Uçtan Uca Şifreleme (E2EE) Bir Efsane mi? Geleneksel şifrelemenin güvenlik açıkları vardır. Tamamen Homomorfik Şifreleme (FHE), gerçek anlamda güvenli mesajlaşma, bulut depolama ve veri analizi için yeni bir umut sunuyor.
Şifreleme su geçirmezlik gibidir: ya tamamen olması ya da hiç olmaması gerekir. Tıpkı sol ayakkabıyı su geçirmez hale getirip sağ ayakkabıyı korumasız bırakmanın bir anlamı olmadığı gibi, içeriğin şifresi daha sonra bulut sunucularında çözülebilecekse, bir mesajlaşma uygulamasının tüketici bileşenini şifrelemek de anlamsızdır.
Buna bir nedenden dolayı uçtan uca şifreleme (E2EE) deniyor, ancak şimdiye kadar bu teknolojiyi kullandığını iddia eden birçok hizmet ne yazık ki yetersiz kaldı. Mimari açıdan bakıldığında, E2EE’nin özellikle milyonlarca kullanıcıya hizmet veren uygulamalarda uygulanması zordur.
Bununla birlikte, nispeten yeni bir şifreleme teknolojisinin ortaya çıkışı, E2EE’nin bir arzudan ziyade bir gerçeklik haline gelebileceği umudunu artırıyor. Adı Tam Homomorfik Şifreleme (FHE)’dir ve benzersiz tasarımı, onu gerçek uçtan uca şifrelemeye dayanan hizmetler için ideal hale getirir.
Uçtan Uca Şifreleme Nasıl Çalışır?
Uçtan uca şifreleme, yalnızca birbirleriyle iletişim kuran kullanıcıların mesajları okuyabilmesini sağlamayı amaçlayan bir teknolojidir. Bu, bir mesajlaşma uygulaması aracılığıyla sohbet eden iki kişi olabilir veya banka gibi başka bir kuruluşla ödeme verilerini paylaşan bir işletme olabilir. Veriler, gönderenin cihazında şifrelenir ve alıcının cihazında şifresi çözülür; böylece servis sağlayıcılar da dahil olmak üzere aracıların içeriğe erişmesi engellenir.
Bu, mesajı şifrelenmiş biçimde iletmeden önce kodlayan kriptografik anahtarlar kullanılarak elde edilir. Daha sonra karşı taraf, içeriğini okumak için kendi şifreleme anahtarını kullanarak mesajın kodunu çözer. Signal ve Telegram gibi mesajlaşma uygulamalarının yanı sıra bu teknoloji, e-posta sağlayıcıları, bulut depolama hizmetleri ve dosya paylaşım platformları tarafından da kullanılıyor. E2EE’nin internetin omurgası olduğunu söylemek abartı olmaz.
E2EE, üçüncü tarafların mesajları ele geçirmesini önleme konusunda çok etkili olsa da, hiçbir şekilde kurşun geçirmez değildir. Hükümetlerden devlet destekli bilgisayar korsanlarına kadar çeşitli rakiplerin şifrelemeyi zayıflatmaya ve arka kapıları uygulamaya yönelik ortak girişimleri, E2EE’yi kullandığını iddia eden birçok hizmetin savunmasız kalmasına neden oldu.
Kritik olarak, kullanıcı açısından bakıldığında, şifrelemenin baştan sona korunup korunmadığını doğrulamanın kolay bir yolu yoktur. Sonuç olarak bireyler, mesajların tamamen şifreleneceğine dair söz veren hizmet sağlayıcıların sözlerine güvenmek zorunda kalıyor.
Nasıl Şifrelenir Tamamen Şifrelenir?
Bir hizmet uçtan uca şifrelenmiş olduğunu iddia ediyorsa, tam da bu olmalıdır. Gerçekte, uygulamalar şifreleme gücü açısından büyük farklılıklar gösterebilir. Kullanıcıların, kullandıkları hizmetin güçlü şifreleme uygulayıp uygulamadığını kontrol etmesi teorik olarak mümkün olsa da, bunu yapmak teknik olarak karmaşıktır ve bu yetenek çoğu kullanıcının erişiminin ötesindedir.
Örneğin Telegram, kullanıcıların açık kaynak kodunun mobil uygulamalarda ve masaüstünde kullanılan kodla aynı olduğunu doğrulamasına olanak tanıyor. Ancak bu, bir dizi Terminal komutunun çalıştırılmasını gerektirir.
Telegram kurucusu Pavel Durov daha önce diğer mesajlaşma uygulamalarını hedef alarak E2EE’nin bütünlüğünü sorgulamıştı. Kişisel Telegram kanalında şunları iddia etti: “Konuştuğum endişe verici sayıda önemli kişi, “özel” Signal mesajlarının ABD mahkemelerinde veya medyasında kendilerine karşı kullanıldığını belirtti. Ancak birisi şifreleme konusunda şüphe duyduğunda Signal’in tipik yanıtı şu oluyor: “Biz açık kaynağız, dolayısıyla herkes her şeyin yolunda olduğunu doğrulayabilir”. Ancak bu bir hiledir.”
