Gündemde Tubitak’ın ürettiği kripto telefonların dinlenmesi iddiaları dolaşıyor. Peki ama Tubitak’ın telefonları ne kadar güvenli?

Kripto telefonlar konusunda bilgi veren 2 kaynak bulabildim.

Bir gazete de çıkan yazıda*;

 “Önce ekrana numarayı yazıyorsunuz. Sonra üzerinde anahtar resmi olan ve şifreli aramayı başlatacak tuşa basıyorsunuz. O zaman telefon sizden kullanıcı şifrenizi istiyor. Şifreyi girdikten sonra arama gerçekleştiriliyor. Karşı taraf ise ekranda; “güvenli arama” diye bir şey görüyor ve “yes” tuşuna basıyor. Ancak standart bir telefondan farklı olarak karşı taraf telefonu açtığında, görüşmeye başlamanız için 30 saniye kadar beklemeniz gerekiyor. Çünkü bu sırada iki telefon şifrelemenin nasıl olacağına dair el sıkışıyorlar. Sonrasında “Görüşme başladı” diye ekranda bir yazı çıkıyor ve sizde dinlenmemenin rahatlığıyla rahatça konuşuyorsunuz. “

şeklinde bir açıklama var.

İşleyişini açıklayan ikinci yazı;

Tubitak’ın detay sayfasında** ;

 “Cihazın çalışma sistemi ise şöyle: Görüşme başlangıcında iki cihaz karşılıklı olarak birbirlerinin sertifikalarını kontrol edip tek kullanımlık kripto anahtarını oluşturuyor. Anahtar oluştuktan sonra, cihazın mikrofonundan alınan ses, matematiksel fonksiyonlardan oluşan kripto algoritmalarıyla verilere dönüştürülüyor. Matematiksel bilgiler ses kanalından değil, GSM şebekesinin veri kanalından diğer cihaza aktarılıyor. Aktarılan cihazdaki kripto anahtarı, bu matematiksel verileri tekrar sese dönüştürüyor. Görüşme sonlandıktan sonra iki tarafta da kullanılan kripto anahtarı siliniyor. Dinlenilmeye çalışılan cihazın kripto anahtarı elde edilemediğinden, kriptolu veriler çözülemiyor.”

Görüldüğü üzere sistem veri kaybını önlemek için ikinci bir hattan Grps/Edge bağlantıyla verileri aktarıyor.

İkinci hattın veri bağlantısı takip eden kişinin kripto metni ele geçirebileceğini farzedebiliriz. Peki kripto metin kırılabilir mi?

Burda “gizlilik ile güvenlik” edinme düşüncesiyle ne olduğu bilinmeyen bir algoritma devreye giriyor.

Bu sistemin güvenliği seçilen algoritmanın kırılmasının zorluğu, ve anahtar değişim sürecinin ne kadar güvenli olduğuyla sınırlıdır.

Anahtar değişimi olması asimetrik bir algoritma fikri uyandırıyor.

Ama ilginç bir detay açıklanmış;

“Kripto teknolojisinin geldiği noktada “Bu telefon asla dinlenemez” demek yanlış olur ama bu cihazla şifrelenmiş bilginin şifresinin çözülebilmesi için bugünkü teknolojiyle 100 yıl falan gerekli.” *

Bu ifade Koç Sistemin sattığı enigma kripto telefonun merak ettikleriniz kısmında geçen

“tek bir şifreleme anahtarının kırılabilmesi için, tüm dünya nüfusunun 100 lerce yıl uğraşması gerekecektir”***

 ifadesini çağrıştırıyor.  Enigma telefonun açıklamasında AES algoritmasından bahsediyor ki bu bir simetrik şifreleme algoritması ve anahtar değişimi gibi bir mekanizması mevcut değil.  Eğer  simetrik bir algoritma kullanılmış ise gizli anahtarın değişimi sözkonusu olur ki bu sistemi tamamen güvensiz kılar.  Açıkçası böyle bir sistemi tasarlayan kişilerin böyle bir hataya düşüceklerini hayal bile edemiyorum.

Peki eldeki bu bilgilerle bu sistem güvenilir mi?

Cevap,  Hayır; çünkü ihlal ettikleri bir güvenlik ilkesi var.  “Security through obscurity”. Kısacası gizlilikle güvenlik sağlamaya çalışan her sistemin zaafiyati vardır. Bakın buğün o sistemi tasarlayanların ne kadar güvenilir olduğu sorgulanıyordur.  Eğer sistemi bilinen güvenlik algoritmaları ile geliştirip kaynak kodunu açık halde verselerdi, eminim pek çok kriptografi uzmanı inceleyecek ve güvenlik zaafiyetleri çok öncesinden kapatılmış olacaktı. Şuan için tabi ki algoritma kapalı olduğu için algoritmayı hazırlayanların kendileri için bir açık kapı bırakıp bırakmadıkları bilinemez.

*http://www.zaman.com.tr/gundem_iste-tubitakin-icadi-dinlenemeyen-telefon_941455.html

**http://www.tubitak.gov.tr/tr/ar-ge-faaliyetlerimiz/urun-ve-projeler/icerik-milcep

*** http://www.guvenlikonusma.com/MerakEttikleriniz.aspx