Twitter’s Fight Against Tor

Due to unusual activities, Twitter has locked my account to keep it safe couple months ago. According to Twitter, the reason of the lock and the unusual activity was my account did spam and detected by the Twitter spam system. However, there was no spam activity by my account and the main reason for the lock was my connection came from Tor network! Today, my account is locked by Twitter with the same reason again. Guess what? I’m still a proud Tor user.

twitterspam1

Probably, the first question is going to ask me why I’m still using Twitter even this “locking the Tor user account behaviour” known by the public. And indeed, this is a logical and the right question. Twitter is one of the most used social media network with Facebook in Turkey. Aside its popularity among the Turkish users, if we consider the censorship, surveillance, suppression and censorship of the local media, violation of the human rights including right to privacy, communication privacy, freedom of expression etc in Turkey, Twitter is giving more semi-free freedom of expression space for its users than its competitors. –Also note that, I’m excluding Turkish government’s daily tweet delete/censor requests from Twitter for this topic.-

Moreover, it’s really hard to attract Turkish people to get them use other tools or networks for communication and impossible to change their daily Internet usage from mobile or PC. And I (and also many people’s) don’t have an extra energy nor time for this. Also, Twitter is one of the easiest way to get “true” news or a network that you can verify whether the news is true or not and this is one of the main reason to have a Twitter account in Turkey. Besides these, my other reason to choose Twitter was to share my articles about anonymity, privacy, censorship, freedom of speech and digital rights in Turkey to attract attention of the Turkish users.

twitterspam2

First of all, Twitter’s spam fight is not logical and not sustainable. Under an oppressive and non-democratic regime like Turkey, Twitter is taking away this semi-free freedom of expression space from the Tor users who may share an important thing or wants to verify a news or has a capacity to verify/share a news for the public interest etc by a nonsense spam system. Moreover, Twitter asks a phone number to send a verification code to unlock it from its users whose privacy is under danger by these oppressive regimes. Honestly, Twitter is blocking the Tor network and does not care who uses it. Also, it is not checking the accounts and believe me I know this may take a lot of time and energy. But this won’t change the wrongfulness of the spam system logic. Yes, we know that Twitter delete or censor tweets, block or lock accounts etc. And sadly, you’re “free” in Twitter as much as it gives you. But this mind must change! It has to be changed!

Last and to keep it short, this time I’m not going to get in touch with Twitter to unlock my account. I have no idea whether Twitter is aware of this lock situation affects many users or not. But, I’m (and also many Tor users) pretty sure that this is not the right way to fight against spam!

Çalışanın İzlenmesi ve İş Yerinde Gizlilik Hakkı

Gizlilik hakkından yazılarda devamlı bahsediyorum fakat bunu kategorilendirip hiç yazmadım. Özellikle sanayi devrimi ve teknolojinin çok hızlı ilerlemesi, üretim için büyük avantajlar getirdiyse de işverenin açgözlülüğü, çalışma saatleri ile özel hayatın iç içe geçmesi dünyayı kocaman bir ticari köy haline getirdi. Peki teknoloji bu konuda kimin tarafını tutuyor?

Ofisi 7/24 izleyen kameralar, işverenin sağladığı cep telefonların takibi ve hatta dinlenmesi, bilgisayarların uzaktan kontrolü, hangi siteye girdiklerini, kimlerle e-posta trafiğine sahip olduklarını ve çalışma ortamına ani ziyaretlerle günümüz iş ortamlarının gizlilik haklarının en çok ihlal edildiği yerlerden biri haline geldi. İşverenin genel düşüncesi bellidir; daha çok kâr etmek, üretim sürecinde çalışanların iş saatleri ve hatta bunu nasıl kullandıkları üzerine tam kontrole sahip olmak. Bu da sonuç olarak gizlilik hakkının işverenin ekonomik çıkarlarıyla ters düştüğünü söylemektedir. Özellikle ticari sırların ifşası, çalışanların güvenirliği  işvereni gizlilik ihlaline ittiği konusunda durulsa da çalışanın iş saatleri ile özel hayatının birbirine girmiş olması, bu iki durumun birbiri içine girdiğini göstermektedir.

