Ana içeriğe geç

Signal: Şifreli Mesajlaşmanın Altın Standardı

Signal: altın standart uçtan uca şifreleme, sıfıra yakın meta veri, tamamen açık kaynak, kâr amacı gütmeyen yapı. Farkı ve nasıl kullanılacağı.

Son güncellenme: 21 Nisan 2026

Özet

  • Signal, kimsenin — Signal dahil — çözemeyeceği uçtan uca şifreleme kullanır.
  • Kâr amacı gütmeyen bir kuruluş (Signal Foundation) tarafından yönetilir; bağışlarla finanse edilir, reklam veya veri satışı yoktur.
  • Her platformda açık kaynaklıdır — güvenlik araştırmacıları kodu sürekli olarak denetler.
  • Neredeyse hiç meta veri depolamaz — FBI'ın mahkeme celbi bile yalnızca hesap oluşturma tarihinizi ve son bağlantı zamanınızı döndürür.
  • Signal Protokolü o kadar güvenilirdir ki WhatsApp, Facebook Messenger ve Google RCS kendi uçtan uca şifrelemeleri için bu protokolü lisanslar.

Signal nedir?

Signal, tüketicilere sunulan en güçlü pratik uçtan uca şifrelemeyle metin, ses, video ve dosya mesajları göndermenizi sağlayan ücretsiz, açık kaynaklı bir mesajlaşma uygulamasıdır. ABD merkezli kâr amacı gütmeyen bir kuruluş olan Signal Foundation tarafından geliştirilmekte ve tamamen bağışlarla finanse edilmektedir — reklam, veri satışı veya premium katman yoktur.

Uygulama, başlıca tüm gizlilik kuruluşları (EFF, Tor Project, Privacy International) tarafından tavsiye edilmekte; dünya genelinde gazeteciler, aktivistler, avukatlar ve güvenlik araştırmacıları tarafından kullanılmakta ve Edward Snowden tarafından günlük olarak kullandığı mesajlaşma uygulaması olarak önerilmektedir.

Signal'i farklı kılan nedir

Çoğu "şifreli" mesajlaşma uygulaması mesajınızı iletim sırasında korur, ancak şirketlerine kendiniz hakkında pek çok bilgi açığa çıkarır:

Özellik Signal WhatsApp Telegram iMessage SMS
Varsayılan olarak uçtan uca şifreli ❌ (yalnızca "Gizli Sohbetler") ✅ (Apple↔Apple)
Açık kaynaklı istemciler ✅ tüm platformlar kısmi yok
Açık kaynaklı sunucu yok
Meta veri minimizasyonu ✅ agresif ❌ Meta ile paylaşılır ❌ saklanır kısmi
Mühürlü gönderici
Kâr amacı gütmeyen kuruluş tarafından yönetilir ❌ (Meta) ❌ (Apple) yok
Reklam veya veriyle finanse edilir ❌ asla ✅ (Meta reklamları) kısmi yok yok

Bu satırların birleşimi Signal'i eşsiz kılan şeydir. Diğer mesajlaşma uygulamaları şifreleme gücü açısından Signal ile eşleşebilir; ancak hiçbir ana akım alternatif güçlü şifreleme, minimal meta veri, tam açık kaynak kodu ve yapısal olarak kullanıcı gizliliğiyle uyumlu bir finansman modelinin tam paketini sunamaz.

Uçtan uca şifreleme, doğru biçimde

Signal, üç modern kriptografik temel üzerine inşa edilmiş katmanlı bir şifreleme tasarımı olan Signal Protokolü'nü (başlangıçta Axolotl) kullanır:

  • Çift Mandal (Double Ratchet) — her mesaj için taze bir şifreleme anahtarı üretir; böylece bir anahtar bir şekilde ele geçirilse bile yalnızca o tek mesaj ifşa olur
  • İleri gizlilik (Forward secrecy) — mevcut anahtarınız sızdırılsa bile geçmiş mesajlar güvende kalır
  • Gelecek gizliliği (Future secrecy) (uzlaşma sonrası güvenlik) — anahtarınız sızdırılırsa sistem otomatik olarak iyileşir ve gelecekteki mesajlar yeniden güvende olur
  • İnkâr edilebilirlik (Deniability) — mesajlar alıcıya özgünlüğü kriptografik olarak kanıtlar, ancak üçüncü taraflara kanıtlamaz; dolayısıyla kimse belirli bir mesajı gönderdiğinizi sonradan ispatlayamaz

Protokol o kadar iyi tasarlanmıştır ki WhatsApp, Facebook Messenger, Google Messages ve Skype kendi uçtan uca şifrelemeleri için bu protokolü lisanslar. Dünyanın en büyük mesajlaşma uygulamaları güvendikleri bir şifrelemeye ihtiyaç duyduklarında Signal'in tasarımına başvurur.

