Veri Şifreleme Teknolojilerine İlişkin Kullanım ve Üretim

The GLOBAL
A Journal of Policy and Strategy
Issue: 1, Volume: 1, pp. 49-68, 2015
Veri Şifreleme Teknolojilerine
İlişkin Kullanım ve Üretim Politikaları
Utilization and Production Policies
Regarding Data Encryption Technologies
Hakan Hekim, Ph.D.
Ordu Üniversitesi
Özet: Veri şifreleme dijital verilerin güvenliği için yaygın olarak kullanılan yöntemlerden birisidir. İnternet üzerinden sunulan bankacılık, alışveriş, e-posta uygulamaları gibi
pek çok elektronik hizmette kişisel bilgileri korumak maksadıyla veri şifreleme teknolojileri kullanılmaktadır. İnternet kullanımının yaygınlaşması ve internet üzerinden yapılan elektronik işlemlerin çeşitlenmesiyle birlikte veri şifreleme teknolojilerinin stratejik
önemi artmıştır. Bununla beraber veri şifreleme uygulamaları suç örgütlerine ve terörist
gruplara iletişim ve faaliyetlerini gizleme imkanı da sağlamaktadır. Veri şifreleme teknolojilerinin bu çift maksatlı kullanım imkanı hükümetlerin bu teknolojilerin üretim,
kullanım, ihracat ve ithalatını kontrol altına alma çabalarını da beraberinde getirmiştir. Bu makale veri şifreleme teknolojilerinin kullanım ve üretimine ilişkin mevcut kamu
politikalarını sunmakta ve Türkiye’deki durumu incelemektedir.
Anahtar Kelimeler: Kriptografi, bilişim, bilim ve teknoloji politikaları.
Abstract: Data encryption is one of the most widely used techniques to ensure the security of digital data. It is employed in many electronic services like online banking, electronic shopping and e-mail applications to protect personal information. The strategic
importance of data encryption technologies has been increased with the proliferation
of Internet usage and diversification of electronic transactions conducted over Internet.
However, data encryption techniques provide opportunities to criminal and terrorist
groups to disguise their communications and illegal activities. This dual-use of data encryption technologies pushed governments to control production, use, import and export
of these technologies. This article presents public policies regarding the use and development of data encryption technologies and examines current situation in Turkey.*
Keywords: Cryptography, IT, science and technology policies.
*
An extended summary of this study in English is presented after the reference list.
49
Hakan Hekim
Giriş
Bilgisayar dilinde veri şifreleme veya “kriptolama”, verilerin matematiksel bir
algoritma kullanılarak karıştırılması ve anlaşılmaz hale getirilmesi işlemidir.
Kriptolama işlemi, disk üzerinde belli bir bölgedeki veya diskin tamamındaki
her bir “bit” bilgiyi belli bir algoritmaya göre değiştirir ve anlamsız, rastgele
oluşmuş görünümünde bir veri kümesi haline sokar. Kriptolanmış bilginin tekrar okunur hale getirilmesi için kriptolama işleminin tersi olan “kripto çözme”
işleminin gerçekleştirilmesi gerekmektedir. Kripto çözme temelde, kriptolama
işlemini tersine döndüren bir algoritmadan başka bir şey değildir. Kriptolama
ve kripto çözme işleminin en hassas belki de en zayıf noktası kullanıcı tarafından bir “gizli anahtar” (secret key) belirlenmesi ve bu anahtarın muhafazasıdır.
Gizli anahtar, kriptolanmış bilginin okunabilir hale getirilmesi için zaruridir.
Kullanılan anahtarın yapısına göre simetrik ve asimetrik kripto olmak üzere
iki temel kriptolama yöntemi mevcuttur. Simetrik kriptolamada, kriptolama
ve kripto çözme işlemi tek bir anahtar vasıtasıyla gerçekleştirilirken, asimetrik
kriptolamada genellikle açık ve gizli olmak üzere iki farklı anahtar kullanılmaktadır.
Bu makalede veri şifreleme teknolojilerine ilişkin dünyada ve Türkiye’de
uygulanan politikalar ele alınacaktır. Makalenin ilk bölümünde veri şifreleme
teknolojilerinin önemi üzerinde durulacaktır. Sonraki bölümdeyse veri şifreleme teknolojilerinin kullanımına ilişkin politikalara yer verilecek ve mevcut uygulamalardan bahsedilecektir. Bu kısımda ilk önce kripto kullanımının tamamen serbest bırakılması halinde oluşabileceği tahmin edilen durumlar, daha
sonra ülkelerin kripto kullanımına ne tür kontroller getirdiği anlatılacaktır.
Makalenin üçüncü bölümünde Türkiye’de bilişim sektörünün durumu üzerinde kısaca durduktan sonra dördüncü bölümde kripto üretimine ve kullanımına ilişkin Türkiye’deki uygulamalar sunulacaktır. Makale Türkiye’de bu alanda
atılması gereken adımların tartışılacağı sonuç ve öneriler kısmıyla sonlandırılacaktır.
1.Kripto Teknolojilerinin Beraberinde Getirdiği İmkanlar ve
Tehditler
Veri kaybının yol açtığı büyük zararlardan dolayı resmi ve özel kurum ve kuruluşlar veri güvenliği alanında daha ciddi yatırımlar yapmaya başlamışlardır.
Ponemon Institute adlı kuruluşun 11 farklı ülkeden 250 organizasyonun katılımıyla gerçekleştirdiği veri ihlali1 araştırmasına göre, 2014 yılında meydana gelen veri ihlali olayları yıllık ortalama 3,5 milyon dolara mâl olmuştur. Bu
şekilde ifşa edilen her bir hassas kayıtın 145 dolarlık bir maliyeti olduğu hesap
edilmiştir (Ponemon Institute, 2014).
1
50
Veri ihlali (data breach), gizli kalması gereken bir bilginin isteyerek veya istemeyerek
güvenilmeyen bir ortamda ifşa edilmesi olarak tarif edilebilir.
Veri Şifreleme Teknolojilerine İlişkin Kullanım ve Üretim Politikaları
Bu durum organizasyonları bu alanda tedbir almaya yöneltmiştir. Kriptolama yaygın olarak kullanılan, etkin bir güvenlik tedbiridir. Kriptolandığı müddetçe verilerin çalınması veya başka yollardan yetkisiz kişilerin eline geçmesi
ciddi bir problem teşkil etmeyecektir çünkü yeterince güçlü bir biçimde kriptolanmış verilerin mevcut işlemci kapasitesiyle çözülmesi birkaç hafta veya
ay değil yıllar sürecektir. Eğer kripto algoritmasının arkasındaki matematiksel
mantıkta bir hata yoksa, muhtemel anahtarların birer birer denenmesi yöntemiyle şifrenin çözülmesi hiçte kolay değildir. Mesela 256-bit anahtar kullanılarak şifrelenen bir verinin alabileceği anahtar sayısı 1,1 x 1077’dir. Bu kadar
anahtarı teker teker deneyebilmek için süper bilgisayar olarak adlandırılan bir
bilgisayarın 3.31 x 1056 yıl hiç durmadan çalışması gerekmektedir. Bu ise kainatın tahmin edilen yaşından daha uzun bir süredir. Dolayısıyla, kolayca tahmin
edilemeyecek bir anahtarla kriptolanmış bir verinin matematik alanında veya
işlemci teknolojisinde ciddi bir değişim olmadan kırılması neredeyse imkansız gibidir. Bu sebepten dolayı da kriptolama günümüzde elektronik iletişimin
vazgeçilmez öğelerinden birisi haline gelmiştir.