Amerika’da yapılan bir araştırmada çalışanlar iş saatlerinin %25’ini Internette gezerek ve e-posta okuyarak harcadıkları ve her 5 işletmeden biri aşırı/yersiz e-posta kullanımından çalışanlarını çıkartmakta olduğunu söylüyor. Bunun bir sonucu olarak, işveren sistem yönetimi masraflarını arttırıyor, çalışanların üzerindeki kontrol ve izleme varlığı üretkenliği azaltıyor, e-posta ve Internet aktivitesini bir denetim süzgecinden geçmeye başlıyor. Böylece, iş ortamında takip edilen ve hareketleri izlenen bir çalışan verimliliğini, çalışma ortamı ise moral ve güveni kaybetmektedir.

Bir çalışanın gizliliği nasıl ihlal edilebilir (Privacy in the Digital Environment, s. 152)?

  • E-postaların takibi. Günümüzde işverenler çalışanlarına (hepsi olmasa da) bir e-posta adresi sağlamaktadır. Bu e-postaların içerikleri disk üzerinde bir yer kapladığı için işveren bu konuda istediği gibi davranabilmektedir. Bunu şöyle örneklendireyim; diyelim ki size gelen bir e-postayı silseniz dahi disk üzerinden silinip silinmediği konusunda herhangi bir fikre sahip olamazsınız. Denetim de sizin elinizde olmadığı için işveren isterse bu sildiğinizi düşündüğünüz e-postaları belirli kurallarla (mesela anahtar kelimeler) inceleyebilir.
  • Internet takibi. İşyerinde Internet olmazsa olmazlardan. Bazen belirli sitelerin erişeme kapatılması (çalışma alanından dolayı) mümkün olmayabiliyor. Böyle olunca da işveren çalışanlarının hangi sitelere girip buralarda ne kadar zaman kaybettiklerini de öğrenmek isteyebiliyor. Analiz sonuçları, çalışanın azar yemesini ve hatta işten atılmasına kadar işi götürebiliyor.
  • İçeriğin filtrelenmesi. Genel anlamıyla tam bir gizlilik ihlali olmasa da anahtar kelimelerle belirli algoritmalar üzerinden içeriğin filtrelenmesi erişim olanaklarını olumsuz yönde etkilemekte, bazen çalışanın ihtiyaç duyduğu içeriklere ulaşamamasına neden olmaktadır.
  • Yüklenen yazılımların takibi. Burada temel neden iş ortamında kullanılan bilgisayarlara zararlı yazılımların bulaşmasını engellemek ve lisanssız yazlımlar yüzünden sıkıntıya düşmemektir. Fakat, bunun takibi iş saatleri dışında olabildiğinden biri sizin bilgisayarınızı bunun için tarayabilir ve size sormadan yazılımları silebilir. İşveren size o bilgisayarı verdi diye kafasına estiğince siz yokken girip incelemesi bir ihlaldir.

Sıradan eleştirerek ilerleyelim:

E-postalar yukarıda da bahsettiğim üzere siz silseniz dahi disk üzerinde kalabilir ve işveren tarafından incelenebilirler. Bir diğer nokta da e-postaların bu şekilde takip edilmesi üçüncü şahısların gizlililiğini de ihlal etmektedir. Şöyle anlatayım; e-posta gönderdiğiniz kişinin iletişim bilgilerini ve mesaj içeriğini sadece sizinle onun arasında geçen bir iletişime ait olarak kullanıldığını düşünürken, işverenin bunu takibe alması hem mesajı hem de iletişimde olduğunuz kişiye ait (varsa) özel bilgilerin ifşasına neden olur. Bu yüzden işveren sadece çalışanının gizlilik hakkını değil iletişim halinde olunan üçüncü kişilerin de gizlilik hakkını ihlal eder.

