Dropbox veya OneDrive gibi bulut dosya depolama hizmetlerinin rahatl\u0131\u011f\u0131n\u0131 kimse inkar edemez. Ancak bu hizmetlerin bir dezavantaj\u0131 da vard\u0131r; siber su\u00e7lular, istihbarat kurumlar\u0131 veya bar\u0131nd\u0131rma sa\u011flay\u0131c\u0131s\u0131n\u0131n kendisi, bulut tabanl\u0131 dosyalar\u0131n\u0131z\u0131 izinsiz olarak g\u00f6r\u00fcnt\u00fcleyebilirler. \u00d6te yandan daha g\u00fcvenli bir alternatif de vard\u0131r: \u015eifrelenmi\u015f bulut dosya depolama. Baz\u0131lar\u0131 buna, Signal ve WhatsApp\u2019a benzer \u015fekilde, u\u00e7tan uca \u015fifreleme (E2EE) diyor. Tan\u0131t\u0131m b\u00fcltenine g\u00f6re; dosyalar cihaz\u0131n\u0131zda \u015fifreleniyor ve g\u00fcvenli bir \u015fekilde buluta g\u00f6nderiliyor, \u015fifreleme anahtar\u0131 ba\u015fkas\u0131nda de\u011fil sadece sizde kal\u0131yor ve bu bilgiye sa\u011flay\u0131c\u0131n\u0131n bile eri\u015fmesi m\u00fcmk\u00fcn de\u011fil. Peki ger\u00e7ekten durum b\u00f6yle mi?<\/p>\n
ETH Z\u00fcrih\u2019teki Uygulamal\u0131 Kriptografi Grubu, be\u015f pop\u00fcler \u015fifreli depolama hizmetinin algoritmalar\u0131n\u0131 detayl\u0131 bir incelemeye tabi tuttu<\/a>: Sync.com, pCloud, Icedrive, Seafile ve Tresorit. Ara\u015ft\u0131rmac\u0131lar her birinde, \u015fifrelemenin uygulanmas\u0131nda \u00e7e\u015fitli derecelerde dosya manip\u00fclasyonuna ve hatta \u015fifrelenmemi\u015f veri par\u00e7alar\u0131na eri\u015fime izin veren hatalar buldular. Daha \u00f6nce de di\u011fer iki pop\u00fcler bar\u0131nd\u0131rma hizmetinde (MEGA<\/a> ve Nextcloud<\/a>) a\u00e7\u0131klar ke\u015ffetmi\u015flerdi.<\/p>\n Her durumda, sald\u0131r\u0131lar k\u00f6t\u00fc niyetli bir sunucudan ger\u00e7ekle\u015ftirilir. Senaryo \u015f\u00f6yle: Sald\u0131rganlar ya \u015fifrelenmi\u015f bar\u0131nd\u0131rma sunucular\u0131n\u0131 hackler ya da istemciden sunucuya giden yol boyunca y\u00f6nlendiricileri manip\u00fcle ederek kurban\u0131n bilgisayar\u0131n\u0131 ger\u00e7ek \u015fifrelenmi\u015f bar\u0131nd\u0131rma sunucusunu taklit eden ba\u015fka bir sunucuya ba\u011flanmaya zorlar. Bu zor hamlenin ba\u015far\u0131l\u0131 olmas\u0131 halinde sald\u0131rgan, teorik olarak \u015funlar\u0131 yapabilir:<\/p>\n T\u00fcm bu senaryolarda k\u00f6t\u00fc niyetli sunucu, sald\u0131r\u0131n\u0131n, uygulanmas\u0131 zor ancak \u00e7ok da ger\u00e7ekten uzak olmayan bir bile\u015fenidir. Microsoft<\/a> ve Twilio<\/a>\u2018ya yap\u0131lan siber sald\u0131r\u0131lar g\u00f6z \u00f6n\u00fcne al\u0131nd\u0131\u011f\u0131nda, b\u00fcy\u00fck bir oyuncuyu tehlikeye atma olas\u0131l\u0131\u011f\u0131 ger\u00e7ektir ve elbette E2EE\u2019nin, tan\u0131m\u0131 gere\u011fi k\u00f6t\u00fc niyetli sunucu taraf\u0131 eylemlerine kar\u015f\u0131 diren\u00e7li olmas\u0131 gerekir.<\/p>\n Teknik ayr\u0131nt\u0131lara girmeden, t\u00fcm hizmetlerin geli\u015ftiricilerinin iyi niyetli E2EE uygulad\u0131klar\u0131n\u0131 ve AES ve RSA gibi tan\u0131nm\u0131\u015f, g\u00fc\u00e7l\u00fc algoritmalar kulland\u0131klar\u0131n\u0131 belirtmek isteriz. Ancak dosya \u015fifreleme; belge i\u015f birli\u011fi ve birlikte yazma s\u00f6z konusu oldu\u011funda, bir\u00e7ok teknik zorluk yarat\u0131r. Bu zorluklar\u0131n \u00fcstesinden gelmek ve de\u011fi\u015ftirilmi\u015f \u015fifreleme anahtarlar\u0131n\u0131 i\u00e7eren t\u00fcm olas\u0131 sald\u0131r\u0131lar\u0131 hesaba katmak i\u00e7in gereken g\u00f6revler hala \u00e7\u00f6z\u00fclmedi, ancak Tresorit herkesten \u00e7ok daha iyi bir i\u015f \u00e7\u0131kard\u0131.