yazılara ilgili ekran görüntüleri eklendi hizmet olarak şifreli e-posta yazısı eklendi.

ag_guvenlik_duzenleme
AA 5 years ago
parent 44e981e12b
commit 8e937c2d45
Signed by untrusted user: AA
GPG Key ID: 471A839AB4DD8E6D
  1. 1
      src/message_security/signal.md
  2. 3
      src/yazisma_guvenligi/Signal/signal.md
  3. 0
      src/yazisma_guvenligi/gpg/gpg-kurulumu/Kleopatra5.png
  4. 27
      src/yazisma_guvenligi/gpg/gpg-kurulumu/gpg-kurulumu.md
  5. BIN
      src/yazisma_guvenligi/gpg/gpg-kurulumu/kleopatra3.png
  6. BIN
      src/yazisma_guvenligi/gpg/gpg-kurulumu/kleopatra4.png
  7. BIN
      src/yazisma_guvenligi/gpg/gpg-kurulumu/kleopatra5.png
  8. 84
      src/yazisma_guvenligi/sifreli-eposta-hizmetleri.md

@ -1 +0,0 @@
## Signal ile güvenli iletişim

@ -38,6 +38,9 @@ Flatpak kullananlar dağıtımlarından bağımsız olarak Signal masaüstü ist
** Signal'i kullandığınız kişiler ile anahtarlarınızı doğrulamazsanız şifrelemenin güvenliğini ciddi miktarda zayıflatmış olursunuz. Bu tip saldırılar hem [devletler tarafından](https://yro.slashdot.org/story/18/11/07/2156241/police-decrypt-258000-messages-after-breaking-pricey-ironchat-crypto-app) hem de kötücül amaçlı bireyler tarafından gerçekleştirilebilmekte. Konuşma penceresinde kişi ismine tıkladıktan sonra açılan menünün en altında "Güvenlik numarasını görüntüle" bölümündeki numaraları **SIGNAL HARİCİ** bir kanaldan doğrulayabilir. Yanyana iken gösterilen karekodu taratarak doğrulama yapabilirsiniz.
![alt-text](signal1.png)
![alt-text](signal2.png)
** Sesli aramalarınızı da Signal aracılığı ile yapabilirsiniz. Bu size olağan aramalara göre çok daha yüksek mahremiyet sağlayacaktır. Çevreniz ile kullanmanız önerilir. Bazı kullanıcılar VPN ile signal kullanırken ses bağlantı sorunları yaşayabilmektedir.
** Signal ve geliştiriciliğini yapan [Open Whisper Systems](https://signal.org/) pek özgürlük taraftarı değiltir. Moxie Merlinspike, özgür olan signal'in Google servisleri içermeyen [LibreSignal forkunu yasal tehditler](https://github.com/LibreSignal/LibreSignal/issues/37#issuecomment-217211165) ile ortadan kaldırmıştır. Hali ile Signal bir gün kullanıcılarına sırtını dönerse Signal'i kendi sunucunuz ile kullanmak için çokça çaba harcamanız ve bağlantılarınızı kaybetmeniz olasıdır.

