İnternette Kriptolu İletişim ve Hukuki Altyapısı (VPN-TOR-Kriptolu Mail vb.)

A) İnternette Kriptolu İletişim Nedir ?

Şifreleme/kriptografiye dayalı uygulamalar, kadim çağlardan beri iletişimin/mesajın yalnızca belirli kişiler arasında bilinebilir olması amacıyla gerçekleştirilen çeşitli yöntemlerdir. Kriptolu iletişim fiziksel ortamda olabileceği gibi internet üzerinden siber uzaya özgü faaliyetler şeklinde de gerçekleşebilir.

Teknolojinin gelişimiyle birlikte bilişim sistemleri ve internet toplumsal hayata girmiş, böylece iki vatandaş kendi aralarında tıpkı eski çağların şifreli mektupları gibi şifreli mesajlar içeren bir mail de gönderebilme imkanına kavuşmuştur. Üstelik teknoloji sayesinde bu maili şifreleyen de kendileri değil, arka planda çalışan yazılım olabilmektedir.

Teknolojinin gelişimiyle birlikte internet ortamındaki kriptolu iletişim; kamu kurumları, ordu, kolluk veya istihbarat birimlerinin tekelinden çıkarak, neredeyse yediden yetmişe herkesin kullanımına sunulmuş durumdadır. Bugün için internet trafiğinin bir kısmını veya tamamını kriptolamak, son kullanıcılar açısından son derece basitleşmiştir. Örneğin en basit şekliyle Whatsapp gibi bir çok uygulama, kullanıcı isteğine bakılmaksızın fabrika ayarlarıyla kendi özelinde bu kriptolamayı gerçekleştirir. SSL ve türevlerini kullanan site/uygulamalarda da kullanıcıya bu yönde ek bir külfet getirilmeden, tek taraflı kriptolama yapılır. Bazı tarayıcılarda ise tarayıcı vasıtasıyla ulaşılan sunuculara yönelen trafiği veya paylaşılan dosyaları kriptolayan eklentiler sunulduğu gibi doğrudan bu işleve sahip TOR gibi spesifik tarayıcı yazılımları da mevcuttur. VPN’ler de istemci ile sunucu arasında akan trafiği kriptolamada en yaygın yöntemlerden biridir. Yine anonimliği ve siber güvenliği önceleyen bazı işletim sistemleri, doğrudan bu tür ayarlar ile kurulacak vaziyette son kullanıcıya sunulmaktadır. Doğrudan modem/router tipi cihazlar ile de ağ trafiğini kriptolamak mümkündür.

Aşağıda internetteki kriptolu iletişim; bu yönde en yaygın olarak her türden internet kullanıcısı tarafından müspet ya da menfi amaçlarla kullanılabilen VPN-TOR teknolojileri ve daha çok kurumsal iletişimde kullanılan kriptolu mail yazılımları özelinde aktarılacak, bu aktarımlar sırasında da okuyuculara bu teknolojilerin kullanımının ne gibi hukuki meseleleri doğurduğu, benimsenen şahsi görüşler ışığında açıklanmaya çalışılacaktır.

B) VPN-TOR ve Ağ Trafiğinin Kriptolanması

(TOR’un iki temel işlevi mevcut olup, bunlardan biri istemci temelli veri güvenliği+anonimlik, ikincisi ise sunucu temelli anonimlik ve herkesçe bilinemeyen/ulaşılamayan internet sitesi yayınlayabilme imkanıdır. Bu makalede ise salt veri güvenliği ve anonimliğe dair yönü incelenecektir. TOR’un .onion ağı ise bu makalenin konusu değildir.)

Bir cihaz eğer yerel ağından WAN/internet ağına çıkarken VPN ya da TOR çalıştırılıyorsa; istemci ile sunucu arasında gerçekleşen veri trafiği, üçüncü taraf sunucu (veya birden çok sunucular ağı) üzerinden geçirilir. Bu akış sırasında da veri trafiği, trafiğe dahil olan cihazlardaki VPN ve TOR teknolojisini işleten yazılımlar tarafından şifrelenir/kriptolanır. (VPN-TOR ve benzeri teknolojiler ile vekil sunucu/proxy kullanımı arasındaki temel farklardan biri de budur.)

