Network Associates Inc. (NAI) Zimmermann’ın şirketi PGP Inc’i aralık 1997’de satın aldı. Kendisi de şirkette 3 yıl kaldı. Auğustos 2002’de ise NAI’den ayrılan PGP Inc’i de i,çine alan yeni bir şirket PGP Corp. kuruldu. Zimmermann şu anda PGP yönetim kuruluna danışman pozisyonunda çalışıyor ve durumundan da memnun ama şifreleme konusunda yeni bir şirket kurabileceğini de belirtiyor.
internetnews.com, geçenlerde San Fransisco’daki e-Mail Technology Conference’ı sırasında Zimmermann ile görüştü. Konular tartışmalı “Do-Not-Spam” listesi ve teknolojistler bir yandan gizliliğe korurken nasıl para kazanacaklarıydı..
internet.com : e-mail’in geleceğini konuşarak başlayalım. Siz neler görmeyi bekliyorsunuz?
Zimmermann : e-mail’ler bugünkünden daha çok şifreleniyor olmalıydı. Biz geçmişte, daha çok internet kullanıcısı şifreleme kullansın diye uğraş verdik. Ancak kullanıcı kolaylığı açısından zorlandık. Kullanıcı arayüzlerini kolaylaştırmaya çalışmadık belki ama insanların “pCertification” kavramlarını kucaklamaları, modellere ve kamusal altyapıya güvenmeleri konularında çalıştık.
e-maillerin şifrelenmesinin önemine inanıyorum çünkü zarflarla gelen normal postalarımızda bu tür bir güvenlik istiyoruz. Dijital dünya’da, normal postadaki kadar gizliliğin sağlanmaması ayıp olur.
internet.com : Bunu neden gerçekleştiremiyoruz şimdi?
Zimmermann : Bir sanatçı şifrelemenin ne olduğunu anlar. Ama anneniz anlamayacaktır. Annenizin şifrelenmiş e-mail kullanmasını istiyorsanız, onun kamusal şifreleme altyapısını ve anahtar sertifikasının arkasında neler olduğunu anlamasını isteyecek değilsiniz. Yani, bir şirketteki binlerce kişinin maillerini şifrelemesi ya da şifreleri açması gerekiyorsa, bunun nasıl olduğunu bilmeleri gerekmiyor. En iyi yol, bir e-mail proxy içine ve proxy’yi de e-mail sunucunuz’un yanına koymanızdır. PGP’in bu tür bir ürünü var. İsmi PGP Universal.
internet.com : Şifreleme yazılımları artık kabul görüyor mu? İnsanlar bu teknolojinin onları sorumluluktan kurtaracağını mı düşünüyorlar?
Zimmermann : e-Mailleri düşünürsek, şifreleme çok kabul görmüş diyemeyiz. Tam tersine kullanılmıyor. Sorun sadece insanların bu konuyu düşünmemeleri. Sanırım insanların bu tür bir konuyu düşünmeleri için bir eşik var. Bu nedenle, bu eşiğe ulaşmamız lazım. İnsanların e-maillerini şifrelemeyi düşünmeleri gerekiyor.
Spam durumunda, spam’i yenecek teknolojiler kullanmak zorundayız. Ama kullanıcıların bunu farkında olmaları ve dolandırıcılıkla karıştırmamaları gerekli. Spam sizi rahatsız ediyorsa, bununla ilgili teknolojiyi de kullanmalısınız. Bu teknolojinin en ilginç noktalarından birisi e-mail gönderimine bir maliyet getirmesi. Bu maliyet $ düzeyinde değil ama bilgisayarın kullanım süresi düzeyinde bir şey.
Penny Black’in teklifinde, bir e-mail sunucusu, bir diğer e-mail sunucusuna e-mail göndermek istediğinde, alıcı mail-sunucusu bir şifreleme bilmecesi soruyor. Bu bilmecenin, çözülmesi durumunda alıcı mail sunucusu, e-maili kabul ediyor. Yani sunucunuzun e-maili göndermeden önce bir kaç saniye işlem yapmasına aldırmazsanız, normal bir e-mail göndermeden farkı yok. Ancak, 100 milyon adet e-mail gönderiyorsanız, işte o zaman her bir mail için harcanacak o bir kaç saniyeyi harcamak artık fizibıl olmayacak.
Ivır-zıvır mektuplar için bu sorun çok önemli değil. En azından dünya’daki herkes bu tür mailler göndermiyor. Bu tür mailleri gönderenler posta sisteminde, para harcadıkları için bu tür mailler çok gelmiyor.
internet.com : Şu tartışmalı “Do-Not-Spam” listesi ve Federal Ticaret Komisyonunun kuralları hakkında ne düşünüyorsunuz?
