Kriptolu telefonlar ne kadar güvenilir? Şaşırtıcı tespit!

Cep Telefonu
Devlet büyüklerinin kullandığı kriptoluların da arasında bulunduğu telefonların usulsüz dinlendiği iddialarına yönelik kapatılan Telekomünikasyon İletişim Başkanlığı (TİB) ile Türkiye Bilimsel ve Tekn...
EMOJİLE

Devlet büyüklerinin kullandığı kriptoluların da arasında bulunduğu telefonların usulsüz dinlendiği iddialarına yönelik kapatılan Telekomünikasyon İletişim Başkanlığı (TİB) ile Türkiye Bilimsel ve Teknolojik Araştırma Kurumunun (TÜBİTAK) 28 eski personelinin yargılandığı davada, MİLCEP-K2 kriptolu telefonları inceleyen bilirkişi heyeti, ‘telefonların kriptografik açıdan çok zayıf olduğunu ve standart bir dizüstü bilgisayarın işlemci gücü ve hafıza kapasitesiyle, yaklaşık 45 saniyede kriptolu gönderilen kapalı metnin tamamen kırılabildiğini’ belirledi.

Davayı gören Ankara 2. Ağır Ceza Mahkemesi, yüksek elektronik mühendisi, mobil şebeke uzmanı Mesut Rusçuk, ODTÜ Uygulamalı Matematik Enstitüsü Kriptografi Anabilim Dalı Başkanı Prof. Dr. Ferruh Özbudak ve aynı anabilim dalında öğretim üyesi olan Doç. Dr. Murat Cenk’ten, sanıkların savunmalarında ‘dinlenemeyeceğini’ ileri sürdüğü MİLCEP-K2 telefon cihazların kriptografik güvenliklerinin uluslararası standartlara uygun olup olmadığına ilişkin rapor aldı.

Raporda, kriptografik kurallara uyarak gerçekleştirilmiş yüksek güvenlik düzeyli bir kriptolu cihazın en güncel bilgisayar teknolojisi ve en ileri teknik olanaklarla kırılmasının pratik anlamda mümkün olmadığı, bu şekilde kriptolu bir cihazın ‘kırılmasının’, çok yüksek kapasiteli bilgisayar kullanılsa dahi ‘trilyonlarca yıldan fazla zaman alacağı’ ifade edildi.

Bilirkişi heyetinin, Ankara 2. Ağır Ceza Mahkemesince verilen 18 MİLCEP-K2 kriptolu telefonu incelediği bildirilen raporda, MİLCEP-K2 kriptolu cep telefonlarına yönelik incelemede ‘kriptografik’ açıdan çok büyük açıklar tespit edildiği vurgulandı.

Raporda, ‘Bu telefonların arasında çalışır durumdakilerin kriptografik açıdan çok zayıf olduğu uygulamalı testlerle tespit edilmiştir. Bu testlerde, standart bir dizüstü bilgisayar işlemci gücüyle, standart bir dizüstü bilgisayardaki hafıza kapasitesiyle, yaklaşık 45 saniye içinde kriptolu gönderilen kapalı metnin tamamen kırılabildiğini, bilirkişi heyetimiz yaptığı pratik uygulamalarla tespit etmiştir.’ bilgisi aktarıldı.

Kriptolu cihazlarda kriptografik hesapların ayrı donanım birimi ve açık operasyonlardan tamamen ayrı biçimde yapılmasının önemli bir prensip olduğu belirtilen raporda, incelemeye konu telefonların hafıza kartı, işlemci ve özellikle rastgele sayı üretiminde bu prensibe uyulmadığı ifade edildi.

Kriptografik standartlarda en kritik parçalardan birinin ‘rastgele sayı üretici’ olduğuna işaret edilen raporda, bunun, donanımsal olarak, kriptografik açıdan çok dikkatli bir biçimde tasarlanması ve üretilen ‘rastgele sayı testlerinden geçmesi’ gerektiği anlatıldı.

Ancak MİLCEP-K2 kriptolu cep telefonlarında donanımsal bir rastgele sayı üretici kullanılmadığına dikkati çekilen raporda, ‘bunun, çok önemli bir açık olduğu’ kaydedildi.

Güvenlik Yönetim Merkezine ilişkin eksikler

Kriptolu cihazlarda kullanılmak için ‘gizli anahtarların’ üretimi, yüklenmesi ve gizliliğinin en önemli güvenlik konularının başında geldiği bildirilen raporda, bu anahtarların yönetildiği Güvenlik Yönetim Merkezinin (GYM) en güvenli şekilde tasarlanması gerektiği belirtildi.

Raporda, şu ifadelere yer verildi:

‘Asgari şartlar altında GYM’nin mutlaka 24 saat pek çok kamera tarafından izlenen, çok detaylı ve kesin kuralların olduğu izin ve protokollerle açılabilen ve aksi halde devamlı kapalı olan ancak ihtiyaç duyulduğunda çok nadir durumlarda açılıp girilen, kimsenin tek başına erişmesinin mümkün olmadığı, en üst düzey izin alınan ve en üst düzey güvenlik belgesine sahip (örneğin 5-6 kişi) kişinin mutlaka ve ancak hep beraber ‘ortak anahtar paylaşımı’ gibi bir metotla erişimi mümkün olan, fiziksel güvenliğin kalın duvar, çelik kasa ve benzeri önlemlerle en üst düzeyde sağlandığı, her türlü erişimin, giriş çıkışın detaylı kayıt altına alındığı bir şekilde olması gerekir.

MİLCEP-K2 kriptolu cep telefonları için kullanılan GYM’nin 2 standart masa üstü bilgisayar olduğu ve bu telefonların kullanıldığı dönemde bunların TÜBİTAK BİLGEM Gebze Yerleşkesi’ndeki bir binadaki laboratuvarda bulunduğu, bu laboratuvarlarda geçen süre içinde fiziki şartların değişmediği bilgisi TÜBİTAK yetkililerince bilirkişi heyetimize verilmiştir. Heyetimiz, laboratuvarın fiziki şartlarını incelemiştir. Bilirkişi heyetimiz, bu laboratuvarların yukarıda maddeler halinde verilen GYM fiziki şartlarını sağlamadığını tespit etmiştir.’