Session Messenger Nedir?

Şifrelemenin perdesi arkasında: Meta veri riskleri

Session’ı benzersiz kılanı anlamak için önce meta veriyi incelemek gerekiyor: Her dijital konuşma ve etkileşimle birlikte ortaya çıkan, çoğu zaman görünmez ama size çok şey anlatan veri izi.

Meta veri nedir?

Mesajlaşma bağlamında meta veri, bir mesajı çevreleyen tüm yardımcı bilgiler anlamına gelir:

• Mesajı kim gönderdi (ve kime)
• Ne zaman gönderildi
• Hangi IP adresi veya yaklaşık konumdan gönderildi
• İletişim sıklığı
• Mesaj boyutu
• Cihaz kimlikleri

Meta veriyi, konuşmalarınızın haritası gibi düşünebilirsiniz: Mesajın içeriği gizli olsa bile, kiminle konuştuğunuz, ne sıklıkta ve ne zaman iletişim kurduğunuz gibi bilgiler çok hassas olabilir. Ne yazık ki, bu bilgiler çoğu zaman siz fark etmeden sistematik olarak toplanıyor.

Ve mesajlar uçtan uca şifrelenmiş olsa bile, hayatınızın bu meta veri haritası hâlâ görünür durumda kalıyor.

Popüler mesajlaşma uygulamaları meta veri korumasında neden yetersiz kalıyor

Birçok popüler mesajlaşma uygulaması, şifreleme gibi özellikleri gizlilik avantajı olarak tanıtır; doğru şekilde ve açık kaynak kod ile uygulandığında bu doğru olabilir. Ancak yapay zekâ destekli gözetim söz konusu olduğunda, bu yalnızca bir güvenlik yanılsamasından ibarettir.

WhatsApp, Telegram, ve diğerleri

Birçok yaygın şifreli mesajlaşma uygulaması iletişimlerinizin içeriğini korusa da, meta verileri hâlâ toplayabilir veya işleyebilir. Merkezi sunucuları, gönderen ve alıcıyı eşleştirebilir, zaman damgalarını kaydedebilir ve bağlantı detaylarını (örneğin IP adreslerinizi) tutabilir. Hizmet sağlayıcı, yönlendirme altyapısını kontrol ettiği için, yapılacak sorgular veya yasal talepler, kimin kime ve ne zaman mesaj gönderdiğini ortaya çıkarabilir.

WhatsApp ve Telegram gibi popüler uygulamaların gizlilik riskleri hakkında daha fazla bilgi için Nym’in yazılarını inceleyin.

Signal

Signal güçlü uçtan uca şifreleme, kayıt tutmama politikası ve dijital gizliliğe verdiği önem sayesinde güvenli mesajlaşmada adeta bir standart olarak kabul ediliyor. Ancak mesajları yönlendirmek için hâlâ merkezi sunuculara ihtiyaç duyuyor ve bazı temel meta veriler (örneğin kiminle iletişim kurduğunuz veya en son ne zaman bağlandığınız) servis altyapısı tarafından görülebiliyor ya da bağlantı desenlerinden çıkarılabiliyor. Signal, saklanan verileri minimuma indirse de, bağlantıların meta veri izlerini tamamen ortadan kaldıramıyor.

Özetle, yalnızca uçtan uca şifreleme meta veri gözetimini durdurmaz. Yönlendirme altyapısı merkeziyse veya bağlantı kayıtları tutuluyorsa, saldırganlar mesajlarınızın içeriğini görmeden bile bağlantı desenlerinden faydalanabilir.

Meta verinin gerçek dünyadaki etkileri

Sıradan kullanıcılar, aktivistler, gazeteciler veya muhalifler için meta veri açığa çıkması tehlikeli olabilir:

• Hedefe yönelik profilleme: Hükûmetler veya şirketler, kiminle ne zaman ve ne sıklıkla iletişim kurduğunuzu gösteren ayrıntılı sosyal haritalar oluşturabilir.
• Baskı etkisi: İletişim ağınızın izlendiğini bilmek, muhalefet, gazetecilik veya aktivizm yapma isteğinizi azaltabilir.
• Anonimliğin açığa çıkması: Karşı taraf, meta verileri diğer veri kaynaklarıyla (ör. ağ veya kamu kayıtları) eşleştirerek sahte hesapları gerçek kimliklerle ilişkilendirebilir.
• Zaman analizleri: Ara sıra görülen desenler (gece geç saatlerde mesajlaşma, belirli iletişim ritimleri) davranışlar veya aidiyetler hakkında bilgi sızdırabilir.

Uygulamanız mesaj içeriğini gizlese bile iletişim desenlerinizi ortaya çıkarıyorsa hâlâ risk altındasınız. İşte Session’ın kapatmayı hedeflediği temel gizlilik açığı budur.

Session’ın yönlendirme mimarisi

Meta veri sızıntısını önlemek için Session, yönlendirme sistemini baştan sona anonimlik odaklı olarak tasarlıyor. Bunu, onion istekleri, “Swarms” ve merkeziyetsiz node'lardan oluşan bir yapı ile gerçekleştiriyor.

