İçeriğe atla

Signal Protokolü

Signal Protokolü (eskiden TextSecure Protokolü olarak bilinir), sesli aramalar, video görüşmeleri[1] ve anlık mesajlaşma konuşmaları için uçtan-uca şifreleme sağlamak için kullanılabilen federe olmayan kriptografik protokoldür.[2] Protokol, Open Whisper Systems (sonradan Signal Vakfı) tarafından 2013 yılında geliştirildi[2] ve daha sonra Signal olan açık kaynak TextSecure uygulamasında tanıtıldı . O zamandan beri, "dünya çapında bir milyardan fazla insanın" sohbetlerini şifrelediği söylenen WhatsApp gibi kapalı kaynak uygulamaları içine uygulanmıştır.[3] Ayrıca Google Allo'nun "gizli mod" için uyguladığı gibi Facebook Messenger da isteğe bağlı "gizli sohbetler" için signal protokolünü sunduğunu belirtmiştir. Protokol Double Ratchet Algoritması, prekeys ve üçlü eliptik-eğri Diffie–Hellman (3-DH) el sıkışma[4] ' yı kombine eder ve Curve25519, AES-256 ve HMAC- SHA256'yı temel olarak kullanır.[5]

Tarihçe

Signal Protokolünün geliştirilmesi, 2013'te Trevor Perrin ve Moxie Marlinspike (Open Whisper Systems) tarafından başlatıldı. Protokolün ilk sürümü olan TextSecure v1, Off-the-Record Messaging (Kayıt Dışı Mesajlaşma-OTR) protokolüne dayanıyordu.[6][7]

24 Şubat 2014'te, Open Whisper Systems, Axolotl Ratchet'a geçen TextSecure v2'yi[8] tanıttı.[6][9] Axolotl Ratchet tasarımı, OTR tarafından tanıtılan geçici anahtar değişimine dayanır ve Silent Circle Anlık Mesajlaşma Protokolünden (SCIMP) sonra modellenen simetrik anahtarlı bir mandal ile birleştirilir.[10] Asenkron iletişim (" çevrimdışı mesajlar") için önemli yeni özelliğin yanı sıra düzensiz mesaj dizilişi ile daha iyi esneklik ve birden fazla katılımcıyla yapılan görüşmeler için daha basit destek sağladı.[11] Axolotl Ratchet, kendine has iyileştirme yeteneğine sahip nesli tükenme tehlikesi altındaki sucul semender Axolotl'un adını almıştır. Geliştiriciler algoritmayı kendi kendini iyileştirici olarak görür çünkü ptotokol, bir oturum anahtarını ele geçiren bir saldırganın, sonraki iletilerin açık metinlerine erişmesini otomatik olarak devre dışı bırakır.[10]

Protokolün üçüncü sürümü TextSecure v3, temel şifrelemelerde ve "wire" protokolünde bazı değişiklikler yaptı.[6] Ekim 2014'te, Bochum Üniversitesi'nden araştırmacılar TextSecure v3'ün bir analizini yayınladılar.[5][6] Diğer bulguların yanında, protokol üzerinde bir bilinmeyen anahtar paylaşımı saldırısı (unknown key-share attack) sundular, ancak genel anlamda, protokolün güvenli olduğunu ortaya koydular.[12]

Mart 2016'da, geliştiriciler protokolü "Signal Protokolü" olarak yeniden adlandırdılar. Ayrıca Axolotl Ratchet'ın ismini, Ratchet ve Full Protokol'ü daha iyi ayırt etmek için Double Ratchet Algoritması olarak değiştirdiler,[13] çünkü bazıları full protokolü belirttiğinde Axolotl ismini kullanmıştı.[13][14]

Ekim 2016[güncelleme]'dan itibaren Signal Protokolü, TextSecure v3'ü temel alır, ancak bunun yanında ek şifreleme değişiklikleri içerir.[6] Ekim 2016'da İngiltere'nin Oxford Üniversitesi, Avustralya'nın Queensland Teknoloji Üniversitesi ve Kanada'nın McMaster Üniversitesi araştırmacıları protokolün resmi bir analizini yayınladı.[15][16] Protokolün şifreleme açısından sağlıklı olduğu sonucuna vardılar.[15][16]

