Михал Марек Особено во контекст настани од изминатите месеци Многу е интересна вест дека целата комуникација преку популарната апликација WhatsApp сега е целосно шифрирана со методот од крај до крај. Милијарда активни корисници на услугата сега можат да имаат безбеден разговор, и на iOS и на Android. Текстуалните пораки, испратените слики и гласовните повици се шифрирани.
Прашањето е колку е отпорна на куршуми шифрирањето. WhatsApp продолжува да се справува со сите пораки централно и исто така ја координира размената на клучеви за шифрирање. Значи, ако хакер или дури и владата сака да дојде до пораките, добивањето на пораките на корисниците нема да биде невозможно. Теоретски, би било доволно да ја стават компанијата на своја страна или директно да ја нападнат на некој начин.
Енкрипцијата за просечниот корисник во секој случај значи огромно зголемување на безбедноста на нивните комуникации и е голем скок напред за апликацијата. За шифрирање се користи технологијата на реномираната компанија Open Whisper, со која WhatsApp од ноември минатата година тестира енкрипција. Технологијата се заснова на код со отворен код (отворен код).
Не ми е јасно зошто централното шифрирање, зошто WhatsApp не им дозволува на двајцата учесници во разговорот да разменат клучеви?
Во една реченица – употребливост за BFU. Со целосно независна размена на клучеви, би било убаво, но неупотребливо.
Па, секако мислев, под хаубата. Куциот корисник воопшто не мора да знае за тоа.
Не гледам никаде да се спомнува централна енкрипција, баш спротивното.
Порано беше вообичаено авторот на статијата да објави коментар врз основа на уредувањето на постот и да го напише накратко во дискусијата и да каже „одредено“.
Сепак, авторот на статијата би морал да промени нешто.
па во тој случај многу ми е жал, имав волчја магла. Грешката беше помеѓу мојот компјутер и ѕидот.
Трема
Не знам што подразбира авторот под клучната координација. Колку што знам, а како што е споменато во статијата, WhatsApp ново го користи протоколот Signal, кој се базира на фактот дека секој разговор значи нова размена на клучеви преку Diffie-Hellmann и генерирање на нови AES и MAC. Сето ова се случува на страната на клиентот и никој на патот не може да стори ништо за тоа, дури ни WhatsApp, кој максимално ги насочува шифрираните пораки меѓу корисниците и може (и веројатно прави) да складира и анализира метаподатоци. Или пропуштив нешто?
Здраво, јас не сум баш експерт за шифрирање и не сакав да навлегувам во технички работи што дури и не ги разбирам навистина. Како и да е, ако добро разбирам, WhatsApp работи со јавни клучеви кои се користат за шифрирање на пораката. Така, ако напаѓачот преку WhatsApp успеал да го лизне сопствениот клуч за шифрирање на некого, тој исто така можел да ја дешифрира шифрираната порака.
Инаку во право си и признавам без тортура, најверојатно ти имаш предност кога се работи за шифрирање и ќе бидам среќен ако ме научиш.
Здраво, тоа е прилично сеопфатна тема, но ќе се обидам да ја поедноставам - единственото нешто што е зачувано на серверот WhatsApp се неколку ваши јавни клучеви, кои се користат при креирање на сесија за разговор помеѓу вас и некој друг. Тоа би било можно без нив, но овие таканаречени пред-клучеви овозможуваат, меѓу другото, да се создаде шифрирана сесија дури и кога другата страна е офлајн (што е специјалитет на протоколот сигнал, не може да направи ништо друго , барем колку што знаеме). Протоколот Сигнал вклучува и метод за сигурна проверка на другата страна, спречувајќи некој да ве имитира. Симетричната криптографија потоа се користи за шифрирање на самата порака, односно пораката се шифрира и дешифрира со истиот клуч. Овој клуч се генерира за секоја нова порака и WhatsApp (компанијата) нема пристап до него, тој се генерира на крајните уреди (оттука и криптографијата од крај до крај), која прво го изврши т.н. ракување користејќи го протоколот Diffie-Hellman ( поточно, ECDH). Благодарение на ова ракување, двете страни добиваат таканаречена заедничка тајна, односно некој голем случаен број што двете страни го знаат, но никој друг не може да го прислушува. Врз основа на оваа заедничка тајна, двете страни можат да генерираат нови и нови клучеви за шифрирање кои се единствени за секоја порака. Влезот за генерирање на таков клуч не е само споделената „споделена тајна“, туку и претходната порака. Благодарение на ова и на другите својства на протоколот за сигнали, се обезбедува таканаречената тајност и идна тајност, т.е. дури и ако некој ја добие вашата шифрирана порака и некако успее да ја пробие во иднина и добие пристап до клучот за шифрирање, тој не може дешифрира друга порака.која ја испративте.
Се извинувам ако го напишав ова премногу детално и повторив нешто што веќе го знаете и се надевам дека одговорив на збунетоста. Не сум експерт за криптографија, но случајно неодамна се занимавам со оваа тема доста продлабочено :) Сепак, ако некој најде некакви неточности во тоа што го напишав, би бил среќен ако ме поправи.
Ви благодарам многу за информацијата, многу јасно го објаснивте. Следниот пат ќе бидам подобро опремен со информации ;)
Дали ова значи дека WhatsApp сега нема централна историја?
Има централна историја, но секоја порака е шифрирана со единствен клуч што го има само примачот на пораката.