Şimdi Session’ın mesajlarınızı nasıl yönlendirdiğini ve WhatsApp, Telegram ve Signal gibi geleneksel sistemlerden nasıl farklılaştığını inceleyelim.

Session mesajlarınızı nasıl yönlendiriyor

Anonim hesap kimlikleri

Session, kayıt için telefon numarası veya e-posta kullanmaz. Bunun yerine, bir sahte kamu/özel anahtar çifti oluşturur ve sizi tanımlamak için 66 karakterlik alfasayısal bir Session ID kullanır. Gerçek bir kimlik hiçbir hesapla ilişkilendirilmediği için, gerçek kullanıcıları hesap kimlikleriyle eşleştiren bir rehber yoktur.

Hizmet node'ları ve Swarm’lar

Session, Oxen Service Node Network üzerine çalışır. Bu node'lar, mesajları taşıyan ve geçici depolama sağlayan merkeziyetsiz ağı oluşturur.

Çevrim dışı olan bir kullanıcıya gönderilen mesajlar, alıcı mesajı alana kadar şifreli içerikleri saklayan küçük bir node grubunda, yani bir Swarm’da tutulur. Önemli olan nokta, hiçbir tek node'un kimin kiminle konuştuğuna dair tam bilgiye sahip olmamasıdır.

Onion yönlendirme (“Onion Requests”)

Tor modeline benzer şekilde, Session’da bir mesaj gönderdiğinizde mesaj, bir onion katmanı gibi çoklu şifreleme katmanlarıyla sarılır ve üç hizmet node'undan geçirilir. Her node bir katmanı açar ve sadece bir önceki ve bir sonraki adımı bilir.

Hiçbir tek node, mesajın hem göndericisini hem de alıcısını tam olarak öğrenemez. Alıcı mesajı daha sonra Swarm üzerinden onion yönlendirme ile aldığında bile, bağlantı her iki yönde de gizli kalır.

Merkezi kayıt yok, bağlantı meta verisi yok

Session’ın tasarımı, meta veriyi kaydeden merkezi sunuculara ihtiyaç duymayacak şekilde yapılmıştır. Mesaj grafikleri içeren merkezi bir veri tabanı yoktur ve node'lar yalnızca yönlendirme ve geçici depolama için gerekli en az veriyi tutar.

Geleneksel mesajlaşma uygulamalarının aksine, Session’ın ağ tasarımı güveni dağıtmayı ve meta veriyi parçalara** ayırmayı hedefler, böylece hiçbir kötü niyetli taraf iletişim kanalının tamamını yeniden oluşturamaz. Yapay zekâ teknolojisi hızla ilerlerken, bu tür merkeziyetsiz korumalar kritik öneme sahiptir.

Session’ın gizliliği koruyan başlıca özellikleri

İşte Session’ın öne çıkan gizlilik özellikleri ve her birinin sizi gözetim ve meta veri açığa çıkmasına karşı nasıl koruduğu:

Bu özelliklerin tümü, kötü niyetli tarafların kullanabileceği veri alanını en aza indirmeyi hedefler. Session’ın whitepaper’ında da belirtildiği gibi sistemin amacı “minimal meta veri sızıntısı” yani meta veri minimalizmi sağlamaktır.

Elbette, hiçbir sistem mükemmel değildir. Örneğin, FCM veya APNs üzerinden gönderilen anlık bildirimler, zamanında uyarı iletebilmek için bazı temel tanımlayıcıların (onion istekleri aracılığıyla olsa da) açığa çıkmasını gerektirebilir. Ayrıca, eşler arası (peer-to-peer) yapılan aramalarda, aramanın diğer tarafı şu anda sizin IP adresinizi görebiliyor. Session’ın dokümantasyonu bu tür sınırlamaları açıkça belirtmektedir.

Session neden önemli?

Veri gözetiminin sürekli geliştiği günümüzde, içerikleri şifrelemek artık en temel beklenti haline gelmiş durumda. Asıl sorun ise meta veride: Bu veriler, hem geniş çaplı profilleme hem de belirli kişilere yönelik hedefli saldırılar yapılmasını mümkün kılan temel altyapıyı oluşturuyor. Tıpkı NymVPN gibi, Session da meta verilerin işe yaramasını engelleyecek şekilde tasarlanmıştır; böylece bu verilerden kimin kiminle, ne zaman ve ne sıklıkta iletişim kurduğu güvenilir biçimde çıkarılamaz.

Sıradan kullanıcılar için bu, kimlerle ve ne sıklıkta iletişim kurduğunuzun sessizce kaydedilmediği bir mesajlaşma deneyimi demektir. Baskıcı bölgelerdeki aktivistler, gazeteciler veya örgütleyiciler için Session, ağlarda kimlikleri açığa çıkarma ve veri analizi yoluyla gözetlemeyi engelleyen bir araç olarak çalışır.

Nym’in amacı, ağ katmanında gizliliği sağlamak ve kimliği iletişim meta verilerinden bağımsız hâle getirmektir. Bu amaç doğrultusunda, interneti varsayılan olarak gizli hâle getirme yolunda Session’ı mükemmel bir ortak olarak görüyoruz.