Signal uygulaması nedir ve ne kadar güvenli?

ABD'deki üst düzey yetkililerin gizli yazışmaları için Signal'da bir grup kurduğunun ortaya çıkmasıyla, bu ücretsiz yazışma uygulaması dünya çapında haberlerde yer aldı.

Olay ABD tarihindeki en ciddi güvenlik açıklarından biri olarak görülüyor.

Söz konusu mesajlarda Trump'ın saldırı kararıyla ilgili çekinceler, emojiler ve Avrupa ülkelerini eleştiren ifadeler yer alıyor.

The Atlantic dergisinin yazı işleri müdürü Jeffrey Goldberg bir anda kendisini, Yemen'deki Husilere yönelik hava saldırılarının konuşulduğu bir Signal grubunda bulmuştu.

Goldberg'in bu gruba eklenmesi ABD'de gündemi değiştirmiş, Demokratların Senato'daki lideri Chuck Schumer bunun "tarihteki en büyük askeri istihbarat sızıntılarından biri olduğunu" söyledi ve soruşturma açılmasını talep etti.

Peki Signal nedir ve ne kadar güvenli?

üvenlik uygulaması

Signal'ın dünya çapında 40-70 milyon arasında aylık kullanıcısı bulunuyor. Bu, milyarlarca kişinin kullandığı WhatsApp ve Messenger gibi uygulamalara kıyasla küçük bir miktar.

Fakat Signal'ın diğerlerine kıyasla öne çıktığı alan güvenlik. Bunun merkezinde de uçtan uca şifreleme bulunuyor.

Uçtan uca şifreleme nedir?

Basitçe anlatmak gerekirse uçtan uca şifreleme, mesajların yalnızca gönderici ve alıcı tarafından görülebilmesini sağlıyor.

Signal'ın kendisi bile bu mesajlara erişemiyor.

Uçtan uca şifreleme, WhatsApp gibi bazı başka uygulamalarda da bulunuyor.

Fakat Signal'ın ek güvenlik özellikleri de var.

Bunlardan biri, uygulamanın açık kaynak kodu olması. Böylece herkes uygulamanın kodlarını inceleyip, hackerların kullanabileceği bir güvenlik açığı olup olmadığını denetleyebiliyor.

Signal'ın sahipleri, diğer uygulamalara kıyasla çok daha az kullanıcı bilgisi topladıklarını, kullanıcı adı, profil resmi ve üyesi olan grupların kaydının tutulmadığını söylüyor.

Dahası, para kazanmak için bu bilgileri toplayıp satmaya da ihtiyaç duymuyorlar çünkü uygulamanın sahibi, kâr amacı gütmeyen Signal Vakfı. Vakıf, reklam gelirleriyle değil bağışlarla işliyor.

Vakfın yöneticisi Meredith Whittaker, ABD'deki ulusal güvenlik hikayesinin ardından X hesabından yaptığı açıklamada "Signal özel iletişimde altın standarttır" dedi.

'Çok ama çok alışılmadık'

Bu "altın standart" niteliği, siber güvenlik uzmanları ve gazetecilerin sıklıkla bu uygulamayı tercih etmesinin ana nedeni.

Fakat bu seviyede bir güvenlik bile, aşırı hassas ulusal güvenlik konularının ele alındığı çok üst düzey güvenlik konuları için yeterli görülmüyor.

Bunun nedeni de cep telefonun üzerinden iletişim kurmanın kaçınılamaz riskinden kaynaklanıyor: Cep telefonları, onları kullanan kişiler kadar güvenlidir.

Biri telefonunuzu kilitli değilken ele geçirirse veya şifrenizi öğrenirse mesajlarınıza erişebilir.

Ve hiçbir uygulama, kamusal bir alanda telefonunuzu kullanırken bir kişinin omzunuzun üstünden ekranınıza bakmasına engel olamaz.

ABD'de resmi kurumlarla çalışmış bir veri uzmanı olan Caro Robson, üst düzey güvenlik yetkililerinin Signal gibi bir mesajlaşma uygulamasında iletişim kurmasının "çok, çok sıra dışı" olduğunu söylüyor.

Robson, bu düzeydeki yetkililerin, "devlet kontrolünde geliştirilmiş, üst düzey şifreleme kapasitesi olan" uygulamalar kullanmasının beklendiğini ekliyor.

ABD hükümetinin, ulusal güvenlik içeren konuşamalar için Scif adı verilen kontrollü ortamları tercih ettiği biliniyor.

Scif, kişisel elektronik cihazların kullanımına izin verilmeyen en üst düzey güvenlik altında kapalı alanlara verilen bir isim.

Scif'ler askeri üslerden yetkililerin evlerine kadar çeşitli yerlerde bulunabiliyor.

Caro Robson, böylesi gizlilik seviyesindeki bilgilere erişmek için, "dinleme cihazı olasılığına karşı sürekli taranan bir yerde olmanız gerekir" diyor ve devam ediyor:

"Özellikle de ülke savunması söz konusu olduğunda, tüm sistem hükümetin kendisini en yüksek şifreleme standartları ile güvenlik altına alması üzerine kurulu"

Sifreleme ve kayıtlar konusu

Signal mesajlaşma uygulaması ile ilgili endişelere yol açan başka bir konu daha var, o da silinen mesajlar.

Bu uygulama, diğer birçok mesajlaşma uygulaması gibi, kullanıcılarının mesajlarını belirli bir süre sonra kaybolacak şekilde ayarlamasına izin veriyor.

The Atlantic'ten Jeffrey Goldberg, eklendiği Signal grubundaki bazı mesajların bir hafta sonra kaybolduğunu söyledi.

Bu durum, federal yetkililerin kayıt tutma zorunluluğuna ilişkin yasaları, eğer farklı bir yönlendirme yapılmadıysa, ihlal ediyor olabilir.

Çeşitli yönetimler, ulusal güvenlik tehdidi gibi gerekçelerle bu tür şifreli mesajlaşma hizmetlerine ait verilere ulaşma izni arıyor.

Signal ve WhatsApp gibi uygulamalar daha önce böyle bir erişim arayışına karşı hukuki olarak mücadele etti. Böylesi bir erişimin kötü niyetli kişiler tarafından kullanılabileceğini savundu.

BBC

Uçtan uca şifreleme

Signal, yasa koyucuların ısrarı halinde uygulamayı 2023'te İngiltere'den çekmekle tehdit etti.

Bu yıl, İngiltere hükümeti bulut (cloud) depolamadaki bazı verileri korumak için uçtan uca şifreleme (E2EE) kullanan Apple ile ciddi bir anlaşmazlık yaşadı.

Apple, İngiltere'de bu özelliği tamamen kaldırmak zorunda kaldı.

Bu dava halen devam ediyor.

Bu tartışmanın da gösterdiği gibi, gizli verilerinizi yanlış kişiyle paylaşırsanız hiçbir güvenlik veya yasal koruma önemli olmaz.

Ya da bir eleştirmenin daha açık bir şekilde ifade ettiği gibi: "Şifreleme sizi aptallıktan korumaz"