Kriptografi

Uçtan Uca Şifrelemeye İhtiyacımız Yok, Eşler Arası Şifrelemeye İhtiyacımız Var: Güvenli İletişimin Geleceği

U
Uğur Toprakdeviren
7 okuma

Sunucu tabanlı uçtan uca şifreleme (E2EE) ile yıllarca deneyim kazandıktan sonra, gerçek eşler arası iletişimi mümkün kılmanın yollarını araştırıyorum. E2EE’den P2PE’ye (Eşler Arası Şifreleme) geçebilirsek, mesajlaşma protokollerini ve güvenliği devrimleştirebilir. Güvenli iletişimin geleceği sunucusuz olabilir.

Neden P2PE?

  • Tam Kontrol: Blockchain ve Web3 çözüm değil; bilgilerimin başka bir yerde saklanmasını istemiyorum. İletişimimin tamamen bana ait ve anonim olmasını istiyorum. Bu benim kişisel hakkım.
  • Gerçek Güvenlik: İnsanlar Telegram’ın güvenli olup olmadığını tartışıyor. Hayır, hiçbiri güvenli değil. Mesajlarımı kendi sunucularında saklayan hiçbir hizmete güvenmiyorum.
  • OTR Mesajlaşmaya Gerek Yok: Gerçekten özgürce iletişim kurmamız gerekiyorsa, bu sunucular üzerinden değil, P2P üzerinden olmalı.
  • Kullanıcı Hakları: Şirketler için bir ürün olmaktan yoruldum. Anonim mesajlaşma tamamen mümkünken, yıllardır bizi telefon numarası kullanmaya zorluyorlar.

Teknik Zorluklar ve Çözümler

Karşılaşabileceğimiz tüm asenkron zorlukların, P2P, ICE ve NAT Traversal sorunlarının farkındayım. Ama aşılmaz bir sorun yok. Teknik olarak, hibrit olsa bile, her zaman bir çözüm bulunabilir.

  • Mühendislik Odaklı Yaklaşım: Sunuculara milyonlar harcamak yerine mühendislere yatırım yapmalıyız. YZ yapabilen zihinlerimiz P2P sorunlarını da çözebilir.
  • Pratik Çözümler: Threema ve Session gibi platformlar biriyle konuşmak için 64 baytlık bir hash paylaşmayı öneriyor. Bu hiç pratik değil ve hatalara açık.
  • Sunucu Rollerini Yeniden Tanımlama: Sunucular yalnızca sinyal işlemeyi üstlenmeli. Mesaj alıcıya ulaşana kadar sunucuda kalmak yerine, göndericide kalmalı.

E2EE’den P2PE’ye Geçiş

Yıllardır E2EE mesajlaşma uygulaması geliştiren bir şirkette çalışan biri olarak, binlerce farklı senaryo ve teknik zorlukla kişisel olarak karşılaştım. İşte E2EE’nin ne kadar karmaşık olabileceğini gösteren bir senaryo:

  1. Alice uygulamaya kaydoluyor.
  2. Bob uygulamaya kaydoluyor.
  3. Alice Bob’a bir mesaj gönderiyor.
  4. Bob mesajı almadan önce internetini kapatıyor.
  5. Bob uygulamayı telefonundan kaldırıyor.
  6. Alice gönderdiği mesajı siliyor.
  7. Bob uygulamayı yeniden yüklüyor.
  8. Mesaj sunucudan Bob’a geliyor.
  9. Bob sunucuya mesajı çözemediğini söylüyor.
  10. Alice, çözülemeyen mesaj hakkında sunucudan bilgi almadan önce uygulamayı telefonundan siliyor.
  11. Alice uygulamayı yeniden yüklüyor.
  12. Alice çözülemeyen bir mesaj olduğu bilgisini alıyor.
  13. Alice bu mesajın kime gönderildiğini anlamak için sunucudan Bob’un bilgilerini alıyor.
  14. Alice sunucuya bu mesajın kendisine ait olmadığını söylüyor.
  15. Bu bilgi Bob’a gidiyor.
  16. Bob bunun kim olduğunu bilmiyor çünkü Alice uygulamayı sildi.
  17. Bob sunucuya bunun kim olduğunu soruyor.
  18. Bob ve Alice yer değiştiriyor. Zincir değişiyor ve Bob Alice oluyor, Alice ise Bob oluyor.

Bu senaryolar HMAC gibi kimlik doğrulama mekanizmaları olmadığında ortaya çıkıyor ve programın mantığındaki herhangi bir hata tüm sistemi bozabilir.

Deneyimlerime göre, sunucu mimarisi ne kadar karmaşıksa, o kadar çok arıza noktası var. Gerçek güvenlik, bu arıza noktalarını tamamen ortadan kaldırmaktan gelebilir.

Sonuç

P2PE şüphesiz güvenli iletişimin geleceğidir. Mühendisler olarak, E2EE’nin karmaşık zorluklarını zaten fethettik ve dijital güvenlikteki karmaşık sorunları çözme kapasitemizi gösterdik. Şimdi aynı mühendisliği ve kararlılığı P2P iletişimine uygulama zamanı. Zorluklar ilk bakışta göz korkutucu görünebilir, ancak aşılmaz olmaktan çok uzaklar.

İhtiyacımız olan şey yaklaşımımızda ve kaynak tahsisimizde bir değişiklik. Sunucu altyapısına milyonlarca dolar dökmek yerine, bu P2P zorluklarıyla doğrudan mücadele edebilecek mühendislerin parlak zihinlerine yatırım yapmalıyız. Odağımızı ve kaynaklarımızı yeniden yönlendirerek, E2EE’nin inceliklerinde ustalaştığımız gibi bu engelleri de aşabiliriz.

P2PE’nin potansiyel faydaları görmezden gelinemeyecek kadar önemli. Bize gerçek güvenlik ve mahremiyet vaadi sunuyor — mesajlarımız üzerinde tam kontrole sahip olduğumuz ve sonunda sunucu bağımlılığını ortadan kaldırabildiğimiz bir sistem. Bu sadece teknolojik ilerlemeyle ilgili değil; dijital çağda özel, güvenli iletişim hakkımızı geri almakla ilgili.

Evet, aşılması gereken teknik engeller var. Ancak doğru odak, kaynaklar ve mühendislik yeteneğiyle, bu zorlukları inovasyon fırsatlarına dönüştürebiliriz. Mühendislerimizi kullanıcı mahremiyetini ön plana koyan gerçek anlamda merkeziyetsiz, güvenli iletişim sistemleri yapmaya yetkilendirmenin zamanı geldi.

Özünde, P2PE sadece teknolojik bir değişimden daha fazlası — dijital iletişime yaklaşımımızda bir paradigma değişikliği. Bu vizyona yatırım yaparak, sadece teknik sorunları çözmüyoruz; güvenli, özel iletişimin sadece ayrıcalıklı birkaç kişi için değil, herkes için bir gerçeklik olduğu bir geleceğin yolunu açıyoruz. Yolculuk karmaşık olabilir, ancak varış noktası — gerçek anlamda güvenli, sunucusuz iletişim dünyası — çabaya değer. P2PE bu vizyonu gerçekleştirmenin anahtarı ve onu gerçeğe dönüştürmeye tam olarak bağlanmanın zamanı geldi.