Categories
News

Over 40 organizations and cybersecurity experts call on the Turkish government not to undermine end-to-end encryption

On 20 April, over 40 organizations and cybersecurity experts, including members of the Global Encryption Coalition, released a joint statement calling on the Turkish government not to undermine end-to-end encryption.

Please see the joint statement below in English and Turkish.




As Turkey faces threats to its security and economy, the reliance of Turkey’s residents, businesses, and government services on strong encryption to keep themselves safe and protected has never been greater. It is vital that Turkish authorities both encourage and protect the use of strong, end-to-end encryption.

On October 13th 2022, the Grand National Assembly of Turkey passed legislation (the “Law”) amending several existing laws, including the Electronic Communication Law, Internet Law, the Press Law and the Turkish Penal Code. The Information and Communication Technologies Authority (BTK, in Turkish: Bilgi Teknolojileri ve İletişim Kurumu) is now tasked with drafting secondary legislation that would implement the amendments introduced in the Law. If BTK attempts to implement the surveillance and content disclosure requirements under the Electronic Communications Law1 for over-the-top services (OTTs), this could have the unintended consequence of undermining the use of key cybersecurity tools including strong end-to-end encryption and the protection it brings.

The undersigned civil society organisations and companies, including members of the Global Encryption Coalition,2 urge the BTK to ensure that the right to secure and private communications, including  end-to-end encrypted communications are protected.

The Law expands the scope of existing laws, newly requiring that all OTTs fulfill new and existing requirements. OTT services encompass a broad range of Internet-based services previously not covered by the law, including email providers, social media companies, and providers of messaging services. Among the most concerning of these possible new requirements for OTTs, is a requirement to disclose user content and traffic data.  Cybersecurity experts agree, there is no way for OTTs to access the contents of their user’s end-to-end encrypted communications without drastically undermining the security and privacy of all their users.3 In effect, platforms offering end-to-end encryption may become inaccessible in Turkey as a result of sanctions for failing to comply with requirements that are technically impossible.  

End-to-end encryption provides the strongest level of security and trust, as only the intended recipients hold the key to decrypt the message. In end-to-end encryption, no third party — including the service provider or the government — can read users’ encrypted content. If secondary legislation were to require providers of end-to-end encrypted services to disclose users’ messages in decrypted form, it would force these providers to make the impossible choice between undermining the security of their users by building vulnerabilities into their systems or leaving the Turkish market.

Creating secondary legislation that will undermine secure and private communications will not only undermine the free flow of information accessed through these encrypted platforms, but will impact the security and privacy of Turkish citizens and businesses, weakening Turkish industry. In 2018, when Australia passed a similar law undermining end-to-end encryption, the Australian tech industry lost an estimated $AUS 1 billion in current and forecast sales as well as further losses in foreign investment because of decreased trust in their products.4 For Turkish businesses, weakened security and privacy will make them more susceptible to corporate espionage by foreign actors. In his speech at The National Cyber ​​Incidents Response Center, President Erdogan emphasized the importance of cybersecurity and the cybersecurity threats facing the country.5 This is particularly a concern for the growing Turkish defence industry,6 whose confidential corporate information can have not only economic but national defence ramifications.

Strong end-to-end encryption is vital to Turkey’s economic and security success. Any secondary legislation must be drafted in consultation with all stakeholders, including civil society, and must ensure that secure and private communications are not undermined, including end-to-end encryption. 

Signed*

Access Now

Africa Media and Information Technology Initiative (AfriMITI)

Article 19

Associação Portuguesa para a Segurança da Informação (AP2SI)

Betapersei SC

Blacknight

Cartoonists Rights Network International

Coalition For Women In Journalism (CFWIJ)

Committee to Protect Journalists

Center for Law and Society – University of San Andres, Buenos Aires, Argentina.

