HiCBiR ZAMAN ACIK KAYDEDiLMEZ — AES-256-GCM SiFRELEME

Girdigin platform keyi, sunucumuza ulasmadan once AES-256-GCM algoritmasi ile tam sifrelenir. Bu algoritma 256-bit anahtar kullanir — yani 2 uzeri 256 farkli kombinasyon mevcuttur. Dunyada var olan tum bilgisayarlar birlese ve saniyede milyarlarca deneme yapsa, bu anahtari kirmak icin evrenin yasindaki sureden trilyon kat daha uzun bir sure gerekir. Veritabaninda yalnizca sifrelenmis metin, benzersiz IV ve kimlik dogrulama etiketi (auth tag) saklanir. Ham key hicbir sunucuda, hicbir log dosyasinda, hicbir tabloda asla duz metin olarak bulunmaz.

TLS 1.3 iLE KORUNAN iLETiM — FORWARD SECRECY

Tarayicindan sunucumuza giden her veri paketi TLS 1.3 protokolu ile sifreli bir tunel icerisinde iletilir. TLS 1.3, onceki versiyonlarda bulunan tum bilinen guvenllik aciklari kapatilarak tasarlanmis en guncel standarttir. Forward Secrecy ozelligi sayesinde her oturum icin benzersiz bir sifreleme anahtari uretilir. Bu demek oluyor ki, bir saldirgan sunucumuzun anahtarini ele gecirse bile gecmise ait hicbir iletimi cozemez. Turk Telekom, ISP'ler, ag dinleyicileri veya gelismis devlet gozlem sistemleri dahil hic kimse iletilen veriyi okuyamaz.

ASKERi VE BANKACILIK DUZEYDE SiFRELEME

Kullandigimiz AES-256-GCM sifreleme standardi; NATO, ABD Savunma Bakanligi (DoD), NSA ve dunyanin buyuk askeri organizasyonlari tarafindan gizli ve cok gizli belgelerin korunmasinda kullanilan standarttir. Ayni zamanda JPMorgan Chase, Goldman Sachs, Deutsche Bank gibi dunya devlerinin ve SWIFT uluslararasi banka transfer aginin temel sifreleme altyapisidir. Turkiye'de BDDK denetimindeki bankalar da musterilerin finansal verilerini bu standartla korumaktadir. Streamrooms, yayincilarinin platform keylerini banka musterilerinin IBAN ve kart bilgileriyle ayni guvenlik duzeyi ile saklar.

HiCBiR CALISAN GOREMEZ — ZERO-KNOWLEDGE MiMARiSi

Streamrooms ekibi, sistem yoneticileri, yazilim gellistiriciler ve destek personeli dahil hicbir calisanimiz platform keylerini duz metin olarak goremez. Sifreleme anahtari, veritabaninin fiziksel olarak bulundugu sunucudan tamamen ayri bir Key Vault sunucusunda saklanir. Bu mimari, veritabani sunucusu tamamen ele gecirilse bile anahtarsiz hicbir keyin cozulememesini garanti eder. Buna Zero-Knowledge Mimarisi denir — yani biz de dahil hic kimse keylere erisemez. Tumanahtar erisimleri zaman damgali, IP adresi kayitli ve kriptografik imzali degistirilemez audit log'a islenir. Herhangi bir yetkisiz erisim girisimi aninda sistem yoneticilerine alarm gonderir.

UCTAN UCA KORUMA — TAM YASAM DONGUSU GUVENLiGi

Keyinin korunmasi sadece saklanma aninda degil, girisinizden yayinin sonuna kadar her adimda aktiftir.

Giris: Tarayici → TLS 1.3 sifreli tunel → Sunucu RAM'i → AES-256-GCM → Veritabani → Key Vault
Yayin Ani: Key Vault → Gecici RAM → RTMP baglantisi → Yayin biter → RAM'den aninda silme
Saklama: Yalnizca sifrelenmis veri + ayri vault'ta anahtar. ikisi bir araya gelmedikce hicbir anlam ifade etmez.

Key hicbir log dosyasina, hicbir gecici tabloya, hicbir cache'e yazilmaz. Yayin suresi boyunca bile key yalnizca aktif RTMP baglantisi icin bellekte tutulur, baglanti kapanir kapanmaz bellek alani uzerine yazilarak (overwrite) kalici olarak silinir.

EK KORUMA KATMANLARI

Rate Limiting: Key giris ekranina dakikada en fazla 5 istek — brute force saldirilari engellenir.
2FA Zorunlulugu: Key degisiklikleri icin her seferinde iki adimli dogrulama gerekir.
PBKDF2 (310.000 iterasyon): Sifreleme anahtari turetiminde 310 bin tur islem — her deneme 310 bin kat yavas.
Cloudflare WAF: Web uygulamasi guvenlik duvari ile bilinen tum saldiri kaliplari filtrelenir.
HSTS Preload: Tarayici her zaman HTTPS kullanmaya zorlanir, HTTP baglantisi hic kurulmaz.
Ayri Key Salt: Her platform icin farkli rastgele salt degeri — iki ayni key bile veritabaninda farkli gorunur.