Birlikte çalışabilir haberciler: Çok basit bir Herkül görevi
Sadece birkaç yıl içinde, anlık mesajlaşma programları telekomünikasyonda ana hizmet haline geldi, ancak uzun süredir hakim olan telefonun aksine, birlikte çalışabilirlik eksikliği var. Pek çok kullanıcı, yalnızca birkaç haberci yükler ve çeşitli çalıştırma kavramlarını öğrenirlerse, tüm kişileri ile iletişim kurabilir. Bu, birçok müşterinin, bazı şirketlerin ve ayrıca haberci geliştiricilerinin tarafında uzun süredir bir diken olmuştur.
Ancak DMA ile ve muhtemelen gelecekte benzer bir yasanın ABD yasa koyucuları tarafından tartışılmasıyla, birlikte çalışabilir çözümler yaratma baskısı aniden çok büyük. Apple ve Facebook dahil olmak üzere baskın anlık mesajlaşma operatörlerinin, muhtemelen gelecek yıla kadar daha küçük mesajlaşma uygulamalarıyla metin mesajlaşma yetenekleri sunması gerekecek. Bu, 1 Kasım 2022’de yürürlüğe giren Dijital Piyasa Kanunu’nun 7. Maddesi tarafından zorunludur.
İnternet Mühendisliği Görev Gücü, daha sonra tüm haberci operatörlerinin kullanabileceği açık özellikler konusunda kesin yardım sağlamak istiyor. Yeni çalışma grubu More Instant Messaging Interoperability (MIMI) detayları ortaya koymak istiyor ve bu amaçla başlangıçtan itibaren kısa aralıklarla, yani iki haftada bir toplanıyor. Aradaki kısa süreye rağmen, Avrupa yasa koyucunun sürelerini karşılayıp karşılayamayacağı henüz belli değil. Kahramanlara bir bakış bazen çok farklı ilgi alanları ve çok sayıda öneri ve seçenek gösterir.
Şubat ayında şirketler, kuruluşlar ve düzenleyiciler tarafından gönderilen yaklaşık 1000 kişi, Avrupa Komisyonu tarafından düzenlenen bir çalıştaya katılarak olası çözümleri tartıştı ve gereken çabayı tahmin etti. Örneğin, WhatsApp, sinyal protokolünün bir varyantını temel alırken, iMessage, Matrix’i temel alır. Çalıştayda AB Komisyonu, kimin birlikte çalışabilirliği tam olarak taahhüt ettiği konusunda dikkat çekmedi. WhatsApp ve Facebook operatörü olarak zor kurtulacak olan Meta, nüfuz yaratmak için baş hukuk müşaviri Stephen Hurley’i Brüksel’e gönderdi.
Aslında roket bilimi değil
Matrix’in kurucularından biri olan Matthew Hodgson’a inanıyorsanız, en azından kısa mesajların iletilmesi kolay olabilir. Atölyede, bir WhatsApp ile bir GoogleChat istemcisi arasında, köprü uygulamaları ve iki matrix sunucunun aracılık ettiği bir sohbeti gösterdi. Hodgson sorulduğunda, bir Matrix geliştiricisinin bu demo için üç ila dört haftaya ihtiyacı olduğunu söyledi.
2014 yılından bu yana vakıf olarak kurulan matrix ekibi, matrix protokolünü federe bir sistem olarak ve dolayısıyla merkezi olarak kurulan messenger servislerine alternatif olarak özel olarak geliştirmektedir. Bu temelde, Bundeswehr gibi müşteriler kendi haberci örneklerini (ana sunucu) çalıştırabilir ve aynı anda diğer Matrix kullanıcılarıyla iletişim kurabilir.
Hodgson ve kurucu ortak Amandine Le Pape bu nedenle Matrix’i haberci birlikte çalışabilirliğini sağlayan bir protokol adayı olarak görüyor. Mart ayında ilk kez bir araya gelen IETF’nin MIMI çalışma grubunda, Hodgson ve meslektaşları Matrix’i kavramsal bir çerçeve ve aktarım protokolü olarak önerdiler.
