Draqon
Aktif Üye
Edward Snowden’ın ifşaatlarından on yıl sonra, trafik şifreleme çok yol kat etti. Bir sonraki adımda “bölümleme” kavramı baskın çıkarsa, yani ağ faaliyetlerimi seçtiğim hizmet sağlayıcılardan gizlemek, bu gözetim kapitalizmine karşı yardımcı olabilir. Çoğu zaman olduğu gibi, politikacılar yanlış tarafta, “karanlığa dönüşen” senaryolar konusunda uyarıda bulunuyorlar ve böylece gözetim kapitalistlerinin ekmeğine yağ sürüyorlar.
Reklamcılık
Edward Snowden’dan sonraki ilk on yılda, geliştiriciler, İnternet şirketleri ve aktivistler (neredeyse) bir çok sahte şifreleme ile ağın arterlerindeki veri trafiğinin gözlemlenmesine son verdi. HTTP with TLS web protokolünün temel korumasından, şifrelemenin zaten entegre olduğu tamamen yeni TCP halefi Quic’e, farklı şifreli DNS varyantlarına (TLS üzerinden DNS, DoT; HTTPS üzerinden DNS, DoH) – şifrelenmemiş veri akışları artık nadirdir.
Cesaret, bak kim
Paketlerin iletimi sırasında meraklı gözlemcileri engellemek yalnızca ilk adımdır. İnternet Mühendisliği Görev Gücü’nün (IETF) eski başkanı Jari Arkko’nun güncel bir belgede geliştirici meslektaşlarına bir kez daha tavsiye ettiği için bu yeterli değil.
Bunun yerine, iletişim sürecinde yer alan uç noktaların bir kullanıcının ne söylediğini ve ne yaptığını görmesini engellemek önemli olabilir. Arkko, sunucunun, hatta kullanıcının kullandığı bir servis sağlayıcının sunucusunun güvenliğinin ihlal edilebileceğini veya kötü niyetli olabileceğini açıklıyor. Veya çıkarları, kullanıcınınkiyle uyumlu değil.
Yaz aylarında NSA sponsorluğundaki Russ Housely’den Snowden açıklamalarının ardından IETF başkanlığını devralan ve kısa süre önce İnternet Mimarisi Kurulu’ndan istifa eden Arkko, şunları vurguluyor: “Ayrıca yeni saldırganlar ve risklerle karşı karşıyayız. Örneğin, büyüyen veri depoları dikkate alınması gereken çeşitli İnternet hizmetleri.” Özellikle iletişim protokolünde belirtilen bir ortak veri toplamanın kendisiyle çok ilgileniyorsa, hattın bu ucuna doğru da olmak üzere daha fazla güvenlik önlemi sağlamak önemlidir.
“En Az Ayrıcalık İlkesi (PoLP)” gözetilmelidir. Bu, bir sistemin her programının ve her kullanıcısının, işini yapmak için kesinlikle ihtiyaç duyduğu haklar temelinde çalışması gerektiği anlamına gelir. Ayrıca teknik etkinlik açısından, hiçbir tarafın tüm bilgilere sahip olmaması iyidir.
Reklamcılık
Ayrıştırma/Bölümleme
Arkko’nun IAB’deki meslektaşlarının artık bu konsepte ikna olmasına gerek yok.
IAB’nin şu anki başkanı, aynı zamanda bir Ericsson araştırmacısı olan Mirja Kühlewind, iki IAB üyesiyle birlikte kendi taslağını verileriniz üzerinden “böl ve yönet” fikrine adadı. Özel iletişim için bir mimari olarak bölümlemede, Kühlewind, Apple geliştiricisi Tommy Pauly ve Cloudflare geliştiricisi Christopher Wood, IETF çalışma gruplarının şu anda prensibi kullanmakta olduğu protokollerin çoğunu sunuyor. Apple, Cloudflare ve ayrıca Google geliştiricileri, çeşitli bölümleme protokolleri üzerindeki çalışmalarda önemli ölçüde yer almaktadır. “Dekuplaj” terimi aynı zamanda bilginin (ve dolayısıyla gücün) dağıtımı için de kullanılır.
