Haberin İngilizcesi için tıklayın
Dijital güvenlik, özünde tek bir kavrammış gibi gözükse de İngilizcede iki ana kavramdan oluşuyor. Bunlar sırayla “digital security” ve “digital privacy”. Ne yazık ki hem “security”, hem de “privacy” kavramları Türkçede “güvenlik” olarak sadeleştirilmiş zamanında.
Ama ne büyük bir yanlış yapılmış, bir bilseniz…
“Security”, dijital dünyada dışarıdan gelen saldırılara karşı ne kadar güvende olduğunuz anlamına gelir aslında. Yani duvarlarınızın ne kadar sağlam, kontrolünüzün ne kadar sıkı olduğuyla alakalıdır. “Security" denince aklınıza bu gelmeli.
Öte yandan “privacy”, size ait olan şeylerin dışarıya karşı ne kadar açık edileceğine dair güvenliği tanımlar. Bilişim dünyası dışında çevirisi gayet yerindedir: Mahremiyet.
Nedense Türkçede “dijital mahremiyet” hiçbir zaman yeterli desteği alamadı. Kullanılmıyor mu derseniz, akademik ortamlarda ya da işi ciddiye alanlar arasında elbette kullanılıyor.
Ama günlük dil kullanımında “dijital güvenlik”, güya bu iki kavramı her anlamda karşılıyor. Ama ben bu yazıyı daha anlamlı kılabilmek için dışarıya karşı korumayı “güvenlik,” size ait olanın kontrolünün sizde kalmasını ise “mahremiyet” olarak tanımlayacağım.
Soru #1: Şifreleme nedir?
Tam olarak bu noktada, dijital hayatımıza giren kavramlardan biri de şifreleme oluyor. İngilizcede “encryption” gibi havalı bir karşılığı olsa da, “şifreleme” gayet yerinde bir çeviri. Yaptığı iş ise, aslında çok basit: Veriyi şifrelemek.
Tabii “veri” derken neyi kastediyoruz burada? Ben, şifrelemeyi anlatırken veri kavramını iki ana kaleme ayırıyorum.
İlki telefon ya da bilgisayarımız içerisinde barındırdığımız veriler.
İkincisi ise dışarıya yolladığımız kimi zaman web’de gezinmek, kimi zamansa iletişim kurmak için kullandığımız veriler.
İkisi de ayrı ayrı anlatılmalı, çünkü her ne kadar şifreleme eylemi ikisi için de denkmiş gibi kullanılıyor olsa da aslında değiller.
Soru #2: Cihazdaki veri neden ve nasıl şifrelenir?
Bu işin “nasıl”ı çok da önemli değil aslında. Yani telefonunuzdaki bir veriyi şifrelemek hayli kolay, bilgisayar için biraz takla atmak gerekse de ben en azından “zor” diye nitelendirmezdim.
Önce şifrelemenin “nedeni”ni anlamamız gerekli. Çünkü şu anda şifreleme, “bir şeyler saklamak”la eşdeğer tutulması sebebiyle kitlelerin konuya dair yanlış bilgilenmesine yol açıyor.
Bilgisayar ya da telefonunuzun içerisindeki verinin şifrelenmesi, mahremiyet ile ilgili bir kavram. Bu kadar basit. Olayı zihniniz gibi düşünün. Size ait düşüncelerin başkaları tarafından gözden geçirilmesi fikri hoş mu? Tabii ki değil. Ama bu, birisi size soru sorduğunda cevap vermeyeceğiniz anlamına da gelmiyor. Sadece aklınızdan geçen her şeyi değil, süzgeçten geçirerek paylaşmak istediğinizi dış dünyayla paylaşıyorsunuz.
Cihazdaki sabit verinin şifrelenmesinin asıl muhattabı çok bariz olduğu üzere hırsızlar aslında. Telefonunuz ya da bilgisayarınız çalındı, doğal olarak kişisel yazışmalarınızın ya da fotoğraflarınızın başkalarının eline geçmesini istemezsiniz.
Olay bu, şifrelemenin sırrı siz cihazın başında değilken birisinin size ait olan şeylere sizden izinsiz bakamamasında.
Hırsızlık ve size ait olan mahremiyetin elinizden alınması bu noktadan dallanıp budaklanıyor işte. Olay sadece telefonun kendisiyle sınırlı değil çünkü.
Örneğin arada telefonunuzun yedeğini alıyorsunuz, kablosuz ya da bilgisayara bağlayarak. İşte o yedeklerin de şifreli olması gerekli ki, birileri o yedekleri buldu mu yine size ait özel şeyleri sizi tehdit etmek, ya da sevdiklerinize zarar vermek için kullanmasın.
