E-posta Güvenliği

Devletin, şirketlerin ya da herhangi üçüncü kişi ve kurumların iletişimimizi izlememesini istiyorsak, mahremiyetimize önem veriyorsak, bu konu dahilinde üç farklı seçeneği tanıtmak gerekiyor. Eğer, “ben suçlu muyum ki saklayacak bir şeyim olsun?” gibi düşünceleriniz varsa ve evinizde perde gibi şeyler kullanmıyorsanız, buradaki yazıya bir göz atmanızı öneririm.

NSA, PRISM skandalları gibi birçok gerçeği ortaya çıkaran Edward Snowden’ın kullandığı “şifreli mail servisi” Lavabit’in kurucusu, binlerce kişinin bilgilerini ABD’nin baskıları sonucu devlete teslim etmek yerine hizmeti sonlandırmıştı. Hatta açılan davaların masrafları için bağış toplamıştı. Bu davayla ilgili makaleler ve görseller internette mevcut. Ayrıca, Citizenfour filminde de bu konuya kısaca değiniliyor. Şimdi bahsedeceğimiz ve benim kullanmaya başladığım platformlar da, kısmen yasal baskıların az olduğu yerlerden çıkan oluşumlar. Zaten her zaman bir çıkış yolu vardır değil mi?

Şifreli e-posta gönderebileceğiniz servislerden biri olan ProtonMail, İsviçre CERN’de tanışan bilim adamları tarafından 2013 yazında hayata geçirildi. CERN’e bir de Proton’un sadece İsviçre’deki sıkı veri koruma yasalarına bağlı olduğunu, ABD ve AB’den bağımsız olduğunu ekleyince, güvenlik konusunda oldukça fazla “güven” verdiği anlaşılıyor. İndirmenize, bir şeyler kurmanıza gerek de yok! Telefonda ve tablette de görünümü gayet modern ve basit.

Gelelim kullanıma. Evet, ProtonMail ücretsiz bir hizmet sunuyor fakat sizden hesabınızı açmadan önce neden bunu istediğinize dair kısa bir bilgilendirme yazısı istiyor. Diğer bilindik ve gizliliğimizi korumayan mail şirketleri özel telefon numaramızdan anne kızlık soyadına kadar bilgiler sorarken ProtonMail sadece “neden” diye soruyor. (Yeni sürümüyle çoğu zaman artık bunu da sormuyor). Bir süre sonra da size cevap geliyor ve eğer o forma nedeniniz dışında şeyler yazmadıysanız hesabınız açılıyor. Hesabınıza giriş yaptıktan sonra “posta kutunuzun” ayrı bir şifresi olduğu için onu girmeden postalarınızı “decrypt” bir şekilde göremiyorsunuz. Posta kutunuz hazır fakat üzerinde ayrı bir kilit de mevcut! Aman bu şifreyi unutmayın, unutursanız posta kutunuzu “sıfırlamak” zorunda kalıyorsunuz, yani tüm mailleriniz siliniyor.

CERN’de çalışmış bilim insanlarından Andy Yen ProtonMail‘i neden yarattıkları hakkında şöyle diyor:
“Edward Snowden’ın hikâyesini duyduğumuzda, ben ve meslektaşlarım özel hayatın gizliliğini sağlayacak bir iletişimi kolaylaştırmak için uğraşmaya karar verdik. O sırada CERN’deydik, protonların çarpıştırıldığı dünyanın en büyük atom çarpıştırıcısında, hepimiz bilim insanıydık ve bilimsel yaratıcılığımızı kullanarak projemize bir isim bulduk: ProtonMail.”