Yazılım ve donanım teknolojisindeki gelişmelere paralel olarak kriptolama bugün sadece konunun meraklıları tarafından bilinen bir yöntem olmaktan
çıkmaktadır. Evlerde ve iş yerlerinde yaygın olarak kullanılmakta olan ticari
yazılımlar zayıf veya güçlü olması bir tarafa şifre koruması ve/veya kriptolama
fonksiyonları barındırmaktadır. Yaygın olarak kullanılmakta olan Microsoft
Windows işletim sistemi ve Microsoft Office paketi, uzun zamandan beridir
dosyaların şifrelenmesine imkan sağlamaktadır. Oracle, Microsoft SQL Server gibi ticari veritabanı sistemlerinin yanında MySQL, Postgre SQL gibi açık
kaynaklı ve bedelsiz olarak herkesin edinebileceği veritabanı sistemleri tutulan
verilerin kriptolanmasına imkan vermektedir. Bunun yanında internette pek
çok ücretsiz ve/veya açık kodlu kriptolama programı bulmak mümkündür. Her
ne kadar bu programların kişisel verilerin korunması açısından güvenilirliği
konusunda şüpheler olsa da, sağladıkları kriptolama, soruşturma birimlerini
yanıltmaya yetebilecektir. Yaygın olarak kullanılmakta olan cep telefonları ve
akıllı telefonların bazılarında da kriptolama fonksiyonu bulunmaktadır. Bu sayede telefonlara takılan bellek kartlarının kriptolanarak anahtar sağlanmadan
okunamaz hale getirilmesi mümkündür. Diğer yandan, bilgisayarlarda kullanılan USB belleklerin kapasitelerinin artması, bilgisayar sabit disklerinin sadece
işletim sistemine hasredilmesini ve hassas verilerin kolay taşınabilen bellek
kartlarında kriptolu bir biçimde tutulabilmesini sağlamıştır. Hatta, bellek kartlarına yüklenebilen mini işletim sistemleri sayesinde sabit diskten bağımsız
çalışabilen, kriptolama yapabilen ve gerektiğinde kolayca imha edilebilecek taşınabilir bilgisayarların oluşturulması mümkün hale gelmiştir.
Kriptolamanın veri güvenliği için güçlü ve kullanışlı çözümler barındırması güvenlik güçleri içinse ciddi tehditler içermektedir. Bir organize suç örgütü51
Hakan Hekim
nün sayısal ortamda tuttuğu verileri kriptolaması soruşturma faaliyetini neticesiz bırakabilecektir. Yasal faaliyetlerin yanında rüşvet, vergi kaçakçılığı gibi
yasal olmayan faaliyetlerle de uğraşan bir şirketin verilerini kriptolayarak denetçilerden saklaması devleti vergi kaybına uğratacaktır. Dolandırıcılık, çocuk
istismarı, taciz gibi elektronik vasıtalarla işlenebilen suçların delillendirilmesi
kriptolamayla zorlaşacaktır çünkü doğru uygulanırsa kriptolama işlemi delilleri saklama adına bilinen yöntemlere göre daha kullanışlı ve güvenlidir. Yasa
dışı iş ve işlemlere ilişkin kayıtlarını kağıt üzerinde tutan bir organize suç çetesi
veya yasal bir şirket aynı zamanında kendi aleyhine delil biriktiriyor demektir.
Bu bilgilerin açığa çıkma ihtimali her zaman vardır. Ancak, sabit disk üzerindeki kriptolanmış bir verinin çoğu zaman varlığından dahi haberdar olunmayacaktır çünkü kişinin rızası olmadan verinin tekrar okunabilir hale getirilmesi
neredeyse imkansızdır. Kriptolama, güvenlik güçlerinin yasal yollardan yaptığı
adlî veya istihbarî dinlemeleri de zorlaştırmaktadır. Bir çeşit akıllı telefon olan
BlackBerry’nin iletişimi kriptolaması ve dinlemelere karşı koruma sağlaması
bazı ülkelerde yasaklanmasını gündeme getirmiştir. Organize suç örgütlerinin
veya terörist grupların telefon veya internet vasıtasıyla haberleşmelerinin ve
bilgi paylaşımlarının kriptolanması, zaten binbir güçlükle çökertilen bu yapıların adli soruşturmalara karşı dayanıklılığını arttıracaktır. Kriptolama ceza
hukuku açısından da birtakım yeni problemleri beraberinde getirmektedir.
ABD’de yaşanan şu olay mahkemelerin ne tür zorluklarla karşı karşıya kalabileceğine dair fikir verebilir:
2006 yılında Christian Boucher isimli bir şahıs Kanada’dan ABD’ye geçiş
yaparken arabasını kontrol eden gümrük yetkilisi arka koltuktaki dizüstü bilgisayarı farkeder ve bilgisayara bir göz atmak ister. Herhangi bir şifre koruması
olmayan bilgisayarı açan yetkili sabit diskteki medya dosyalarını görebilmek
için bir arama başlatır. Arama neticesinde sabit diskte binlerce pornografik
fotoğraf ve çocukların da resmedildiği pornografik çizimler olduğunun görülmesi üzerine Boucher gözaltına alınarak sorgulanır. Sorgulama esnasında
Boucher dosyaları bilgisayarın neresinde sakladığını yine herhangi bir şifre
yazmadan tek tek gösterir, bilgisayara el konulur ve Boucher tutuklanır. Birkaç
gün sonra, etraflı inceleme ve mahkemeye delil sunmak amacıyla sabit diskin
birebir kopyası oluşturulur. Ancak bu aşamadan sonra sabit diskteki bilgilere bir daha ulaşılamaz çünkü diskin kripto korumalı olduğu farkedilir. Konunun bir uzmanı tarafından mahkemeye anahtar olmaksızın diskteki dosyalara
erişmenin imkansız olduğu hususunda ifade verilmesinin ardından, mahkeme
Boucher’in dosyalara erişmek için gerekli bilgileri polise vermesine hükmeder. Boucher bunun kendisinin yine kendisi aleyhine delil sağlaması anlamına
geldiğini ve Anayasaya göre buna zorlanamayacağını iddia ederek itiraz eder
ve itirazı mahkemece kabul edilir. Yüksek mahkeme daha sonradan gümrük
yetkililerinin bilgisayarı Boucher’in rızasıyla incelediklerini belirterek alt mah52
Veri Şifreleme Teknolojilerine İlişkin Kullanım ve Üretim Politikaları
kemenin bu kararını bozduysa da, ilk mahkeme kararı sebebiyle polis bu olayda
Boucher’e karşı delil toplayamamıştır (Ungberg, 2009).
Çocukların cinsel istismarı gibi toplumda nefret uyandıran fiiller içeren
bu gibi olaylar kriptolamaya ve daha ilerisinde internete bir takım kontroller
getirmenin zaruretini savunan grupların iddialarını destekledikleri güçlü örneklerdir. Buna karşı, kriptolamanın ve internetin her türlü kontrolden bağımsız olarak herkese açık olmasını savunan kişilerin temel argümanıysa George
Orwell’in 1984 isimli romanında resmedilen büyük birader yani insanların hayatlarını bütünüyle kontrol altına almaya çalışan devlet metaforudur. Devletin,
vatandaşlarının gizli kalmasını istediği bilgi ve iletişimlerine kolayca erişebilmesi pek çok insanın hoşnut olacağı bir şey değildir. Resmi kurumların böyle
bir kapasiteye sahip olması, hükümetlerin toplumdaki karşıt grupları kontrol
ve baskı altına almalarına ve buna bağlı türlü insan hakları ihlallerine yol açabilecektir. Bunun ötesinde, insanların düşüncelerini serbestçe ifade edebilmesini
ve bu yolla gerçekleşecek toplumsal gelişmeyi engelleyecektir. Bu ve benzer
sebeplerden dolayı veri şifreleme teknolojileri gri bir alan olarak gelişmekte,
böylelikle suçlulara istismar edebilecekleri imkanlar sunmakta ve adli bilişim
açısından potansiyel riskleri beraberinde getirmektedir.
2. Kripto Üretimi ve Kullanımına İlişkin Politikalar
2.1. Bütünüyle Serbestlik ve Kripto-Anarşi
Kriptolama, masaüstü bilgisayar sistemlerinin yaygınlaşması ve finans sektörü
gibi alanlarda önemli fonksiyonlar icra etmeye başlamalarıyla beraber sadece
bir askeri iletişim güvenlik tedbiri olmaktan çıkarak bilgisayar kullanan herkesin erişimine açılmıştır. Bilgisayar ağları üzerinden akan veri iletişimini güvenli
kılmak için 1976 yılında simetrik bir kripto sistemi olan DES (Data Encryption
Standard) Amerikan Hükümetince standart olarak belirlenerek yaygın olarak
kullanılmaya başlanmıştır. Simetrik kripto sistemlerinin en zayıf noktası olan
gizli anahtar ve gizli anahtarın taraflarca paylaşılması problemi yine 1976 yılında Diffie ve Helmann’ın yayınladıkları anahtar takas algoritması ve 1978’de
Rivest, Shamir ve Adleman’ın yayınladıkları açık anahtar algoritmasıyla (RSA)
büyük ölçüde çözülerek güçlü kriptolama metodlarının günlük iletişimde kullanılabilmesinin önü açılmıştır. Bu yöntemler ve bunlardan sonra geliştirilen
başka modern kripto algoritma ve protokolleri bugün başta finans sektörü olmak üzere bilişim teknolojilerinin kullanıldığı pek çok alanda yaygın olarak
kullanılmaktadır.
