Geçen hafta çıkan bir haber belki dikkatinizi çekmiştir. Emniyet içinde bir ‘gizli’ FETÖ’cü grubu daha ortaya çıktı, toplam 445 polis gözaltına alındı.

Bu operasyonun arkasında çok çarpıcı bir öykü var.

Yıl 2017. Yürütülen bir Fethullahçı Terör Örgütü (FETÖ) soruşturmasında bugün kod adını ‘Garson’ diye bildiğimiz kişi yakalandı.

Bu kişi itirafçı olmaya karar verdi ve polis ile MİT’e önemli bilgiler aktardı. Bu bilgiler sayesinde yapılan bir operasyonda da iki adet SD bellek kartı ele geçirildi.

Polis hemen bu kartları okumak, içindeki bilgilere erişmek istedi. Kartlardan biri okundu. İçinden FETÖ üyesi dört bine yakın polisin adı çıktı. Ama ikinci kart bir türlü okunamıyordu; çünkü AES 256 adı verilen şifreleme standardıyla şifrelenmişti.

ABD’nin en üst şifreleme standardı

AES ‘Advanced Encryption Standard-İleri Şifreleme Standardı’nın kısaltması. Bu şifreleme standardını iki Belçikalı matematikçi, Joan Daemen ve Vincent Rijmen geliştirdi. Onların bu şifreleme yöntemi daha sonra Amerikan Ulusal Teknoloji ve Standartlar Enstitüsü –National Institute of Standards and Technology (NIST) tarafından şifreleme standardı olarak kabul edildi.

İnternet çağında yaşıyoruz. Sanmayın ki Amerikan devletinin bir kurumu olan NIST’in bu standardı sadece Amerikan devletinin kurumlarını ilgilendiriyor; hayır bu standart şifreleme bugün dünyanın her yerinde özel veya kamusal fark etmez her kurum tarafından da, kullanmak isteyen sivil vatandaşlar tarafından da kullanılabiliyor.

Her gün her şeyde şifreli haberleşme kullanıyoruz

Geçmişte şifreli haberleşme casuslara, devletlere, askerlere vs özgü bir şeydi. Ama internetin ortaya çıkması ve gündelik haberleşmenin ezici çoğunluğunun internet üzerinden yapılıyor olması herkes için şifreli, yani güvenli haberleşme ihtiyacı doğurdu.

Düşünün, her gün bankanızda işlem yapıyor veya kredi kartınızla alışveriş ediyorsunuz. Bütün bunların güvenli yapılabilmesinin, istenmeyen kişilerin bu bilgilere erişmesini engellemenin yegane yolu kuvvetli şifreleme sistemleri kullanmak.

AES, tam olarak 2001 yılından beri bu amaçla kullanılan ve en güçlü şifreleme sistemi diye bilinen sistemin adı.

Mümkün olduğu kadar teknik ayrıntıdan kaçınmaya çalışıyorum, ama bugün konuştuğumuz AES’e giden yolu anlatmak için şifreleme hakkında bilgi vermeliyim.

Şifrelemenin yumuşak karnı: Anahtar

Şifreli haberleşme insanların hiç değilse bir bölümü için çok eski zamanlardan beri bir ihtiyaç. Bu ihtiyacı karşılamak için de türlü çeşitli yöntemler geliştirmişler. Ancak bütün bu yöntemlerin bir zayıf tarafı var: Şifre anahtarı.

Öyle ya, en azından şifreli mesaj göndereceğiniz kişi o şifreyi çözüp mesajı okumak için gereken anahtara sahip olmalı.

O yüzden yüzyıllar boyunca şifrenin kendisinden daha gizli olan şey o şifre anahtarıydı. Mesajı okuması istenmeyen kişiler anahtarı ele geçirecek veya çözecek olursa şifrelemek de anlamsızlaşacaktı.

Modern haberleşme teknolojileri şifrenin doğasını da değiştirdi. Örneğin 2. Dünya Savaşı’nda Alman ordusu ve gizli servisi bugün adı artık ‘Enigma’ olan özel bir şifreleme makinesi kullanıyordu. Bir daktiloyu andıran bu makinede mesaj şifrelenirken her gün farklı şifreleme düzeni kullanılıyor, telsizle iletilen şifreli mesajları okuyacak insanlara da her günün şifreleme düzenini bildiren bilgiler gönderiliyordu. Onlar şifreli mesajı aynı makineye girerken o bildirilen düzeni kuruyor, böylece klavyede şifreli yazılan mesaj kağıda okunabilir olarak çıkıyordu.

