencere) adını veriyor ve güvenlik uzmanları tarafından büyük övgü topladı(yeni pencere).

Asimetrik anahtar kriptografisi hakkında ayrıntılı bilgi alın

2. Double Ratchet

Bu algoritma mesajlaşma anahtarlarınızın sürekli, otomatik ve görünmez bir şekilde değişmesini sağlar. Bir yazışma başladığında her ileti, asla yeniden kullanılmayan yeni anahtarlarla şifrelenir. Bu iletme gizliliği(yeni pencere) sağlar, böylece bir ileti tehlikeye girse bile diğerleri güvende kalır.

3. Sesame

Bu algoritma, asenkron ve çok aygıtlı bir ortamda ileti şifreleme oturumlarını yönetir. Her iletinin benzersiz, tek seferlik bir anahtarı olduğu için Signal şunları işleyebilir:

  • Geç gelen iletiler
  • Sırasız gelen iletiler
  • Geçici bağlantı kaybı

Bunu yapmak için Sesame, kullanılmayan anahtarlardan oluşan küçük bir “zula”yı aygıtınızda yerel olarak saklar, böylece gecikmiş iletilerin şifresini güvenli bir şekilde çözebilir. Ayrıca çoklu aygıt desteğini (iletiler birden çok kez şifrelenir; her aygıt için bir kez) ve grup mesajlaşmasını (her kişi iletinizin kendine özgü şifrelenmiş bir kopyasını alır) yönetir.

Her bir ileti benzersiz şekilde şifrelendiğinden, Signal sunucusu saldırıya uğrasa veya aygıtınızı kaybetseniz bile yazışmalarınız güvende kalır.

Verilerin kendisi, bir iletinin gerçekten doğru kişiden geldiğini kanıtlamak için d25519 sayısal imzalı AES‑GCM veya ChaCha20‑Poly1305 gibi kanıtlanmış kriptografik ilkeller kullanılarak güvence altına alınır.

Signal uygulamasında, diğer güvenilir kanallardaki Güvenlik Numaralarını karşılaştırarak yeni kişilerin kimliğini doğrulayabilirsiniz. Ayrıca, bir bilgisayar korsanının Signal hesabınızı başka bir aygıtta yeniden kaydettirdiği SIM takas saldırılarını önlemek için bir kayıt kilidi PIN’i (Signal PIN) ayarlayabilirsiniz.

Signal Protokolü ile ilgili güvenlik endişeleri

Signal Protokolü genel olarak güvenli ve emniyetli kabul edilse de bilmeniz gereken bazı endişeler vardır.

0 tıklamalı deanonymization (kimliksizleştirmenin geri alınması) saldırısı

2025’in başlarında, bir güvenlik araştırmacısı (“Daniel” adını kullanan bir lise öğrencisi), içerik dağıtım ağlarının (CDN’ler) -özellikle Cloudflare- görüntüleri ön belleğe alma şeklini kötüye kullanarak Signal ve diğer uygulamaların (Discord gibi) kullanıcılarının coğrafi konumunu 250 millik bir yarıçap içinde belirleyebilen bir kavram kanıtı 0 tıklamalı deanonymization saldırısı(yeni pencere) yayınladı.

Cloudflare bir yama yayınlayarak yanıt verdi, ancak “Daniel” bunun sorunu temelden çözmediğini iddia ediyor. Signal ise sorunu CDN’lerin çalışma şekliyle ilgili ve dolayısıyla kendi kapsamı dışında görüyor. Signal kullanırken gerçek anonimlik gerekiyorsa, açık(yeni pencere) kaynaklı bir VPN(yeni pencere) veya Tor(yeni pencere) kullanılması öneriliyor.

