AbsentKey zero-knowledge şifreleme kullanır. Sırlarınız telefonunuzdan çıkmadan önce telefonunuzda şifrelenir. Sunucularımız yalnızca çözemediğimiz karışık veri tutar. Birisi sahip olduğumuz her sunucuya girse bile, eline okunabilir hiçbir şey geçmez.
AbsentKey şifrelerinizi görebiliyor mu?
Hayır. Bu bir politika da değil. Matematik.
AbsentKey’de bir sır oluşturduğunuzda, uygulama hiçbir şey yüklenmeden önce veriyi cihazınızda XSalsa20-Poly1305 ile şifreler. Şifreleme anahtarları, telefonunuzda üretilen ve sunucularımıza hiçbir zaman gönderilmeyen 12 kelimelik kurtarma ifadenizden türetilir. Anahtarlar bizde değil. Türetemeyiz. Tahmin edemeyiz.
Sunucularımızda duran şey, şifrelenmiş veri yığınları. Hepsi bu. Birine kombinasyonunu vermeden kilitli bir kasa teslim etmeyi düşünün. Kasayı tutabilirler, taşıyabilirler, depoda saklayabilirler. Sadece açamazlar.
Burada deneysel ya da yeni bir kriptografi yok. XSalsa20-Poly1305, Signal’ın da kullandığı NaCl/libsodium ailesinden gelir. 12 kelimelik ifade, anahtar türetmek için NIST tarafından önerilen bir standart olan HKDF-SHA256’yı kullanır.
Şu da ilginç: 2025 yılındaki bir Proton anketine göre Amerikalıların %76’sı uygulama seçerken şifrelemenin önemli olduğunu söylüyor. Ama aynı kişilerin %41’i Gmail’in uçtan uca şifreli olduğunu sanıyor. Değil. İnsanların varsaydıkları ile gerçekte olanlar arasındaki uçurum geniş. AbsentKey varsayıma yer bırakmaz. Mimari, gözetlemeyi politika değil teknik olarak imkânsız hâle getirir.
”Zero-knowledge” pratikte ne anlama gelir?
Zero-knowledge, AbsentKey’in verileriniz hakkında sıfır bilgisi olması demektir. Onu okuyamayız, arayamayız, analiz edemeyiz, kimseye teslim edemeyiz. Devletlere de, reklamcılara da, kendi çalışanlarımıza da. Sunucu yalnızca şifreli anlamsız veriyi ve erişim kontrolüne dair meta veriyi (kim ne talep edebilir, hangi zamanlayıcılar ayarlandı) görür. Başka hiçbir şeyi.
Bulut hizmetlerinin çoğu verilerinizi “durağan halde” ve “aktarım sırasında” şifreler. Kulağa güvenli geliyor, değil mi? Ama anahtarları şirket tutar. İstedikleri zaman her şeyi çözebilirler. Veritabanına erişimi olan çalışanları da çözebilir. Bir saldırgan anahtar altyapısını ele geçirirse, sistemdeki tüm veriler aynı anda açığa çıkar.
Sırlarınız güvende; çünkü sunucumuzda çalınmaya değer bir şey hiç bulunmadı.
2025’te bir veri ihlalinin küresel ortalama maliyeti 4,44 milyon dolara ulaştı (IBM, 2025). Verizon DBIR’a göre ihlallerin %60’ında insan faktörü vardı. Şifreleme anahtarlarını tutan bir şirkette, ele geçirilen tek bir çalışan her şeyi açabilir. Zero-knowledge bu riski tamamen ortadan kaldırır.
AbsentKey’de sunucularımızın ihlal edilmesi işe yarar bir şey üretmez. Saldırgan şifrelenmiş veri yığınları alır. Yalnızca cihazınızda var olan anahtarlar olmadan, bu veri yığınları hesaplama açısından işe yaramazdır. Kırması zor değil. İşe yaramaz.
