Matrix cihaz doğrulaması zorunlu hale geliyor

 (element.io)
1 puan yazan GN⁺ 2025-11-22 | 1 yorum | WhatsApp'ta paylaş
  • 2026 Nisan ayından itibaren doğrulanmamış cihazlar, Element'te uçtan uca şifreli (E2EE) mesaj gönderemeyecek veya alamayacak
  • Bu değişiklik, Matrix spesifikasyonu güncellemesi kapsamında geliyor ve tüm kullanıcıların konuşma güvenliğini güçlendirmeyi amaçlıyor
  • Cihaz doğrulaması, kullanıcının her bir cihazının gerçekten kendisine ait olduğunu kriptografik olarak kanıtlama süreci olup güvenilmeyen mesaj gösterimini ortadan kaldırıyor
  • Bundan sonra yalnızca doğrulanmış cihazlar konuşmalara katılabilecek ve uyarı simgesi veya kalkan göstergeleri ortadan kalkacak
  • Bu adım, güvene dayalı güvenli bir iletişim ortamı kurmanın temel aşamalarından biri

Güvenlik güncellemesine genel bakış

  • 2026 Nisan ayından itibaren Element, doğrulanmamış cihazların uçtan uca şifreli mesaj gönderip almasını engelleyecek
    • Bu, 2025 Ekim ayında düzenlenen Matrix konferansında duyurulan Matrix spesifikasyonu güncellemesi doğrultusunda atılan bir adım
    • Kullanıcıların mevcut cihazlarında şifreli mesajlaşmaya devam edebilmesi için cihaz doğrulamasını tamamlaması gerekecek
  • Bu güncellemenin amacı, mesajların gerçekten hedeflenen göndericiden geldiğini garanti etmek
  • Element, bununla en güvenli iletişim teknolojisini sunmayı hedefliyor

Doğrulanmamış cihazların riskleri

  • Doğrulanmamış cihazlar bir saldırı vektörü olabilir
    • Örneğin, konuşma sırasında bir uyarı simgesi göründüğünde bu yalnızca doğrulanmamış bir cihaz anlamına gelebileceği gibi bir hesap ele geçirme girişimi de olabilir
    • Bu tür uyarıları görmezden gelmek, ağ genelinde güvenlik risklerinin yayılmasına neden olabilir
  • Element, tüm kullanıcılara varsayılan olarak uçtan uca şifreleme sunuyor ve doğrulamayı zorunlu hale getirerek belirsizliği ve kötü niyetli faaliyet olasılığını ortadan kaldırmak istiyor

Cihaz doğrulamasının rolü

  • Cihaz doğrulaması, her cihaz arasında yapılan kriptografik bir 'handshake' olup ilgili cihazın gerçekten kullanıcıya ait olduğunu kanıtlar
  • Doğrulanmamış yeni bir cihazdan gönderilen mesajlar güvenilmeyen mesajlar olarak işaretlenir
  • Doğrulamayı zorunlu hale getirerek kullanıcılar, tüm mesajların güvenilir durumda olduğundan emin olabilir

Varsayılan tasarım olarak güven

  • Bundan sonra cihazlar iki durumdan birinde olacak: 'doğrulandı' veya 'konuşmaya katılamaz'
    • Uyarı veya kalkan simgeleri artık gösterilmeyecek
    • Bunun amacı, kullanıcıların uyarılara karşı duyarsızlaşması sorununu önlemek
  • Cihaz doğrulaması yalnızca bireysel korumaya değil, tüm ağın güven ortamını güçlendirmeye de katkı sağlıyor
  • Element, güvenliği en öne koyan bir sistem tasarımı benimsiyor ve doğrulama süreci bunun temel unsurlarından biri

Kullanıcıların yapması gerekenler

  • Cihazlarını zaten doğrulamış ve recovery key ayarlamış kullanıcıların ek bir işlem yapmasına gerek yok
  • Aksi halde kullanıcıların şu adımları uygulaması gerekiyor
    • Mobil, web, masaüstü gibi tüm cihazların doğrulama durumunu kontrol etmek
    • Kurtarma özelliğini ayarlamak (isteğe bağlı olsa da kuvvetle tavsiye edilir)
  • Kurtarma özelliği, yeni cihaz doğrulamasını basitleştirir ve tüm cihazlar kaybedilse bile doğrulamanın geri yüklenmesini sağlar
  • Platforma göre ayrıntılı adımlar Element'in kullanıcı belgelerinde bulunabilir

