Kriptolu telefon nasıl dinlenir?

Başbakan’a göre, üretimi TÜBİTAK tarafından yapılan ve sahiplerine başkaları tarafından dinlenemeyen telefon konuşması yapma imkânı veren şifreli cep telefonları MİLCEP K2’ler de ‘paralel yapı’ tarafından dinlenmişti.
Bu büyük güvenlik zaafı nasıl ortaya çıkmıştı peki?
Bu konuda biraz teknik bilgi vermekte fayda var.
TÜBİTAK üretimi MİLCEP K2 dış görünüş itibarıyla bir cep telefonu. İçine Türkiye’deki üç operatörden istediğiniz birinden alınma SIM kartı takıyorsunuz ve onu cep telefonu olarak kullanıyorsunuz.
Ama isterseniz, eğer karşıdaki telefon da MİLCEP K2 ise veya MİLCEP K2’deki şifreleme algoritmalarını kullanabilen bir cihazsa, istediğiniz anda bir şifreli konuşma oturumu başlatabiliyorsunuz.
O zaman karşılıklı olarak iki cihazın içindeki bazı yazılımlar çalışmaya başlıyor, oturumu başlatan taraf 256 bit uzunluğunda bir şifre anahtarı oluşturuyor ve karşı tarafa gönderiyor.
Cep telefonlarında konuştuğumuzda sesimiz sayısala dönüştürülüyor zaten; yani ne söylersek söyleyelim 0 ve 1’lerden oluşan sayı dizilerine dönüşüyor. Telefon şebekesi bu sayıları bizim aradığımız telefona kadar taşıyor ve orada bu sayılar yeniden sese dönüşüyor.
İşte MİLCEP K2’de konuşan kişinin sesi sayısala dönüştüğünde bu sayılar doğrudan antene gönderilmiyor, onun yerine cihazın özel algoritmasıyla şifreleniyor ve şebekeye öyle gönderiliyor. Şebeke bu şifreli sayıları karşı telefona kadar taşıyor; karşı telefon şifreli sayıları kendisine yollanmış olan şifre anahtarıyla çözüyor ve sonra da sese dönüştürüyor.
Sistem kabaca böyle çalışıyor ve kâğıt üzerinde çok güvenli gibi duruyor. Nitekim TÜBİTAK bu sistemi, ‘Gizli gizlilik dereceli dahil güvenli haberleşme sağlar’ diyerek tanıtıyor.
Ama bu telefonlar artık o kadar da güvenli olmayabilir. Eğer Başbakan’ın dediği gibi TÜBİTAK’ın o telefon üzerinde yüklü şifreleme algoritmaları kurum dışına çıkarıldıysa, bütün MİLCEP K2’ler artık dinlenebilir durumda olabilir.
Benim aklıma gelen en basit yöntem şu: O algoritmaların tamamı bir dizüstü bilgisayara yüklenir, bilgisayarı yanında taşıyan kişi hedef telefonun bağlandığı baz istasyonlarına kendini tanıtır ve sonra da o baz istasyonundan geçen bütün konuşmaları sanki paralel hattaymış gibi dinleyebilir, kaydedebilir. Aramayı yapan MİLCEP telefonunu da aradığı numara kendisiymiş gibi kandırabilir ve şifre anahtarını kendisine de göndermesini sağlayabilir, bu yolla şifreyi çözüp konuşmayı dinleyebilir, kaydedebilir.

256 bit ne demek?

TÜBİTAK’ın ürettiği MİLCEP K2’ler, verileri AES-256 algoritmasıyla şifreliyor.
‘AES’in açılımı ‘Advanced Encryption Standart’. Yani, ‘İleri Şifreleme Standardı’.
AES, bu alandaki pek çok şey gibi Amerika’nın belirlediği bir standart. 2001 yılında Amerikan Ulusal Standartlar ve Teknoloji Enstitüsü, bu alanda yapılan yarışmada iki Belçikalı şifreci Joan Daemen ve Vincent Rijmen tarafından geliştirilen şifreleme algoritmasını benzerlerinin en iyisi olarak belirledi.
Yani, Türkiye’de ‘milli’ cep telefonumuzdaki şifre algoritması, temelde iki Belçikalı tarafından yazılıp Amerikan hükümeti tarafından satın alınıp standart hale getirilmiş bir şey. ‘Küreselleşme’ bu olsa gerek.
AES algoritmasının ayırt edici özelliği, şifrelemenin 128 bitlik bloklar halinde yapılması ve bu şifreyi çözecek olan anahtarın üç farklı uzunlukta seçilebilmesi. Anahtar, 128, 192 veya 256 bit uzunluğunda olabiliyor.
Anahtarın uzunluğu çok önemli. Anahtar ne kadar uzunsa, o anahtarı bulmak da o kadar zor bir şey. Şu ana kadar dünyada AES’in 128 bitlik anahtarını çözebilen olmadı. Çözme işleminin süperbilgisayarlar için bile 77 milyar yıl süreceği hesaplanıyor. Evrenimiz 13.7 milyar yıl yaşında, unutmayın.
Peki 128 biti çözmek bu kadar zorken MİLCEP’in kullandığı 256 bitlik anahtarı çözmek ne kadar sürüyor?
256 bitin ne kadar büyük bir sayı olduğunu size tarif dahi edemem. Bu sayının ne denli büyük olduğunu anlatmak isteyen birinden ödünç aldığım cümleyi söyleyeyim en iyisi: ‘Evrendeki bütün atomların sayısı kabaca 256 bit kadar...’
Yani, biri içeriden MİLCEP’teki şifreleme algoritmaları, rastgele sayı yaratma algoritması gibi şeyleri alıp çalmadıkça ve başka bir telefona (ya da laptop’a) MİLCEP’i taklit etmesi öğretilmedikçe, aslında bu şifreyi kırmak (şimdilik) imkânsız.
Amerikan hükümeti de, ‘çok gizli’ dahil gizli haberleşmesini AES 256 ile şifreliyor ve bunu güvenli buluyor.

Herkes telefonunu kriptolu hale getirebilir

DEVLETİMİZ, TÜBİTAK tarafından üretilmiş özel cihazlarla haberleşmek istiyor olabilir; benzer bir imkân biz vatandaşlar için de var aslında.
Akıllı telefonlar dünyasında, başkalarının sizi dinleyemeceği, dinlese bile anlayamayacağı güvenli konuşmalar ve mesajlaşmalar yapmak mümkün. Bunun için IOS veya Android cihazınıza bir ‘app’ indirmeniz yeterli. Elbetle kiminle konuşacaksanız onda da bu ‘app’den olmalı.
Örneğin, ‘Silent Circle’ adlı bir program var; kişilere yılda 99 dolar 95 cent’e cep telefonundan şifreli konuşma, video görüşme, mesajlaşma ve veri transferi sağlıyor. Eğer buna bilgisayarlarınızı ve normal telli telefonlarınızı da eklemek isterseniz, yani ‘tam paket’ alırsanız, yılda 249 dolar 95 cent ödemeniz gerekiyor.
Meraklısına duyurayım dedim.