Zimmermann : Bu tartışmanın temelinde şu fikir yatıyor; spam göndermek isteyen birisi için bu e-mail adresleri bir altın madeni. Bence bu ilginç bir varsayım. Bence de eğer daha önce telefonla pazarlamacılar için yapılan “Do-Not-Call” listesi gibi bir “Do-Not-Spam” listesi yapılırsa bu fikir doğru olacaktır. Yapılması gereken “Do-Not-Spam” listesini, şifrelenmiş ve bölünmüş e-mail adresleri ile yapmaktır. Bu listeye doğrudan e-mail adreslerini koymak değil ama NIST’in [National Institute of Standards and Technology] oluşturduğu benzeri bir parçalı algoritma kullanılabilir ve bu algoritma ile oluşturulmuş parçalar saklanabilir. Böylece spam yapanlar da e-mailinizin listede olup olmadığını (belli bir işlemle elde edilen parçanın, listedeki parça ile karşılaştırılması yoluyla) söyleyebilir. Bu “Do-Not-Spam” listesi yapmak istemeyen FTC için iyi ve basit bir matematiksel çözüm.
internet.com : PGP’nin geleceği ve “insan hakları savunucusu” olarak durumu ne olacak?
Zimmermann : 2 grafik düşünün. Yuvarlak olsun. İlk grafikte dünyanın tüm şifrelenmiş e-maillerin miktarı ile şifrelenmemiş e-maillerin miktarını işaretleyelim. Şifrelenmişlerin payı çok ince bir bölüm olacaktır. Şimdi ikinci grafikte bu şifrelenmiş e-maillerin neyle şifrelendiğini gösteriyor olursak, nerdeyse tamamını PGP olarak bulacaksınız. 1. grafik ile değil ama 2.grafikle gurur duyuyorum.
Neden 13 yıllık PGP macerasına karşın, bu 1.grafikteki pay –şifrelenmiş e-mail sayısı– çok düşük? Cevap; öğrenme eğrisi teknikten anlamayan insanlar için çok karmaşık. Çözüm; herşeyi otomatik yapan bir yol bulmak.
Şu anki hukuki ortamda bunun özellikle önemli olduğunu düşünüyorum. Çünkü Vatanseverlik Hareketi, hükümetin gözaltına alma hakkını arttırıyor. Hükümetin gözaltı hakkına engel olan şeyler ortadan kaldırılıyor. Yargılanma hakkının engellenmesi için hiçbir neden olamaz. Vatanseverlik Hareketinin bazı bölümlerini kaldırmalı ya da en azından e-mail ve diğer haberleşme altyapısı konularını bu tür araştırmalara karşı korunmalı hale getirmeliyiz. Bu aynı zamanda ülke çapındaki haberleşme altyapımızı teröristlerden korumamıza da yardımcı olacaktır.
internet.com : Sizce teröristler bu konuda ne kadar ileriye gitti? Mesela M.I.T.’deki insanlar kadar zekiler mi?
Zimmermann : Hayır değiller.
internet.com : Olabilirler mi?
Zimmermann : Onlar için çalışan, bilgisayar bilen insanlar var. Bu insanlar şifreleme kullanıyor. Ama bu insanların haberleşmeyi kesme yetenekleri olduğunu sanmıyorum.
internet.com : Sizin teknolojinizi açıkladığınızda başınıza gelenleri düşünürsek, geleceğin teknolojistlerinin bundan öğreneceği bir şey var mı?
Zimmermann : 1990’larda Amerikan ihracat kontrolü ile yaşadığım sorunlar ve teknolojimizin dışarıya açılmasının önlenmesi çalışmaları, bizim savaştığımız ve sonuçta kazandığımız bir olaydır. Sanırım kişisel hakların erozyonunu engellek yolunda iyi bir şans elde ettik. Hükümet için kriptolojiyi kontrol etmek çok zor olacaktı. Çünkü, endüstri inanılmaz bir momentum ile bunların üzerine kuruldu. Şimdi Avrupa’da, Amerikan ürünleri ile rekabet edecek ürünler var. Global e-ticaretimiz de bunun üstüne kurulu.
Teknoloji geliştiren insanlara kendi teknolojilerinin sosyal etkilerini de incelemelerini tavsiye ediyorum. Kişisel haklara ve özgürlüklere yardımcı mı oluyor yoksa engelliyor mu bakmalılar. Bunu kulllanarak teknolojiyi ona göre geliştirmeliler. Sosyal sorumluluklarını unutmamalılar.
Kişisel hakları aşındırmadan da teknolojiden para yapmanın yolları var. Mesela biyometrik kişisel hakları aşındıran yoldan da geliştirilebilir, aşındırmadan da. Biyometrik özellikleri merkezi bir veri tabanında saklarsanız, sanırım bu kişisel gizliliğe aykırı olur. Ama yerel olarak, biyometrik özelliklerini aldığınız kişinin yaşadığı yerde, bir smart kart içinde depolarsanız ve başka yere kopyalamazsanız, bunun kişisel gizliliği aşındıracağını sanmam. Yani teknolojiyi geliştirirken, mühendis olarak kişisel haklara ve sivil özgürlüklere özen göstermeli ve teknolojinizi buna uygun yollarla geliştirebilirsiniz.