1990’larda internetin gelişmesi ve yaygınlaşmasıyla beraber kripto algoritmaları da değişik yazılımlar vasıtasıyla işlerlik kazanmışlardır. Bu gelişme,
dijital ortamı kullanan kişilerin bilgi ve belgelerini kırılması çok güç hatta neredeyse imkansız kodlarla gizleyebilmelerinin yolunu açmıştır. Bu gelişmelere
53
Hakan Hekim
paralel olarak OECD’nin 1997 yılında yayınladığı Kriptografi Politikası Kılavuzu ve Avrupa Birliğinin kriptografi hakkındaki 1998 tarihli raporu, kriptografi
kullanımı üzerindeki sınırlamaların kaldırılmasını desteklemişlerdir. Bu raporların yayınlanmasından sonra Kanada ve Almanya’nın da dahil olduğu bazı ülkeler kriptografi politikalarını yenilemişlerdir. Yukarıda belirtildiği gibi kriptolanmış bir bilginin gizli anahtar olmaksızın çözülmesinin neredeyse imkansız
oluşu yine 1990’larda “kripto-anarşi” (crypto-anarchy) kavramının ortaya atılmasına sebebiyet vermiştir. Bu yaklaşıma göre, güçlü kripto algoritmalarının
yaygınlaşması sayesinde güvenli iletişim kanallarının tesisi, gizli para transferlerinin gerçekleşmesi ve kişilerin gerçek kimliklerinin gizlenebilmesi mümkün
olacağından ekonomik ve sosyal ilişkiler ciddi ölçüde farklılaşacaktır. Bunun
sonucu olarak pek çok iş ve işlem dijital ortama kayacağından ve takip edilemeyeceğinden devlet hakimiyeti giderek zayıflayacak ve belki de tamamen yok
olacaktır (May, 2001). Kripto-anarşi kavramınının savunucuları, kripto-anarşinin kaçınılmaz hatta gerekli olduğunu savunmaktalardır. Onlara göre, ancak
böyle bir ortamda gerçek anlamıyla liberalizm sağlanabilecektir. Karşıtlarıysa,
devlet kontrollerinin tamamen ortadan kalktığı bir sistemin liberalizmin fikir
babalarınca bile tasavvur edilmediğini ve böyle bir sistemin kaostan başka bir
sonucunun olmayacağını ileri sürmektedirler (Denning, 2001).
Kripto sistemlerinin böylesi bir anarşik bir duruma sebebiyet vermesini
önlemek için “anahtar emanetçiliği” (key escrow) adı verilen bir yöntem önerilmiştir. Bu yönteme göre, kişilerin şifreleme ve dijital imza için kullanacakları
anahtarın bir kopyası emanetçi kuruluşta saklanacaktır. Kullanıcı anahtarını
kaybetmesi durumunda bu kurumdan bir kopyasını alabilecektir. Mahkemelerce kullanıcının kriptolu iletişiminin çözülmesi emredildiğinde de yine emanetçi kuruluştan kullanıcının anahtarı alınarak işlem gerçekleştirilecektir. ABD
hükümeti anahtar emanetçiliği sistemini hayata geçirmek maksadıyla 1993
yılında “Clipper Yongası” (Clipper Chip) adını verdiği bir kriptolama sistemi
geliştirmiş ve bu yonganın kullanıldığı cep telefonu, faks gibi elektronik iletişim cihazları üretilmesini teşvik etmiştir. Yonga, Amerikan Ulusal Güvenlik
Ajansı (National Security Agency) tarafından geliştirilmiş ve gizli tutulan Skipjack adlı bir kriptolama algoritması ve Diffie-Helmann anahtar takas yöntemi
kullanılarak tasarlanmıştır. Yonganın içerdiği anahtarın bir kopyası hükümetçe
saklanmakta ve bu saklanan anahtar da iki parçaya bölünerek iki farklı hükümet kuruluşunda depolanmaktaydı. Dolayısıyla, tek bir kurumun keyfi olarak
gizli bilgilere ulaşabilmesi mümkün değildi. Buna rağmen Clipper Yongası
kullanan elektronik aletler Amerikan halkından pek rağbet görmeyince 1996
yılında proje iptal edildi.
ABD, anahtar emanetçilği sisteminin diğer devletler tarafından benimsenmesi için uluslararası ortamda da girişimlerde bulunmuş olmasına rağmen
başarılı olamamıştır. Anahtar emanetçiliği sistemi de bir takım problemleri beraberinde taşımaktadır. Öncelikle, anahtarların saklanacağı “kasa” her ne kadar
54
Veri Şifreleme Teknolojilerine İlişkin Kullanım ve Üretim Politikaları
güvenli olursa olsun, gizli anahtarların bir kopyasının bir yerlerde saklanıyor
olması kriptografik sistemler için önemli bir güvenlik açığı anlamına gelmektedir. Söz konusu kasaya dışarıdan birisinin ulaşması imkansız olsa bile, kasanın
güvenliğinden sorumlu kişilere ne kadar güvenilebilir? İkinci olarak, depolanan
anahtarların güvenliğini garantileyebilecek bir emanet sisteminin maliyetinin
çok yüksek olacağı tahmin edilmektedir. Sonuç olarak bugün anahtar emanetçiliği sistemi ticari kurumlar gibi kripto sistemleri kullanan organizasyonlarca
dahili işlemlerde kullanılsa da genel tüketici tarafından halen benimsenmiş değildir. Fransa, uygulamakta olduğu anahtar emanetçiliği sistemini 1999 yılında
kabul ettiği bir kanunla yürürlükten kaldırmış ve kripto kullanımını serbest
bırakmıştır. 1997 yılında anahtar emanetçiliği sistemi uygulayacağını duyuran
Tayvan, 1998 yılında bundan vazgeçtiğini duyurmuştur. Sertifika sağlayıcılarının gizli anahtarları saklamasını şart koşan İngiltere de, sonradan bu kuralı
iptal etmiştir (Electronic Privacy Information Center, 2000).
Kripto-anaşinin ne getirip ne götüreceği bir yana, kripto algoritmalarının
yaygınlaşmasındaki serbestiyete rağmen böyle bir durum halen oluşmuş değildir. Buna sebep olarak pek çok faktör ortaya konulabilir. Öncelikle, kriptolama
tek başına veri güvenliğini veya kişilerin anonim oluşunu temin etmede yeterli
değildir. Kriptolanarak iletilen bir verinin çözülmesi imkansız gibi olsa da, aynı
verinin kriptolanmadan depolandığı veya okunmak için belli bir süreliğine açıldığı bir sisteme sızmak ve sözkonusu veriyi kriptolanmamış olarak elde etmek
mümkündür. Bunu önlemek için işletim sistemleri dahil kullandığımız bütün
programların ve parçası olduğumuz bilgisayar ağlarının da güvenliğinden emin
olmak gerekmektedir. İşletim sistemlerinin güvenilirliği her zaman soru işareti
olacak kalacaktır çünkü yaygın olarak kullanılan işletim sistemleri (Windows,
Mac gibi) birer ticari ürün olup program kodları gizli tutulmaktadır. Kaldı ki
bir işletim sisteminin kodları açık olsa da (Unix ve türevleri gibi), ortalama
bilgisayar bilgisi olan bir kullanıcının bu kodları inceleyerek güvenilirliğini değerlendirebilmesi mümkün değildir. Yeni bulunan sistem açıklarına ilişkin yayınlanan raporların sıklığı ve bunları gidermek için üretilip dağıtılan “yamalar,”
işletim sistemlerinin güvenilirlikleri hakkındaki şüpheleri güçlendirmektedir.
