CoverDrop - Haber Okuyucu Uygulamaları için Güvenli Mesajlaşma Sistemi

 (github.com/guardian)
1 puan yazan GN⁺ 2025-06-11 | 1 yorum | WhatsApp'ta paylaş
  • Haber okuyucu uygulamalarının kullanıcıları ile gazetecilerin anonimlik ve inkâr edilebilirliklerini koruyarak güvenli biçimde iletişim kurmasını sağlayan açık kaynaklı güvenli mesajlaşma çözümü
  • Tüm kullanıcı cihazları rastgele şifreli trafik ürettiği için, mesaj alıp verseler bile ağ üzerinde bunun normal haber kullanımından ayırt edilmesi mümkün değil
  • Mesajlar çift katmanlı şifreleme ile ve aynı boyut ile sıklıkta işlenir; böylece cihazlara el konulması durumunda bile kanıt bırakmaz
  • Mobil uygulama, bulut API’si, güvenli sunucu ve gazetecilere yönelik masaüstü istemci gibi tam uçtan uca yapıdan oluşur
  • Şeffaf açık kaynak geliştirme, güçlü kriptografi ve haber kuruluşlarının ihtiyaçlarına optimize edilmiş özel işlevler, mevcut projelere kıyasla öne çıkan avantajlarıdır

CoverDrop’a Giriş

  • CoverDrop, haber şirketlerinin mobil uygulama kullanıcılarının muhabirlere gizli ve izlenemez şekilde mesaj gönderebilmesi için tasarlanmış güvenli bir sistemdir
  • Bu sistem güçlü inkâr edilebilirlik sağlar; böylece uygulamanın güvenli iletişim için mi yoksa normal haber tüketimi için mi kullanıldığını ağ analistleri ayırt edemez

Temel bileşenler

  • Haber uygulaması içindeki modül: Kullanıcının mobil uygulamasına entegre edilir
  • Bulut API’si: Merkezi temas noktası olarak görev yapar
  • CoverNode: Güvenli bir konumda çalışan hizmetler kümesi
  • Gazeteciler için masaüstü uygulaması: Muhabirlerin kullandığı PC istemcisi

Bu dört parçadan oluşan yapı, uçtan uca şifreleme ve güçlü güvenliği hayata geçirir

Nasıl çalışır

  • Haber uygulamasının tüm örnekleri düzenli aralıklarla sunucuyla küçük şifrelenmiş veri parçaları ("cover mesajları") alışverişi yapar
  • Gerçek ihbarlar (kaynak mesajları) da normal cover mesajlarıyla tamamen aynı şekilde şifrelenir ve iletilir. Ağ üzerinde ayırt edilemezler
  • Tüm mesajlar aynı boyut ve periyotta işlenir ve işlenmek üzere Kinesis akışına gönderilir
  • Sunucuda ilk aşama şifre çözme ve gerçek mesajların ayıklanması yapılır; ardından dead drop biçiminde gazeteci istemcisine teslim edilir. Padding ile dead drop boyutu eşit tutulur
  • Gazeteci, yalnızca kendi açık anahtarıyla şifrelenmiş mesajları nihai olarak deşifre edebilir
  • Mesaj deposu normal zamanda da şifreli durumdadır; bu sayede cihaza el konulması halinde bile gerçek bir konuşmanın olup olmadığı kanıtlanamaz
  • Gazeteci yanıt verdiğinde de benzer biçimde şifreli iletişim ve anahtar değişimi gerçekleştirilir

Daha ayrıntılı tasarım ve algoritma yapısı, Cambridge Üniversitesi Bilgisayar Bilimleri Bölümü ile birlikte hazırlanan white paper içinde incelenebilir

Güvenlik politikası

  • CoverDrop’ta güvenlik en yüksek önceliktir
  • Tam güvenliğin imkânsız olduğu kabul edilir ve güvenlik araştırmacılarının bildirimleri memnuniyetle karşılanır
  • Mesaj gizliliği, bütünlüğü, ağ anonimliği ve inkâr edilebilir şifrelemeyle ilgili sorunlar sürekli iyileştirme alanlarıdır
  • Entegre haber uygulamasındaki diğer unsurların yol açabileceği yan kanal sorunları da aktif olarak iyileştirilmektedir

