Tor'un Tarihi: ABD Deniz Kuvvetleri Projesi Nasıl İnternetin Anonimlik Ağına Dönüştü
ABD Deniz Kuvvetleri Casusları Gizlemek İçin İnşa Etti: Tor ve Soğan Yönlendirmenin Gizli Tarihi
Gezegendeki en çok kullanılan anonimlik ağı, gizlilik aktivistleri tarafından kurulmadı. Onu Amerika Birleşik Devletleri ordusu inşa etti — daha doğrusu, istihbarat görevlilerinin devlet için çalıştıklarını ilan etmeden açık interneti kullanabilmesini sağlayacak bir yola ihtiyaç duyan ABD Deniz Kuvvetleri Araştırma Laboratuvarı'ndaki matematikçiler ve bilgisayar bilimcileri. İcat ettikleri teknolojiye soğan yönlendirme (onion routing) deniyor; bundan doğan yazılımın adı ise Tor.
Ama Tor'un nasıl çalıştığını ve bugünkü biçimiyle neden var olduğunu açıklayan paradoks tam da burada: yalnızca casuslar tarafından kullanılan gizli bir iletişim aracı işe yaramaz, çünkü ağı izleyen herkes ağdaki herkesin casus olduğunu görebilir. Deniz Kuvvetleri'nin anonimlik sistemi, kendi kullanıcılarını gizleyebilmek için gazetecilere, aktivistlere, suçlulara, araştırmacılara ve dünyanın dört bir yanındaki sıradan insanlara teslim edilmek zorundaydı. Bu makale o tarihi tam olarak izliyor — kim inşa etti, ne zaman ve neden — ve ardından çoğu "Tor mu VPN mi" yazısının yapmaktan kaçındığı şeyi yapıyor: her birinin gerçekte neyi gizlediğini dürüstçe anlatıyor.
Tek ölümcül kusuru olan bir casus ağı
Bir istihbarat teşkilatının özel, şifreli bir ağ kurduğunu ve yalnızca kendi saha görevlilerinin kullanmasına izin verdiğini düşünün. Şifreleme kusursuz; kimse mesajları okuyamaz. Yine de yıkıcı bir sorun var. İnternet trafiğini gözlemleyebilen herhangi biri — örneğin düşman bir hükümetin telekom operatörü — kimin o ağa bağlandığını görebilir. Şifrelemeyi kırmaya gerek yoktur. Bir yabancı başkentteki bir bilgisayarın "ABD hükümeti anonimlik sistemiyle" konuştuğu gerçeği başlı başına sırrın ta kendisidir ve artık ifşa olmuştur.
Tor'un tasarımının kalbindeki temel kavrayış budur. Anonimlik tek bir kişinin değil, bir kalabalığın özelliğidir. Tek kişilik bir grubun içinde saklanamazsınız. Bunun teknik adı anonimlik kümesidir (anonymity set): kullanıcı kitlesi ne kadar büyük ve çeşitliyse, içindeki herhangi bir bireyi ayırt etmek o kadar zorlaşır. İnternette gezinen bir askeri istihbarat görevlisi, ancak Brezilya'daki bir öğrenci, Türkiye'deki bir gazeteci ve Almanya'daki bir gizlilik meraklısı tam aynı anda tam aynı ağı kullanıyor ve birbirlerinden ayırt edilemiyorsa görünmezdir.
Yalnızca casusların kullandığı özel bir ağ, üzerinde "casus burada" yazan neon bir tabeladır. Hükümetin trafiğini gizlemenin tek yolu, onu herkesin trafiğinin içine gömmekti.
Tor'un kendi yaratıcıları daha sonra bu noktayı açıkça ortaya koyan bir makale yazdılar; akılda kalıcı başlığı şuydu: "Anonimlik Kalabalığı Sever" (Anonymity Loves Company). Bir anonimlik sisteminin kullanılabilirliği ile güvenliği ayrı meseleler değildir — aynı meseledir. Başka kimsenin kullanmadığı bir araç hiç kimseyi koruyamaz, onu inşa edenler dahil. İşte bu yüzden Deniz Kuvvetleri soğan yönlendirmeyi gizli ve kilitli tutamazdı. Hedeflediği kullanıcıları koruyabilmek için onu dünyaya vermek zorundaydı.