Bilgisayarlarımıza yüklediğimiz pek çok programın ne gibi güvenlik problemleri oluşturabileceği de ayrı bir soru işaretidir. Ayrıca kişinin kendi kullandığı
bilgisayarı “kırılamaz” hale getirmesi de mahremiyetini temin edebilmesi için
yeterli değildir. Kişinin üzerinde iletişim kurduğu ağların ve bağlandığı diğer
bilgisayarların güvenilir olmayışı, paylaşılan verilerin üçüncü kişilerin eline
geçmesini netice verecektir. Dolayısıyla, bilgisayarların ve bilgisayar ağlarının
tam olarak güvenilir hale getirilemeyişi, kripto-anarşi savunucularının tasavvur ettikleri ölçüde bir mahremiyetin sağlanmasını engellemektedir.
Diğer yandan kişilerin kimlikleri ve çevrimiçi davranışları internet üzerinden hizmet veren pek çok şirket için vazgeçilmez öneme sahiptir. Bu şirketler
55
Hakan Hekim
insanların elektronik ortamdaki tercihlerine göre müşteri profilleri oluşturmakta ve mal ve hizmetlerini bu profiller doğrultusunda şekillendirmektedir. Mesela Google’nin email hizmeti olan Gmail, kullanıcılarının elektronik
postalarının içeriklerini bir programcık vasıtasıyla tarayarak, o içeriğe uygun
reklamları elektronik postaların okunduğu aynı sayfada göstermektedir. Dolayısıyla, Google’ın Gmail kullanıcılarının postalarını kendisinin de okuyamayacağı şekilde şifrelemesini sağlayacak bir araç sağlaması, bu reklam gelirlerinden vazgeçmesini beraberinde getirecektir. Kullanıcıların anonim olması
durumunda internet üzerinde işlem yapan hemen her kuruluş benzer mahrumiyetlerle karşı karşıya kalacaktır. İnternet kullanıcılarının tamamiyle anonim
oluşu hükümetler tarafından da arzu edilecek bir durum değildir. Kişilerin, kurumların, ekonomik aktivitelerin ve devletin güvenliğini sağlayabilmek için hükümetlerin gerektiğinde elektronik ortamda kişilerin kimliklerine ulaşabilmesi
gerekmektedir. Sonuç olarak, kripto-anarşi savunucularının beklediği seviyede
anonimliği sağlayacak düzenlemeler elektronik ortamı şekillendiren en önemli
iki güç olan özel şirketler ve hükümetlerce çok arzu edilir bir durum değildir.
Bu yüzden, güçlü kripto algoritmalarının kişilerin kimliklerini ve faaliyetlerini gizleyecek bir biçimde internet servislerine entegre edilmeleri halihazırda
mümkün görünmemektedir.
2.2. Kısıtlamalar ve Tamamen Yasaklama
Kriptografinin suç işleme maksatlı kullanılması ihtimali ve kolluk güçlerinin
yasal dinleme ve tespit kabiliyetlerini azaltması, bazı ülkelerin kriptografiyi
kontrol etme hatta yasaklamaya çalışmalarına sebep olmuştur. ABD’nin Washington, DC merkezli Elektronik Mahremiyet Bilgi Merkezi (Electronic Privacy Information Center) adlı kuruluşun 2000 tarihli bir raporuna göre az sayıda hükümet, vatandaşlarının kripto kullanımını yasaklamaktadır. Bu ülkelerin
de genellikle eski Doğu Bloğu ülkeleri, bazı Asya ve Ortadoğu ülkeleri olduğu
raporda belirtilmektedir. Kripto kullanımına sınırlamalar getiren bazı ülkeler,
1997 tarihli OECD Kriptografi Politikası Yönergesinin yayımlanmasının ardından kripto kullanımını tamamen serbest hale getirmişlerdir. Dolayısıyla, kripto
kullanımı politikalarında kısıtlamaların kaldırılması ve tam serbestiyete doğru
bir yönelme olduğu söylenebilir. Buna rağmen, Koops’un 2010 yılında yapmış olduğu kripto hukuku çalışması, kripto ürünlerinin ticareti ve kullanımı
üzerindeki kısıtlamaların halen mevcut olduğunu göstermektedir. Koops’un
çalışmasına göre kripto kullanımına, ihracat ve ithalatına sınırlamalar koyan
ülkeler Tablo 1’de gösterilmiştir.
56
Veri Şifreleme Teknolojilerine İlişkin Kullanım ve Üretim Politikaları
Tablo 1. Kripto kullanımı, ihracat veya ithalatına kısıtlama getiren ülkeler
Kullanım Kısıtlamaları
Belarus, Çin, Fas, Güney
Afrika, İran, İtalya, Kazakistan,
Mısır, Pakistan, Rusya
Federasyonu, Tunus, Ukrayna,
İhracat Kısıtlamaları
ABD, AB Ülkeleri,
Arjantin, Avustralya,
Belarus, Çin, Fas, Güney
Afrika, Güney Kore,
İsviçre, Japonya, Kanada,
Kazakistan, Moldova,
Norveç, Rusya, Türkiye,
Ukrayna, Yeni Zelanda
İthalat Kısıtlamaları
Almanya, Belarus, Çin,
Fas, Fransa, Güney
Afrika, Hindistan,
Kamboçya, Kazakistan,
Litvanya, Mısır, Moldova,
Rusya, Slovenya, Tunus,
Ukrayna
Tablo 1’de görüldüğü gibi Koops’un çalışmasında 12 ülkenin kriptografi
kullanımına sınırlama getirdiği belirtilmiştir. Bu sınırlamaların izahı Tablo 2’de
sunulmuştur. Tablo 2’ye baktığımızda bu ülkelerin genellikle kripto kullanımı,
üretimi ve satışı için devletten izin alınması zorunluluğu getirdiği ve izin alınacak olan mercilerin genellikle iletişimden sorumlu devlet kurumları olduğu
görülmektedir. İzin alınacak merci, Rusya Federasyonunda olduğu gibi bazen
güvenlik veya istihbarat servisleri de olabilmektedir. Buna ilaveten bazı ülkeler
kripto kullanımını serbest bırakmakla beraber kullanıcılara başka yükümlülükler getirmektedirler.
Tablo 2. Kripto kullanımına getirilen kısıtlamalar
Ülke
Belarus
Çin
Fas
Güney Afrika
İran
Kazakistan
Mısır
Pakistan
Rusya Federasyonu
Tunus
Ukrayna
Kısıtlamanın İçeriği
Kripto kullanımı ve üretimi için lisans alma zorunluluğu
Sadece yetkili mercilerce onaylı kripto ürünleri gerekli izinler
alındıktan sonra kullanılabilir
Kripto kullanımı için lisans zorunluluğu
Kripto kullanımı serbest, fakat firmaların kripto ürünleri sağlamalarına yönelik kısıtlamalar var. Adli merciler gerekli hallerde
kriptolanmış mesajların anahtarlarını isteyebilir
Kripto kullanımı için lisans alma zorunluluğu
Kriptografik ürünlerin geliştirilmesi, üretimi, tamiri ve satışı
için lisans zorunluluğu
İletişim sektöründeki firmaların kripto kullanabilmeleri için
lisans zorunluluğu
Kripto kullanımı ve satışı için lisans zorunluluğu
Kripto kullanımı, üretimi ve satışı için lisans zorunluluğu
İletişim sektöründeki firmaların kripto kullanabilmeleri için
lisans zorunluluğu
Kripto kullanımı, üretimi ve satışı için lisans zorunluluğu
Mesela, Fransa kripto kullanılmasını 1999 yılında serbest bırakmış, ancak
kullanıma bazı kısıtlamalar getirmiştir. Fransa’da kripto hizmeti veren firmaların bunu yetkili mercilere beyan etmeleri gerekmektedir. Kanuna göre adli
makamlar soruşturma esnasında ele geçirilen kriptolu bilgilerin sahibince çö57
Hakan Hekim
zümünü veya çözülmesini sağlayacak anahtarların teslim edilmesini isteyebilir.
Polisin, en az iki yıldan fazla hapis cezası gerektiren suçlarda kriptolanmış bilgilerin çözümünü ulusal güvenlik birimlerinden isteme yetkisi bulunmaktadır.
