![](data:image/svg+xml;charset=utf-8,<svg height="50" width="117" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Bugün neredeyse her mesajlaşma uygulaması “güvenlik” ve “şifreleme” vaat ediyor. Ancak gerçekte, “özel mesajlaşma uygulaması” ile gerçek kullanıcı bağımsızlığı arasında büyük bir fark vardır.
Modern platformların çoğu hâlâ şirkete duyulan güven üzerine kuruludur. Kullanıcının şuna inanması beklenir:
* hizmet mesajları okumuyor;* şifreleme anahtarları korunuyor;* çalışanların erişimi yok;* veriler üçüncü taraflarla paylaşılmayacak;* yedeklemeler güvenlidir.
Ancak gerçek güvenlik, şirketin “bakmıyoruz” dediği yerde değil, sistemin teknik olarak bunu imkânsız hale getirdiği yerde başlar.
Verum Messenger tam olarak bu fikir üzerine kurulmuştur.
Verum’un Temel Prensibi: Erişim Sadece Kullanıcıya Aittir
Verum Messenger’da şifreleme anahtarları yalnızca kullanıcının cihazında oluşturulur ve saklanır.
Bu şu anlama gelir:
* sunucu anahtarları saklamaz;* geliştiricilerin yazışmalara erişimi yoktur;* mesajlar yönetim aracılığıyla “geri getirilemez”;* sistemin yaratıcısı bile kullanıcının anahtarı olmadan hesaba erişemez.
Anahtar yalnızca sahibine aittir.
Kullanıcı:
* anahtarı yerel olarak saklayabilir;* manuel olarak taşıyabilir;* istediği yerde yedekleyebilir;* verilerine erişimi tamamen kontrol edebilir.
Sistem, şirkete duyulan güven üzerine kurulmamıştır. Tam tersine, hiç kimseye güvenme zorunluluğunu ortadan kaldırmak üzerine kuruludur.
Hizmetin Erişiminin Olmaması Neden Verilen Sözlerden Daha Önemlidir
Birçok popüler hizmette güvenlik şu açıklamalara dayanır: “Mesajlarınızı okumuyoruz.”
Ancak platformun mimarisi teorik olarak kullanıcı verilerine erişime izin veriyorsa, kullanıcı yine de şunlara güvenmek zorundadır:
* şirket sahiplerine;* çalışanlara;* şirket politikalarına;* gelecekteki hizmet değişikliklerine;* devlet baskısına;* olası veri sızıntılarına.
Verum farklı bir yaklaşım kullanır: hizmet anahtarlara sahip değilse, kullanıcı verilerini fiziksel olarak çözemez.
Asıl temel fark şudur:
* “bakmayacağız” ile* “bakamayız.”
Telefon Numaraları Neden Zayıf Bir Noktadır
Birçok mesajlaşma uygulaması kimlik doğrulamanın temeli olarak telefon numarası ister. Ancak telefon numarası sadece bir kayıt yöntemi değildir.
Telefon numarası:
* kişinin kimliğiyle bağlantılıdır;* takip için kullanılabilir;* farklı servislerdeki hesapları birbirine bağlar;* SIM-swap saldırılarına karşı savunmasızdır;* mobil operatöre bağlıdır.
Verum bu bağımlılığı ortadan kaldırır.
SMS doğrulamasına ve mobil operatörlere bağlı kalınmadığında şu riskler önemli ölçüde azalır:
* anonimliğin kaybolması;* hesabın ele geçirilmesi;* üçüncü tarafların hesabı geri yüklemesi.
Açık Kaynak ve Denetimler: Tartışmalar Neden Devam Ediyor
Siber güvenlik sektöründe açık kaynak kodu ve bağımsız denetimler genellikle sisteme olan güveni artıran unsurlar olarak görülür.
Mantık basittir: kod incelenebiliyorsa, gizli mekanizmalar ve güvenlik açıkları daha kolay tespit edilir.
Ancak başka bir bakış açısı da vardır.
Bazıları, iç mimarinin sürekli açığa çıkarılmasının ek riskler oluşturduğunu düşünür:
* saldırganlar daha fazla bilgi edinir;* kullanıcılar “denetlendi” sözüne körü körüne güvenmeye başlar;* güvenlik bir pazarlama aracına dönüşür.
Bu bakış açısına göre gerçek koruma, büyük iddialar ya da uzmanların itibarıyla değil, sistemin mimarisiyle belirlenir:eğer hizmet anahtarları saklamıyor ve verilere erişmek için teknik bir imkâna sahip değilse, bu zaten gizliliğin temelidir.
Gizlilik Bir Vaat Değil, Sistemin Bir Sınırıdır
Verum Messenger’ın temel fikri oldukça basittir:
kullanıcı verilerini korumanın en iyi yolu, kullanıcı dışında hiç kimsenin onları kontrol edememesini sağlamaktır.
Platform sahibi bile.
Bu yaklaşım güven modelini tamamen değiştirir: kullanıcılar şirketin sözlerine güvenmek zorunda değildir, çünkü sistem baştan itibaren merkezi kontrolün imkânlarını sınırlar.
Bu yaklaşımda gizlilik artık sadece bir özellik olmaktan çıkar.
Mimari bir prensibe dönüşür.