Sunucularımız ele geçirilirse ne olur?
Sorulmaya değer soru budur. Her şirket “güvenliği ciddiye alıyoruz” der. Bunların çoğu aynı zamanda verilerinizin anahtarlarını da elinde tutar; bu da bir ihlalin her şeyi açığa çıkarması demektir.
Birisi AbsentKey’in tüm sunucularını ele geçirseydi şunlarla ayrılırdı:
- Çözemeyecekleri şifrelenmiş veri yığınları (sunucuda anahtar yok)
- Erişim kontrolü meta verisi (kim ne talep edebilir, zamanlayıcı süreleri)
- Açık anahtarlar (zaten herkese açık olacak şekilde tasarlanmış, saldırı için işe yaramaz)
- Hesaplara bağlı e-posta adresleri
Bulamayacakları şeyler: şifreleriniz, kripto seed phrase’leriniz, özel dosyalarınız. Bunların hiçbiri sunucularımızda okunabilir biçimde bulunmuyor. Hiç bulunmadı.
Tüketicilerin %65’i bir ihlalin ardından bir markaya olan güvenini anında yitirdiğini söylüyor (SQ Magazine, 2026). AbsentKey’i, ihlal edilsek bile çalınmaya değer bir şey olmaması üzerine kurduk. Sırlarınız güvende; çünkü sunucuda en başından beri okunabilir biçimde hiç bulunmadılar.
Şifreleme anahtarlarını şirketin tuttuğu bir hizmette, bir ihlal verilerinizin okunabilir olması anlamına gelir. AbsentKey’de bir ihlal bizim için utanç verici olur, ama size bir zararı dokunmaz.
Talep bazlı erişim sizi nasıl korur?
Şifreleme, “sunucu verilerimi okuyabiliyor mu?” sorununu çözer. Ama şifre mirası söz konusu olduğunda, çoğu kişinin düşünmediği başka bir açı var: ya birisi alıcının telefonunu ele geçirirse?
Şifre paylaşım araçlarının çoğu, paylaştığınız anda alıcılara hemen erişim verir. Telefon mu çalındı? Hesap mı ele geçirildi? Saldırgan her şeyi görür.
AbsentKey farklı çalışır. Paylaştığınız her kişi için bir bekleme süresi belirlersiniz; anlıktan 365 güne kadar. Anlık erişim seçmediyseniz, alıcıların önce erişim talep etmesi gerekir. Talep ettiklerinde:
- Bir push bildirimi alırsınız.
- Onaylayabilir, reddedebilir veya bekleyebilirsiniz.
- Yanıt vermezseniz belirlediğiniz zamanlayıcı geri sayar.
- Yalnızca zamanlayıcı dolduğunda alıcı erişim kazanır.
Yani çalınan bir telefon, paylaşılan sırları otomatik olarak açığa çıkarmaz. Hırsızın erişim talep etmesi gerekir; bu da size bildirim gönderir. Görürsünüz. Reddedersiniz. Bitti.
Verizon’un 2025 raporuna göre şifrelerin %94’ü iki veya daha fazla hesapta tekrar kullanılıyor. Birisi bir hesabı kırar ve bu kimlik bilgilerini bir paylaşım hizmetine girmek için kullanırsa, talep bazlı erişim sizinle veriniz arasındaki bir başka duvardır. Şifreleme içeriği korur. Erişim kontrolü kapıyı korur.
Paylaşım, sırları açığa çıkarmadan nasıl çalışır?
Birisiyle bir sır paylaştığınızda, AbsentKey X25519 anahtar değişimini (Curve25519 üzerinde Diffie-Hellman) kullanır. Sade bir dille: cihazınız ile alıcının cihazı, ortak bir şifreleme anahtarı üzerinde anlaşmak için birlikte matematik yapar. Hiçbir cihaz özel anahtarını ağ üzerinden göndermez. Sunucu mesajları iletir, ama ortak anahtarı asla öğrenmez.
