On Mon, 15 Sep 2014 16:07:29 +0300 TRSec <cont...@trsec.net> wrote: >> İkincisi, bahsettiğiniz yönetmelik sıfırdan şifreli iletişim için >> ürün geliştiren şirketler içindir. VPN anahtarının verilmesi gibi bir >> durum yok. Zaten VPN dediğiniz protokol belirli şifreleme >> standartları ile korunuyor ve bunların dinlenmesi, anahtarlarının >> teslim edilmesi durumu yok.
Hayır, bahsi geçen yönetmelik sıfırdan şifreli iletişim için ürün geliştiren şirketleri kapsamıyor. Daha rahat anlaşılması için biraz kısaltarak yazıyorum, yönetmeliğin en başında kapsam bölümünde yer alan satır der ki; > Bu Yönetmelik, elektronik haberleşme hizmeti içinde kodlu veya > kriptolu haberleşme yapmaya yetkili [... bir sürü kurum ...] ile bu > kurumlara ait kodlu veya kriptolu elektronik haberleşme sistemlerinin > kullanıldığı kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler > **HARİÇ**, DİĞER KAMU KURUM VE KURULUŞLARI İLE GERÇEK VE TÜZEL > KİŞİLERİ KAPSAR. [esasında sivil olan herkesi, ISP olur, gerçek kişi > olur vs.] Yönetmeliğin başlarında sanki sadece dışarıdan cihaz ithal edecek ya da kendi geliştirecek gerçek ve tüzel kişiler iması var ancak ilerlere gittiğimizde şu satırları görüyoruz; > MADDE 5 - 5809 sayılı Kanunda belirtilen istisnai kurumlar haricindeki > tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler bu > Yönetmelik hükümlerine aykırı olmamak kaydıyla kodlu ve/veya kriptolu > haberleşme yapabilir. > > Kodlu veya kriptolu haberleşme cihaz/sistem **İTHAL** veya imal > edilmesi üretici tarafından yapılır. Üretici, imal veya ithal edeceği > cihaz/sistemlere izin alabilmesi için; Ne demiştik? Bu yönetmelik sadece ithal edenleri değil, şifreli haberleşme yapan herkesi kapsıyor gördüğümüz gibi. Ancak bir şartla, bu yönetmeliğe uymak kaydıyla. Şirketiniz için dışarıdan bir VPN özellikli firewall satın almak istiyorsunuz. Bunu da Türkiye'ye getiren bir şirket var diyelim. Bu şirket cihazı yapan şirketin Türkiye temsilcisi de olabilir. Yasaya göre bu insanların bu cihazı ülkeye sokması için şunu yapması gerek; > Kripto algoritması ve anahtarı, anahtar üretme, dağıtma ve yükleme > modülü/cihazı, bu amaçla kullanılan tüm yazılım/donanım, gerektiğinde > şifrenin çözülmesine imkân tanıyan yazılım ve/veya donanım, > > ... > > ile kuruma başvurması gerekir. Yani siz şirketinize bir VPN ağı kuracaksanız ve bunu dışarıdan bazı cihazlar satın alarak yapacaksanız, bunu satın aldığınız şirket anahtarlarınızı devlete vermek zorunda. İşin teknik tarafını, yok canım VPN öyle çalışmıyor gibi açıklamaları bir kenara bırakalım ancak bu yönetmelik gerçekten çok vahim. Burada bu yönetmeliğin çok arkaik bir zamanda yazıldığını görüyoruz ve sanki sadece simetrik şifreleme algoritmalarının var olduğu izlenimini bizde bırakıyor. Ayrıyeten kriptolu haberleşmenin sadece birer cihaz alınarak yapılabileceği algısı mevcut. Bunu yazarken açık anahtar altyapısından ya da son kullanıcı tarafından halihazırda kullanılan (HTTPS gibi) teknolojilere değinmemişler. Değinemezler zira yasa koyucu her zaman çok yavaştır ve bu süreçler yavaş ileriler. Yasa şu anda uygulanamaz olduğu için de Türkiye'de yaşayan insanlara pek baş ağrısı yapmıyor olabilir ama ilerde yapmayacağı anlamına gelmez. Sonuç olarak burada tartışmamız gereken nokta yasanın neyi kapsayıp kapsamadığı değil. Yasa herkesi kapsıyor, teknolojik olarak bunların önüne geçebilecek olunsa da yarın birgün Türkiye'deki yasa koyucu yeni bir yasa çıkarıp "sadece devlet tarafından onaylı tüzel kişiler ticari sırlarını korumak amaçlı VPN kullanabilir, gerçek kişiler bunu kullanamaz" derse ne olacak? Burada politik bir problem mevcut ve Volkan Bey'in söylediği gibi Türkiye'de malesef buradaki gibi veri gizliliği kanunları yok. Bu konuyu da insanlar özel bilgilerini şifreleyerek, bilinçlenerek, şifrelemeyi insanların gözünde meşrulaştırarak çözebilirler. Şu anda bunu düzgün yapabilen, bu konular üzerinde düşünebilen çok az sayıda insan var ve internet kullanıcılarının bir çoğu (bunlara end user diyelim) bu konulara hakim değil. Kaldı ki VPN gizlilik (privacy) için kullanılabilecek olsa da anonimlik için bir çözüm değil. Gizlilik için de kullandığınız servisin insafına kalmış. Bu apayrı bir yazı konusu ve ilerde buna değineceğim. O vakitte liste üzerinde tartışılabileceğini düşünüyorum. Biraz uzun bir yazı oldu. Buraya kadar okuduysanız size gerçekten teşekkür ediyorum. Esen kalınız ve şifrelemeye başlayınız. -- "It is easier to encrypt information than it is to decrypt it" -- Julian Assange Fingerprint: 04AF 5272 103D 173F A90B 1050 F59E 0BCB 4AA1 751E https://twitter.com/OpsecTR https://opsectr.wordpress.com
signature.asc
Description: PGP signature