Özellikler

Protokol, gizlilik, bütünlük, kimlik doğrulama, katılımcı tutarlılığı, hedef doğrulama, ileri yönlü gizlilik(forward secrecy), geriye dönük gizlilik (backward secrecy-aka gelecekteki gizlilik), nedensellik korunması(causality preservation), mesaj bağlantısızlığı(message unlinkability), mesajın reddedilmesi(message repudiation), katılımın reddedilmesi(participation repudiation) ve asenkronite sağlar.[17] Anonimite koruması sağlanmaz ve mesajların aktarılması ve ortak anahtar materyallerinin depolanması için sunucular gerektirir. [17]

Signal Protokolü uçtan uca şifreli grup sohbetlerini de desteklemektedir. Grup sohbet protokolü double ratchet ve multicast şifrelemesinin bir kombinasyonudur . [17] Grup sohbet protokolü, bire bir protokolden sağlanan özelliklere ek olarak, konuşmacı tutarlılığı, düzensizlik esnekliği, mesaj düşürme esnekliği, hesaplama eşitliği, güven eşitliği, alt grup mesajlaşması ve de kısaltılabilir ve genişletilebilir üyelik özelliklerini sağlar.[17]

Kimlik Doğrulama

Kimlik doğrulama için kullanıcılar, açık anahtar parmak izlerini(public key fingerprint) harici bir kanal aracılığı ile karşılaştırabilir.[18] Bu, kullanıcıların birbirlerinin kimliklerini doğrulamasını ve araya girme saldırısını (MItM) engellemeyi mümkün kılar.[18] Ek bir düzenleme ile, bir kişinin anahtarının değişip değişmediğini kullanıcıya bildirmek için "ilk kullanıma güven" mekanizmasını seçmek de mümkündür.[18]

Metadata

Signal Protokolü, bir kurumun veya şirketin, kullanıcıların ne zaman ve kiminle iletişim kurduğu hakkında bilgi tutmasını engellemez.[19][20] Bu nedenle, mesajlaşma servisi sağlayıcılarının bu bilgileri nasıl kullanmayı seçtikleri konusunda farklılıklar olabilir. Örneğin, WhatsApp'ın gizlilik politikası şu şekildedir:

WhatsApp, başarıyla teslim edilen mesajların tarih ve zaman damgası bilgileri ve mesajlaşma sağlamış cep telefonu numaralarının yanı sıra WhatsApp'ın yasal olarak toplamak zorunda olduğu diğer bilgileri de saklayabilir.[20][21]

Signal'ın gizlilik politikası, kullanıcı belirteçlerinin, yalnızca Signal sunucularında ve ihtiyaç duyulduğu sürece her mesajı iletmek için tutulduğunu ifade eder.[22] Haziran 2016'da Moxie Marlinspike, haber dergisi The Intercept'e "Signal sunucusunun depoladığı metadata'ya en yakın bilgi her kullanıcının sunucuya en son bağlandığı zamandır ve bu bilginin ayrıntısı saat, dakika ve saniyeden ziyade gün bilgisine indirgenmiştir. " diye konuştu.[20]

Kaynakça

  1. ^ Marlinspike, Moxie (14 Şubat 2017). "Video calls for Signal now in public beta". Open Whisper Systems. 15 Mart 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2017. 
  2. ^ a b Ermoshina, Musiani & Halpin 2016
  3. ^ "Moxie Marlinspike - 40 under 40". Fortune. Time Inc. 2016. 3 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Eylül 2016. 
  4. ^ Unger et al. 2015, s. 241
  5. ^ a b Frosch et al. 2016
  6. ^ a b c d e Cohn-Gordon et al. 2016, s. 2
  7. ^ "Protocol". GitHub. Open Whisper Systems. 2 Mart 2014. 7 Ocak 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 28 Ekim 2016. 
  8. ^ Donohue, Brian (24 Şubat 2014). "TextSecure Sheds SMS in Latest Version". Threatpost. 15 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Temmuz 2016. 
  9. ^ "ProtocolV2". GitHub. Open Whisper Systems. 2 Mart 2014. 15 Ekim 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 28 Ekim 2016. 
  10. ^ a b Marlinspike, Moxie (26 Kasım 2013). "Advanced cryptographic ratcheting". whispersystems.org. Open Whisper Systems. 24 Mart 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Eylül 2016. 
  11. ^ Unger et al. 2015
  12. ^ Pauli, Darren. "Auditors find encrypted chat client TextSecure is secure". The Register. 8 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Kasım 2014. 
  13. ^ a b Marlinspike, Moxie (30 Mart 2016). "Signal on the outside, Signal on the inside". Open Whisper Systems. 28 Aralık 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
  14. ^ Cohn-Gordon et al. 2016, s. 1
  15. ^ a b Brook, Chris (10 Kasım 2016). "Signal Audit Reveals Protocol Cryptographically Sound". Threatpost. Kaspersky Lab. 14 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Kasım 2016. 
  16. ^ a b Cohn-Gordon et al. 2016
  17. ^ a b Unger et al. 2015, s. 239
  18. ^ a b c Rottermanner et al. 2015, s. 5
  19. ^ Rottermanner et al. 2015, s. 4
  20. ^ a b c Lee, Micah (22 Haziran 2016). "Battle of the Secure Messaging Apps: How Signal Beats WhatsApp". The Intercept. First Look Media. 19 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ekim 2016. 
  21. ^ "Privacy Notice". WhatsApp Inc. 7 Temmuz 2012. 2 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Ekim 2016. 
  22. ^ "Privacy Policy". Open Whisper Systems. n.d. 29 Nisan 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Ekim 2016. 

