Amazon Web Services (AWS) sistemlerinde Pazartesi günü yaşanan büyük çaplı kesinti, teknoloji dünyasında yeni bir tartışmayı alevlendirdi. Bu kesinti, uçtan uca şifreli mesajlaşma uygulaması Signal de dahil olmak üzere çok sayıda web sitesini ve uygulamayı etkiledi. Yaşanan sorunun hemen ardından X (eski adıyla Twitter) Yöneticisi Elon Musk, dikkat çekici bir açıklama yaptı. Musk, sosyal medya üzerinden yaptığı paylaşımda, “Artık Signal’e güvenmiyorum” şeklinde net bir ifade kullandı.
X’in sahibi Elon Musk ve Signal arasında “güvenlik” tartışması
Signal Başkanı Meredith Whittaker, Musk’ın X üzerinden yaptığı bu yoruma yanıt vermekte gecikmedi. Whittaker, “Signal’in güvenlik ve hacker topluluğu ile yüz milyonlarca kişi tarafından güvenildiğini” belirtti. Bu güvenin temel nedeninin, uygulamanın herkes tarafından incelenebilir olması (açık kaynak kodlu) olduğunu söyledi. Ayrıca Signal’in on yılı aşkın süredir sağlam, gizli ve güvenli olduğunu kanıtladığını vurguladı. Uzmanlar, Signal’in AWS gibi merkezi bir altyapıya dayanmasının, şifreli iletişimleri riske atmadığını belirtiyor. Çünkü Signal, bu altyapıda tutulan şifreli verilerin anahtarlarına sahip değil.
Elon Musk, son dönemlerde kendi platformu olan X Chat’i (eski adıyla DM) güvenli ve şifreli bir iletişim yöntemi olarak aktif şekilde tanıtıyor. Ancak güvenlik uzmanları, güvenli iletişim vaadi sunan bir mesajlaşma uygulamasının, güvenilir olması için mutlaka açık kaynak kodlu olması gerektiğini savunuyor. Uzmanlara göre, kullanıcılar kodları inceleyemezse, uygulamanın arka planda tam olarak ne yaptığını bilmeleri imkansızdır. X platformu, geleneksel DM sisteminin yerini alması amaçlanan X Chat’i hâlâ “beta yazılım” olarak etiketliyor. Elon Musk daha önce de “Signal’i kullanın” paylaşımıyla dikkat çekmişti ve paylaşımın ardından Signal rekor kullanıcı sayısına erişmişti.
X’in şifreleme özelliği aslında 2018’de test edilmişti ancak resmi duyurusu 2023 yılında yapıldı. Şirket, sohbet özelliklerinin iddia ettikleri kadar güvenli olduğunu doğrulamayı gelecekte daha kolay hale getirmeyi planladıklarını da açıkladı. X’i Twitter adıyla kuran ve yıllarca yöneten Jack Dorsey de CEO olduğu dönemde uçtan uca şifrelemeye geçiş fikrini destekliyordu. Dorsey, yakın zamanda “Bitchat” adında coğrafi odaklı bir mesajlaşma uygulaması geliştirdi. Bitchat, özellikle Nepal’deki hükümet değişikliği sırasında ağ özellikleri sayesinde dikkat çekti. Uygulama, internet erişimi olmayan yerel alanlarda bile çalışabiliyor. Benzer bir özelliğe sahip FireChat adlı uygulama da 2014 yılındaki Hong Kong protestolarında kullanılmıştı.
Elbette Signal de kusursuz bir uygulama değil ve yıllar içinde çeşitli eleştirilerle karşılaştı. Güvenlik araştırmacıları, uygulamanın kayıt için telefon numaralarını zorunlu tutmasını uzun süre boyunca kötü bir fikir olarak nitelendirdi. Signal, bu eleştirilerin ardından yakın zamanda kullanıcıların yalnızca bir kullanıcı adıyla kaydolmasına izin vererek bu sorunu çözdü.
Ancak Whittaker’ın Signal’in açıklığı ve doğrulanabilirliği hakkındaki yorumları, Bitcoin üzerinde çalışan bazı geliştiricilerden tepki gördü. Bitcoin geliştiricisi Peter Todd, Android ve iOS’taki uygulama mağazalarının, kullanıcıların cihazlarında çalışan kodun Signal tarafından yayınlanan açık kaynak kodla tam olarak eşleştiğini doğrulamasını engellediğini belirtti.
Bitcoin Core yazılımına katkıda bulunan Todd, “tekrarlanabilir derlemelerin” (reproducible builds) önemini vurguluyor. Bu yöntem, son kullanıcıların bir uygulamanın, yayınlanan açık kaynak kod kullanılarak oluşturulduğunu doğrulayabilmesini sağlıyor. Bitcoin açık kaynak geliştirme hibe sağlayıcısı Spiral’i yöneten Steve Lee de Signal’in Android sürümünde bu konuyla ilgili hâlâ açık bir sorun olduğuna dikkat çekti. Bitcoin topluluğu ayrıca, Signal’in AWS kesintisine yol açan merkezi altyapıya olan bağımlılığını da eleştiriyor.
Konu ister Bitcoin ister özel mesajlaşma olsun, mükemmel gizlilik ve güvenlik ile insanların gerçekten kullanacağı kullanıcı dostu bir uygulama oluşturmak arasında genellikle bazı ödünler vermek gerekiyor. Signal, şifreli mesajlaşma konusunda hâlâ standart olarak kabul edilse de, bu alanda doğrulanabilir gizlilik sağlayan daha fazla rekabetin olması her zaman olumlu bir gelişmedir. Peki siz, günlük iletişiminizde hangi şifreli mesajlaşma uygulamasını tercih ediyorsunuz ve neden?
