Uçtan Uca Şifreleme (E2EE) Gerçekten Güvenli mi?

Giriş: Telefonumuzdaki O Gizemli Yazı

WhatsApp’ta bir sohbet açtığınızda ekranın üstünde hep o sarı uyarı belirir: “Mesajlar ve aramalar uçtan uca şifrelenmiştir.” Çoğumuz bunu okuyup geçeriz. Ama “Bizi izliyorlar mı?”, “Dün konuştuğum ürünün reklamı neden bugün karşıma çıktı?” ya da “Mark Zuckerberg kısır tariflerimi tek tek okuyor mu?” soruları sosyal medyada hâlâ dolaşıyor.

Peki bu sarı kutucuk gerçekten bir şeyleri koruyor mu, yoksa sadece bizi güvende mi hissettiriyor? Gelin arkasına bakalım.

Klasik Şifreleme vs. Uçtan Uca Şifreleme

Farkı anlamak için postane benzetmesini kullanabiliriz. Eski sistemlerde mesajınız yolda şifreli gidiyordu ama dağıtım merkezine, yani sunucuya ulaştığında işler değişiyordu. Postane çalışanları zarfı açıyor, içeriği okuyabiliyordu. Adresi doğruluyorlar ve mektubu yeni bir zarfa koyup tekrar gönderiyorlardı. Bu senaryoda servis sağlayıcı her şeyi görebiliyordu. Sunucu hacklenirse ya da içeriden biri kötü niyetliyse tüm yazışmalar açığa çıkabiliyordu.

Uçtan uca şifreleme bu tablonun tamamını değiştiriyor. Mesajınızı yazıp gönderdiğinizde çelik bir kutunun içine girip kilitleniyor ve bu kilidi açacak anahtar sadece sizde ve karşı tarafta var. Kutu sunucuya ulaştığında postanede kimsenin o kilidi açacak anahtarı yok. Postacı kutunun ağırlığını, kimden kime gittiğini görebilir ama içini asla göremez; çünkü içeriği görme yetkisi yalnızca alıcının cihazına aittir.

Arkadaki Matematiksel Sihir: Açık Anahtar ve Gizli Anahtar

Bir arkadaşınıza “Merhaba” yazdığınızda o milisaniyede, telefonunuzun arka planında sessiz sedasız çok şey dönüyor.

Her şey daha siz ilk mesajı atmadan başlıyor. Telefonunuz arka planda iki anahtar üretiyor: biri herkese açık, biri ise sadece sizin cihazınızda saklı. Bunu şöyle düşünebilirsiniz: apartman kapısındaki isim tabelasına herkes bakabilir, ama içeri girebilmek için sadece sizde olan anahtara ihtiyaç var. Arkadaşınızın telefonu da aynı şeyi yapıyor.

Siz gönder butonuna bastığınız an mesaj, alıcının açık anahtarıyla (public key) şifrelenir ve sadece ikinizin çözebileceği geçici bir şifre üretir. “Merhaba” kelimesi bu şifreyle anlamsız bir karakter dizisine dönüşür — örneğin 8f39x!z92L... — ve ancak bu haliyle telefonunuzdan çıkar. Üstelik bu şifre her mesajda değişiyor; yani biri bir mesajınızın şifresini kırsa bile bir sonrakini okuyamıyor.

Paket WhatsApp sunucusuna ulaştığında sunucu içine bakamıyor. Zarfın üzerindeki adresi görüyor — kimden, kime — ama mektupta ne yazdığını bilmiyor. Arkadaşınızın telefonu paketi aldığında süreç tersine dönüyor: kendi gizli anahtarıyla o anlamsız karakterleri tekrar “Merhaba”ya çeviriyor ve ekranda beliriyor.

Tüm bu süreç, siz farkında bile olmadan, göz kırpma hızında tamamlanıyor.

Büyük Soru: WhatsApp ve Signal Mesajlarımızı Okuyabilir mi?

Kısa cevap: hayır, okuyamazlar. Hem WhatsApp hem de Signal aynı şifreleme protokolünü — Signal Protokolü’nü — kullanıyor. Mesajların içeriği sunucularda okunamaz halde duruyor. Ama güvenlik sadece mesaj içeriğinden ibaret değil ve işte burada iki uygulamanın yolu ayrılıyor.

İlk fark açık kaynak meselesinde ortaya çıkıyor. Signal’ın kodları herkese açık; dünyanın herhangi bir köşesindeki bağımsız bir güvenlik araştırmacısı istediği zaman inceleyip “burada gizli bir arka kapı var mı?” diye bakabiliyor. WhatsApp şifreleme için aynı protokolü kullanıyor ama uygulamanın kendisi kapalı kaynak. Meta’nın arka planda tam olarak ne yaptığını kimse dışarıdan doğrulayamıyor, bu da akıllarda bir soru işareti bırakıyor.