Dış bağlantılar

İlgili Araştırma Makaleleri

Bilgi işlemde, İnternet Mesaj Erişim Protokolü (IMAP), e-posta istemcilerinin bir TCP/IP bağlantısı üzerinden bir posta sunucusundan e-posta mesajları almak için kullandığı bir İnternet standart protokolüdür. IMAP, RFC 9051 tarafından tanımlanır.

HTTPS bir bilgisayar ağı üzerinden güvenli iletişim için internet üzerinde yaygın olarak kullanılan bir HTTP uzantısıdır. HTTPS'te, iletişim protokolü Taşıma Katmanı Güvenliği (TLS) veya öncesinde, onun öncülü/selefi olan Güvenli Soket Katmanı (SSL) ile şifrelenir. Bu nedenle protokol sık sık TLS üzerinden HTTP veya SSL üzerinden HTTP olarak da adlandırılır.

Adres Çözümleme Protokolü ağ katmanı adreslerinin veri bağlantısı katmanı adreslerine çözümlenmesini sağlayan bir telekomünikasyon protokolüdür. 1982 yılında RFC 826 aracılığıyla tanımlanmıştır. STD 37 kodlu bir internet standardıdır.

<span class="mw-page-title-main">Transport Layer Security</span> Internet Şifreleme Protokolü

Taşıma Katmanı Güvenliği (TLS) ve onun öncülü/selefi olan Güvenli Soket Katmanı (SSL), bilgisayar ağı üzerinden güvenli haberleşmeyi sağlamak için tasarlanmış kriptolama protokolleridir. X.509 sertifikalarını kullanırlar ve bundan dolayı karşı tarafla iletişime geçeceklerin kimlik doğrulaması asimetrik şifreleme ile yapılır ve bir simetrik anahtar üzerinde anlaşılır. Bu oturum anahtarı daha sonra taraflar arasındaki veri akışını şifrelemek için kullanılır. Bu, mesaj/veri gizliliğine ve mesaj kimlik doğrulama kodları için mesaj bütünlüğüne izin verir. Protokollerin birçok versiyonu ağ tarama, elektronik mail, İnternet üzerinden faks, anlık mesajlaşma ve İnternet üzerinden sesli iletişim gibi uygulamalarda yaygın olarak kullanılmaktadır. Bu durumda/içerikte/bağlamda en önemli özellik iletme gizliliğidir. Bundan dolayı kısa süreli oturum anahtarı, uzun süreli gizli simetrik anahtardan türetilememelidir.

<span class="mw-page-title-main">SMS</span>

SMS, cep telefonu aracılığı ile yazılan mesajın bir cep telefonundan diğer bir cep telefonuna gönderilmesi, mesajlaşma hizmetidir.