Deniz Kuvvetleri Araştırma Laboratuvarı'nda doğdu
Soğan yönlendirme, 1990'ların ortalarında Washington D.C.'deki ABD Deniz Kuvvetleri Araştırma Laboratuvarı'nda (NRL) ortaya çıktı. Onu icat ettiği kabul edilen üç araştırmacı: matematikçi Paul Syverson ile bilgisayar bilimcileri David Goldschlag ve Michael Reed. Amaçları somut ve gösterişsizdi: kamuya açık ağlar üzerinden geçen ABD istihbarat iletişimini koruyarak, hassas trafiğin kaynağının ve hedefinin bir gözlemci tarafından yeniden kurgulanmasını engellemek.
Çalışmanın ilk kamuya açık tanımı 1996'da, bir bilgi gizleme çalıştayında sunulan "Hiding Routing Information" (Yönlendirme Bilgisini Gizlemek) başlıklı makalede yer aldı. Ekip ayrıca bir patent başvurusu da yaptı; "Onion routing network for securely moving data through communication networks" başlıklı ABD Patenti 6.266.704, ABD Deniz Kuvvetleri'ne devredildi ve 2001'de verildi. İlk prototip — bazen sıfırıncı nesil soğan yönlendirme olarak anılır — kavram kanıtını küresel bir ağdan ziyade bir araştırma gösterimine daha yakın biçimde tek bir makinede çalıştırıyordu.
Ad, tekniğin birebir tarifidir. Bir mesaj, tıpkı bir soğanın katmanları gibi, ardışık şifreleme katmanlarına sarılır ve geçtiği her aktarıcı (relay) tam olarak bir katmanı soyar — mesajı bir sonraki durağa iletmeye yetecek kadarını öğrenir, fazlasını değil. Hiçbir aktarıcı aynı anda hem kim olduğunuzu hem de ne yaptığınızı görmez.
Soğan yönlendirme sade bir dille
Tor üzerinden bir sayfa açtığınızda gerçekte olan şudur. İstemci yazılımınız, dünyaya dağılmış gönüllülerin işlettiği üç aktarıcı üzerinden bir yol — devre (circuit) adı verilir — oluşturur. Trafiğiniz, bilgisayarınızdan ayrılmadan önce iç içe geçmiş üç katmanda şifrelenir.
Giriş (ya da bekçi/guard) aktarıcısı gerçek IP adresinizi görür — yani kim olduğunuzu bilir — ancak katmanlı şifreleme sayesinde hangi siteyi ziyaret ettiğiniz veya ne gönderdiğiniz konusunda hiçbir fikri yoktur.
Orta aktarıcı iki ucu da görmez. Yalnızca veriyi bekçiden aldığını ve çıkışa iletmesi gerektiğini bilir. Mühürlü bir paketi devreden, gözleri bağlı bir kuryedir.
Çıkış (exit) aktarıcısı son katmanı soyar ve isteğinizi hedef web sitesine gönderir. Ne yaptığınızı görür — hedefi ve şifrelenmemiş içeriği — ama sizin değil, orta aktarıcının adresini görür. Kim olduğunuz hakkında hiçbir fikri yoktur.
Sistemin güvenliği bu bilgi ayrımından gelir. Kimliğinizi bilen parça (bekçi) etkinliğinize karşı kördür. Etkinliğinizi bilen parça (çıkış) kimliğinize karşı kördür. Sizi deşifre etmek için bir saldırganın genellikle devrenizin hem girişini hem çıkışını kontrol etmesi veya gözlemlemesi ve trafiğin zamanlamasını ilişkilendirmesi gerekir — gerçek ama zorlu bir saldırı. Tor ayrıca varsayılan olarak zamanla yeni devrelere geçer, yani tek bir yola bağlı kalmazsınız.
İlerleyen bölümlerde Tor'u bir VPN ile karşılaştırırken en çok önem taşıyacak yapısal fark budur: Tor'da güven üç bağımsız tarafa dağıtılmıştır ve hiçbiri sizi tek başına deşifre edemez. Tek bir operatör resmin tamamını elinde tutmaz.