Hatta kimliğinizin fotoğrafıyla kredi almak, adınıza iş yapmak ve sizi sıkıntıya sokmak da birer alternatif. Şifrelemenin sabit verideki temel amacı bu.
Telefonda, şifreleme işi neredeyse kendiliğinden oluyor. Eğer Apple iPhone kullanıcısıysanız, iOS8’den itibaren telefona bir parola kodu koyduğunuz anda telefonunuz şifreli hale geliyor. Apple, bunu otomatik gerçekleştiriyor.
Eğer kullandığınız telefon Android işletim sistemine sahipse, (Sony, Samsung, HTC, LG, Meizu, Xiaomi, Motorola, Huawei, Alcatel, Asus, OnePlus ve niceleri) bu işlemi sizin başlatmanız gerekli. Cihaza parola atarken sadece ekranı kilitleyebilir ya da cihazı komple şifreleyebilirsiniz.
Telefonda şifreleme için ek bir program, yasadışı sayılabilecek herhangi bir uygulama ya da yöntem bulmanıza gerek yok. Çünkü bu, kullanıcı olarak zaten sizin hakkınız. Eğer şifreleme eylemi bir “suç” olsaydı, Apple’a ait ürünlerin Türkiye’de satışının yasaklanması gerekirdi. Dediğim gibi, iPhone tarafında şifrelemeyi ortadan kaldırmanın yolu yok çünkü.
Bilgisayar tarafında ise işler biraz daha karışık tabii. Eğer Apple’ın ürettiği Mac bilgisayarlardan (masaüstü ya da dizüstü) kullanıyorsanız, ayarların içerisinde “FileVault” seçeneğini kullanarak bilgisayarınızın içerisindeki verileri şifreleyebilirsiniz. Bilgisayarınızı açarken kullandığınız parola ile dosyalarınızın şifresi açılır, siz de her türlü veriye bakabilirsiniz.
Windows’un ise bu konuda geriden geldiğini söylemek lazım. Windows 10 öncesinde zaten şifreleme yaygın kullanılan bir çözüm değildi. Windows XP’den beri yerleşik şifrelemeye yer veriyor Microsoft, Windows 8.1 ile de şu anda standardını oturttuğu şifreleme sistemini kullanıyor ama bunlar herkese açık olmadı.
Windows 10’da ise sadece bazı sürümler (Pro ve üstü) dahili şifrelemeyi size sunuyorlar. Bunun dışında da ilerleyen aylarda adını olumsuz şekilde duyabileceğimiz VeraCrypt gibi programlar kullanılıyor.
Yani Windows kullanıcısı iseniz (ki Türkiye’de çoğunluk öyle) sistemin kendi şifreleme çözümleri yoksa, üçüncü parti çözümler bulabiliyorsunuz.
Bilgisayar, hele ki dizüstü kullanıyorsanız aslında şifreleme sizin için daha da önemli olabilir. Özellikle iş için kullanılan bilgisayarlarda iş temelli yazışmalar, dosyalar, tablolar, sunumlar bulmak mümkün.
Bu bilgisayarların yanlış ellere geçmesi, çalıştığınız işyerine zarar verebileceği gibi sizin işyerindeki pozisyonunuzu da sarsabilir. 2000 liralık bir bilgisayarı çaldırmakla birkaç ay sonra açıklayacağınız bir projenin teknik çizimlerinin rakip firmaya sızması arasında ciddi fark var çünkü.
Olay sadece işe dair verilerle sınırlı değil. Kişisel verileriniz telefonda olduğu kadar bilgisayarda da değerli. Yine bu verilerin sizin kontrolünüz dışında başkalarının eline geçmesi engellenmeli.
Soru #3: Konuşmalar neden ve nasıl şifrelenir?
Sabit verinin ötesinde bir de yapılan konuşmaların şifrelenmesi mevzusu var. Genelde şifrelemenin gündeme gelmesi, kötücülleştirilmesi ve kullanan insanların da ötekileştirilmeye çalışılması birazcık konunun bu tarafıyla ilgili.
Normal telefon konuşmalarını şifrelemek, mümkün ama çok dertli bir işlem. “Uydu şifrelemesi” gibi 1990’ların bilimkurgu filmlerinden fırlama bir terim yaygın olsa da, biz sıradan insanların ilgisini çekecek şeyler değiller.
