Session, Signal'in bir çatalı olduğu için Signal'in güçlü güvenliğini miras almıştır. Buradan yola çıkan Session ekibi, kullanıcıları için üstün gizlilik ve anonimlik sağlayan anonimleştirilmiş, merkezi olmayan bir sistem inşa etti. En iyi güvenli ve özel mesajlaşma uygulaması tahtının bu rakibi hakkında daha fazla bilgi edinmeye hazır mısınız? O halde bu Session incelemesi ile konuya giriş yapalım.
Session messenger temelleri.
Sahne arkasında, Session diğer güvenli mesajlaşma hizmetlerinin çoğundan temelde farklıdır. Bu Session incelemesinin geri kalanının anlaşılmasını kolaylaştırmak için şimdi bazı temel bilgilerin üzerinden geçmemiz gerekiyor.
Session'daki konuşmalar, istemci tarafı E2E şifreleme kullanılarak güvence altına alınır. Bir mesajı yalnızca gönderen ve alıcı okuyabilir. Ancak Session mesaj güvenliği sağlamanın ötesine geçer. Session ayrıca kullanıcılarının kimliklerini de korur. İletişimlerinizi güvenli olduğu kadar özel ve anonim hale getirir.
Session bunu yapabiliyor çünkü kullanıcıları binlerce Hizmet Düğümünden oluşan Tor benzeri bir ağ üzerinden birbirine bağlıyor. Hizmet Düğümleri, mesajları ağ üzerinden ileri geri ileten ve ek hizmetler sağlayan sunuculardır. Session'ın mesajları korumak için kullandığı onion istek sistemi, ağdaki hiçbir Hizmet Düğümünün bir mesajın hem kaynağını (sizin IP adresiniz) hem de hedefini (alıcının IP adresi) bilmemesini sağlar. Bu, varsayılan olarak IP adresinizi gizlemenizi sağlar.
Oturum, kimliğinizi korumak için bir dizi ek adım atar:
Kayıt için telefon numarası gerekmez
Kayıt için e-posta gerekmez
Hiçbir coğrafi konum verisi, cihaz verisi veya meta veri toplanmaz
Hizmet Düğümleri sürü halinde gruplandırılır. Sürüler, ağa yedeklilik sağlamanın yanı sıra mesajlar hedeflerine teslim edilemediğinde geçici depolama sağlar. Her Oturum istemcisi, gerçek zamanlı olarak mesaj göndermek ve almak ve ayrıca sürüde depolanan ve teslim edilmeyi bekleyen ilgili mesajları almak için bir sürüye bağlanır.
Burada herhangi bir merkezi sunucudan bahsetmediğimizi fark edeceksiniz. Session ağı merkezi değildir, tek bir hata noktası yoktur ve kötü adamların hackleyebileceği bir ana sunucu yoktur. Session mesajları bir onion yönlendirme sistemi kullanarak taşır.
Soğan yönlendirme sisteminde mesajlar birden fazla şifreleme katmanıyla çevrelenir ve sistemdeki birden fazla düğümden geçer. Her düğüm mesajı iletmeden önce bir şifreleme katmanının şifresini çözer. Mesajların şifrelenme şekli nedeniyle, hiçbir düğüm hem mesajın kaynağını hem de hedefini bilemez. Ayrıca, IP adresiniz hedefte asla görünmez, yani Session'ı kullandığınızda kiminle konuşursanız konuşun sizi tanımasının hiçbir yolu yoktur. Session hizmetinin çok esnek olduğu kanıtlanmalı ve tek tek Hizmet Düğümleri ağa katılsa veya ağdan ayrılsa bile çalışmaya devam etmelidir.
Session'ın onion yönlendirme sistemi Oxen Service Node ağı üzerinde çalışır. Bu ağ (eskiden Lokinet olarak biliniyordu) aynı zamanda $OXEN kripto para biriminin altyapısının bir parçası olarak da hizmet veriyor. Oxen.io web sitesinden OXEN hakkında daha fazla bilgi edinebilirsiniz.