Ancak biliyorsunuz, İngilizler büyük matematikçi Alan Turing’in sayesinde bu şifreleri çözdü, Almanya’nın Britanya adasına yönelik büyük denizaltı kuşatması bu sayede ortadan kaldırıldı, savaş büyük ölçüde bu sayede kazanıldı.

1991’de şifre teknolojisinde yaşanan devrim

Neyse lafı çok uzatmayayım, internet çağına geldiğimizde bu şifreleme ihtiyacı için devletlere ait olmaktan çıkıp herkese ait olacağı için yeni bir yöntem gerekiyordu. Bu yöntemi 1991 yılında Amerikalı bilgisayar bilimci Phil Zimmermann geliştirdi. ‘Pretty Good Privacy’ ticari adı verilen bu yöntem şifrecilikte devrim niteliğindeydi: Artık iki şifre anahtarı vardı, birini herkes görebiliyordu, diğerini ise göremiyordu.

Sistem kabaca şöyle işliyordu: Herkesin görebildiği şifre anahtarı son derece uzun bir rakam dizisiydi. Rakam dizisinin özelliği onu üretmekte kullanılan çarpma işleminden geliyordu. Bu rakam en az biri asal sayı olan iki sayının çarpımından oluşuyordu.

Yani şifreyi çözmek isteyenler bu son derece uzun rakam dizisini meydana getiren iki çarpanı, en az biri asal sayı olan sayıları bulmalıydı (Asal sayılar, biliyorsunuz kendisinden ve 1’de başka hiçbir sayıya tam olarak bölünemeyen sayılar. Örneğin 7 bir asal sayı, onu sadece kendisine ve 1’e tam olarak bölebilirsiniz, diğer bütün bölme işlemlerinde artık sayı kalır. Dolayısıyla asal sayılar iki sayının çarpımı yoluyla da elde edilemeyen sayılardır aynı zamanda.)

Gerek çok uzun bir rakam dizisini çarpanlarına ayırmak ve gerekse bu çarpanların en az birinin asal sayı olup olmadığını kontrol etmek en güçlü bilgisayarlar için bile çok ama çok zaman alan bir işlem.

Anahtar uzadıkça şifre zorlaşıyor

Bu sistemde şifreli mesajı okumak isteyenin şifreyi çözme süresi çarpım işleminde kullanılan asal sayının hane sayısının çokluğuyla orantılıydı. Yani diyelim 4-5 haneli bir asal sayıyı kullanacak olursanız şifreyi çözme süresi kısalıyordu ama mesela 64 haneli, mesela 128 haneli, mesela 256 haneli asal sayı kullanırsanız şifreyi çözmek giderek imkansızlaşıyordu.

İşte Belçikalı iki matematikçinin geliştirdiği ve 2001 yılından beri Amerika’nın başlıca şifreleme standardı olan AES de temelde bu yöntemle çalışıyor, ama ilaveten farklı düzeylerde yeniden yeniden şifreleme yapıyor. Bunu üst üste atılmış şifreli düğümler gibi düşünün. Çok katmanlı bir şifreleme.

Amerika’nın ‘Top Secret’ dokümanları

AES’in üç farklı seviyesi var. Birinci seviye 128 bitlik seviye. Burada kullanılan anahtar 128 karakter uzunluğunda. İkinci seviye 192 bit. Yani anahtar 192 hanelik bir dizi. En güçlü seviye ise 256 bit.

Amerikan hükümeti bu 256 bitlik seviyeyi kendi ‘çok gizli’ dokümanları için mecburi standart olarak kullanıyor. Pek çok bilim insanına göre 256 bitlik şifreleme seviyesi ‘kuantum seviyesi.’ Yani bu şifreyi istenen zamanda çözmek için kuantum bilgisayara ihtiyaç var.

Çözmenin tek yolu zaman ve inat

Buraya kadarki açıklamalarımdan tahmin ettiniz, matematiksel olarak bu şifrelerin çözülmesi imkansız değil; sadece zaman ihtiyaç var. Ama şifreciler şunu varsayıyor: Onlar benim şifremi çözene kadar o bilgi zaten önemini kaybeder, dolayısıyla çözdüklerinde onlar için anlamsız hale gelir.