@ -14,16 +14,26 @@ RPM: `sudo yum install kleopatra`
* Kurulum tamamlandıktan sonra Kleopatrayı dilediğiniz şekilde çalıştırın ve anahtarların listelendiği alan ile birlikte Kleopatra sizi karşılayacak.
![alt-text](kleopatra1.png "Kleopatra ana ekranı")
* İlk anahtarınızı üretmek için "File/Dosya" menüsüne tıklayıp "New key pair/Yeni anahtar çifti" seçeneğine tıklayıp anahtar üretme işlemine başlayın. Açılan menüden "Kişisel OpenPGP anahtar çifti üret seçeneğini tıklayıp" devam edin.
![alt-text](kleopatra2.png "Anahtar Çifti Oluşturma Ekranı")
* Kleopatra size isminizi ve e-posta adresinizi soracaktır. Burada doğru bilgiler vermek zorunda değilsiniz. __Lakin__ GPG insanların kimliklerini oluşturmak ve buna güven duyulmasını sağlamak amacı ile kullanılmaktadır. Bu anahtar sizin kimliğinizi ve sizi tanıyan insanların size güvenmesi demek olacağından bu anahtarla yapacağınız işlemlerin size ait olduğunu kanıtlamanızı sağlar. Bu sebep ile gerçek bilgiler kullanmanızı öneririz. **Her halde** dilediğiniz bu bilgileri değiştirmenize engel olan bir durum yok.
![alt-text](kleopatra3.png "ID Bilgilerinin Girimi")
* 'Gelişmiş Ayarlar' tıklandığında üretilecek anahtarınıza ilişkin bir takım teknik veriler karşınıza çıkacaktır. "Anahtar Malzemesi" olarak garipçe çevrilmiş bölümde kullanılacak anahtarın tipi ve boyutu girilmekte. RSA standart olmakla anahtar boyutunu en yüksek olan **4096** bit'e yükseltmeniz anahtarınızın geleceği için **hararetle** tavsiye edilir. Şayet anahtarınız ile [SSH](https://en.wikipedia.org/wiki/Secure_Shell) kullanma arzunuz varsa şu aşamada "Yetkilendirme/Authentication" kutusunu işaretleyerek devam edebilirsiniz. Geçerlilik süresi ise anahtarınızı kaybetmeniz durumunda belirli bir tarihten sonra anahtarınızın kendiliğinden kullanılmaz olmasını sağlar. O tarih geldiğinde anahtarınızı tekrar yenileyebilirsiniz. Tercihen **2-3** yıl seçmeniz önerilir.
![alt-text](kleopatra4.png "Anahtar Özellikleri")
* "Oluştur" düğmesine bastığınızda Kleopatra size parola soracaktır. Bu parola anahtarınızın şifrelenmesi için kullanılacak olup **tüm anahtarınızın güvenliğinden sorumludur.** Hali ile burada bir [**zarola**](https://zarola.oyd.org.tr) kullanmanız **hararetle tavsiye edilir.**
* Parolanızı girmenizin ertesinde, cihazınızın kapasitesine ve [rastgelelik](https://en.wikipedia.org/wiki/Randomness) kaynağına bağlı olarak birkaç dakika alabilir. Bundan sonra anahtarınız hazırlanmış olacaktır.
![alt-text](kleopatra5.png "Sonuç Ekranı")
* Bu aşamada anahtarınızın yedeğini alabilir ve [anahtar yönetimi](guvenlik.oyd.org.tr/anahtar-yonetimi) tavsiyelerimize göre anahtarınızın yedeğini alabilirsiniz.
* Şayet anahtarınızı e-posta yazışması için kullanılmasını istiyorsanız, bu aşamada "Dizin Servisine Açık Anahtarı Yükle" seçeneğine tıklayarak anahtarınızı anahtar sunucularına gönderek herkes tarafından size şifreli e-posta atılabilmesini sağlayabilirsiniz.
@ -36,20 +46,35 @@ Android işletim sistemlerinde GPG kullanmak neredeyse diğer tüm imkanlardan d
* Android mobil işletim sistemleri için [OpenKeychain](https://openkeychain.org) yazılımını [F-droid](https://f-droid.org] reposundan veya özgür olmayan bir başka repodan indirerek telefonunuza kurun.
