Telegram kurucusu Pavel Durov’un 24 Ağustos 2024 tarihinde Paris-Le Bourget havalimanında tutuklanmasıyla yine dikkatler mesajlaşma uygulamasına çekildi. Çoğu hükümet uygulamayı dolandırıcılar, teröristler ve çocuk pornografisi üreticileri ve tüketicileri de dahil ahlaksız karakterler için önemli bir “buluşma yeri” olmakla suçladı. Savcılığa göre bu suçlular, uygulamanın uçtan uca (E2E) şifrelemesi çok güvenli olduğu için iletişim aracı olarak Telegram’ı kullanıyor.
Uçtan Uça Şifreleme Nedir?
E2E şifrelemede iki anahtar kullanılır, bunlardan biri halka açık bir anahtar, diğeri ise özel bir anahtar. Bu sistem her iki uç noktadaki sohbeti de şifreler (yani sohbetin iki tarafı). Özel anahtar yalnızca gönderen ve alıcı tarafından kullanılabilir. Bu yöntem büyük ölçüde aşılamaz olarak görülüyor, nitekim Telegram kendisini “WhatsApp ve Line gibi toplu mesajlaşma uygulamalarından daha güvenli” olarak tanımlıyor.
Telegram’ın Güvenlik Özellikleri
Dünya çapında 900 milyondan fazla aktif kullanıcıya ev sahipliği yapan Durov’un uygulaması, WhatsApp ve benzer uygulamalarla kıyaslanabilir bir güvenlik seviyesi sunuyor. Yalnız Durov’un uygulamasının tüm sohbetlere uçtan uca şifreleme uygulamadığını unutmayalım. Bu özellikle “gizli” olarak ayarlanan sohbetlerde kullanılıyor. Bu sohbetler belli bir süre sonra kendiliğinden silinebilecek şekilde yapılandırılabiliyor ve gizli sohbete gönderilen mesajların başka sohbetlere iletilmesini engelliyor. Telegram şifreleme için ek gizlilik sağlayan ancak şeffaflık eksikliği nedeniyle eleştirilere maruz kalan tescilli bir protokol kullanıyor.
Klasik Sohbetlerin Sınırlamaları
Telegram şifrelemesi tüm sohbetlerde, gruplarda ve kanallarda otomatik olarak aktif edilmiyor. “Klasik” sohbetlerde mesajlar Telegram’ın sunucularında saklanıyor ve teknik olarak erişilebilir durumda oluyorlar, çünkü (en azından potansiyel olarak) ele geçirilebilecek bir iz bırakıyorlar. Bu da, başta WhatsApp ve Signal (özel iletişim için son derece güvenli sayılan mesajlaşma uygulamaları) olmak üzere varsayılan olarak uçtan uca şifreleme sunan diğer rakip mesajlaşma hizmetleriyle arasında hatırı sayılır ölçüde büyük bir fark oluşturuyor.
Sunucu-İstemci Şifrelemesi ve Coğrafi Dağıtım
Yine de Telegram, sunucu-istemci şifrelemesi olarak adlandırılan dağıtılmış bir altyapı kullanarak uçtan uca şifrelemeyle korunmayan sohbetleri de koruduğunu iddia ediyor. Temel olarak sohbet verileri, her biri farklı yargı alanlarına giren ayrı bir tüzel kişilik tarafından kontrol edilen farklı coğrafi bölgelerdeki birden fazla veri merkezine dağıtılıyor. Şifre çözme anahtarları da birden fazla parçaya bölünüyor ve asla korudukları verilerle birlikte tutulmuyorlar. Bu sayede Telegram sunucularında saklanan sohbet ile ilişkili verileri bulması daha zor oluyor.
Gelişmiş Gizlilikte VPN’in Rolü
Bu bağlamda Sanal Özel Ağ (VPN) kullanımı, ekstra bir gizlilik ve güvenlik katmanı arayan kullanıcılar arasında oldukça popüler hale geldi. Planet VPN bir kullanıcının IP adresini maskeleyebilir ve internet trafiğini şifreleyerek üçüncü tarafların çevrimiçi etkinliklerini izlemesini zorlaştırabilir. Bu araç genellikle özellikle hükümetin veya diğer kuruluşların iletişimi izlediği veya kısıtladığı bölgelerde, Telegram veya benzeri platformlara erişirken anonim olmak isteyen kişiler tarafından kullanılıyor.
Yasal Koruma ve Veri Paylaşımı
Verilerin paylaşılmasını dayatmak için farklı yargı bölgelerinden birden fazla mahkeme kararı gerekiyor. Bu yapı sayesinde hiçbir hükümet ya da hükümetler koalisyonu insanların mahremiyetini ve ifade özgürlüğünü engelleyemiyor. Yalnızca küresel çapta çok sayıda yasal sistem tarafından kapsamlı bir şekilde incelenen ve onaylanan acil ve evrensel bir sorunun söz konusu olduğu durumlarda Telegram kullanıcı verilerini paylaşmaya zorlanabiliyor. Bugüne kadar hükümetler dahil hiçbir üçüncü taraf ile hiçbir kullanıcı verisi paylaşılmadı.
Sunucu-istemci şifrelemesinin güvenli olduğu düşünülse de, “temel” düzeyde güvenlik yalnızca kullanıcılar ve sunucular arasında uygulanıyor. Yani Telegram potansiyel olarak sunucularına erişebiliyor ve aramalar ile video görüşmeleri dahil sohbetleri engelleyebiliyor. Siber suçlular da platformun güvenlik sistemini ihlal etmeyi başarırsa aynı şeyi yapabilirler.
Telegram’ın Uçtan Uca Şifrelemesini Etkinleştirme
Peki ya Telegram’ın ikinci güvenlik seviyesi olan uçtan uça şifreleme? Bu platformdaki en yüksek güvenlik seviyesini temsil eder ve gizli sohbetlerde (her ne kadar sezgisel olmasa da bireysel sohbet ayarlarından etkinleştirilebilir) kullanılır. Telegram’da gizli sohbetleri etkinleştirmek için bireysel sohbet ayarlarına girin, kullanıcı profilini bulun ve sağ üst köşedeki üç noktaya tıklayın. Gizli sohbeti başlatmak için kilit simgesine tıklayın.
MTProto Protokolü ve Kriptografik Özellikleri
Telegram’ın sunucularında kullanılan tescilli MTProto protokolü yalnızca bu aşamada mevcuttur. Bu protokol, istemciler arası şifreleme yoluyla kullanıcı sohbetlerini koruyabilir. Daha ayrıntıya girmek gerekirse, MTProto protokolü, mesajlar için AES-256 şifreleme, kriptografik anahtar değişimi için 2048-bit RSA ve korumasız kanallarda gizli sohbetler oluşturmak için Diffie-Hellman anahtar değişimi gibi kriptografik algoritmaların bir birleşimini kullanır.
Bağımsız güvenlik uzmanları, açık kaynaklı olmayan bir protokol olan MTProto’nun güvenlik seviyesini ve olası güvenlik açıklarını test etmezler. Bu da Telegram’ın lehine sayılmaz. Genellikle güvenlik uzmanları, potansiyel zayıf noktaların bilindiği ve daha iyi ele alınıp çözülebileceği standart şifreleme dizinlerini tercih ederler. Dolayısıyla, Telegram’ın uçtan uça şifreleme sisteminin aşılmazlığı konusu belirsizliğini korumaya devam ediyor.
