Uçtan uca şifreleme koruması kısıtlanırsa ne olur?

Uçtan uca şifreleme tek bir ülke bazında kısıtlanırsa uygulanması son derece zor olmasının yanı sıra suç faaliyetlerini caydırıcı bir etki de yaratmayacaktır.

İngiltere hükümeti, talep edildiğinde İngiltere’deki herkesin uçtan uca şifrelenmiş mesajlarına ve verilerine erişim istiyor. Bunun nedeni, terör ve çocuk cinsel istismarı gibi ciddi suçlarla özellikle mücadele etmek. Elbette bu konuda İngiltere tek başına değil, diğer ülkeler de kendi yargı alanlarında benzer sorunları nasıl çözecekleri konusunda uğraş veriyorlar.

Ancak böyle bir gerekliliği uygulamak için teknoloji şirketlerinin bir arka kapı sağlaması gerekir. Bu, en azından çoğu teknoloji şirketinin mevcut tutumuna göre ya çok olası olmayan ya da asla gerçekleşmeyecek bir şeydir. Alternatif olarak, belirli uygulama geliştiricilerin bu gerekliliğe uyması sağlanabilir. Ancak bu, yalnızca bir ülkenin uygulama mağazasının konum ayarlarına bağlı yerel uygulamalar için işe yarayacaktır.

İmkânsızı talep etmek

Basitçe söylemek gerekirse uçtan uca şifrelemeyi tek bir ülke bazında kısıtlamak, doğası gereği uygulanamaz. Başka bir ülkeden birisi kısıtlayıcı bir ülkeyi ziyaret ettiğinde ne olur? Şifreyi çözmesi, yeni bir uygulama indirmesi, şifrelenmiş içeriği silmesi veya uyum sağlamak için başka bir yöntem kullanması mı gerekir? Böyle bir yasayı uygulamak için tek yol sınırda kontrol yapmak olur… “cihaz göçmenlik” kuyruklarını hayal edebiliyor musunuz?

Bu sorun, Apple’ın Şubat ayında Birleşik Krallık pazarından Gelişmiş Veri Koruma (ADP) özelliğini kaldırmasıyla gündeme geldi. Birleşik Krallık hükümetinin, soruşturma yetkileri yasası kapsamında Apple’a bu tür verilere erişim talebinde bulunduğu ve bunun için Apple’ın şifreleme hizmetine bir arka kapı yerleştirilmesini istediği ortaya çıktı. Ancak Apple’ın yanıtı nettir: Hiçbir ürün veya hizmetimizde arka kapı veya ana anahtar oluşturmadık ve asla oluşturmayacağız. ADP, uçtan uca şifreleme kullanır, yani dosyaların şifresini yalnızca hesap sahibi çözebilir.

Whatsapp uçtan uca şifreleme

Son zamanlarda WhatsApp, Apple’ın mücadelesine destek verdi. Şifrelemeyi arka kapı yoluyla kırma konusu, Apple’a gönderilen gizli bildirim gibi gizlilikle örtülmemelidir. Çünkü bu temel bir gizlilik ve güvenlik meselesidir. Gizlilik gerektiren durumlar vardır ve eminim ki koşullara bağlı olarak gizli tutulabilecek yasalar kullanılarak verilere erişilen özel durumlar da olacaktır. Şu anda teknoloji endüstrisi, müşterilerine arka kapı içermeyen gizlilik ve güvenlik ürünleri sağlama ilkelerine bağlı kalmaya devam ediyor ve bence bunu sürdürmelidir.

Ancak Birleşik Krallık hükümetinin tutumu, fiziksel olarak ülkede bulunan tüm kişilerin, vatandaşlıklarına bakılmaksızın, Birleşik Krallık mahkemelerine karşı sorumlu olması gerektiği yönündedir. Apple’ın Birleşik Krallık kullanıcıları için ADP’yi kaldırması bu gerekliliği karşılamamaktadır.