Bunlara ilaveten, bir suçun hazırlanmasında veya işlenmesinde kripto kullanılması cezada artırıma sebebiyet vermektedir. Benzer şekilde İngiltere’de kanuna
uygun yollarla ele geçirilmiş kriptolu verilerin çözümü mahkemece istenebilir.
Mahkemenin kararına uyulmamasının cezai sonuçları bulunmaktadır. Avustralya, Danimarka, Fransa, Hindistan, İngiltere ve Tayland kripto kullanıcılarının kanunda belirlenen hallerde kripto çözümü için gerekli anahtarları yetkili
mercilere teslim etmesi yükümlülüğünü getirmektedirler. Koops’un çalışmasını yayımladığı tarihten sonra yapılan bir düzenlemeyle, kripto kullanan iletişim
sistemlerinin kullanımı, üretim ve ithali Türkiye’de de izne bağlı hale gelmiştir.
Kripto ihracatına getirilen kısıtlamalara baktığımızda, genellikle ülkelerin
taraf oldukları uluslararası anlaşmaların bir sonucu olarak bu kısıtlamaları benimsedikleri görülmektedir. COCOM (Coordinating Committee for Multilateral Export Controls), üye ülkelerin stratejik ürünleri ve teknik bilgileri yasaklı
ülkelere ithalini kontrol altına almayı hedefleyen uluslararası bir organizasyondur. COCOM 1991 yılında genel piyasaya hitap eden kripto yazılımlarını serbest bırakmıştır. Organizasyon, kripto ürünlerinin Libya, Irak, İran ve Kuzey
Kore gibi terörist örgütlerle işbirliği yaptığı düşünüldüğünden tehlikeli olarak
nitelenen ülkelere ihracını engellemeyi hedeflemiştir. Diğer ülkelere ihracat
serbest bırakılmıştır. COCOM 1994 yılında dağılmış ancak üye ülkeler mevcut
durumu devam ettirerek yasaklı listede bulunan ülkelere kripto ürünlerinin
ihracını engellemeye devam etmişlerdir.
Kripto ürünlerinin ihracını engelleyen diğer bir uluslararası yapı da Wassenaar Anlaşmasıyla tesis edilmiştir. Wassenaar Anlaşması’nın amacı askeri
ve sivil maksatlı olarak “çift kullanımı” olabilecek ürünlerin ihracatının kısıtlanmasıdır. Kriptografi ürünleri de bu kapsamda değerlendirilmektedir. 1995
yılında Türkiye’nin de dahil olduğu 28 ülke bir araya gelerek COCOM’un getirdiği uygulamaları Wassenaar Anlaşması kapsamında devam ettirme kararı
almışlardır. Bu karara göre genel piyasaya hitap eden ve genel kullanıma açık
kripto yazılımları hariç, kripto ihracına sınırlamalar getirilmiştir. Avustralya,
Fransa, Yeni Zelanda, Rusya Federasyonu ve ABD genel piyasaya hitap eden
ve genel kullanıma açık kripto yazılımlarının ihracına da kontrol getirmişlerdir. AB, Wassenaar Anlaşması’nı takip ederek 1334/2000 sayılı kararıyla kriptografik ürünler de dahil olmak üzere çift kullanımlı malların ihracına kontrol
getirmiştir. Buna göre, üye olmayan ülkelere yapılacak ihracata lisans alınması
şartı aranmaya başlanmıştır.
3. Türkiye’de Kripto Ürünlerinin Üretimi
2010 yılında bilişim alanında gelişmiş ülkelerden olan ABD, İngiltere, Almanya, Fransa ve Avustralya üzerinde yapılan bir çalışmaya göre kriptolama, bili58
Veri Şifreleme Teknolojilerine İlişkin Kullanım ve Üretim Politikaları
şim şirketlerinin veri güvenliğine ayırdıkları bütçede dördüncü sırada yer almakta ancak kriptolama uygulamalarına yapılan harcamalar bütçedeki diğer
yatırımlara göre daha hızlı bir artış göstermektedir. Ankete katılan şirketlerin
%90’ı, anketin düzenlendiği yıl içerisinde en az bir tane kriptolama projesi tamamladıklarını belirtmişlerdir (Ponemon Institute, 2010).
Veri güvenliği pazarının büyüklüğü sektörde cereyan eden satın almalara
bakılarak daha rahat görülebilir . Dünya genelinde veri güvenliği sektörünü incelediğimizde giderek büyüyen pazarın çoğunlukla büyük aktörler tarafından
doldurulduğu görülmektedir. E-posta ve veri kriptolama şirketi PGP Corporation 2006 yılında 40 milyon dolar değerinde ürün siparişi aldıklarını, PGP
Corporation’un kuruluş yılı olan 2002’den bu yana aldıkları siparişlerin ise 100
milyon doları aştığını açıklamıştır. PGP Corporation, 2010 yılında veri güvenliği alanındaki lider firmalardan Symantec tarafından 300 milyon dolar karşılığında satın alınmıştır. Symantec bununla yetinmemiş ve başka bir veri güvenliği şirketi olan GuardianEdge şirketini 70 milyon dolara ve internet üzerinde
kimlik doğrulama hizmetlerinin önde gelen firmalarından VeriSign şirketinin
güvenlik kısmını da 1,28 milyar dolara satın almıştır (Messmer, 2010).
Türkiye’nin bilişim şirketlerinin bu hareketlilikten çok fazla bir pay alabildiği söylenemez. Esasında bilişim ve iletişim sektörleri Türkiye’de hızla büyüyen sektörlerdendir. Türkiye Bilişim Saniyicileri Derneği (TÜBİSAD, 2008;
2015) raporuna göre bilişim pazarı her yıl %10’dan daha fazla büyüme göstermektedir. 2014 yılı pazar verileri ne göre sektör, TL bazında yıllık yüzde
12,1 büyümeyle 69,4 Milyar TL’ye ulaşmıştır. Sektörün istihdam gücü 103 bin
kişiye çıkarken; bilişim ihracatı da 1,34 Milyar TL seviyesinde gerçekleşmiştir.
Türkiye bilişim pazarının mal ve hizmetler arasında dağılımına baktığımızda
şöyle bir dağılım görünmektedir (Şekil 1(b)): En büyük payı %70,46 ile telekom almaktadır. Bunu %15,27 ile donanım pazarı, %9,08 ile yazılım ve %5,19 ile
hizmet pazarları takip etmektedir. 2008 rakamlarıyla kıyaslandığında, iletişim
teknolojileri pazarındaki küçülmeye karşın yazılım sektörünün yaklaşık üç kat
büyüdüğü gözlemlenmektedir.
Tablo 3. Türkiye bilgi ve iletişim sektörü 2008 ve 2014 karşılaştırması
İletişim Teknolojileri
---Donanım
---Haberleşme
Bilgi Teknolojileri
---Donanım
---Yazılım
---Hizmet
2014 yılı (milyar TL)
48,9
13,4
35,5
20,4
10,6
6,2
3,6
2014 yılı %
70,46
2008 yılı %
74
29,54
15,27
9,08
5,19
26
18
3
5
59
Hakan Hekim
Türkiye’de veri güvenliği ve kriptolama alanlarının ne ölçüde geliştiği konusunda ciddi bir veri bulunmamaktadır. Kripto ve kripto cihazlarının tasarlanması diğer ülkelerde olduğu gibi Türkiye’de de bir hükümet projesi olarak
başlamıştır. Ancak gelişmiş ülkelerde, hükümet projeleri neticesinde oluşan
bilgi birikimi ticarileştirilerek özel sektör ürünlerine çevrilirken Türkiye’de bu
henüz gerçekleşmemiştir. Bu dönüşüm bilimsel bilgiyi ticari kullanıma açarken
stratejik öneme de sahip olanlarının nasıl korunacağı sorusunun fonksiyonel
bir biçimde cevaplandırılmasına bağlıdır. Türkiye’de kripto çalışmalarını bir
anlamda tetikleyen olay 1974 Kıbrıs Barış Harekatı sonrası Türkiye’ye uygulanan siyasi ve ekonomik ambargo olmuştur. Ambargo, yerli üretim imkanlarının zorlanmasına ve değerlendirilmesine yol açmıştır. Ulusal Elektronik ve
Kriptoloji Araştırma Enstitüsü (UEKAE) ve ASELSAN Türkiye’de kripto ve
kripto cihazları üreten kuruluşlardır. 1968 yılında ODTÜ bünyesinde kurulup
1972 yılında Marmara Bilimsel ve Endüstriyel Araştırma Enstitüsü’ne bağlanan Elektronik Araştırma Ünitesi ilk ulusal kripto cihazı olan MİLON-1’i 1978
yılında Türk Silahlı Kuvveleri için üretmiştir (Süer, Tüyeni ve Koç, 2009).