İkinci ve daha önemli fark: meta veri. Meta veri, konuşmanın içeriği değil; kiminle, ne zaman, ne kadar süre konuştuğunuz, hangi saatlerde aktif olduğunuz, cihazınız, IP adresiniz, rehberinizdeki kişiler. WhatsApp mesajlarınızı okuyamazken bu verileri topluyor ve Meta’nın reklam sistemine aktarıyor. Dün bir ürünü konuşup bugün reklamını görmenizin sebebi mesajlarınız değil, bu meta veri profili.

Signal ise kâr amacı gütmeyen bir vakıf tarafından yönetiliyor, reklam yok. “Mühürlü Gönderici” (Sealed Sender) adında bir teknoloji kullanıyor: gönderici bilgisi de şifreleniyor. Yani mektubun üzerinde gönderici adresi yazmıyor, adres mektubun içinde. Signal sunucuları mesajın kime gideceğini görüyor ama kimden geldiğini bilmiyor.

Devlet talepleri geldiğinde her iki şirket de “elimizde şifre çözme anahtarı yok” diyor — bu teknik olarak doğru. Ama WhatsApp yine de arama loglarını, IP adreslerini ve bağlantı kayıtlarını teslim edebiliyor. Signal’a ABD federal mahkemelerinden birden fazla kez veri talebi geldi ama Signal her seferinde aynı cevabı verdi: hesabın oluşturulma tarihi ve son bağlantı saati. Bunun dışında sistemde hiçbir şey yok, çünkü hiç tutulmadı.

E2EE Hangi Durumlarda Çaresiz Kalır?

Uçtan uca şifreleme, mesajınız yoldayken neredeyse kırılmazdır. Ama “yolda” kelimesinin altını çizmek lazım; çünkü bu koruma sadece transit süreçte geçerli. Mesaj henüz klavyedeyken ya da karşı tarafın ekranına düştükten sonra olan biten, E2EE’yi hiç ilgilendirmiyor.

Pegasus meselesi

NSO Group’un geliştirdiği Pegasus casus yazılımı, bunu en çarpıcı şekilde gözler önüne seriyor. Pegasus, telefona sızmak için bir linke tıklamanıza bile gerek bırakmıyor; siz farkında değilken sisteme yerleşiyor ve siz klavyeye basarken mesajı okuyor. Yani şifreleme başlamadan önce iş bitmiş oluyor.

Bulut yedekleme tuzağı

Telefondaki sohbetler şifreli, peki ya yedekler? WhatsApp mesajlarınızı iCloud veya Google Drive’a yedekliyorsanız, o yedekler varsayılan olarak E2EE koruması dışında kalıyor. Yani şifreli bir konuşmanın kopyası, bulutta düz metin olarak durabilir. WhatsApp’ın “Uçtan Uca Şifreli Yedekleme” özelliği var ama kapalı geliyor; kendiniz açmanız gerekiyor ve çoğu kullanıcı açmıyor.

En eski saldırı yöntemi: insan

Matematiksel şifreleri kırmak zor, ama insanları kandırmak kolay. WhatsApp Web’e bağlanırken kullandığınız QR kodu taklit eden sahte sayfalar var — buna siber güvenlik literatüründe QRLjacking (Quick Response Code Login Jacking) deniyor. Kodu taradığınız anda hesabınız saldırganın ekranında açılıyor. Bir de tabii fiziksel erişim var; kilitsiz bırakılmış bir telefon, tüm şifrelemeyi tek hamlede geçersiz kılıyor.

Sonuç: Dijital Dünyada Mutlak Güvenlik Var mıdır?

E2EE, mesajlarınızı internet servis sağlayıcınızdan, ağı dinleyen saldırganlardan ve şirketlerin kendi sunucularından koruyor. Bu küçük bir şey değil. Ama mükemmel değil ve bunu söyleyen kaynakların başında bu teknolojiyi geliştirenlerin kendileri geliyor.

En güçlü şifreleme bile yanlış ellere geçmiş bir telefonu, dikkatsizce taranan bir QR kodu ya da şifresiz bırakılmış bir bulut yedeğini kurtaramıyor. Güvenlik zincirinin en zayıf halkası her zaman teknoloji değil, onu kullanan insan.

Yapabileceğiniz birkaç basit şey var: WhatsApp kullanıyorsanız yedekleme şifrelemesini açın, mümkünse Signal’i tercih edin ve telefonunuzu kilitsiz bırakmayın.

Kaynakça

1. Meta Engineering — WhatsApp E2EE Backups
2. Signal — Big Brother: CD California Grand Jury
3. Signal — Big Brother: Eastern Virginia Grand Jury
4. EFF Surveillance Self-Defense — Deep Dive: End-to-End Encryption