Fexyn
Fexyn
All posts

Five Eyes, Nine Eyes, Fourteen Eyes

Fexyn Team··8 min read

VPN yargı yetkisi neden önemli — yoksa değil mi? "Five Eyes" çerçevelemesi VPN pazarlamasında baskın. Her gizlilik listesi Five Eyes ülkeleri konusunda uyarır; ittifaka ait olmayan her VPN sağlayıcısı bununla övünür. Çerçevelemenin çoğu yanıltıcı.

Dürüst versiyon. İttifakların gerçekte ne olduğu, bir VPN sağlayıcısına ne yapabilecekleri ve yapamayacakları, "no-logs"un yargı yetkisinden neden daha önemli olduğu ve Fexyn'in (Wyoming, ABD — Five Eyes) bu manzaranın neresinde durduğu.

İttifaklar gerçekte ne

Five Eyes. Amerika Birleşik Devletleri, Birleşik Krallık, Kanada, Avustralya ve Yeni Zelanda arasındaki orijinal sinyal-istihbarat paylaşım anlaşması. Kökleri 1946 UKUSA Anlaşması'nda. BRUSA Anlaşması ve o zamandan beri çeşitli değişikliklerle resmileşti. Üyeler birbirleriyle SIGINT (kesilen iletişim) paylaşır.

Nine Eyes. Five Eyes artı Danimarka, Fransa, Hollanda ve Norveç. Five Eyes'tan daha az resmi — tek birleşik antlaşma yerine ek paylaşım ilişkileri.

Fourteen Eyes. Nine Eyes artı Almanya, Belçika, İtalya, İspanya ve İsveç. Daha az resmi.

Fourteen Eyes'ın ötesinde, diğer ülkelerle çeşitli iki taraflı ve çok taraflı SIGINT-paylaşım ilişkileri var. İttifaklar parlak yasal çizgiler değil; iş birliği kümeleri. İsrail, Japonya, Singapur ve Güney Kore resmi üye olmadan bazı paylaşımlara katılıyor.

İttifakların VPN sağlayıcılarına yapabilecekleri

Şiddet sırasıyla üç somut yetenek:

1. Log teslimini zorunlu kılma. Yasal emir alan üye ülkedeki bir VPN sağlayıcı, sahip olduğu logları teslim etmek zorunda. Sağlayıcının detaylı bağlantı logları varsa, bunlar talep eden ajansa gider. Sağlayıcının logu yoksa (gerçekten — gezinme geçmişi yok, DNS sorgu kaydı yok, oturum başına bağlantı metadata'sı yok), teslim edilecek bir şey yok.

2. Susturma emri çıkarma. Bazı yasal mekanizmalar (ABD National Security Letters, BK Investigatory Powers Act bildirimleri) alıcının talebi açıklamasını yasaklar. Bir sağlayıcı böyle bir emir alabilir ve halka açıklayamaz. "Warrant canary" paterni — böyle bir emir alınmadığına dair periyodik bildirim — geçici çözüm.

3. Sürekli yardımı zorunlu kılma. Sınırlı durumlarda sağlayıcılar izleme altyapısı kurmak veya izlemeyi etkinleştirmek için sistemleri değiştirmek üzere emredilebilir. Bu nadir ve gerçekleştiğinde mahkemede sertçe itiraz edilir (Apple-FBI 2016 VPN-olmayan bir servis için herkese açık örnekti).

İttifakların yapamayacakları:

  • Şifreyi kırmak. AES-256, ChaCha20-Poly1305, X25519 — VPN'lerin kullandığı modern kripto bilinen kriptanaliz yoluyla kırılabilir değil.
  • Üye olmayan ülke sağlayıcısını üye ülkeye doğrudan log teslim etmeye zorlamak. Karşılıklı yasal yardım anlaşmaları (MLAT) dolaylı yollar sağlar, ama daha yavaş ve yasal olarak daha kısıtlı.
  • No-logs sağlayıcıyı sahip olmadığı logları üretmeye zorlamak. Sağlayıcı emrin tarihinden ileriye loglama yapmaya zorlanabilir, ama hiç toplanmamış logları geriye dönük üretemez.

