Truecrypt hala güvenli mi?

Her ne kadar geliştiricileri tarafından güvensiz olduğu gerekçesiyle sonladırılmış olsada, ben bu açıklamaya inanmıyor, Truecrypt şifreleme yazılımının hala güvenli olduğuna inanıyor ve doğru kullanıldığunda -en azından Türkiye’de- kırılamayacağını iddia ediyorum.

Öncelikle 2013 yılında Lavabit’in kapatılmasını ve ardından gelen açıklamaları anımsayalım. Bu şifreli e-mail servisi sahibi tarafından kapatılmış ve bu kişi ‘kanuni’ nedenlerden bir açıklama yapamayacağını söylemişti. Sonrasında, üyelerinin güvenliğini/bilgilerini Amerikan hükümetine satmak yerine servisi tamamen kapatmayı tercih etmiş bir halk kahramanı olduğunu öğrendik.

2008 Satyagraha Operasyonu, 2012 John Doe davası veya 2014 James DeSilva tutuklamasında Truecrypt şifrelemesini aşamayan CIA, FBI ve NSA uzun yıllardır bu gönüllü oluşumun peşindelerdi. Öte yandan yıllardır şifrelemeyi kanun çıkararak illegal hale getirmeye çalışıyorlar. ABD’nin bazı eyaletlerinde şifreleme illegal oldu bile, keza İngiltere’de polise şifreyi söylemezseniz 2 yıla kadar, ulusal güvenlik sözkonusu ise 5 yıla kadar hapis cezası alabilirsiniz.

Sıklıkla konuşulan programda NSA’in arka kapısı (backdoor) olduğu teorisin doğru olması uzak bir ihtimal. Çünkü Truecryptaçık kaynak kodlu bir projedir, bir backdoor olsa kaynak kodlarından hemen anlaşılırdı. Bu backdoor teorisinin Truecrypt‘in EXE dosyası ile ilgili olduğunu varsaysak bile, son versiyonun exe’si geçen yıl çıkan bir önceki exe ile aynı olduğu hash değerinden anlaşılıyor. Eğer bir açık olsaydı 2014 yılı boyunca yakaladıkları Truecrypt kullanan şüphelilerinin şifrelerini çoktan kırmışlardı.

Komplo teorilerini bırakıp programın nasıl doğru olarak kullanılacağına bakalım. Verinizi sonsuza kadar güvende tutmak için, Truecrypt kullarak diskinizi şifrelerken (Full disk encryption) birkaç noktaya dikkat etmeniz gerekiyor.

Öncelikle Truecrypt’in de önerdiği üzere en az 20 karakterli, büyük küçük harf rakam ve semboller içeren bir şifre seçmelisiniz. O kadar karakteri ezberleyemeyeceğinizi veyahut unutabileceğinizi düşünüyorsanız, kendinize 7 karakterli bir şifre seçin ve 3 defa aynısını tekrarlayın. Örneğin P0l1s!k# gibi hatırlayabileceğiniz bir diziyi P0l1s!k#P0l1s!k#P0l1s!k# şeklinde kullanabilirsiniz. Bu şifreniz asla sözlüklerde geçmeyen bir kelime olmalı, kağıtta veya herhangi başka bir yerde yazmamalıdır. Ayrıca şifrenizi kimseye söyleyemeyiniz ve başka bir web sitesinde veya yazılımda kullanmayınız.

İkinci olarak şifre algoritması seçimi geliyor, Truecrypt’in varsayılan olarak önerdiği AES yerine listede AES-Twofish-Serpent adındaki basamaklı algoritmayı seçiniz. Hash algoritması olarak da 512 bitlik Whirlpool’u kullanarak verinizi çok daha güçlü bir şekilde şifrelenmiş hale getirebilirsiniz.

NSA’İN KIRAMAYACAĞI ŞİFRELEME

Der Spiegel’de yayınlanan Edward Snowden kaynaklı yazıda, NSA şifreleme programlarını kırılabilme güçlüğüne göre 1 ile 5 arasında puanlamıştı. Şifreli Facebook yazışmaları en basit şekilde kırılabilecekler arasında 1 puan alırken, PGP ve Truecrypt 5 puanla kırılması çok zor şifreleme sistemleri arasında yer alıp, katastrofik olarak açıklanmıştı. Aynı yazıya göre NSA, güvenli olarak bilinen HTTPS ve VPN bağlantılarına müdahale edebiliyor.

Peki Truecrypt’i kıranlar (veya kırdığını iddia edenler) nasıl kırıyor diyeceksiniz, aslında birkaç yolu var.

1 – Şifreniz sözlük atağıyla kırılabilecek kadar basit veya Brute-force atağı ile kırılacak kadar kısadır. (Bu işlem Linux’da CUDA framework’u üzerinde çalışan Truecrack programı ile NVidia grafik kartlarının CPU’ları kullanılarak yapılır, fakat bu durumda dahi şifreyi bulmak yetmez, doğru şifreyi doğru şifreleme algoritması ile denemek gerekir)

2 – Aynı şifreyi başka biryerde kullanmışsınızdır. Örneğin size ait başka bir bilgisayardaki tüm kelimeler export edilerek bir sözlük oluşturulur ve 1 numaralı yöntem uygulanır.

3 – Truecrypt çalıştırıp bilgisayarı kapatmamışsanız, volume’ü dismount etmiş olsanız bile RAM’in imajı alınarak encryption key’lere ulaşılabilir. (Bak: Cold Boot attack / Live Memory Forensics)

4 – Keylogger veya malware bulaştırarak şifreyi kurbandan temin edilebilir.
5 – İşkence yaparak şifreyi söyletirler 🙂

Sonuçta, eski NSA çalışanı Edward Snowden, TrueCrypt’i hala güvenli olarak nitelendirip kullandığını ifade ediyor. Ben de TrueCrypt projesinin güvensiz olduğundan ziyade Amerikan hükümetinden gelen baskılar neticesinde sonlandırıldığını düşünüyor ve kullanmaya devam ediyorum.