<span class="mw-page-title-main">WhatsApp</span> platformlar arası anlık iletişim uygulaması

WhatsApp Messenger, akıllı telefonlar için geliştirilen, platformlar arası çalışma özelliğine sahip bir anlık mesajlaşma ve arama veya haberleşme uygulamasıdır. Android, BlackBerry, iPhone, Windows Phone ve Nokia telefonlarıyla uyumlu olan uygulama, 2G, 3G, 4G ya da Wi-Fi İnternet bağlantısı aracılığıyla kullanıcıların birbirlerine fotoğraf, video, ücretsiz arama, sesli ve yazılı mesaj ve belge göndermesini sağlar. Aynı adı taşıyan şirket, eski Yahoo! çalışanları olan Biran Acton ve Jan Koum tarafından ABD'de, Kaliforniya eyaletindeki Santa Clara kentinde kurulmuştur.

ZRTP bir şifreleme anahtar paylaşma protokolüdür. Bu protokolde, Voice over Internet Protocol (VoIP) protokolüne dayanan iki uç nokta arasında şifreleme yapabilmek için anahtarlar üzerinde anlaşma yapılmaktadır. Voice over Internet Protocol (VoIP) telefon çağrısı Real Time Transport Protocol'e dayanır. Şifreleme için Diffie–Hellman anahtar değişimi ve Secure Real-time Transport Protokol (SRTP)' lerini kullanır. ZRTP, Bryce Wilcox-O'Hearn, Colin Plumb, Jon Callas ve Alan Johnston yardımıyla, Phil Zimmermann tarafından geliştirildi ve 5 Mart 2006 tarihinde Bryce Wilcox-O'Hearn'nin yardımıyla, Phil Zimmermann, Jon Callas and Alan Johnston tarafından Internet Engineering Task Force (IETF)' a sunuldu ve RFC 6189 olarak 11 Nisan 2011 tarihinde yayınladı.

<span class="mw-page-title-main">Facebook Messenger</span> Facebooka bağlı Mesajlaşma Uygulaması

Facebook Messenger, bir diğer adıyla Messenger Facebook'un yarattığı ve geliştirdiği yazılı, sesli ve görüntülü haberleşme sağlayabilen bir anlık mesajlaşma servisi ve yazılım uygulamasıdır. Facebook'un web-tabanlı sohbet özelliği ile entegredir ve açık bir protokol olan MQTT protokolü üzerine inşa edilmiştir. Messenger, Facebook kullanıcılarının kendi çevreleri ile hem ana web sayfası hem de mobil uygulamaları üzerinden sohbet edebilmesine olanak sağlar.

<span class="mw-page-title-main">Telegram (yazılım)</span> Çevrim içi mesajlaşma platformu

Telegram, çoklu platform desteği sunan, güvenli anlık mesajlaşma servisidir. Rus programcısı Pavel Durov tarafından yaratılmıştır. Telegram istemcileri hem mobil hem de masaüstü sistemleri için mevcuttur. Ağustos 2013'te yayın hayatına başlamıştır. Kullanıcılar birbirleri arasında metin mesajı, fotoğraf, video, ses kaydı, sticker ve 2 GB'a kadar dosya paylaşımı yapabilmektedirler. Geliştiricileri ayrıca Kasım 2016'da Telegraph isminde, kullanıcıların çeşitli formattaki içerikler oluşturmalarını ve hikâye yazmalarını sağlayan bir uygulama hazırlamıştır.

Kriptografide, ileri güvenlik, uzun dönem anahtarlar istismar edilse bile geçmişte kullanılmış olan oturum anahtarlarının istismar edilemediği güvenli haberleşme protokollerinin bir özelliğidir. İleri güvenlik, geçmiş oturumları gelecekte gerçekleştirilmesi muhtemel gizli anahtar ya da şifre istismarlarına karşı korumaktadır. İleri güvenlik kullanılan durumlarda, geçmişte kaydedilmiş şifrelenmiş haberleşme ve oturumlar, uzun dönem anahtarlar ve şifreler elde edilse bile kırılamaz.

<span class="mw-page-title-main">Google Allo</span> Googleın ürettiği mesajlaşma uygulaması

Allo Google tarafından geliştirilen anlık mesajlaşma mobil uygulaması. 18 Mayıs 2016 tarihinde Google I/O etkinliğinde duyrulan Allo, 2016 yazında Android ve iOS için yayınlandı. 12 Mart 2019 tarihinde ise uygulamanın kullanımı sonlandırılmıştır.