Session şu anda temel mesajlaşma işlevlerini çok iyi bir şekilde yerine getirirken, Signal veya Telegram gibi rakiplerinin sahip olduğu bazı özelliklere sahip değil. Diğer şeylerin yanı sıra henüz sesli veya görüntülü arama yapmıyor. Bu özel yeteneklere ihtiyacınız varsa, farklı bir mesajlaşma uygulamasına bakmak isteyebilirsiniz.
İşte bu Oturum incelemesinde belirlediğimiz artılar ve eksiler:
+ Artıları
Uçtan uca (E2E) şifreleme, metin ve sesli mesajların yanı sıra ekleri de güvence altına alır
Şifreleme: Oturum Protokolü
Kaydolmak için telefon numarası veya e-posta adresi gerektirmez
Açık kaynak
Onion yönlendirme sistemi ademi merkeziyetçilik ve anonimlik sağlar
IP Adreslerini veya meta verileri günlüğe kaydetmez
Şifrelenmiş kapalı gruplar (artık 100 kişiye kadar) ve açık gruplar (boyut sınırı yok)
Masaüstü, Android ve iOS uygulamalarının güvenlik kodu denetimi başarıyla tamamlandı
- Eksiler
2FA'yı (iki faktörlü kimlik doğrulama) desteklemez
Yeniden tasarlanan çoklu cihaz senkronizasyonu (erken beta)
Mükemmel İleri Gizlilik kaldırıldı
Önemli: Session'ın meta veri toplamaması büyük bir artı. Metadata sorununun birçok güvenli mesajlaşma hizmeti ve güvenli e-posta hizmetinin zayıf noktası olduğunu düşünüyoruz. ProtonMail gibi en popüler güvenli e-posta hizmetlerinin bile metadata sorununa iyi bir çözümü yoktur.
Şimdi Session messenger'ın temel özelliklerini inceleyeceğiz.
Oturum özellik özeti.
Session'ı değerlendirirken göz önünde bulundurmak isteyeceğiniz özellikler şunlardır:
Anonim, merkezi olmayan iletişim için dağıtılmış bir onion yönlendirme sistemi üzerinde Signal'den esinlenen Oturum Protokolünü kullanır.
100 açık kaynak kodludur (Kod GitHub'da mevcuttur).
Android, iOS, macOS, Windows, Linux için istemciler.
Sistem, birkaç ay süren yeniden tasarım ve yeniden düzenleme işlemlerinden sonra çok daha kararlı hale geldi.
Session şirket bilgileri.
Session, Loki Vakfı'nın bir projesidir. Loki Vakfı (LAG Foundation, LTD olarak kayıtlıdır) Victoria, Avustralya merkezli kayıtlı bir hayır kurumudur. Vakıf, amaçlarının "...dijital dünyada gizliliği savunan açık kaynaklı, meta veri içermeyen iletişim araçları ve uygulamaları oluşturmak" olduğunu belirtmektedir.
Not: Loki ürünleri isimlerini Oxen olarak değiştiriyor. Loki ve Oxen'ın birbirinin yerine kullanıldığı uzun bir süre olması muhtemeldir.
Oturum verileriniz nerede saklanıyor?
Size gönderilen mesajlar aslında sürünüze gönderilir. Mesajlar, yedeklilik sağlamak için sürü içindeki birden fazla Hizmet Düğümünde geçici olarak saklanır. Cihazınız mesajları sürüden aldıktan sonra, mesajları geçici olarak depolayan Hizmet Düğümlerinden otomatik olarak silinir.
Not: Bu eşler arası mimari ile aynı şey değildir. Oturum SSS bölümüne buradan ulaşabilirsiniz,
Oturum istemcileri ağ üzerinde düğüm olarak hareket etmez ve ağ için mesaj iletmez veya depolamaz. Session'ın ağ mimarisi istemci-sunucu modeline daha yakındır; burada Session uygulaması istemci, Service Node sürüsü ise sunucu olarak hareket eder. Session'ın istemci-sunucu mimarisi, eşler arası ağ mimarilerine göre daha kolay eşzamansız mesajlaşmaya (bir taraf çevrimdışı olduğunda mesajlaşma) ve onion yönlendirme tabanlı IP adresi gizlemeye olanak tanır.
Session'ın üçüncü taraf test ve denetimleri.
