Contents
Mobil Teknik Mimari

Mobil Teknik Mimari

Bu sayfa, Crisis Connect mobil uygulamasının güveni nasıl kurduğunu, internet varken mesajları ve aramaları uçtan uca şifreli olarak nasıl taşıdığını, şebeke çöktüğünde aynı işi doğrudan Bluetooth ile nasıl sürdürdüğünü ve responder'ları güvenli yollara nasıl yükselttiğini açıklar.

Açık Kaynakemirhan-duman/Crisis-Connect
BLE + RFCOMM
Varsayılan Olay Yolu
Wi-Fi Aware + GATT
Kontrollü Genişleme Katmanları
AES-GCM + ECDH
Kriptografik Güven Profili
Android 1.0.4 · iOS 1.1.0
Mağaza Sürümleri
Crisis Connect, offline-first bir acil iletişim sistemidir. İnternet varken uçtan uca şifreli mesajlaşma ile sesli ve görüntülü aramalar sunar; internet ve hücresel altyapı çöktüğünde ya da aşırı yüklendiğinde aynı uygulama, yakındaki telefonların kısa menzilli radyolarıyla çalışmaya devam eder. Android mimari baseline'ı acil olay yolunu yerel Bluetooth üzerinde tutar, internet katmanını uçtan uca şifreli zarflar üzerine kurar, genişleme katmanlarını sadece politika izin verdiğinde açar ve bulutu hiçbir zaman düz metin içerik görmeyen bir teslim ve güven düzlemi olarak konumlandırır.

Sistem Özeti

Offline-first mesaj yolu: Yakın cihazlar birbirini Bluetooth ile keşfeder, ardından güvenli yükleri internet kullanmadan yerel point-to-point taşıma üzerinden değişir
İnternet katmanı: İnternet varken mesajlar uçtan uca şifreli zarflar olarak taşınır, birebir aramalar WebRTC ile kurulur ve SOS bildirimi yetkili panellere ulaşır
Açık güven bootstrap'i: Bilinen kişiler QR ile bant dışı eşlenir; Rescue Mode ise yalnızca doğrulanmış responder'ları güvenli iki yönlü sohbete yükseltir
Kontrollü genişleme modeli: Yetkili responder mesh'i ve geniş kamusal koordinasyon mevcuttur, ama birbirinden ayrıdır, kapılıdır ve varsayılan yol olarak görülmez
Bulut içeriğe kördür: Arka uç servisleri sertifika üretimi, trust-anchor dağıtımı, telemetri senkronu ve şifreli zarf teslimi yürütür; uçtan uca şifreli içeriği hiçbir noktada okuyamaz
01

Çalışma Modeli

Varsayımlar, kapsam ve mevcut yetenek sınırı
Crisis Connect iki durumda da işe yarayacak şekilde tasarlanmıştır: internet varken günlük, uçtan uca şifreli mesajlaşma ve aramalar; geniş alan ağları düştüğünde ise çalışmaya devam eden yerel koordinasyon. Mimari kararların ağırlığı bu ikinci an içindir: yakın telefonlar hâlâ çalışıyordur ve operatörlerin sınırsız değil kontrollü bir yerel koordinasyon katmanına ihtiyacı vardır.
Offline-first varsayımı: Uygulama; internet ve hücresel servislerin yok olduğu veya aşırı yüklendiği, ama yakındaki akıllı telefonların hâlâ pil ve kullanılabilir radyo taşıdığı olaylar için tasarlanmıştır.
Önceden kurulu istemci: Sivil katılım, uyumlu uygulama sürümünün bağlantı kaybından önce kurulmuş olmasını ya da kurulum hâlâ mümkünken onaylı yerel bir akışla dağıtılmasını varsayar.
Yerel radyo zarfı: İletişim yakınlık temellidir. Varsayılan yol Bluetooth'tur; Wi-Fi Aware ise desteklenen cihazlarda yetkili responder mesh oturumları için ayrılmıştır.
Mevcut yetenek seti: Güvenli metin ve konum güncellemeleri, isteğe bağlı point-to-point ses, Rescue Mode, yetkili responder mesh sohbeti, uçtan uca şifreli internet mesajlaşması, WebRTC sesli ve görüntülü aramalar ve isteğe bağlı Crisis Link telemetri senkronu mevcut kapsam içindedir.
Söylenti kontrolü duruşu: Sivil mesajlaşma varsayılan olarak bilinen kişilerle sınırlıdır, SOS keşfe açıktır ama güvenli sohbet için doğrulama ister ve geniş kamusal koordinasyon opt-in ve sınırlıdır.
02

Tasarım İlkeleri

Buluttan Önce Yerel

Sistem internet olmadan tam çalışacak şekilde tasarlanır. İnternet katmanı offline acil yolun yerine geçmez, üstüne eklenir; acil yakın yükler cihazdan cihaza radyo yollarında kalır.

Mesh'ten Önce Doğrudan Yol

Varsayılan davranış point-to-point Bluetooth'tur. Daha geniş erişimli modlar yalnızca açık rol, yetenek ve operatör kontrolleri altında eklenir.