Kriptografik uygulama açık şekilde yayımlanmış ve bağımsız güvenlik araştırmacıları tarafından denetlenmiştir; protokolün özelliklerine ilişkin hakemli dergilerde yayımlanmış resmi matematiksel kanıtlar da dahildir.

Meta veri: Signal'in gerçekten öne çıktığı alan

Şifreleme mesaj içeriğini korur. Meta veri — kiminle, ne zaman, ne sıklıkla, nereden iletişim kurduğunuz — çoğu zaman içerikten daha fazlasını ortaya koyar. NSA baş hukuk müşaviri Stewart Baker ünlü şu sözü söylemiştir: "İnsanları meta veriye dayanarak öldürüyoruz."

Çoğu mesajlaşma uygulaması kapsamlı meta veri saklar. WhatsApp, ana şirketi Meta ile şunları paylaşır:

  • Kişi listeniz
  • Kiminle ne zaman mesajlaştığınız
  • Mesaj anındaki IP adresiniz
  • Grup üyelikleriniz
  • "Son görülme" durumunuz

Signal, tasarım gereği neredeyse hiçbir şeyi saklamaz:

  • ❌ kişi listesi yok (cihazınızda kriptografik karmalar kullanılarak yerel olarak eşleştirilir)
  • ❌ mesaj yönlendirme günlükleri yok
  • ❌ kimin kiminle konuştuğu grafiği yok
  • ❌ sunucuda grup üyeliği listesi yok
  • ❌ merkezi olarak saklanan "son görülme" zaman damgaları yok
  • ✅ hesap oluşturma tarihi
  • ✅ son bağlantı zaman damgası (güne yuvarlanan)

FBI, Signal'i mahkeme celbiyle çağırdığında — ve bunu defalarca yapmıştır — yalnızca bu son iki alanı alır. Signal, tüm devlet taleplerini ve yanıtlarını https://signal.org/bigbrother/ adresinde yayımlar. İstenenler ile Signal'in teslim edebildikleri arasındaki uçurum çarpıcıdır.

Mühürlü Gönderici

Signal, Mühürlü Gönderici adı verilen bir özellikle daha da ileri gider. Normalde bir sunucunun mesajı iletebilmesi için kimin gönderdiğini bilmesi gerekir. Mühürlü Gönderici, kriptografik bir zarf kullanır; böylece Signal'in kendi sunucusu bile mesajı kimin gönderdiğini göremez — yalnızca kime gönderildiğini bilir. Sunucu, kimin kiminle konuştuğunu bilmeyen aptal bir röleye indirgenir.

Açık kaynağın önemi

Signal, tüm istemciler (iOS, Android, Masaüstü, web) ve sunucu için tam kaynak kodunu yayımlar. Bu şu anlama gelir:

  • Bağımsız güvenlik araştırmacıları her satırı denetleyebilir
  • Signal'i kendiniz derleyebilir ve yayımlanan ikili dosyanın eşleştiğini doğrulayabilirsiniz
  • Hatalar ve arka kapılar yalnızca şirket tarafından değil herkes tarafından fark edilebilir
  • Molly (sağlamlaştırılmış bir Android Signal istemcisi) gibi çatallar tasarımın sağlam olduğunu kanıtlar

Uygulamanın ne yaptığına dair şirketin iddialarına güvenmek zorunda olduğunuz kapalı kaynaklı mesajlaşma uygulamalarıyla karşılaştırın. Signal'in kodu herkesin incelemesi için https://github.com/signalapp adresindedir.

Telefon numarası meselesi

Signal'in tarihsel olarak en büyük gizlilik eleştirisi, kayıt için telefon numarası gerektirmesidir. Bu gerçek bir ödünleşimdir: Telefon numaraları keşfi kolaylaştırır ("mevcut kişilerimden hangisi Signal'de"), ancak aynı zamanda kişisel olarak tanımlayıcı bir bilgi parçasıdır.