Deniz Kuvvetleri projesinden kâr amacı gütmeyen kuruluşa: Tor Project'in doğuşu
Bugün çoğu insanın kullandığı teknoloji sürümü — başlangıçta The Onion Router'ın (Soğan Yönlendirici) kısaltması olan "Tor" — ikinci nesil bir yeniden tasarımdır. 2002 dolaylarında NRL'den Paul Syverson, dışarıdan iki geliştiriciyle — Roger Dingledine ve Nick Mathewson — birlikte çalışarak soğan yönlendirmeyi pratik, dağıtılabilir ve küresel bir şeye dönüştürdü. Tor ağının ilk aktarıcıları Ekim 2002'de devreye girdi ve temel tasarım makalesi olan "Tor: The Second-Generation Onion Router", 2004'te USENIX Security Symposium'da yayımlandı.
Kritik olan, projenin açık kaynak hâle gelmesiydi. Deniz Kuvvetleri Tor kodunu özgür ve açık bir lisansla yayımladı; bu da herkesin kodu okuyabileceği, denetleyebileceği, bir aktarıcı işletebileceği ve gizli bir arka kapı olmadığını doğrulayabileceği anlamına geliyordu — tüm değeri kullanıcıların ona duyduğu güvene dayanan bir araç için olmazsa olmaz bir özellik. 2004'te Electronic Frontier Foundation (EFF) devreye girerek sürdürülen geliştirmeyi finanse etti ve Tor'u salt askeri bir soydan çıkarıp sivil özgürlükler dünyasına taşımaya yardımcı oldu.
Aralık 2006'da geliştiriciler, kurucuları arasında Dingledine, Mathewson ve Syverson'ın da bulunduğu The Tor Project, Inc.'i 501(c)(3) statüsünde, kâr amacı gütmeyen bir araştırma ve eğitim kuruluşu olarak kurdular. Tor Project o günden bu yana ABD hükümeti hibelerini (National Science Foundation, Dışişleri Bakanlığı'nın internet özgürlüğü programları ve bugün U.S. Agency for Global Media olarak bilinen kurum), özel vakıfları ve bireysel bağışları içeren karma bir kaynak yelpazesiyle finanse edildi. Projenin kendi misyonu ve yazılımı hakkındaki açıklamasını Tor Project sayfasında okuyabilirsiniz.
Tor mu VPN mi: iki farklı türde güven
Çoğu "Tor mu VPN mi" karşılaştırması soruyu, gizlilik tek bir ayar düğmesiymiş gibi, hangisinin "daha gizli" olduğu üzerinden kurar. Bu çerçeveleme yanlıştır. Dürüst fark şudur: kime güvenmek zorundasınız ve o ne görebiliyor?
Ticari bir VPN kullandığınızda trafiğiniz cihazınızdan VPN sağlayıcısının sunucusuna kadar şifrelenir; sunucu da bunu sağlayıcının IP adresini kullanarak geniş internete iletir. Bu, etkinliğinizi internet servis sağlayıcınızdan ve ziyaret ettiğiniz web sitelerinden gizler (onlar sizin değil, VPN'in IP'sini görür). Ama neyi yapmadığına dikkat edin: VPN sağlayıcısının kendisi ortada durur ve hem gerçek IP adresinizi hem de bağlandığınız her hedefi görebilir. Tek güven noktasını ortadan kaldırmış olmazsınız — onu yalnızca ISP'nizden VPN şirketinize taşımış olursunuz. Her şey o tek sağlayıcının dürüstlüğüne, günlük tutma (logging) politikasına ve hukuki baskıya karşı direncine bağlıdır.
Tor tam da o tek güvenilen tarafı ortadan kaldırmak için tasarlandı. Üç aktarıcılı yapısı, hiçbir varlığın — ne bekçinin, ne çıkışın, ne de web sitesinin — aynı anda hem kim olduğunuzu hem ne yaptığınızı bilmediği anlamına gelir. Tor'un yaptığı takas budur:
VPN = tek sağlayıcılı güven. Tek bir şirket hem kimliğinizi hem de hedeflerinizi görür. Hızlı, basit, trafiği ISP'nizden ve sitelerden gizlemek için iyi — ama yalnızca o tek şirket kadar güvenilir.