Sınırlandırılmış Runtime

Tasarım; kısıtlı güç ve dengesiz saha koşullarını varsayar, bu yüzden kuyruk sınırları, retry bound'ları, foreground service'ler ve tek çağrı ses kapsamı bilinçli tercihlerdir.

Güven Açıkça Kurulur

Kişiler ancak QR bootstrap artı kriptografik canlılık sonrasında operasyonel olur; responder güvenli akışları ise sertifika temelli doğrulama ister.

03

Ana Radyo Yığını

BLE keşif ve kontrolün üstünde RFCOMM taşıma
Varsayılan olay yolu iki farklı Bluetooth katmanını birleştirir. BLE; hafif keşif, servis sinyallemesi ve rescue kontrol değişimini üstlenirken, Bluetooth Classic RFCOMM metin, konum, medya ve isteğe bağlı ses için daha ağır point-to-point yük trafiğini taşır.
Keşif ve Kontrol Katmanı
BLE (GAP/GATT)
Varlık sinyallemesi, kısa kontrol değişimleri, Rescue Mode ilanı ve düşük güçlü keşif
Yakındaki cihazlar için düşük güçlü peer discovery ve yerel presence yayını
Ağır yük aktarımından önce güvenli oturumları hazırlayan authentication ve kontrol değişimleri
Rescue Mode akışları için SOS beacon davranışı ve servis seviyesinde sinyalleme
Yük Taşıma Katmanı
Bluetooth Classic RFCOMM/SPP
Metin, konum, medya ve isteğe bağlı ses için güvenilir point-to-point taşıma
Keşif başarılı olduktan sonra yakın peer'lar arasında daha yüksek throughput'lu doğrudan oturumlar
Uygulamanın tanımladığı protokol üzerinden güvenli mesaj, görsel, dosya ve ses aktarımı
Uyumluluk için secure ya da insecure socket fallback'leri bulunabilir; bu yüzden mesaj güvenliği socket'in üstünde uygulanır
Çalışma zarfı: Gösterge niteliğinde menzil açık görüşte yaklaşık 50-150 m, kentsel veya karışık engellerde 30-80 m, iç mekânda 10-30 m ve moloz benzeri engellerde 5-20 m'dir. Hem menzil hem de socket davranışı cihaza göre değiştiği için gizlilik RFCOMM moduna değil uygulama katmanına sabitlenir.
04

Kontrollü Genişlemeler

Baseline doğrudan Bluetooth'un ötesine nasıl genişler
Sistem kapsamı bilinçli şekilde ayrılmış katmanlarla genişletir. Güvenli responder mesh ve geniş kamusal koordinasyon baseline içinde gerçek özelliklerdir, fakat farklı güven, aktivasyon ve yönetişim kurallarıyla çalışırlar.

Yetkili Responder Mesh

Android release hattı, yetkili admin ve fieldteam rolleri için Wi-Fi Aware üzerinden isteğe bağlı güvenli group-chat genişlemesi sunar. Hem rol sertifikası hem de platform yetenek kontrolü geçmeden açılmaz.

Opt-in Public GATT Kanalı

Advanced Settings içinden açılabilen ayrı bir Public GATT mesh, yakındaki genel sohbet ve duyurular için kullanılabilir. Bilinçli olarak geniş erişimlidir ve gizli koordinasyon kanalı sayılmamalıdır.

Açık Aktivasyon Kapıları

Responder mesh geçerli yerel rol duruşu ve desteklenen donanım ister. Public mesh ise kullanıcı Public mesh mode'u açıkça etkinleştirmedikçe kapalı kalır.

Sınırlı Kötüye Kullanım Kontrolleri

Tanımlı public kanal profili hop ceiling'i 4'te sabitler; timestamp penceresi, kaynak başına flood bütçesi, mesaj boyutu sınırları, duplicate baskılama ve sınırlı relay kuyruğu uygular.
05

Güven Bootstrap'i

Olay öncesi QR provisioning
Bilinen kişiler olay öncesinde QR değişimiyle onboard edilir. Amaç güven kurulumunu acil yolun dışına taşımak, böylece ilk temas canlı internete ya da doğaçlama in-band key bootstrap'e bağımlı kalmasın.
Bant dışı provisioning: QR değişimi, bilinen kişiyi aktive etmek için gereken güven materyalini taşır ve gerçek olay sırasında bootstrap yükünü azaltır.
Esnek payload kabulü: Android baseline, canonical `dcs://{...}` JSON, URI-encoded JSON varyantları ve legacy pipe-delimited yükleri kabul ederek saha hatasını azaltır.
Keşif politikası: Pairing; 15 saniyelik ana device-name penceresi, 8 saniyelik fallback candidate penceresi ve 10 saniyelik post-pairing challenge-response kapısı kullanır.
Operasyonel aktivasyon: QR taraması başarılı oldu diye kişi hazır sayılmaz. OS-level pairing ve şifreli canlılık onayı birlikte geçmelidir.
Bu akış aile, response team veya yönetilen cihaz roster'ı gibi sınırlı güven kümeleri için pratiktir. Nüfus ölçeğinde ad hoc eşleşme modeli değildir ve sivil dağıtım uygulamanın bağlantı kaybından önce kurulmuş olmasını varsayar.
06

Kimlik ve Güven Modeli

Kişiler için PSK, responder'lar için sertifika
Crisis Connect farklı ilişki tipleri için farklı güven yolları kullanır. Bilinen kişiler ile doğrulanmış responder'lar aynı bootstrap, yetkilendirme veya recovery modelini paylaşmaz.