Signal'in 2024'te sunduğu yanıt:

  • İsteğe bağlı kullanıcı adları — alıcı numaranızı hiç görmeden birileriyle kullanıcı adı üzerinden sohbet edebilirsiniz
  • Telefon numarası bulunabilirliği geçiş düğmesi — "telefon numarasıyla beni bul" aramalarından gizlenerek yalnızca kullanıcı adı veya bağlantı yoluyla iletişim gerektirebilirsiniz
  • Telefon numaraları altta hesaba bağlı kalmaya devam eder — Signal, bunları kayıt sırasında SMS doğrulaması ve yeniden doğrulama için kullanmaya devam eder

Telefon numaranız son derece hassassa (kaynaklarını koruyan bir gazeteci, düşmanca bir ortamda bir aktivist vb. iseniz), standart uygulama Signal'i ikincil bir numara — Google Voice, Twilio, JMP.chat veya ayrı bir telefondaki SIM — ile kaydetmek ve bunu Signal kimliğiniz olarak kullanmaktır. İkincil numaranın periyodik yeniden doğrulama için erişilebilir ve aktif kalması gerekir.

Önem taşıyan pratik özellikler

Signal, şifrelemenin ötesinde, diğer mesajlaşma uygulamalarının ya hiç sunmadığı ya da ikincil sınıf muamele ettiği gizlilik özelliklerine sahiptir:

Kaybolan mesajlar

Konuşma başına bir zamanlayıcı (5 saniye ile 4 hafta arasında) ayarlayın; mesajlar alıcı okuduktan sonra otomatik olarak silinir. Tüm yeni sohbetler için de varsayılan bir zamanlayıcı belirleyebilirsiniz. Hassas konuşmalar için kritiktir: Telefonunuz daha sonra ele geçirilir veya güvenliği ihlal edilirse silinen geçmiş gitmiştir.

Ekran kilidi

Signal uygulamasının kendisini cihazınızın Face ID, Touch ID veya PIN'inin arkasına kilitleyin — cihaz kilidinden bağımsız olarak. Bu, kilidi açılmış ve teslim edilmiş bir telefonun mesajlarınızı yine de açığa çıkarmaması anlamına gelir.

Kendime not

Signal, cihazlarınız arasında senkronize edilen özel uçtan uca şifreli bir not defteri olan "Kendime Not" sohbetini içerir. 2FA kodlarını, daha sonra okumak istediğiniz bağlantıları veya kısa notları saklamak için kullanışlıdır — hepsi başkalarına gönderdiğiniz mesajlarla aynı güvenlik güvencesiyle.

Hikaye tarzı güncellemeler

Signal Hikayeleri, Instagram veya WhatsApp Hikayeleri gibi çalışır, ancak aynı uçtan uca şifrelemeyle korunur. Her hikayeyi hangi kişilerin görebileceğini tam olarak seçin; hiçbir şey bir akışa veya öneri sistemine sızmaz.

Sesli ve görüntülü aramalar

Signal aramaları, 50 katılımcıya kadar grup aramaları dahil olmak üzere aynı protokolle uçtan uca şifrelenir. Ses kalitesi iyidir ve aramalar Signal'in röle sunucuları üzerinden yönlendirilir; bu nedenle hiçbir tarafın IP adresini diğerine açıklaması gerekmez.

Çoklu cihaz senkronizasyonu

Signal, aynı hesaba bağlı birden fazla cihazda çalışır — telefonunuz (birincil), artı macOS, Windows, Linux için masaüstü uygulamaları ve bir iPad uygulaması. Bağlantılı cihazlar mesajları bağımsız olarak alır; masaüstünün çalışması için telefonunuzun çevrimiçi olması gerekmez.

