Signal mesajlaşma uygulaması nedir ve ne kadar güvenlidir?-Tom Gerken*

ABD Başkan Yardımcısı, Savunma Bakanı ve Ulusal Güvenlik Danışmanı da dahil olmak üzere Trump yönetiminin askeri ve güvenlik yetkililerinden oluşan 18 kişilik bir Signal grubunda, Yemen’e yapılacak hava saldırısının planlaması yapılıyor. Emperyalist saldırganlığın bombalarla nasıl icra edildiğinin tartışılması, başka mecraların konusu olsun. Biz burada, asıl olarak gruba yanlışlıkla dahil edildiği iddia edilen Atlantic dergisinin genel yayın yönetmeni tarafından ifşa edilen bu toplantı sonrasında, Signal uygulamasının güvenli olup olmadığına dair süregelen tartışmalara odaklanacağız. Çevirisini yaptığımız Tom Gerken’in yazısı, Signal üzerine bazı hatırlatmalarda bulunmamıza vesile oldu. Bu çeviriyi siz değerli okurlarımızla paylaşıyor ve dipnotlarla Signal’in güvenli olup olmadığı üzerine yapılan tartışmalara dair kısa değerlendirmelerde bulunuyoruz. Signal’in Tor üzerinden, akıllı telefona mahkum olmaksızın nasıl güvenlikli bir şekilde kullanacağımızı ayrı çalışmada anlatacağız.

Web-Zula

iPhone’da Signal uygulamasının indirme ekranı. Logosu, açık mavi bir arka plan üzerinde beyaz bir konuşma balonu. Uygulamanın açıklamasında “gizliliğe merhaba deyin” yazıyor.

Ücretsiz mesajlaşma uygulaması Signal, Beyaz Saray’ın üst düzey ABD yetkilileri arasında gizli bir grup sohbeti için kullanıldığını doğrulamasının ardından gündeme geldi.

Atlantic dergisinin genel yayın yönetmeni Jeffrey Goldberg, Yemen’deki Husi grubuna yönelik bir saldırı planlarının tartışıldığı gruba yanlışlıkla eklendi. Bu durum büyük bir tepkiye neden oldu. Demokrat Senato lideri Chuck Schumer, bunu tarihteki “en şaşırtıcı” askeri istihbarat sızıntılarından biri olarak nitelendirdi ve soruşturma çağrısında bulundu.

Peki Signal tam olarak nedir ve üst düzey politikacıların buradaki iletişimi ne kadar güvenliydi?

Güvenlik odaklı uygulama

Signal’in aylık 40-70 milyon kullanıcısı olduğu tahmin ediliyor. Bu, milyarlarca kullanıcısı olan WhatsApp ve Messenger gibi dev mesajlaşma servislerine kıyasla oldukça küçük bir rakam. Ancak Signal, güvenlik konusunda öncü bir konumda.

Bunun temelinde “uçtan uca şifreleme” (E2EE) yatıyor. Basitçe söylemek gerekirse, bu şifreleme yalnızca gönderen ve alıcının mesajları okuyabilmesi anlamına geliyor. Signal’in kendisi bile bu mesajlara erişemiyor.

Birçok platform (WhatsApp dahil) E2EE kullanıyor, ancak Signal’in güvenlik özellikleri bunun ötesine geçiyor. Örneğin, uygulamanın çalışmasını sağlayan kod açık kaynaklı, yani herkes bu kodu inceleyerek hacker’ların istismar edebileceği açıklar olup olmadığını kontrol edebiliyor.

Signal’in sahipleri, kullanıcılarından çok daha az veri topladıklarını ve özellikle kullanıcı adları, profil fotoğrafları veya kullanıcıların üye olduğu grup verilerini depolamadıklarını belirtiyor. Ayrıca, bu özelliklerin ticari kaygılarla sulandırılmasına gerek yok: Signal, ABD merkezli kâr amacı gütmeyen Signal Vakfı tarafından yönetiliyor ve reklam gelirleri yerine bağışlara dayanıyor.

Signal’in CEO’su Meredith Whittaker, ulusal güvenlik skandalının ortaya çıkmasının ardından X’te yaptığı bir paylaşımda, “Signal, özel iletişimde altın standarttır”¹ dedi.

“Çok, çok sıra dışı”

Bu “altın standart” iddiası, Signal’i siber güvenlik uzmanları ve gazeteciler için cazip kılıyor. Ancak, bu kadar yüksek güvenlik seviyesi bile aşırı hassas ulusal güvenlik meseleleri hakkındaki üst düzey görüşmeler için yetersiz görülüyor.

Bunun nedeni, bir mobil telefon üzerinden iletişim kurmanın kaçınılmaz bir riski olması: Telefonun güvenliği, onu kullanan kişinin güvenliği kadardır. Eğer biri Signal’in açık olduğu telefonunuza erişirse veya şifrenizi öğrenirse, mesajlarınızı okuyabilir. Ayrıca, halka açık bir alanda telefonunuzu kullanırken birinin omzunuzun üzerinden gözetlemesini hiçbir uygulama engelleyemez.²

ABD yönetimiyle çalışmış veri uzmanı Caro Robson, üst düzey güvenlik yetkililerinin Signal gibi bir mesajlaşma platformunda iletişim kurmasının “çok, çok sıra dışı” olduğunu söyledi.

“Normalde, devletin işlettiği ve sahip olduğu, çok yüksek şifreleme seviyeleriyle çalışan bir sistem kullanılırdı” dedi. Robson, bunun genellikle “devletin kontrol ettiği çok güvenli yerlerde“ tutulan cihazlar anlamına geldiğini belirtti.

