logo

Murat Demirten

header-nav
text

{ ubi dubium ibi libertas }

mobile-nav-trigger

Paris Saldırganları Double-ROT13 Şifrelemesi Kullanıyormuş!

19 Kasım 2015, Perşembe

Geçen hafta gerçekleşen saldırılar, dünyanın başka yerlerinde benzerleri her daim yaşanmasına rağmen artık vaka-ı adiyeden sayıldığı için geniş yankı buldu ve konu her yönüyle tartışılmaya başlandı. Bu yazıda böyle zamanlarda sıklıkla gündeme gelen, şifreleme uygulamalarının kamu güvenliği açısından devletlerin erişimine arka kapılar bırakması gerekip gerekmediği konusuna kısaca değinmeye çalışacağız.

Öncelikle yakın geçmişten bir örnek verelim. Haziran ayında 6 çocuk babası bir ABD vatandaşı aracında çok sayıda kurşunla öldürülmüş halde bulundu. Olayı araştıran dedektifler, çok fazla ipucuna ulaşmayı başaramadı ancak ölen kişinin bir iPhone6 bir de Samsung Galaxy S6 telefonu bulunuyordu ve her ikisi de şifre korumalı idi. Telefon görüşme kayıtlarına operatör üzerinden erişilmesine rağmen ölen kişinin arkadaşlarından edinilen bilgiye göre maktul mesajlaşma uygulamalarını sıklıkta kullanmaktaydı. Soruşturmanın derinleştirilebilmesi için telefonlardaki verilere erişilmesi istendi ancak ne Apple ne de Google bunu yapamadı zira iCloud gibi bulut tabanlı yedekleme hiç kullanılmamıştı ve veriler sadece telefonlar üzerindeydi, şifrelemeyi kırmanın bilinen bir yolu da mevcut değildi.

Bu olay tekrar akıllara şifreleme uygulamalarına güvenlik amaçlı bir arka kapı konulmasının gerekli olup olmadığı sorusunu getirdi. Yıllardır tartışılan bu konudaki genel kanı, konulacak arka kapının istenmeyen kişilerce de keşfedilmesinin mümkün olması sebebiyle bu senaryonun gerçekleşmesi halinde karşı karşıya kalınacak olan güvenlik riskinin çok daha yüksek boyutlarda olduğu yönündedir. Özellikle FBI, 1990'lı yılların başından itibaren bu görüşü savunuyor.

Bu durum şaşırtıcı gelebilir, yani görünüşe göre FBI'ın şifreleme uygulamalarından bir arka kapı talebi bulunmuyor. Ancak güvenlikle ilgili pek çok kişi, NSA'nın zaten mevcut şifreleme yöntemlerini bir arka kapıya gerek kalmaksızın çözebilme imkanı olduğunu tahmin ediyor. Eğer böyle bir güç elinizde varsa elbette hiç bir şifreleme uygulamasında arka kapı istemezsiniz zira bu gücün paylaşımı riskini de beraberinde getirecektir.

ABD'nin şifreleme algoritmaları kullanan yazılımların ülke dışına ihracı sürecine yönelik 2000'li yıllara kadar uyguladığı politika malum. Hal böyle iken komplo teorilerine sadece gülüp geçmek pek mümkün değil. Öte yandan insanlık, dağıtık yapıdaki internet altyapısının da katkısıyla yeni yöntemleri çok daha hızlı geliştiriyor, bu yöntemler hızla kabul görüyor ve uygulamaya geçiyor. Güvenlik konusu kapalı kapılar ardında konuşulmaktan çıkıp şeffaf hale gelmeye başlandıkça, son kullanıcı olarak çok daha güvenli iletişim yöntemlerine erişme imkanımız doğuyor.

Uzmanlık alanım olmamasına rağmen son zamanlarda sıklıkla güvenlik temalı yazılar yazmak zorunda kalmam bir tesadüf değil. Önümüzdeki 10 yılda bu konular çok daha can yakıcı hale gelecek gibi görünüyor. Internet of Things - Nesnelerin İnterneti başlığıyla yükselen bir trend var ve sürücüsüz araçlar başta olmak üzere bu bakış açısını destekleyen gelişmeler ardı ardına hayat bulmaya başlıyor. Geçen 10 yıla baktığımızda sensör maliyetlerinin azalıp, yeteneklerinin arttığını, bant genişliklerinin 50 kata kadar artış gösterip buna karşılık bilgi işlem maliyetlerinin aynı oranda düştüğününü görüyoruz. Artık elimizde işleyecek çok fazla veri olmakla birlikte bu verilerin güvenliğinin ne derecede sağlandığı ve hangi seviyeye kadar sağlanabileceği konusunda ciddi soru işaretleri bulunuyor. İlerleyen günlerde çarpıcı örneklerle bu durumu ayrıntılı incelemeye çalışacağız.

Özetle..

Güvenlik odaklı düşünenler devletlerin bu şekilde arka kapılar kullanmasını benimsiyor olabilir. Ancak kişisel kanaatim bunun ciddi bir hata olacağı yönündedir.

Yazının başlığında Paris saldırganlarının Double-ROT13 şifrelemesi kullandığını belirtmiştik. ROT13 (Rotate 13) şifreleme yöntemi, 26 harfli İngiliz alfabesinde her harfi 13 ötelemekten ibaret basit bir yöntemdir. Bu işlemi 2 defa yaptığınızda (Double-ROT13) metnin orjinaline geri dönersiniz ve şifreleme dünyasında, aslında şifreleme kullanılmadığını ifade etmenin espirili yollarından biri olarak görülür.

Paris saldırısında da saldırganlara ait telefonlardan biri Bataclan konser salonu dışında bulunmuş. Telefon üzerinde herhangi bir şifreleme yokmuş ve bina planı, kendi aralarındaki mesajlar her şey apaçık halde zaten erişilebilir durumdaymış!

Elbette bu durum şifreleme yöntemlerini hiç kullanmadıkları anlamına gelmez ama güvenlik odaklı devlet zihniyetini savunanlar için, bu gibi yazılımlara konulacak arka kapıların terör olaylarını engellemekte gerçekte ne kadar etkili olacağını tekrar düşünmelerini gerektiriyor!

search
Sosyal Medya