Çalışanın Internet’te hangi sitelere girdiğini, hangisinde ne kadar süre harcadığını detaylı bir şekilde takip etmek uzaktan zararsız gibi gözükebilir. Hatta şöyle bir inanç da var; işveren uygunsuz bir şeyi farkederse çalışanını azarlar, konu kapanır. Durum malesef bundan daha karışık. Şimdi bunu örneklendirerek anlatayım. Diyelim ki siz bir eşcinselsiniz (illa olmanız şart da değil), eşcinsel arkadaşlık sitelerini ziyaret ediyor, LGBT haberleri okuyor, etkinliklerini takip ediyorsunuz. İşvereniniz ise Internet takibi yaptığı için sizin eşcinsel olduğunuzu (olmasanız bile) düşünüyor, eğer eşcinselliğe olumsuz yaklaşıyorsa iş yerinde (sadece işveren tarafından değil) size karşı homofobik tutumlar sergilenebilir, cinsel tacizlerde bulunulabilir. Tekrar diyeyim, illa eşcinsel olmanız da şart değil. Eşcinsel cinayetlerin sayısındaki artışa ait bir haber bile homofobik bir işvereni size karşı olumsuz tutumlar içine itebilir. Devam edelim, bir kanserle ilgili doktor sitelerini gezip bilgi toplamanız işverenin sizi hasta olarak algılamasına ve sizinle uzun vadeli çalışamayacağını düşünüp işten çıkarmaya bile yol açabilir.

İçerik filtrelemesi -bence- en zarar veririci ihlallerden biridir. Bunda biraz daha uç örnekler vereyim. Çalıştığınız iş yeri çeşitli kelimeleri filtreliyor ve bunlara her türlü erişim yasaklanıyor. Örneğin, ateizm, ateist, atheist, atheism, agnostik gibi kelime grubunu filtrelenmiş durumda. Bu, sadece Internet’te ateizm ilgili herhangi bir içeriğe erişimi değil ateist çalışanların ifade özgürlüğü ve inanç özgürlüğünü de etkiler. Buna gizlilik literatüründe dondurucu etki de denir. Hem doğrudan hem de dolaylı yoldan çalışanın gizliliği ihlal edilmiş olur, beraberinde diğer özgürlükleri (ifade, inanç vs) de kısıtlanmış olur.

E-posta, Internet takibi ve içerik filtrelemesini bir arada incelersek; Internette gezmek ve e-postalar çalışanın kendi kişisel kimliğine işaret eder. Ayrıca, iş yeri çalışanların birçok etkileşimde bulunduğu sosyal bir alandır. Bu alanda gizlilik hakkının korunması gerekir. Internet’te özgürlük konuşma özgürlüğü tarafından korunur. Takip edildiğini bilen bir çalışan kendini açıkça ifade edemeyecektir. Böylece konuşma özgürlüğü engellenmiş olacaktır. İnancını, cinsel görüşünü veya düşüncelerini gizlemek, iş yerinde yaşayabileceği baskılardan dolayı da olmadığı gibi gözükmek durumunda kalabilir. Ayrıca, tüm bu haklar birbirleri ile etkileşim halindedir. Örneğin, inanç özgürlüğü, bunu ifade edemedikten ya da bu inancın gerekliliklerini yerine getiremedikten ve özgürce bunları söyleyemedikten sonra bir şey ifade etmez. Bununla birlikte, çalışanların beklentilerine işveren tarafından saygı duyulması gerekir. İşverenin bu şekilde yapacağı takipler ya da işverenin böyle bir takip yaptığı söylememesi, çalışanları olumsuz yönde etkiler.