* OpenKeychain sizi şirin asmakilit karakteri ile karşılayacak ve anahtar kullanımı için seçenekler sunacaktır. Buradan "Anahtarımı oluştur" seçeneğini seçerek ilerleyin
* OpenKeychain sizi şirin asmakilit karakteri ile karşılayacak ve anahtar kullanımı için seçenekler sunacaktır. Buradan "Anahtarımı oluştur" seçeneğini seçerek ilerleyin.
![alt-text](openkeychain1.png "OpenKeychain Karşılama Ekranı")
* OpenKeychain size adınızı veya rumuzunuzu soracaktır. Burada doğru bilgiler vermek zorunda değilsiniz. __Lakin__ GPG insanların kimliklerini oluşturmak ve buna güven duyulmasını sağlamak amacı ile kullanılmaktadır. Bu anahtar sizin kimliğinizi ve sizi tanıyan insanların size güvenmesi demek olacağından bu anahtarla yapacağınız işlemlerin size ait olduğunu kanıtlamanızı sağlar. Bu sebep ile gerçek bilgiler kullanmanızı öneririz. **Her halde** dilediğiniz bu bilgileri değiştirmenize engel olan bir durum yok.
![alt-text](openkeychain2.png "İsim Girişi")
* Bir sonraki aşamada OpenKeychain sizden e-posta adresinizi ve varsa başkaca e-posta adreslerinizi girmenize imkan verecektir. Buraya GPG anahtarınızı kullanmak istediğiniz e-posta adreslerini girin. Gerekirse ileride yenilerini ekleyebilir veya çıkartabilirsiniz.
![alt-text](openkeychain3.png "E-posta Girişi")
* Anahtarınızı oluşturmadan önce, isminiz ve e-postanızın gösterildiği aşamada anahtarınızı "Anahtar sunucusuna gönder" "Publish on keyserver" seçeneği görülecektir. Şayet anahtarınızı e-posta yazışması için kullanılmasını istiyorsanız bu seçeneği işaretleyerek devam edebilirsiniz.
![alt-text](openkeychain4.png "Anahtar Oluşturma")
__ÖNEMLİ NOT__ Anahtar sunucusuna yüklediğiniz anahtarlar **SONSUZA** kadar sunucularda kalacaktır. Bu bakımdan anahtarınızı kullanacağınızdan ve/veya anahtarı iptal etmek için gerekenlere sahip olduğunuzdan emin olmadan anahtarı sunuculara göndermeyin. Gizli anahtara ve parolasına veya bir iptal sertifikasına sahip değilseniz sunucudaki anahtarlar son kullanma tarihine kadar geçerli kalır.
* Anahtarınızı üretmeye geçmeden, sağ üst köşede bulunan menüden "Anahtar yapılandırmasını değiştir" seçeneğini seçerek anahtarınızın bazı standart ayarlarını deiştirmek isteyebilirsiniz.
**Parola** OpenKeychain üretilen anahtarlara bir parola ile korumamaktadır. Bu sebepten bir [**zarola**](https://zarola.oyd.org.tr) ile anahtarınızı şifrelemenizi öneririz.
**Alt Anahtarlar** OpenKeychain standart olarak en yüksek güvenlikteki anahtar boyutu olan 4096 bit kullanmamakta. Bunu şifreleme hızı için yapsa da uzun vadede kullanacağınız anahtarlarınızın boyutunun 4096 bit olması uzun vadede faydalı olabilir. Dilerseniz bu aşamada SSH gibi yetkilendirme sistemlerinde kullanılmak üzere başkaca bir alt anahtar daha ekleyebilirsiniz.
![alt-text](openkeychain7.png "Gelişmiş Anahtar Ayarları")
* Anahtar oluştur düğmesine tıklayarak anahtarınızı oluşturmaya başlayabilirsiniz. Cihazınız gerekli sihirli işlemleri yaptıktan sonra OpenKeychain'in ana sayfasında kişisel anahtarınız ile karşılaşacaksınız.
![alt-text](openkeychain5.png)
![alt-text](openkeychain6.png)
Tebrikler artık kullanılabilir bir GPG anahtarınız var! Artık hem e-postalarınızı hem de dosyalarınızı şifreleyebileceğiniz dünyaca güvenilen bir yazılımı kullanabilir konumdasınız. Bu bilgiyi çevrenizle paylaşın ve onların da kendi anahtarlarını üretip sizinle iletişime geçebilmesine yardımcı olun.

