Signal uygulaması nedir ve ne kadar güvenli?

Getty Images App Store’da Signal uygulamasının indirme ekranı

ABD’deki üst seviye yetkililerin bilinmeyen yazışmaları için Signal’da bir küme kurduğunun ortaya çıkmasıyla, bu fiyatsız yazışma uygulaması dünya çapında haberlerde yer aldı.

Olay ABD tarihindeki en önemli güvenlik açıklarından biri olarak görülüyor.

Söz konusu iletilerde Trump’ın akın kararıyla ilgili çekinceler, emojiler ve Avrupa ülkelerini eleştiren tabirler yer alıyor.

The Atlantic mecmuasının yazı işleri müdürü Jeffrey Goldberg bir anda kendisini, Yemen’deki Husilere yönelik hava hücumlarının konuşulduğu bir Signal kümesinde bulmuştu.

Goldberg’in bu kümeye eklenmesi ABD’de gündemi değiştirmiş, Demokratların Senato’daki lideri Chuck Schumer bunun “tarihteki en büyük askeri istihbarat sızıntılarından biri olduğunu” söyledi ve soruşturma açılmasını talep etti.

Peki Signal nedir ve ne kadar inançlı?

• ABD’de Yemen’e hücumun konuşulduğu bilinmeyen Signal kümesine gazeteci nasıl eklendi?

Güvenlik uygulaması

Signal’ın dünya çapında 40-70 milyon ortasında aylık kullanıcısı bulunuyor. Bu, milyarlarca kişinin kullandığı WhatsApp ve Messenger üzere uygulamalara kıyasla küçük bir ölçü.

Fakat Signal’ın başkalarına kıyasla öne çıktığı alan güvenlik. Bunun merkezinde de uçtan uca şifreleme bulunuyor.

Uçtan uca şifreleme nedir?

Basitçe anlatmak gerekirse uçtan uca şifreleme, iletilerin sadece gönderici ve alıcı tarafından görülebilmesini sağlıyor.

Signal’ın kendisi bile bu bildirilere erişemiyor.

Uçtan uca şifreleme, WhatsApp üzere kimi diğer uygulamalarda da bulunuyor.

Fakat Signal’ın ek güvenlik özellikleri de var.

Bunlardan biri, uygulamanın açık kaynak kodu olması. Böylelikle herkes uygulamanın kodlarını inceleyip, hackerların kullanabileceği bir güvenlik açığı olup olmadığını denetleyebiliyor.

Signal’ın sahipleri, öteki uygulamalara kıyasla çok daha az kullanıcı bilgisi topladıklarını, kullanıcı ismi, profil resmi ve üyesi olan kümelerin kaydının tutulmadığını söylüyor.

Dahası, para kazanmak için bu bilgileri toplayıp satmaya da gereksinim duymuyorlar zira uygulamanın sahibi, kâr gayesi gütmeyen Signal Vakfı. Vakıf, reklam gelirleriyle değil bağışlarla işliyor.

Vakfın yöneticisi Meredith Whittaker, ABD’deki ulusal güvenlik öyküsünün akabinde X hesabından yaptığı açıklamada “Signal özel irtibatta altın standarttır” dedi.

‘Çok fakat çok alışılmadık’

Bu “altın standart” niteliği, siber güvenlik uzmanları ve gazetecilerin sıklıkla bu uygulamayı tercih etmesinin ana nedeni.

Fakat bu düzeyde bir güvenlik bile, çok hassas ulusal güvenlik mevzularının ele alındığı çok üst seviye güvenlik bahisleri için kâfi görülmüyor.

Bunun nedeni de cep telefonun üzerinden bağlantı kurmanın kaçınılamaz riskinden kaynaklanıyor: Cep telefonları, onları kullanan şahıslar kadar inançlıdır.

Biri telefonunuzu kilitli değilken ele geçirirse yahut şifrenizi öğrenirse iletilerinize erişebilir.

Ve hiçbir uygulama, kamusal bir alanda telefonunuzu kullanırken bir kişinin omzunuzun üstünden ekranınıza bakmasına mahzur olamaz.

ABD’de resmi kurumlarla çalışmış bir bilgi uzmanı olan Caro Robson, üst seviye güvenlik yetkililerinin Signal üzere bir iletileşme uygulamasında bağlantı kurmasının “çok, çok sıra dışı” olduğunu söylüyor.

Robson, bu seviyedeki yetkililerin, “devlet denetiminde geliştirilmiş, üst seviye şifreleme kapasitesi olan” uygulamalar kullanmasının beklendiğini ekliyor.

ABD hükümetinin, ulusal güvenlik içeren konuşamalar için Scif ismi verilen denetimli ortamları tercih ettiği biliniyor.

Scif, şahsî elektronik aygıtların kullanımına müsaade verilmeyen en üst seviye güvenlik altında kapalı alanlara verilen bir isim.

Scif’ler askeri üslerden yetkililerin konutlarına kadar çeşitli yerlerde bulunabiliyor.

Caro Robson, böylesi saklılık düzeyindeki bilgilere erişmek için, “dinleme aygıtı muhtemelliğine karşı daima taranan bir yerde olmanız gerekir” diyor ve devam ediyor:

“Özellikle de ülke savunması kelam konusu olduğunda, tüm sistem hükümetin kendisini en yüksek şifreleme standartları ile güvenlik altına alması üzerine kurulu”

Sifreleme ve kayıtlar konusu

Signal iletileşme uygulaması ile ilgili kaygılara yol açan öteki bir mevzu daha var, o da silinen iletiler.

Bu uygulama, öbür birçok iletileşme uygulaması üzere, kullanıcılarının iletilerini belli bir mühlet sonra kaybolacak halde ayarlamasına müsaade veriyor.

The Atlantic’ten Jeffrey Goldberg, eklendiği Signal kümesindeki kimi bildirilerin bir hafta sonra kaybolduğunu söyledi.

Bu durum, federal yetkililerin kayıt tutma zorunluluğuna ait kanunları, şayet farklı bir yönlendirme yapılmadıysa, ihlal ediyor olabilir.

Çeşitli idareler, ulusal güvenlik tehdidi üzere münasebetlerle bu tıp şifreli iletileşme hizmetlerine ilişkin bilgilere ulaşma müsaadesi arıyor.

Signal ve WhatsApp üzere uygulamalar daha evvel bu türlü bir erişim arayışına karşı hukuksal olarak çaba etti. Böylesi bir erişimin makûs niyetli bireyler tarafından kullanılabileceğini savundu.

BBC Uçtan uca şifreleme

Signal, yasa koyucuların ısrarı halinde uygulamayı 2023’te İngiltere’den çekmekle tehdit etti.

Bu yıl, İngiltere hükümeti bulut (cloud) depolamadaki birtakım dataları korumak için uçtan uca şifreleme (E2EE) kullanan Apple ile önemli bir uyuşmazlık yaşadı.

Apple, İngiltere’de bu özelliği büsbütün kaldırmak zorunda kaldı.

Bu dava hala devam ediyor.

Bu tartışmanın da gösterdiği üzere, saklı bilgilerinizi yanlış şahısla paylaşırsanız hiçbir güvenlik yahut yasal müdafaa kıymetli olmaz.

Ya da bir eleştirmenin daha açık bir formda söz ettiği üzere: “Şifreleme sizi aptallıktan korumaz”

• ABD’de Yemen’e hücumun konuşulduğu kapalı Signal kümesine gazeteci nasıl eklendi?
• Bedava WhatsApp uygulaması nasıl para kazanıyor?