Telegram’ın geliştiricileri, ürünlerinin güvenli ve korumalı olduğunu öne sürüyor. Fakat pratikte bu tamamen doğru değil: Telegram’da, mesajlarınızı korumayı biraz hileli hale getiren birçok tuhaflık bulunuyor ve bu durum, kriptografinin karmaşıklığından ziyade sıradan şeylerle ilgili. Şimdi gelin, hem bu mesajlaşma uygulamasının arayüzündeki şüpheli özelliklere, hem de uygulamayı düşünülenden daha az güvenilir hale getiren genel mantığa bir göz atalım.
Güvenli mesajlaşmanın detayları
Başlangıç olarak, güvenli bir mesajlaşma uygulamasının nasıl çalıştığına bakalım. Öncelikle bilmemiz gerekir ki günümüzde kullanılan tüm mesajlaşma uygulamaları, uzun zaman önce kullanıcı cihazları ile sunucular arasında şifreli veri alışverişine geçti. Bu, tüm mesajlaşma uygulamalarının sağlaması gereken asgari koşul. Ancak, mesajlar için tamamen güvenlik sağlamadığından, sistemin güvenli olduğunu varsaymak için yeterli değil.
Neden mi? Çünkü sohbetlere yalnızca mesajlaşan kişilerin değil, aynı zamanda servisin de erişiminin olması başka riskleri de beraberinde getiriyor. Örneğin bizzat servis sağlayıcılar fazla meraklı veya açgözlü olabilir. Bu kişilerin son derece dürüst olduğunu ve kullanıcı verilerine burunlarını sokmak istemediğini varsaydığımızda bile, servis başkasına satılırsa yeni sağlayıcının bu kadar dürüst olacağının garantisini bize kim veriyor? Elbette bir de servisin hack’lenmesi ihtimali var ki bu durumda saldırganlar, yazışmalara erişim sağlayabilir.
Ancak, tüm bu risklerden korunmanın ve servise tamamen güvenip güvenmeyeceğimize dair soruları yanıtlamanın son derece etkili bir yolu var: uçtan uca şifreleme. Bu yöntemle bilgiler, mesajı gönderenin cihazında şifreleniyor ve ancak alıcının cihazında deşifre oluyor. Bu şekilde servis, yalnızca şifrelenmiş mesajları gönderiyor ve içeriğe erişim sağlayamıyor. Dolayısıyla yazışmalar, (şimdiki veya gelecekteki) meraklı servis sağlayıcılara ve olası diğer risklere karşı korunmuş oluyor.
Bu da bizi oldukça basit bir formüle götürüyor: Güvenli mesajlaşma uygulaması, uçtan uca şifreleme kullanan uygulamadır. Şimdi Telegram’ın bu konuya nasıl yaklaştığına bakalım.
1. Tüm Telegram sohbetleri eşit derecede güvenli değil
Hemen bu sorunun kaynağına bakalım: Telegram, iki türlü sohbet seçeneği olan bir mesajlaşma uygulaması: normal ve gizli. Normal sohbetlerde uçtan uca şifreleme bulunmuyor. Bu özellik yalnızca gizli sohbetlerde mevcut.
Diğer hiçbir mesajlaşma uygulaması bunu yapmıyor: Mark Zuckerberg’ün veriye aç imparatorluğunun bir parçası olan, adı çıkmış WhatsApp bile varsayılan olarak uçtan uca şifreleme kullanıyor. Kullanıcının hiçbir şey yapması gerekmiyor; işaretlenmesi gereken bir kutucuk veya başka bir şey yok. Mesajlar varsayılan olarak, servis sağlayıcılar da dahil olmak üzere dışarıdaki herkese karşı korunuyor.
Açıkça güvenli ve korumalı olduğunu söyleyen mesajlaşma uygulamalarına gelince, Signal veya Threema uygulamalarındaki hiç kimse, birisi uçtan uca şifreli, diğeri şifresiz olmak üzere iki tür yazışma sunmayı düşünmez bile. Neden kullanıcının kafasını karıştırmaksızın tüm sohbetler eşit derecede güvenli olmasın ki? Ama Telegram türünün tek örneği.
2. Varsayılanlar hakkında…
Telegram sohbetlerinde varsayılan olarak uçtan uca şifreleme kullanılmıyor ve uygulama, kullanıcılarını güvenli sohbet seçeneğiyle ilgili olarak bilgilendirmiyor. Bir mesajlaşma uygulamasını, sırf güvenli olarak reklamı yapıldığı için indiren bir kullanıcının, yazışmalarının güvenli olmasını isteyeceğini kim düşünebilirdi ki? Cevap çok bariz. Buradaki asıl olay şu: Kullanıcı yeni bir sohbet başlattığında Telegram bu sohbeti güvenli hale getirmeyi teklif etmediği gibi, varsayılan sohbetten başka bir seçeneğin olduğuna dair bilgi de vermiyor.
