Še posebej v kontekstu dogodki preteklih mesecev Zelo zanimiva novica je, da je vsa komunikacija prek priljubljene aplikacije WhatsApp zdaj v celoti šifrirana po metodi od konca do konca. Milijarda aktivnih uporabnikov storitve lahko zdaj vodi varen pogovor, tako na iOS kot Android. Besedilna sporočila, poslane slike in glasovni klici so šifrirani.
Vprašanje je, kako neprebojno je šifriranje. WhatsApp še naprej centralno obravnava vsa sporočila in usklajuje tudi izmenjavo šifrirnih ključev. Torej, če bi heker ali celo vlada želela priti do sporočil, ne bi bilo nemogoče priti do sporočil uporabnikov. Teoretično bi bilo dovolj, da podjetje pridobijo na svojo stran ali pa ga na nek način direktno napadejo.
Šifriranje za povprečnega uporabnika v vsakem primeru pomeni ogromno povečanje varnosti njegove komunikacije in je velik preskok za aplikacijo. Za šifriranje se uporablja tehnologija priznanega podjetja Open Whisper, s katerim WhatsApp že od novembra lani testira šifriranje. Tehnologija temelji na odprtokodni kodi (open source).
Ni mi jasno, zakaj centralno šifriranje, zakaj WhatsApp ne pusti, da si oba udeleženca pogovora izmenjata ključa?
Z enim stavkom – uporabnost za BFU. S popolnoma neodvisno izmenjavo ključev bi bilo lepo, vendar neuporabno.
No, seveda sem mislil pod pokrovom. Lame uporabniku sploh ni treba vedeti za to.
Nikjer ne zasledim omembe centralne enkripcije, ravno nasprotno.
Včasih je bilo v navadi, da avtor članka na podlagi urejanja objave objavi komentar in ga v razpravi na kratko zapiše in reče "določeno".
Vendar bi avtor članka moral nekaj spremeniti.
zato mi je v tem primeru zelo žal, imel sem volčjo meglo. Napaka je bila med mojim računalnikom in steno.
Threema
Ne vem, kaj avtor misli s ključno koordinacijo. Kolikor vem in kot je omenjeno v članku, WhatsApp po novem uporablja protokol Signal, ki temelji na dejstvu, da vsak pogovor pomeni novo izmenjavo ključev preko Diffie-Hellmanna in generiranje novega AES in MAC. Vse to se dogaja na strani odjemalca in nihče na poti ne more storiti ničesar glede tega, niti WhatsApp ne, ki maksimalno usmerja šifrirana sporočila med uporabniki in lahko (in verjetno tudi) shranjuje in analizira metapodatke. Ali pa sem kaj spregledal?
Pozdravljeni, nisem ravno strokovnjak za šifriranje in se nisem želel spuščati v tehnične podrobnosti, ki jih niti ne razumem zares. Kakor koli že, če prav razumem, WhatsApp deluje z javnimi ključi, ki se uporabljajo za šifriranje sporočila. Če bi torej napadalcu prek WhatsAppa uspelo nekomu podtakniti svoj šifrirni ključ, bi lahko dešifriral tudi šifrirano sporočilo.
Sicer pa imaš prav in priznam brez mučenja, glede šifriranja imaš najverjetneje prednost in bom vesel, če me naučiš.
Pozdravljeni, to je dokaj obsežna tema, vendar jo bom poskušal poenostaviti - edina stvar, ki je shranjena na strežniku WhatsApp, je nekaj vaših javnih ključev, ki se uporabljajo pri ustvarjanju klepeta med vami in nekom drugim. Brez njih bi bilo mogoče, vendar ti tako imenovani predključi med drugim omogočajo ustvarjanje šifrirane seje, tudi ko je sogovornik brez povezave (kar je posebnost protokola Signal, ne more narediti ničesar drugega , vsaj kolikor vemo). Protokol Signal vključuje tudi metodo za zanesljivo preverjanje druge strani, ki preprečuje, da bi se kdo izdal za vas. Simetrična kriptografija se nato uporabi za šifriranje samega sporočila, to pomeni, da se sporočilo šifrira in dešifrira z istim ključem. Ta ključ se generira za vsako novo sporočilo in WhatsApp (podjetje) nima dostopa do njega, generira se na končnih napravah (torej End to End kriptografija), ki so najprej izvedle t.i. rokovanje po protokolu Diffie-Hellman ( natančneje ECDH). Zahvaljujoč temu rokovanju obe strani dobita tako imenovano skupno skrivnost, to je neko veliko naključno število, ki ga obe strani poznata, vendar ji nihče drug ne more prisluškovati. Na podlagi te skupne skrivnosti lahko obe strani ustvarita nove in nove šifrirne ključe, ki so edinstveni za vsako sporočilo. Vhod za generiranje takega ključa ni samo skupna "skupna skrivnost", ampak tudi prejšnje sporočilo. Zahvaljujoč tej in drugim lastnostim protokola Signal sta zagotovljeni tako imenovana vnaprejšnja tajnost in prihodnja tajnost, tj. tudi če nekdo dobi vaše šifrirano sporočilo in ga v prihodnosti nekako uspe vdreti ter pridobiti dostop do šifrirnega ključa, ne more dešifrirate drugo sporočilo, ki ste ga poslali.
Opravičujem se, če sem to napisal preveč podrobno in ponovil nekaj, kar že veste, in upam, da sem odgovoril na zmedo. Nisem strokovnjak za kriptografijo, a po naključju se zadnje čase precej poglobljeno ukvarjam s to temo :) Vseeno, če bo kdo našel kakšno netočnost v tem, kar sem napisal, bom vesel, če me popravi.
Najlepša hvala za informacijo, zelo jasno si jo razložil. Naslednjič bom bolje opremljen z informacijami ;)
Ali to pomeni, da WhatsApp zdaj nima osrednje zgodovine?
Ima osrednjo zgodovino, vendar je vsako sporočilo šifrirano z edinstvenim ključem, ki ga ima samo prejemnik sporočila.