Discord, platform üzerindeki sesli ve görüntülü aramaları yetkisiz erişimlere karşı korumak amacıyla özel olarak geliştirdiği uçtan uca şifreleme (E2EE) protokolü olan DAVE'yi tanıttı. Bu yenilik, Discord'un sesli ve görüntülü görüşmelerde veri güvenliğini artırmayı hedefliyor.
DAVE, E2EE sisteminin kodunu ve uygulamasını denetleyen Trail of Bits'teki siber güvenlik uzmanlarının yardımıyla geliştirildi. Yeni protokol, özel kanallardaki birebir sesli ve görüntülü görüşmeleri, küçük grup sohbetlerindeki sesli ve görüntülü görüşmeleri, büyük grup görüşmeleri için kullanılan sunucu tabanlı ses kanallarını ve gerçek zamanlı yayını kapsayacak.
Discord'un duyurusunda, "Bugün DM'lerde, Grup DM'lerinde, ses kanallarında ve Canlı Yayın akışlarında ses ve videoyu E2EE kullanarak korumaya başlayacağız" ifadelerine yer verildi. Ayrıca, kullanıcıların aramaların uçtan uca şifrelendiğini doğrulayabilecekleri ve bu görüşmelerdeki diğer üyelerin doğrulamasını gerçekleştirebilecekleri belirtildi.
Başlangıçta oyun topluluğu için iletişim aracı olarak kurulan Discord, zamanla ortak ilgi alanlarına sahip gruplar, içerik üreticiler, işletmeler ve çeşitli topluluklar için dünya genelinde popüler bir iletişim platformuna dönüştü. DAVE'nin tanıtılması, 200 milyondan fazla kullanıcıya sahip bu platformda veri güvenliğini ve gizliliği artırmak için önemli bir adım olarak değerlendiriliyor.
Discord, DAVE protokolü ve destekleyen kütüphanelerini açık kaynaklı hale getirme kararı aldı. Bu karar, güvenlik araştırmacılarının sistem üzerindeki incelemelerini yapabilmelerine olanak tanırken, aynı zamanda topluluğa karşı şeffaflığı garanti altına alan teknik bir raporun da yayınlanmasını sağladı.
DAVE TEKNİK GENEL BAKIŞ
DAVE, medya çerçevelerinin (ses ve video) şifrelenmeden önce WebRTC kodlu dönüşüm API'sini kullanarak şifrelenmesini sağlar. Alıcı uç, bu çerçeveleri şifresini çözer ve ardından kodunu çözer. Sadece başlıklar ve ayrılmış diziler gibi özel kodek meta verileri şifrelenmeden bırakılır.
Anahtar yönetimi için, güvenli ve ölçeklenebilir grup anahtar değişimleri için Mesajlaşma Katmanı Güvenliği (MLS) protokolü kullanılır. Her katılımcı için gönderici başına simetrik bir medya şifreleme anahtarı bulunur. Kimlik anahtar çiftlerinin oluşturulmasında Eliptik Eğri Dijital İmza Algoritması (ECDSA) kullanılır.
Grup kompozisyonunda bir değişiklik olduğunda (bir üye ayrıldığında veya yeni bir üye katıldığında), yeni bir 'dönem' başlar ve grubun şifreleme durumu yeni anahtarlar üreterek bu yeni döneme taşınır. Bu süreç, katılımcılar için fark edilir bir kesinti olmadan tamamlanmalıdır.
Discord, MLS'in anahtar değişimleri için bir miktar gecikme eklediğini, ancak DAVE'in büyük grup çağrılarında bile bu gecikmeyi birkaç yüz milisaniye eşiğinin altında tutmak üzere tasarlandığını belirtiyor. Ayrıca, kullanıcı doğrulamasıyla ilgili olarak grubun MLS dönem durumundan türetilen 'ses gizliliği kodları' adı verilen doğrulama kodlarının karşılaştırılması gibi bant dışı yöntemler de mevcut.
Kalıcı izlemeye karşı direnç, her çağrı için kullanıcıya yeni bir anahtar atanması ve geçici kimlik anahtarlarının kullanılmasıyla sağlanır.
AŞAMALI UYGULAMA SÜRECİ
Discord, tüm uygun kanalların DAVE'ye geçiş sürecini başlattı. Kullanıcılar, arayüzdeki ilgili göstergeleri kontrol ederek aramalarının uçtan uca şifrelenip şifrelenmediğini doğrulayabilecekler. Ancak, tüm kullanıcıların tüm cihaz ve kanallarda yeni E2EE sistemine tam erişim sağlaması biraz zaman alabilir.
Kullanıcıların yapması gereken tek şey, en son istemci uygulamasına yükseltme yapmak olacak. Güncel olmayan istemciler, yalnızca aktarım şifrelemesiyle sınırlı kalacak. İlk etapta Discord'un masaüstü ve mobil uygulamaları kullanıma sunulacak, ilerleyen dönemlerde ise web istemcileri de kullanılabilir hale gelecek.