Veri trafiğinin kriptolanması, evvela bir siber güvenlik neticesi yaratır ve TCK md. 243/4 ile Siber Suçlar Sözleşmesi md. 3’te düzenlenen ‘’araya girme‘’ suçunun failinin amacına ulaşamamasını sağlar. Öyle ki bu teknolojiler sayesinde ağ trafiğine sızan yani sunucu ile istemci arasına giren hacker/fail, veri paketlerinin içeriğine erişse dahi kriptoyu kıramadığı sürece iletişimden anlamlı bilgiler çıkartamaz. Ancak şüphesiz ki bir internet iletişiminde bu iletişimi izlemeye niyetlenen kişiler yalnızca siyah şapkalı hackerlar olmayabilir. Rıza dahilinde yapılan sızma testleri ve beyaz şapkalılar es geçilirse, bu tür teknolojiler esas olarak adli bilişim ve istihbarat faaliyetlerini zora sokabilir ki bu netice de suçlulara karşı siber güvenlik kalkanı işlevinden çok, ‘’devlete karşı anonimlik/gizlilik‘’ ile ilgilidir. Bu teknolojilerin kullanımı neticesinde ayrıca, veri trafiğine aracı cihaz/sunucular girdiği ve istemci IP’si değiştiği için erişim engellerinin atlatılabilmesi gibi bir hukuki mesele de gündeme gelmektedir.

C) Doğrudan Mail veya Mesaj/Dosya İçeriğini Kriptolayan Yazılımlar

Bazı yazılımlar ise veri trafiğine dair kısmi işlemleri ya da doğrudan ağ üzerinden geçen tüm trafiği kriptolamak yerine, spesifik olarak iletişimdeki belirli mesaj ya da dosyaları kriptolar ve iletişim sonlandıktan sonra da anahtarlar devreye girene kadar şifrelenmiş yapı korunur. Özel hukuk kişilerinin kullanımına sunulan bu tür yazılımların öncüsü, geçmişte daha çok siber aktivistlerin güvenli iletişim ağlarını oluşturmak amacıyla kullandığı PGP’dir. Çoğu farklı formatlardaki dosyaları kriptolayabilen türlü yazılımlar da mevcut olup, sadece belirli dosya formatlarını kriptolayan yazılımlar da mevcuttur. Bu yönde salt kriptolu mail iletişimi için Outlook’a yönelik resmi eklentiler de geliştirilmiştir. Kamu kurumları için ASELSAN’ın da kriptolu mesaj/mail teknolojisi mevcuttur.[1]

İletişimin alıcı tarafı kriptoyu çözen anahtarı kullanarak şifrelemeyi kaldırmaz ise mesaj/dosya içeriği ya hiç açılamaz ya da mail örneklerinde olduğu gibi mesaj içeriği anlamsız ifadeler şeklinde görünür. (Anahtar kullanımı, direkt olarak karşıda çalışan yazılımın girdiği bir kod olabileceği gibi alıcı taraf ayrıca bir şifre girebilir veya e-imza örneklerinde olduğu gibi donanım tabanlı ek bir anahtar da kullanılabilir.) Bu şekilde, TCK md. 243/1’de düzenlenen ‘’bilişim sistemine girme‘’ suçunu işleyen bir hacker/failin, bilişim sistemine girdiği zaman verilere ulaşsa bile kriptoyu çözecek anahtarı çalıştıramadan veri dosyalarını hiç açamaması ya da açılan dosyalardaki içeriklerden anlamlı bir sonuç çıkartamaması sağlanır. (Örneğin ‘’merhaba’’ şeklindeki mesaj, kripto çözülmez ise dosyayı açan kişi tarafından ‘’xlsa931*-sadai’’ ve sair şekillerde anlamsız biçimde algılanır) Madalyonun diğer yüzünde ise bu tür kripto uygulamalarının, CMK md. 134 ve benzeri normlarda öngörülen ‘’durağan verilerde aramaya‘’ yönelik adli bilişim faaliyetlerinde zorluk çıkartma ihtimali gündeme gelebilir.