Çünkü kullanımları göreceli olarak kolay değil. Genelde hükümet yetkilileri, milyarder firmaların önemli yöneticileri gibi kişiler kullanıyorlar şifreli aramayı. Malum, iletişimde şifrelemenin ne kadar “kötü” bir şey olduğunu duyuyorsanız bir yerlerden bunun kaynağı çoğunlukla ya istihbarat çalışanları, ya da tüm bu iletişimden reklam verileri çekerek para kazanan şirketlerin yöneticileri olur. Şirket veya devlet sırlarını korumak amacıyla sırtını şifrelemeye dayayan insanların biz “sıradan” halk benzer hakları talep ettiğinde bize aksini söylemeleri ne kadar da ironiktir aslında.
Ama iletişimde şifreli yöntemler hayatımızda neredeyse 20 yıldır varlar. 1990’larda “Cipher Chip” adı altında üretilen bir yonga, teorik olarak bilgisayarlara takılacak ve her türlü iletişim şifreli olarak yürütülse bile NSA, FBI gibi istihbarat birimleri bu iletişimleri gözleyebileceklerdi.
Önce bu yonganın hack’lenmesi, ardından 1997’ye kadar gelen kamuoyu baskısıyla proje rafa kaldırıldı, ama çağımızın ilk büyük şifreli iletişim skandalı “Cipher Wars” adı altında tarihe böyle geçmiş oldu.
Bugüne baktığımızda telefonlarımızda kullandığımız birçok uygulama “uçtan uca şifreleme” dediğimiz, sadece konuşan kişiler arasında şifrelemenin gerçekleştiği bir teknoloji sunuyor.
En çok kullanılanı WhatsApp, bir zamanlar popüler olanı ama aslında işini o kadar da iyi yapmayanı Telegram. Eğer ayarlarını kurcalayıp aktifleştirirseniz Facebook Messenger ya da Google Allo da yine şifreli iletişimi sunanlardan.
Signal App, büyük şirketler kontrolünde olmayan başka bir örnekken iPhone’ların normal mesajlaşma sistemi iMessage ise doğrudan doğruya şifreli.
Peki bu şifreli sistemler neden var? Hemen günlük bir örnekle başlayalım: Yeni bir kahve makinesi almak için interneti gezdikten 5 dakika sonra girdiğiniz haber sitesinde sürekli kahve makinesi reklamları görmekten nefret edersiniz ya.
İşte bir arkadaşınıza spor ayakkabı almak istediğinizi ve bir iki marka adı yazdığınızı, hemen ardından telefonda haberleri okurken spor ayakkabı reklamlarıyla boğuştuğunuzu düşünün. Bu, bilimkurgu değil.
Bu bizlerin iletişiminin hunharca ve haklarımız gasp edilircesine incelenerek reklam verilerine dönüştürülmesi. Yani şifreli iletişim suç işlemekten öte konuşmamızın bize ait olmasını sağlamak için var.
Bir başka örnek de şudur: Dijital bir konuşma, dışarıda bir arkadaşınızla buluştuğunuzda konuşmaktan farksızdır aslında. Siz bir yerde oturup konuşurken birileri gelip yanınıza sohbetinizi dinliyor mu? Kelimelerinize göre size kartona çizilmiş reklamlar gösteriyor mu? Tabii ki hayır. Peki aynı şeyin dijital dünyada gerçekleşmesine neden göz yumulsun ki?
Yani anlayacağınız, şifreli konuşmanın “devrim” yapmakla, “örgüt”le, “terörizm”le bir bağlantısı yok. Teröristlerin konuştuğu lisanın, giydikleri pamuklu kumaşın, taktıkları güneş gözlüğünün, bindikleri halk otobüsünün, evde kullandıkları elektriğin de “terörizm”le bağlantısı olmaması gibi.
Soru #4: Tüm internet trafiği neden ve nasıl şifrelenir?
Gelelim şifrelemedeki son basamağa. Biliyorum, ana kalemlerde bunu saymadım, çünkü biz aslında buradaki maddeyi şifreleme için kullanmıyoruz. VPN; yani “Virtual Private Network” dediğimiz sistem aslında sansür duvarını aşmak için kullanılan bir sistemden çok daha fazlası.
VPN’ler, düzgün programlandığında siz ve bağlandığınız uzak sunucu arasındaki veri iletimini şifrelemekle yükümlüdür. Yine bu şifreleme sistemi de politik çıkarlar sebebiyle bazı ülkelerde ötekileştirilmekte (Çin ve Rusya VPN’leri yasadışı ilan etti) ama biraz önce anlattığım reklam döngüsünden çok da farklı değil.
Burada kullanıcının bir ürün olması, kişiliğinin ve onu tanımlayan özelliklerin bir mal gibi alınıp satılabiliyor olması korkutucu olan.
Soru #5: Şifreleme kötü bir şey mi?