Signal’ın mesajlaşma için kullandığı yaklaşımın aynısı. İki cihaz matematik yoluyla ortak bir sır üretir. Aradaki sunucu şifreli paketleri taşır, içinde ne olduğundan haberi olmaz.
# Plaintext stays on the device. Only ciphertext leaves. const key = derive(recoveryPhrase) // stays local const cipher = xsalsa20Poly1305.encrypt(secret, key) upload(cipher) → “server stores ciphertext”
Sırrınız yalnızca iki cihazda var olan bir anahtarla şifrelenir: sizinkinde ve alıcınınkinde. Sunucularımız sadece teslimat sistemidir. Paketi taşır, ama açamazlar.
Şifrelenmiş veriyi aktarım sırasında ele geçirmek bile, sunucuyu ihlal etmekle aynı sonucu verir: okunamaz veri. Şifreleme, veri yığınına nasıl ulaştığınızı umursamaz. Anahtar olmadan o sadece gürültüdür.
Kodu kendiniz inceleyebilirsiniz
AbsentKey’in mobil istemcisi GitHub’da kaynak koduyla yayımlanıyor. Bunların hiçbirine bizim sözümüze güvenmek zorunda değilsiniz. Şifreleme uygulamasını okuyun. Düz metnin ağa hiç çıkmadığını doğrulayın. Anahtarların cihazda kaldığını teyit edin.
CompareCheapSSL’in 2025 verilerine göre tüketicilerin %53’ü şeffaf uygulamalara sahip markalara daha çok güvenme eğiliminde. Ama biz güven istemiyoruz. Şunu söylüyoruz: kod burada, kendiniz bakın.
Şifreleme yapı taşları (XSalsa20-Poly1305, X25519, HKDF-SHA256) hep libsodium’dan gelir; libsodium, en çok denetlenen kriptografi kütüphanelerinden biridir. Kendi kriptomuzu yazmadık. Güvenlik camiasının yıllardır incelediği aynı yapı taşlarını kullandık.
Yapmadığımız şeyler
Bazen bir hizmetin ne yapmadığı konusunda net olmak yardımcı olur.
Şifreleme anahtarlarınızı tutmuyoruz. Anahtarlar cihazınızdaki 12 kelimelik ifadenizden türetilir. “Şifremi unuttum” arka kapımız yok. Kurtarma ifadenizi ve cihazınızı kaybederseniz verileriniz gider. Gerçek zero-knowledge’ın bedeli budur. Sırlarınızı tarayamayız çünkü şifrelidir. Günlük giriş kontrolleri ya da “hayatta olduğunu kanıtla” sinyalleri istemiyoruz. Alıcılardan da ücret almıyoruz. Almak her zaman ücretsizdir.
Thales’in 2025 Tüketici Dijital Güven Endeksi, 14 ülkede 14.000’den fazla tüketiciyle yapıldı. Veri güveni konusunda %50’nin üzerine çıkan tek bir sektör yok (Thales, 2025). İnsanlar şirketlere verileriyle güvenmiyor. Açıkçası güvenmek zorunda da olmamalılar. Zero-knowledge mimari güveni isteğe bağlı kılar. AbsentKey’e güvenmek zorunda değilsiniz. Bu işi matematik halleder.
Sık Sorulan Sorular
AbsentKey gerçekten uçtan uca şifreli mi?
Evet. Şifreleme, veri yüklenmeden önce cihazınızda gerçekleşir. Çözme, indirildikten sonra alıcının cihazında olur. Sunucularımız aradaki yalnızca şifreli veri yığınlarını taşır. Şifreleme libsodium kütüphanesinden XSalsa20-Poly1305 kullanır; anahtar değişimi ise X25519 kullanır. Her ikisi de iyi denetlenmiş algoritmalardır. Bunu GitHub’daki kaynak kodlu mobil istemcide doğrulayabilirsiniz.