Bahse girerim binlerce kullanıcı, Telegram sohbetlerinin varsayılan olarak korunduğunu düşünüp bu uygulamaya tamamen güvenirken, uçtan uca şifrelemenin kullanılmadığı normal sohbet seçeneğini kullanıyordur.
Asıl ilginç olan da gizli sohbet butonunun olabildiğince kıyıda köşede bir yere saklanmış olması. Bu buton sohbet arayüzünde yer almıyor. Bir sonraki katmanda da bulunmuyor. Sohbet ettiğiniz kişinin adına tıklayıp profiline gitseniz bile istediğiniz butonu burada bulamıyorsunuz. Biraz daha derinlere inmeniz gerekiyor: Üç nokta menüsüne dokunun, ikincil özelliklere şöyle bir göz atın. İşte orada: uçtan uca şifrelemeli gizli sohbet seçeneği.
3. Bu kadar gizlilik niye?
Bir başka şikayet de Telegram’ın uçtan uca şifrelemeli sohbetlerine verdiği isimden ortaya çıktı. Geliştiriciler bu sohbetlere “güvenli”, “korumalı” veya “özel” gibi nötr bir ad verebilirdi. Ama hayır… “Gizli” sözcüğünü kullanmayı tercih ettiler ve bu sözcük, insanların algısı üzerinde çok enteresan bir etkiye sahip.
Telegram’da gizli sohbet başlattığım zamanların çoğunda karşı taraftan alaylı bir söz duyuyorum. Örneğin: “Vay be James, çok özel bir şey, ha?!?” Bazıları ise sohbetin gizli olmasını gerektirecek kadar önemli olan şeyin ne olduğunu merak ediyor; müstehcen bir şey olup olmadığını sorguluyor.
Elbette bu her seferinde böyle olmuyor: Bazı kişiler de bu tür yorumlar yapmıyor veya bir süre sonra yapmayı kesiyor. Fakat Gizli Sohbete geçtiğinizdeki durum değişmiyor: İnsanlarda belirli bir duygusal tepki oluşuyor. Kendinizi hemen bir casus, dedikoducu veya gizli kapaklı bir operasyonun parçası gibi hissediyorsunuz. Bu basit ve görünürde zararsız sözcük, insanların zihninde oldukça önyargılı bir tepkiyi tetikliyor.
Bunun objektif herhangi bir sebeple gerçekleşmediğini de vurgulamak isterim. WhatsApp veya Signal’da bir sohbet başlattığınızda hiç kimse neden uçtan uca şifreleme kullandığınızı sormaz ve bunu umursamaz. Çünkü WhatsApp da Signal da bu özelliği sormadan kullanıyor! Fakat Telegram’da bir sohbeti koruma konusundaki doğal istek, sohbetin bir parçası haline geliyor ve katılımcılara kendilerini budala olmasa da en azından rahatsız hissettiriyor.
4. Eksik özellikler
Normal, şifresiz sohbetlerde bulunan bazı özelliklerin gizli sohbetlerde bulunmamasıyla durum daha da karmaşıklaşıyor. Bu özelliklerin sayısı çok fazla değil; yalnızca emoji tepkilerin ve sabit mesajların olmamasından bahsediyoruz fakat yine de bunların olmaması, bazı kullanıcıları güvenli sohbetten uzaklaştırabiliyor. Bu gayet anlaşılabilir bir durum: Tam kapsamlı bir güvenliğin olmayışı soyut bir şey gibiyken, baş parmak ifadesiyle yanıt gönderememe rahatsızlığı daha somut geliyor.
Bunun için de objektif bir sebep yok. WhatsApp’ta emoji tepkiler mükemmel şekilde çalışıyor; uçtan uca şifreleme bu özelliğe en ufak bir müdahalede bulunmuyor. Bence Telegram’ın geliştiricileri için gizli sohbetler öyle bir endişe konusu haline geldi ki bu sohbetlere yeni özellik ekleme işi ertelenmekle kalmayacak, tamamen iptal edilecek.
5. İki elin sesi var, üç tanesi fazla gelir
Diyelim ki sohbet ettiğiniz kişileri Gizli Sohbet modunda bir tuhaflık olmadığına ve gizlilik uğruna birkaç özelliği feda etmenin değdiğine ikna ettiniz. Bu da kendi başına küçük bir başarı değil; herkes bunu yapamaz. Ama siz yine de şimdiden rehavete kapılmayın: Er ya da geç grup halinde tartışmanız gereken bir konu olacaktır. Doğal olarak bunu güvenli sohbette yapmak isteyeceksiniz. Burada Telegram’ın size bir sürprizi daha var: Böyle bir şey mümkün değil. Telegram’da grup sohbetleri uçtan uca şifrelenemiyor. Nokta. Böyle bir seçenek yok.
Üç ya da daha fazla kişiden oluşan bir grupta sohbet etmek için ya güvenliğinizi feda etmeli ya da herkesi başka bir mesajlaşma uygulamasındaki bir sohbet penceresine sürüklemelisiniz. Sohbet ettiğiniz kişiler Telegram’a alışkınsa tüm çabalarınız tek bir kişinin inadıyla bile mahvolacağı için ilk senaryo daha olasıdır.