Daha sonra kullanıcıların Signal’in Github kodunun uygulamada çalışan kodla aynı olduğunu doğrulayamaması konusunu ayrıntılarıyla anlatıyor. Telegram’ın üstün şifreleme sunma iddialarına rağmen kendi E2EE uygulamasındaki zayıflıklarla ilgili suçlamalarda bulunduğunu da belirtmek gerekir.
Zorluklardan biri, bir hizmet sağlayıcı güçlü şifreleme uyguladığında bile mesajların şifresinin çözülme potansiyelinin hala mevcut olmasıdır. Zayıf anahtar yönetiminden kötü amaçlı yazılım nedeniyle güvenliği ihlal edilmiş cihazlara kadar, saldırganların içeriğe erişmesinin birçok yolu vardır. Ve bir anahtarın güvenliği ihlal edildiğinde, sağlayıcı her oturum için yeni anahtarlar oluşturmadığı sürece tüm mesajlaşma geçmişinin şifresini çözmek mümkündür.
Son olarak, E2EE en iyi şekilde çalıştığında bile, uygulanması ağlar üzerinde ek hesaplama talepleri doğurur ve bu da özellikle sınırlı işlem gücüne sahip cihazlarda veya kaynakların sınırlı olduğu blok zincirlerde artan gecikmeye ve performansın düşmesine neden olur. Bu nedenle E2EE hiçbir şekilde zaptedilemez. FHE bu zorluklardan bazılarını çözebilecek mi, yoksa mevcut şifreleme protokollerini zayıflatan aynı sorunlarla mı karşılaşacak?
FHE E2EE ile Buluşuyor
Geleneksel E2EE’nin zayıf noktalarından biri verinin şifresinin çözülmesidir: Üçüncü bir tarafın verilere erişme potansiyelinin bulunduğu yer burasıdır. Buna karşılık FHE, hesaplamanın şifre çözülmeden doğrudan şifrelenmiş veriler üzerinde gerçekleştirilmesine olanak tanıyarak verilerin tüm süreç boyunca korunmasını sağlar. Bu onu diğer şifreleme teknolojilerinden ayıran en büyük özelliğidir.
Verilerin alıcı tarafından okunmadan önce şifresinin çözülmesi gereken bir mesajlaşma uygulaması düşünüldüğünde, FHE’nin bu açıdan sağladığı faydayı gözünüzde canlandırmak zor olabilir. Ancak FHE’nin E2EE sistemleri içindeki verileri koruma konusunda üstün olduğunu kanıtladığı başka bir örneği düşünün: e-posta. Burada FHE, bir e-posta sağlayıcısının veya bulut hizmetinin, verileri gerçekten görmeden şifrelenmiş bir veritabanından sonuçları döndürmesini mümkün kılar.
Bu yetenek, verilerin içeriği ifşa edilmeden analiz edilebildiği çok sayıda başka kullanım senaryosunu da kapsayacak şekilde genişletilebilir: analistler, şifrelenmiş veri kümeleri üzerinde algoritmalar çalıştırabilir ve sonuçların şifresi yalnızca amaçlanan alıcı tarafından çözülebilir. Veya makine öğrenimi modelleri şifrelenmiş veriler kullanılarak eğitilebilir. Bu, kuruluşların temel verilerin gizliliğinden ödün vermeden güçlü yapay zeka araçlarından yararlanmasına olanak tanır.
Blockchain bağlamında, tamamen homomorfik şifrelemenin, özellikle finansal verilerin mesajlaşması veya iletilmesi için uçtan uca şifrelenmiş uygulamaların oluşturulmasında da önemli bir potansiyeli vardır. Örneğin Fhenix, Ethereum Sanal Makinesinin gizli akıllı sözleşmeleri destekleyen bir çeşidi olan fhEVM tarafından desteklenmektedir. Sonuç olarak, gizli veriler, içeriği ifşa edilmeden analiz edilebilir ve iletilebilir.
Verilerin FHE ile tüm aşamalarda (aktarma, bekleme ve işleme sırasında) şifrelenmiş kaldığı göz önüne alındığında, geliştiricilerin E2EE sistemlerini güçlendirme potansiyeli konusunda neden bu kadar heyecanlı olduklarını anlamak kolaydır.
FHE, saldırı yüzeyini azaltabilir ve hassas verilerin, işleme sırasında bile hiçbir zaman yetkisiz tarafların eline geçmemesini sağlayabilir. Bu, yalnızca şifrelenmiş verileri işledikleri ve veri ihlalleriyle ilişkili riskleri azalttıkları için hizmet sağlayıcılara güvenme ihtiyacını ortadan kaldırır.
FHE, hem blockchain hem de geleneksel sistemlerde daha geniş bir şekilde benimsenebilirse, uçtan uca şifreleme yakında ismine yakışır şekilde gerçek anlamda kırılmaz veri koruması sağlayabilir.
İLGİLİ KONULAR
- WhatsApp Mühendisleri Şifreleme Kusurunun Kullanıcı Verilerini Açığa Çıkarmasından Korkuyor
- Evdeki internet bağlantıları aracılığıyla gönderilen şirket verilerini korumaya yönelik 8 ipucu
- Signal, Yapay Zeka Tarafından Üretilen En Az Sanat, Amazon, Facebook En İstilacı Uygulamalar