Kriptografik yazılım kullanımında dikkat edilmesi gerekenler

  • CoverDrop, kriptografik yazılım içerir
  • Her ülkenin kriptografi teknolojisinin ithalatı, kullanımı ve yeniden ihracatına ilişkin yasalarına uyulması gerekir
  • ABD Ticaret Bakanlığı BIS sınıflandırması: ECCN 5D002.C.1 (asimetrik kriptografi içeren yazılım)
  • Bu açık kaynak dağıtımı, ihracat istisnası hükmü (TSU, §740.13) kapsamındadır

Lisans

  • CoverDrop deposu Apache License 2.0 ile sunulmaktadır

İlgili okumalar

1 yorum

 
GN⁺ 2025-06-11
Hacker News görüşleri

  • Daha fazla açıklamaya ihtiyaç duyanlar için https://www.coverdrop.org/ ana sitesi bilgi verme amacı açısından faydalı görünüyor. Birleşik Krallık'ın 1920 tarihli Official Secrets Act'i gazetelerle anonim iletişimi koruyordu, ancak sonraki yasa değişikliklerinde bu kısmın kaldırılmış olması üzücü görünüyor.

  • Birçok haber kurumu zaten https://securedrop.org/ kullanıyor; bu yüzden CoverDrop'ın nasıl farklılaştığı ve neden daha iyi olduğu merak uyandırıyor. Desteklenen yayın kuruluşları dizini https://securedrop.org/directory/ adresinde görülebilir.

    • Makalede zaten ele alındığı gibi, SecureDrop ve CoverDrop biraz farklı senaryolara odaklanıyor. SecureDrop, TOR kullanıyor; bu da ağ seviyesinde veya cihaz üzerinde tespit edilebilir, dolayısıyla bazı durumlarda yalnızca TOR kullandığı gerçeği bile muhbirin kimliğini açığa çıkarma riski taşıyabilir. Buna karşılık bir haber uygulaması yüklemek daha az şüpheli bir durum yaratabilir. CoverDrop, teknik bilgisi az kullanıcıların ilk teması ifşa olmadan kurması için uygun. Ağ trafiği sıradan kullanıcılarınkinden ayırt edilemiyor ve uygulama depolaması gerçekten kullanılsın ya da kullanılmasın yer kaplayarak inkâr edilebilirlik sağlıyor. CoverDrop, SecureDrop gibi büyük dosyalar gönderemiyor; bu yüzden makalede, gerekirse gazetecinin CoverDrop mesajı içinde SecureDrop'ı güvenli şekilde nasıl kullanacağını anlatmasının önerildiği belirtiliyor. Bu nedenle güvenlik farkındalığı ve teknik yeterliliği yüksekse doğrudan SecureDrop'a gitmek daha basit bir seçenek olabilir.

    • SecureDrop harika ve The Guardian da bunu kullanmayı sürdürecek. Buradaki büyük fark, Tor Browser kurmadan anonimlik sağlaması; bunun haber uygulamasının içine yerleştirilmesi, teknik olmayan muhbirler için eşiği belirgin biçimde düşürüyor. Temelde iyi OPSEC elde etmeyi destekliyor. CoverDrop (Secure Messaging) şimdilik bazı sınırlara sahip: Öncelikle protokol gereği belge yükleme mümkün değil, bu yüzden günde yalnızca birkaç KB gönderilebiliyor. Şu anda gazeteciler duruma göre kullanıcıyı Signal'e yönlendirebiliyor. Gazeteci önce kaynağın kimliğini ve tehdidi değerlendirip ardından Signal numarasını verdiği için, riskin bir kez süzülmesini sağlayan iyi bir yapı. Gelecekte, CoverDrop sistemi içinde risk değerlendirmesi yaptıktan sonra anonimliği mümkün olduğunca bozmadan belge yükleme bağlantısı gönderme seçeneği de değerlendiriliyor; örneğin şifrelenmiş e-posta eki gibi kamufle edilmesi tartışılıyor. İlgili makale de var. Bir başka kısıt da sistemin anonimlik gücünün uygulamanın geniş ölçekte kullanılmasına bağlı olması; küçük bir haber kuruluşu bunu uygularsa bu özellik zayıflayabilir. Yine de pratikte, yalnızca inkâr edilebilir depolama yapısının bile diğer muhbir yöntemlerine (PGP, Tor tabanlı vb.) kıyasla büyük ilerleme olduğu düşünülüyor. Üstelik bu uygulamayı yalnızca siz kullanıyor olsanız bile oldukça güvenli olması olumlu bir nokta gibi görünüyor.