Doğrulama yapılmazsa uygulanacak kısıtlamalar

  • 2026 Nisan sonrasında doğrulanmamış cihazlar için kısıtlamalar
    • Mesaj gönderilemez
    • Alınan mesajların içeriği görüntülenemez (yalnızca mesajın ulaştığı görülebilir)
  • Sonuç olarak doğrulanmamış cihazlar E2EE konuşmalarda kullanılamaz
    • Ancak şifrelemenin devre dışı olduğu konuşmalara katılabilirler

Güven inşası ve destek

  • Element, cihaz doğrulamasıyla güven tesis edilmesini güvenli iletişimin temel unsuru olarak vurguluyor
  • Bu değişiklik, küçük görünse de güvenlik seviyesini önemli ölçüde artıran bir adım olarak değerlendiriliyor
  • Kullanıcılarla birlikte çalışarak tüm mesajların yüz yüze konuşmalar kadar güvenilir olmasını hedefliyor
  • Geçiş sürecinde destek ekibi kullanıcı sorularını yanıtlayacak ve sorunsuz uygulamaya yardımcı olacak

İlgili okumalar

1 yorum

 
GN⁺ 2025-11-22
Hacker News görüşleri

  • 3 ay önce sunucuyu kapatıp topluluğu tekrar IRC'ye taşıdım
    IRC'yi Podman container'larıyla çalıştırdığım kurulum duruyordu, bu yüzden kolayca geri döndüm
    Her ay cihaz doğrulama hataları, mesaj şifre çözme başarısızlıkları, UX sorunları gibi dertlerle uğraşıyordum
    İlk zamanlarda hızlı ilerliyordu ama son birkaç yıldır UX'te neredeyse hiç iyileşme olmaması üzücü
    Matrix ile Element arasındaki ilişki de artık kafa karıştırıcı geliyor

    • Genel Matrix kanallarında şok edici görsel spam (CSAM dahil) taşıyor
      Geliştirici ekip ilgisiz görünüyor ve önerilen “policy server” da hâlâ tamamlanmamış durumda
    • Element uygulamasını kurup matrix.org hesabı açarak mesaj göndermeyi denedim ama
      odalar ya boştu ya da gönderim takılıyordu; bir kez bile başarılı şekilde mesaj alışverişi yapamadım
    • Bence sorun MVP'nin yanlış tanımlanmış olması
      “Merkeziyetsiz JSON veritabanı” fikrine saplanıp
      gerçek bir sohbet sistemi olarak kullanılabilirliği kaçırmış gibiler
      Hâlâ kullanıyorum ama genel kullanıcıları çekmek için daha çok yolu var
    • IRC yeterliyse Matrix, şifreleme özellikleri gibi nedenlerle fazla ağır bir seçim olabilir
      IRC tabanlı bir topluluğu yükseltecek olsam Jabber(XMPP) daha gerçekçi bir alternatif gibi geliyor
    • Ben de benzer hissettim
      Arkadaşlarla test ettik ama pürüzlü UX yüzünden diğer mesajlaşma uygulamalarından daha rahatsız ediciydi
      IRC bridge desteği de kesilince kullanmak için neden kalmadı

  • Birkaç ay önce cihazlarım rastgele doğrulamayı kaybetti; kurtarma anahtarıyla giriş yaptım ama yine de doğrulanmış sayılmadı
    iOS, Linux, Windows ve Android arasında karşılıklı doğrulama hiç tutarlı değildi
    Böyle zorunlu doğrulama süreci fiilen istem dışı bir offboarding demek
    Sorunlu bir doğrulama yöntemi varsa bunun blogda duyurulması gerekir
    Element'i seviyorum ama böyle şeyler için ön hazırlık şart