D) Türk Hukukunda İnternet Ortamında Kriptolu İletişime Dair Düzenlemeler

Ülkemizde siber güvenliğe dair mevzuat çalışmaları, SOME’ler ve USOM’dan başlayarak, sektörel spesifik düzenlemelere ve dolaylı olarak da KVKK sisteminde verilerin elektronik ortamda güvenle saklanışına dair normlar ve Kurul kararlarına varan geniş bir alana yayılmıştır. Mevzuata uygun ve üstün derecede bir siber güvenlik için ise; TOR değilse bile VPN’ler veya dosya şifreleme teknolojileri, sair siber güvenlik önlemleriyle birlikte bilişim sistemlerinin/verilerin güvenliği yönünden genellikle başvurulan teknolojilerdir.

Özel olarak VPN’ler veya sair teknolojiler şeklinde detaylandırılmasa da kriptografiye dayalı teknolojilerin elektronik haberleşme ortamında kullanımı, mevzuatta genel manasıyla düzenlenmiştir. En başta internet iletişiminin de içerisinde yer aldığı çatı kavram olan ‘’elektronik haberleşme‘’ alanındaki Elektronik Haberleşme Kanunu’nda, kriptolu iletişime dair spesifik normlar mevcuttur. Bunlar Elektronik Haberleşme Kanunu’nun kodlu ve kriptolu haberleşme başlıklı 39. maddesi, 39. maddeye aykırı olarak kodlu ve kriptolu haberleşmeyi suç sayan md. 63/6 ve 39. maddeyi detaylandıran Kamu Kurum ve Kuruluşları ile Gerçek ve Tüzel Kişilerin Elektronik Haberleşme Hizmeti İçinde Kodlu veya Kriptolu Haberleşme Yapma Usul ve Esasları Hakkında Yönetmelik hükümleridir. İkinci maddesine göre yönetmelik; elektronik haberleşme hizmeti içinde kodlu veya kriptolu haberleşme yapmaya yetkili Türk Silahlı Kuvvetleri, Jandarma Genel Komutanlığı, Sahil Güvenlik Komutanlığı, Milli İstihbarat Teşkilatı Müsteşarlığı, Emniyet Genel Müdürlüğü ve Dışişleri Bakanlığı ile bu kurumlara ait kodlu veya kriptolu elektronik haberleşme sistemlerinin kullanıldığı kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler hariç, diğer kamu kurum ve kuruluşları ile gerçek ve tüzel kişileri kapsamaktadır.

Evvela belirtmek gerekir ki Cumhurbaşkanlığı’nın Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 s. Genelgesi’nde, yönetmelik ile paralel bir yapıya sahip ve bu yönde genel ilkeler ortaya koyan bir kısım hükümler mevcuttur. Örneğin Genelge’ye göre ‘’mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır‘’. Kamu Kurum ve Kuruluşları ile Gerçek ve Tüzel Kişilerin Elektronik Haberleşme Hizmeti İçinde Kodlu veya Kriptolu Haberleşme Yapma Usul ve Esasları Hakkında Yönetmelik md. 6/7’ye göre ise kamu kurum ve kuruluşları tarafından kullanılan kodlu veya kriptolu haberleşme sistemlerinde tasarımı ve üretimi Türkiye’de yapılan milli kripto cihazlarının kullanılması esastır.

Yönetmelik md. 5’te Elektronik Haberleşme Kanunu’nda belirtilen istisnai kurumlar haricindeki tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin yönetmelik hükümlerine aykırı olmamak kaydıyla kodlu ve/veya kriptolu haberleşme yapabileceği belirtilmektedir. Yönetmeliğin 10. maddesinde ise yönetmelik hükümlerine aykırılık halinde, kodlu veya kriptolu elektronik haberleşme cihazı/sistemi kullanıcı ve üreticileri için Elektronik Haberleşme Kanunu’nun yaptırımlara dair md. 60 ve 63 normlarına yollama yapılmıştır.

Yönetmelikte, yönetmelik hükümlerine aykırı olmamak kaydıyla kodlu ve/veya kriptolu haberleşme yapabileceği belirtilmiş ise de yönetmelikte genel olarak son kullanıcılara değil, bu cihaz/sistemlerin imal, ithal ve kullandırılmasına yönelik normlar mevcuttur. Yalnızca yedinci maddede, sahip olunan kodlu veya kriptolu elektronik haberleşme sistemlerine ilişkin olarak BTK’dan izin almadan cihaz/sistemlerin teknik özelliklerinde donanım ve yazılım bazında herhangi bir değişiklik ve tadilat yapılamayacağı belirtilerek, aksi durumda suç duyurusunda bulunulacağı düzenlenmiştir.

