Whatsapp kullanıcıları artık daha güvenli bir şekilde mesajlaşabilecek ve sesli görüşme yapabilecek. Uygulamanızı güncellediğiniz andan itibaren, gönderdiğiniz her şey sadece siz ve gönderdiğiniz kişiler tarafından okunabilecek şekilde şifrelenecek. Buna sesli görüşmeler ve gönderdiğiniz dosyalar da dahil. Tüm bunları ise meşhur güvenli mesajlaşma ve sesli görüşme uygulaması Signal’in yaratıcılarına borçluyuz.
Whatsapp ‘Open Whisper Systems’i seviyor
Whatsapp’ın şifrelenme hikayesi Kasım 2014’te başladı. Open Whisper Systems’in kurucusu olan yazılımcı ve kriptograf Moxie Marlinspike, bir süredir TextSecure ve Redphone isimli uygulamalar üzerinden bu sistemi geliştiriyordu. Kendi geliştirdiği ve düzenli olarak güvenlik testlerine de tabii tutulan ve şu anda Signal protokol olarak anılan bu algoritma, şifreleme konusunda hızlı ve güvenilir bir alternatif olarak ilgi çekiyordu.
Snowden sızıntılarının ardından insanların gündelik olarak kullandıkları uygulamalarda daha fazla güvenlik arayışına girmesi birçok şirketi olduğu gibi Whatsapp’ı da etkiledi ve sonuç olarak onlar da Kasım 2014’te Open Whisper Systems’in kendi uygulamalarında kullandıkları şifreleme altyapısını Whatsapp’a entegre edebilmek için bir ortaklık anlaşması yaptı.
Yaklaşık bir buçuk yıllık emeğin ardından tüm çalışmalar tamamlandı ve artık Whatsapp, Signal protokolü aktif hâle getirdi. Bugünden itibaren Whatsapp uygulamasını güncelleyen herkes, Whatsapp üzerinden kurdukları tüm iletişimi, tıpkı Signal’de olduğu gibi, uçtan uca şifrelemeyle yapacak.
Artık daha güvenli
Eğer uygulamalarınızı düzenli olarak güncelliyorsanız (ki güncellemelisiniz), 5 Nisan’dan itibaren Whatsapp içerisinde yaptığınız her şey yalnızca siz ve gönderdiğiniz kişiler tarafından okunabilir olacak. Eskiden tüm mesajlar ve gönderdiğiniz fotoğraflar Whatsapp’ın sunucularında şifrelenmemiş bir şekilde tutulurken, uçtan uca şifrelemeyle birlikte artık bu mesajlar Whatsapp tarafından dahi okunamayacak.
Çünkü tüm bu şifreleme işlemleri, yalnızca sizin telefonunuzda bulunan özel anahtarınız ile gerçekleştiriliyor olacak. Sizin ve mesajı gönderdiğiniz kişilerin anahtarları dışında da bu mesajları deşifre etmek mümkün değil. Ancak birilerinin sizin anahtarınızı (yani telefonunuzu) ele geçirmesi gerekiyor.
Bu da artık Whatsapp’ta iletişim kurmayı çok daha güvenli hâle getiriyor. Uçtan uca şifrelemeyle birlikte, ne internet trafiğinize sızan birisi ne de Whatsapp sunucularından verilerinizin alınması sizin mesajlarınızın gizliliğine zarar verebilecek. Çünkü uçtan uca şifreleme, bu şifrenin ancak sizin telefonunuzda bulunan anahtar ile açılabilmesi demek. Daha iyi anlaşılabilmesi için örnek vermek gerekirse: Eğer bir devlet Whatsapp’tan size ait verileri isterse, devletin eline geçecek tek şey şifrelenmiş bir veri yığını olacak. Bu şifreyi açacak anahtar da yalnızca sizde olacağı için bunu açmak mevcut koşullarda mümkün değil.
Tüm bu bahsettiklerim Whatsapp sesli görüşmeleri ve gönderdiğiniz tüm multimedya ekler için de geçerli. Signal protokol tüm bunları şifrelemeyi destekliyor ve Whatsapp ile tamamen entegre edilmiş durumda.
Ayrıca uçtan uca şifrelemenin olmazsa olmazı anahtar doğrulama da bu protokole dahil. Eğer konuştuğunuz kişinin gerçekten o kişi olduğuna emin olmak istiyorsanız ya da bu konuda bir şüphe yaşıyorsanız anahtar parmakizi veya QR kod yoluyla karşınızdaki kişinin anahtarını doğrulamanız ve işinizi sağlama almanız da mümkün.
İşin teknik yanıyla ilgilenenler az da olsa, Whatsapp’ın hazırladığı whitepaper’ı buradan okuyabilir (not: PDF linki), Signal protokolünün teknik yanı hakkında detaylı bir anlatıma buradan bakabilir ve Signal protokolün kaynak kodlarını buradan inceleyebilir.
Tedbiri elden bırakmamalı
Whatsapp’ın bir gün içerisinde bir milyardan fazla insanın güvenliğini arttırmış olması kesinlikle tebrik edilmesi gereken bir şey. Dijital güvenliğe yaptıkları bu önemli katkının yankılarını eminim ilerleyen günlerde sıkça göreceğiz. Umuyorum ki, bu hareketleri diğer birçok şirkete de örnek olacaktır (Google ve Facebook, lafım size).
Ancak yine de Whatsapp’ın bunu nasıl devam ettireceğinin takipçisi olunmalı. Bundan sonra bu şifreleme sürecini daha da geliştirirlerse ve kodlara, herhangi bir şekilde zayıflığa sebep olacak müdahalede bulunmazlarsa, her şey yolunda diyebileceğiz.
Bizim güvenliğimizi önemsediklerini söylüyor olabilirler ama bu noktada onların sözü yerine, eylemlerine ve kodun kendisine güvenmek en doğrusu olacaktır. Ne olursa olsun, merkezi ABD’de olan (yani NSA, CIA, FBI ve daha birçok kurumun baskısı altında olan) ve Facebook’un satın aldığı bir şirket söz konusu. Tam anlamıyla güvenmek, asla yapılmaması gereken bir hareket.
(Görseller, Open Whisper Systems’in blogundan alınmıştır.)