Bilinen Kişi Güvenli Yolu

QR ile provision edilmiş kişiler designated secure path üzerinde pre-shared secret ve authenticated encryption kullanır. Sertleştirilmiş baseline profilinde handshake frame'leri artık in-band key material taşımaz.

Responder Doğrulaması

Rescue etkileşimleri, secure promotion öncesinde imza, owner UID, rol kapsamı ve zaman penceresini kontrol ederek ECDSA role certificate'leri pinned authority public key üzerinden offline doğrular.

Mesh Uygunluğu

Yetkili Wi-Fi Aware mesh oturumları hem geçerli yerel rol sertifikası hem de platform desteği ister. Yetkisiz join girişimleri mesh sohbet aktif olmadan reddedilir.

Anahtar ve Sertifika Yaşam Döngüsü

Rol sertifikaları baseline'da kısa ömürlüdür (mevcut issuer profili: 72 saat TTL). Yerel kimlik anahtarları AndroidKeyStore'da tutulur, diğer hassas materyal şifreli depolamadadır ve eksik ya da süresi dolmuş responder duruşu refresh veya reprovisioning zorlar.
07

Mesaj Yaşam Döngüsü

Keşiften ACK ilerlemesine
Bu bölüm yakın (Bluetooth) güvenli yolların yaşam döngüsünü anlatır; internet mesajlaşması İnternet Katmanı bölümünde ele alınır. Yakın yolda veri gönderici cihazda şifrelenir, alıcı cihazda çözülür. Peer çevrimdışıysa ya da geçici olarak menzil dışındaysa teslimat buluta kaçmaz; yerel link yeniden gelene kadar bekler.
01BLE discovery ve kontrol sinyallemesi peer erişilebilirliğini bildirir ve yerel oturumu hazırlar.
02RFCOMM link kurulumu; metin, konum, medya ve isteğe bağlı ses için kullanılan daha yüksek throughput'lu taşıma kanalını açar.
03Bilinen kişi aktivasyonu `HSK_REQ` ve `HSK_ACK` challenge-response frame'leriyle yapılır; zaman sınırlı doğrulama geçmeden oturum canlı sayılmaz.
04`SEC_MSG` frame'leri mesaj UUID'si, IV ve cipher text ile gönderici tarafından şifrelenmiş yük taşır; alıcı AEAD doğrulaması yapmadan yerel persistence'a geçmez.
05`ACK` ilerlemesi kuyruktaki mesajları UUID çakıştırmadan delivered ve read semantiğine taşır.
06Ses, görsel ve dosya transferleri chunking, retry pencereleri ve transfer sonu bütünlük kontrolü içeren typed JSON kayıt ailelerine geçer.
07Replay, duplicate ve idempotence kuralları kusursuz link varsaymak yerine UUID benzersizliği, sınırlı cache ve alıcı tarafı reddi üzerine kuruludur.
08Public GATT genel kanal bu designated secure path'lerden mantıksal olarak ayrıdır ve gizli taşıma olarak görülmemelidir.
Protokol duruşu: Android baseline'da RFCOMM trafiği, pipe-delimited control line'lar ile daha zengin medya veya call-control akışları için typed JSON ailelerini birlikte kullanan newline-delimited UTF-8 kayıtlardan oluşur.
08

Ses Yolu

Point-to-point Bluetooth üzerinde Opus
Ses desteği isteğe bağlıdır ve bilinçli olarak muhafazakârdır. Gerçek zamanlı peer-to-peer akış olarak point-to-point taşıma üzerinde çalışır, iletim öncesi şifrelenir ve hem pil hem de RF kararlılığı açısından değerlendirilmelidir.

Ses Profili

CodecOpus
Örnekleme Hızı16 kHz
Frame / Paket10 ms x 5 = ~50 ms
Bitrate Hedefleri20 kbps WB / 16 kbps NB
Jitter Buffer20-50 ms (30 ms varsayılan)
Buffering Hedefi~70-100 ms

Çağrı Sırası

01Ses alınır, Opus ile encode edilir, şifrelenir ve ayrı bir internet media stack'i yerine aktif RFCOMM linki üzerinden gönderilir.
02Baseline kapsamı her point-to-point link için tek bir aktif voice session varsayar; aynı cihazda birden çok eşzamanlı ses çağrısı kapsam dışıdır.
03Bir saniyelik kontrol döngüsü wideband ile narrowband arasında geçiş yapabilir; geçişler 6 saniyelik cooldown ve config ACK müzakeresi sonrası devreye girer.
04Pilot kanıtı; yalnızca anekdot süreklilik değil, isimli senaryo koşullarında call setup time, loss, latency distribution ve ek pil etkisini raporlamalıdır.

