Birlikte çalışabilir haberciler – çok basit bir zorlu görev
Anlık mesajlaşma, yalnızca birkaç yıl içinde telekomünikasyonda ana akım hizmet haline geldi, ancak uzun süredir hakim olan telefonun aksine, birlikte çalışabilirlikten yoksun. Pek çok kullanıcı, yalnızca birkaç haberci yükler ve birkaç çalıştırma kavramını öğrenirse, tüm kişileri ile iletişim kurabilir. Bu, birçok müşteri, bazı işletmeler ve hatta mesajlaşma geliştiricileri için uzun süredir bir diken olmuştur.
Ancak DMA ve muhtemelen benzer bir yasanın gelecekte ABD’li milletvekilleri tarafından tartışılmasıyla, birlikte çalışabilir çözümler yaratma baskısı aniden çok güçlü. Apple ve Facebook dahil olmak üzere büyük anlık mesajlaşma operatörleri, muhtemelen önümüzdeki yıl içinde daha küçük mesajlaşma servisleriyle metin mesajlaşma yetenekleri sunmak zorunda kalacaklar. Bu, 1 Kasım 2022’de yürürlüğe giren Dijital Piyasa Kanunu’nun 7. Maddesi tarafından zorunludur.
İnternet Mühendisliği Görev Gücü, tüm mesajlaşma operatörlerinin kullanabileceği açık özellikler konusunda kesin yardım sağlamak istiyor. Yeni Daha Fazla Anında Mesajlaşma Birlikte Çalışabilirliği (MIMI) çalışma grubu, ayrıntıları çözmek istiyor ve bu amaçla başlangıçtan itibaren kısa aralıklarla, yani iki haftada bir toplanıyor. Aradaki kısa süreye rağmen, Avrupa yasa koyucunun son teslim tarihlerini karşılayıp karşılayamayacağı henüz belli değil. Kahramanlara bir bakış bazen çok farklı ilgi alanları ve çok sayıda ipucu ve seçenek gösterir.
Şubat ayında şirketler, kuruluşlar ve düzenleyiciler tarafından gönderilen yaklaşık 1000 kişi, Avrupa Komisyonu tarafından düzenlenen bir çalıştaya katılarak olası çözümleri tartıştı ve gereken çabayı değerlendirdi. Örneğin, WhatsApp, sinyal protokolünün bir varyantını temel alırken, iMessage, Matrix’i temel alır. Seminerde, AB Komisyonu tam olarak kimin birlikte çalışabilirliği taahhüt ettiği konusunda dikkat çekmedi. WhatsApp ve Facebook operatörü olarak zor kurtulacak olan Meta, nüfuz kullanmak için genel danışmanı Stephen Hurley’i Brüksel’e gönderdi.
Aslında roket bilimi değil
Matrix’in kurucularından biri olan Matthew Hodgson’a inanıyorsanız, en azından mesajlaşmak kolay olabilir. Atölyede, bir WhatsApp istemcisi ile bir GoogleChat istemcisi arasında, köprü uygulamaları ve iki matrix sunucunun aracılık ettiği bir sohbeti gösterdi. Hodgson sorulduğunda, bir Matrix geliştiricisinin bu demo için üç ila dört hafta sürdüğünü söyledi.
2014 yılından bu yana vakıf olarak kurulan Matrix ekibi, Matrix protokolünü özellikle federe bir sistem olarak ve dolayısıyla merkezi olarak ayarlanan mesajlaşma servislerine alternatif olarak geliştirmektedir. Bu temelde, Bundeswehr gibi müşteriler kendi mesajlaşma örneklerini (ev sunucuları) yönetebilir ve aynı anda diğer Matrix kullanıcılarıyla iletişim kurabilir.
Hodgson ve kurucu ortak Amandine Le Pape bu nedenle Matrix’i habercilerin birlikte çalışabilirliğine izin veren bir protokol adayı olarak görüyor. İlk olarak Mart ayında bir araya gelen IETF MIMI çalışma grubunda, Hodgson ve meslektaşları Matrix’i kavramsal bir çerçeve ve taşıma protokolü olarak önerdiler.