Kurtarma ifademi kaybedersem ne olur?
12 kelimelik kurtarma ifadenizi kaybeder ve cihazınıza erişiminizi de yitirirseniz, sırlarınız kalıcı olarak kilitlenir. AbsentKey onları kurtaramaz. Zero-knowledge şifrelemenin bedeli budur: verilerinizi göremeyen hizmet, onları geri de getiremez. Kurtarma ifadenizi yazın ve telefonunuzdan ayrı, güvenli bir yerde saklayın.
Yetkililer AbsentKey’i verilerimi teslim etmeye zorlayabilir mi?
Talep edebilirler ve geçerli yasal emirlere uyarız. Ama teslim edeceğimiz şey şifrelenmiş veri yığınlarıdır. Sunucularımızda duran aynı okunamaz veri. 12 kelimelik kurtarma ifadeniz olmadan o veri işe yaramaz. Biz onu çözemeyiz. AbsentKey’de hiç kimse çözemez. 2026 USENIX Security makalesi, toplam 60 milyondan fazla kullanıcıya sahip büyük şifre yöneticilerinin zero-knowledge iddialarını inceledi ve doğru tasarlanmış zero-knowledge sistemlerde sunucu tarafında çözmenin imkânsız olduğunu doğruladı.
AbsentKey ile mesajla şifre paylaşmak arasındaki fark nedir?
Mesajlar şifreli değildir. Operatörünüz, telefon üreticiniz ve sinyali dinleyen herkes onları okuyabilir. Doğrulanmış ihlallerin %81’i zayıf, tekrar kullanılan ya da çalınan şifreleri içeriyor (Astra). Şifreleri düz metin olarak paylaşmak, kötü bir durumu daha da kötüleştirir. AbsentKey her şeyi uçtan uca şifreler, talep bazlı erişim kontrolü ekler ve istediğiniz zaman erişimi geri almanızı sağlar. Bir mesaj size bunların hiçbirini sunmaz.
AbsentKey açık kaynak mı?
Mobil istemci GitHub’da kaynak kodlu olarak yayımlanıyor. “Source-available” demek, kodu okuyup denetleyebilmeniz, ama lisansın izin verici bir açık kaynak lisansı olmaması demektir. Yaptığımız her şifreleme iddiasını uygulamayı okuyarak doğrulayabilirsiniz. Sunucu tarafı kodu yayımlanmıyor, ama güvenlik modeli sunucuya güvenmeyi gerektirmiyor. Zero-knowledge’ın bütün amacı budur: ele geçirilmiş bir sunucu bile verilerinizi okuyamaz.
Sırlarınız, anahtarlarınız
Güvenlik sektörünün bir güven sorunu var. Şirketler “güvenliyiz” derken, sakladığınız her şeyin anahtarlarını ellerinde tutarlar. 2025 anketinde büyük teknolojiye duyulan güven yıldan yıla 6 puan düştü (SQ Magazine, 2026). Tüketicilerin %64’ü daha güçlü veri korumalarına sahip markalara geçeceğini söyledi.
AbsentKey, bize güvenmek zorunda kalmayasınız diye kuruldu. Sırlarınız telefonunuzda, telefonunuzdan hiç çıkmayan anahtarlarla şifrelenir. Sunucu bir teslimat sistemidir, kasa değil. AbsentKey’de hiç kimse paylaştıklarınızı okuyamaz. Bugün de okuyamaz, bundan sonra da.
Şifrelerinizi, kripto anahtarlarınızı ya da özel dosyalarınızı dijital miras planınızın bir parçası olarak güvendiğiniz insanlarla paylaşacaksanız, o sırları taşıyan hizmet onları okuyabilmemelidir. AbsentKey okuyamıyor. Bu pazarlama değil. Mimari.
AbsentKey’i indirin. Almak ücretsiz. iOS ve Android’de mevcut.