Güvenlik, Gizlilik ve Anonimlik
Bununla birlikte, Sophia Celi’nin etrafındaki bazı kripto araştırmacıları, Matrix protokolünde güvenlik açıkları buldular, bu da habercilerin birlikte çalışabilirliğinin bir güvenlik sorunu haline gelmemesi durumunda daha fazla iş anlamına geliyor. Araştırmacılar, diğer şeylerin yanı sıra, birleşik ağa ev sunucularına yapılan saldırılarla sızılabileceğini göstermişti.
Hizmetler arasında aracılık yapan köprü sunucuları fikri artık terk edildi, Hodgson Brüksel’de kabul etti. Tüm habercilerin kullandığı ortak bir protokol olmadığı sürece, istemci tarafı köprülemenin aracılık etmesi amaçlanır. Mesajların şifresi yalnızca ilgili kullanıcıların cihazlarında çözülür.
Kullanıcı kimliklerini belirlemek (keşif), zordur, çünkü bunlar genellikle telefon numaralarıdır. Aynı telefon numarası aynı anda birden fazla müşteriye atanabilir, böylece belirli bir numara altında bir mesajın hangi müşteriye ulaştığı belli olmaz. Ayrıca istenmeyen okuyucular, telefon numaralarına dayalı olarak güvenilir meta verilere erişebilir.
Threema: Belirsiz bir sonucu olan zorlu görev
Bu nedenle, İsviçre şirketi Threema da dahil olmak üzere bazı operatörler, şüpheci olmasalar da birlikte çalışabilirlik konusunda çekingen davranıyorlar. Şirketin kurucu ortağı Martin Blatter, hem taşıma yolundaki içeriğin şifresini çözen ağ öğelerinin hem de aracı arabirimlerin (ağ geçidi bekçisi API’leri) büyük haberci sağlayıcıları için uygun olmadığını düşünüyor.
Ona göre her ikisi de Threema kullanıcılarının beklentileriyle çelişiyor, çünkü örneğin Gatekeeper API’leri, kullanıcı verileriyle ilgilenen WhatsApp gibi hizmetlerin işine yarayabilir. Blatter c’t’ye “Bizim açımızdan, kullanıcıların gizliliğini korumak en önemli şey” dedi.
Threema ayrıca ekonomik nedenlerle haberci birlikte çalışabilirliğini geri almak istiyor. Yaklaşık 11 milyon abonesi olan hizmet için, diğer mesajlaşma operatörlerinin ordularının aniden Threema’nın altyapısını kullanmaya başlaması ekonomik olmayacaktır. “Faturalarımızı hâlâ kendimiz ödemek zorundayız” diye açıklıyor. Ancak, Threema kullanıcıları bir kez yalnızca 5 Euro öderler. Ve Threema birdenbire tüm büyük habercilerden erişilebilir hale gelirse, küçük sağlayıcının bir ücret karşılığında daha fazla müşteriyi elinde tutmak için birdenbire argümanları tükenebilir.
İlgili çeşitli taraflar bir şartname üzerinde anlaşmaya varırsa, Blatter “en küçük ortak paydanın” yetersiz olacağından ve aynı zamanda beceriksiz olacağından korkuyor. Görüntülü aramalar ve grup sohbetleri içeren ve bunların tümü büyük ölçüde şifrelenmiş bir haberci, klasik e-posta kadar kolay değildir.
Nispeten küçük bir haberci olarak Blatter, Threema’nın komisyonun nihayetinde açılmasını talep edeceği bekçilerden biri olmadığı için “şanslı”.
Güvenlik katil karmaşıklığı
Blatter gibi şüpheciler, Edinburgh Üniversitesi’nden gizlilik araştırmacısı Ross Anderson tarafından destekleniyor. Cambridge Üniversitesi’nden meslektaşı Jenny Blessing ile birlikte, haberciyi açmaya zorlayarak güvenlik seviyesinin düşürülmesine karşı uyarıda bulunuyor.
Her ikisi de birlikte çalışabilir uçtan uca iletişimin uygulanabilir olduğuna inanıyor, “ancak bu, makul güvenlik ve kullanılabilirlik gereksinimlerini sürdürmek için kriptografik ve insan olmak üzere çok sayıda yeni protokol ve süreç gerektiriyor.” Bir servis sağlayıcının mesajları diğerine iletebilmesi için kriptografik protokollerin eklenmesi yeterli değildir. Mevcut uçtan uca şifrelenmiş uygulamaların içerdiği birçok özelliği ve protokolü de göz önünde bulundurmak gerekir.