ABD hükümeti, tarihsel olarak ulusal güvenlik meselelerini tartışmak için SCIF (Sensitive Compartmented Information Facility – “skif” olarak okunur) adı verilen ultra güvenli alanlar kullanıyor.

SCIF’ler, askeri üslerden yetkililerin evlerine kadar birçok yerde bulunabiliyor. Robson, “Bu tür gizli bilgilere erişmek için dinleme cihazlarına karşı sürekli kontrol edilen özel bir oda veya binada olmanız gerekiyor” dedi.

“Tüm sistem, devletin en yüksek kriptografi standartlarıyla şifrelenmiş ve güvence altına alınmış durumda. Özellikle de savunma söz konusu olduğunda.”

Şifreleme ve kayıt sorunu

Signal’le ilgili bir başka endişe konusu da “kaybolan mesajlar” özelliği. Signal, birçok mesajlaşma uygulaması gibi, kullanıcılarının mesajlarını belirli bir süre sonra otomatik olarak silinecek şekilde ayarlamasına izin veriyor.³

Atlantic’in editörü Goldberg, eklendiği Signal grubundaki bazı mesajların bir hafta sonra kaybolduğunu söyledi. Bu, resmi kayıt tutma yasalarını ihlal edebilir – ancak yetkililer mesajları resmi bir devlet hesabına iletmişlerse bu geçerli olmaz.

Bu, E2EE ile ilgili ilk tartışma da değil. Çeşitli hükümetler, ulusal güvenlik tehdidi oluşturabilecek mesajları okuyabilmek için şifreli mesajlaşma servislerine “arka kapı” eklenmesini istemişti. Signal ve WhatsApp gibi uygulamalar, böyle bir arka kapının kötü niyetli kişiler tarafından istismar edileceğini savunarak bu girişimlere karşı çıktı.⁴

Signal, 2023’te İngiltere’de yasalar tarafından zayıflatılırsa uygulamayı çekeceğini açıklamıştı.

Bu yıl, İngiltere hükümeti, bulut depolamada E2EE kullanan Apple ile büyük bir tartışmaya girdi. Apple, hükümetin şifrelenmiş verilere erişim talebi üzerine bu özelliği İngiltere’de tamamen kaldırdı. Dava halen devam ediyor.

Ancak bu son yaşananların da gösterdiği gibi⁵, gizli bilgilerinizi yanlış kişiyle paylaşırsanız, hiçbir güvenlik veya yasal koruma önemi kalmıyor.

Ya da bir eleştirmenin daha net ifadesiyle: “Şifreleme, sizi aptallıktan koruyamaz.”

* BBC teknoloji muhabiri Tom Gerken’in bu yazısı 25 Mart 2025 tarihinde yayınlandı.

Kaynak: https://www.bbc.com/news/articles/c1kjd091019o

Açıklayıcı Notlar

1Güvenli iletişimde, Signal doğru bir şekilde kullanıldığında asgari bir güvenlik düzeyi sağlayabilir. Bunun yanı sıra, Signal ile benzer özellikler taşıyan başka sohbet uygulamaları da mevcuttur. Bu uygulamaların her biri, doğru kullanıldığında güvenli iletişim için bir temel oluşturur. Özellikle cebimizde taşıdığımız bir casustan farksız olan akıllı telefonlardan bizi kurtaracak alternatiflere bakabiliriz. Bu noktada, tüm iletişimi TOR ağı üzerinden yönlendiren TAILS ve Qubes-Whonix gibi işletim sistemleri üzerine kurulan Signal uygulaması özel bir önem kazanıyor. Bunlar, ilerleyen dönemde kurulumunu anlatacağımız yöntemler.

2Bu nedenle, Signal ve benzeri uygulamaları mümkün olduğunca akıllı telefonlarda veya kaba kuvvet, phishing gibi yöntemlerle polis veya üçüncü şahıslar tarafından ele geçirilebilecek standart işletim sistemlerinde değil, Tails ve Qubes-Whonix gibi güvenli platformlar üzerinden kullanmak en güvenli iletişim yöntemi olacaktır.

3Amerika’da devlet kurumları (ve temsilcileri) arasında yapılan yazışmaların kaydının tutulamaması ve arşivlenememesi, devlet açısından problem olabilir. Ancak bizim için -eğer belli bir süre sonra yazışmaların ortadan kalkması uygulamasını ayarlarsak- bu bir avantajdır. Yine de Signal’in bu özelliği, internet ortamında her şeyi çok rahat konuşabileceğimiz anlamına gelmemelidir. Unutulmamalı ki internet ağında hareket halinde olan bilgi parçacıklarını avlayacak birçok farklı yol ve yöntem için istihbarat servisleri, ellerindeki tüm imkanları seferber ediyorlar.

4Whatsapp için burada yapılan değerlendirme absürt. Yakın zamanda Whatsapp’ın, Filistin halkına yönelik soykırımda nasıl rol oynadığının açığa çıkması; onun kullanıcı gizliliği, uçtan uca şifreli konuşma/mesajlaşma gibi iddialarının her birisinin birer büyük yalandan ibaret olduğunu açığa çıkarmıştır. Bu konuda bknz: https://web-zula.net/125/

5Trump’ın Ulusal Güvenlik Danışmanı Mike Waltz, gazeteciyi Signal grubuna davet eden kişi. Yanlışlıkla bu daveti gönderdiği iddia ediliyor. Ancak Waltz’ın bula bula yanlışlıkla gruba dahil ettiği kişinin muhalif ve böylesi bir toplantının bilgisine sahip olduğunda mutlaka bunu haberleştirecek bir gazeteci olması elbette düşündürücü. Bunun bir güç gösterisi olarak kurgulanan bir “yanlışlık” olduğu yönünde değerlendirmeler de yapılıyor.