Centre for Democracy and Technology

Collaboration on International ICT Policy for East and Southern Africa (CIPESA)

Encrypt Uganda

European Centre for Press and Media Freedom (ECPMF)

Foreign Media Association (Yabancı Medya Derneği)

Global Forum for Media Development (GFMD)

Global Partners Digital

Ikigai Innovation Initiative

Internet Freedom Foundation

Internet Society

Internet Society Ghana Chapter

Internet Society Tanzania Chapter

Kijiji Yeetu

Mailfence.com

Masayuki Hatta, Surugadai University

Media and Law Studies Association (MLSA)

Nameshop

Osservatorio Balcani Caucaso Transeuropa

OpenMedia

OPTF Ltd

PEN America

PEN Norway

Platform for Independent Journalism (P24)

Proton

Ranking Digital Rights

Riana Pfefferkorn, Research Scholar, Stanford Internet Observatory

SecureCrypt

South East Europe  Media Organisation (SEEMO)

Stichting Mission Lanka 

Superbloom

Tech for Good Asia

Tutanota

Youth Forum for Social Justice

Yusif Amadu, University of Ghana 

*Affiliations listed for identification purposes only

1) Article 51/2 of the Electronic Communications Law states that electronic communications are private and cannot be listened to, recorded, stored, intercepted or tracked unless it is required by legislation or a court order. The new amendments have made OTTs subject to the Electronic Communications Law; however, how this provision will be applied to OTTs is to be clarified by secondary legislation by the BTK. 

2) With over 300 members distributed across every region of the world, the Global Encryption Coalition promotes and defends encryption in key countries and multilateral fora where it is under threat. It also supports efforts by companies to offer encrypted services to their users. https://www.globalencryption.org/
3)https://academic.oup.com/cybersecurity/article/1/1/69/2367066?login=false

4)https://www.internetsociety.org/news/press-releases/2021/new-study-finds-australias-tola-law-poses-long-term-risks-to-australian-economy/

5)https://www.btk.gov.tr/haberler/cumhurbaskani-erdogan-yerli-5g-teknolojisi-altyapisini-kurmadan-5g-ye-gecemeyiz

6) https://www.defensenews.com/top-100/2022/08/08/turkeys-defense-industry-eyes-export-expansion-as-government-navigates-geopolitical-stage/


Türkiye: Uçtan uca şifreleme korunmalı

Türkiye ülke güvenliği ve ekonomisine yönelik tehditlerle karşı karşıya olduğu bir dönemde bulunmakta, bu nedenle ülkede yaşayanlar, ülkede bulunan işletmeler ve kamu hizmetleri kendilerini güvende tutmak adına güçlü şifrelemeye ihtiyaç duymaktadır. Bu halde Türk makamlarının güçlü uçtan uca şifreleme kullanımını hem teşvik etmesi, hem de koruması gerekmektedir.

13 Ekim 2022 tarihinde Elektronik Haberleşme Kanunu, İnternet Kanunu, Basın Kanunu ve Türk Ceza Kanunu da dahil olmak üzere birçok kanunda değişiklik yapan bir yasa Türkiye Büyük Millet Meclisi tarafından kabul edilmiş, yine aynı yasayla Bilgi Teknolojileri ve İletişim Kurumu (BTK) yapılan bazı değişikliklerin uygulanmasını düzenleyecek ikincil mevzuatı [k1] hazırlamakla görevlendirilmiştir. BTK’nın Elektronik Haberleşme Kanunu kapsamındaki haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi koşullarını[1] şebekeler üstü hizmet sağlayıcılar hakkında uygulamaya kalkışması, güçlü uçtan uca şifreleme dahil olmak üzere temel siber güvenlik araçlarının kullanımının baltalanması sonucunu doğurabilecektir.

Küresel Şifreleme Koalisyonu[2]  üyeleri de dahil olmak üzere aşağıda imzası bulunan sivil toplum örgütleri ve şirketler, BTK’yı uçtan uca şifrelenmiş iletişim de dahil olmak üzere haberleşmenin gizliliğinin korunmasını sağlamaya davet etmektedir.