    • Doğrulama özelliği geldikten beri bitmek bilmeyen sorunlar yaşıyorum
      Bazen başarıyor, sonra hemen oturum kapanıyor; eski cihaz doğrulama açılır pencereleri de durmadan çıkıyor
      Sonunda tüm profillerimi kaybedeceğim diye endişeleniyorum
    • Ben de aynı hayal kırıklığını yaşadım
      Bazen her açışımda 30 dakika sorun çözmek zorunda kalıyordum
      Fikir iyi ama harcanan emeğe karşılık alınan fayda oranı çok düşük
      OSS proje iletişimini de olumsuz etkiliyor
    • Acaba kendi sunucunuzu mu kullanıyorsunuz diye merak ettim
      Ben yoğun kullanıyorum ama böyle sorunlarla hiç karşılaşmadım

  • Birkaç ay önce bir Matrix botu yazmaya çalıştım ama Python için açık kaynak SDK'lar
    E2EE ve cihaz doğrulamayı hiç desteklemiyordu; deneyim korkunçtu
    Bunun yerine dahili Rust SDK'yı (matrix-rust-sdk) buldum ve oldukça iyiydi
    Python/Kotlin için FFI binding'leri de vardı ama dokümantasyon yetersizdi
    LLM ve kaynak koda bakarak zar zor çalıştırabildim, emoji doğrulaması da başarılı oldu
    Şimdi dokümantasyon çok gelişmiş ve bir örnek istemci de sunuluyor

  • Reddit'te Matrix'i eleştiren bir yazı okudum;
    verilerin kalıcı olarak saklanıp çoğaltıldığı bir yapısı olduğu için performans ve gizlilik açısından zayıf olduğu söyleniyordu
    Signal meta verileri bile korurken Matrix'te oda adları, katılımcılar, zaman bilgileri gibi şeylerin açığa çıktığı söyleniyordu
    Bunun doğru olup olmadığını, geleceği olan bir protokol olup olmadığını merak ediyorum

    • Reddit yazısı tamamen yanlış değil
      Şu anki meta veri koruma seviyesi Signal'den düşük ama iyileştiriliyor
      Matrix'in tehdit modeli farklı ve güven sınırını doğrudan seçebilmenizi sağlıyor
      Küçük bir sunucuda çalıştırılırsa veri ifşası Signal'den daha az olabilir
      Kusursuz değil ama gelişim hızı ve yönü bence olumlu
    • Oda adlarının şifrelenmediğini görünce şok oldum
      Bu temel bir gizlilik gereksinimi ama uygulama çok yavaş ilerliyor
      Mesaj şifre çözme sorunları da hâlâ sürüyor
      Yine de açık sistemler arasında hâlâ en iyi seçenek olduğunu düşünüyorum
    • Signal'de de merkezi bir otoriteye güvenmek gerekiyor ve hâlâ telefon numarası temelli olduğu için
      SIM spoofing saldırılarına açık
    • Matrix yapısal olarak karmaşık
      Modüler ve merkeziyetsiz tasarım, hem avantajı hem de giriş engeli
      Signal ise basit yapısı sayesinde temel işlevlerde daha olgun
    • Reddit yazısındaki içerik genel olarak doğru
      Sonuçta güvenilir sunucular varsayımıyla çalışan bir platform

  • Bu başlıktaki onca şikâyete rağmen,
    doğrulanmamış durumda giriş yapıp şifreli mesaj alışverişi yapılmasını engellemenin mantıklı olduğunu düşünüyorum
    6 yıldır Matrix kullanıyorum ve doğrulama süreci artık epey akıcı
    QR kodla giriş de tamamlandığında çok daha kolay olacaktır

    • Ama birçok kullanıcının yaşadığı istikrarsız deneyim konusunda empati kuruyorum
      Ayrıntı düzeyindeki kararlar mantıklı olabilir ama genel olarak iletişim eksikliği ve
      yetersiz dokümantasyon yüzünden kafa karışıklığı yaşanıyor
      Sık kullananlar için sorun olmayabilir ama ara sıra kullananlar her seferinde bir kurtarma oyunu oynamak zorunda kalıyor
    • Doğrulama, şifreleme anahtarı değişimini içeriyor
      Girişten önceki mesajların şifresini çözebilmenizi sağlıyor
      Sorun, UX'in doğrulama adımının atlanabilmesine izin vermiş olmasıydı
    • Sorun politika değil, yetersiz açıklama
      Blogda doğrulamanın ne olduğu açıkça tanımlanmalıydı