Tabii bu örnekler dışında başka şifreleme sistemleri de mevcut. Şifreli e-posta sistemleri var örneğin. Gmail, Hotmail, Yahoo gibi sistemler sizin postalarınızı birer metin belgesi olarak tutuyor, bunları tarıyor, bunlar üzerinden size gerekirse reklam içeriği sunuyorlar.
Yine bir malsınız, yine özel konuşmalarınızda gerçekten sevdiğinizi söylediğiniz bir içecek için reklam firmalarına para karşılığı satılıyorsunuz. Veya bu veriler talep edilen yerlere bir şekilde iletiliyor. Ya da şifreli bilgisayar iletişim uygulamaları var, telefonda yapabildiğinizi bilgisayar ortamında yapabiliyorsunuz.
Ama asıl tartışmaya gelelim: Şifreleme çözümleri gerçekten kötü şeyler mi?
Kısa cevap olarak; hayır değiller. Burada da noktalandırılabilir bu yazı.
Siz uzun cevabı istiyorsanız, biraz karışık olduğunu da kabul etmek gerekli. Dünyada iyi niyetle bulunan birçok şeyin kötüye kullanımı var elbette. Şifrelemenin de aslında kötülüğü körükleyen bir şey değil, ama birçok karmaşık yapı gibi kötüye de kullanılabildiğini anlamalıyız. Şifreleme, bir engelden öte kişilerin özlük haklarını savunmak adına kullandıkları bir destek aracından başka bir şey değil.
Başka bir bakış açısı ise, birisinin tehdit oluşturduğuna dair yeterli kanıt var ise, o kişi tüm elektronik aletleriyle birlikte hukuk sistemine dahil edilir. Şifreleme ise, bilgisayar ya da telefonda sizden bağımsız verilere ulaşılamamasını sağlar. Yani açılışında parola olsa bile şifrelenmemiş bir disk sökülüp başka bir bilgisayara bağlanarak incelenebilir.
Ama zaten işbirliği yapmanız gerekiyorsa, sizden şifre ya da parmak izi alınıp o cihazlar rahatça açılabilir. Eğer yasal bir arama emri varsa, zaten telefonu ya da bilgisayarı erişilebilir hale getirmeyi reddetmek sizi suçlu kılar. Veriler kontrol edilecekse eğer, sizin desteğinizle bu iş rahatça gerçekleştirilebilir. Zihin örneğine geri dönelim: Birisinin kafasına izni dışında bir alet takılıp düşünceleri çorba edilircesine taranırsa bunu insanlık suçu olarak görürüz. Aynı şekilde ondan izinsiz evinin, çekmecelerinin, günlüklerinin, bilgisayar ya da telefonunun aranması da farksızdır.
11 Eylül 2001’de küresel ölçekte saldırılara dair olan korkuların dijital mahremiyetimizin üzerine bir kabus gibi çökmesine izin vermemeliyiz aslında. “Sizi, sizin iyiliğiniz için gözetliyoruz” argümanından yarar çıkmaz çünkü. Şifrelemeyi gerek sabit veride, gerekse iletişimde kullanmanın hala öncelikli sebepleri mahremiyetimizi korumak ve kişisel verilerimizin güvenliğini sağlamak.
Tabii demokratik bir toplulukta baskının her çeşidi zehirlidir. Sizler mahremiyetinizi farazi bir güvenlik ağına tercih ediyor olabilirsiniz ve ben ya da başka birisi size böyle düşünmeyi yasaklamamalı. Dünyada tek de olmazsınız, çünkü son dönemde sesi daha çok duyulan İngiltere İçişleri Bakanı Amber Rudd ya da ABD Başkanı Donald Trump gibi kişilerle aynı kümenin parçası olursunuz. Yalnız bu kümenin en büyük problemi, genelde konuyu derinlemesine araştırmadan demeç vermeyi sevmesidir. İsimlerinin üstüne tıklayarak durumun ne kadar vahim olduğunu okuyabilirsiniz, ki okuduklarınız bu kişilerin tavırlarında buzdağının sadece görünen kısmı olacaktır ayrıca.
O nedenle evet, dijital dünyada mahremiyet ve dünyevi tehditler elbette tartışma konusu olsa da, bu iki nüfuzlu örnekten daha iyi performans sergilemek gerektiğini unutmamak lazım. En azından amacınız ciddiye alınmaksa. O zamana kadar benim önerebileceğim şey, nasıl ki arkadaşınızla yüz yüze sohbet ederken birisinin sizi dinlemesini kaldıramıyorsanız, dijital dünyada da bunun dengine göz yummamanızdır.
Aslında bu son cümle kadar basit, bu son cümle kadar kolay anlaşılabilir bir konu şifreleme. (SK/EKN)