Tor = dağıtılmış güven. Üç bağımsız aktarıcı, merkezi operatör yok, hesap yok, ödeme izi yok. Deşifre edilmeye karşı çok daha güçlü — ama daha yavaş ve çıkışta kendine özgü bir zayıf noktası var.
Farklı işler. VPN, güvenilen bir operatörü olan bir gizlilik ve erişim aracıdır. Tor ise herhangi bir operatöre güvenme ihtiyacını tümüyle ortadan kaldırmak için tasarlanmış bir anonimlik sistemidir.
Listicle'ların atladığı çıkış düğümü sorunu
İşte üstünkörü karşılaştırma yazılarının atlama eğiliminde olduğu ayrıntı. Tor çıkış aktarıcısı, isteğinizi hedefe ulaştırmak için Tor şifrelemesinin son katmanını soyduğundan, çıkış operatörü açık (şifrelenmemiş) gönderdiğiniz her şeyi görebilir. Bir siteye düz, şifrelenmemiş HTTP üzerinden giriş yaparsanız, çıkış aktarıcısı kullanıcı adınızı ve parolanızı okuyabilir. Tor o aktarıcıdan kim olduğunuzu gizler, ancak içeriğinizi web sitesiyle uçtan uca sihirli biçimde şifrelemez.
Bu teorik bir mesele değildir. 2007'de güvenlik araştırmacısı Dan Egerstad bir avuç Tor çıkış aktarıcısı kurdu ve dünya genelindeki onlarca büyükelçilik ile hükümet hesabına ait çalışan e-posta giriş bilgilerini topladı — Tor'u kırarak değil, dikkatsiz kullanıcıların çıkış düğümlerinden geçirdiği şifrelenmemiş trafiği yalnızca okuyarak. Bugün de geçerli olan ders şudur: düşmanca olan biri de dahil, herkes gönüllü olarak bir çıkış aktarıcısı işletebilir; bu yüzden Tor kullanırken hedefe kadar taşıma şifrelemesi (HTTPS) hâlâ son derece önemlidir.
Buna karşılık, bir VPN'in "çıkışı" rastgele anonim bir gönüllü değil, sizin seçtiğiniz ve (ideal olarak) incelediğiniz sağlayıcıdır. Hiçbir model kesin olarak daha güvenli değildir — farklı şekillerde başarısız olurlar. VPN riski bilinen bir tarafta yoğunlaştırır; Tor onu bilinmeyen taraflara dağıtır. Hangisinin kabul edilebilir olduğu, tamamen neye karşı savunma yaptığınıza bağlıdır.
Tor gerçekte kimi korur — ve karanlık ağ sorunu
Mitolojiyi bir kenara bıraktığınızda Tor'un gerçek dünyadaki kullanıcı tabanı geniş ve çoğunlukla sıradandır. Araştırmacı gazeteciler haberlerini araştırmak ve kaynaklarını korumak için kullanır. Büyük haber kuruluşları ve insan hakları grupları Tor tabanlı muhbir/ihbar gönderim sistemleri işletir — gazete ve dergiler dahil pek çok yayın organının kullandığı açık kaynaklı SecureDrop platformu, Tor'un gizli servis teknolojisine dayanır. Ağır sansürün olduğu ülkelerdeki aktivistler ve sıradan vatandaşlar açık ağa ulaşmak için onu kullanır. Polis ve istihbarat teşkilatları ise tam da NRL'deki ilk gerekçeyle kullanır: kuruluşlarının IP adreslerini ilan etmeden işlerini yapmak için. Edward Snowden'ın 2013'te sızdırdığı NSA belgeleri arasında, ağın NSA'nın tüm kullanıcılarını istediğinde güvenilir biçimde deşifre edemeyeceği kadar etkili olduğundan yakınan, açık sözlü başlığıyla "Tor Stinks" (Tor Berbat) adlı bir kurum sunumu bile vardı.