Uyarlamalı Politika

Uygulama write time yükseldiğinde, underrun tekrar ettiğinde veya jitter derinliği bozulduğunda WB'den NB'ye iner; yalnızca sürdürülebilir toparlanma sonrası tekrar yükselir. Bu evrensel QoS garantisi değil, sınırlı bir süreklilik politikasıdır.

09

İnternet Katmanı

İnternet varken uçtan uca şifreli mesajlaşma ve aramalar
İnternet bağlantısı varken Crisis Connect her gün kullanılabilen bir mesajlaşma uygulaması gibi çalışır: uçtan uca şifreli yazışma, sesli ve görüntülü aramalar ve yetkili panellere ulaşan SOS bildirimi. Bu katman offline mimarinin yerine geçmez; onun üstüne aynı ilkeyle eklenir: içerik cihazda şifrelenir, sunucular yalnızca şifreli zarfları ve teslim için gereken meta veriyi işler.

Uçtan Uca Şifreli Mesajlaşma

Mesajlar, sesli notlar ve ekler cihazdan yalnızca uçtan uca şifreli zarf olarak çıkar; sunucular zarfı açamaz. Her iki taraf da destekliyorsa oturum libsignal ile Signal protokolü üzerinden kurulur (Double Ratchet artı post-quantum PQXDH anahtar anlaşması) ve ileri gizlilik sağlar. Eski istemcilerle uyumluluk için kimlik doğrulamalı ECIES zarfı (ECDH P-256 + HKDF-SHA-256 + AES-256-GCM) kullanılır; bu zarf ileri gizlilik sağlamaz ve Signal oturumu kurulduktan sonra bu formata düşürme girişimleri reddedilir. Kimlik anahtarları desteklenen cihazlarda donanım destekli AndroidKeyStore'da tutulur; kişiler 60 haneli güvenlik numarasıyla doğrulanabilir.

WebRTC Sesli ve Görüntülü Aramalar

Birebir aramalar WebRTC üzerinde çalışır: Opus ses, 720p'ye kadar kamera görüntüsü ve ekran paylaşımı. Medya DTLS-SRTP ile şifrelenir; SDP ve ICE sinyalleşmesi de sunucudan düz metin geçmez, uçtan uca şifreli mesaj zarflarının içinde taşınır. Doğrudan bağlantı kurulamadığında şifreli medya, Cloudflare TURN aktarımı üzerinden yönlendirilir; TURN kimlik bilgileri sunucu tarafında kısa ömürlü üretilir ve servis erişilemezse arama STUN ile doğrudan bağlantıya düşer.

İnternet Üzerinden SOS

İnternet varken SOS iki ayrı yoldan ilerler. Yetkili müdahale panellerine giden bildirim; konum, doğruluk, pil seviyesi ve ülke bilgisini içerir ve panellerin okuyabilmesi için bilinçli olarak uçtan uca şifrelenmez. Acil durum kişilerinize giden SOS uyarısı ve canlı konum güncellemeleri ise sıradan mesajlar gibi uçtan uca şifreli zarflarla taşınır. Bağlantı yoksa bildirim kuyruğa alınır ve internet dönünce gönderilir; BLE SOS beacon'ı her durumda birincil offline yol olarak çalışmaya devam eder.
Taşıma seçimi otomatiktir: Yakında kurulu bir Bluetooth bağlantısı varsa mesaj yerel yoldan gider; yoksa internet kullanılır; ikisi de yoksa mesaj store-and-forward kuyruğunda bekler ve aynı sohbet tek bir konuşma olarak kaldığı yerden sürer. Dürüst sınır: içerik uçtan uca şifreli kalsa da teslim ve sinyalleşme meta verisi (gönderen ve alıcı tanımlayıcıları, zaman damgaları, IP adresleri) sunucular tarafından işlenir; teslim onayı alınan zarfların sunucu kopyası düşürülür, teslim edilmeyenler sınırlı süre sonunda temizlenir.
10

Rescue Mode

SOS yayını, responder doğrulaması, güvenli sohbet yükseltmesi
Rescue Mode keşfedilebilirliği güvenden bilinçli şekilde ayırır. Mağdur önceden pairing olmadan bulunabilir, fakat güvenli iki yönlü rescue sohbet ancak responder doğrulaması geçince başlar.
01 Signal

SOS Beaconing

  • Kullanıcının tetiklediği SOS, cihazı yerel distress durumuna geçirir ve Rescue service `0xCC00` için connectable BLE advertisement yayınlar.
  • Baseline'da advertisement içeriği minimaldir: radyo sinyali tam kimlik değil, servis seviyesinde discoverability taşır.
  • SOS yayını, geniş alan ağlarının kapalı olduğu sektör taramalarında yakındaki responder keşfini artırmak için tasarlanmıştır.
  • Gizlilik maliyeti açıktır: SOS modunda discoverability yükselir; bu yüzden rıza, net UI durumu ve rate control önemlidir.
02 Verify

Responder Doğrulaması

  • Bağlantıdan sonra responder ve mağdur `0xCC10` ve `0xCC11` üzerinde auth challenge ve response değişir, ardından geçici bir ECDH session key türetir.
  • Şifreli role proof `0xCC20` üzerinden gelir ve certificate reference, role scope, issuance time ve expiry içermelidir.
  • Herhangi bir secure promotion öncesinde imza, trust anchor, transcript binding, expiry ve role authorization kontrol edilir.
  • Süresi dolmuş, bozuk ya da yanlış scope'lu proof'lar rescue chat'e düşürülmez; doğrudan kapıda reddedilir.
03 Connect