Binary file not shown.

Before

Width:  |  Height:  |  Size: 67 KiB

After

Width:  |  Height:  |  Size: 81 KiB

Binary file not shown.

Before

Width:  |  Height:  |  Size: 81 KiB

After

Width:  |  Height:  |  Size: 93 KiB

Binary file not shown.

Before

Width:  |  Height:  |  Size: 93 KiB

@ -0,0 +1,84 @@
# Şifreli E-posta Hizmetleri
Snowden'in kamuya açıkladığı gerçeklerden sonra şifreli e-posta hizmetleri fazlasıyla tartışılmış ve konuşulmuştur. Özellikle [Lavabit'in](https://en.wikipedia.org/wiki/Lavabit) muhtemelen [FBI](https://www.fbi.gov/) baskısı sebebi ile kapatılmasından sonra benzer şifreli e-posta hizmetlerine ilişkin merak ve tartışma daha da arttı. Bunun bir ihtiyaç olarak gören kimi kimseler çeşitli "şifreli e-posta" hizmeti vermeye başlamıştır.
## Şifreli E-posta Hizmeti Nedir
Öncelikle "şifreli" veya "güvenli" e-postanın ne olmadığından söz etmek gerekir. Herhangi bir yazışmanın "mahrem" veya "güvenli" sayılabilmesi için şifrelemenin [uçtan uca(end-to-end)](https://en.wikipedia.org/wiki/End-to-end_encryption) olması gereklidir. Bu koşulun gerçekten oluşmasının tek imkanı tarafların şifreleme anahtarlarını kendi cihazlarında üretmeleri ve ellerinde bulundurmalarıdır. Aracı olarak hizmet sunan şifreli e-posta hizmet sağlayıcısının şifreleme işlemine müdahil olduğu her durumda **güvenin** bir kısmı hizmet sağlayıcıya aktarılmış olur.
Kabaca şifreli e-posta hizmetleri uygulama bakımından ikiye ayrılabilir; taraflar arasındaki iletişimin uçtan uca şifrelenebildiği cins ile sadece gelen e-postaların gelen kutusunda şifreli saklandığı cins olarak.
## Şifreli Gelen Kutusu
Pek çok mahremiyet yanlısı e-posta sağlayıcısı, arayüzleri aracılığı ile gelen e-postaların şifrelenerek gelen kutusuna kaydedilmesine imkan vermektedir. Söz konusu şifreleme genellikle kendi sunucularında kullanıcı adına üretilen bir GPG anahtarı ile yapmaktadırlar. Bu yöntemin iki adet faydası bulunmaktadır;
* Bir sebepten e-postalar veya e-posta hesabı kaybedilirse, şifreli olduklarından dolayı ifşa olmaları mümkün olmayacaktır.
* E-posta hizmet sağlayıcısı bir devlet tarafından kullanıcıları hakkında bilgi vermeye zorlanırsa şirket şifrelenmiş veriden ve üstveriden başka teslim edebileceği bir şey olmayacaktır.
İki de düşünülmesi gereken zararı bulunmaktadır;
* Doğal olarak gelen e-postalar vardıklarında şifresiz olduklarından ne hizmet sağlayıcısının ne de kendisinden bilgi talep eden devletlerin kaydedilip şifrelenmeden önce bu e-postaları okumasına engel olan bir durum yoktur.
* E-postalarınız şifreli saklanacağından, cihazlarınızda yerel olarak GPG kurulu ve hizmet sağlayıcınızın ürettiği gizli anahtar elinizde değil ise postalarınızı okumak için size sunulan webmail arayüzüne mahkum kalırsınız.
Tüm anlatılanlar bir yana bu şekilde yapılan şifrelemeden __herhangi bir anlamda__ **güvenlik** veya **mahremiyet** beklememek yerinde olacaktır.
Pek çok hizmet sağlayıcı olmakla birlikte aşağıdakiler söz konusu imkanı sağlayan en tanınmış şirketlerdir;
mailbox.org
posteo.de
fastmail.com?
...
