Eriti kontekstis viimaste kuude sündmused on väga huvitav uudis, et kogu suhtlus populaarse rakenduse WhatsApp kaudu on nüüd täielikult krüpteeritud, kasutades otspunkti meetodit. Miljard aktiivset teenuse kasutajat saavad nüüd turvaliselt vestelda nii iOS-is kui ka Androidis. Tekstsõnumid, saadetud pildid ja häälkõned on krüpteeritud.
Küsimus on selles, kui kuulikindel on krüpteerimine. WhatsApp käsitleb jätkuvalt kõiki sõnumeid tsentraalselt ning koordineerib ka krüpteerimisvõtmete vahetamist. Nii et kui häkker või isegi valitsus sooviks sõnumiteni jõuda, poleks kasutajate sõnumite kättesaamine võimatu. Teoreetiliselt piisaks sellest, kui nad ettevõtte enda poolele võtaksid või mingil moel otse ründaksid.
Tavakasutaja jaoks tähendab krüpteerimine igal juhul tohutut tõusu nende side turvalisuses ja on rakenduse jaoks suur samm edasi. Krüptimiseks kasutatakse maineka ettevõtte Open Whisper tehnoloogiat, millega WhatsApp on krüptimist testinud alates eelmise aasta novembrist. Tehnoloogia põhineb avatud lähtekoodil (avatud lähtekoodiga).
Mulle pole selge, miks keskne krüptimine, miks WhatsApp ei lase mõlemal vestluses osalejal võtmeid vahetada?
Ühe lausega – kasutatavus BFU jaoks. Täiesti sõltumatu võtmevahetusega oleks tore, aga kasutuskõlbmatu.
Muidugi ma mõtlesin seda kapoti all. Lame kasutaja ei pea sellest üldse teadma.
Ma ei näe kuskil mainimist tsentraalsest krüptimisest, pigem vastupidi.
Varem oli kombeks, et artikli autor postitas postituse redigeerimise põhjal kommentaari ja kirjutas selle lühidalt arutelusse ning ütles "täpsustatud".
Artikli autor peaks aga midagi muutma.
nii et sel juhul vabandan väga, mul oli hundiudu. Viga oli arvuti ja seina vahel.
Threemat
Ma ei tea, mida autor võtmekoordinatsiooni all silmas peab. Minu teada ja nagu artiklis mainitud, kasutab WhatsApp äsja signaaliprotokolli, mis põhineb asjaolul, et iga vestlus tähendab uut võtmete vahetamist Diffie-Hellmanni kaudu ning uue AES-i ja MAC-i genereerimist. Kõik see toimub kliendi poolel ja keegi ei saa sellega midagi ette võtta, isegi mitte WhatsApp, mis maksimaalselt suunab krüpteeritud sõnumeid kasutajate vahel ning suudab (ja tõenäoliselt teeb) metaandmeid salvestada ja analüüsida. Või jäin millestki ilma?
Tere, ma ei ole krüptimise ekspert ja ma ei tahtnud laskuda tehnilistesse asjadesse, millest ma isegi aru ei saa. Igatahes, kui ma õigesti aru saan, töötab WhatsApp avalike võtmetega, mida kasutatakse sõnumi krüptimiseks. Seega, kui ründajal õnnestus WhatsAppi kaudu oma krüpteerimisvõti kellelegi libistada, sai ta ka krüpteeritud sõnumi dekrüpteerida.
Vastasel juhul on teil õigus ja ma tunnistan ilma piinamiseta, et tõenäoliselt on teil krüpteerimisel ülekaal ja mul on hea meel, kui te mind õpetate.
Tere, see on üsna laiahaardeline teema, kuid proovin seda lihtsustada – ainuke asi, mis WhatsApp serverisse salvestatakse, on mõned teie avalikud võtmed, mida kasutatakse teie ja kellegi teise vahel vestlusseansi loomisel. Oleks ka ilma nendeta võimalik, aga need nn eelvõtmed võimaldavad muuhulgas luua krüpteeritud seansi ka siis, kui teine osapool on võrguühenduseta (mis on signaaliprotokolli eripära, muud ta teha ei oska , vähemalt nii palju kui me teame). Signaaliprotokoll sisaldab ka meetodit teise osapoole usaldusväärseks kontrollimiseks, takistades kellelgi teiena esinemast. Seejärel kasutatakse sõnumi enda krüpteerimiseks sümmeetrilist krüptograafiat, st sõnum krüpteeritakse ja dekrüpteeritakse sama võtmega. See võti genereeritakse iga uue sõnumi jaoks ja WhatsAppil (ettevõttel) pole sellele juurdepääsu, see genereeritakse lõppseadmetes (seega End-to End krüptograafia), mis tegi esmalt nn käepigistuse Diffie-Hellmani protokolli ( täpsemalt ECDH). Tänu sellele käepigistusele saavad mõlemad osapooled nn jagatud saladuse ehk mingi suure juhusliku numbri, mida mõlemad osapooled teavad, aga keegi teine pealt kuulata ei saa. Selle jagatud saladuse põhjal saavad mõlemad pooled luua uusi ja uusi krüpteerimisvõtmeid, mis on iga sõnumi jaoks ainulaadsed. Sellise võtme genereerimise sisendiks pole mitte ainult jagatud "jagatud saladus", vaid ka eelmine teade. Tänu sellele ja teistele signaaliprotokolli omadustele on tagatud nn edasisaladus ja tulevane salajasus ehk isegi kui keegi saab sinu krüpteeritud kirja ja suudab selle tulevikus kuidagi lahti murda ning krüpteerimisvõtmele ligi pääseb, siis ta ei saa seda teha. dekrüpteerige teine sõnum, mille te saatsite.
Vabandan, kui kirjutasin selle liiga üksikasjalikult ja kordasin midagi, mida te juba teate, ja loodan, et vastasin segadusele. Ma pole krüptograafia asjatundja, aga juhuste kokkulangemise tõttu olen selle teemaga viimasel ajal üsna süvitsi tegelenud :) Sellegipoolest, kui keegi leiab minu kirjutamises ebatäpsusi, siis oleks hea meel, kui parandaksite mind.
Tänan teid väga teabe eest, selgitasite seda väga selgelt. Järgmine kord olen infoga paremini varustatud ;)
Kas see tähendab, et WhatsAppil pole praegu keskset ajalugu?
Sellel on keskne ajalugu, kuid iga kiri on krüpteeritud unikaalse võtmega, mis on ainult sõnumi adressaadil.