Kanun, tüm şebekeler üstü hizmet sağlayıcıların Elektronik Haberleşme Kanunu kapsamına alarak yeni ve kanunda mevcut bulunan yükümlülükleri yerine getirmesini zorunlu kılarak mevcut kanunların kapsamını genişletmektedir. “Şebekeler üstü hizmet sağlayıcılar”, e-posta sağlayıcıları, sosyal medya şirketleri ve mesajlaşma hizmetleri sağlayıcıları gibi, geniş bir yelpazedeki internet tabanlı hizmetleri kapsamaktadır. Şebekeler üstü hizmet sağlayıcıların bu kanun kapsamına alınmalarının sonucu olarak tabi olabileceği muhtemel yeni yükümlülükler arasında en endişe verici olan, kullanıcı içeriği ve trafik verilerini ifşa etme yükümlülüğüdür. Siber güvenlik uzmanları, şebekelerüstü hizmet sağlayıcıların kullanıcılarının uçtan uca şifrelenmiş iletişimlerinin içeriğine, tüm kullanıcılarının güvenliğini ve gizliliğini büyük ölçüde baltalamadan erişmenin bir yolu olmadığı konusunda hemfikirdir. Bu halde uçtan uca şifreleme sunan platformlar, kanunun getirdiği şartlara uymalarının teknik olarak imkansız olması nedeniyle kanuna uymamaları sonucunda uygulanacak yaptırımlar neticesinde Türkiye’de erişilemez hale gelebilecektir.

Uçtan uca şifreleme sistemi, mesajın şifresini çözecek anahtarın yalnızca hedeflenen alıcıda bulunması sayesinde yüksek güvenlik sağlayan bir sistemdir. Uçtan uca şifrelemede servis sağlayıcı ve devlet de dahil olmak üzere hiçbir üçüncü tarafın kullanıcıların şifrelenmiş içeriğini okuması mümkün olmamaktadır. BTK tarafından düzenlenecek ikincil mevzuatın uçtan uca şifrelenmiş hizmet sağlayıcıların kullanıcılarının mesajlarını deşifre ve ifşa etmelerini zorunlu kılması durumunda, bu sağlayıcılar sistemlerine güvenlik açıkları ekleyerek kullanıcılarının güvenliğini zayıflatmak ile Türkiye pazarından çıkmak arasında bir seçim yapmak durumunda bırakılacaktır.

İkincil mevzuatın haberleşmenin gizliliğini ve güvenliğini tehlikeye atacak şekilde hazırlanması yalnızca bu şifreli platformların sağladığı bilgi akışını ortadan kaldırmakla kalmayacak, aynı zamanda Türkiyeli vatandaş ve işletmelerinin güvenliğini ve mahremiyetini etkileyerek Türk sanayiini zayıflatacaktır. 2018 yılında Avustralya’nın uçtan uca şifrelemeyi sekteye uğratan benzer bir yasayı kabul etmesi üzerine Avustralya teknoloji endüstrisi, ürünlerine olan güvenin azalması nedeniyle tahmini 1 Milyar ABD Doları tutarında bir kayıp yaşamış, bunun yanısıra yabancı yatırımlarda daha da yüksek miktarda kayba uğramıştır. Türkiye’deki işletmeler de  güvenlik ve mahremiyetlerinin benzer şekilde zayıflaması halinde yabancı aktörlerin kurumsal casusluğuna açık hale getirecektir. Bu durum, bilhassa gizli kurumsal bilgileri sadece ekonomik değil ulusal savunma açısından da sonuçlar doğurabilecek olan ve giderek büyüyen Türk savunma sanayii[3]  açısından da endişe vericidir. Cumhurbaşkanı Erdoğan, Ulusal Siber Olaylara Müdahale Merkezi’nde yaptığı konuşmada siber güvenliğin önemini ve ülkenin karşı karşıya olduğu siber güvenlik tehditlerini vurgulamıştır.[4]

Güçlü uçtan uca şifreleme Türkiye’nin ekonomisi ve güvenliği bakımından hayati önem taşımaktadır. Her türlü ikincil mevzuat, sivil toplum da dahil olmak üzere tüm paydaşlar ile istişare edilerek hazırlanmalı ve uçtan uca şifreleme de dahil olmak üzere haberleşmenin gizliliğinin ve güvenliğinin tehlikeye atılmamasını temin etmelidir.

