X’in Yeni Özelliği: XChat Nedir?
Son günlerde X, daha önceki adıyla Twitter, yeni bir özelliği olan XChat’i kullanıcılara sunmaya başladı. Bu özellik, kullanıcıların daha güvenli bir şekilde iletişim kurmalarını sağlamak amacıyla geliştirilmiş bir şifreli mesajlaşma platformudur. X, bu yeni iletişim aracının son derece güvenli olduğunu ve mesajların yalnızca gönderici ve alıcı tarafından okunabileceğini iddia ediyor.
Uygulamanın Güvenliği Üzerine Endişeler
Ancak, kriptografi uzmanları bu yeni özelliğin uygulanabilirliğini sorguluyor. X’in şifreleme yöntemi, kullanıcıların özel anahtarlarını güvence altına almakta yetersiz kalıyor. Uzmanlar, XChat’in mevcut şifreleme modelinin Signal gibi güvenli mesajlaşma uygulamalarından çok daha zayıf olduğunu belirtiyor. Signal, end-to-end şifreleme ile en iyi uygulama olarak kabul ediliyor ve kullanıcıların açık anahtarlarını ve özel anahtarlarını yerel olarak saklıyor. X’in bu konuda söz verdiği gibi bir güvenlik sağlamadığı ifade ediliyor.
XChat’ın Şifreleme Yöntemi
XChat kullanmaya başlamak isteyen bir kullanıcı, “Şimdi ayarla” seçeneğine tıkladığında, kendi dört haneli bir PIN oluşturması gerekiyor. Bu PIN, kullanıcının özel anahtarını şifrelemek için kullanılıyor ve bu anahtar X’in sunucularında saklanıyor. Özel anahtar, her kullanıcı için atanan gizli bir kriptografik anahtardır ve mesajları deşifre etmekte kullanılır. Ancak, esas sorun burada başlıyor. Uzmanlar, X’in özel anahtarları sunucularında saklamasının ciddi bir güvenlik açığı oluşturduğunu ifade ediyor.
Güvenlik Sorunları ve Potansiyel Saldırılar
Matthew Garrett, bir güvenlik araştırmacısı, eğer X, anahtarları saklamak için donanım güvenlik modülleri (HSM) kullanmıyorsa, bu durumda anahtarların manipüle edilebileceğini belirtiyor. Brute-force saldırıları, dört haneli PIN’ler için kolayca gerçekleştirilebilir. HSM’ler, verilerin güvenliğini artırmak için özel olarak tasarlanmış sunuculardır. X’in bu tür sunucular kullanıp kullanmadığı ise hala belirsizliğini koruyor. Garrett, “Buna kanıt sunulana kadar bu ‘bize güven, dostum’ durumudur” diyor.
İkinci bir güvenlik açığı ise X’in destek sayfasında kabul ettiği gibi, hizmetin kötü niyetli bir iç çalışan veya X’in kendisi tarafından tehlikeye atılma olasılığıdır. Bu durum, adversary-in-the-middle (AITM) saldırılarına kapı açar. Bu tür saldırılar, verilen güvenlik garanti sistemlerini geçersiz kılar.
XChat’in Açık Kaynak Olmaması
Başka bir önemli sorun ise XChat’in uygulamasının açık kaynak olmamasıdır. Signal, şifreleme teknolojisini detaylı bir şekilde açıkça belgelerken, X bu konudaki bilgileri kısıtlı tutuyor. X, yıllık ilerileme raporunda bu uygulamanın ileride açık kaynak olmayı hedeflediğini belirtse de, bu durum şu an için bir güvence sunmamaktadır.
Özel Anahtarların Yönetimi ve İleri Düzey Kriptografi Eksiklikleri
X’in sunduğu hizmet, mükemmel ileri gizlilik (perfect forward secrecy) mekanizmasını da desteklemiyor. Bu mekanizma, her yeni mesajın farklı bir anahtarla şifrelendiği bir yöntemdir. Eğer bir saldırgan kullanıcının özel anahtarına ulaşırsa, yalnızca en son mesajı deşifre edebilir; önceki mesajlara ulaşamaz. X’in kendisi de bu eksikliği kabulleniyor.
Sonuç Olarak Uzman Görüşleri
Tüm bu nedenlerden dolayı, Matthew Garrett, XChat’in şu anki haliyle kullanıcılar için güvenilir olmadığını düşünüyor. “Eğer herkes tamamen güvenilirdiyse, X’in uygulaması teknik açıdan Signal’dan daha kötü” diyor. Matthew Green, Johns Hopkins Üniversitesi’nde kriptografi dersleri veren bir uzman, “Bu uygulamanın güvenilir bir denetimden geçmesini bekleyin, aksi halde şu an için bu uygulamaya güvenmiyorum” yorumunda bulundu.
X, bu sorunlarla ilgili olarak birkaç soru yönlendirdiğimizde yanıt vermedi. Kullanıcıların kişisel verilerinin korunması adına bu tür platformların güvenliği büyük önem taşır. Şu an için XChat, kullanıcılarını bu açılardan tatmin edici bir güvenlik sunmaktan çok uzak görünmektedir.
