Birleşik Krallık Hükümeti, tartışmalı Çevrimiçi Güvenlik Yasası aracılığıyla mesajlaşma uygulamaları için “arka kapılar” oluşturmaya çalışırken, e2e şifrelemeye olan ilgide önemli bir artış oldu. Şimdi Lordlar Kamarası’ndaki komite aşamasında, sonucun ne olacağı görülüyor. Kesin olan şey, mevzuatın mahremiyete karşı koruma tartışması olan ateşi körüklediğidir.
Tasarı kabul edilirse, WhatsApp ve diğerleri gibi mesajlaşma platformları mesajlara erişmeli ve kullanıcılarının konuşmalarının yasal olup olmadığına karar vermelidir. Uluslararası insan hakları örgütü Madde 19’a göre, “yalnızca bağımsız adli makamlara böyle bir belirleme yapma yetkisi verilmelidir”, bu hareket derinden sorunludur.
Platformlar da mutlu değil – WhatsApp, Session, Signal, Element, Threema, Viber ve Wire, bakanlardan önerilen yasayı “acilen yeniden düşünmelerini” isteyen bir mektubu imzaladı. Eleştirmenler, tasarının bu şirketlerin sağladığı gizlilik teknolojisi olan uçtan uca şifrelemeyi baltalayabileceğini söylüyor.
Bu arada Tory Milletvekili Sajid Javid, uçtan uca şifrelenmiş çevrimiçi sohbetleri “pedofiller için dijital oyun alanı” olarak etiketledi – gerçekten kışkırtıcı bir dil, ancak doğruluk unsurları olmadan değil. Hükümet, mesajlaşma platformları tarafından kullanılan uçtan uca şifrelemenin, polis ve teknoloji firmalarının iletişimleri izlemesini, çocuk bakımını tespit etmesini ve çocuk istismarı görüntülerini engellemesini son derece zorlaştırdığını uzun süredir tartışıyor. Ayrıca terör örgütlerinin fark edilmeden faaliyet göstermesini kolaylaştırır.
2014 yılında şirketim dünyanın ilk ve tek ‘kuantum güvenli’ anlık mesajlaşma sistemini geliştirdi. Kullanıcıların mesajları o kadar iyi şifrelenmişti ki, çok daha güçlü kod kırma yetenekleri olan olgun bir kuantum bilgisayarı bile metnin şifresini çözemezdi. Kullanıcı verilerinin istismarının kontrolden çıktığı konusunda geniş çapta hemfikir olunan bir çağda, mahremiyet için çok ihtiyaç duyulan bir zaferdi. Ancak, uygulamamız İslam Devleti tarafından tavsiye edilen teknik araçlar listesinde göründüğünde, gerçek çok daha karmaşık hale geldi.
Şifrelemede devlet tarafından onaylanan arka kapıların, ister amaçlanan devlet kurumu, ister kötü niyetli bir ulus veya bilgisayar korsanları olsun, herkesin bu kapıdan geçebilme olasılığını artıracağına inanıyorum. Sosyal medya şirketleri, bir gün kendi platformlarının güvenliğinin ihlal edildiğini garanti edemeyecekleri için altın bir anahtara sahip olmamaları gerektiğini uzun zamandır tartışıyorlar. Cevap çok basit, yasal ve bant dışı bir işlem yapılmadığı sürece anahtar bu tür şirketlerde tutulmamalı ve kilit vasiler verilere erişememelidir. Pazara hazır çözümler, tercihen mahremiyet gruplarından oluşan veri koruyucularına kontrol ve sorumluluğu bölme olanağı sunan önceden kararlaştırılmış bir yan kapı oluşturabilir.
Gizlilik için tasarlanmamış endüstri standardı eşik kriptografisinin yanı sıra Quorum teknolojimiz, tam mahremiyet elde etmek için homomorfik kriptografi, sıfır bilgi kanıtı, kuantum sonrası kriptografi ve bir dizi başka güvenlik katmanı ile bunun özelliklerini birleştirir. Bir şifre çözme anahtarını, daha sonra parça muhafızlarına iletilen birden çok parçaya bölerek çalışır. Mesaja yalnızca parça koruyucularından önceden kararlaştırılan bir çekirdek eşiğine ulaşılırsa erişilebilir; örneğin, verilere erişim izni verilmeden önce 5 parça koruyucusundan 3’ünün isteği onaylaması gerekir. Bu teknolojiyi kullanarak, herhangi bir anahtar parça sızıntısı olmaz ve anahtar asla yeniden yapılandırılmaz.
Basit çoklu imza şemaları gibi daha katı yönetişim sistemlerinin aksine, Quorum esnektir ve bir kişinin hile yapması veya yönetişim yapısının zaman içinde gelişmesi gerektiğinde anahtar parçaları geri çağırma veya yeniden yayınlama becerisine sahiptir. Benzer şekilde, bir kuruldaki her aktöre, oluşturmak istediğiniz yönetişim yapısına bağlı olarak belirli bir ağırlık veya geçicilik atanabilir.
Bu tür bir anahtar bölme teknolojisi zaten var. Kapsamlı gözetim yerine, bu yan kapı yaklaşımı, daha az sorumlu bir platforma geçmesi gereken suçlular için büyük bir caydırıcı olacaktır. Acilen ihtiyacımız olan şey, bu kutuplaşmış tartışmanın her iki tarafının bir araya gelmesi ve böylece her bir özel erişim talebinin, hem mahremiyet hem de yasa uygulama savunucularını temsil eden mantıklı bir şekilde organize edilmiş bir yönetişim sistemi tarafından esasına göre yargılanabilmesidir.
Bu hala hoş değilse, çekirdek erişim kontrolünü yalnızca gizlilik savunucularına vermeye ne dersiniz? Bu en azından bir başlangıç olurdu.
Andersen Cheng, İcra Kurulu Başkanı, Post-Quantum
Andersen Cheng Kurucu ve Yönetim Kurulu Başkanı Post-Quantum, kuantum bilgisayarların kod kırma özelliklerine dirençli şifreleme ve ultra güvenli ürünler geliştiren bir İngiliz firması.