Üçüncü nokta kilit. Five Eyes ülkesindeki gerçek bir no-logs sağlayıcının emirden önce gerçekleşen aktiviteler için anlamlı teslim edilecek bir şeyi yok. İsviçre'deki bir loglayan sağlayıcının çok şeyi var.

Asıl soru: loglama, yargı yetkisi değil

Five Eyes çerçevelemesi VPN sağlayıcısının logu olduğunu varsayar. Varsa yargı yetkisi önemlidir çünkü iş birliği yapan yargı yetkileri üretimi zorunlu kılabilir. Yoksa yargı yetkisi daha az önemli.

VPN sağlayıcısını değerlendirmek için ilgili sorular:

Sağlayıcı belirli bir kullanıcının belirli oturumunu tanımlayabilecek log tutuyor mu? Çoğu sağlayıcı "no logs" der. Dürüst versiyon hemen her sağlayıcının BAZI log tuttuğudur (destek için hesap e-postası, faturalama için ödeme kayıtları, kapasite planlaması için toplu bant genişliği). Soru, var olan logların "X.X.X.X çıkış IP'sini T zamanında kim kullandı?" gibi bir mahkeme celbine cevap verip veremeyeceği.

No-logs sağlayıcının cevabı: "Eşleştirmeyi tutmadığımız için o veriyi üretemiyoruz." Loglayan sağlayıcının cevabı: kullanıcının hesabı.

No-logs iddiası bağımsız olarak doğrulandı mı? Cure53, Deloitte, KPMG, PricewaterhouseCoopers'tan denetim raporları ağırlık ekler. ProtonVPN'in birden fazla Cure53 denetimi var. Mullvad'ın denetimleri var. NordVPN, Surfshark, ExpressVPN değişen kapsamda denetimler geçirdi. Fexyn'in henüz yayımlanmış denetimi yok; bu boşluğu kabul ediyoruz.

Sağlayıcının ödeme altyapısı ne sızdırıyor? Kart ile ödediysen, loglama olmasa bile var olan kart-ihraççı-sağlayıcı bağlantısı var. Kripto ödeme bu bağlantıyı sınırlar. Yüksek tehdit modeli olan kullanıcılar için ödeme izi kendi başına bir değerlendirme.

Sağlayıcı hangi yargı yetkisinde? Evet, hâlâ önemli — ama loglama belirlendikten sonra ikincil faktör olarak.

Ülke ülke gerçeklik

Önemli VPN-sağlayıcı yargı yetkileri ve gerçekte ne ifade ettikleri:

ABD (Wyoming, Delaware, vb.). Five Eyes üyesi. NSL'ler ve FISA mahkeme emirleri var. Hafifletme: no-logs yapısı artı kripto ödeme artı minimum hesap verisi toplama. Fexyn burada. IPVanish, PIA da öyle (Kape Technologies satın alımı sonrası karmaşık). Dürüst durum: ABD merkezli no-logs sağlayıcı tipik tehdit modelleri için anlamlı şekilde güvenli; özellikle ABD istihbarat ajanslarını tehdit modeli olarak alan kullanıcılar için ABD-dışı sağlayıcı makul seçim.

Birleşik Krallık. Five Eyes üyesi. Investigatory Powers Act ABD çerçevesinden daha geniş yetkiler verir, toplu durdurma yetkileri dahil. Bu nedenle birkaç büyük ticari VPN BK merkezli. Hide.me'nin ana şirketi BK bağlantılı; eVenture'ın BK varlığı var.

Britanya Virjin Adaları (BVI). ExpressVPN burada kayıtlı. BVI bir BK denizaşırı toprağı ama kendi yasal çerçevesi altında işliyor. ExpressVPN şu anda Kape Technologies (BK merkezli ana şirket) sahipliğinde. "BVI offshore yani güvenli" argümanı satın alma sonrası zayıfladı.

İsviçre. ProtonVPN'in evi. İsviçre yasası güçlü gizlilik korumalarına sahip; yabancı ajanslarla karşılıklı yasal yardım ABD/BK'dan daha kısıtlı. Ancak İsviçre terörle mücadele davalarında Batı istihbaratıyla iş birliği yapar. "İsviçre = gizlilik cenneti" çerçevelemesi aşırı basitleştiriyor.