Size tahsis edilen bilgisayara herhangi bir yazılım kurdunuz ve siz yokken bu yazılım farkedildi. Görevli bilgisayarı açtı ve yazılımı sildi. Sabah geldiniz, bilgisayarınızı açtınız, yazılım yok, biri bilgisayarınıza “böyle şeyler kurma” diye not bırakmış.  Size tahsis edilen bilgisayar, bir başkasının kafasına göre açıp bir şeyleri silebileceği ya da kurabileceği bir şey olmamalıdır. Burada genel bahane sisteme sızabilecek, bilgi çalabilecek her türlü zararlı içeriğin yüklenen yazılımdan gelebileceğidir. Eğer böyle bir olasılıktan bahsediliyorsa, bunu engellemek çalışanın bilgisayarının takibi ile değil çalışana temin edilecek yazılımdan, iyi bir güvenlik duvarından, anti-virüs programlarından vs. geçer. Ek olarak, bana göre bir görevlinin gelip “Bilgisayara ne yükledin? Aç bakacağım!” demesi bile kabul edilebilir bir şey değildir.

Başka bir olumsuzluktan bahsedecek olursak, çalışma ortamının evden olduğu durumlarda işverenin herhangi bir takip yapması sadece çalışanın gizliliğini ihlal etmez. Çalışanın aile ve özel yaşamına dair gizlilik hakları da çiğnenmiş olur. İşveren şunu iyi anlamalı; çalışan onun mülkiyeti değildir. Eğer tüm bu izlemeleri ticari sırların, şirkete ait özel bilgilerin ya da lisansların sızdırılmasını ya  da kaynak israfını engellemek amacıyla yaptığını söylüyorsa, işveren bunlar için gizlilik haklarını ihlal etmeye yönelmemeli. Onun yerine bu hakların sızdırılması ve sonrasında işvereni koruyacak ve iş yerinde gizlilik hakkını ihlal etmeyecek yasaların oluşturulması için çaba sarfetmelidir.

Teknoloji bu konuda kesinlikle tarafsız olmalı. Ne pazarı domine eden gücün haklarını ne de bir başkasının haklarını koruyup diğerlerini hiçe saymalı. Yukarıda da bahsettiğim üzere bu haklar iç içe geçmiş durumdadır. Konuşma özgürlüğü olmayan bir çalışandan inanç özgürlüğü beklenemez. Bu, toplum için de geçerlidir. Bir gizlilik hakkının ihlali iş ortamını bir taciz ortamına dönüştürebilir. Çalışanı dolaylı (veya doğrudan) olarak farklı görüşlerin baskısı altında kalmasına neden olabilir.

Sonuç, çalışan iş yerindeki gizliliğini kontrol edememekte, Internet’te hangi sitelere girdiği, gönderdiği e-postalar takip edilmekte, konuşma özgürlüğünden uzak ve verimliliğini kaybetmektedir. İş yerinde gizlilik hakkı daha çok pazar güçleri tarafından gizlice düzenlendiği için işveren kâr maksimizasyonu hırsıyla birçok tacize ve hak ihlaline neden olabilecek bir iş ortamı oluşturmaktadır. İş yerinde gizlilik hakkı ve çalışanın izlenmesini engellemek yasal bir düzenleme ile korunmalıdır.

Anonim Hesapların Korunması

Üye olduğunuz bir sitenin hiç Privacy Policy kısmını okuyor ya da sizi yasal süreçte neler bekliyor farkında mısınız? Gelin küçük bir inceleme yapalım.

İddiam şu; hemen hemen hiçbirimiz üye olduğumuz sosyal medya sitelerinin gizlilik politikaları (Privacy Policy) bölümünü okumuyoruz. Okumuyoruz ve eğer bizimle ilgili herhangi bir yasal süreç işlerse, bu noktada üyesi olduğumuz sosyal medya sitelerinin nasıl tepki verebileceğini, bizimle ilgili nerenin/hangi yasalara uygun olarak ifşalarda bulunabileceğini de bilmiyoruz. Diyelim ki, benim (çok kullanılan hesaplardan biri olarak) bir last.fm hesabım var (siz başka sitelerin Privacy Policy kısımlarını inceleyebilirsiniz, iyi de olur.), bununla birlikte bir de anonim kimliğim “X“‘e ait, aktivistlik yaptığım bir Twitter hesabım var. Ayrıca, Twitter daha önce Türkiye hükümetinin yapmış olduğu bilgi paylaşımı isteğini reddettiği için üzerime de bir rahatlık çökmüş durumda.