## Uçtan Uca Şifreli E-posta
Uçtan uca şifreli e-posta hizmeti veren şirketler her kullanıcısı için üyelik sırasında bir anahtar oluşturmakta ve bu anahtar aracılığı ile çoğunlukla sadece kendi üyeleri arasındaki yazışmaları şifreleyebilmektedir. Hizmet sağlayıcının dışındaki e-posta kullanıcılarına bir parola ile şifrelenmiş e-posta atabilmek mümkün olsa da bu standart olarak sağlanmamakta ve olağan kullanım için fazlasıyla zahmetli olmaktadır. Bu hizmetler ile;
* Aynı hizmet sağlayıcıyı kullanan veya parola ile şifrelenerek diğer e-posta kullanıcılarına yapılan yazışmalar hizmet sağlayıcı tarafından da okunamadığı iddia edilmektedir.
* Devletlerden gelen taleplere şirketlerin sağlayabileceği sadece üstveri ve anahtarın şifreli hali olmaktadır.
Her ne kadar anahtarın üretimi ve hizmetin kullanımı için gereken yazılımların "özgür" ve tarayıcıda yerel olarak çalıştığı söylense de her giriş yaptığınızda tayacınıza yüklenen javascript kodunun doğruluğunu denetleme imkanının olmayışı ve her halukarda şifreli de olsa gizli anahtarınızın şirketin sunucusuna yüklenmesi [bruteforce](...) saldırılara imkan vermesi tatsız sonuçlardır. Sayılan sebepler ile belirli bir güvenin hizmet sağlayana aktarıldığı ve bu **güvenin haksız çıkması** ihtimalinin değerlendirilmesi önemlidir.
Uçtan uca şifreli e-posta hizmeti veren en tanınmış iki isim [Tutanota](https://tutanota.com) ve [Protonmail](https://protonmail.com) idir. Benzer hizmetler vermelerine rağmen bu amaçla kullandıkları teknolojiler ve yaklaşımlar bir hayli farklıdır.
### Tutanota vs Protonmail
#### Bedava Üyelik
Protonmail de Tutanota da giriş seviyesi temel güvenlik özelliklerinin sunulduğu bedava hesaplar vermekte. Bu bakımdan şayet ihtiyaçlarınız sınırlı ve bütçeniz dar ise iki hizmet sağlayıcıdan da bedava hizmet almanız mümkün
#### Anonim Üyelik ve Ödeme
Teoride her iki şirket de anonim üyelik veriyor ve cryptoparalar ile ödeme kabul ediyor fakat Protonmail pratik olarak anonim üyeliği daha zor kılıyor. Muhtemelen boşuna açılan bedava hesaplar azaltmak adına bir çaba olsa da güvenlik ihtiyacının bir parçası olabilecek anonimliği bozan bu çabanın iyi olmasığı kesin.
#### Fiyat
Protonmail'in gün itibari ile en ucuz ücretli üyeliği 4 Avro/aylık olmakla ayda 1 Avro'ya hizmet veren Tutanotaya göre 4 kat daha pahalı durumdalar. Protonmail bunu nükleer sığınaklarının maliyetine ve İsviçre'de bulunmalarına bağlamakta. Tutanota is Almanya'da çeşitli veri merkezlerinde bulunmakta. Fiyatlandırma konusundaki inandırıcılık kullanıcıya kalmış durumda.
#### Platform Yaygınlığı
Her iki hizmet de Gnu/Linux dahil olmak üzere tüm platformlarda istemci bulunduruyor. Lakin Protonmail SMTP protokolü ile yerel e-posta istemcilerinin kullanılabilmesi için bir köprü yazılımı da geliştirmiş durumda. Böylece isteyenler Thunderbird gibi kendi e-posta istemcileri ile Protonmail'i kullanabilmekte. Tutanota ise sadece webmail ve kendi istemcileri ile kullanıma imkan veriyor.
