On Mon, 15 Sep 2014 16:07:29 +0300 TRSec <cont...@trsec.net> wrote: >> İkincisi, bahsettiğiniz yönetmelik sıfırdan şifreli iletişim için >> ürün geliştiren şirketler içindir. VPN anahtarının verilmesi gibi bir >> durum yok. Zaten VPN dediğiniz protokol belirli şifreleme >> standartları ile korunuyor ve bunların dinlenmesi, anahtarlarının >> teslim edilmesi durumu yok.
Hayır, bahsi geçen yönetmelik sıfırdan şifreli iletişim için ürün
geliştiren şirketleri kapsamıyor. Daha rahat anlaşılması
için biraz kısaltarak yazıyorum, yönetmeliğin en başında kapsam
bölümünde yer alan satır der ki;
> Bu Yönetmelik, elektronik haberleşme hizmeti içinde kodlu veya
> kriptolu haberleşme yapmaya yetkili [... bir sürü kurum ...] ile bu
> kurumlara ait kodlu veya kriptolu elektronik haberleşme sistemlerinin
> kullanıldığı kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler
> **HARİÇ**, DİĞER KAMU KURUM VE KURULUŞLARI İLE GERÇEK VE TÜZEL
> KİŞİLERİ KAPSAR. [esasında sivil olan herkesi, ISP olur, gerçek kişi
> olur vs.]
Yönetmeliğin başlarında sanki sadece dışarıdan cihaz ithal edecek ya da
kendi geliştirecek gerçek ve tüzel kişiler iması var ancak ilerlere
gittiğimizde şu satırları görüyoruz;
> MADDE 5 - 5809 sayılı Kanunda belirtilen istisnai kurumlar haricindeki
> tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler bu
> Yönetmelik hükümlerine aykırı olmamak kaydıyla kodlu ve/veya kriptolu
> haberleşme yapabilir.
>
> Kodlu veya kriptolu haberleşme cihaz/sistem **İTHAL** veya imal
> edilmesi üretici tarafından yapılır. Üretici, imal veya ithal edeceği
> cihaz/sistemlere izin alabilmesi için;
Ne demiştik? Bu yönetmelik sadece ithal edenleri değil, şifreli
haberleşme yapan herkesi kapsıyor gördüğümüz gibi. Ancak bir şartla, bu
yönetmeliğe uymak kaydıyla.
Şirketiniz için dışarıdan bir VPN özellikli
firewall satın almak istiyorsunuz. Bunu da Türkiye'ye getiren bir
şirket var diyelim. Bu şirket cihazı yapan şirketin Türkiye temsilcisi
de olabilir. Yasaya göre bu insanların bu cihazı ülkeye sokması için
şunu yapması gerek;
> Kripto algoritması ve anahtarı, anahtar üretme, dağıtma ve yükleme
> modülü/cihazı, bu amaçla kullanılan tüm yazılım/donanım, gerektiğinde
> şifrenin çözülmesine imkân tanıyan yazılım ve/veya donanım,
>
> ...
>
> ile kuruma başvurması gerekir.
Yani siz şirketinize bir VPN ağı kuracaksanız ve bunu dışarıdan bazı
cihazlar satın alarak yapacaksanız, bunu satın aldığınız şirket
anahtarlarınızı devlete vermek zorunda. İşin teknik tarafını, yok canım
VPN öyle çalışmıyor gibi açıklamaları bir kenara bırakalım ancak bu
yönetmelik gerçekten çok vahim.
Burada bu yönetmeliğin çok arkaik bir zamanda yazıldığını görüyoruz ve
sanki sadece simetrik şifreleme algoritmalarının var olduğu izlenimini
bizde bırakıyor. Ayrıyeten kriptolu haberleşmenin sadece birer cihaz
alınarak yapılabileceği algısı mevcut. Bunu yazarken açık anahtar
altyapısından ya da son kullanıcı tarafından halihazırda kullanılan
(HTTPS gibi) teknolojilere değinmemişler. Değinemezler zira yasa koyucu
her zaman çok yavaştır ve bu süreçler yavaş ileriler. Yasa şu anda
uygulanamaz olduğu için de Türkiye'de yaşayan insanlara pek baş ağrısı
yapmıyor olabilir ama ilerde yapmayacağı anlamına gelmez.
Sonuç olarak burada tartışmamız gereken nokta yasanın neyi kapsayıp
kapsamadığı değil. Yasa herkesi kapsıyor, teknolojik olarak bunların
önüne geçebilecek olunsa da yarın birgün Türkiye'deki yasa koyucu yeni
bir yasa çıkarıp "sadece devlet tarafından onaylı tüzel kişiler ticari
sırlarını korumak amaçlı VPN kullanabilir, gerçek kişiler bunu
kullanamaz" derse ne olacak? Burada politik bir problem mevcut ve
Volkan Bey'in söylediği gibi Türkiye'de malesef buradaki gibi veri
gizliliği kanunları yok.
Bu konuyu da insanlar özel bilgilerini şifreleyerek, bilinçlenerek,
şifrelemeyi insanların gözünde meşrulaştırarak çözebilirler. Şu anda
bunu düzgün yapabilen, bu konular üzerinde düşünebilen çok az sayıda
insan var ve internet kullanıcılarının bir çoğu (bunlara end user
diyelim) bu konulara hakim değil. Kaldı ki VPN gizlilik (privacy) için
kullanılabilecek olsa da anonimlik için bir çözüm değil. Gizlilik için
de kullandığınız servisin insafına kalmış. Bu apayrı bir yazı konusu ve
ilerde buna değineceğim. O vakitte liste üzerinde tartışılabileceğini
düşünüyorum.
Biraz uzun bir yazı oldu. Buraya kadar okuduysanız size gerçekten
teşekkür ediyorum. Esen kalınız ve şifrelemeye başlayınız.
--
"It is easier to encrypt information than it is to decrypt it"
-- Julian Assange
Fingerprint: 04AF 5272 103D 173F A90B 1050 F59E 0BCB 4AA1 751E
https://twitter.com/OpsecTR
https://opsectr.wordpress.com
signature.asc
Description: PGP signature