Anderson ve Blessing, “Birlikte çalışabilir sistemin karmaşıklığı, pek çok dinamik parça nedeniyle güvenliği tehlikeye atabilir, tıpkı kilit mütevellilerin tamamen güvenli tutulsalar bile kriptografik anahtarları tehlikeye atması gibi.” Hizmetlerden birindeki güvenlik açıkları, tüm Undermining haberci ekosistemlerinin güvenliğini kolayca tehlikeye atabilir.
MIMI çalışma grubunun üç başkanından biri ve Cisco’da Ekosistem Mühendisliği Başkan Yardımcısı olan Alissa Cooper, saldırganların birçok hizmete saldırabilmeleri için yalnızca bir güvenlik açığı bulmaları gerektiğine inanıyor. Cooper, yine de, Cisco destekli WebEx habercisinin bazı birlikte çalışabilirlik özelliklerini zaten içerdiğini ekledi. Microsoft Teams kullanıcıları, bir tıklamayla WebEx aramaları başlatabilir.
MIMI iyimserleri
MIMI çalışma grubunun başkanı olarak Cooper, AB Komisyonu tarafından belirlenen son tarihler konusunda şüpheci olsa da, pratikte iyimserler ekibinin bir parçası. Hedef “çok iddialı”. AB Komisyonu bir şirketi baskın haberci operatörü (gatekeeper) olarak sınıflandırırsa ve ardından küçük bir haberci operatörü (erişim arayan) birlikte çalışabilirlik talep ederse, büyük şirketin birlikte çalışabilir metin sohbetleri sunmak için yalnızca birkaç ayı vardır. İki yıl sonra birlikte çalışabilir grup sohbetleri ve dört yıl sonra grup video görüşmeleri yapılmalıdır.
Kapı bekçilerinin birbirlerinden açılmalarını isteyip isteyemeyeceği ve Komisyonun AB’li ve AB dışı katılımcılar arasında bir ayrım yapıp yapmayacağı ve nasıl bir ayrım yapacağı hala belirsiz.
MIMI çalışma grubunu da çok çalışmak bekliyor. Matrix dışında, Berlin haberci operatörü WIRE’nin temsilcileri de şartnamenin bazı bölümleri için başka önerilerde bulundu. Ve Cisco mühendisleri, Numaraları Davet Etmek için Basit Protokol’ü (SPIN) tartışıyorlar. Rohan Mahy, önerilen İleti Katmanı Güvenliği’ne (MLS) de önemli ölçüde dahil olan WIRE için ortak bir içerik biçimiyle ilgileniyor. Eskiden WIRE’de Baş Güvenlik ve şimdi Phoenix’te Ar-Ge CEO’su olan Raphael Robert, haberciler arasında bir “teslimat çözümü” için bir teklif sundu.
Prensip olarak, IETF kendi spesifikasyonlarına güvenmek ister. Örneğin, MIMI grubunun uçtan uca şifreleme için MLS üzerinde anlaşabileceğine dair bazı kanıtlar vardır. Mahy’ye göre bunun bir nedeni, yaygın sinyal protokolünün ve varyantlarının IETF topluluğunun elinde olmaması. Threema gibi haberci operatörleri de birlikte çalışabilirliği reddediyor. Öte yandan Mahy, birlikte çalışabilirliğin itici güçlerinden biridir. MIMI çalışma grubunun kurulmasını, AB’nin 2022 Dijital Piyasalar Yasasını havluya koymasından önce başlatmıştı. MLS spesifikasyonunun tamamlanmasının ardından, WIRE’nin bir sonraki mantıksal adımı, birlikte çalışabilirliği sürdürmektir.
Ancak IETF, haberciler arasında arabuluculuk yapması beklenen taşıma protokolü için birçok teklif arasında seçim yapmak zorundadır. Matrix’e ek olarak, eski güzel ama çok başarılı olmayan Jabber protokolü XMPP de listede ve Cisco geliştiricileri Quic’i devreye soktu.
AB Komisyonu’nun DMA’sı için ayrıca bakınız:
AB bildiriyor: Bu 19 İnternet hizmeti için özel kurallar geçerli
(Ç)
Haberin Sonu