Telegram, Güvenli Bir Mesajlaşma Uygulaması mı?
telegram, 2013'ten beri kısıtlı çevremle kullandığım bir mesajlaşma uygulaması. özellikleri ve rahatlığı nedeniyle kullanıyorum ama bu uygulama bahsedildiği kadar güvenli değildir. işin teknik kısımlarına teknik ve akademik kaynaklarıyla beraber bakalım.
- öncelikle, telegram'ın sadece client (istemci) tarafı açık kaynak kodludur. öte yandan, server (sunucu) kodları ise kapalı kaynak koduna sahiptir. bu, şu anlama gelmektedir: mesajların iletiminin sağlandığı bulut servislerinde çalışan kodları sadece telegram bilmektedir ve bu kodlar proprietary (tescilli) olarak geçer.
- açık kaynak kodlu kısmının api'nı kullanarak kendiniz bir uygulama oluştursanız bile yine arkada telegram'ın backend servislerine bağlanmanız gerekmektedir. yani, pratikte, sadece telegram servislerine bağlanan bir istemci yazabilirsiniz. (bu kısım kendi içinde çok teknik detay barındırıyor uzatmadan devam edelim)
- telegram varsayılan olarak end-to-end (uçtan uca) şifrelemeyi kullanmaz.
- telegram'ın kullandığı şifreleme algoritması olan mtproto, literatürde yer alan, detaylıca test edilmiş ve sağlamlığından emin olunan onaylanmış algoritmalardan biri değildir. konunun uzmanları tarafından da güvenilirliğinden şüphe edilen bir algoritmadır. öte yandan whatsapp'ın kullandığını iddia ettiği signal protokolü ise open whisper systems tarafından geliştirilmiştir. bu protokol, güvenlik çevreleri açısından birçok yönden test edilmiş ve onaylanmış bir güvenlik protokolüdür. (whatsapp kapalı kaynak kodlu olduğu için kesinlikle kullandığından emin değiliz fakat multi milyarlık firma böyle bir risk almaz.)
- telegram'ın secret chat (gizli sohbet) özelliği bahsedildiği gibi çalışmaktadır. uçtan uca şifrelemeyi burada kullanır.
- whatsapp ve dolayısıyla facebook dahi kullanılan şifreleme anahtarlarına sahip olmadıkları için, mesajlarınızı okuyamazlar, depolamazlar.(lakin herkesin kendi cloud servisinde depoladığı whatsapp yedekleri güvenlik açısından sıkıntılıdır.) peki whatsapp mesajları okumuyorsa nasıl para kazanıyor? cevap: metadata.
- öte yandan, telegram sunucu'dan istemci'ye şifreleme yapar, yani şifrelemede kullanılan anahtarlar telegram'dadır ve dilerse kendi sunucularında tuttuğu mesajları da okuyabilir, birilerine verebilir. bu mimarinin faydası şu: bağlandığınız farklı birçok istemcide (web, masaüstü, telefon) bütün mesajlaşma geçmişiniz yüklenir.
telegram'da güvenlik konusuna bol kaynak referans kullanarak mümkün olan en güncel halleriyle açıklık getirmeye çalıştım. aksini iddia edenlerle teknik/akademik çerçevede konuşabiliriz.
bu yazıda facebook/whatsapp övmedim, zaten gizlilik konusunda sınıfta kalmış bir şirket. bununla beraber whatsapp, gizlilik ve güvenlik ile reklamını yapan bir uygulama değilken, telegram'ın tamamen bu mottoyla ünlendiğini göz önüne alırsak yukarıdaki analizin anlamı ortaya çıkar.
sonuç: hiçbir uygulama ve servis %100 güvenlik ve barındırmaz. günlük kullanımda şahsi tercihim ise imessage. cross platform için tavsiye ise: signal.