Особенно в контексте события последних месяцев Очень интересная новость, что все общение через популярное приложение WhatsApp теперь полностью шифруется сквозным методом. Миллиард активных пользователей сервиса теперь могут безопасно общаться как на iOS, так и на Android. Текстовые сообщения, отправленные изображения и голосовые вызовы шифруются.
Вопрос в том, насколько пуленепробиваемо шифрование. WhatsApp продолжает централизованно обрабатывать все сообщения, а также координирует обмен ключами шифрования. Таким образом, если бы хакер или даже правительство захотели получить доступ к сообщениям, получение сообщений пользователей не было бы невозможным. Теоретически им было бы достаточно перетянуть компанию на свою сторону или каким-то образом напрямую атаковать ее.
Шифрование для обычного пользователя в любом случае означает огромное повышение безопасности его коммуникаций и является большим шагом вперед для приложения. Для шифрования используется технология известной компании Open Whisper, с помощью которой WhatsApp тестирует шифрование с ноября прошлого года. Технология основана на открытом исходном коде (open source).
Мне непонятно, почему центральное шифрование, почему WhatsApp не дает обоим участникам разговора обменяться ключами?
В одном предложении – юзабилити для BFU. С полностью независимым обменом ключами это было бы хорошо, но бесполезно.
Ну, я, конечно, имел в виду под капотом. Хромому пользователю вообще не обязательно об этом знать.
Я нигде не вижу упоминания о центральном шифровании, даже наоборот.
Раньше было принято, чтобы автор статьи оставлял комментарий на основе редактирования поста и писал его кратко в обсуждении и говорил "уточняется".
Однако автору статьи пришлось бы что-то изменить.
так что в таком случае мне очень жаль, у меня был волчий туман. Ошибка была между моим компьютером и стеной.
Threema
Я не знаю, что автор подразумевает под ключевой координацией. Насколько мне известно и как упоминалось в статье, WhatsApp недавно использует протокол Signal, который основан на том, что каждый разговор означает новый обмен ключами через Диффи-Хеллманн и генерацию новых AES и MAC. Все это происходит на стороне клиента и никто попутно ничего не может с этим поделать, даже WhatsApp, который максимально маршрутизирует зашифрованные сообщения между пользователями и может (и, вероятно, делает) хранить и анализировать метаданные. Или я что-то пропустил?
Здравствуйте, я не совсем эксперт по шифрованию и не хотел вдаваться в технические подробности, в которых даже толком не разбираюсь. В любом случае, если я правильно понимаю, WhatsApp оперирует открытыми ключами, которые используются для шифрования сообщения. Таким образом, если злоумышленнику через WhatsApp удалось подсунуть кому-то собственный ключ шифрования, он также сможет расшифровать зашифрованное сообщение.
В остальном вы правы и признаюсь без пыток, в шифровании вы скорее всего имеете преимущество и я буду рад, если вы меня научите.
Здравствуйте, это довольно обширная тема, но я постараюсь ее упростить - единственное, что хранится на сервере WhatsApp, - это несколько ваших открытых ключей, которые используются при создании сеанса чата между вами и кем-то еще. Можно было бы и без них, но эти так называемые предварительные ключи позволяют, помимо прочего, создать зашифрованную сессию, даже когда другая сторона находится в автономном режиме (это особенность протокола Signal, он больше ничего не умеет) по крайней мере, насколько нам известно). Протокол Signal также включает в себя метод надежной проверки другой стороны, предотвращающий выдачу себя за вас. Затем для шифрования самого сообщения используется симметричная криптография, т. е. сообщение шифруется и расшифровывается одним и тем же ключом. Этот ключ генерируется для каждого нового сообщения и WhatsApp (компания) не имеет к нему доступа, он генерируется на конечных устройствах (отсюда и сквозная криптография), которые первыми выполнили так называемое рукопожатие с использованием протокола Диффи-Хеллмана ( точнее, ECDH). Благодаря этому рукопожатию обе стороны получают так называемый общий секрет, то есть некое большое случайное число, которое знают обе стороны, но никто другой не может подслушать. На основе этого общего секрета обе стороны могут генерировать все новые и новые ключи шифрования, уникальные для каждого сообщения. Входными данными для генерации такого ключа является не только общий «общий секрет», но и предыдущее сообщение. Благодаря этому и другим свойствам протокола Signal обеспечивается так называемая прямая секретность и будущая секретность, т.е. даже если кто-то получит ваше зашифрованное сообщение и каким-то образом сумеет взломать его в будущем и получит доступ к ключу шифрования, он не сможет расшифровать другое сообщение, которое вы отправили.
Прошу прощения, если я написал это слишком подробно и повторил что-то, что вы уже знаете, и надеюсь, что ответил на возникшую путаницу. Я не специалист по криптографии, но по стечению обстоятельств в последнее время довольно подробно занимаюсь этой темой :) Тем не менее, если кто-то обнаружит какие-то неточности в том, что я написал, буду рад, если вы меня поправите.
Спасибо большое за информацию, вы все очень доступно объяснили. В следующий раз я буду лучше обеспечен информацией ;)
Означает ли это, что в WhatsApp теперь нет центральной истории?
У него есть центральная история, но каждое сообщение шифруется уникальным ключом, который есть только у получателя сообщения.