Signal'in zayıf olduğu noktalar

Ödünleşimlerin dürüst bir değerlendirmesi:

  • SMS yedeklemesi yok — Android'in Signal uygulaması 2023'te SMS desteğini kaldırdı. Bazı kullanıcılar birleşik gelen kutusunu özlüyor.
  • iOS'ta varsayılan olarak bulut yedeklemesi yok — mesaj geçmişiniz cihazınızda yaşar. Yeni bir telefona geçmek bir aktarım süreci gerektirir; aktarım yapılmadan telefonunuz kaybolursa mesaj geçmişiniz de gider. (Bu aynı zamanda bir gizlilik özelliğidir: iCloud'dan mahkeme celbiyle alınacak hiçbir şey yoktur.)
  • WhatsApp'tan daha küçük kullanıcı tabanı — kişileriniz henüz Signal'de olmayabilir. Yeni kullanıcıların dalgalar halinde katılması için genellikle viral bir haber (büyük bir veri ihlali, Apple-FBI karşılaşması gibi) gerekmektedir.
  • Grup özellikleri temel düzeydedir — Telegram'ın devasa herkese açık kanallarıyla karşılaştırıldığında. Signal açıkça bu kullanım senaryosunun peşinden gitmiyor — özel grup sohbeti istiyor, yayın platformu değil.
  • Kullanıcı adı araması tam eşleşme ile sınırlıdır — "Alice adlı kullanıcıları bul" araması yapamazsınız, yalnızca birinin size verdiği belirli bir kullanıcı adını arayabilirsiniz.

Kimler Signal kullanmalı

Gerçekçi yanıt: Başka bir insanla herhangi bir kısa mesaj alışverişinde bulunan herkes — günlük mesajlar bile olsa. Hâlihazırda mesajlaştığınız bir arkadaşınızın Signal'e geçmesinin marjinal maliyeti esasen sıfırdır ve uçtan uca şifreleme, reklam yok ve sizi kâra çevirmek yerine size hizmet etmek için finanse edilmiş bir mesajlaşma uygulaması elde edersiniz.

Şu durumlar için dava daha da zorlayıcıdır:

  • Kaynaklarını koruyan gazeteciler
  • Ayrıcalıklı iletişime ihtiyaç duyan avukatlar ve müvekkiller
  • Her ortamdaki aktivistler, muhalifler ve insan hakları çalışanları
  • Sağlık, finans, ilişkiler, aile anlaşmazlıkları hakkında konuşan herkes — gelecekteki sızdırılmış bir veritabanında yer vermek istemeyeceğiniz her şey
  • Ticari sırlar, birleşme ve satın almalar, işe alım kararları tartışan şirketler — sızdırılması işinize zarar verecek her şey

Bu kullanım senaryoları için Signal asgari taban çizgisidir. Signal kullanmıyorsanız, konuşmalarınızı fiilen reklam finansmanlı bir şirketin kayıt altyapısından yayınlıyorsunuz demektir.

Finansman ve sürdürülebilirlik

Signal, bir ABD 501(c)(3) kâr amacı gütmeyen kuruluşu olan Signal Foundation tarafından işletilmektedir. Finansman şu kaynaklardan gelir:

  • signal.org/donate aracılığıyla bireysel bağışlar (en büyük gelir kalemi)
  • 2018'de WhatsApp kurucu ortağı Brian Acton'ın yaptığı 50 milyon dolarlık bağış
  • Gizlilik odaklı vakıflardan küçük hibeler
  • Vakfın 2018 endowment fonundan oluşan rezerv

İşletme maliyetleri gerçektir — Signal CEO'su Meredith Whittaker, mevcut operasyonları sürdürmek için vakfın yılda yaklaşık 50 milyon dolara ihtiyaç duyduğunu kamuoyuyla paylaşmıştır. Signal'i düzenli olarak kullanıyorsanız, doğrudan bağış yaparak kodu yazan insanları finanse edersiniz. Endişelenecek bir reklam veya ek satış yoktur; bağış modelin tamamıdır.

Sonuç

Signal, gizlilik mühendisleri tarafından tasarlandığında, açık şekilde denetlendiğinde ve sizi paraya çevirme ihtiyacı duymayan bir kuruluş tarafından işletildiğinde özel mesajlaşmanın nasıl göründüğüdür. Şifreleme sınıfının en iyisidir, meta veri ayak izi sıfıra yakındır ve finansman modeli bunu asla değiştirmeye yönelik bir teşvik bulunmadığı anlamına gelir. Telefon numarası gerekliliği gerçek bir ödünleşimdir, ancak 2024'te kullanıcı adlarının eklenmesiyle bu mesafe önemli ölçüde daraltılmıştır.

