Discord, platformdaki sesli ve görüntülü aramaları yetkisiz müdahalelerden korumak için tasarlanmış özel uçtan uca şifreleme (E2EE) protokolü olan DAVE protokolünü tanıttı.
DAVE, E2EE sisteminin kodunu ve uygulamasını da denetleyen Trail of Bits’teki siber güvenlik uzmanlarının yardımıyla oluşturuldu.
Yeni sistem, özel kanallardaki kullanıcılar arasındaki birebir sesli ve görüntülü görüşmeleri, küçük grup sohbetlerindeki sesli ve görüntülü görüşmeleri, daha büyük grup görüşmeleri için kullanılan sunucu tabanlı ses kanallarını ve gerçek zamanlı yayını kapsayacak.
Discord’un duyurusunda, “Bugün DM’lerde, Grup DM’lerinde, ses kanallarında ve Canlı Yayın akışlarında ses ve videoyu E2EE’yi kullanacak şekilde taşımaya başlayacağız” ifadeleri yer alıyor.
“Aramaların uçtan uca şifrelendiğini doğrulayabilecek ve bu görüşmelerdeki diğer üyelerin doğrulamasını gerçekleştirebileceksiniz.”
Başlangıçta oyuncuların oyun sırasında iletişim kurması için kurulan Discord, artık ortak ilgi alanlarına sahip gruplara, içerik üreticilere, işletmelere ve çeşitli topluluklara hitap eden, dünyanın en popüler iletişim platformlarından biri haline geldi.
DAVE’nin tanıtılması, 200 milyondan fazla kişi tarafından kullanılan platformda veri güvenliğini ve gizliliğini artırmak için önemli bir adımdır.
En önemlisi, Discord protokolü ve destek kütüphanelerini açık kaynaklı yapmaya karar verdi ve bu da güvenlik araştırmacılarının incelemesine olanak tanıdı. Ayrıca, topluluğa karşı şeffaflığı garanti altına alan, eksiksiz teknik bilgileri içeren bir teknik rapor da yayınlandı.
DAVE teknik genel bakış
DAVE, medya çerçevelerinin (ses ve video) kodlandıktan sonra ve iletim için paketlenmeden önce şifrelenmesine olanak tanıyan WebRTC kodlu dönüşüm API’sini kullanır. Alıcı uç, çerçeveleri şifresini çözer ve ardından kodunu çözer.
Sadece başlıklar ve ayrılmış diziler gibi özel kodek meta verileri şifrelenmeden bırakılır.
Kaynak: Discord
Anahtar yönetimi söz konusu olduğunda, güvenli ve ölçeklenebilir grup anahtar değişimleri için Mesajlaşma Katmanı Güvenliği (MLS) protokolü kullanılırken, her katılımcının gönderici başına simetrik bir medya şifreleme anahtarı vardır. Kimlik anahtar çiftlerini oluşturmak için Eliptik Eğri Dijital İmza Algoritması (ECDSA) kullanılır.
Bir grubun kompozisyonu değiştiğinde (bir üye ayrılır veya yeni bir üye katılır), yeni bir ‘dönem’ başlar ve grubun şifreleme durumu yeni anahtarlar üreterek bu yeni döneme taşınır. Bu süreç katılımcılar için fark edilir bir kesinti olmadan tamamlanmalıdır.
Discord, MLS’in anahtar değişimleri için bir miktar gecikme eklediğini, ancak DAVE’in büyük grup çağrılarında bile bu gecikmeyi birkaç yüz milisaniye eşiğinin altında tutmak için tasarlandığını söylüyor.
Son olarak, kullanıcı doğrulamasıyla ilgili olarak, grubun MLS dönem durumundan türetilen ‘ses gizliliği kodları’ adı verilen doğrulama kodlarının karşılaştırılması gibi bant dışı yöntemler de mevcuttur.
Kalıcı izlemeye karşı direnç, kullanıcılara her çağrı için yeni bir anahtar atanmasıyla, geçici kimlik anahtarlarının kullanılmasıyla sağlanır.
Kaynak: Discord
Aşamalı uygulama
Discord, uygun tüm kanalların DAVE’ye geçiş sürecini başlattı ve kullanıcılar, arayüzdeki ilgili göstergeyi kontrol ederek aramalarının uçtan uca şifrelenip şifrelenmediğini doğrulayabilecekler.
Tüm kullanıcıların tüm cihaz ve kanallarda yeni E2EE sistemine tam erişim sağlamasının biraz zaman alması bekleniyor.
Kullanıcıların en son istemci uygulamasına yükseltme yapmaktan başka yapmaları gereken bir şey yoktur; çünkü güncel olmayan istemciler yalnızca aktarım şifrelemesiyle sınırlı olacaktır.
İlk etapta Discord’un masaüstü ve mobil uygulamaları kullanıma sunulacak, ilerleyen dönemlerde web istemcileri de kullanıma sunulacak.