<\/p>\n Ara\u015ft\u0131rmac\u0131lar, \u00e7e\u015fitli hizmetlerin geli\u015ftiricilerinin birbirlerinden ba\u011f\u0131ms\u0131z olarak \u00e7ok benzer hatalar yapt\u0131klar\u0131na dikkat \u00e7ekiyor. Bu da \u015fifrelenmi\u015f bulut depolama uygulamalar\u0131n\u0131n \u00f6nemsiz olmayan kriptografik n\u00fcanslarla dolu oldu\u011fu anlam\u0131na gelmekte. \u0130htiya\u00e7 duyulan \u015fey, web siteleri i\u00e7in TLS veya anl\u0131k mesajla\u015fma programlar\u0131 i\u00e7in Signal Protokol\u00fc gibi kriptografik topluluk taraf\u0131ndan iyice test edilmi\u015f, iyi geli\u015ftirilmi\u015f bir protokol.<\/p>\n Tespit edilen hatalar\u0131n giderilmesiyle ilgili en b\u00fcy\u00fck sorun, yaln\u0131zca uygulamalar\u0131n ve sunucu yaz\u0131l\u0131m\u0131n\u0131n g\u00fcncellenmesinin gerekmesi de\u011fil, ayn\u0131 zamanda bir\u00e7ok durumda kullan\u0131c\u0131 taraf\u0131ndan kaydedilen dosyalar\u0131n yeniden \u015fifrelenmesinin gerekmesidir. Her bar\u0131nd\u0131rma sa\u011flay\u0131c\u0131s\u0131 bu b\u00fcy\u00fck hesaplama harcamalar\u0131n\u0131 kar\u015f\u0131layamaz. Dahas\u0131 yeniden \u015fifreleme, tek tarafl\u0131 olarak de\u011fil, yaln\u0131zca her bir kullan\u0131c\u0131 ile i\u015f birli\u011fi halinde m\u00fcmk\u00fcnd\u00fcr. Muhtemelen d\u00fczeltmeler bu y\u00fczden yava\u015f gelir<\/a>:<\/p>\n Uygulamal\u0131 Kriptografi Grubu taraf\u0131ndan tespit edilen sorunlar tamamen teorik olarak nitelendirilemese de, siber su\u00e7lular taraf\u0131ndan kolayca istismar edilebilecek kitlesel bir tehdidi temsil etmemektedirler. Bu nedenle, hemen harekete ge\u00e7meniz gerekmez, bunun yerine durumunuzu \u00f6l\u00e7\u00fcl\u00fc bir \u015fekilde de\u011ferlendirmeniz gerekir:<\/p>\n Depolanan veriler kritik olsa da i\u015f birli\u011fi \u00f6nemli de\u011filse, en iyi se\u00e7enek yerel dosya \u015fifrelemeye ge\u00e7mektir. Bunu; verileri \u015fifrelenmi\u015f bir kapsay\u0131c\u0131 dosyas\u0131nda veya g\u00fc\u00e7l\u00fc bir parolaya sahip bir ar\u015fivde depolamak vb. \u015fekillerde yapabilirsiniz. Verileri ba\u015fka bir cihaza aktarman\u0131z gerekiyorsa, zaten \u015fifrelenmi\u015f bir ar\u015fivi bulut bar\u0131nd\u0131rma hizmetine y\u00fckleyebilirsiniz.<\/p>\n \u0130\u015f birli\u011fini ve kolayl\u0131\u011f\u0131, uygun g\u00fcvenlik garantileriyle birle\u015ftirmek istiyorsan\u0131z ve depolanan veri miktar\u0131 o kadar fazla de\u011filse, verileri ETH Z\u00fcrih\u2019in testlerine daha dayan\u0131kl\u0131 olan hizmetlerden birine ta\u015f\u0131mak iyi bir fikirdir. Bu hizmetler aras\u0131nda \u00a0en \u00f6nce Tresorit geliyor, ancak MEGA ve Nextcloud\u2019u da g\u00f6z ard\u0131 etmeyin.<\/p>\n Bu \u00e7\u00f6z\u00fcmlerden hi\u00e7biri uygun de\u011filse, di\u011fer \u015fifreli bar\u0131nd\u0131rma hizmetlerini tercih edebilirsiniz, ancak ek \u00f6nlemlerle: Son derece hassas verileri depolamaktan ka\u00e7\u0131n\u0131n, istemci uygulamalar\u0131n\u0131 derhal g\u00fcncelleyin, bulut s\u00fcr\u00fcc\u00fclerinizi d\u00fczenli olarak kontrol edin ve eski veya gereksiz bilgileri silin.<\/p>\n\n
Maliyetli d\u00fczeltmeler<\/h2>\n
\n
Kullan\u0131c\u0131lar\u0131n yapmas\u0131 gerekenler<\/h2>\n
\n