Güvenlik, gizlilik ve anonimlik
Bununla birlikte, Sophia Celi’nin etrafındaki bazı kriptografi araştırmacıları, Matrix protokolünde güvenlik açıkları bulmuşlardır; bu, habercilerin birlikte çalışabilirliğinin bir güvenlik sorunu haline gelmemesi halinde daha fazla iş anlamına gelir. Araştırmacılar, diğer şeylerin yanı sıra, birleşik ağa ev sunucularına yapılan saldırılarla sızılabileceğini göstermişti.
Hodgson Brüksel’de, hizmetler arasında aracılık yapan sunucu köprüleri fikrinin artık terk edildiğini kabul etti. Tüm habercilerin kullandığı ortak bir protokol bulunana kadar, istemci tarafı köprülemenin aracılık etmesi amaçlanır. Mesajların şifresi yalnızca etkilenen kullanıcıların cihazlarında çözülür.
Kullanıcı kimliklerini belirlemek (keşif), zordur, çünkü bunlar genellikle telefon numaralarıdır. Aynı telefon numarası aynı anda birden fazla müşteriye atanabilir, böylece belirli bir numara ile bir mesaja hangi müşterinin ulaştığı belli olmaz. Ayrıca, istenmeyen okuyucular, telefon numaralarına dayalı olarak güvenilir meta verilere erişebilir.
Threema: belirsiz bir sonucu olan muazzam bir girişim
Bu nedenle, İsviçre şirketi Threema da dahil olmak üzere bazı operatörler, şüpheci olmasalar da birlikte çalışabilirlik konusunda çekingen davranıyorlar. Şirketin kurucu ortağı Martin Blatter, hem aktarım yolundaki içeriğin şifresini çözen ağ öğelerinin hem de aracılık arabirimlerinin (gatekeeper API’leri) büyük mesajlaşma hizmeti sağlayıcıları için uygun olmadığına inanıyor.
Ona göre her ikisi de Threema kullanıcılarının beklentileriyle çelişiyor, çünkü örneğin Gatekeeper API’leri, kullanıcı verileriyle ilgilenen WhatsApp gibi hizmetlerin işine yarayabilir. Blatter c’t’ye “Bizim açımızdan, kullanıcı gizliliğini korumak en önemli şey” dedi.
Threema ayrıca ekonomik nedenlerle habercilerin birlikte çalışabilirliğini sınırlamak istiyor. Yaklaşık 11 milyon abonesi olan hizmet için, diğer mesajlaşma operatörlerinin ordularının aniden Threema’nın altyapısını kullanmaya başlaması ekonomik olmayacaktır. “Faturaları hâlâ kendimiz ödemek zorundayız” diye açıklıyor. Ancak, Threema kullanıcıları bir kez yalnızca 5 Euro öderler. Ve Threema birdenbire tüm büyük mesajlaşma hizmetlerinden erişilebilir hale gelirse, küçük sağlayıcı birdenbire daha fazla ücretli müşteriyi elde tutmak için argümanlarını tüketebilir.
Çeşitli taraflar bir şartname üzerinde anlaşabilirlerse, Blatter “en küçük ortak paydanın” yetersiz ve hatta beceriksiz olacağından korkuyor. Görüntülü aramalar ve grup sohbetleri içeren ve tümü yüksek oranda şifrelenmiş bir haberci, klasik e-posta kadar kolay değildir.
Nispeten küçük bir haberci olarak Blatter, Threema’nın komisyonun sonunda açılmasını isteyeceği Muhafızlardan biri olmadığı için “şanslı”.
Güvenlik katil karmaşıklığı
Blatter gibi şüpheciler, Edinburgh Üniversitesi’nden gizlilik araştırmacısı Ross Anderson tarafından destekleniyor. Cambridge Üniversitesi’nden meslektaşı Jenny Blessing ile birlikte, haberciyi açmaya zorlayarak güvenlik seviyesinin düşürülmesine karşı uyarıda bulunuyor.
Her ikisi de uçtan uca birlikte çalışabilir iletişimin uygulanabilir olduğuna inanıyor, “ancak bu, makul güvenlik ve kullanılabilirlik gereksinimlerini sürdürmek için kriptografik ve insan olmak üzere çok sayıda yeni protokol ve süreç gerektiriyor.” bir servis sağlayıcının mesajları diğerine iletebilmesi. Günümüzün uçtan uca şifreli uygulamalarının içerdiği birçok özelliği ve protokolü de göz önünde bulundurmanız gerekir.