Tutarsız denetim

Signal Protokolü çok sayıda bağımsız üçüncü taraf denetiminden(yeni pencere) geçmiştir. Sorunlar bulunmuş ancak o zamandan beri düzeltilmiştir. Protokolün kendisi (sadece belirli uygulamalar değil), kriptografik olarak güçlü kabul edilmeye devam etmektedir ve yıllar içindeki resmi analizler(yeni pencere); iletme gizliliği, E2EE veya Double Ratchet algoritması gibi temel tasarımında büyük bir kusur bulmamıştır.

Ancak mevcut tüm sürümler ve uygulama platformları, sunucu ve depolama kodu, kullanıcı arayüzü ve güncelleme mekanizması dahil olmak üzere tüm uygulama ekosistemini kapsayan tamamen güncel bir denetim yoktur.

Signal güvenli mi?

Signal Protokolü’nü kullanan herhangi bir uygulama güvenlidir; bu, yetkisiz kullanıcıların (şirketin kendisi dahil) kısa mesajlarınızın, sesli veya görüntülü aramalarınızın içeriğine erişemeyeceği anlamına gelir.

Ancak Signal Protokolü üst verilerinizi güvence altına almaz, bu nedenle uygulama geliştiricileri kiminle konuştuğunuzu, onlarla ne zaman konuştuğunuzu, ne sıklıkla ve ne kadar süreyle konuştuğunuzu görebilir. Yani Signal Protokolü tek başına gizlilik sağlamaz.

Signal’i (Signal Foundation tarafından geliştirilen uygulama) Signal Protokolü’nü kullanan diğer birçok uygulamadan ayıran şey, üst verilerinizi toplamamasıdır. Signal yalnızca “bir kullanıcının Signal’e kaydolduğu tarih ve saati ve bir kullanıcının Signal hizmetine son bağlandığı tarihi” saklar. Bu iddia mahkemede kanıtlanmıştır(yeni pencere).

Signal gizlilik endişeleri

Yine, gizliliğinize duyduğu saygıdan dolayı geniş çapta övülse de bazı (oldukça küçük) endişeler vardır.

Telefon numarası

Kişileri eşleştirmek için geçerli bir telefon numarasıyla kaydolmanız gerekir. Ancak 2024’ten beri Signal, telefon numaranızı başkalarından gizlemenize (grup sohbetlerinde bile) ve başkalarının sizi numaranızla bulmasını engellemenize olanak tanıyan kullanıcı adlarını kullanıma sundu. Kişiler yalnızca yerel olarak depolanır ve Signal Foundation tarafından erişilemez. Bu kurulum ayrıca Signal kullanan tanıdığınız diğer kişileri bulmayı nispeten kolaylaştırır.

SGX’e güvenmek

Signal, kişi listenizi şirkete ifşa etmeden veya merkezi bir telefon numarası veritabanına güvenmeden, kişilerinizdeki hangi kişilerin uygulamayı kullandığını görmenizi sağlar. Bunu, güvenli kişi keşfini sağlayan ve Signal’in kullanıcıların adres defterlerine erişmesini veya bunları depolamasını engelleyen Intel Software Guard Extensions (SGX) enclaves (yalıtılmış bölgeler) kullanarak yapar.

Ancak SGX, kişi keşfi sırasında hangi telefon numaralarının kontrol edildiğini ve kişi listenizdeki başka kimlerin Signal kullandığını ortaya çıkarabilecek bir dizi tehdide(yeni pencere) (özellikle yan kanal saldırılarına) karşı (yeni pencere)savunmasızdır. Bu güvenlik açıkları, iletilerinizin veya aramalarınızın uçtan uca şifrelenmiş içeriği için herhangi bir tehlike oluşturmaz.

Signal SGX’in ideal olmadığını kabul ediyor(yeni pencere) ancak alternatif iletişim sistemlerinin donanım hızlandırması olmadan küresel ölçekte şu anda çok yavaş olduğunu söylüyor.

AWS’ye güvenmek

Signal, SGX enclaves dahil altyapısını barındırmak için öncelikle Amazon Web Services (AWS) kullanır ve bu da ABD hükümetinden ve diğer ABD kolluk kuvvetlerinden gelen yasal taleplere tabidir. Bunlar teorik olarak ayrıcalıklı erişimlerini SGX yalıtımına saldırmak veya atlamak için kullanabilirler.

İletildi bilgileri

Ekim 2025 tarihli bir akademik makale(yeni pencere), iletildi bilgilerinin (bir iletinin iletildiğini doğrulayan iletiler) WhatsApp, Threema ve Signal dahil olmak üzere bir dizi anlık mesajlaşma uygulamasında üst verileri (ileti içeriğini değil) açığa çıkarmak için kötüye kullanılabileceğini gösterdi.

Saldırganlar, alıcıyı bilgilendirmeden sessiz iletildi bilgilerini tetikleyen ileti düzenlemeleri veya tepkiler gibi özel olarak hazırlanmış, genellikle görünmez etkileşimler gönderebilir. Bir saldırgan bu alındıların zamanlamasını ve modelini gözlemleyerek bir kullanıcının çevrim içi, aktif, uykuda veya aygıtlar arasında geçiş yapıp yapmadığını çıkarabilir ve potansiyel olarak bir kişinin o mesajlaşma hizmetine erişmek için kullandığı aygıtların sayısını ve türünü parmak iziyle belirleyebilir.

Bu “yan kanal” saldırıları; gizli izleme, davranışsal profilleme ve pil veya veri tüketimi saldırılarına, genellikle size herhangi bir uyarı işareti vermeden olanak tanır. Ancak bunlar aynı zamanda saldırganın telefon numaranızı bilmesine de dayanır ve bu nedenle Signal’de telefon numaranızı gizleyerek ve bunun yerine bir kullanıcı adı kullanarak en azından kısmen hafifletilebilir.

Neden Signal’e geçmelisiniz?

Bu küçük kusurlara rağmen Signal, güvenlik uzmanları arasında, mesajlaşma uygulaması alanındaki ticari mülkiyetli “büyük oyuncularla” başa baş gidebilen ve onlara gizlilik dostu bir alternatif sunabilen en güvenli mesajlaşma uygulaması olarak kabul edilmeye devam ediyor.

Signal'i diğer mesajlaşma platformlarıyla karşılaştıran çizelge

Signal ve Kısa mesaj

Kısa Mesaj Servisi (SMS), güvenlik ve gizliliğin modern iletişimde temel tasarım endişeleri olmasından çok önce geliştirilmiştir. Sonuç olarak Kısa mesaj iletileri; mobil servis sağlayıcınız, hükümetiniz ve suçlu bilgisayar korsanları tarafından kolayca okunabilen açık bir kitaptır.

Signal’in aksine, Kısa mesaj iletileri hiçbir şekilde şifrelenmez, bu nedenle mobil servis sağlayıcınız gönderdiğiniz ve aldığınız her şeyi okuyabilir. Bir veri ele geçirilme durumunda, bu bilgiler kamuya açık hale gelebilir. Ayrıca, mobil operatörler bu bilgileri belirli durumlarda üçüncü taraflara verebilir. Örneğin Amerika Birleşik Devletleri’nde Elektronik İletişim Gizliliği Yasası(yeni pencere), polisin 180 günden eski Kısa mesaj iletilerine serbestçe erişmesine izin verir; daha yeni iletilere erişim bir arama emri gerektirir.

Kısa mesaj iletileri ayrıca, tüm Kısa mesaj ağını desteklemeye devam eden 1970’lere dayanan eski teknolojilerin genişleyen yığını olan SS7 aracılığıyla ortadaki adam saldırılarına(yeni pencere) karşı oldukça savunmasızdır. Bu zayıflıklar hem devlet aktörleri hem de suçlu bilgisayar korsanları tarafından istismar edilmiştir ve bu da Kısa mesajı güvenli iletişim için en az güvenli seçenek haline getirmektedir.