    • Aynı soru ana sayfadaki FAQ'da da yer alıyor.

  • Bu fikir gerçekten çok hoşuma gitti; eskiden CIA'in Star Wars hayran siteleri gibi yerlerde kurduğu gizli iletişim sistemlerini hatırlatıyor. The Guardian bunu açıkça söylememiş olsa da, uygulamanın da gerçekten böyle bir örtü hikâyesiyle tasarlanmış olması, haber uygulaması kılığının ne kadar iyi bir yaklaşım olduğunu düşündürüyor. Yine de kişisel bir tavsiye eklemek isterim: Bu uygulama üzerinden sızıntı planlıyorsanız, herhangi bir zamanda soruşturmaya konu olabilecek cihazlarda kullanmak istemezdim. Örneğin işveren tarafından verilmiş bir iş telefonu olabilir; Guardian uygulamasını kurmak başlı başına sorun olmasa da, kurum içi bir soruşturmada Guardian üzerinden önemli bir haber çıkarsa liste şöyle daraltılabilir: 1. Başlangıçta o bilgiye erişimi olan kişiler 2. Bunlar arasından uygulamayı kurmuş olanlar, indirme izi bulunanlar veya cihazını teslim etmeyi reddedenler. Yalnızca küçük bir grubun bildiği bir bilgiyi sızdırıyorsanız ya da cihaz gerçek kullanıcıya bağlıysa, maruz kalma riskini azaltmak için başka birinin cihazını (örneğin aileden birinin) kullanın. Asıl amaç soruşturmada şüphe çekmemek; bu uygulama ve sağlanan bilgilerin Guardian haberine doğrudan bağlanabileceği düşünülürse, teknik olarak güvenli olsa bile mükemmel bir örtü hikâyesi sunmak zor. Son tavsiye olarak, sizinle ilişkilendirilmesi zor bir cihaz kullanmak sızıntı durumunda daha fazla güvenlik sağlar. Bu noktanın tehdit modelinde açıkça belirtilmemesi, ek mağdurlar doğurabilir.

    • Projenin teknik lideri olarak yorum yapayım: İş telefonu kullanılmaması gerektiğine katılıyorum; özellikle birçok kurumsal cihaz fiilen casus yazılım gibi çalışan mobil yönetim çözümleri (MDM) içeriyor. Anonim kalabalığın küçük olduğu durumlarda yalnızca teknik yaklaşımla sınırlar olduğu da yeniden doğrulanıyor. Uygulama kullanımının muhbirlik senaryolarında dahi yeterince inkâr edilebilir olması için çok çaba harcıyoruz. Veriler "genel" ve "özel" depolama alanları olarak ayrılıyor; özel veriler sabit boyutlu, şifrelenmiş depoda tutuluyor ve Cambridge'deki bir ekip üyesinin geliştirdiği KDF tekniğiyle (bağlantı) korunuyor. Ancak cihaza casus yazılım yüklenmişse tüm bu çabalar anlamsız hale geliyor. Bu riski ekip içinde fark edip tartıştık ve FAQ açıklamalarını daha da geliştirmeyi planlıyoruz; özellikle MDM uyarısını daha açık yazacağız. Yakında güncelleme planlanıyor. Ayrıca root edilmiş ya da debug modundaki cihazları algılama ve uyarı verme özellikleri de eklenmiş durumda. MDM tespiti kedi-fare oyununa benzediğinden, kullanıcının en baştan iş cihazı kullanmaması en iyi önlem gibi görünüyor.

  • Resmî sürümün ne zaman çıkacağı ve Obtainium'a eklemek istendiğine dair bir zamanlama sorusu.

    • Bu proje bir kütüphane olduğu için buna uygun bir kayıt olup olmadığından emin değilim. Asıl kayıt edilmesi gereken, bunu kullanan uygulama olur ve şu anda görünen tek örnek Guardian uygulaması. İleride Guardian ekibinin Play Store dışında dağıtım planı olup olmayacağı konusunda yanıt bekleniyor.