Bir de itibar sorunu var. Bir gazetenin anonim bir ihbar hattı barındırmasını sağlayan aynı gizli servis özelliği, yasa dışı pazaryerlerinin de faaliyet göstermesine olanak tanır — en bilineni 2013'te kapatılan Silk Road uyuşturucu pazarı. Tor'un çarpıcı "karanlık ağ" imajının kaynağı budur. Ama oran önemlidir: Tor trafiğinin ezici çoğunluğu, sıradan internette anonim olarak gezinen insanlardır. Soğan servisleri (yalnızca Tor üzerinden erişilebilen .onion adresli siteler) etkinliğin küçük bir kesridir ve suç pazarlarından, sansürlü bölgelerdeki okurlara hizmet etmek için bunları işleten ana akım haber siteleri ve büyük platformların aynalarına kadar uzanır.
Hükümetler kırmaya çalıştıkları şeyi neden finanse eder
Tor'un tarihindeki en tuhaf gerçek, ABD hükümetinin onu aynı anda hem fonlaması hem de alt etmeye çalışmasıdır — ve her iki davranış da mantıklıdır. Bir hükümetin farklı bölümlerinin farklı görevleri vardır. İnternet özgürlüğü ve dış politika programları güçlü, popüler bir anonimlik ağı ister, çünkü bu ağ otoriter rejimler altındaki muhaliflere ve gazetecilere iletişim kurma imkânı verir ve — kuruluş paradoksuna dönersek — aynı kurumların kendi operatörleri de ancak milyonlarca başka insan aynı aracı kullanıyorsa gizlenebilir. Az kullanıcılı zayıf bir Tor, onlar dahil kimseyi korumaz.
Bu sırada aynı hükümetin sinyal istihbaratı ve kolluk birimlerinin belirli hedefleri gözetlemek gibi bir görevi vardır ve onlar için güçlü bir anonimlik ağı bir engeldir. Bu yüzden ağa karşı saldırılar araştırırlar. "Hükümetin" tek bir hedefi olan tek bir aktör olmadığını kabul ettiğinizde ortada çelişki kalmaz. Tor'un kısmen hükümet parasıyla varlığını sürdürmesi, doğduğu paradoksun kurumsal ifadesidir: azınlığın anonimliği, çoğunluğun anonimliğini gerektirir.
Sonuç: tehdit modeline göre seçin, gürültüye göre değil
"Tor mu VPN mi daha gizli?" sorusunun yanıtı yoktur, çünkü yanlış sorudur. Doğru soru şudur: neyi ve kimden gizliyorsunuz? Kararınızı tehdit modelinize göre verin.
Gezinmenizi ISP'nizden gizlemek ya da içerik engellerini iyi bir hızla ve tek bir güvenilen operatörle aşmak mı? Bu iş için VPN uygundur — yeter ki sağlayıcıya gerçekten güvenin, çünkü o yaptığınız her şeyi görebilir.
Hiçbir tarafın kimliğinizi etkinliğinizle ilişkilendirememesi gereken durumlarda — bir gazeteci, kaynak, muhalif ya da araştırmacı için — teşhisi engellemek mi? Tor'un dağıtılmış güven tasarımı tam da bunun için yapıldı; daha düşük hızları ve düşmanca çıkış aktarıcılarına karşı korunmak için HTTPS gerekliliğini kabul ederek.
Ağın büyük bölümlerini izleyebilen güçlü bir düşmanla mı karşı karşıyasınız? Hiçbir tüketici aracının sihirli bir pelerin olmadığını anlayın; operasyonel disiplin (neye giriş yaptığınız, neyi açığa çıkardığınız) çoğu zaman aracın kendisinden daha önemlidir.
Tor'un tarihi nihayetinde sezgilere aykırı bir tasarımın dersidir. Sahip olduğumuz en güçlü gizlilik ağı, bir askeri istihbarat laboratuvarının gizlilik ile kalabalığın zıt kavramlar olmadığını — birkaç önemli insanı gizlemenin tek yolunun herkesi korumak olduğunu — anlamış olması sayesinde var. Soğan yönlendirme Deniz Kuvvetleri'nden kazara sızmadı. Bilinçli olarak yayımlandı, çünkü çalışabilmesinin tek yolu buydu.
Sıkça Sorulan Sorular
Tor'u kim yarattı?