Başarılı olan bu projenin devamı gelmiş ve MİLON serisinin yeni ürünlerinin yanında MİLSEC, MİLCEP ve MİLOF gibi farklı alanlara hitap eden askeri kripto sistemleri de tasarlanmıştır. Elektronik Araştırma Ünitesi’nin ismi
zaman içinde Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE)
olarak değiştirilmiş ve önce TÜBİTAK’a sonra TÜBİTAK altında kurulan Bilişim ve Bilgi Güvenliği İleri Teknolojileri Araştırma Merkezi’ne (BİLGEM) bağlanmıştır. Askeri iletişim alanında yetkinliğini ispatlayan UEKAE, halihazırda
NATO için kripto cihazları üretmektedir. UEKAE’nin son ürünleri arasında
GSM operatörleri üzerindeki iletişimi kriptolayan cep telefonu MİLCEP K1 de
bulunmaktadır (Süer, Tüyeni ve Koç, 2009). Türk Silahlı Kuvvetlerini Güçlendirme Vakfı’nın bir kuruluşu olan ASELSAN da, iletişimi kriptolayan cihazlar
üretmekte ve bu ürünleri yurtdışına da pazarlamaktadır. ASELSAN’ın geliştirdiği bu cihazların bir kısmında UEKAE tarafından geliştirilen kriptolama algoritmaları kullanılmaktadır.
Genel olarak bilişim, özel olarak veri güvenliği pazarında ciddi aktörler
arasında yer alabilmek, büyük ölçekli Ar-Ge yatırımı ve etkili pazarlama stratejileri gerektirmektedir. Yeni teknolojilerin üretiminde mikro planda etkili olan
en önemli faktör olarak kârlılık gösterilebilir. Schumpeter’e göre piyasaya yeni
bir ürün sürülmesi; başta ürünün icadını, devamındaysa bu ürünün geliştirilerek pazarlanabilecek hale getirilmesini gerektirmektedir (Schumpeter’den akt.
Nerkar ve Shane, 2007). Kârlılık ta ürünün pazarlanabilir olması için önem arz
etmektedir. Önceki bölümde bahsedilen sıkıntılar da göz önüne alındığında
Türk firmalarının bu pazarda rekabet edebilmesinin çok kolay olmadığı anlaşılacaktır. Türkiye’de kripto ürünleri geliştirilmesine ve pazarlanmasına getirilen
yasal sınırlamalar kripto pazarının kârlılığını daha da etkileyecek gibi görün60
Veri Şifreleme Teknolojilerine İlişkin Kullanım ve Üretim Politikaları
mektedir. 23 Ekim 2010 tarih ve 27738 sayılı Resmi Gazete’de yayımlanarak
yürürlüğe giren ve kamuoyunda kısaca “Kripto Yönetmeliği” olarak bilinen yönetmelik bu konuda bazı yeni düzenlemeler getirmiştir. Yönetmelik kamu ve
özel kuruluşların kripto kullanımını yasaklamamakla beraber, kripto cihazları
imal veya ithal edenlerin faaliyetlerine bazı yeni kurallar getirmektedir. Yönetmeliğin beşinci maddesi kripto cihazlarını imal veya ithal edecek olanların
bu cihazlara izin alabilmeleri için yerine getirmeleri gereken yükümlülükleri
belirlemektedir. Bu maddenin ikinci fıkrasının (ç) bendi üretici veya ithalatçı
firmanın izin başvurusunu “kripto algoritması ve anahtarı, anahtar üretme, dağıtma ve yükleme modülü/cihazı, bu amaçla kullanılan tüm yazılım/donanım,
gerektiğinde şifrenin çözülmesine imkân tanıyan yazılım ve/veya donanım” ile
birlikte yapması şartını getirmektedir. Yönetmelik, bu yazılım ve donanımların
Bilgi Teknolojileri ve İletişim Kurumu’na teslim edileceğini ve Bilgi Teknolojileri ve İletişim Kurumu tarafından muhafaza edileceğini belirtmektedir. Teslim
edilen yazılım ve donanımın şifre çözmek maksadıyla kullanılıp kullanılmayacağına, kullanılacaksa hangi koşullar altında ve ne şekilde kullanılacağına dair
yönetmelikte herhangi bir hüküm bulunmamaktadır.
Kripto Yönetmeliğinin getirdiği bu düzenleme, firmaların bu alanda ürün
geliştirmelerine bir anlamda engel teşkil etmektedir. Kripto algoritmaları ve cihazları ciddi Ar-Ge faaliyeti gerektiren türden ürünlerdir ve her Ar-Ge yatırımı
önemli ölçüde bir başarısızlık riski barındırmaktadır. Kripto algoritmaları ve
cihazları için mevcut risklerden birisi ve belki de en önemlisi üretilen bilginin
başkalarının eline geçmesidir. Kripto Yönetmeliği, üretici firmaların izin alabilmeleri için ürettikleri bu bilgiyi kısmen de olsa devlete ifşa etmelerini şart
koşmaktadır. Firmanın bu bilgiyi ifşa edip etmemesi bir yana, bu bilgilerin ifşa
edilmesinden sonra muhtemel müşterilerin bu ürünü kullanmak isteyip istemeyeceği de şüphelidir. Zira evine kilit alan hiç kimse, anahtarının bir kopyasının başkasında olduğunu bildiği bir kilidi tercih etmeyecektir. Diğer yandan bu
yönetmelik, yabancı ülkelerden kripto ürünlerinin ithalinde de yine aynı maddeden kaynaklanan problemlere sebep olacak gibi görülmektedir. BlackBerry
marka cep telefonlarının yasaklanması tartışmaları bu konuda yaşanan problemlere canlı bir örnek teşkil etmektedir. BlackBerry marka cep telefonlarının
mesaj sisteminin çözülememesi bu telefonların yasaklanmasını gündeme getirmiştir. Yasaklanmaması için Kanada’da yerleşik üretici firma RIM’in gerekli
anahtarları Bilgi Teknolojileri ve İletişim Kurumu’na teslim etmesi talep edilmiştir. RIM’ın anahtarları vermek konusunda isteksiz oluşu sonrasında Bilgi
Teknolojileri ve İletişim Kurumu yetkilileri ile RIM üst düzey yöneticileri arasında gerçekleşen görüşmeler neticesinde BlackBerry marka cep telefonunun
“bilinen anlamda standart bir kripto ile çalışmadığı” belirtilmiş ve yasaklanmayacağı duyurulmuştur (Ateş, 2010). Bu olay, yönetmelik maddesinin teknoloji
ithal eden firmaları da sıkıntıya sokacağına canlı bir örnektir. Diğer yandan
61
Hakan Hekim
kripto yazılımlarının internetten kolay erişilebilir oluşu bu kanunla hedeflenen
kontrolün önemli bir ölçüde sağlanamayacağını da göstermektedir.
Kripto yönetmeliğinde, bilgisayar aracılığıyla gerçekleştirilen kriptolu
iletişime dair herhangi bir ibare bulunmamaktadır. Yönetmeliğe genel olarak
bakıldığında, yönetmeliğin kriptolu iletişim için üretilmiş cihazları kapsadığı
düşünülmektedir. Ancak yönetmelikteki “kriptolu elektronik haberleşme cihazı” tanımı, kapsamın belirsizleşmesine sebep olmaktadır. Yönetmelikte kriptolu elektronik haberleşme cihazı; “[d]ahili ve/veya harici yazılım ve donanım
tabanlı kriptolama elemanı ile birlikte kullanılan telli veya telsiz elektronik
haberleşme cihazı” olarak tarif edilmiştir. Temel donanım birimleri ve uygun
yazılımlarla birlikte normal bir bilgisayarın, yönetmelikte tarif edilen kriptolu
elektronik haberleşme cihazı haline getirilebilmesi mümkündür. Dolayısıyla,
kriptolu iletişime imkan veren bilgisayar sistemleri de bu kapsama giriyor gibi
görünmekle beraber, bu hususun daha detaylı izahına ihtiyaç vardır. E-posta
iletişimini şifreleyebilen pek çok yazılıma internetten erişmek mümkündür. Bu
yazılımlar kırılması imkansız olmasa da kolay olmayan yahut kırılabildiğine
dair bir bilgi bulunmayan algoritmalar kullanmaktadır. Bu tür bir iletişimin
kripto yönetmeliğine göre suç teşkil edip etmeyeceği konusu da belirsizdir.