Prensip olarak, bilgi dağıtımının en basit varyantı zaten TLS sunuyor, Kühlewind ve meslektaşları yazıyor. Gelecekte aktarım şifrelemesi yalnızca istemcinin, TLS aracılarının ve hedef sunucunun gerçek içeriği görmesine izin verecektir. Yalnızca meta veriler ve IP başlıkları dış dünya tarafından görülebilir. Elbette, verilerin daha fazla dağıtılması olmadan, bu, tanımlayıcı meta verilerin ve içeriğin aracıların kendileri tarafından incelenmesine ve toplanmasına karşı herhangi bir koruma sağlamaz.
Yazarlar, “HTTP üzerinden bir veri alışverişinin şifrelenmesi, bir istemci IP adresini gören orta kutunun kullanıcı hesabının kimliğini bilmesini engeller. Ancak TLS sonlandırma sunucusu her ikisini de görür ve ilişkilendirebilir” diyor.
Habersiz Özellikler
Bölümlemeye yönelik en son eğilim, DNS’yi daha gizli hale getirmeye çalışan gruplar tarafından başlatıldı. HTTPS (DoH) üzerinden DNS ile, büyük platformlarda birdenbire DNS trafiğinin daha merkezi hale gelmesinin bir bahanesi olarak – örneğin Firefox DoH trafiği Cloudflare’de sona eriyor – DoH üreticileri kendi fikirlerini ortaya attılar DNS isteklerini farklı proxy’lere bölme.
İlk proxy, istekte bulunan bir istemciden şifrelenmiş isteği alırken, hedef sunucu içerikle ilgili soruyu alır, ancak bunun orijinal olarak kimden geldiğini bilmez. HTTPS üzerinden Oblivious DNS (ODoH) için temel gereksinim, farklı proxy’lerin işbirliği yapmamasıdır. Aksi takdirde, talepte bulunan kişiyi tanımlayan meta veriler, hangi sayfalarda bulunduğu ile bağdaştırılabilir.
Apple ve Cloudflare’deki geliştiriciler, ODoH’nin temel yapısını o kadar çok sevdiler ki, hemen HTTP trafiğine uyguladılar.
OHTTP ile istemci, isteklerini, isteğin içeriğini okuyamayan “şüphelenmeyen” bir röle aracılığıyla, mesajın şifresini çözebilen ancak istekte bulunan istemciyi tanımlayamayan ve doğrudan adresleyemeyen “şüphelenmeyen” bir ağ geçidine gönderir. Hibrit açık anahtarlı şifreleme, simetrik ve asimetrik şifrelemenin birleştirildiği şifreleme için kullanılır.
Maske, PPM, Gizlilik Kartı
Bununla birlikte, çeşitli Oblivious spesifikasyonları hiçbir şekilde tüm taslak bölümleme protokolleri değildir.
Kühlewind, Pauly ve Wood’a göre buna Masque (QUIC Encryption üzerinden Multiplexed Application Substrate) ve PrivacyPass üzerindeki çalışmalar da dahildir. HTTP aracılığıyla IP ve UDP trafiğini tünellemek için daha eski proxy’ler, trafiğin bu tür gizlilik dostu bölünmesini zaten sağlıyordu.
Google mühendisi David Schinazi’nin en son belgelerden birinde yazdığı gibi, artan gizlilik birkaç proxy’nin etkinleştirilmesini gerektirir.
Schinazi, QUIC tabanlı HTTP/3 ile bir kullanıcının uçtan uca şifreleme ile hedef sunucusuna ulaşabileceğini ve birkaç Connect UDP tüneli yoluyla yolunu gizleyebileceğini vaat ediyor.
Eksik olan: Hızlı tempolu teknoloji dünyasında, çoğu zaman tüm haberleri ve arka plan bilgilerini yeniden sıralamak için zaman vardır. Hafta sonu onu almak, akıntıdan uzak yan yolları takip etmek, farklı bakış açıları denemek ve nüansları sesli kılmak istiyoruz.
Aynı zamanda, QUIC ve HTTP3, İnternet’in evrensel alt katmanı olarak web protokolünün dikkate değer zaferini gösterir. APNIC baş bilim adamı Geoff Huston, çevrimiçi olarak sorulduğunda, “IETF, web’i yalnızca 80 numaralı bağlantı noktası ve HTTPS aracılığıyla teslim etmek ve 80 numaralı bağlantı noktası (TCP/UDP/SCTP) aracılığıyla şifrelenmemiş trafiği atmak için çok çalıştı,” diyor.