İsveç. Mullvad'ın evi. Güçlü gizlilik yasası; veri saklama gereksinimleri AB mahkemeleri tarafından iptal edildi. Mullvad'ın no-logs duruşu sektördeki en güçlülerden.

Romanya. CyberGhost'un evi. VPN sağlayıcıları için güçlü gizlilik çerçevesi. Romanya AB veri saklama baskılarına direndi. Birden fazla gizlilik odaklı sağlayıcı bu nedenle Romanya'yı seçti.

Panama. NordVPN'in evi (ana şirket yapısı karmaşık olsa da — Litvanya'da Tesonet/Nord Security). Panama'nın VPN sağlayıcıları için zorunlu veri saklama yasası yok. Kurumsal yapı basit "Panama = iyi" çerçevelemesini karmaşıklaştırıyor.

Kıbrıs, Cebelitarık, Seyşeller. Çeşitli küçük VPN sağlayıcıları izin veren çerçeveler için bunları seçti. Gerçeklik sağlayıcıya göre değişir.

Rusya. Federal Yasa 276-FZ (2017) Rus kullanıcılarına hizmet veren VPN sağlayıcılarının Roskomnadzor ile iş birliği yapmasını gerektirir. Rus merkezli VPN'ler tasarım gereği gözetleme araçları.

Çin. Meşru devlet-dışı VPN endüstrisi yok. Yabancı VPN sağlayıcılar lisanssız çalışır ve GFW bloklamasına tabi.

Fexyn nerede duruyor

Wyoming, ABD. Five Eyes. Bu konuda dürüstüz.

Yapısal hafifletmeler:

  • No-logs operasyon. Gezinme geçmişi yok. DNS sorgu logu yok. Trafik içerik logu yok. Belirli kullanıcının oturumunu tanımlayabilecek oturum başına bağlantı metadata'sı yok.
  • Vault PKI ile döndürülen kısa ömürlü 24-saatlik istemci sertifikaları. Geriye dönük korelasyonu sınırlar.
  • Seçenek olarak yalnızca-kripto faturalama — minimum ödeme-iz-hesap bağlantısı isteyen kullanıcılar için.
  • WFP-tabanlı kernel kill switch — bağlantı düşüşlerinde trafiğin tünel etrafına sızmaması için.
  • Vision flow ile VLESS Reality — standart protokollerin bloklandığı pazarlardaki kullanıcılar için.

Henüz yapmadıklarımız:

  • No-logs iddiasının bağımsız üçüncü taraf denetimi. 2026 için planlandı. Boşluğu kabul ediyoruz.
  • Yalnızca bare-metal sunucular. Bazı sağlayıcılar (Mullvad) sadece sahip oldukları bare-metal donanımda çalışır. Biz bare-metal ve iyi-değerlendirilmiş bulut sağlayıcıların karışımını kullanıyoruz.
  • Açık kaynak istemciler. Helper service'imiz açık kaynak (Rust); masaüstü istemcisi tescilli. Bazı kullanıcılar tamamen açık kaynak istemcileri tercih eder. Mullvad ve IVPN burada daha güçlü.

Tehdit modeli "ISP'imin gezinmemi görmesini istemiyorum" olan kullanıcılar için: Fexyn yeterli. "ABD hükümetine güvenmiyorum ve Five Eyes-olmayan sağlayıcı gerekiyor" tehdit modeli olan kullanıcılar için: ProtonVPN (İsviçre) veya Mullvad (İsveç) makul seçimler ve o spesifik senaryoda bizden çok onları tavsiye ederdik.