Sonuç ve Öneriler
Buraya kadar anlatılanlardan kripto teknolojilerinin kullanımının hukuki ve
ekonomik açıdan riskli durumları da beraberinde getirebileceği; bu özelliği sebebiyle devletlerin bu teknolojilerin üretimini, kullanımını ve ihracat/ithalatını
kontrol etmeye çalıştıklarını; kripto pazarının stratejik öneme sahip olduğu,
Türkiye’nin bu alanda önemli bir potansiyele sahip olduğu, ancak yapısal problemler sebebiyle bu potansiyelin kârlılığa dönüştürülemediği anlaşılmaktadır.
Türkiye’nin kripto alanında önemli bir potansiyele sahip oluşu ve bu potansiyelin kârlılığa dönüştürülme ihtiyacı bazı resmi kararlarda da beyan edilmiştir. Türkiye’nin yakın dönem bilim ve teknoloji politikalarının şekillenmesinde
önemli etkisi olan 24 Aralık 2001 tarihli yedinci BTYK toplantısında onaylanan
Vizyon 2023 Projesi bunlardan birisidir. Proje kapsamında üretilen bir raporda
gelecekte önemli olacak 10 adet “katma değer yaratma alanı” belirlenmiş ve
bu alanlar önem puanına göre sıralanmıştır. Bu listede “bilgi güvenliği” alanı
üçüncü sırada yer almaktadır. Raporda bilgi güvenliği, “kişilere ilişkin bilgiyi
saklı tutma ve iletilen herhangi bir bilginin alıcısından başkasına gitmemesini
sağlama” şeklinde iki ayrı alanda ele alınmış; birinci alan için yetkilendirme ve
yetkisizleri dışarıda tutan “kalkanların”, ikinci alan içinse kriptolama tekniklerinin öne çıktığı belirtilmiştir. Raporda kriptolama konusunda sahip olunan
yetkinliğin ulusal katma değere dönüştürülmesi konusunda şu ifadeler yer almaktadır: “İkinci alan olan kriptolama için ulusal ve kurumsal olmak üzere iki
62
Veri Şifreleme Teknolojilerine İlişkin Kullanım ve Üretim Politikaları
ayrı çalışma alanı bulunmaktadır. Ulusal alan, devlet gizliliği ile ilgisi nedeniyle,
kurumsal alandan tümüyle ayrık olarak yürütülmeli ve kurumsal alan ile ilişkileri kesilmelidir. Ancak, ulusal alanda günümüze kadar edinilmiş deneyimler
ve bilgi birikiminin, kurumsal alana aktarılması ile kriptolama alanında dünyada saygın bir konuma ulaşmak şaşırtıcı olmayacaktır” (TÜBİTAK, 2004: 37).
Burada belirtilen kurumsal alandan kastedilenin özel sektör olduğu anlaşılmaktadır. Raporda, kriptolama alanında ulusal bazda elde edilen kazanımların
özel sektöre aktarılarak ticarileştirilmesi ve katma değer haline dönüştürülmesinin beklendiği belirtilmekte ancak bunun nasıl gerçekleştirileceğine dair bir
ipucu bulunmamaktadır. Diğer yandan, Türkiye’de hakim teknolojik rejimin
kripto pazarı gibi yüksek riskli ve yatırım gerektiren bir alanda yeni ürünler
geliştirilmesine imkan vermediği gibi, 2010 yılında kabul edilen ve Kripto Yönetmeliği olarak bilinen kanuni düzenlemenin veri güvenliği alanında yapılan
yatırımlarının kârlılığını olumsuz yönde etkileyebileceği görülmektedir.
Vizyon 2023 Projesinde belirtildiği gibi Türkiye’de kripto üretiminde ulusal alanda önemli bir mesafe alınmıştır. Ulusal alandaki bu kazanımların kurumsal alana aktarılması ve kripto piyasasının canlandırılması kamunun özel
sektörle işbirliğini gerektirmektedir. Kripto pazarının canlandırılması için alınabilecek bir tedbir Türkiye tarafından üretilen kripto algoritmalarının devlet
kurumlarının ve stratejik öneme sahip sektörlerde üretilmekte olan bilginin
korunması için kullanılması olabilir. Bu alanlarda üretilen bilginin, güvenilirliğinden yüzde yüz emin olunamayacak sistemlere emanet edilmesi ülke adına
kötü sonuçlar doğurabilecektir.
Bilindiği gibi UEKAE ve ASELSAN yerli kripto algoritmaların kullanıldığı
cihazların üretimini yapmakta ve ürünlerini sürekli olarak geliştirmektedirler.
Bu kurumların, özellikle UEKAE’nin ABD’deki NIST’e benzer bir rol oynaması
ve kamu ve özel kurumlarda kullanılacak kripto algoritmaları konusunda standart belirleyici ve yol gösterici olması gerekmektedir. Ancak bu şekilde stratejik öneme sahip sektörlerde üretilmekte olan bilginin daha sağlıklı korunması
sağlanabilecektir. Bu türden bilgilerin, güvenilirliğinden yüzde yüz emin olunamayacak sistemlere emanet edilmesi ülke adına kötü sonuçlar doğurabilecektir. Bu yüzden Türkiye’nin elektronik iletişim altyapısının, sağlamlığı hususunda endişe duyulmayan yerli kripto algoritmaları kullanılarak tasarlanması
ve işletilmesi bir zarurettir. Burada dikkat edilmesi gereken önemli bir nokta
üretilecek kripto ürününün güvenilirliğinden şüphe duyulmamasının sağlanmasıdır. Üretilen algoritmanın üretenlerce kırılmasının mümkün olması veya
zayıf bir koruma sağlaması güvenilirlikleri hakkında olumsuz düşüncelere sebebiyet verecek ve ABD’de yaşanan Clipper yongası benzeri bir duruma netice
verecektir. Bunu önlemek için standart olarak belirlenecek algoritma kamuya
açık, şeffaf bir süreç içerisinde belirlenebilir.
63
Hakan Hekim
Öte yandan kripto piyasasının canlanması öncelikli olarak Türkiye’de yazılım ve bilişim hizmetleri sektörlerinin canlanmasına bağlıdır. Bunun içinde
doksanlı yıllardan beri bu konuda kaleme alınmış raporların yeniden değerlendirilmesi ve bu raporlarda ortaya konulan öneriler üzerinde çalışılarak ulusal
bir strateji geliştirilmesi gerekmektedir. Ülkemizde bilgi güvenliğine ilişkin konular ancak medyaya yansıyan siber saldırılarla gündeme gelmekte ve çabucak
gündemden düşmektedir. Bütün gelişmiş ülkeler gibi Türkiye’nin de bilişim
teknolojilerine olan bağımlılığı her geçen gün artmaktadır. Ancak gelişmiş ülkeler siber güvenlik alanındaki açıklarını kapatmak için istikrarlı bir çaba içerisindeyken ülkemizdeki çalışmalar yetersiz ve süreksizdir. Bilgi güvenliğine yönelik saldırılar, bu alandaki temel koruyucu teknolojilerden olan kriptolojinin
öneminin ilerleyen yıllarda daha da artacağını göstermektedir. Türkiye’nin bu
alanda geri kalmaması için kriptolojiyle ilgilenen kurumları destekler nitelikte
uzun vadeli politikalar üretmesi gerekmektedir.
64
Veri Şifreleme Teknolojilerine İlişkin Kullanım ve Üretim Politikaları
Kaynakça
Ateş, H. (2010). BlackBerry’ye yasak yok, Sabah. http://www.sabah.com.tr/
Teknoloji/2010/11/30/blackberryye_yasak_yok
Denning, D. E. (2001), The future of cryptograpy. Peter Ludlow (Ed.) Crypto
anarchy, ciberstates and pirate utopias, A Bradford Book.
