BitTorrent Bleep ile çevrim dışı mesaj göndermek artık daha güvenli

bittorrent-bleep-070815

BitTorrent’in mesajlaşma uygulaması Bleep, kullanıcı gizliliğini öne alan yapısıyla dikkat çekiyor. BitTorrent, uygulamanın gizliliğe öncelik veren yapısını biraz daha güçlendirmeye hazırlanıyor. BitTorrent’in kıdemli yazılım mühendisi Steven Siloti’nin imzasıyla yayınladığı açıklama, ekibin eş zamanlı olmayan çevrim dışı mesajlardaki güvenliği nasıl geliştirdiğini ortaya koyuyor.

BitTorrent Bleep’e geçtiğimiz yılın aralık ayında eklenen çevrim dışı mesajlaşma özelliği, gönderen çevrim içi olmasa bile mesajların alınmasını mümkün hâle getirmişti. Bu noktada BitTorrent Bleep’in sunucularının olmadığını, dolayısıyla çevrim dışı mesajlaşma özelliğinin uygulama açısından büyük bir güncelleme özelliği taşıdığını belirtmek gerekiyor. Aradan geçen dönem boyunca BitTorrent Bleep’in çevrim dışı mesaj özelliğindeki güvenlik seviyesinden memnun olmayan mühendis ekibi, kullanıcıların “çevrim dışı anahtarı”nın ele geçirilme ve bir kişiyle olan tüm mesajlaşma geçmişinin ele geçirilme tehlikesine dikkat çekmişlerdi.

Bahsedilen problemin çevrim içi mesajlar için hiçbir zaman geçerli olmadığını vurgulamakta fayda var. Çünkü BitTorrent Bleep, çevrim içi mesajları koruma altına almak için şifreli bir tünel protokolü kullanıyor. Çevrim dışı mesajlardaki problemi ortadan kaldırmak için sistemde değişikliğe giden BitTorrent mühendisleri, kullanıcı çiftleri için geçici anahtarlar oluşturulmasını sağladı.

BitTorrent mühendisleri tarafından geliştirilen sistemin açıklaması ise bir örnekle yapıldı. Örneğin, Alice Bob’a bir çevrim dışı mesaj yollamak istediğinde mesajı şifrelemek için daha önce oluşturulan geçici anahtarlardan birini kullanıyor. Bob mesaj kendisine ulaştığında şifreyi kaldırmak için diğer geçici anahtardan faydalanıyor. Mesajın şifresinin kaldırılmasının ardından Bob, kendi geçici anahtarını etkisiz hâle getiriyor ve DHT’de yeni bir anahtar oluşturuyor. Alice, Bob’un yeni geçici anahtarını gördükten sonra yeni anahtarı Bob için sakladığı eski anahtarla değiştiriyor.

Bu karmaşık sürecin özetini “Gerekli anahtara sahip olmayan kimse çevrim dışı mesajlara erişemez.” şeklinde yapmak mümkün. Kullanılan anahtarların yerine yenisinin oluşturulması, anahtarların ele geçirilmesini de iyiden iyiye zorlaştırıyor.

İLGİLİ HABERLER