Pogotovo u kontekstu događajima proteklih mjeseci vrlo je zanimljiva vijest da je sva komunikacija putem popularne aplikacije WhatsApp sada u potpunosti šifrirana end-to-end metodom. Milijardu aktivnih korisnika usluge sada može voditi siguran razgovor, kako na iOS-u tako i na Androidu. Tekstualne poruke, poslane slike i glasovni pozivi su šifrirani.
Pitanje je koliko je šifriranje otporno na metke. WhatsApp nastavlja upravljati svim porukama centralizirano i također koordinira razmjenu ključeva za šifriranje. Dakle, ako haker ili čak vlada žele doći do poruka, doći do poruka korisnika ne bi bilo nemoguće. U teoriji bi im bilo dovoljno pridobiti tvrtku na svoju stranu ili je na neki način direktno napasti.
Enkripcija za prosječnog korisnika u svakom slučaju znači ogromno povećanje sigurnosti njegove komunikacije i veliki je iskorak za aplikaciju. Za enkripciju se koristi tehnologija renomirane tvrtke Open Whisper kojom WhatsApp od studenog prošle godine testira enkripciju. Tehnologija se temelji na otvorenom kodu (open source).
Nije mi jasno čemu središnja enkripcija, zašto WhatsApp ne dopušta da oba sudionika razgovora razmijene ključeve?
Jednom rečenicom – upotrebljivost za BFU. S potpuno neovisnom razmjenom ključeva, bilo bi lijepo, ali neupotrebljivo.
Pa, naravno da sam mislio ispod haube. Lame korisnik uopće ne mora znati za to.
Nigdje ne vidim da se spominje središnja enkripcija, upravo suprotno.
Prije je bio običaj da autor članka objavi komentar na temelju edita posta i to u raspravi kratko napiše i kaže "navedeno".
No, autor članka morao bi nešto promijeniti.
pa mi je u tom slučaju jako žao, imala sam vučju maglu. Pogreška je bila između mog računala i zida.
trima
Ne znam što autor misli pod ključnom koordinacijom. Koliko ja znam i kao što je spomenuto u članku, WhatsApp odnedavno koristi protokol Signal, koji se temelji na činjenici da svaki razgovor znači novu razmjenu ključeva putem Diffie-Hellmanna i generiranje novog AES i MAC-a. Sve se to odvija na strani klijenta i nitko usput tu ne može ništa, čak ni WhatsApp koji maksimalno usmjerava kriptirane poruke između korisnika i može (a vjerojatno i radi) pohranjivati i analizirati metapodatke. Ili sam nešto propustio?
Poštovani, nisam baš stručnjak za enkripciju i nisam želio ulaziti u tehničke detalje koje čak i ne razumijem. U svakom slučaju, ako sam dobro razumio, WhatsApp radi s javnim ključevima koji se koriste za šifriranje poruke. Dakle, ako je napadač preko WhatsAppa uspio nekome ubaciti svoj ključ za enkripciju, također je mogao dešifrirati šifriranu poruku.
Inače si u pravu i priznajem bez mučenja, ti si najvjerojatnije u prednosti što se tiče enkripcije i bit će mi drago ako me naučiš.
Pozdrav, to je prilično opsežna tema, ali pokušat ću je pojednostaviti - jedina stvar koja je pohranjena na WhatsApp poslužitelju je nekoliko vaših javnih ključeva, koji se koriste prilikom kreiranja sesije razgovora između vas i nekog drugog. Bilo bi moguće i bez njih, ali ovi takozvani predključevi omogućuju, između ostalog, stvaranje kriptirane sesije čak i kada je druga strana izvan mreže (što je posebnost protokola Signal, on ne može ništa drugo , barem koliko mi znamo). Protokol Signal također uključuje metodu za pouzdanu provjeru druge strane, sprječavajući da se netko lažno predstavlja kao vas. Zatim se koristi simetrična kriptografija za šifriranje same poruke, tj. poruka se šifrira i dekriptira istim ključem. Ovaj ključ se generira za svaku novu poruku i WhatsApp (tvrtka) mu nema pristup, on se generira na krajnjim uređajima (dakle End to End kriptografija), koji su prvo izvršili tzv. rukovanje koristeći Diffie-Hellman protokol ( točnije ECDH). Zahvaljujući tom rukovanju obje strane dobivaju takozvanu zajedničku tajnu, odnosno neki veliki nasumični broj koji obje strane znaju, ali ga nitko drugi ne može prisluškivati. Na temelju ove zajedničke tajne obje strane mogu generirati nove i nove ključeve šifriranja koji su jedinstveni za svaku poruku. Ulaz za generiranje takvog ključa nije samo dijeljena "zajednička tajna", već i prethodna poruka. Zahvaljujući ovom i drugim svojstvima protokola Signal, osigurana je takozvana unaprijedna tajnost i buduća tajnost, tj. čak i ako netko dobije vašu šifriranu poruku i nekako je uspije probiti u budućnosti i dobije pristup ključu za šifriranje, ne može dešifrirati drugu poruku koju ste poslali.
Ispričavam se ako sam ovo napisao previše detaljno i ponovio nešto što već znate i nadam se da sam odgovorio na zabunu. Nisam stručnjak za kriptografiju, ali stjecajem okolnosti bavim se ovom tematikom u posljednje vrijeme prilično detaljno :) Ipak, ako netko pronađe netočnosti u onome što sam napisao, bilo bi mi drago da me ispravite.
Hvala vam puno na informacijama, vrlo ste jasno objasnili. Drugi put ću biti bolje opremljen informacijama ;)
Znači li to da WhatsApp sada nema središnju povijest?
Ima središnju povijest, ali svaka je poruka šifrirana jedinstvenim ključem koji ima samo primatelj poruke.