Birleşik Krallık’ta iPhone kullanıcısıysanız sizin için ADP kaldırılmış ve gri renkle gösterilmekte ve artık kullanılamamaktadır. Bir kullanıcının Birleşik Krallık’ta olup olmadığını belirlemek için kullanılan yöntem, kullanıcının konumuna dayalı değil. Apple hesabınızda ayarladığınız “ülke ve bölge” bilgisine dayalı gibi görünüyor. Ülke ve bölge ayarınızı Birleşik Krallık dışındaki bir yere değiştirmeniz ADP’yi etkinleştirme seçeneğini yeniden etkinleştiriyor.

Bunun bazı dezavantajları vardır, örneğin App Store yalnızca seçilen ülke ve bölgeden uygulamalar sunar; bu nedenle ihtiyacınız olan tüm uygulamaları indiremeyebilirsiniz. ADP’yi etkinleştirdikten sonra ülkeleri tekrar değiştirebilirsiniz ve ADP etkin kalır. Ancak Birleşik Krallık mahkemeleri ve hukuk sistemi Birleşik Krallık’taki tüm kişilere uygulanacaksa ziyaretçileri de kapsaması ve “ülke ve bölge”ye dayalı olmaması gerekir. Ancak bu o kadar basit değildir: şifrelemeyi etkinleştirdikten sonra, şifrelemeyi devre dışı bırakmak için şifrelemeyi kapatmadan önce verileri şifresini çözmeniz gerekir. Aksi takdirde şifrelenmiş veriler şifreli ve okunamaz hâlde kalır.

Sınırda uçtan uca şifreleme çözme senaryosu

Bir ülkeye giren herkesten şifrelenmiş mesajlarına erişim izni vermelerini zorunlu kılmak gerçekçi değildir. Özellikle de şifrelenmiş verilere hükümetin erişimini gerektiren bir yasası olmayan bir ülke veya bölgeden gelen cihazları yanlarında taşıyorlarsa. Bunu sınırda uygulamak için ülkeye giren her kişinin uçtan uca şifrelenmiş verilerin şifresini çözmesi ve arka kapı olmayan uçtan uca şifreleme kullanan tüm uygulamaları veya özellikleri devre dışı bırakması gerekir.

Bu, her sınır görevlisinin bir teknoloji uzmanı olmak zorunda kalması ve her ziyaretçi iki veya üç cihaz taşıyorsa görevlinin uyumluluğu sağlamak için her cihazı titizlikle incelemek zorunda kalması demek. Başka bir deyişle, her sınır görevlisi birkaç saatte bir kişi işlem yapabilecek. Düşünsenize, sınır kontrolündeki kaos ve kuyrukları hayal edebiliyor musunuz?

Ve sonra benim gibi iki telefona sahip insanlar var. İkisi de Birleşik Krallık operatör ağında, birinin ülke ve bölge ayarı Amerika Birleşik Devletleri, diğerinin Birleşik Krallık. ADP sadece birinde etkinleştirilebiliyor. Bu, mevcut kısıtlamayı aşmanın son derece basit olduğu anlamına geliyor ve ADP’yi kullanmak isteyenler için ister meşru gizlilik endişeleri ister suç faaliyetleri için olsun, gerçekten hiçbir engel yok – sadece bu çok basit çözümü bulmaları yeterli.

Tüm ziyaretçilerin ülkeye girişlerinde uçtan uca şifreleme hizmetlerini kullanmayı bırakmalarını zorunlu kılan bir gereklilik asla olmayacağını varsayıyorum, özellikle de bu hizmetler ikamet ettikleri ülkelerde yasal olduğu için. Bunu uygulamak çok karmaşık. Ayrıca adresinden kendinizi Birleşik Krallık dışında bir yerdeymiş gibi göstermeniz çok kolay olduğundan uçtan uca şifrelemeyi kullanmak isteyen suç niyetli kişiler, başka ülkelerde kullanmak üzere tasarlanmış hizmetleri kullanmaya devam edecek veya güvenliklerini daha da güçlendiren alternatifler bulacaktır.

Bu da bu tür yasaları uygulayan ülkelerin sadece yasalara uyan sakinlerinin, gerektiğinde hükümet ve kolluk kuvvetlerinin verilerine erişimine maruz kalmasına neden olacaktır. Bu gerekliliğin kolayca atlatılabilmesi ve uygulanmasının lojistik açıdan imkânsız olması, en azından benim görüşüme göre, bu gerekliliğin amacına uygun olmadığını ortaya koymaktadır.