IETF PrivacyPass çalışma grubu, kullanıcıların kimliğini belirli hizmetlere erişimleri hakkındaki bilgilerden ayırmaya yardımcı olmayı amaçlar. Hizmetler için gereken kimlik doğrulama, veren ofislerden önceden isimsiz olarak satın alınan “belirteçler” kullanılarak gerçekleştirilir. Bunun için kullanılan konsept iyi bilinmektedir, David Chaum tarafından tasarlanan kör imzalardır.
Haberin Sonu
Reklamcılık
Edward Snowden’dan sonraki ilk on yılda, geliştiriciler, İnternet şirketleri ve aktivistler (neredeyse) bir çok sahte şifreleme ile ağın arterlerindeki veri trafiğinin gözlemlenmesine son verdi. HTTP with TLS web protokolünün temel korumasından, şifrelemenin zaten entegre olduğu tamamen yeni TCP halefi Quic’e, farklı şifreli DNS varyantlarına (TLS üzerinden DNS, DoT; HTTPS üzerinden DNS, DoH) – şifrelenmemiş veri akışları artık nadirdir.
Cesaret, bak kim
Paketlerin iletimi sırasında meraklı gözlemcileri engellemek yalnızca ilk adımdır. İnternet Mühendisliği Görev Gücü’nün (IETF) eski başkanı Jari Arkko’nun güncel bir belgede geliştirici meslektaşlarına bir kez daha tavsiye ettiği için bu yeterli değil.
Bunun yerine, iletişim sürecinde yer alan uç noktaların bir kullanıcının ne söylediğini ve ne yaptığını görmesini engellemek önemli olabilir. Arkko, sunucunun, hatta kullanıcının kullandığı bir servis sağlayıcının sunucusunun güvenliğinin ihlal edilebileceğini veya kötü niyetli olabileceğini açıklıyor. Veya çıkarları, kullanıcınınkiyle uyumlu değil.
Yaz aylarında NSA sponsorluğundaki Russ Housely’den Snowden açıklamalarının ardından IETF başkanlığını devralan ve kısa süre önce İnternet Mimarisi Kurulu’ndan istifa eden Arkko, şunları vurguluyor: “Ayrıca yeni saldırganlar ve risklerle karşı karşıyayız. Örneğin, büyüyen veri depoları dikkate alınması gereken çeşitli İnternet hizmetleri.” Özellikle iletişim protokolünde belirtilen bir ortak veri toplamanın kendisiyle çok ilgileniyorsa, hattın bu ucuna doğru da olmak üzere daha fazla güvenlik önlemi sağlamak önemlidir.
“En Az Ayrıcalık İlkesi (PoLP)” gözetilmelidir. Bu, bir sistemin her programının ve her kullanıcısının, işini yapmak için kesinlikle ihtiyaç duyduğu haklar temelinde çalışması gerektiği anlamına gelir. Ayrıca teknik etkinlik açısından, hiçbir tarafın tüm bilgilere sahip olmaması iyidir.
Reklamcılık
Ayrıştırma/Bölümleme
Arkko’nun IAB’deki meslektaşlarının artık bu konsepte ikna olmasına gerek yok.
IAB’nin şu anki başkanı, aynı zamanda bir Ericsson araştırmacısı olan Mirja Kühlewind, iki IAB üyesiyle birlikte kendi taslağını verileriniz üzerinden “böl ve yönet” fikrine adadı. Özel iletişim için bir mimari olarak bölümlemede, Kühlewind, Apple geliştiricisi Tommy Pauly ve Cloudflare geliştiricisi Christopher Wood, IETF çalışma gruplarının şu anda prensibi kullanmakta olduğu protokollerin çoğunu sunuyor. Apple, Cloudflare ve ayrıca Google geliştiricileri, çeşitli bölümleme protokolleri üzerindeki çalışmalarda önemli ölçüde yer almaktadır. “Dekuplaj” terimi aynı zamanda bilginin (ve dolayısıyla gücün) dağıtımı için de kullanılır.
Prensip olarak, bilgi dağıtımının en basit varyantı zaten TLS sunuyor, Kühlewind ve meslektaşları yazıyor. Gelecekte aktarım şifrelemesi yalnızca istemcinin, TLS aracılarının ve hedef sunucunun gerçek içeriği görmesine izin verecektir. Yalnızca meta veriler ve IP başlıkları dış dünya tarafından görülebilir. Elbette, verilerin daha fazla dağıtılması olmadan, bu, tanımlayıcı meta verilerin ve içeriğin aracıların kendileri tarafından incelenmesine ve toplanmasına karşı herhangi bir koruma sağlamaz.