  • “Doğrulama nedir?” sorusuna

    • Element resmi belgelerine göre
      yeni bir cihazda oturum açarken mevcut cihazla kriptografik kimlik kanıtı gerçekleştiriliyor
    • Yeni cihazla giriş yaparken gerçekten size ait olduğunu kanıtlama süreci
      emoji karşılaştırma, QR kod tarama veya kurtarma anahtarı girme yöntemlerinden biriyle yapılıyor
      Çoğunlukla hızlı ve basit ama bazı istemcilerde hatalar var
    • Bu, üçüncü taraf doğrulaması falan değil
      Sadece mevcut cihazınızla yeni cihazı onaylama süreci
      Bugüne kadar kullandığım şifreli mesajlaşma uygulamaları arasında en kolay doğrulama yöntemiydi
    • Şu anda basit bir kendini doğrulama süreci;
      iki cihazda gösterilen emojiler aynıysa onay veriliyor
    • Neyse ki Play Integrity gibi harici bir doğrulama değil
      Yeni bir cihazla giriş yapınca mevcut cihazdan onay vermeniz yeterli

  • Ben Thunderbird'ü Matrix istemcisi olarak kullanıyorum ama
    Element ya da Nheko'yu açtığımda birbirlerini doğrulanmamış diye uyarıyorlar
    Doğrulama düğmesine bassam da hiçbir tepki yok ve QR kod da görünmüyor
    Matrix'in UX'i gerçekten kâbus gibi

    • Thunderbird hâlâ beta sürümünde ve çok hatası var
      Güncellemeler yavaş geldiği için kullanmayı bıraktım
    • Bende de aynı durum var
      İyileşeceğine dair hiçbir işaret yok

  • Bir alfa istemci denedim ama doğrulama açılır penceresi kaybolmuyor
    Bazı istemciler doğrulama akışını hiç uygulamamış bile;
    bu yüzden yeni istemciler için giriş bariyeri daha da yükselecek gibi görünüyor
    İstemciler sık sık çöküyor, senkronizasyon gecikmesi de ciddi
    Bu yüzden Matrix yerine XMPP'nin daha iyi bir merkeziyetsiz sohbet seçeneği olduğunu düşünüyorum
    XMPP kusurları zarif biçimde ele alıyor ve gerçek zamanlı senkronizasyon sorunları da yaşamıyor

    • Ben de ailemle XMPP kullanıyorum ama web arayüzü (converse.js) oldukça pürüzlü
      İş arkadaşlarını ikna etmek için daha iyi bir UI gerekiyor
    • Element Desktop'ta doğrulanmamış cihazları kaldırarak çözülebilir
      Ancak XMPP'de Cross Signing ya da anahtar yedekleme yok,
      bu yüzden Matrix kadar kullanışlı değil henüz
    • Eskiden Matrix hayranıydım ama bugünlerde ilgim azaldı
      Element ağır, diğer istemcilerdeyse özellik dengesi çok bozuk
      Bunun yerine Prosody sunucusuyla XMPP'yi yeniden denedim
      Dokümantasyon biraz kullanıcı dostu değil ama kaynak verimliliği etkileyiciydi
      XMPP sunucusunun düşük donanımda bile iyi çalışması etkileyici
      İstemci tarafı biraz hayal kırıklığı yarattı ama
      dokümantasyonu geliştirmek için çok alan olduğunu düşünüyorum
      Sonuçta ben özgür ve açık kaynak mesajlaşma ekosisteminin gelişmesini istiyorum

  • En yeni Matrix Conference videoları media.ccc.de üzerinde yayınlanmış durumda
    İlginç çok şey var ve
    kendi sunucunuzu işletmeseniz bile etke.cc gibi ücretli hosting kullanabilirsiniz

  • Ben Matrix/Element'i çok seviyorum
    FOSDEM devroom'u için birden fazla alan yönetiyorum ve
    görüntülü arama bile kusursuz çalıştı
    Yine de daha fazla özellik eklenmesini isterim