Telegram gerçekten şifreli bir mesajlaşma uygulaması mı?

 (blog.cryptographyengineering.com)
9 puan yazan GN⁺ 2024-08-26 | 2 yorum | WhatsApp'ta paylaş
  • Kısa süre önce Telegram CEO’su Pavel Durov’un Fransız yetkililer tarafından tutuklandığı bir olay yaşandı
  • Haberlerin çoğu Telegram’ı "şifreli mesajlaşma uygulaması" olarak tanımlıyor; bu teknik olarak doğru olsa da pratikte yanıltıcı bir ifade

Telegram şifreleme kullanıyor mu?

  • Modern kişisel mesajlaşma hizmetlerinde şifreleme, varsayılan olarak genelde uçtan uca şifreleme anlamına gelir
  • Telegram varsayılan olarak uçtan uca şifreleme sunmaz
  • Uçtan uca şifreleme ancak kullanıcı doğrudan "gizli sohbet" özelliğini etkinleştirirse mümkündür
  • Bu özellik yalnızca bire bir konuşmalarda kullanılabilir; grup sohbetlerinde kullanılamaz
  • Teknik olmayan kullanıcıların bu özelliği etkinleştirmesini zorlaştıracak şekilde tasarlanmıştır

Varsayılan şifreleme önemli mi?

  • Telegram’daki varsayılan şifreleme eksikliği birçok kullanıcı için büyük bir sorun olmayabilir
  • Telegram çoğu zaman bir sosyal medya ağı gibi kullanılır
  • Telegram’ın popüler özelliklerinden biri "kanallar" ve büyük ölçekli herkese açık grup sohbetleridir
  • Bu tür açık sohbetlerde şifrelemenin büyük bir anlamı yoktur
  • Ancak birçok kullanıcının özel mesajlaşırken güçlü şifrelemeye ihtiyacı vardır

Telegram şifrelemenin zor olduğunu biliyor

  • Telegram’ın şifreleme yaklaşımı 2016’dan bu yana çok sayıda eleştiri aldı
  • Telegram hâlâ varsayılan şifreleme sunmuyor ve kullanıcı deneyimi de iyileştirilmiş değil
  • Telegram CEO’su Pavel Durov, Telegram’ı "güvenli mesajlaşma uygulaması" olarak tanıtıyor, ancak gerçekte durum böyle değil

Sıkıcı şifreleme ayrıntıları

  • Telegram’ın "gizli sohbet" özelliği, MTProto 2.0 adlı kendi protokolünü kullanır
  • Bu protokol standart dışı bir doğrulamalı şifreleme modu kullanır ve uzmanların soru sormasına yol açacak birçok unsur barındırır
  • Gerçekte kullanılmıyorsa, şifrelemenin ne kadar güvenli olduğunun da çok büyük bir anlamı yoktur

Bilinmesi gereken diğer noktalar

  • Uçtan uca şifreleme veri sızıntılarını önlemek için iyi bir araçtır, ancak metadata sorunu devam eder
  • Metadata; hizmeti kimin kullandığını, kiminle konuştuğunu ve ne zaman konuştuğunu içerir
  • Bu veriler Telegram’ın sunucularında saklanır ve bunları toplamak isteyenler için değerlidir

GN⁺ özeti

  • Bu yazı, Telegram’ın şifreleme özellikleri hakkındaki yanlış anlamaları düzeltmeyi amaçlıyor
  • Telegram varsayılan olarak uçtan uca şifreleme sunmaz; kullanıcının bunu kendisinin etkinleştirmesi gerekir
  • Telegram’ın şifreleme özelliklerini kullanmak zordur ve birçok kullanıcı bunun farkında değildir
  • Metadata sorunu hâlâ sürüyor; bu da tüm sosyal medya ağları ve özel mesajlaşma uygulamaları için geçerli
  • Varsayılan şifreleme sunan Signal veya WhatsApp gibi mesajlaşma uygulamaları öneriliyor

İlgili okumalar

2 yorum

 
GN⁺ 2024-08-26
Hacker News görüşleri

  • Yeni bir cihazda parola kurtarma prosedürü üzerinden hesaba giriş yapıp önceki mesajları görmenin mümkün olup olmadığının test edilmesi gerektiği yönünde bir görüş var

    • Mümkünse kolluk kuvvetleri de erişebilir

  • Telegram'ın bir mesajlaşma uygulamasından çok bir sosyal ağa daha yakın olduğu yönünde bir görüş var

    • Çok sayıda faydalı kanal var ve birçok ülkede bilgi paylaşımında önemli bir rol oynuyor
    • Bu açıdan bakıldığında e2ee (uçtan uca şifreleme) o kadar da önemli değil
    • Reddit, X, Instagram gibi çoğu sosyal medya platformu API'lerini kapatırken Telegram hâlâ ücretsiz API sunuyor

  • Telegram'ın varsayılan olarak şifreli olmadığı ve şifreli olsa bile önemli bilgilerin bağlı cihazlara emanet edilmemesi gerektiği yönünde bir görüş var

    • Telegram şu anda en iyi iletişim platformu
    • Çeşitli özellikler sunuyor ve diğer platformlara kıyasla işlevler açısından önde
    • Son olaylardan sonra da Telegram'ın ayakta kalmasını umuyor

  • Sorunun, teknik olmayan kullanıcıların çoğunun Telegram'ın genel olarak e2ee olduğunu düşünmesi olduğu yönünde bir görüş var

  • Telegram'ın e2ee sunma biçiminin McDonalds'ın salata sunma biçimine benzediği yönünde bir görüş var

  • Şifreleme konusunda çok bilgili olunmasa da Telegram'ın dağıtık altyapısının temelde kötü olmadığı yönünde bir görüş var

    • Yalnızca e2ee'ye odaklanmak yanlış anlaşılmalara yol açabilir
    • Telegram verileri korumak için dağıtık bir altyapı kullanıyor
    • Verileri ancak birden fazla hukuk sisteminin incelemesinden geçtikten sonra sağlayabiliyor
    • Şimdiye kadar üçüncü taraflara kullanıcı verilerini açıklamadı

  • Bu blog yazısı sayesinde Telegram'ın güvenli olduğunu iddia eden kişilere karşı iyi bir kaynak sunulabildiği yönünde bir görüş var

    • Signal, metadata sorununu bir ölçüde azaltabilen Sealed Sender adlı bir özellik sunuyor

  • Telegram hakkındaki bu tür yazıların teknik kişiler için iyi bilinen şeyler olduğu, ancak çoğu kullanıcının gazeteciler tarafından yanlış yönlendirildiği yönünde bir görüş var

    • Şifrelemeye ihtiyaç duyulup duyulmadığına her birey kendisi karar vermeli
    • Bilinçli seçim gerekli

  • Telegram'ın şifrelemesi o kadar kötüyse Pavel Durov'un neden tutuklandığını sorgulayan bir görüş var

    • Telegram'daki yasa dışı faaliyetlere yönelik soruşturmalarda iş birliği yapmadığı gerekçesiyle tutuklandı
    • Diğer sosyal ağların CEO'ları tutuklanmıyor
    • Bunun Telegram'da bir arka kapı olmamasından kaynaklanıp kaynaklanmadığı sorgulanıyor

  • Telegram'ı ağırlıklı olarak p2p e2ee sesli aramalar için kullandığını söyleyen bir görüş var

    • Bu özellik çok iyi