Öncelikle last.fm’in Privacy Policy sayfasının 16 numaralı, yasal olarak mecbur kalınan ifşalar anlamına gelen “Legally-Compelled Disclosures” bölümüne bakalım:

We believe in privacy and therefore will take all reasonable measures to ensure that your personally identifiable information remains private. However, in the event that we are required to disclose personally identifiable information by a court, the police or other law enforcement bodies for their investigations, regulation or other governmental authority we will make such a disclosure without being in violation of this Policy.

Diyorlar ki, bizler gizliliğe inanıyoruz ve kişisel kimliğinizi saptayabilecek bilginizin gizli kalaması için tüm sorumlulukları alacağız. Fakat, bir olayda bizden kişisel kimliği saptayacabilecek bilginin mahkeme, polis ya da kanun uygulayıcının araştırmaları, düzenlemeleri ya da  devletin diğer bir yetkilisi tarafından istenirse bu politikayı ihlal etmeden bir ifşada bulunuruz. İddiamın olasılığını merak edip last.fm ile iletişime geçtim. Soru olarak da:

Örneğin, ben bir internet akvisitiyim ve ayrıca last.fm hesabım da var. Bir şekilde devlet, Twitter’da yazdıklarım için ifşa edilebilir kişisel bilgilerimi Twitter’dan istedi ve Twitter reddetti. Daha sonra last.fm hesabımı farkettiler (tweet’lerden) ve sizden benim kişisel bilgilerimi istedi. Bu noktada siz ne yaparsınız?

dedim. Sorduğum bu soru için bana 25 Kasım‘da “bunu hukuki olarak kabul ettiklerini ve konuyla ilgili bir araştırma yapacaklarını” söyledir. Tabi tüm bunları söylerken de tam bir açıklama olmadığını, bu açıklama üzerinden hiçbir hak talep edilemeyeceğini ve şirkete çemkirilemeyeceğini de belirttiler. Bunu belirtmezsem ben de last.fm’e ayıp etmiş olurum.

2 gün sonra, 27 Kasım‘da gelen yeni cevapta ise last.fm’in ilgili ülkenin tatbik edilebilir kanunları  ile birlikte “Legally-Compelled Disclosures“‘a uygun olarak yükümlüğünü yerine getireceğini ve bireysel sorunlar üzerine daha fazla yardımcı olamayacaklarını belirttiler. Yani, eğer sizin kişisel bilgileriniz last.fm’in belirttiği doğrultuda (mesela mahkeme kararı, devlet yetkilisinin isteği gibi) istenirse (muhtemelen diyelim biz gene) kanun uygulayıcı ile paylaşılacaktır.

Örnek senaryo; yukarıda bahsettiğim iddiama uygun olarak bir senaryo oluşturayım. Diyelim ki ben anonim kimliği “X” olan bir internet aktivistiyim (aktivist olmanız şart değil). Twitter üzerinde iktidar karşıtı söylemlerde (küfür de ediyor olabilirsiniz) bulunuyorum. Bir yandan last.fm profilimle ilgili bir şeyler paylaşıyorum (tekrar diyeyim last.fm şart değil, sadece bir örnek!). Diğer yandan Hayyam rt’leri yapıyorum (hahah). Eğer, benim hesabımın bir savcı tarafından polise (ya da başkasına) takibinin yapılması için bir istekte bulunulmuşsa polis, önce Twitter’a gidecektir. Twitter, polisi reddeder, işbirliğinde bulunmayacağını, kullanıcı bilgilerini paylaşmayacağını söylerse, polis; bu sefer takip ettiği hesabımın başka hesaplarla ilişkili olup olmadığını inceleyecektir. Çünkü (felix‘e teşekkürler), mecra (Twitter, last.fm vs) farketmeyecek (mecra sadece nerenin savcılığının soruşturacağı noktasında anlamlı), savcılık resen veya şikayet doğrultusunda benim profilimi inceleyip kanun uygulayıcıya vermişse, kanun uygulayıcı incelemesi için önce Twitter’a, sonra eğer ben diğer hesaplarımı burada paylaşmışsam oradan hareketle gidecektir. Bunun bir sonucu olarak, benim anonimliğim tehlikeye girmiş, ayrıca önümde bir yasal süreç olacaktır.