Anderson ve Blessing, “Birlikte çalışabilir sistemin karmaşıklığı, pek çok dinamik parça nedeniyle güvenliği tehlikeye atabilir, tıpkı kilit mütevellilerin tamamen güvenli tutulsalar bile kriptografik anahtarları tehlikeye atması gibi.” Hizmetlerden birindeki güvenlik açıkları, zarar veren haberci ekosisteminin tamamının güvenliğini kolayca tehlikeye atabilir.
MIMI çalışma grubunun üç başkanından biri ve Cisco’da ekosistem mühendisliğinden sorumlu başkan yardımcısı olan Alissa Cooper, saldırganların birçok hizmete saldırmak için yalnızca bir güvenlik açığı bulmaları gerektiğine inanıyor. Ancak Cooper, Cisco tabanlı WebEx habercisinin bazı birlikte çalışabilirlik özelliklerini zaten içerdiğini de sözlerine ekledi. Microsoft Teams kullanıcıları, tek tıklamayla WebEx aramaları başlatabilir.
MIMI’nin iyimserleri
MIMI çalışma grubunun başkanı olarak Cooper, AB Komisyonu tarafından belirlenen son tarihlere şüpheyle yaklaşsa da, pratikte iyimserler ekibinin bir parçası. Hedef “çok iddialı”. AB Komisyonu bir şirketi baskın haberci operatörü (gatekeeper) olarak sınıflandırırsa ve ardından küçük bir haberci operatörü (erişim arayan) birlikte çalışabilirlik talep ederse, büyük şirketin birlikte çalışabilir metin sohbetleri sunmak için yalnızca birkaç ayı vardır. Bu nedenle, birlikte çalışabilir grup sohbetleri iki yıl sonra ve grup video görüşmeleri dört yıl sonra gelecek.
Kapı bekçilerinin birbirlerinden açılmalarını isteyip isteyemeyeceği ve Komisyonun AB’li ve AB dışı katılımcılar arasında ayrım yapıp yapmayacağı ve bunu nasıl yapacağı henüz belli değil.
MIMI çalışma grubunu da sıkı çalışma bekliyor. Matrix’e ek olarak, Berlin haberci operatörü WIRE’nin temsilcileri de spesifikasyonun bölümleri için başka önerilerde bulundu. Ve Cisco mühendisleri, Basit Numara Davet Protokolünü (SPIN) sorguluyor. Rohan Mahy, önerilen İleti Katmanı Güvenliği’ne (MLS) de önemli ölçüde dahil olan WIRE için ortak bir içerik biçimi üzerinde çalışıyor. WIRE’nin eski güvenlik başkanı ve şimdi Phoenix’in Ar-Ge CEO’su olan Raphael Robert, haberciler arasında bir “teslimat çözümü” için bir teklif sundu.
Prensip olarak, IETF kendi spesifikasyonlarına güvenmek ister. Örneğin, MIMI grubunun uçtan uca şifreleme için MLS’yi kabul ediyor olabileceğine dair bazı kanıtlar var. Mahy’ye göre bunun bir nedeni, popüler sinyalleşme protokolünün ve varyantlarının IETF topluluğunun elinde olmaması. Threema gibi mesajlaşma operatörleri de birlikte çalışabilirliği reddediyor. Mahy ise birlikte çalışabilirliğin motorlarından biridir. MIMI çalışma grubunun kurulmasını, AB’nin 2022 Dijital Piyasalar Yasasını havluya koymasından önce başlatmıştı. MLS belirtiminin tamamlanmasından sonra, WIRE için bir sonraki mantıksal adım, birlikte çalışabilirliği sürdürmektir.
Ancak IETF, haberciler arasında aracılık etmesi gereken taşıma protokolü için birkaç teklif arasından seçim yapmalıdır. Matrix’e ek olarak, eski güzel ama çok başarılı olmayan Jabber XMPP protokolü de listede ve Cisco geliştiricileri Quic’i devreye soktu.
AB Komisyonu’nun DMA’sı için ayrıca bakınız:
AB diyor ki: Bu 19 internet hizmeti için özel kurallar geçerli
(Ç)
Haberin Sonu