Duyuru, Paris koridorlarında gerçek bir “bağımsızlık çığlığı” gibi yankılandı: Başbakan, hükümetin WhatsApp ve Signal’i terk edip “yerli” olarak sunulan Olvid’i kullanmasını emretti. Hedef netti: devlet sırlarını yabancı istihbarat teşkilatlarından korumak.
Ancak kısa sürede acı bir ironi ortaya çıktı: Olvid’in kalbi — sunucu altyapısı — bir Amerikan devi olan Amazon Web Services (AWS) içinde atıyordu.
Halk için bu basit bir teknik barındırma sorunu gibi görünüyor. Ancak egemen siber güvenlik mimarları için bu, birinci dereceden bir siyasi güvenlik açığıdır.
Sınır Aşan Yargı Yetkisi ve Egemenlik Çatışması
Amazon altyapısına dayanarak Olvid, otomatik olarak ABD’nin CLOUD Act yörüngesine girer.
Bu davanın yasal analizi, yalnızca ulusal bir “uygulama” benimsemenin çözemeyeceği bir yargı güvensizliği senaryosunu ortaya koyuyor. Dönüm noktası “kontrol” ve “yerelleştirme” kavramlarında yatmaktadır.
CLOUD Act, sunucunun fiziksel konumunun önemli olmadığını şart koşarak yasal paradigmayı radikal bir şekilde değiştirdi. Hizmet sağlayıcının (burada AWS) işbirliği yapma yükümlülüğü, yalnızca ABD ile olan yargı bağından kaynaklanmaktadır.
Yasal olarak bu, GDPR ile doğrudan bir çatışma yaratır. Avrupa Adalet Divanı, ABD gözetim yasalarının Avrupa’ya eşdeğer bir koruma seviyesi sunmadığını zaten tespit etmiştir.
Dijital egemenlik, yazılımın bir özelliği değil, veri gözetim zincirinin bütünlüğünün bir özelliğidir.
FISA Hayaleti ve Şifrelemenin Sahte Vaadi
Daha da kötüsü, Amerikan altyapısına olan bu bağımlılık, bu verileri Foreign Intelligence Surveillance Act (FISA) gölgesine sokmaktadır.
Bu tehditler karşısında Olvid, uçtan uca şifrelemesinin yeterli bir kalkan olduğunu iddia ediyor. Gizlilik mühendisliği perspektifinden bakıldığında, bu savunma tehlikeli derecede yetersizdir.
Mesaj içeriği şifrelenmiş olsa bile, AWS’nin merkezi altyapısı meta verileri açığa çıkarır. Kimin kiminle, ne zaman, ne sıklıkla ve nereden konuştuğunu bilmek, istihbarat için genellikle mesaj içeriğinden çok daha değerlidir.
Şifreleme metni korur, ancak merkezi sunucu iletişim ağını ele verir.
Gerçek Tehlike Henüz Gelmedi
Avrupa altyapısı, sınır aşan yasalara tabi kurumlara bağımlı olduğu sürece, iletişimimizin yasal güvenliği tamamen geçici ve yanıltıcı kalacaktır.
- yüzyılda ulusal güvenlik, tam altyapı ve donanım bağımsızlığı gerektirir. “Şimdi topla, sonra şifresini çöz” stratejisi önümüzdeki on yılın en yıkıcı tehdididir.
Bugün ele geçirilen bir devlet sırrı, matematiksel bir saatli bombadan başka bir şey değildir.
(Analizimizin geri kalanını Bölüm 2’de okuyun: Saatli Bomba ve Zero-Knowledge Zorunluluğu)