Session artık onion yönlendirme ağını kullanıyor. Geçen yıl Quarkslab tarafından Session Masaüstü, Android ve iOS uygulamaları için bir güvenlik denetimi yaptırdılar. Bu denetim şimdi tamamlandı ve Session ve kullanıcıları için iyi haberler veriyor. Denetim raporu kısmen şu sonuca varıyor:
Oxen Session, mevcut uçtan uca şifrelemeli anlık mesajlaşma çözümüne bir katman ağı kullanarak Sinyal gizliliğini ve esnekliğini gerçekten geliştiriyor. Soğan yönlendirme mekanizmaları, mesajları depolamak ve değiş tokuş etmek için Oxen'in Snodes'unu kullanır. Bununla birlikte, kaplama ağı aracılığıyla hala kullanılan bazı diğer merkezi standart web hizmetleri vardır (push hizmeti ve ek dosyaları teslim etmek için). Tüm büyük endişeler hızla giderildi.
Quarkslab Oxen Oturum Denetimi, Teknik Rapor
Session artık kanıtlanmış ve bağımsız olarak doğrulanmış güvenliğin bir ön koşul olduğu durumlarda kullanıma uygundur.
Oturum ne kadar güvenli ve özeldir?
Oturum tamamlandığında ve tamamen geliştirildiğinde, süper güvenli, son derece özel, anonim ve genel olarak mükemmel olmalıdır. Ancak, ürünün tamamlanmaya ne kadar yakın olduğu belli değil.
Onion yönlendirme sistemi artık işlevseldir, bu da güvenlik ve gizlilik için büyük bir destektir. Quarkslab güvenlik denetimi de Masaüstü, Android ve iOS uygulamalarının güvenli olduğunu gösteriyor.
Avustralya ve veri güvenliği ile ilgili endişeler.
Gizlilik ve verilerinizin güvenliği konularında, Session'ın nerede bulunduğunu tartışmalıyız. Yukarıda belirtildiği gibi, Session Avustralya'da bulunmaktadır. Ne yazık ki, Avustralya birkaç nedenden ötürü mükemmel bir gizlilik yetki alanı değildir.
Yakın zamanda Avustralya için en iyi VPN'ler hakkındaki rehberimizde tartıştığımız gibi, ülke 2018'de şifreleme ve veri güvenliğini zayıflatmak için bir yasa çıkardı. İşte bu yasaya hızlı bir genel bakış:
Avustralya Parlamentosu Perşembe günü, teknoloji şirketlerinin kolluk kuvvetlerine ve güvenlik kurumlarına şifrelenmiş iletişimlere erişim sağlamasını gerektiren tartışmalı bir şifreleme tasarısını kabul etti. Gizlilik savunucuları, teknoloji şirketleri ve diğer işletmeler tasarıya şiddetle karşı çıkarken, Başbakan Scott Morrison'un hükümeti, iletişim kurmak için şifreli mesajlaşma programları kullanan suçluları ve teröristleri engellemek için bunun gerekli olduğunu söyledi.
Mahremiyet çevrelerinde "Yardım ve Erişim Yasası", izin verdiği şeylerden dolayı bazen "şifreleme kırma yasası" ya da "şifreleme karşıtı yasa" olarak adlandırılıyor. Bu yasa, Oturum, VPN hizmetleri ve diğer gizlilik odaklı işletmeler de dahil olmak üzere şifreli iletişim hizmetleri sağlayan işletmeleri temelden etkileyecektir. Bu konu dünyanın dört bir yanındaki gizlilik savunucularının eleştirilerini toplamaya devam ediyor.
ABD'li düzenleyiciler de Avustralya'dan örnek alarak teknoloji şirketlerini şifrelemeyi kırmaya zorlamayı ve böylece gözetimi kolaylaştırmayı teklif etti.