Gizliliği ciddiye alıyorsanız ve 30 saniyelik bir kurulumdan çekinmiyorsanız, Signal varsayılan mesajlaşma uygulamanız olmalıdır. Kişileriniz henüz Signal'de değilse, onlara bir davet gönderin — ağ etkisi, Signal ile her yerde yaygınlık arasındaki tek engeldir ve her yeni kullanıcı dengeyi Signal lehine kaydırır.

Signal'i gizlilik odaklı kullanmaya nasıl başlanır

Yaklaşık 10 dakikada gizliliğe saygılı bir Signal kurulumu yapmanızı sağlayan pratik bir kurulum kontrol listesi.

  1. Resmi kaynaktan yükleyin:Signal'i signal.org/download adresinden (veya platformunuzun resmi mağazasından — App Store, Google Play, Signal deposu aracılığıyla F-Droid) edinin. Arka kapı içeren değiştirilmiş istemciler barındırabilecekleri için üçüncü taraf APK sitelerinden kaçının.
  2. Numaranız hassassa ikincil bir telefon numarası kullanın:Kişilerden gizlilik ihtiyacınız varsa (örn. gazeteciler, aktivistler, gerçek numaranızı bilmemesi gereken herkes), Signal'i bir tablet veya masaüstünde Google Voice, Twilio veya başka bir VoIP numarasıyla kaydedin. Signal periyodik olarak yeniden doğrulama yaptığından bu numarayı aktif ve erişilebilir tutun.
  3. Yeni kişiler için kullanıcı adı belirleyin:Ayarlar → Profil → Kullanıcı Adı. Kişilerin telefon numarası paylaşmadan size mesaj atabilmesi için bir kullanıcı adı seçin. Yalnızca kullanıcı adı veya bağlantı yoluyla iletişim gerektirmek için 'Telefon Numarası Bulunabilirliği' seçeneğini kapatın.
  4. Kaybolan mesajları varsayılan olarak etkinleştirin:Ayarlar → Gizlilik → Varsayılan kaybolan mesaj zamanlayıcısı. Bir hafta makul bir varsayılandır — normal sohbet için yeterince uzun, çalınan bir cihazın yıllar öncesine ait geçmişi sızdırmaması için yeterince kısa. Konuşma bazında da ayarlayabilirsiniz.
  5. Uygulamayı biyometri arkasında kilitleyin:Ayarlar → Gizlilik → Ekran Kilidi. Cihaz kilidini açtıktan sonra bile Signal'i açmak için Face ID, Touch ID veya cihaz PIN'inizi gerektirir. Paylaşılan cihazlar ve gerçekçi 'birinin kilitli olmayan telefonumu alması' tehdidi için kritiktir.
  6. Kilit ekranında mesaj önizlemelerini gizleyin:Ayarlar → Bildirimler → Göster. Yanınızdan geçenlerin kilit ekranınızdan gelen mesajları okuyamaması için 'Yalnızca isim' veya 'İsim veya mesaj yok' seçeneğine geçin. Varsayılan ayar mesaj önizlemesini gösterir ve bu durum gizlilik avantajının yarısını ortadan kaldırır.
  7. Önemli kişilerle güvenlik numaralarını doğrulayın:Bir sohbet açın → kişinin adına dokunun → 'Güvenlik Numarasını Görüntüle'. Konuşmanızı kimsenin engellemediğini teyit etmek için 60 haneli numarayı kişinizle (yüz yüze veya doğrulanmış bir kanal aracılığıyla) karşılaştırın. Signal, bir kişinin güvenlik numarası değiştiğinde sizi uyaracaktır — bu genellikle yeniden kurulum anlamına gelir, ancak nadiren bir saldırı anlamına gelebilir.
  8. Signal PIN'i ve Kayıt Kilidi'ni ayarlayın:Ayarlar → Hesap → Signal PIN. Kişilerinizin ve ayarlarınızın şifreli yedeklenmesini sağlar (mesaj geçmişi dahil değildir). Ardından Ayarlar → Hesap → Kayıt Kilidi — telefon numaranıza sahip birinin PIN'iniz olmadan Signal'i yeni bir cihaza yeniden kaydetmesini engeller; bu standart SIM takası saldırısıdır.

Sıkça Sorulan Sorular

İlgili Makaleler

Şifrelenmiş E-posta Nedir?

2FA Nedir?

Kimlik Avı Koruma Kılavuzu

Çevrimiçi Gizlilik Kontrol Listesi

Halka Açık Wi-Fi Güvenliği