Michal Marek Sobretot en el context esdeveniments dels últims mesos És una notícia molt interessant que tota la comunicació a través de la popular aplicació WhatsApp està ara totalment xifrada mitjançant el mètode d'extrem a extrem. Mil milions d'usuaris actius del servei ara poden mantenir una conversa segura, tant a iOS com a Android. Els missatges de text, les imatges enviades i les trucades de veu estan xifrats.
La pregunta és com és a prova de bales el xifratge. WhatsApp continua gestionant tots els missatges de manera centralitzada i també coordina l'intercanvi de claus d'encriptació. Per tant, si un pirata informàtic o fins i tot el govern volgués arribar als missatges, aconseguir els missatges dels usuaris no seria impossible. En teoria, n'hi hauria prou amb posar l'empresa al seu costat o atacar-la directament d'alguna manera.
En qualsevol cas, el xifratge per a l'usuari mitjà suposa un gran augment de la seguretat de les seves comunicacions i suposa un gran salt endavant per a l'aplicació. Per a l'encriptació s'utilitza la tecnologia de la reconeguda empresa Open Whisper, amb la qual WhatsApp prova l'encriptació des del novembre de l'any passat. La tecnologia es basa en codi obert (open source).
No em queda clar per què el xifratge central, per què WhatsApp no permet que els dos participants de la conversa intercanvien claus?
En una frase: usabilitat per a BFU. Amb un intercanvi de claus totalment independent, seria bo, però inutilitzable.
Bé, és clar que volia dir, sota el capó. L'usuari coix no ha de saber-ho en absolut.
No veig cap menció del xifratge central enlloc, tot el contrari.
Solia ser habitual que l'autor de l'article publicés un comentari basat en l'edició de la publicació i l'escrivís breument a la discussió i digués "especificat".
Tanmateix, l'autor de l'article hauria de canviar alguna cosa.
així que en aquest cas ho sento molt, vaig tenir una boira de llop. L'error va ser entre el meu ordinador i la paret.
Treema
No sé què vol dir l'autor amb la coordinació clau. Pel que jo sé, i tal com s'esmenta a l'article, WhatsApp fa servir recentment el protocol Signal, que es basa en el fet que cada conversa significa un nou intercanvi de claus a través de Diffie-Hellmann i la generació d'un nou AES i MAC. Tot això té lloc al costat del client i ningú al llarg del camí pot fer-hi res, ni tan sols WhatsApp, que encamina al màxim els missatges xifrats entre usuaris i pot (i probablement ho fa) emmagatzemar i analitzar metadades. O m'he perdut alguna cosa?
Hola, no sóc precisament un expert en xifrat i no volia entrar en aspectes tècnics que ni tan sols entenc. De totes maneres, si entenc bé, WhatsApp funciona amb claus públiques que s'utilitzen per xifrar el missatge. Així, si un atacant a través de WhatsApp aconseguia lliscar la seva pròpia clau de xifratge a algú, també podria desxifrar el missatge xifrat.
En cas contrari, tens raó i ho confesso sense tortura, el més probable és que tinguis avantatge pel que fa a l'encriptació i estaré content si m'ensenyes.
Hola, és un tema força ampli, però intentaré simplificar-ho: l'únic que s'emmagatzema al servidor de WhatsApp són algunes de les teves claus públiques, que s'utilitzen quan crees una sessió de xat entre tu i una altra persona. Seria possible sense ells, però aquestes anomenades claus prèvies permeten, entre altres coses, crear una sessió xifrada fins i tot quan l'altra part està fora de línia (que és una especialitat del protocol Signal, no pot fer res més. , almenys pel que sabem). El protocol Signal també inclou un mètode per a la verificació fiable de l'altra part, evitant que algú us suplanti. A continuació, s'utilitza la criptografia simètrica per xifrar el missatge en si, és a dir, el missatge es xifra i es desxifra amb la mateixa clau. Aquesta clau es genera per a cada missatge nou i WhatsApp (l'empresa) no hi té accés, es genera en dispositius finals (d'aquí la criptografia End to End), que primer van realitzar l'anomenada encaixada de mans mitjançant el protocol Diffie-Hellman ( més precisament, ECDH). Gràcies a aquesta encaixada de mans, ambdues parts aconsegueixen l'anomenat secret compartit, és a dir, un gran nombre aleatori que ambdues parts coneixen, però ningú més pot escoltar. A partir d'aquest secret compartit, ambdues parts poden generar claus de xifratge noves i noves que siguin úniques per a cada missatge. L'entrada per generar aquesta clau no és només el "secret compartit" compartit, sinó també el missatge anterior. Gràcies a aquesta i altres propietats del protocol Signal, es garanteix l'anomenat secret de reenviament i el secret futur, és a dir, fins i tot si algú rep el vostre missatge xifrat i d'alguna manera aconsegueix trencar-lo en el futur i accedeix a la clau de xifratge, no pot desxifra un altre missatge que heu enviat.
Demano disculpes si he escrit això amb massa detall i he repetit alguna cosa que ja saps i espero haver contestat la confusió. No sóc un expert en criptografia, però per casualitat he estat tractant aquest tema amb força profunditat recentment :) Tot i així, si algú troba alguna inexactitud en el que he escrit, m'agradaria que em corregiu.
Moltes gràcies per la informació, ho has explicat d'una manera molt clara. La propera vegada estaré millor equipat amb informació ;)
Això vol dir que WhatsApp no té un historial central ara?
Té un historial central, però cada missatge està xifrat amb una clau única que només té el destinatari del missatge.