Sonuç, anonim hesaplarınızı ve sizi ifşa edebilecek diğer sosyal medya hesaplarınızı birbirleri ile ilişkilendirmeyin. Anonim kimliğinize ait hesaplarınızla yapmak istediğiniz şey neyse sadece onu yapın. Diğer sosyal medya hesaplarınızı da bu yaklaşımla kullanırsanız, anonim ve gerçek hesaplarınızı birbirinden ayrı tutmada ilerleme kadedersiniz. Bunu sansür olarak da algılamayın lütfen. Diğer sosyal medya hesaplarınızı silmeniz için bir neden olarak da düşünmeyin. Vurgulamak istediğim şey iddiamda da söylediğim üzere kendimizi sosyal medyanın içine atıp orada kayboluyor, başımıza bir şey gelene kadar da üyelik sözleşmesi olsun, gizlilik politikaları olsun hiçbirini okumuyor ve incelemiyoruz. Dikkatli olmakta ve hesapları temiz tutmakta fayda var! Çünkü kullandığınız servis tarafından anonim hesabınıza ait kişisel bilgileriniz paylaşılmasa bile bu hesapta üzerinde paylaştığınız diğer servisler sizin bilgilerinizi ifşa edebilir.

PGP Kullanın

Bir uygulamayı nasıl kullanabileceğinize dair rehberler hazırlanırken, hazırlayan kişi -kaçınsa da- kendisi nasıl kullanıyorsa öyle anlatır. Bu bir hata değildir, bunda yanlış bir şey yoktur. Az bildiği anlamına da gelmez. Aynı şekilde alışkanlıklarının dışına çıkması onu anlatacağı şeyde hata yapmaya da götürebilir.

Böyle bir giriş yaptıktan sonra PGP üzerine hazırlanan bu rehberin, yazan kişinin kullanım çerçevesinde ilerleyeceği için “eksik” olduğu düşünülen noktalar aslında bilerek boş bırakılmıştır. Adım adım ilerleyecek olursak:

  1. PGP, e-posta ve dosyaların güvenliği için bir kriptolama ve doğrulama (matematiksel kısmı için aramaya inanın) aracıdır. Sizlere gönderdiğiniz dosyanın ya da e-postanın şifrelenmesini ve başkaları tarafından okunmamasını (ya da sadece gönderdiğiniz kişi tarafından okunabilmesini), gönderen kişinin kimliğini doğrulamayı ve gönderilen dosya ya da e-postanın yapısının bozulmadan size ulaşmasını (ya da bozulup bozulmadığını anlamanızı) sağlar.
  2. Kullandığınız e-posta sağlayıcı ne kadar güvenli olursa olsun e-posta mahremiyeti artık ayaklar altına alındığı için gönderdiğiniz e-postaları bu yöntemle göndermeniz güvenliğinizi kat kat arttıracak, e-posta içeriğiniz üçüncü şahıslar tarafından okunamayacaktır.
  3. PGP anahtarları oluşturmak için açık kaynak veya ticari yazılımlar mevcuttur. GNU/Linux kullanan biri olarak sadece GPG; GnuPrivacyGuard ve Terminal üzerinden gideceğim. O yüzden açık bir terminaliniz olursa hemen başlayabilirsiniz. Çünkü her şeyi onun üzerinde yapacağız. “#” komut, “>” ise terminal çıktısıdır.