Kriptografide Double Ratchet Algoritması, Trevor Perrin ve Moxie Marlinspike tarafından 2013 yılında geliştirilen bir anahtar yönetim algoritmasıdır. Anlık mesajlaşma için uçtan uca şifreleme sağlamak adına, kriptografik bir protokolün bir parçası olarak kullanılabilir. İlk anahtar değişiminden sonra, kısa ömürlü oturum anahtarlarının devam eden yenilenmelerini ve bakımlarını yönetir. Diffie-Hellman anahtar değişimi (DH) temelinde bir kriptografik mandal(ratchet) ve bir anahtar türetme fonksiyonu (KDF) temelinde bir mandalı kombine etmesinden dolayı, double ratchet(çift mandal) olarak anılmıştır.

Güvenli kabuk,, ağ hizmetlerinin güvenli olmayan bir ağ üzerinde güvenli şekilde çalıştırılması için kullanılan bir kriptografik ağ protokolüdür. En iyi bilinen örnek uygulaması bilgisayar sistemlerine uzaktan oturum açmak için olandır.

Uçtan uca şifreleme (E2EE), sadece uç noktadaki kullanıcıların okuyabildiği bir iletişim sistemidir. Hedefi, İnternet sağlayıcıları, ağ yöneticileri gibi aradaki potansiyel gizli dinleyicilerin, konuşmanın şifresini çözmek için gereken şifreleme anahtarlarına erişmesini engellemektir.

<span class="mw-page-title-main">Signal (yazılım)</span> Şifreli iletişim uygulaması

Signal, özgür ve açık kaynaklı, çapraz platform şifreli mesajlaşma yazılımı. Signal Vakfı ve Signal Messenger LLC tarafından geliştirmektedir. İnternet üzerinden dosyaları, sesli mesajları, görselleri ve videoları içerebilen kişiler arası mesajları veya grup mesajlarını göndermek için kullanılır. Ayrıca bire bir sesli ve görüntülü arama yapabilir, Android sürümü SMS uygulaması olarak da işlev görebilir.

Brian Acton Amerikalı bir girişimci ve bilgisayar programcısıdır. Jan Koum ile beraber bir mobil mesajlaşma uygulaması olan WhatsApp'ın kurucu ortağı ve CEO'suydu. Uygulama Facebook tarafından Şubat 2014'te 19,3 milyar ABD Doları karşılığında satın alındı. Acton, 2018'de Moxie Marlinspike ile birlikte kurduğu Signal Vakfı'nın yönetim kurulu başkanıdır. Forbes'e (2019) göre Acton, 2,5 milyar dolarlık net serveti ile dünyanın en zengin 836. kişisidir.

Whisper Systems, kurumsal bir mobil güvenlik şirketidir. 2010 yılında güvenlik araştırmacısı Moxie Marlinspike ve robotikçi Stuart Anderson tarafından kuruldu. Şirket, Kasım 2011'de Twitter tarafından satın alındı. Şirketin bazı yazılım ürünleri, satın alma işleminden sonra ücretsiz yazılım lisansları altında piyasaya sürüldü, bu da Open Whisper Systems adlı bağımsız bir organizasyonun kurulmasına yol açtı.

<span class="mw-page-title-main">Signal Vakfı</span> kar amacı gütmeyen bir teknoloji vakfı

Signal Vakfı, resmi olarak Signal Teknoloji Vakfı, Moxie Marlinspike ve Brian Acton tarafından 2018 yılında kurulan kar amacı gütmeyen bir kuruluştur. Misyonu, "ifade özgürlüğünü koruyan ve güvenli küresel iletişim sağlayan açık kaynaklı gizlilik teknolojisi geliştirmektir."

TextSecure, ilk olarak Mayıs 2010'da Android için piyasaya sürülen özgür ve açık kaynak kodlu ve şifreli bir mesajlaşma uygulamasıdır. Open Whisper Systems tarafından geliştirilen uygulamada uçtan uca şifreleme özelliği bulunmaktaydı. Kasım 2015'te RedPhone isimli şifreli sesli arama uygulamasıyla Signal adı altında birleştirildi.

Tox, uçtan uca şifreleme sunan eşler arası anlık mesajlaşma ve görüntülü arama protokolüdür. Projenin belirtilen hedefi, herkes için güvenli ancak kolay erişilebilir iletişim sağlamaktır. Protokolün bir referans uygulaması, GNU GPL-3.0 veya sonrası koşulları altında ücretsiz ve açık kaynaklı yazılım olarak yayınlanmıştır.