Güvenli Rescue Sohbeti

  • Mağdur ancak doğrulama başarılı olduktan sonra `0xCC21` üzerinde `OK` döner ve güvenli yolu açar.
  • Şifreli iki yönlü rescue sohbet ardından `0xCC30` ve `0xCC31` üzerinden `DELIVERED` ve `READ` ACK semantiğiyle ilerler.
  • Mevcut baseline; sınırlı role-proof paket boyutu, MTU farkındalıklı chunking ve büyük ama sonlu secure-chat paket zarfı uygular.
  • Doğrulanmamış istemciler secure write kanalına hiç ulaşamaz; promotion gate tavsiye değil sert sınırdır.
Buradaki temel güvenlik özelliği, Rescue Mode'un keşfedilebilirlik ile güveni eşitlememesidir. Yakın keşif mağduru bulacak kadar açıktır; güvenli rescue sohbet değildir.
11

Arka Plan Servisleri

Foreground runtime'lar ve platform kapsamı
Doğrulanmış kurumsal ana runtime hâlâ Android servis mimarisi üzerinde şekillenir. BLE merkezli mesajlaşma ve responder-gated rescue mantığına sahip ayrı bir iOS istemcisi de herkese açık yayındadır; ancak responder seviyesinde deployment kanıtı platform bazında ayrıca incelenmelidir.
SVC-01

RfcommForegroundService

Yakındaki doğrudan oturumlar için classic transport listener, call signaling ve media ya da file transfer yaşam döngülerini sürdürür.

SVC-02

GattSOSServerService

Rescue Mode SOS broadcaster'ını ve mağdurların BLE rescue akışlarında kullandığı güvenli responder etkileşim uç noktasını barındırır.

SVC-03

GattRescueClientService + MeshAwareService

Responder tarafı BLE rescue oturumlarını ve yetki varsa bounded reconnect davranışıyla Wi-Fi Aware mesh discovery ile authentication akışını yönetir.

SVC-04

CrisisLink, Offline Araçlar ve iOS Notu

CrisisLinkForegroundService doğrulanmış internet dönüşünde kuyruktaki telemetriyi flush eder, OfflineDownloadService offline map bölgelerini yönetir ve ayrı iOS istemcisi gerçek olsa da hâlâ kendi readiness gate'leri arkasındadır.

12

Kriptografi ve Tehdit Modeli

Dengesiz radyo koşullarının üstünde uygulama katmanı garantileri
Bluetooth socket davranışı ve RF koşulları cihaza göre değiştiği için güvenli yol garantileri uygulama katmanında tanımlanır. Kriptografik profil, tehdit varsayımları ve key custody modeli mimarinin açık parçalarıdır.
LAYER 01
Kişi güvenli yolu: QR ile provision edilen kişiler 96-bit IV ve 128-bit tag ile AES-256-GCM kullanır; sertleştirilmiş handshake frame'leri artık in-band key material taşımaz.
LAYER 02
Responder sertifikaları: Rescue Mode, secure-chat promotion öncesinde ECDSA P-256 role certificate'leri pinned authority public key ile offline doğrular.
LAYER 03
Responder mesh anahtarları: Yetkili Wi-Fi Aware peer'ları geçici ECDH P-256 artı HKDF-SHA-256 ile per-peer session key türetir ve sohbeti message-bound AAD ile AES-256-GCM üzerinden şifreler.
LAYER 04
Nonce ve replay politikası: CSPRNG IV üretimi, key başına sınırlı paket hacmi, restart veya re-handshake refresh, replay cache'leri ve UUID idempotence kuralları AES-GCM güvenliğini sahada korur.
LAYER 05
Anahtar saklama: Cihaz kimlik imza anahtarları AndroidKeyStore altında (`dcs_device_identity`) yaşar; hassas simetrik materyal şifreli tercih alanında tutulur ve yedekleme kapalıdır.
LAYER 06
Public kanal sınırı: Public GATT paketleri bütünlük ve format sertliği için AES-GCM envelope taşıyabilir, ama kanal yine de gizli değil kamusal koordinasyon trafiği sayılır.
LAYER 07
İnternet mesaj zarfı: İnternet mesajlarında tercih edilen yol libsignal ile Signal protokolüdür (Double Ratchet + post-quantum PQXDH); uyumluluk zarfı ECDH P-256 + HKDF-SHA-256 + AES-256-GCM kullanır, AAD gönderen, alıcı ve konuşma kimliğine bağlanır ve Signal oturumu kurulduktan sonra eski formata düşürme reddedilir.
LAYER 08
Arama medyası ve TURN: WebRTC aramaları DTLS-SRTP şifreli medya kullanır, çağrı sinyalleşmesi uçtan uca şifreli zarflarla taşınır; TURN aktarımı yalnızca şifreli paketleri yönlendirir ve kimlik bilgileri sunucu tarafında kısa ömürlü üretilir.
LAYER 09
Tehdit modeli: Tasarım; pasif RF dinleme yanında aktif replay, spoofing, jamming, device flooding ve cloud control plane bozma girişimlerini varsayar. İnternet yolunda sunucular ve aktarım altyapısı içerik açısından güvenilmez kabul edilir: düz metin hiçbir sunucuya ulaşmaz, teslim meta verisi ise görünür kalır.
LAYER 010
Açık hariçler: Tam OS compromise, kullanıcıya zorlama ve ülke çapında RF jamming kapsam dışıdır; deployment iddiaları bunları kapsıyormuş gibi sunulmamalıdır.
Buradaki defense in depth; gönderici cihaz şifrelemesi, alıcı tarafı doğrulama, açık rol kapıları ve sınırlı metadata politikası demektir. Radyoda keşfedilebilir olmanın gizlilik etkisini ortadan kaldırmaz.
13