İmzalayanlar*

Access Now

Africa Media and Information Technology Initiative (AfriMITI) (Afrika Medya ve Bilgi Teknolojileri İnisiyatifi)

Article 19

Associação Portuguesa para a Segurança da Informação (AP2SI)

Betapersei SC

Blacknight

Cartoonists Rights Network International – Uluslararası Karikatürcüler Ağı

Coalition For Women In Journalism (CFWIJ) – Gazetecilikte Kadın Koalisyonu

Hukuk ve Toplum Merkezi – Center for Law and Society – San Andres Üniversitesi, Buenos Aires, Arjantin.

Centre for Democracy and Technology – Demokrasi ve Teknoloji Merkezi

Collaboration on International ICT Policy for East and Southern Africa (CIPESA) – Doğu ve Güney Afrika’da Uluslararası BİT Politikası İşbirliği

Committee to Protect Journalists

Encrypt Uganda

European Centre for Press and Media Freedom (ECPMF) – Avrupa Basın ve Medya Özgürlüğü Merkezi 

Foreign Media Association (Yabancı Medya Derneği)

Global Forum for Media Development (GFMD)

Global Partners Digital 

Ikigai Innovation Initiative – İkigai Yenilik Girişimi

Internet Freedom Foundation

Internet Society – İnternet Toplumu

Internet Society Ghana Chapter

Internet Society Tanzania Chapter

Kijiji Yeetu

Mailfence.com

Media and Law Studies Association (MLSA) – Medya ve Hukuk Çalışmaları Derneği

Nameshop

Osservatorio Balcani Caucaso Transeuropa

OpenMedia

OPTF Ltd

PEN America – PEN Amerika

PEN Norway – PEN Norveç

Proton

Platform for Independent Journalism (P24) – Bağımsız Gazetecilik Platformu

Ranking Digital Rights

Riana Pfefferkorn, Araştırma Görevlisi, Stanford İnternet Gözlemevi

SecureCrypt

Stichting Mission Lanka 

South East Europe  Media Organisation (SEEMO) – Güney Doğu Avrupa Medya Örgütü

Superbloom

Tech for Good Asia

Tutanota

Youth Forum for Social Justice 

Yusif Amadu, University of Ghana 

* Bağlı kuruluşlar yalnızca bilgilendirme amacıyla listelenmiştir


[1] 5809 Sayılı Elektronik Haberleşme Kanunu m. 51/2 elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olmakla birlikte ilgili mevzuat ve yargı kararlarının öngördüğü durumlarda haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesinin mümkün olduğunu düzenlemektedir. Şebekeler üstü hizmet sağlayıcıların Elektronik Haberleşme Kanunu’na dahil edilmesi, bu hükmün onlar hakkında da uygulanması tehlikesini doğurmaktadır. Elektronik Haberleşme Kanunu hükümlerinin şebekeler üstü hizmet sağlayıcılara uygulanması hakkında BTK tarafından bir yönetmelik çıkarılması beklenmektedir.

[2] Dünyanın her yerinden 300’den fazla üyesiyle Küresel Şifreleme Koalisyonu, şifrelemenin tehdit altında olduğu ülkelerde ve çok taraflı forumlarda şifrelemeyi teşvik etmekte ve savunmaktadır. Bunun yanısıra şirketlerin kullanıcılarına şifreli hizmetler sunma girişimlerini desteklemektedir. https://www.globalencryption.org/

[3] https://www.defensenews.com/top-100/2022/08/08/turkeys-defense-industry-eyes-export-expansion-as-government-navigates-geopolitical-stage/

[4] https://www.btk.gov.tr/haberler/cumhurbaskani-erdogan-yerli-5g-teknolojisi-altyapisini-kurmadan-5g-ye-gecemeyiz