ooguz
/
guvenlik
forked from oyd/guvenlik
1
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity
Güvenlik rehberi
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
315 Commits
1 Branch
0 Tags
32 MiB
 
 
Tag: Branch: Tree: 80b50fa1e1
Branches Tags
${ item.name }
Create tag ${ searchTerm }
Create branch ${ searchTerm }
from '80b50fa1e1'
${ noResults }
guvenlik/src/yazisma_guvenligi/signal.md

5.6 KiB
Raw Blame History

Signal

Signal App Android, GNU/Linux, iOS ve Windows cihazlarda çalışan, OTR'nin takipçisi olan OMEMO protokolüne benzer bir yapı ile çalışan bir anlık yazışma yazılımıdır. Open Whishper Systems tarafından geliştirilen yazılım pek çok güvenlik uzmanı tarafından başarılı bulunmaktadır.

Avantajları

  • Şifreleme Signal, tüm yazışma ve görüşmeleri cihazınızda konuştuğunuz kişiye özel ürettiği anahtar ile şifreler. Bu sayede yazışmanın gönderildiği aşamada ne ağı takip edenler ne de Signal'in kendi sunucuları yazışmalarınızın içeriğine ulaşamaz.
  • Bütünlük Signal kullanırken eğer konuştuğunuz kişiler ile güvenlik numaranızı bir karekodu taratarak veya parmak izini karşılaştırarak doğrularsanız iletişimizde araya kimsenin girmediğine emin olabilirsiniz. Signal bu numaranın bir sebeple değiştiği durumlarda belirgin şekilde kullanıcılarını uyararak güvenliğin eksildiğini bildirir.
  • Perfect forward secrecy (mutlak gizlilik) Eğer özel anahtarlarınızın kontrolünü kaybederseniz önceki herhangi bir sohbetiniz ifşa olmaz.

Dezavantajları

  • Cihaza güven Signal protokolü OMEMO gibi cihaza güven taşıdığı için o cihazı kullanan bir başkası ise o kişiyi doğrulamanın OTR gibi bir imkanı yoktur.
  • Federasyon eksikliği Signal'in arkasında bulunduğu Whisper Systems ve Moxie Merlinspike Signal sunucularını federasyona açmayacağına dair kesin bir duruş sergilemektedir. Bu bakımdan ileride Whisper Systems ortadan kalkar veya hizmetlerini vermek konusunda kısıtlamalara giderse Signal kullanıcıları çaresiz kalacaktır.
  • Anonim olmaması Signal anonim olarak kullanılabilecek bir yazılım değildir. Kurulumu sırasında kullanıcılarından SMS alabilecek bir telefon numarası talep etmekte ve kullanıcının arkadaşlarını rehberinde bulunan telefon numaraları aracılığı ile bulmaktadır. Her ne kadar signal telefon numaralarını doğrudan sunucusuna yüklemese de bir kullanıcı kimliğini veya telefon numarasını koruyarak bir başka Signal kullanıcısı ile görüşemez. Kimi basın çalışanlarının yaşadığı gibi bu durum kimi zaman tehlike yaratabilir.

Signal nasıl kurulur?

Mobil Platformlar

Android veya IOS çalıştıran cihazlarda Signal kullanmak, herhangi bir yazılımı kurmak kadar kolaydır. Playstore veya Appstore'dan arama yapıp Signal'i kurabilirsiniz.

Bu şekilde kurulum yaptığınız durumda Signal'in Google'ın bildirim ve harita hizmetlerine ait bağımlılıklarını içeren versiyonunu kuracağınızı aklınızda bulundurmalısınız. Ne yazık ki Signal bu bağımlılıkları kullanmakta ısrar ettiği ve belirli yazılım özgürlüklerini göz ardı ettiğinden F-droid depolarında yer bulmamakta. Bu yüzden Android versiyonunun APK kurulum dosyasını indirmelisiniz. MUTLAKA indirdiğiniz dosyanın parmak izi doğrulamasını yapın. Bunun için bir GNU/Linux bilgisayarda uç birimde aşağıdaki komutu çalıştırarak Signal'in indirme sayfasında verdiği parmak izi karşılaştırılabilir;

keytool -list -printcert -jarfile [apk'nın yolu]

Kurulum bir kere güvenli şekilde tamamlandıktan sonra Signal kendisini düzenli olarak güncelleyecektir.

GNU/Linux

Signal kendi web sayfasında Debian tabanlı dağıtımlar için kurulum dosyasını sunmaktadır.

Flatpak kullananlar dağıtımlarından bağımsız olarak Signal masaüstü istemcisini sistemlerine Flatpak repolarından kolaylıkla kurabilirler.

İpuçları ve Öneriler

  • Signal mahremiyet vadeden bir platform değildir. Tüm kullanıcılarını, kimliklerine sıkı sıkıya bağlı ve anonimlikten uzak cep telefonu numarası ile tanımlar. Telefon numarası anonimliğin güvenlik için gerektiği durumlarda ciddi tehlikeli bir veridir. Bu bakımdan Signal'den beklentiniz anonimlik olmamalıdır.

  • Signal'i kullandığınız kişiler ile anahtarlarınızı doğrulamazsanız şifrelemenin güvenliğini ciddi miktarda zayıflatmış olursunuz. Bu tip saldırılar hem devletler tarafından hem de kötücül amaçlı bireyler tarafından gerçekleştirilebilmekte. Konuşma penceresinde kişi ismine tıkladıktan sonra açılan menünün en altında "Güvenlik numarasını görüntüle" bölümündeki numaraları SIGNAL HARİCİ bir kanaldan doğrulayabilir. Yan yana iken gösterilen karekodu taratarak doğrulama yapabilirsiniz.

alt-text alt-text

  • Sesli aramalarınızı da Signal aracılığı ile yapabilirsiniz. Bu size olağan aramalara göre çok daha yüksek mahremiyet sağlayacaktır. Çevreniz ile kullanmanız önerilir. Bazı kullanıcılar VPN ile signal kullanırken ses bağlantı sorunları yaşayabilmektedir.

  • Signal ve geliştiriciliğini yapan Open Whisper Systems pek özgürlük taraftarı değildir. Moxie Merlinspike, özgür olan signal'in Google servisleri içermeyen LibreSignal forkunu yasal tehditler ile ortadan kaldırmıştır. Hali ile Signal bir gün kullanıcılarına sırtını dönerse Signal'i kendi sunucunuz ile kullanmak için çokça çaba harcamanız ve bağlantılarınızı kaybetmeniz olasıdır.