Dağıtımınızın ne olduğunu bilmediğim ve bilemeyeceğim için paket yöneticinizden gnupg‘nin kurulu olup olmadığına bir bakın. Eğer kurulu değilse kurun. Her şeyin artık hazır olduğunu varsayarak;

# gpg --gen-key
> Please select what kind of key you want:
> (1) RSA and RSA (default)
> (2) DSA and Elgamal
> (3) DSA (sign only)
> (4) RSA (sign only)

Burada sizlere ne tür bir kriptolama yöntemi kullandığınız soruluyor. Varsayılan olan 1’i seçip (1 ve enter) yolumuza devam ediyoruz.

> RSA keys may be between 1024 and 4096 bits long.
> What keysize do you want? (2048)

Anahtarınız ne kadar güçlü olacak burada belirleyeceğiz. En büyük olanı iyidir diyoruz. 4096 yazın ve devam edin.

> Please specify how long the key should be valid.
> 0 = key does not expire
> = key expires in n days
> w = key expires in n weeks
> m = key expires in n months
> y = key expires in n years
> Key is valid for? (0)

Burada anahtarınızın ömrünü biçeceğiz. Bir nevi son kullanım tarihi. Sınırsız olmasını pek tavsiye etmiyorum. 3-5 gün sonra dolması da bana mantıklı gelen bir şey değil (eğer paylaşmayacaksanız). İdeal olarak 1-2 sene seçilebilir. 1y ya da 2y yazarak devam edebilirsiniz.

> GnuPG needs to construct a user ID to identify your key.
> Real name:
> Email address:
> Comment:
> Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?

Adınız veyahut takma adınız, kullanacağız e-posta adresiniz, anahtarla ilgili -varsa- yorumunuz (bu daha çok neden kullandığınız, ne işi yaradığı ile ilgili olabilir), son olarak O yazarak devam ediyoruz. Karşınıza şifre belirlemeniz için bir pencere açılacak. Buraya büyük, küçük harf, rakam ve işaretler kullanarak en az 10 karakterlik bir şifre yazıyorsunuz. İleride unutmayacağınız fakat güçlü bir şifre yazmanız sizin yararınıza olacaktır.

Anahtarın oluşturulabilmesi için rastgele bytes’a ihtiyaç olacak. Bu yüzden film açın, tarayıcınızda sitelere girin, metin editörüne bir şeyler yazın. Anahtarın oluşması biraz zaman alacaktır. Oluştuğunda ise:

> gpg: key ******** marked as ultimately trusted
> public and secret key created and signed

Şeklinde bir çıktı alacaksınız. ******** (rakam ve harflerden oluşan 8 hane) sizin anahtarınızın ID’si olmaktadır. Bu ID ayrıca 40 hanelik fingerprint’in son 8 hanesidir.

Sıra geldi oluşturduğumuz anahtarımızı nasıl kullanabilir, paylaşabiliriz, yedekleyebilir ve silebiliriz kısmına. Diyelim ki elinizde önemli bir dosya var ve kimsenin açık kurcalamasını istemiyorsunuz:

# gpg -e ******** dosya.txt

Dosyanızın kriptolanmış hali olan dosya..txt.gpg‘nin oluştuğunu göreceksiniz. Açmak isterseniz:

# gpg -d dosya.txt.gpg
# gpg --output dosya.txt --decrypt dosya.txt.gpg

Anahtarınızı paylaşmanızın iki yolu var. Biri anahtarınızı dışa aktarıp (ASCII-armored) göndermek, bir diğeri de anahtar sunucularına yollamak. ASCII-armored için:

# gpg --output anahtarım.asc --export -a ********

Böyle e-postanız üzerinden anahtarım.asc‘yi arkadaşlarınıza gönderebilirsiniz. Herhangi bir sunucuya göndermek için:

# gpg --send-key ********

Böylece arkadaşlarınız paylaştığınız anahtarınızı kullanarak sizlere kriptolanmış e-posta veya dosya gönderebilecekler. Şimdi size gönderilen bir anahtarı nasıl aktarabileceğinize bakalım:

# gpg --import arkadaşımınamahtarı.asc

Arkadaşınız eğer anahtarını sunuculardan birine göndermiş ve siz sadece ID’sini biliyorsanız:

# gpg --recv-key ********

Size gönderilen bir anahtarı doğrulamak isterseniz muhakkak fingerprint’ini karşılaştırın.