Her iki servisin de (ProtonMail ve Tutanota) mail gönderme / alma işlemleri birbirine benzediği için şimdi biraz Tutanota‘dan bahsedip diğer özelliklerine de sonra değineceğim. Tutanota Almanya’dan çıkan bir girişim. Öncelikle Tutanota‘dan çok hızlı bir şekilde hesap açabilirsiniz. Mail adresinizin adı için de farklı seçenekler mevcut: @tutanota.de, @tutanota.com, @tutamail.com, @tuta.io ve @keemail.me gibi. GPL lisansı ile kodları da şurada görmek mümkün. Cep telefonunuzda da Tutanota gayet hızlı çalışıyor. Türkçe desteği ve dil seçenekleri çok iyi olan Tutanota‘nın biraz daha gelişmeye ihtiyacı var. Yakında yeni sürümleriyle karşımıza çıkacaktır.

Hem ProtonMail hem de Tutanota‘nın mail gönderme prosedürleri aynı işliyor. Peki güvensiz bir mail servisi kullanan birine mail attığımızda ne olacak ve şifreleme nasıl oluyor? Şifreleme yöntemi en basitinden şu şekilde tarif edilebilir: Gönderdiğimiz her mektup için ayrı şifre kullanabiliyoruz ve bu şifreyi kendimiz belirliyoruz. E-postayı yazıyoruz ve “bunu şifrele” dedikten sonra bir kutucuk içinde bizden bir şifre belirlememizi istiyor. İşte asıl kafa karışıklığı burada devreye giriyor: Kendi belirlediğimiz bu şifreyi karşı taraf nereden bilecek ve aynı şifre ile o postayı okuyacak? Açık-kapalı anahtar şifrelemede  (PGP / GPG – konu bitiminde kısa olarak bahsedeceğiz) kendinize ait anahtarlarınız vardır ve güvendiğiniz karşı taraf ile bu anahtarlarınızı paylaşırsınız. Güvendiğiniz insanlar bu anahtarları “onaylar”. Basitçe bu anahtarlar “birbirlerini” açar. Ama bu mail servislerindeki durum biraz farklı anladığınız gibi. Karşı tarafın sizin belirlediğiniz şifreyi bilebilmesi imkansız ancak ona bunu iletmezseniz. Önceki konularda bahsettiğimiz güvenli mesajlaşma programlarından biriyle – Örneğin Signal uygulaması ile – belirlediğiniz şifreyi karşı tarafa iletebilrsiniz. Bu şifreyi isterseniz buluştuğunuzda kulağına söyleyin ya da kahve içerken peçeteye yazın! Bu artık sizin kendi aranızdaki şifre ya da bir “sır” olsun.

Riseup, son olarak bahsedeceğimiz güvenli e-posta platformlarından biri. Logosundan ve duruşundan da anlayabileceğiniz gibi Riseup, daha çok toplumsal grupların ve aktivistlerin tercih ettiği bir platform. En çok kullanılan özelliklerinden biri mail grupları. Birçok dilde destek mesajları atan Riseup’ın en önemli özelliklerinden biri de VPN hizmeti de sunması.

Riseup‘ın güvenliğe olan yaklaşımı daha hesap açarken karşımıza çıkan bir durum. Evet, Riseup hesabı açabilmeniz için mutlaka Riseup hesabı olan birinden “davetiye” almanız gerekiyor.

> PGP (Pretty Good Privacy)

Yukarda anlattığımız platformlar e-posta güvenliği sağlar fakat dünya üzerindeki en güvenli şifreleme yöntemi PGP (GnuPG) olarak kabul edilir. Daha önce gazetecilere verdiğimiz eğitimlerde hepsine PGP kurulumu yaptırmıştık. Eğer siz de daha güvenli protokoller üzerinden konuşmak isterseniz ve mahremiyetinizden fazlasıyla endişeliyseniz aşağıdaki bağlantıdan adım adım PGP anahtarınızı oluşturabilirsiniz.

• Kullandığınız işletim sistemine göre burada anlatılan yöntemlere başvurarak gerekli programları kurup PGP anahtarınızı oluşturabilirsiniz (Beginners’ Guide To PGP).

Ayrıca PGP’nin yaratıcısı Philip Zimmermann‘ın temel metni “Why I Wrote PGP” yi okuyabilirsiniz: https://www.philzimmermann.com/EN/essays/WhyIWrotePGP.html