Neden Kısa mesaj kullanmayı bırakmanız gerektiği hakkında ayrıntılı bilgi alın

Signal ve WhatsApp

Tüm WhatsApp iletileri Signal Protokolü kullanılarak güvence altına alınır, bu nedenle hiç kimse içeriklerine erişemez. Ancak yukarıda belirtildiği gibi Signal Protokolü üst verilerinizi korumaz.

WhatsApp’ın Meta’ya (Facebook’un da sahibi) ait olduğu ve tüm iş modelinin sizi daha kişiselleştirilmiş reklamlarla hedefleyebilmek için hakkınızda mümkün olduğunca çok şey öğrenmek olduğu göz önüne alındığında, Meta’nın WhatsApp üst verilerine erişimini kötüye kullanacağını varsaymak her zaman güvenliydi. Ve Signal gibi Meta da Amerika Birleşik Devletleri merkezlidir ve bu nedenle genellikle bir arama emri veya bildirim olmaksızın kullanıcı verileri için ABD kolluk kuvvetlerinin taleplerine tabidir.

WhatsApp’ın eski güvenlik şefi tarafından açılan bir (yeni pencere)2025(yeni pencere) davası, WhatsApp çalışanlarının konum, profil fotoğrafları, grup üyelikleri ve kişi listeleri dahil olmak üzere hassas kullanıcı bilgilerine erişimi olduğunu iddia ediyor. Ayrıca Meta’nın bilgisayar korsanları ve diğer kötü niyetli varlıklar tarafından istismar edilebilecek büyük güvenlik ve gizlilik kusurlarını defalarca görmezden geldiği iddia ediliyor.

WhatsApp’ın kullanımının güvenli olup olmadığı hakkında ayrıntılı bilgi alın

Signal ve Facebook Messenger

WhatsApp gibi Facebook Messenger da Meta’ya aittir. Yine WhatsApp gibi iletilerin içeriği Signal Protokolü kullanılarak uçtan uca şifrelenir ancak üst verilere Meta tarafından erişilebilir. Bu nedenle yukarıda WhatsApp’a yöneltilen tüm eleştiriler Facebook Messenger için de geçerlidir.

Signal ve e-posta

Çoğu e-posta uçtan uca şifrelenmemiştir. HTTPS kullanılarak iletim sırasında şifrelenir ve e-posta hizmeti sağlayıcının sunucularında şifrelenmiş olarak saklanır. Genel olarak konuşursak, bu e-postaları suçlu bilgisayar korsanlarından korur. Ancak e-posta hizmeti sağlayıcı (Gmail gibi) şifrelemeyi yaptığı ve anahtarları elinde tuttuğu için politikalarına ve geçerli yasalara bağlı olarak reklam veya üçüncü taraf taleplerine uyum sağlamak amacıyla bunlara erişebilir ve işleyebilir.

Proton Mail normal e-postadan çok daha güvenlidir. Proton Mail hesapları arasında gönderilen e-postalar uçtan uca şifrelenir ve Parola Korumalı E-posta özelliğimizi veya OpenPGP‘yi kullanarak Proton kullanıcısı olmayanlara E2EE e-postalar gönderebilirsiniz. Sunucularımızda saklanan tüm e-postalar, bizim bile erişemeyeceğimiz anlamına gelen sıfır erişimli şifreleme kullanılarak güvence altına alınır.

Ancak e-posta, (Kısa mesaj gibi) güvenlik ve gizlilik ihtiyacı kimsenin aklına gelmeden çok önce tasarlanmış çok eski bir sistemdir. Bu, üst verilerinizi gizlemenin bir yolu olmadığı anlamına gelir. Ayrıca Proton Mail’i açık OpenPGP E2EE standardıyla uyumlu olacak şekilde tasarladığımız için şu anda konu satırını şifrelemiyoruz. Üçüncü taraf sunucularda saklanan Parola Korumalı olmayan veya OpenPGP e-postalarını güvence altına almak için yapabileceğimiz bir şey de yoktur.