Tor'un üzerine inşa edildiği teknoloji olan soğan yönlendirme (onion routing), 1990'ların ortasında ABD Deniz Kuvvetleri Araştırma Laboratuvarı'nda Paul Syverson, David Goldschlag ve Michael Reed tarafından icat edildi. Modern Tor yazılımı ise 2002 dolaylarından itibaren Syverson'ın, daha sonra Aralık 2006'da kâr amacı gütmeyen Tor Project'i kuran Roger Dingledine ve Nick Mathewson ile birlikte geliştirildi.
Tor'u ve Deniz Kuvvetleri Araştırma Laboratuvarı'ndaki soğan yönlendirmeyi gerçekten ABD hükümeti mi yaptı?
Evet. Soğan yönlendirme, başlangıçta hükümet ve istihbarat iletişimini çevrimiçi olarak korumak amacıyla Deniz Kuvvetleri ve sonrasında DARPA tarafından finanse edilen bir ABD Deniz Kuvvetleri Araştırma Laboratuvarı projesiydi. Kod bilinçli olarak açık kaynak şeklinde yayımlandı ve Tor Project bugün de fonunun bir kısmını vakıflar ve bağışçıların yanı sıra ABD hükümetinin internet özgürlüğü programlarından alıyor.
Casuslar için yapıldıysa Tor neden kamuya açıldı?
Çünkü anonimlik bir kalabalık gerektirir. Yalnızca hükümet ajanlarının kullandığı bir ağ, üzerindeki herkesi anında hükümet ajanı olarak teşhis ederdi. Hedeflediği kullanıcıları gizlemek için aracın gazetecilere, aktivistlere ve sıradan insanlara açılması gerekiyordu; böylece büyük ve çeşitli bir kitle içinde tek bir kullanıcı öne çıkmaz.
Tarih ve tasarım açısından Tor ile VPN arasındaki fark nedir?
Tor, bir askeri araştırma projesinden, güveni üç bağımsız aktarıcıya dağıtan ve hiçbir tarafın aynı anda hem kim olduğunuzu hem ne yaptığınızı bilmediği, kâr amacı gütmeyen bir anonimlik ağına dönüştü. VPN ise tek bir sağlayıcının trafiğinizi yönlendirdiği ve hem kimliğinizi hem hedeflerinizi görebildiği ticari bir hizmettir. Tor tek güvenilen tarafı ortadan kaldırır; VPN ise güveni, incelemek zorunda olduğunuz tek bir şirkette yoğunlaştırır.
Tor ile karanlık ağ aynı şey mi?
Hayır. Tor, sıradan interneti gizlilik içinde kullanmak için bir anonimlik ağıdır ve trafiğinin büyük çoğunluğu olağan web gezinmesidir. "Karanlık ağ", yalnızca Tor üzerinden erişilebilen .onion gizli servislerini ifade eder; bunlar etkinliğin küçük bir alt kümesidir ve suç pazarlarından meşru muhbir sistemlerine ve sansürlü bölgelere yönelik haber aynalarına kadar uzanır.
Tor kullanmak güvenli mi ve çıkış düğümü riski nedir?
Tor kimliğinizi güçlü biçimde korur, ancak son aktarıcı — çıkış düğümü — hedefe ulaşmak için Tor'un son katmanını soyduğundan, şifrelenmemiş gönderdiğiniz her trafiği okuyabilir. Düşmanca olan biri de dahil herkes bir çıkış aktarıcısı işletebilir; 2007'de bir araştırmacı bu yolla büyükelçilik giriş bilgilerini ele geçirdi. HTTPS siteleri kullanmak bunu hafifletir, çünkü içeriğiniz çıkışta bile hedefe kadar şifreli kalır.
Tor mu VPN mi seçmeliyim?
Kararınızı hangisinin "daha gizli" etiketlendiğine göre değil, tehdit modelinize göre verin. VPN, trafiği ISP'nizden gizlemek ya da içeriğin engelini tek bir güvenilen operatör ve iyi bir hızla aşmak için uygundur. Tor ise gazetecilik, kaynaklar veya sansürü aşmak gibi hiçbir tarafın kimliğinizi etkinliğinizle ilişkilendirememesi gereken durumlar için, hız pahasına uygundur.