Örneğin 4 haneli kredi kartı PIN numaranızı doğru tahmin edebilmek için şansınıza bağlı olarak 9,999 kez deneme yapmalısınız. 6 haneli mobil bankacılık şifreniz için 99,999 kez. Bu şifreler zayıf şifreler olduğu için üç denemede başarısız olduğunuzda sistem bir süre için (bazen kalıcı olarak) kilitlenir, yeni deneme yapamazsınız. Bu arada bankanın güvenliği hemen uyanır, hesap sahibini uyarır veya hesabı da işleme kapatır.

Şifre çözmekte zaman bunun için önemli. Tabii bir de çözmek için inatçı olacaksınız.

Meraklısı için buraya AES 256’nın nasıl çalıştığını anlatan bir video koydum; dünyada bu konuyla ilgili herkesin zaten yakından bildiği bir şey AES 256.

İkinci SD kart için polis kime güvenecek?

Lafı nereye getireceğimi tahmin ettiniz: 2017’de polisin bulduğu iki SD karttan ikincisine, yani şifresi çözülemeyene geliyoruz şimdi.

Türk polisi geçmişte bazı güçlü bilgisayarları paralel bağlayarak bazı şifreleri çözmüştü. Örneğin Ergenekon döneminde böyle çözülmüş şifreler polis raporlarına da yansımıştı. Ama AES 256 ile kıyaslandığında o şifreler çok daha zayıftı. Nitekim polisin 2017’de şifresini çözdüğü ilk SD kart böyle zayıf bir yöntemle şifrelenmiş, o sayede de açılabilmişti.

Ama ikinci kart farklıydı. Bu fark da içindeki bilginin çok daha önemli olduğunu söylüyordu soruşturmacılara. Peki ama nasıl çözülecekti? Bir de unutmayın, yıl henüz 2017’ydi ve soruşturmacılar kime güvenecekti? 

Aslında böyle bir konu olduğunda ilk bakılması gereken adres TÜBİTAK’a bağlı Kriptoloji Enstitüsüydü. Devletin bütün şifrelerini oluşturan bu kurum ciddi bilgi birikimine elemana ve güçlü bilgisayarlara sahipti. Ama bir sorun vardı: Bu kurum daha dün denecek kadar kısa zaman önce FETÖ kontrolundaydı, devletin bütün şifrelerini bu sayede ele geçirmişti FETÖ’cüler ve kriptolu telefonları bile dinlemişlerdi. Bugün oraya güvenilebilir miydi?

Polis bunun üzerine Hakan Fidan sayesinde ciddi bir bilgi teknolojileri altyapısı ve insan kaynağı edinmiş olan MİT’e döndü. Zaten FETÖ’nün gizli haberleşme programı ByLock’u da MİT yakalamış ve çözmüştü.

MİT’in bilgisayarları 6 yıl boyunca buna çalıştı

İkinci SD kart MİT’e gönderildi. MİT’teki şifre uzmanı matematikçiler çok güçlü bilgisayarları paralel bağlayarak AES 256’ya saldırmaya başladı.

Bilgisayarcıların dilinde bir şifreyi bu şekilde çözmenin adı ‘Brut force attack.’ Yani kaba güçle saldırı. Bilgisayarlar o SD kartın şifrelendiği asal sayıları bulmak için art arda hesap yapmaya ve denemelere başladı.

Ve işte bu kaba güçle saldırı tam altı yıl sürdü. Altı yıllık çalışmanın sonunda o SD kart da artık çözüldü.

Sakın 6 yılı çok uzun süre sanmayın; çünkü bilgisayar bilimciler düne kadar bu süreyi 11-12 yıl diye tahmin ediyordu. Oysa MİT denedi ve altı yılda çözdü.

Kartın içinden 150 bin sayfa çıktı

Peki üzerinde altı yıl çalışılan SD kartın içinden ne çıktı? İşte ilk neticeyi biliyorsunuz, polis teşkilatının her düzeyinde 445 son derece gizli eleman daha ortaya çıkarıldı. 

Ya başka? Şimdilik elimizde bilgi kırıntıları var. 

SD kartın içinden çıkanların toplamının 150 bin sayfayı bulduğu söyleniyor. Yine sızan bilgilere bakılacak olursa bu belgeler Fethullah Gülen’e gönderilen raporlar, mektuplar, örgüt üyeleriyle ilgili bilgiler, mahrem imamlar; kısaca gizlilik gerektiren her ayrıntıyı içeriyor.

Şimdi umalım ki aradan geçen altı yılda kartın içindeki bilgiler eskimemiş olsun, gösterilen bunca çaba boşa gitmesin.