SosyalKafa

E-posta Güvenliği İçin ProtonMail ve Tutanota

security

Şevket Uyanık – sevketuyanik@riseup.net / @sevketuy

Geçenlerde Başbakan Ahmet Davutoğlu, Cumhurbaşkanını ailecek ziyaret etti ve gazetecilerin soruları üzerine şöyle dedi: “Benim için devlet mahremiyettir”. Peki, aynı devlet vatandaşlarının mahremiyeti hakkında ne düşünüyor? O kadar çok önem veriyor ki mahremiyete, devletin güvenli kulakları telefonlarımızı dinliyor, internetimizi dikizliyor, her daim gözetliyor ve fişliyor. Biz devletin şeffaf olmasını isterken ve bunun gerekliliğini her daim vurgularken, devlet yurttaşlarını zorla “şeffaf” olmaya zorluyor. Bir de bunun yanında “devlet sırrı” var ki tadından yenmez. Bir belge teoride 75 yıl ama gerçekte “sonsuza dek” devlet sırrı kapsamında kalabilir!

Michel Foucault, polis kavramını derinlemesine incelediği derslerinin birinde, polisin esas ilgilendiği odağın toplum ve ilgi nesnesinin de toplumdaki bireyler arasındaki “iletişim” olduğunu aktarır.[1] Buradaki polis kelimesi yerine devlet ve şirket kelimelerini de koyduğumuzda, asıl derdin iletişimin izlenmesi olduğunu göreceğiz. Devletin, şirketlerin ya da herhangi üçüncü kişi ve kurumların iletişimimizi izlememesini istiyorsak, mahremiyetimize önem veriyorsak, e-posta güvenliği adına GPG (Gnu Privacy Guard) ve PGP’den (Pretty Good Privacy) –açık/kapalı anahtar yönetimi gerektirmeyen- biraz dahafarklı iki seçeneği burada tanıtmak gerekiyor. Eğer, “ben suçlu muyum ki saklayacak bir şeyim olsun?” gibi düşünceleriniz varsa ve evinizde perde gibi şeyler kullanmıyorsanız, buradaki yazıya bir göz atmanızı öneririm.

NSA, PRISM skandalları gibi birçok gerçeği ortaya çıkaran Edward Snowden’ın kullandığı “şifreli mail servisi” Lavabit’in kurucusu, binlerce kişinin bilgilerini ABD’nin baskıları sonucu devlete teslim etmek yerine hizmeti sonlandırmıştı. Hatta açılan davaların masrafları için bağış toplamıştı. Bu davayla ilgili makaleler ve görseller internette mevcut. Ayrıca, Citizenfour filminde de bu konuya kısaca değiniliyor. Şimdi bahsedeceğimiz ve şahsen kullanmaya başladığım platformlar da, kısmen yasal baskıların az olduğu yerlerden çıkan oluşumlar. Zaten her zaman bir çıkış yolu vardır değil mi?

ProtonMail ve TutaNota

Geçen aylarda, Türkiye medyasında çalışan bir gazeteci grubuna “güvenli internet” temelinde, Korsan Parti Hareketi’nden Yasin Özel ve akademisyen Behlül Çalışkan ile birlikte bir eğitim vermiştik. Orada bu iki servise de kısaca değindik. Çünkü gazetecilerin hem birbirleriyle iletişimi hem de kaynaklarıyla iletişimi mahremiyete, güvenliğe ve gizliliğe tabidir.

ProtonMail İsviçre CERN’de tanışan bilim adamları tarafından 2013 yazında hayata geçirildi. CERN’e bir de Proton’un sadece İsviçre’deki sıkı veri koruma yasalarına bağlı olduğunu, ABD ve AB’den bağımsız olduğunu ekleyince, güvenlik konusunda oldukça fazla “güven” verdiği anlaşılıyor. İndirmenize, bir şeyler kurmanıza gerek de yok! Telefonda ve tablette de görünümü gayet modern ve basit.

Gelelim kullanıma. Evet, ProtonMail ücretsiz bir hizmet sunuyor fakat sizden hesabınızı açmadan önce neden bunu istediğinize dair kısa bir bilgilendirme yazısı istiyor. Diğer bilindik ve gizliliğimizi korumayan mail şirketleri özel telefon numaramızdan anne kızlık soyadına kadar bilgiler sorarken ProtonMail sadece “neden” diye soruyor. Bir süre sonra da size cevap geliyor ve eğer o forma saçma sapan şeyler yazmadıysanız hesabınız açılıyor. Hesabınıza giriş yaptıktan sonra “posta kutunuzun” ayrı bir şifresi olduğu için onu girmeden postalarınızı “decrypt” bir şekilde göremiyorsunuz. Posta kutunuz hazır fakat üzerinde ayrı bir kilit de mevcut! Aman bu şifreyi unutmayın, unutursanız posta kutunuzu “sıfırlamak” zorunda kalıyorsunuz.

Her iki servisin de mail gönderme / alma işlemleri birbirine benzediği için şimdi biraz TutaNota’dan bahsedip diğer özelliklerine de yazının sonunda değineceğim. TutaNota bir Alman mucizesi! Öncelikle TutaNota’dan çok hızlı bir şekilde hesap açabilirsiniz. Mail adresinizin adı için de farklı seçenekler mevcut: @tutanota.de, @tutanota.com, @tutamail.com, @tuta.io ve @keemail.me gibi. Tutanota’nın ProtonMail’den en büyük farkı android ve İOS sistemlerinde de kullanabiliyor oluşu. GPL lisansı ile kodları da şurada görmek mümkün.

Şifreli Mail Göndermek

Hem ProtonMail hem de TutaNota’nın mail gönderme prosedürleri aynı işliyor. Yukarıda bahsettiğim gazetecilere verdiğimiz eğitimde en çok sorulan soru da buydu: Peki güvensiz bir mail servisi kullanan birine mail attığımızda ne olacak ve şifreleme nasıl oluyor? Şifreleme yöntemi en basitinden şu şekilde tarif edilebilir: Gönderdiğimiz her mektup için ayrı şifre kullanabiliyoruz ve bu şifreyi kendimiz giriyoruz. E-postayı yazıyoruz ve “bunu şifrele” dedikten sonra bir kutucuk içinde bizden bir şifre belirlememizi istiyor. İşte asıl kafa karışıklığı burada devreye giriyor: Kendi belirlediğimiz bu şifreyi karşı taraf nereden bilecek ve aynı şifre ile o postayı okuyacak?

Açık-kapalı anahtar şifreleme de kendinize ait anahtarlarınız vardır ve güvendiğiniz karşı taraf ile bu anahtarlarınızı paylaşırsınız. Basitçe bu anahtarlar “birbirlerini” açar. Ama bu mail servislerindeki durum biraz farklı anladığınız gibi. Karşı tarafın sizin belirlediğiniz şifreyi bilebilmesi imkansız ancak ona bunu iletmezseniz. Bunu isterseniz buluştuğunuzda kulağına söyleyin ya da kahve içerken peçeteye yazın! Bu artık sizin kendi aranızdaki şifre ya da bir “sır” olsun. Deneyin bence, hoşlanacaksınız!

[1] Michel Foucault, Güvenlik, Toprak, Nüfus: Collége de France Dersleri (1977-1978), çev. Ferhat Taylan, Bilgi Üniversitesi Yayınları, İstanbul, 2013

*Bu yazı ilk olarak yourthings.org‘da yayınlanmıştır.

Görsel: The Business Journals

Müge Demirel

Yorum ekle

Bir Cevap Yazın