Gizlilik ve Yönetişim

Metadata, söylenti kontrolü ve operasyonel sahiplik
Afetlerde operasyonel güvenlik, yalnızca şifrelemeye değil bilgi akışının sınırlandırılmasına da bağlıdır. Politika kararları, metadata disiplini ve kanıt izlenebilirliği burada teknik mimarinin parçasıdır.

Bilgi Hijyeni

Varsayılan sivil iletişim pre-provisioned kişilerle sınırlı kalır, SOS keşfi güvenli sohbetten ayrılır ve Public GATT resmi talimatlar için responder doğrulamalı announcement formatlarını tercih etmelidir.

On-Air Metadata Politikası

Onboarding yayınları zamanla sınırlıdır, rutin readiness sabit insan-okur kimliklerden kaçınır, SOS modu Rescue service UUID'sini bilinçli olarak açığa çıkarır ve public mesh doğası gereği sender label ile hop metadata taşır.

Saklama ve Anonimleştirme

Mesaj persistence UUID tabanlı kayıtlara dayanır, call-event geçmişi sınırlı pencerelere kesilir, hassas anahtarlar şifreli yerel depoda kalır ve pilot log'ları cihaz kimliklerini takma adlandırmalı, konumu kuantalamalıdır.

Kontrol Sahipliği

İşleten otoriteler; certificate issuance, denylist cadence, key rollover, emergency revocation ve Go/No-Go incelemesinde kullanılan kanıt artefaktları için açık owner tanımlamalıdır.
Public GATT üzerindeki trusted-announcement duruşu bugün tamamen kapanmış bir ürün garantisinden çok yönetişim sözleşmesidir; downgrade kanıtı ve parser kapsamı hâlâ açık inceleme maddeleridir.
14

Bulut Destekli Güven Düzlemi

Acil yakın yolun dışında; internet yolunda yalnızca şifreli zarf
Crisis Connect kişi-kişiye yakın iletişim için tamamen offline çalışabilir. Bulut servisleri iki iş yürütür: güven kuruluşu ile operasyonel telemetri desteği ve internet mesajlaşması için şifreli zarf teslimi. Sunucular hiçbir durumda uçtan uca şifreli içeriği açamaz; acil yakın yol ise bulut olmadan çalışmaya devam eder.
Identity
Kimlik ve üretim: Otoriteler responder role certificate üretebilir, anahtar döndürebilir ve güven akışını kurumsal IAM ya da Keycloak benzeri self-hosted bir IdP ile entegre edebilir.
Verification
Offline doğrulama desteği: Cihazlar trust anchor ve policy bundle'ları yerelde saklar; böylece responder doğrulaması canlı bulut erişimi olmadan devam eder. Denylist snapshot'ları ise bağlantı pencereleri için deployment genişlemesidir.
Setup
Crisis Link telemetrisi: Yetkili responder'lar rescue telemetri snapshot'larını internete dönünce kuyruktan senkronize edebilir, fakat bu kanal acil sohbet payload'ı taşımaz.
Delivery
Şifreli zarf teslimi: İnternet mesajlaşmasında arka uç, alıcı çevrimdışıyken teslim edebilmek için yalnızca şifreli zarfları ve yönlendirme meta verisini saklar; teslim onayı gelen zarfların sunucu kopyası düşürülür, teslim edilmeyenler sınırlı TTL sonunda temizlenir.
Güven düzlemi ayrımı: Acil yakın içerik BLE, RFCOMM, Wi-Fi Aware ya da opt-in Public GATT kanalında kalır;
bulut sistemleri ise certificate lifecycle, trust-anchor dağıtımı, telemetri senkronu ve internet mesajları için şifreli zarf teslimini yürütür.
Production deployment'lar imza anahtarlarını source code dışında ve HSM, KMS ya da Secret Manager benzeri kontroller arkasında tutmalıdır.
15