Kabul etmek gerekir ki teknik olarak, grup sohbetlerine uçtan-uca şifreleme uygulamak kolay bir şey değil. Sözü geçen diğer uygulamalar olan WhatsApp, Signal ve Threema ise ikili sohbetlerde olduğu gibi grup sohbetleri için de uçtan uca şifreleme sunuyor. Hatta bu sorun görüntülü konuşma için bile çözülmüş durumda.
6. Azı karar çoğu zarar
Telegram’da kullanıcıların hayatını zorlaştıran bir şey daha var: Tek bir kişiyle istediğiniz kadar çok gizli sohbet açabilme imkanı. Bunun nedeni belli: Şifreli sohbetler, cihazda saklanan ve başka hiçbir yere iletilemeyen bir şifreleme anahtarına bağlı. Açıkça görülüyor ki Telegram’ın geliştiricileri, uygulamayı aynı anda birden fazla cihazda kullanmayı mümkün kılmak istemişler. Dolayısıyla da şifreli sohbetler çoğaltılıyor: Her yeni cihazda yeni bir gizli sohbet açmanız gerekiyor (fakat WhatsApp bu sorunu bir şekilde sohbetleri çoğaltmadan çözebilmiş). Böyle bir seçenek varsa neden bununla yetinelim ki? Bir de kullanıcıların, normal sohbetlerin yanı sıra istedikleri kadar gizli sohbet açmalarına imkan tanıyalım.
Bazı sıra dışı durumlarda aynı kişiyle birden fazla sohbet penceresi açmanın faydalı olacağını kabul ediyorum. Fakat birçok durumda oldukça kullanışsız bir seçenek, üstelik gereksiz kafa karışıklığı yaratıyor. Özellikle de bir kişinin size göndermiş olduğu ve o anda ihtiyaç duyduğunuz bir telefon numarasının ya da başka bir bilginin (bağlantı, e-posta, hesap numarası, adres) hangi cihazda ve hangi sohbette olduğunu hatırlamak zor oluyor. Bazıları için bu kafa karışıklığı, Gizli Sohbet modunu kullanmamak için ikna edici bir argüman.
7. Bir kez daha?
Şifresiz, normal sohbetler Telegram’ın sunucularında saklanıyor ve siz uygulamada oturum açtıktan sonra otomatik olarak tüm cihazlarda görüntüleniyor. Yukarıda belirttiğimiz gibi, bu durum şifreli gizli sohbetler için geçerli değil; bu sohbetler aynı cihazda kalıyor.
Peki ya yeni bir telefon aldıysanız ve şifreli Telegram sohbetleri dahil tüm verilerinizi yeni telefonunuza aktarmak istiyorsanız? Yapacak bir şey yok: Telegram gizli sohbetleri yeni bir cihaza aktarmanıza izin vermiyor. Android için birtakım “alternatif” çözümler bulunuyor fakat bunlar ne basit ne de güvenli. iPhone kullanıcıları için ise bu tür şaibeli yöntemler mevcut bile değil. Yani yeni bir telefon kullanmaya başlarsanız gizli sohbetlerdeki tüm Telegram mesajlarınız sonsuza dek kaybolacak.
Birkaç detay daha verelim: Öncelikle, eski cihazınızda kimle sohbet ettiğinizi hatırlayarak gizli sohbetlerinizin hepsini baştan açmanız gerekiyor. İkinci olarak da tüm kişilerinize yeni bir telefona geçtiğinizi ve yeni bir sohbete mesaj göndermeleri gerektiğini çünkü artık eski sohbetlere erişemediğinizi söylemeniz gerekiyor. Telegram’ın bunu sizin adınıza yapacağını zannetmeyin. Arkadaşlarınızın cihazlarında hâlâ eski sohbetler duruyor olacak. Bu sohbetlere mesaj gönderseler bile siz o mesajları görmeyeceksiniz.
Gizlilik yok
Özetlemek gerekirse Telegram üzerinden güvenli bir şekilde iletişim kurmak teoride gizli sohbetlerle mümkün olsa da pratikte işler o kadar basit ilerlemiyor. Birçok kişi en kolay yolu seçtiği için uçtan uca şifreleme özelliği olmayan normal sohbeti tercih ediyor. Hatta birçoğu korumasız bir kanal kullandığının farkında bile değil. Farkındaysa bile gizlilik için bu kadar uğraşılmasına anlam veremiyor ve güvenli iletişim çabalarına şüpheyle yaklaşıyor.
Bir kez daha belirtelim: Telegram’daki tüm iletişimlerinizi korumak kolay bir iş değil. Çok çaba sarf etmeniz gerekiyor, karşılığında ise başarılı olacağınızın garantisi verilmiyor. Kan, ter, gözyaşı dökerek başarıya ulaşıp sohbetlerinizi gizli hale getirseniz de, grup sohbetleriniz ne olursa olsun şifresiz olmaya devam ediyor.