# gpg --fingerprint ********

Aynı şekilde anahtarınızı imzalamanız da anahtarı kullanan kişilere anahtarın sahibi olduğunuzu söyler.

# gpg --sign-key ********

Çok önemli bir adım olarak anahtarınızı nasıl yedeklersiniz? Öncelikle anahtar(larınızı) listelemek için:

# gpg --list-keys

Açık anahtarınız; pub 4096R/ ve gizli anahtarınız; sub 4096R/ ‘den sonraki 8 karakterlik kısımdır. Açık anahtarınızı yedeklemek için;

# gpg -ao açıkanaharım.key --export ********

Gizli anahtarınızı yedeklemek için;

# gpg -ao gizlianahtarım.key --export-secret-keys ********

Silinirse geri yüklemek için;

# gpg --import açıkanahtarım.key
# gpg --import gizlianahtarım.key

Bu yedekleri usb diskinizde saklayabilir, cd’ye yazdırabilirsiniz. Önemli olan bunları kaybetmemek. Bununla birlikte, anahtarı iptal etmek (revoke) bilmemiz gereken başka bir şeydir. Bir anahtar neden iptal edilire gelirsek (bu bilginiz olsun kısmı):

  1. Şifrenizi unutmuşsunuzdur ve hatırlama ihtimaliniz yoktur.
  2. Anahtarınızı kaybetmişsinizdir ve geri yükleyemiyorsunuzdur.
  3. Birileri tarafından kullandığınız şifre bulunmuştur.

Her türlü kötü durumları bu konuda kafanızda canlandırabilirsiniz. Ama temel olarak bu üç neden kafanızın bir yerinde bulunsun. İptal edilmiş bir anahtar ile karşılaştığınızda hatırlarsınız.

Revoke anahtarı oluşturmak için:

# gpg --gen-revoke ********

Anahtarı aktarmak için:

# gpg --import revoke.asc

Eğer anahtarı bir sunucuya göndermişseniz revoke edilmiş anahtarı tekrar göndermeniz o anahtarın iptal edildiğini gösterecektir.

Son olarak, oluşturduğunuz anahtarı ve sahip olduğunuz anahtarları silmek isterseniz:

# gpg --delete-secret-key ********
# gpg --delete-key 'arkadaşım@epostası'

O kadar uğraştık, bir e-posta göndereceğim ama nasıl diyorsanız, diyelim ki göndereceğiniz kişinin anahtarı sizde mevcut ve bir metin editörü ile (ben vim kullanıyorum bana bakmayın) e-postada anlatmak istediklerinizi yazdınız;

# gpg -e -u 'BenimanahtarIDim' -r 'ArkadaşımınanahtarIDsi' eposta.txt

Eklentiye eposta.txt.gpg‘yi koyun ve gönderin. Arkadaşınız yukarıda bahsettiğimiz şekilde e-posta.pgp.txt’yi açacak ve e-postayı okuyacaktır. Ben biraz eski kafalı olduğum için bu şekilde yapıyorum. Kullandığınız e-posta istemcisi (Thunderbird, Claws vs) ya da web tabanlı e-posta istemciniz bunu otomatik yapıyor olabilir. Onu sizin keşfetmeniz gerekecek.

Tekrar tekrar söylemeye gerek yok ama ben gene söyleyeyim. Kullandığınız e-posta servisi ne kadar güvenilir olduğunu iddaa ederse etsin, siz PGP kullanın!