Signal ve Threema

Threema, gizlilik açısından Signal ile rekabet eden ve hatta onu geride bıraktığı iddia edilen bir tür açık kaynaklı mesajlaşma uygulamasıdır.

Tüm Threema uygulamaları, iletileri uçtan uca şifrelemek için açık kaynaklı NaCl kriptografi kitaplığını(yeni pencere) kullanır ve güvenlik uzmanları tarafından denetlenmiştir(yeni pencere). Çoğu mesajlaşma uygulamasının aksine, bir hesap kaydetmek için bir e-posta adresine veya telefon numarasına ihtiyacınız yoktur ve Android için Threema’yı Bitcoin kullanarak anonim olarak satın almak mümkündür (Threema ücretli bir uygulamadır). Şirket, bunun anonim olarak mesajlaşmanıza ve arama yapmanıza olanak tanıdığını söylüyor ve minimum düzeyde üst veri topladığından(yeni pencere) emin olmak için büyük çaba harcıyor.

Threema’nın en büyük dezavantajı küçük kullanıcı tabanıdır.

Ünlü ABD hükümeti Signalgate “sızıntısı”

Mart 2025(yeni pencere)‘te, Signal’de birkaç üst düzey ABD ulusal güvenlik lideri arasında Yemen’deki Husi militanlarını vurmaya yönelik çok hassas operasyonel planların tartışıldığı bir grup sohbeti oluşturuldu.

Ulusal güvenliğin şaşırtıcı bir şekilde ele geçirilmesiyle, The Atlantic muhabiri yanlışlıkla grup sohbetine katılmaya davet edildi ve kısa süre sonra sohbetin kısmen düzeltilmiş bir dökümünü halka sundu. Daha da önemlisi, tüm “Signalgate” skandalı Signal’deki herhangi bir teknik kusurdan değil, tamamen insan hatasından kaynaklanıyordu.

Benzer bir sorun, göçmen hakları aktivistlerinin Signal grup sohbetini hedef alan başarılı bir FBI casusluk operasyonundan(yeni pencere) sorumlu görünmektedir. Ayrıntılar henüz net olmasa da FBI, bilginin “mükemmel erişime sahip hassas bir kaynaktan” geldiğini söyledi, bu da içeriden bir kaynağın sohbete davet edildiğini kuvvetle muhtemel kılıyor.

Signal’in güvenliği üzerine son düşünceler

Signal, çok iyi nedenlerden dolayı güvenli özel mesajlaşma için altın standart olarak kabul edilmeye devam ediyor. Signal Protokolü son derece güvenlidir ve Signal Protokolü’nü kullanan diğer birçok uygulamanın aksine Signal, Signal uygulamasından neredeyse hiç üst veri toplamaz.

Bu nedenle Signal, ana akım rakiplerinin herhangi birinden çok daha güvenlidir ve kolay kişi keşfi ve zengin gelişmiş özelliklerle arkadaşlarınızı ve ailenizi onu kullanmaya gerçekçi bir şekilde ikna edebilirsiniz.

Ancak AWS sunucularında barındırılması, Signal’in SGX’e güvenmesi ışığında bir endişe kaynağı olmaya devam ediyor. Signal’in merkezi bir sunucuya güvenmesi ve gerçek bir telefon numarası sağlama gerekliliği gibi algılanan sorunlarını çözmeye çalışan Threema gibi, bazıları büyük umut vadeden bir dizi açık kaynaklı şifrelenmiş mesajlaşma uygulaması bulunmaktadır.

Ancak bunlardan hiçbiri Signal ile aynı düzeyde titiz bir dış incelemeden geçmemiştir ve hepsinin Signal’e kıyasla çok küçük kullanıcı tabanları vardır, bu da pratik kullanışlılıklarını sınırlar.