Pilot Kanıtı ve Kabul Kapıları

Daha geniş rollout öncesi ne ölçülmeli
Buradaki mimari iddialar protokol niyetinden çok saha kanıtıyla değerlendirilmelidir. Pilot onayı tasarım niyetine değil senaryo verisine dayanmalıdır.
Mesaj teslim başarısı: İç mekân ya da kentsel senaryolarda 30 saniye içinde en az %95, moloz benzeri koşullarda en az %85 başarı.
Metin gecikmesi: Uçtan uca mesaj gecikmesi P95, planlanan çalışma zarfı boyunca 5 saniye ya da altında kalmalıdır.
Ses zarfı: Aktif çağrılarda tek yön median latency 150 ms ya da altında, sürekli packet loss ise %3 ya da altında kalmalıdır.
Güç etkisi: Standby discovery ve aktif taşıma ya da ses drain'i görev limitleri içinde kalmalıdır; mevcut Pixel 7a standby kanıtı destekleyicidir, kapı kapatıcı değildir.
Responder iş akışı: SOS, role proof, secure message exchange ve yetkili mesh aktivasyonu senaryoları %100 scripted pass üretmelidir.
Public kanal kötüye kullanım kontrolü: Hatalı ya da pencere dışı public paketler relay öncesi >=%99 oranında düşürülmeli ve doğrulanmamış responder announcement'ları asla trusted alert olarak görünmemelidir.

Önerilen Pilot Sırası

01
Kapalı responder pilotu: Eğitimli cihaz filosuyla başlayın; credential issuance, Rescue Mode, background service davranışı ve role-gated mesh aktivasyonunu doğrulayın.
02
Senaryo matrisi: İç mekân, kentsel, açık alan ve moloz benzeri tatbikatları sabit distance bin'leri, RSSI bin'leri, clock-handling notları ve açık voice continuity ya da loss trace'leriyle çalıştırın.
03
Yönetişim incelemesi: Public kanal parametrelerini dondurun, revocation ve rollover runbook'larını belgeleyin, claim'leri evidence artefaktlarına bağlayın ve ancak sonra kademeli daha geniş deployment düşünün.

Mevcut Kanıt Duruşu

2 Haziran 2026 itibarıyla herkese açık mağaza sürümleri Android 1.0.4 ve iOS 1.1.0'dır. Mart 2026 Android baseline kanıtı; standby-power ve voice tarafında destekleyici ölçümler ile geçen local unit test'leri içerir, ancak bazı kurumsal kapılar hâlâ review ya da pending durumundadır. Doğru kurumsal duruş, kontrolsüz geniş rollout değil kontrollü pilot kullanımıdır.
16

Açık Teknik Boşluklar

İnceleyicilerin hâlâ zor sorular sorması gereken yerler
Mevcut Android implementasyonu, neyin gerçekten uygulandığını, neyin operasyonel yönetişim gerektirdiğini ve neyin hâlâ closure evidence istediğini açık biçimde gösterir. Asıl baskı noktaları bunlardır.

Offline Revocation

İnternet yokken responder güveni nasıl geri çekiliyor?
Mevcut Duruş
Mevcut Android implementasyonu; kısa ömürlü rol sertifikalarına, offline imza ya da rol ya da zaman penceresi kontrolüne ve kullanılabilir cache yoksa zorunlu online refresh akışına dayanır.
Hâlâ Açık Olan
Açık on-device CRL ya da denylist snapshot ingestion yolu deployment hedefidir; mevcut baseline içinde kapanmış bir enforcement patikası değildir.

Mesh Kapsamı

Wi-Fi Aware herkes için genel taşıma katmanı mı?
Mevcut Duruş
Hayır. Güvenli Wi-Fi Aware mesh; desteklenen Android cihazlarda yetkili responder genişlemesidir, opt-in Public GATT kanalından ve doğrudan Bluetooth kişi oturumlarından ayrıdır.
Hâlâ Açık Olan
Kurumların hâlâ device-capability coverage, operator SOP'leri ve responder mesh'in ne zaman açılıp ne zaman bastırılacağına dair açık politikaya ihtiyacı var.

Güç Kanıtı

Mevcut pil sayıları güç kapısını kapatıyor mu?
Mevcut Duruş
Hayır. 15 Mart 2026 Pixel 7a eşleştirilmiş karşılaştırması, kontrollü debug ve AC-powered koşulda yaklaşık 14.1 mW ek standby yükü gösterdi; bu yalnızca destekleyici kanıttır.
Hâlâ Açık Olan
Kapı kapanışı için isimli saha koşullarında release-equivalent, prizsiz ve çok cihazlı baseline-vs-active karşılaştırmaları gerekir.

Public Kanal Kötüye Kullanımı

Spam ve söylenti kontrolleri sadece teorik mi?
Mevcut Duruş
Hayır. Public kanal profili hop, timestamp, inbound flood budget, queue depth, duplicate handling ve mesaj boyutu için sert sınırlar tanımlar; ilgili mantığın bir kısmı local test'lerde de görülür.
Hâlâ Açık Olan
Açık kalan kısım, bildirilen C-06 ya da T-08 closure akışına bağlı packet-level stress evidence ve trusted-announcement downgrade kanıtıdır.

Menzil ve Ses Zarfı

Bugün gerçekten hangi performans zarfı kanıtlanmış durumda?
Mevcut Duruş
Mevcut kanıt seti; gösterge niteliğinde menzil bantları ve destekleyici adjacent-device, two-wall ve clock-adjusted voice koşuları içeriyor; bu kanıtlar fizibiliteyi güçlendiriyor ama tam kapanış sağlamıyor.
Hâlâ Açık Olan
İnceleyici seviyesinde onay için senkronize latency, loss ve dropout raporlayan range-binned, degraded-RF ve multi-device trace'ler hâlâ gerekiyor.