Session'ın arkasındaki Loki Vakfı bu çetrefilli konuyu bir blog yazısında ele aldı:
Açıkçası bu tasarıyı ilk gördüğümüzde dehşete kapıldık. Projenin bu yasa ile tamamen baltalanması potansiyeli gözümüzden kaçmadı. İnsanların kod tabanımıza enjekte edilen kötü kodları yakalamasına izin vermek için nasıl hata önleme mekanizmaları kurabileceğimizi ya da Loki'nin dışından birine, yayınladığımız ikili dosyalarımızı düzenli olarak denetlemesi ve fazladan bilgi sızdırmadıklarından veya kod tabanıyla bir şekilde uyuşmadıklarından emin olması için ödeme yapabileceğimizi düşünmeye başlamıştık. Eğer bize bir TCN [Teknik Yetenek Bildirimi] verilirse, bunu kimseye söyleyemeyiz. Eğer bir tür kanarya sistemi kurarsak, hapse atılabilirdik. Bu nedenle, kurduğumuz her türlü emniyet sistemi Loki'nin dışında olmalı ve bir TCN yayınlanmadan önce tehlikeye atılmadığımızdan emin olmak için bizi düzenli olarak denetlemelidir.
Sonuç olarak Loki Vakfı, bu tehlikeli yasal ortamda hala güvenli bir mesajlaşma hizmeti işletebileceklerine inanıyor. Konuyla ilgili blog yazılarında teknik ve yasal ayrıntılara derinlemesine giriliyor, vaktiniz ve eğiliminiz varsa bunları araştırabilirsiniz. Buna ek olarak, "Avustralya hükümetinin şifreleme karşıtı tutumu Oturum için bir risk oluşturuyor mu?" başlıklı SSS başlığında ve orijinal blog yazılarına yaptıkları bu güncellemede konuyu ele alıyorlar.
Peki, verileriniz Session messenger ile güvende ve emniyette mi?
Genellikle AA tasarısı ya da TOLA olarak bilinen Telekomünikasyon ve Diğer Yasal Değişiklikler (Yardım ve Erişim) Yasa Tasarısı 2018'i araştırdıktan sonra şüphelerim var, ancak siz kendi sonuçlarınıza varabilirsiniz.
Avustralya ile ilgili diğer gizlilik endişeleri.
Avustralya'yı rahatsız eden tek gizlilik sorununun şifreleme karşıtı mevzuat olmadığını da belirtmek gerekir. Bunu bir düşünün:
Zorunlu veri saklama - 2017 yılında Avustralya zorunlu bir veri saklama çerçevesi uygulamaya koydu. Bu, tüm internet sağlayıcılarını ve telefon şirketlerini devlet kurumları için bağlantı verilerini tam iki yıl boyunca saklamaya zorlamaktadır.
Beş Göz - Avustralya'nın Beş Göz gözetim ittifakının bir üyesi olduğunu daha önce de belirtmiştik. Bu ittifak kitlesel gözetim verilerini toplamak ve paylaşmak için birlikte çalışmaktadır.
Çeşitli kurumların Avustralyalılar hakkında veri toplamak için bu yasalardan yararlanmadığını düşünüyorsanız, bir kez daha düşünün. İşte The Guardian'dan yeni bir manşet:
Oturum Habercisi SSS.
İşte bu güncellemenin araştırılması ve yazılması sırasında sıkça karşılaşılan birkaç soru.
Session messenger güvenli mi?
Quarkslab tarafından kısa süre önce tamamlanan güvenlik denetimi, uzun süredir inandığımız şeyi doğruladı: Session güvenlidir. Ancak Avustralya hükümetinin hemen hemen her uygulama veya hizmette (sadece Session'da değil) gizlilik korumalarını aşmaya yönelik eylemleri, Session kullanıyorsanız gizliliğinizin garanti edilemeyeceğini düşünmemize neden oluyor.
Session protokolü nedir?
Session protokolü, Session tarafından geliştirilen yeni bir mesajlaşma protokolüdür. Signal protokolünden Session protokolüne geçiş, gizlilik/anonimlik ve merkezsizleştirme özellikleri sağlarken ikincisinin güvenliğini korur. Sonuç, Session'ın benzersiz mimarisiyle iyi çalışan bir protokoldür.
Session incelemesi sonucu.
Session gelecek vaat eden bir üründür, ancak artıları ve eksileri vardır. Tamamlandığında, Signal kadar güvenli, Signal'den bile daha özel ve anonim olmalıdır. Ancak Avustralya, veri gizliliği ve Loki Vakfı'nın kullanıcı verilerini bu ortamda güvende tutma becerisi hakkında hala devam eden endişeler var.
Last edited by a moderator:
