Şifreleme arka kapısı nedir ve neden tehlikelidir?
Şifreleme verilerinizi güvenli tutar, ancak arka kapılar bu korumayı zayıflatır. İster soruşturmalar ister yasal zorunluluklar yoluyla olsun, hükûmetler güvenli iletişimlere sızmak için şifreleme arka kapılarını zorlamaktadır. Ne yazık ki, sadece iyi niyetli kişilerin girmesine izin veren bir arka kapı diye bir şey yoktur.

Şifreleme arka kapıları nedir?
Şifreleme arka kapısı, şifrelemeyi atlamak için kasıtlı olarak yerleştirilmiş bir yoldur. Onaylanmış tarafların şifrelenmiş verilere erişmesi için özel imkan sağlayan bir sistemi tanımlar. Esasen, kolluk kuvvetlerine şifrelenmiş iletiler için bir ana anahtar verir. Hükûmetler bunu genellikle "yasal erişim" olarak çerçevelendirir, çünkü bu, yetkililerin gerektiğinde verilerin şifresini çözmesini sağlamak üzere tasarlanmıştır.
Genellikle, çevrim içi veriler, aktarım halindeki verilerin şifrelemesini gerçekleştiren TLS kullanılarak şifrelenir. Veriler servis sağlayıcıya — Google, Dropbox veya Facebook gibi — ulaştığında, şifresi çözülür ve ardından kontrol ettikleri şifreleme anahtarları kullanılarak sunucularında yeniden şifrelenir. Bu, verilerinize erişebileceği anlamına gelir; bu nedenle bir şifreleme arka kapısı gerekli değildir, çünkü hükûmetler sağlayıcıyı verileri teslim etmeye zorlayabilir.
Uçtan uca şifrelemede, veriler göndericinin aygıtında şifrelenir ve alıcının aygıtına ulaşana kadar şifresi çözülmez. Servis sağlayıcı — Proton veya Signal gibi — şifreleme anahtarlarına asla erişime sahip değildir, bu nedenle yasal emir altında bile hiçbir şeyin şifresini çözemez. İşte tam bu noktada kolluk kuvvetleri ve politika yapıcılar şifreleme arka kapıları için baskı yapmaktadır.
Şifreleme arka kapıları ve arka kapı saldırıları karşılaştırması
Şifreleme arka kapılarını arka kapı saldırılarından ayırt etmek önemlidir. Şifreleme arka kapısı, belirli koşullar altında erişim için sisteme kasıtlı olarak yerleştirilmiş bir özelliktir — örneğin kolluk kuvvetleri tarafından istendiğinde — ve tüm kullanıcılar için geçerlidir. Öte yandan, bir arka kapı saldırısı — Salt Typhoon tarafından düzenlenen gibi — bilgisayar korsanları tarafından, tespit edilmeden erişim sağlamak için kullanılan gizli bir güvenlik açığıdır.
Saldırganlar bir şifreleme arka kapısı keşfederlerse, bunu sonradan yerleştirilen bir arka kapıyı kullandıkları gibi istismar edebilirler. Aradaki fark, şifreleme arka kapısının tasarım gereği zaten orada olmasıdır.
Şifreleme arka kapısı nasıl çalışır?
Şifreleme, otel odanızdaki bir kilit gibi çalışır: TLS gibi standart şifrelemede anahtarı siz tutarsınız ancak otel müdürü (servis sağlayıcı) bir yedek tutar ve polis isterse kapıyı açabilir.
Öte yandan uçtan uca şifreleme ile anahtar sadece sizde bulunur, bu yüzden başka kimse içeri giremez. Şifreleme arka kapısı, yasal bir kurumun (kolluk kuvvetleri gibi) müdürden her kapıyı açan bir ana anahtar oluşturmasını istemesidir. Böyle bir anahtar var olduğunda, yabancı hükûmetler ve bilgisayar korsanları da dahil olmak üzere herkes onu çalmaya çalışabilir.
Şifreleme arka kapısı türleri
Tasarıma bağlı olarak, bu şifreleme arka kapısı farklı biçimler alabilir.
Anahtar emanet sisteminde, şifreleme anahtarları bir hükûmet gibi üçüncü bir tarafça depolanır. Eğer kolluk kuvvetleri bir arama emri alırsa, anahtarı geri alabilirler.
İstemci tarafı taramada, kendi aygıtınız dosyalarınızı ve iletilerinizi şifrelenmeden önce arar ve işaretlenen içeriği rapor eder. Bu, kapı kilitli kalsa bile otel müdürünün odanıza getirdiğiniz her şeyi incelemesi ve not alması gibidir.
Bir şifreleme arka kapısı örneği
1990'larda ABD hükûmeti, sabit hat iletişimlerini güvenli hale getirmek için bir yonga seti olan Clipper Chip(yeni pencere)'i tanıttı. Her yonga seti kendi şifreleme anahtarıyla geliyordu, ancak bu anahtarın bir kopyası anahtar emaneti kullanılarak bir hükûmet veritabanına yerleştirilmişti. Fikir şuydu: Bir hükûmet kurumu, Clipper Chip yüklü bir aygıttan gelen belirli iletişimleri engellemek için yasal yetki alırsa, anahtarı talep edebilir ve yazışmanın şifresini çözmek için kullanabilirdi.
Güvenlik uzmanları, anahtarların emanette saklanmasının tek bir merkezi başarısızlık noktası oluşturduğu konusunda uyardı ve gizlilik savunucuları, güvenli yazışmalara evrensel hükûmet erişimi fikrine itiraz etti. Yanıt olarak geliştiriciler, PGP, PGPfone(yeni pencere) ve Nautilus(yeni pencere) gibi güçlü halka açık şifreleme araçlarını yayınladılar. Sadece üç yıl içinde Clipper Chip terk edildi.
Şifreleme arka kapılarını kim ve neden istiyor?
Hükûmetler, kolluk kuvvetleri ve istihbarat teşkilatları, dijital iletişimlere erişimi genişletmenin bir yolu olarak şifreleme arka kapılarının en güçlü savunucularıdır. Kurumlar, bir "kararma" sorunuyla karşı karşıya olduklarını savunuyorlar — mahkeme emri veya arama izni olsa bile, güçlü şifreleme, istihbarat toplamak ve suçları soruşturmak için kullanabilecekleri kritik kanıtlara erişimi engelleyebilir.
Bu baskı genellikle mevzuata dönüşür — yetkililere şirketlerden uçtan uca şifrelemeyi kırmanın yeni yollarını oluşturmalarını ve güvenli verilere "yasal erişim" sağlamalarını talep etme yetkisi veren Birleşik Krallık Soruşturma Yetkileri Yasası ve Avustralya Yardım ve Erişim Yasası gibi.
Şifreleme arka kapıları neden herkes için risklidir?
Bir ana anahtar, bir bilgisayar korsanının rüyasıdır
Milyonlarca hesabın kilidini açan tek bir ana anahtar varsa, saldırganlar onun peşine düşecektir.
Ele geçirilmiş bir şifreleme arka kapısı, kötü niyetli kişilerin banka hesabınıza, kişisel iletilerinize ve diğer hassas bilgilere erişmesini sağlayabilir.
Tarih, istihbarat teşkilatlarının bile ana anahtarlarını güvende tutamadığını gösteriyor — örneğin, CIA ve NSA'in hack araçları 2017'de çalınmıştı.
Kritik sistemler için daha zayıf güvenlik
Şifreleme, günlük yaşamda — banka hesaplarından hastane sistemlerine kadar — gizliliği korur.
Bu korumayı arka kapılarla zayıflatmak, işletmeleri ve kritik altyapıyı tehlikeye atar.
Örneğin 2017'de bilgisayar korsanları, 150 ülkede 300.000'den fazla bilgisayara bulaşan bir fidye yazılımı saldırısı başlatmak için bir NSA açığını silah haline getirdi.
Birleşik Krallık Ulusal Sağlık Servisi (NHS) felç oldu, hastane bakımını geciktirdi ve hayatları riske attı. Bu açık sadece NSA'in güvenlik açığını yamanması için ifşa etmek yerine gizli tutması nedeniyle mevcuttu.
Arka kapılar kitlesel gözetime izin verir
Hükûmetler ayrıca şifreleme arka kapılarını kötüye kullanabilir. Örneğin 2015 yılında, kurumsal ve devlet sistemlerini korumak için yaygın olarak kullanılan ScreenOS güvenlik duvarında Juniper Networks iki arka kapı keşfetti(yeni pencere). Bir arka kapı gizli yönetici erişimine izin verirken, diğeri saldırganların sanal güvenli ağ (VPN)(yeni pencere) trafiğinin şifresini çözmesini sağladı. Bu güvenlik açıklarından en az biri, bir ulus devlet aktörü tarafından yerleştirilecek kadar karmaşık görünüyordu.
ABD gibi demokratik hükûmetler vatandaşları arama izni olmadan gözetlemeye istekliyse, Çin, Rusya veya Suudi Arabistan gibi otoriter devletlerin gazetecilere, muhaliflere, azınlıklara veya rejimin hedef aldığı herhangi birine zulmetmek için arka kapıları kullanma olasılığı daha da yüksektir.
Proton asla uçtan uca şifrelemeyi bozmayacaktır
Proton, şifrelemeyi arka kapılarla asla zayıflatmayacaktır. Rusya, Çin ve Hindistan gibi ülkelerde hükûmet baskısına direnerek bunu pratikte kanıtladık. 2021'de İsviçre'de e-posta gizliliğini zayıflatma girişimlerine başarıyla karşı çıktık.
Proton'u, hükûmetlerin ve şirketlerin verileri aşındırmaya çalıştığı bir dünyada insanların verilerinin kontrolünü onlara vermek için inşa ettik. Ve siyasi manzaralar her yerde değişebileceği için Proton korumayı teknolojinin kendisine entegre eder:
Uçtan uca, sıfır erişimli şifreleme , verilerinizi okuyamayacağımız ve sahip olmadığımız şeyleri hükûmetlere veya kolluk kuvvetlerine teslim edemeyeceğimiz anlamına gelir.
Uygulamalarımız açık kaynaklıdır ve düzenli olarak denetlenir, böylece herkes söz verdiğimiz şeyi yaptığımızı kontrol edebilir. ISO 27001 sertifikasına sahibiz ve SOC 2 Tip II kapsamında onaylandık.