"Five Eyes-olmayan"ın gerçekte sağladığı

Pazarlama önerisi Five Eyes-olmayan sağlayıcının fundamental olarak daha güvenli olduğu. Gerçeklik daha nüanslı:

  • Detaylı logları olan Five Eyes-olmayan sağlayıcı, gerçek no-logs Five Eyes sağlayıcısından daha az güvenlidir. Loglama yargı yetkisinden daha çok önemli.
  • Güçlü denetlenmiş no-logs operasyonu olan Five Eyes-olmayan sağlayıcı belirli zorlama saldırılarına DAHA dirençlidir. İsviçre veya İsveç ABD veya BK'dan veri teslim etmekte daha kısıtlıdır.
  • Çoğu kullanıcı için çoğu tehdit modelinde fark teorik. Belirli gezinme verinin VPN sağlayıcısının yargı yetkisi nedeniyle istihbarat-paylaşım anlaşmasında sona erme olasılığı düşük; ISP'inin veya bir veri brokerının o veriye sahip olma olasılığı çok daha yüksek.

Dürüst çerçeve: yargı yetkisi beş faktörden biridir (loglama, denetimler, ödeme, altyapı, yargı yetkisi). Birincil faktör olarak ele almak pazarlama versiyonu, analitik versiyonu değil.

Yargı yetkisinin gerçekten önemli olduğu zaman

Yargı yetkisinin gerçekten en önemli faktör olduğu kullanıcılar için:

  • Kaynak-koruma-kritik bağlamlarda çalışan gazeteciler. İsviçre veya İsveç, doğrulanmış no-logs ve kripto ödeme ile.
  • Ülkene iade ilişkisi olan ülkelerdeki aktivistler. Ülkenin yargı yetkisinden kaçın; antlaşma-dışı yargı yetkilerini düşün.
  • Özellikle istihbarat-ajansı düşmanlarını modelleyen kullanıcılar. Five Eyes-olmayan artı kendi-host'lanmış çıkış seçenekleri artı herhangi bir ticari VPN'in sağladığının ötesinde operasyonel güvenlik.

Diğer herkes için — ISP takibinden gizlilik, geo-bypass, halka açık-Wi-Fi koruması, sansür aşma — loglama-ve-ödeme soruları sağlayıcının kuruluş belgelerindeki ülke bayrağından daha yük taşır.

Sıkça sorulan

ABD bir Five Eyes ülkesi mi?

Evet. ABD orijinal Five Eyes ittifakının kurucu üyesi.

NordVPN ve ExpressVPN yargı yetkileri verildiğinde güvenli mi?

NordVPN Panama'da (ana şirket Litvanya'da); Five Eyes değil. ExpressVPN BVI'da (ana şirket BK'da, Kape Technologies). Her ikisi de birden fazla denetlendi. Yargı yetkisi temelli endişeler gerçek ama tek başlarına ürünleri güvensiz yapmıyor; denetlenmiş no-logs yapısı daha önemli değerlendirme.

ABD yargı yetkisi nedeniyle Fexyn'den kaçınmalı mıyım?

Tehdit modeline bağlı. Tipik ISP'den-gizlilik kullanımı için Fexyn uygun. Özellikle ABD istihbarat ajanslarını tehdit modeli olarak alan kullanıcılar için ProtonVPN veya Mullvad daha iyi seçimler ve o spesifik senaryoda bizden çok onları tavsiye ediyoruz.

ProtonVPN'in İsviçre yargı yetkisi?

İsviçre güçlü gizlilik yasasına ve yabancı istihbarat servisleriyle sınırlı karşılıklı yardıma sahip. ProtonVPN'in birden fazla bağımsız denetimi var. Five Eyes-olmayan artı denetlenmiş no-logs isteyen kullanıcılar için ProtonVPN mevcut en güçlü seçeneklerden biri.

Warrant canary'ler nereye uyar?

Bazı sağlayıcılar (özellikle IVPN) warrant canary tutar — gizli yasal emir almadıklarına dair periyodik bildirimler. Yasal etkililik tartışmalı; sembolik değer gerçek. Fexyn şu anda warrant canary tutmuyor; değerlendiriyoruz.

Fexyn'i 7 gün ücretsiz dene — Wyoming, ABD merkezli, no-logs yapı, kripto ödeme mevcut, kernel seviyesi kill switch. No-logs politikası girişi no-logs'un gerçekte ne anlama geldiğini kapsar; VPN nasıl seçilir genel satın alma kararını dürüstçe kapsar.

Son inceleme 2026-05-09.

Five Eyes, Nine Eyes, Fourteen Eyes | Fexyn VPN