Tor Onion ProtonMail’in devlet sansürünü aşmak için kullanacağı can simidi olacak.
İsviçre menşeli PGP end-to-end (uçtan-uca) şifreli e-posta sağlayıcısı Proton Mail artık kullanıcılarının Tor anonim network’üne doğrudan bir bağlantı üzerinden erişim sağlayabilecekleri bir ‘Onion adresi’ sunuyor. Firma bunu devlet destekli sansüre karşı savunma maksatlı aktif bir önlem olarak tanımlıyor.
E2e şifreli e-posta servisine 2 milyondan fazla kullanıcıya sahip olan girişimci firma, bir yıl önce beta versiyon yayınlamıştı. Geçtiğimiz yıl ‘Signal’ isimli şifreli mesajlaşma uygulamasının Mısır’da engellenmesi, İngiltere’deki web aktivitelerinin takibini kontrole alacak genişletilmiş gözlem tasarısının parlamentodan geçiyor olması ve aynı zamanda firmalardan e2e (end-to-end) şifreleme ve arka-kapı ürünlerin kullanılmamasını talep edecek olması gibi durumlara atıfta bulunan firma, güçlendirilmiş seviyedeki gizlilik araçlarının devlet seviyesinde yasaklanması riskinin artmasından endişe ettiğini belirtiyor.
Firma aynı zamanda Donald Trump’ın Amerikan başkanı seçilmesinden sonra servise üye olanların sayısında ciddi bir artış yaşandığını gözlemledi. Belli ki bunlar, gelmekte olan başkomutanın geniş dijital takip güçlerine sahip olacağına dair emareleri görüp, Amerika kaynaklı olmayan güvenli e-posta sağlayıcıları arayışına yönelen kullanıcılardan oluşuyor.
“ProtonMailin son zamanlardaki büyüyüşünü göz önünde bulundurursak, servisin bazı ülkelerde sansürleneceğinin kaçınılmaz olduğunun farkındayız. Dolayısı ile buna engel olmak için yoğun bir şekilde çalışıyoruz” diyor firma ortağı Andy Yen bir açıklamasında. “ Tor bazı internet engellemelerini aşmak için bir yol sağlıyor. Dolayısıyla Tor’la uygunluğumuzu geliştirmek doğal olarak ilk adımımız olacak”.
Tor browser kullanıcıları ProtonMail’e, servisin yeni onion adresi olan ‘https://protonirockerxow.onion’ adresi üzerinden doğrudan erişim sağlayabilirler.
Aynı zamanda Tor’da, ProtonMail kurulumunun nasıl yapılabileceğini gösteren talimatlar burada yer alıyor.
IP adresleri anonim olacak
ProtonMail’e Tor üzerinden erişim sağlayan kullanıcılar bağlantılarını anonimleştirmiş olacaklar (yani e-posta servisi kullanıcıların gerçek IP adreslerini göremeyecek ve dolayısı ile ortaya çıkarmak için zorlama yapamayacak).
Tabii ki PRotonMail’in ana sitesine Tor üzerinden erişim sağlamak halen mümkün fakat onion adresine doğrudan bağlanmanın birkaç avantajı olduğu belirtiliyor. Örneğin; e2e şifrelemenin Tor seviyesinde sağlanması (yani Tor’un uyguladığı şifrelemenin, bağlantı ProtonMail’in altyapısına ulaşana kadar devam etmesi. Onion Tor bağlantısının olmadığı doğrudan Tor üzerinden yapılan erişimlerde son nodül gerisinde Tor şifrelemesi bulunmuyor). Böylelikle olası bir saldırganın kullanıcının bağlantısı üzerinde man-in-the-middle saldırısı uygulaması zorlaştırılmış oluyor.
ProtonMail’in belirttiğine göre, Onion sitesi aynı zamanda, internet ortamında bir çokları tarafından kullanılan ‘Certificate Authority’ sisteminin zaaflarının azaltılmasına yardımcı oluyor. Bir çok CA sertifikaları temelde güvenilir olarak kabul edilirler. Fakat bunlardan bazıları doğrudan hükümet kontrolünde olabilir. Bu sebeple servis HTTPS only bağlantılarda da onion sitesi kullanıyor. Böylelikle Tor’un kendisi ödün vermeye zorlanırsa bile, bu bağlantılar yedeklenmiş olacak.
Bu çalışmayla ilgili bir blog’da “ Eğer bir gün Tor bir şekilde ele geçirilirse, HTTPS-zorlaması son kullanıcı için başka bir güvenlik katmanı oluşturmuş oluyor. Benzer olarak Tor aynı zamanda HTTPS’nin kontrol altına alındığı durumlar için de güvenlik sağlıyor. HTTPS’nin kontrole alınması kavramı üzerinde ciddiyetle durduğumuz bir konu. Zira prensipte güvenilir olarak nitelenen yüzlerce CA sertifikasının bir çoğu yüksek riskin olduğu ülkelerde doğrudan devlet kontrolü altında” şeklinde bir yazı mevcut.
“ Dolayısı ile onion sitemizi kullanarak gönderilen e-postalarınız üç katlı uçtan-uca şifreleme ile korunuyor olurlar. E-posta korunmasında üst katmanda Tor şifrelemesi, orta katmanda HTTPS ve en alt katmanda ise PGP bulunuyor”.
Tor gizli servisinin kullanılmaya başlanmasının altında yatan diğer bir motive edici etkenin DDoS saldırılarına karşı savunma sistemlerini güçlendirmek olduğu belirtiliyor. Onion sitesinin fiziksel konum ve IP adresinin belirlenmesini saldırganlar için daha zorlaştıracağı düşüncesi baz alınırsa, ProtonMail’in web adresini çökertecek olası bir sürekli DDoS saldırısı durumunda servise erişim noktasında geçici bir çözüm sağlanmış olabilecek.
ProtonMail bu tip ciddi bir sorunu Kasım 2015 yılında e-posta servisinin 24 saatten uzun bir süreyle çökmesiyle yaşamıştı. Yen, TechCrunch’a, servisin hala DDoS saldırılarına rutin olarak maruz kaldığını, fakat buna rağmen servisin savunma ve şebeke sistemlerinin şu anda kullanıcının etkilenmesine meydan vermeden direnç gösterecek potansiyele sahip olduğunu belirtti.
“ Yani Tor’un standart DDoS saldırılarına olan direnci bizim için ilginç bir şey. Özellikle de DDoS saldırılarının geçtiğimiz yıl içerisinde sürekli olarak büyümüş olması nedeniyle” şeklinde konuşan Yen, ” bununla birlikte bu konunun karşı karşıya olduğumuz sertifika yetkilendirme sistemi ve devlet destekli sansür sorunlarına kıyasla ikincil bir konu ” olduğunun da farkında olduklarını belirtiyor.
ProtonMail’in onion sitesi bu aşamada ‘deneysel’ olarak tanımlanıyor, dolayısı ile sitenin uyarı güvenilirliği standart sitemizde olduğu kadar yüksek olmayabilir. Tor kullanıcılarının genellikle maruz kaldıkları yaygın yavaş bağlantı sorunu da bir diğer dezavantaj.
“ Tor olmadan da ProtonMail gelen kutunuz PGP uçtan-uca şifreleme, güvenli yetkilendirme (SRP) ve tercihe bağlı olan ‘çift-faktörlü yetkilendirme’ ile güçlü bir şekilde korunuyor. Bununla birlikte ProtonMail’in, Tor tarafından sağlanan ekstra güvenlik ve anonimleştirmenin hayat kurtarıcı olabileceği hassas durumlarda olan kullanıcıları da var.”