Yönetmeliğin 8. maddesinde, kodlu veya kriptolu elektronik haberleşme cihaz/sistemi kuran ve işleten kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin, sistemlerinin yetkisiz kimselerin eline geçmesini ve yetkisiz kişilerce kullanılmasını engelleyici muhafaza tedbirlerini almakla mükellef oldukları düzenlenmiştir. Üreticiler tarafından yönetmelik hükümlerine uygun olarak BTK’ya teslim edilecek olan kodlu veya kriptolu elektronik haberleşme cihaz/sistemlerine ait kod veya kripto algoritması ve anahtarları ise BTK’nın veri merkezinde muhafaza edilecektir.

Yönetmelik md. 4’e göre kripto, güvenli veri iletimi ve saklanması amacıyla mesajların şifrelenmesini, kodlu haberleşme ise haberleşmenin üçüncü şahıslar tarafından anlaşılmaması için mesajların önceden üzerinde anlaşılmış bir koda göre değiştirilerek iletilmesini ifade etmektedir. VPN-TOR vb. ile kriptolu mail/dosya iletimine yönelik teknolojilerin bu tanımların kapsamına girdiği yönünde bir görüş ileri sürülebilir. Fakat Elektronik Haberleşme Kanunu ve ilgili Yönetmelik’teki düzenlemeler yalnızca kripto ve kodlu haberleşme özelinde yapılmamış, düzenlemeler kodlu/kriptolu iletişimin daha kısıtlı bir alanına indirgenmiştir. Öyle ki kanun ve yönetmelik hükümlerinde ‘’telsiz sistemleri‘’ ve ‘’elektronik haberleşme cihazları ve/veya sistemleri‘’ üzerinden düzenlemelere gidilmiştir. İlgili kavramların Elektronik Haberleşme Kanunu’ndaki normatif tanımları ile Kamu Kurum ve Kuruluşları ile Gerçek ve Tüzel Kişilerin Elektronik Haberleşme Hizmeti İçinde Kodlu veya Kriptolu Haberleşme Yapma Usul ve Esasları Hakkında Yönetmelik md. 4’teki kriptolu elektronik haberleşme cihazının tanımı incelendiğinde ise VPN-TOR vb. ile kriptolu mail/dosya iletimine yönelik yazılım temelli teknolojilerin bir elektronik haberleşme sistemi/cihazı olmadıkları ve bu sebeple mevcut düzenlemelerin kapsamına girmedikleri sonucuna varılmaktadır. Router tipi cihazların veya güvenlik duvarı sistemleriyle entegre çalışan sair donanımların ise mevcut düzenlemelerin lafzi kapsamı dahilinde olduğu sonucuna ulaşılabilir. Lakin şahsi görüşümüze göre ağ/veri güvenliği amacıyla kullanılan bu cihazlar, Kamu Kurum ve Kuruluşları ile Gerçek ve Tüzel Kişilerin Elektronik Haberleşme Hizmeti İçinde Kodlu veya Kriptolu Haberleşme Yapma Usul ve Esasları Hakkında Yönetmelik hükümlerinin düzenlenme amacı kapsamı dışındadır.

Bu düzenlemelerin belirli yazılımlara değil, telsiz ya da telefon gibi doğrudan haberleşmeye yarayan ve kriptolu iletişim yapacak şekilde üretilen özel cihazlara ve bunlara dair özel elektronik haberleşme altyapı sistemlerine yönelik olduğunu düşünüyoruz.(Örneğin internetin kendisi kriptolu bir ağ değildir. Kullanıcılar çeşitli yazılımlar ile kendi trafiklerini kriptolayabilirler. Fakat spesifik olarak kablolu-kablosuz bazı ağ yapıları, bizatihi kriptolu bir yapıya sahip olabilir.)