İnternet Katmanı Kanıtı

İnternet katmanı da aynı kanıt çıtasına tabi mi?
Mevcut Duruş
İnternet mesajlaşması ve birebir aramalar olgun, yaygın incelenmiş bileşenlere dayanır: libsignal, WebRTC ve kısa ömürlü kimlik bilgileriyle Cloudflare TURN. Zarf formatları, düşürme reddi ve güvenlik numarası doğrulaması kod düzeyinde tanımlıdır.
Hâlâ Açık Olan
Grup araması bugün üründe yok: SFU üzerinde MLS (RFC 9420) tabanlı grup araması kod tabanında geliştirme aşamasındadır ve yayına çıkmadan önce cihaz doğrulamalı kanıt gerektirir. İnternet katmanını kapsayan bağımsız denetim de hâlâ açıktır.
17

Sınırlar ve Güvenlik Notları

Sistemin neyi vaat etmediği
Bluetooth yakınlık temellidir; kapsama çevre, engel, donanım ve OS güç politikasıyla sınırlanır.
Sistem yerel sektör koordinasyonunu destekler; her enkaz koşulunda her mağdura erişim garantisi vermez.
Varsayılan sivil akışlar doğrudan yerel link'lere bağlıdır; mesh modları uyumlu donanım, açık enablement ve yerel radyo yakınlığı ister.
Public GATT mesh opt-in'dir, varsayılan olarak kapalıdır ve her kullanıcı profili için always-on önerilmez.
Hassas operasyonel içerik geniş kamusal koordinasyon yüzeyleri yerine designated secure path'lerde ya da role-gated responder kanallarında kalmalıdır.
Sınırsız yönetilmeyen relay ya da store-and-forward davranışı doğrulanmış baseline kapsamında değildir.
Bugünkü doğrulanmış kurumsal deployment kanıtı Android release hattı etrafında şekillenir; iOS herkese açık yayındadır ama responder seviyesinde kendi readiness kanıtına ihtiyaç duyar.
Cihaz, OS ve OEM battery-management farkları davranışı ciddi biçimde değiştirebilir; bu yüzden pilotlar tek telefon sonucunu genelleştirmemeli, filoları ölçmelidir.
İnternet katmanı internet altyapısına bağlıdır; altyapı çöktüğünde bu yol kapanır ve uygulama yakın Bluetooth yoluna döner. Kişileri olay öncesinde eklemek bu yüzden önemini korur.
İnternet yolunda içerik uçtan uca şifreli kalsa da teslim, sinyalleşme ve aktarım meta verisi — tanımlayıcılar, zaman damgaları, IP adresleri — sunucular ve TURN altyapısı tarafından işlenir.
GüvenlikCrisis Connect resmi acil servislerin yerine geçmez. Herhangi bir geniş alan iletişim yolu mevcutsa kullanıcı yine 112, 911 ya da ülkenin resmî acil hattını denemelidir.
18

Dağıtım Senaryoları

İnternet varken uzaktaki sevdiklerle günlük uçtan uca şifreli mesajlaşma, sesli ve görüntülü aramalar
QR ile kurulmuş güvenilir kişiler üzerinden önceden provision edilmiş aile, ekip ya da roster iletişimi
Şebeke dışı seyahat veya uzak saha çalışmasında yerel offline mesajlaşma ve konum paylaşımı
Mağdurların SOS beacon açtığı ve responder'ların secure chat öncesi doğrulama yaptığı deprem ya da altyapı çöküşü taramaları
İnternet bağlantısı olan mağdurların SOS bildirimlerinin yetkili müdahale panellerine iletilmesi
Desteklenen Android donanımında responder-only güvenli Wi-Fi Aware group chat
Açıkça etkinleştirildiğinde opt-in Public GATT mesh üzerinden yakındaki genel koordinasyon ve duyurular
RF ve güç zarfı izin verdiğinde doğrudan Bluetooth link'leri üzerinden ses çağrıları
Desteklenen mobil istemcilerde offline map indirme, yerel utility araçları ve acil hazırlık iş akışları
Doğrulanmış internet geri dönüşü sonrasında Crisis Link telemetrisinin kurumsal back-end'e senkronu

Mimari Sonuç

Crisis Connect'in mobil mimarisi bilinçli olarak muhafazakârdır: internet varken içerik uçtan uca şifreli zarflarla taşınır ve sunucular içeriğe kör kalır; şebeke çöktüğünde varsayılan olay yolu doğrudan Bluetooth'tur, güven bant dışı bootstrap edilir, güvenli responder akışları sertifika ile kapılanır ve bulut acil yakın yolun dışında tutulur. Sistem Android release hattı etrafındaki kanıta dayalı kurumsal pilotlar için uygundur; daha geniş responder seviyesinde rollout ise tanımlı acceptance gate'lere karşı saha doğrulaması beklemelidir.
Mobil Teknik Mimari | Crisis Connect