#### Yazılım Özgürlüğü
Protonmail ile Tutanota'nın en büyük ayrılıklarından biri burada ortaya çıkıyor. Protonmail yazılım özgürlüğü konusunda verdiği sözleri zamanında tutamamakta. Şu anda sadece webmail yazılımı özgür olmakla, diğer tüm platformlar için olan yazılımları mülk konumunda bulunuyor. Tutanota ise tam tersine tüm yazılımlarını özgür geliştirmekte ve Android istemcisi [F-droid'den](https://f-droid.org) bile indirilebiliyor. [Hatta özgür yazılıma özgür yazılım diyen nadir şirketlerden biri](https://tutanota.com/blog/posts/desktop-clients/)
#### Şifreleme Teknolojileri
Protonmail ile Tutanota arasındaki en önemli farklardan bir tanesi kullandıkları şifreleme teknolojilerinin farklılığından gelmekte. Protonmail uzun zamandır e-posta şifreleme için kullanılan GnuPG yazılımı üzerine kurulu bir sistem. Tutanota ise simetrik şifreleme algoritması olan AES128 ile asimetrik RSA2048 algoritmasının bir birleşimini kullanmakta. Algoritmaların geçmişi ve güvenliği bakımından hiç bir fark olmamakla hizmetin özgürlüğü açısından çok önemli pratik bir fark ortaya koymakta bu durum.
#### Hizmet Özgürlüğü
Muhtemelen Tutanota ve Protonmail arasındaki en önemli fark hizmetlerinin özgürlüğü. Tutanota şifreleme imkanını doğal olarak sadece kendi kullanıcıları arasında sağlayabilmekte ve federatif e-posta sisteminde ayrı bir [walled garden](https://www.fsf.org/blogs/community/iphone) olarak bulunmakta. Dışarıdan bir kullanıcının şifreli olarak Tutanota kullanıcısına e-posta atması şu an itibari ile mümkün değil fakat [GPG uyumluluğu üzerine çalışacaklarına dair bir açıklamaları bulunmakta.](https://www.reddit.com/r/tutanota/comments/9blzp4/support_for_pgpgpg/)
Protonmail ise GPG ile çalışmakta ve yakın zamanda kendi kullanıcılarının GPG anahtarlarının indirilebileceği [anahtar sunucularını](hkps://api.protonmail.ch) devreye almış durumdalar. Hala Android ve IOS istemcilerinden hizmet sağlayıcılar arası şifreleme konusunda sorun çekilse de webmail üzerinden yapılan yazışmalarda gelen e-posta GPG ile şifreli ise Protonmail doğrudan anahtarı indirip cevapları şifreli olarak gönderebiliyor. Bu bakımdan Protonmail dışı kişilerle şifreli yazışmak gün itibari ile mümkün ve görece kolay.
Aynı zamanda SMTP ve POP3 gibi federatif e-posta protokolleri iki hizmet tarafından da doğrudan desteklenmemekte. Sadece Protonmail [kendi köprü yazılımları](https://protonmail.com/bridge/) ile buna imkan vermekte. Bu yazılım gün itibari ile özgür olmadığından ve Gnu/Linux paketi hala beta aşamasında bulunduğundan hala tam bir özellik olarak sayılması zor.
# Sonuç
Şifreli e-postayı bir hizmet olarak almak tercih sayılabilir. Kendi sunucunuzu ile e-posta işletmek ve GPG kullanmak hiç bu kadar kolay olmamıştı. Hali ile şifreli yazışmak, bunu güvenli şekilde yapmak ve anahtarınızı kendi elinizde tutmanın güvenini hissetmek için hala en iyi seçenek GPG'yi kendi yerel cihazınızda tercih ettiğiniz güvenilir bir e-posta hizmet sağlayıcı ile kullanmaktır.
[GPG anahtarı oluşturmak ve kullanmak için rehberimizden yararlanabilirsiniz.](https://guvenlik.oyd.org.tr/yazisma_guvenligi/openpgp.html)
Loading…
Cancel
Save