Koops, B-J. (2010). Crypto law survey. http://rechten.uvt.nl/koops/cryptolaw/
May, T. C. (2001). The crypto anarchist manifesto. Peter Ludlow (Ed.) Crypto
anarchy, ciberstates and pirate utopias, A Bradford Book.
Messmer, E. (2010). Symantec buying PGP Corp., GuardianEdge for $370 million. Network World. http://www.networkworld.com/news/2010/042910symantec-pgp-guardianedge.html.
Nerkar, A. and Shane, S. (2007). Determinants of invention commercialization:
An empirical examination of academically sourced inventions. Strategic
Management Journal, 28, pp.1155-1166.
Ponemon Institute (2010). Five countries: Cost of data breach. Sponsored by
PGP Corporation. http://www.symantec.com/content/en/us/about/media/pdfs/symantec_cost_of_data_breach_global_2010.pdf
Ponemon Institute (2014). 2014 cost of data breach study: Global analysis.
Sponsored by IBM, http://www-935.ibm.com/services/us/en/it-services/
security-services/cost-of-data-breach/.
Süer, S. Tüyeni, E. ve Koç, Ç. (2009). TÜBİTAK UEKAE’nin başarı yolculuğu.
UEKAE Dergisi, 1(1), pp.9-19.
TÜBİSAD (2008). Türkiye bilgi ve iletişim teknolojileri pazarı ve TÜBİSAD.
http://www.tubisad.org.tr
TÜBİSAD (2015). Bilgi ve iletişim teknolojileri sektörü 2014 yılı pazar verileri.
http://www.tubisad.org.tr
TÜBİTAK (2004). Bilgi ve iletişim teknolojileri (BİT) paneli sonuç raporu.
http://www.tubitak.gov.tr/tubitak_content_files/vizyon2023/bit/bit_panel_sonuc_rapor.pdf
Ungberg, A. J. (2009). Protecting privacy through a responsible decryption policy. Harvard Journal of Law & Technology, 22(2), pp. 537-558.
65
Hakan Hekim
Utilization and Production Policies Regarding Data Encryption
Technologies
Extended Summary
Data encryption is one of the most widely used techniques to ensure the security of digital data. Encryption is employed in many electronic services like
online banking, electronic shopping and e-mail applications to protect personal information. In cryptography, encryption is the process of encoding data
by using mathematical algorithms so that only authorized parties can read it.
Decoding encrypted information is called decryption. The weakest link of the
encryption process is defining a secret key and protecting it against malicious
persons. Encryption techniques can be divided into two by the type of secret
key used: symmetric and asymmetric encryption. In symmetric encryption
both encryption and decryption is conducted by using only one secret key,
but in asymmetric encryption there are usually two types of keys called public
and private keys. Therefore, asymmetric encryption is also called public key
cryptography.
This article presents national and international policies regarding to data
encryption policies. First part of the article discusses the importance of data
encryption technologies. The second part of the article presents policies regarding to the use and production of data encryption technologies. The third
part of the article summarizes the condition of information technologies sector in Turkey and the fourth part presents use and production policies regarding to data encryption in Turkey. The article ends with a discussion of policies
that should be applied in Turkey to support development of information security sector.
Data encryption is a reliable and widely used technique for information
security purposes. As long as it is strongly encrypted, lost or theft of data is not
a big problem because with current CPU power, decryption without knowing
the secret key would not take weeks but years. With the advances in the computer hardware and software, data encryption became available to everyone.
Most of the commercial or open software used in daily life provide password
protection or encryption option to users. On the other hand, the availability
of data encryption technologies creates some important risks for law enforcement agencies because criminals can easily employ them to hide their activities. Because of that, some people argue that it is necessary to control the use,
production and commercialization of data encryption technologies in order to
prevent offenders to employ them for criminal purposes. On the other hand,
another group argues that data encryption is an important tool for ordinary
citizens to protect themselves from their government’s intrusion into their private life.
66
Veri Şifreleme Teknolojilerine İlişkin Kullanım ve Üretim Politikaları
The difficulty of decoding encrypted data without the secret key created
the crypto-anarchy concept. According to the crypto-anarchy, utilization of
strong data encryption algorithms will change social and economic relations
because it would be possible to establish secure communication channels, to
achieve secret money transactions and to hide real identities on digital platforms with the help of data encryption. As a result of that, people prefer online platforms for their daily transactions and that would weaken government
controls. Supporters of crypto-anarchy view crypto-anarchy as inevitable and
necessary. According to them only crypto-anarchy can achieve the realization
of the real liberalism. On the other hand, opponents of crypto-anarchy argue
that elimination of all government control would only bring chaos. To prevent such a chaotic end, cryptographers suggested different methods for the
protection of the secret key. Key escrow is one of them. Key escrow technique
requires people to give a copy of their secret key to a trusted institution. If the
user would lose his secret key, he can get a copy of it from the trusted institution. Moreover, if a court would order to decode an encrypted message or data,
it could be achieved by using the secret key stored in that institution. Although
it sounds very practical to store a copy of all secret keys at a trusted institution, key escrow technique has been criticized for its difficulties and couldn’t
be implemented yet.
The possibility of the dual use of cryptography and its potential to restrict
law enforcement agencies’ search and wiretap ability caused some countries
to take its use and production under control or ban completely. According
to a report published by the Electronic Privacy Information Center in 2000,
cryptography has been banned in only a few countries. Moreover, most of the
countries that were applying restrictions on the use of cryptography, has relaxed those restriction after the release of OECD’s Guidelines for Cryptography Policy. Therefore, it can be said that there is a trend toward the liberalization of the use of cryptography. However, there are still restrictions on the
production and commercialization of cryptographic products.
When we examine the export restrictions on the cryptographic products,
we can see that countries exercise those restrictions as a result of some international conventions. For example, CoCom (Coordinating Committee for
Multilateral Export Controls) was an international organization to control the
export of strategic products and technical know-how to certain countries. CoCom released the ban on general-purpose cryptographic products but worked
to prevent the export of those same products to countries considered dangerous like Libya, Iraq, Iran and North Korea. CoCom ceased to function in 1994
but member countries continue to restrict export of dual use products to the
banned countries. Another convention restricting the export of cryptographic
products to dangerous countries is Wassenaar Arrangement which controls
67
Hakan Hekim
the export of dual use products that can be used both civilian and military
purposes. Wassenaar Arrangement restricts the export of cryptographic products to certain countries except general-purpose cryptographic tools. After
the Wassenaar Arrangement, European Union has also regulated the export
of cryptographic products with EC 1334/2000. The EU regulation brought license requirements for the export of certain products to non-EU countries.
There is not much information about the development of field of cryptography in Turkey. Like in many countries, production of cryptography and
cryptographic tools began as a government project in Turkey. The triggering
event for the production of cryptographic tools in Turkey was political and
economic embargo on Turkey after the Cyprus Peace Operation because the
embargo caused Turkey to push local production capabilities. Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) and ASELSAN was two national
agencies producing crypto algorithms and crypto products. MILON-1 was
the first cryptographic communication tool produced by UEKAE for Turkish
Army. The success of MILON-1 is followed by other military communication
products like MILSEC, MILCEP and MILOF. UEKAE is now producing cryptographic products for NATO countries.
A recently new regulation called “Crypto Directive” which was enacted
on 2010 has brought new restrictions on the production and import of cryptographic tools in Turkey. While the directive is not banning organizations
from using cryptographic tools, it introduces new rules for the companies
producing or importing cryptographic tools. For example, in order to be able
to get license for a cryptographic product, producing or importing company
must deliver the algorithm used in the product with the key and key generation module to the government. There is not any arrangement in the Directive
about how and in what conditions government would use those keys. Obviously those rules introduce severe disadvantages for the companies because
the Directive requires companies to deliver its intellectual property to the government without specifying any protective measure.
Finally, it can be said that Turkey has an important capability to produce
cryptographic tools. To achieve further development on this field, Turkey must
find ways to transfer at least some portion of that knowledge to private sector and to help building information security tools. It is apparent that Crypto
Directive is an important obstacle for information security sector in Turkey.
Therefore, a review and renovation of related regulations also seem necessary
for the development of the field.
68