E) Değerlendirme ve Düşünceler

Kriptolu internet iletişimine dair daha çok devlet birimlerinin iletişim güvenliğine ve yerliliğe dair normları içeren genel nitelikteki düzenlemeler yukarıda aktarılmaya çalışıldı. Bu düzenlemeler haricinde kolluk, ordu veya istihbarat birimleri ile sair kurumların çeşitli alt derece normlarında kriptografiye yönelik daha ayrıntılı normlar bulunabilir. İnternet hukuku açısından esas önemli nokta, son kullanıcıların bu teknolojileri edinimi ve kullanımına dair normlardır. Mevzuatımızda bu tür normlara ise fazlaca yer verilmemiştir. Bu yönde bir zaruret görünmese de kanaatimizce; kamu kurumlarının, kolluk, ordu veya istihbarat birimlerinin kullandığı teknolojiler haricinde, son kullanıcı konumundaki özel hukuk kişilerinin kullanımında olan, doğrudan belirli dosya ya da mesajların içeriğini kriptolayan(veri trafiğini değil) uygulama yazılımlarına dair daha derinlikli normların oluşturulması değerlendirilebilir.

Örneğin kriptolu mesajlaşma ağı kuran bir uygulama yazılımı, bugün AppStore-GooglePlay ve bunların çok ötesindeki alternatif marketlerden ya da internet sitelerinden bedelsiz şekilde indirilebilmektedir. Bu noktada ilk etapta bir sorun yoktur. Hatta veri güvenliğine böylesine kolay bir ulaşımın müspet bir etti yaratacağı dahi söylenebilir. Fakat bedelsiz olarak sunulan bir kısım uygulamaların veri merkezlerine, anahtarların ne şekilde oluşturulup saklandığına, İSS’lerin esas niyetlerine ya da anahtarların ve verilerin kimlerle paylaşıldığına dair kimi zaman resmi bir açıklama ya da muhatap bulunamayabilir. Bu durum ise belirli riskler yaratır. Bu risklerden biri gerçekleştiğinde, özellikle alternatif marketlerde sunulabilen bir takım kapalı kutu uygulamaların ardındaki İSS’lerin tespiti ve gerektiğinde ulusal/uluslararası adli bilişim faaliyetleri ile veri paylaşımında bulunup bulunmayacaklarına yönelik sorunlar gündeme gelebilir.

Burada önemsenmesi gereken temel nokta; bir yazılımın gerek hackerlar gerekse devletlerden gelen ‘’hukuka aykırı‘’ ve Siber Suçlar Sözleşmesi kapsamında kalacak fiillere karşı veri güvenliğini sağlaması, lakin aynı zamanda da ulusal/uluslararası hukuka uygun adli bilişim faaliyetlerine saygılı olması yahut en geniş çerçevede tamamen karşı-adli bilişim amaçlı bir uygulama olmaması gereğidir. Arkasındaki yapı bilinmeyen bir yazılım, veri güvenliğini sağlamayan ve görünürdeki amacının aksine doğrudan kullanıcıların verilerini çalan bir yapıya sahip olabileceği gibi kurumsal veri güvenliği değil salt karşı-adli bilişimde kullanılmak amacıyla çeşitli gruplar tarafından geliştirilmiş de olabilir. Öyleyse gerek olası adli bilişim faaliyetlerinin ekstrem derecede zorluklarla karşılaşmaması ve daha da önemlisi kullanıcı verilerinin güvenliği gayesiyle; bu tür yazılımların üretim-sertifikasyon-son kullanıcıya sunuluş süreçlerine dair bir kısım sınırlandırıcı normatif düzenlemelere gidilebileceği düşüncesi dile getirilebilir. Bu tür yazılımlar malware/spyware/ransomware sınıfı yazılımlar gibi zarar verici potansiyele sahip olmadığından, bunların kullanımına-kabulüne-satın alımına-indirilmesine-başkalarına verilmesine ve sair son kullanıcı işlemlerine dair sınırlayıcı düzenlemelere gidilmesine ise gerek yoktur.

Son olarak, yukarıda değinildiği üzere VPN’ler ve kriptolu mail iletişimi bizce bu düzenlemeler içerisinde değerlendirilmemektedir. Lakin kamu kurumlarında (çalışanların şahsi cihazlarından yaptığı kamu faaliyeti ile ilgili iletişimlerde bile) siber güvenlik amacıyla VPN ve kriptolu mesaj/dosya paylaşım teknolojilerinin kullanımının zorunlu olması, kullanılan teknolojilerin de yerli ürünler olması yönünde normatif düzenlemelere gidilmesi gerektiğini düşünüyoruz.