Yazarlar, “HTTP üzerinden bir veri alışverişinin şifrelenmesi, bir istemci IP adresini gören orta kutunun kullanıcı hesabının kimliğini bilmesini engeller. Ancak TLS sonlandırma sunucusu her ikisini de görür ve ilişkilendirebilir” diyor.
Habersiz Özellikler
Bölümlemeye yönelik en son eğilim, DNS’yi daha gizli hale getirmeye çalışan gruplar tarafından başlatıldı. HTTPS (DoH) üzerinden DNS ile, büyük platformlarda birdenbire DNS trafiğinin daha merkezi hale gelmesinin bir bahanesi olarak – örneğin Firefox DoH trafiği Cloudflare’de sona eriyor – DoH üreticileri kendi fikirlerini ortaya attılar DNS isteklerini farklı proxy’lere bölme.
İlk proxy, istekte bulunan bir istemciden şifrelenmiş isteği alırken, hedef sunucu içerikle ilgili soruyu alır, ancak bunun orijinal olarak kimden geldiğini bilmez. HTTPS üzerinden Oblivious DNS (ODoH) için temel gereksinim, farklı proxy’lerin işbirliği yapmamasıdır. Aksi takdirde, talepte bulunan kişiyi tanımlayan meta veriler, hangi sayfalarda bulunduğu ile bağdaştırılabilir.
Apple ve Cloudflare’deki geliştiriciler, ODoH’nin temel yapısını o kadar çok sevdiler ki, hemen HTTP trafiğine uyguladılar.
OHTTP ile istemci, isteklerini, isteğin içeriğini okuyamayan “şüphelenmeyen” bir röle aracılığıyla, mesajın şifresini çözebilen ancak istekte bulunan istemciyi tanımlayamayan ve doğrudan adresleyemeyen “şüphelenmeyen” bir ağ geçidine gönderir. Hibrit açık anahtarlı şifreleme, simetrik ve asimetrik şifrelemenin birleştirildiği şifreleme için kullanılır.
Maske, PPM, Gizlilik Kartı
Bununla birlikte, çeşitli Oblivious spesifikasyonları hiçbir şekilde tüm taslak bölümleme protokolleri değildir.
Kühlewind, Pauly ve Wood’a göre buna Masque (QUIC Encryption üzerinden Multiplexed Application Substrate) ve PrivacyPass üzerindeki çalışmalar da dahildir. HTTP aracılığıyla IP ve UDP trafiğini tünellemek için daha eski proxy’ler, trafiğin bu tür gizlilik dostu bölünmesini zaten sağlıyordu.
Google mühendisi David Schinazi’nin en son belgelerden birinde yazdığı gibi, artan gizlilik birkaç proxy’nin etkinleştirilmesini gerektirir.
Schinazi, QUIC tabanlı HTTP/3 ile bir kullanıcının uçtan uca şifreleme ile hedef sunucusuna ulaşabileceğini ve birkaç Connect UDP tüneli yoluyla yolunu gizleyebileceğini vaat ediyor.
Eksik olan: Hızlı tempolu teknoloji dünyasında, çoğu zaman tüm haberleri ve arka plan bilgilerini yeniden sıralamak için zaman vardır. Hafta sonu onu almak, akıntıdan uzak yan yolları takip etmek, farklı bakış açıları denemek ve nüansları sesli kılmak istiyoruz.
Aynı zamanda, QUIC ve HTTP3, İnternet’in evrensel alt katmanı olarak web protokolünün dikkate değer zaferini gösterir. APNIC baş bilim adamı Geoff Huston, çevrimiçi olarak sorulduğunda, “IETF, web’i yalnızca 80 numaralı bağlantı noktası ve HTTPS aracılığıyla teslim etmek ve 80 numaralı bağlantı noktası (TCP/UDP/SCTP) aracılığıyla şifrelenmemiş trafiği atmak için çok çalıştı,” diyor.
IETF PrivacyPass çalışma grubu, kullanıcıların kimliğini belirli hizmetlere erişimleri hakkındaki bilgilerden ayırmaya yardımcı olmayı amaçlar. Hizmetler için gereken kimlik doğrulama, veren ofislerden önceden isimsiz olarak satın alınan “belirteçler” kullanılarak gerçekleştirilir. Bunun için kullanılan konsept iyi bilinmektedir, David Chaum tarafından tasarlanan kör imzalardır.
Haberin Sonu