Michal Marek Veral in konteks gebeure van die afgelope maande dit is baie interessante nuus dat alle kommunikasie via die gewilde toepassing WhatsApp nou volledig geënkripteer is met die end-tot-end-metode. 'n Biljoen aktiewe gebruikers van die diens kan nou 'n veilige gesprek voer, beide op iOS en Android. SMS'e, gestuurde beelde en stemoproepe word geïnkripteer.
Die vraag is hoe koeëlvast die enkripsie is. WhatsApp gaan voort om alle boodskappe sentraal te hanteer en koördineer ook die uitruil van enkripsiesleutels. As 'n hacker of selfs die regering dus by die boodskappe wou uitkom, sou dit nie onmoontlik wees om die gebruikers se boodskappe te kry nie. In teorie sou dit vir hulle genoeg wees om die maatskappy aan hul kant te kry of dit op een of ander manier direk aan te val.
Enkripsie vir die gemiddelde gebruiker beteken in elk geval 'n groot toename in die sekuriteit van hul kommunikasie en is 'n groot sprong vorentoe vir die toepassing. Die tegnologie van die bekende maatskappy Open Whisper word vir enkripsie gebruik, waarmee WhatsApp sedert November verlede jaar enkripsie toets. Die tegnologie is gebaseer op oopbronkode (oopbron).
Dit is nie vir my duidelik hoekom die sentrale enkripsie, hoekom WhatsApp nie toelaat dat beide deelnemers van die gesprek sleutels ruil nie?
In een sin – bruikbaarheid vir BFU. Met 'n volledig onafhanklike sleuteluitruiling sou dit lekker wees, maar onbruikbaar.
Wel, natuurlik het ek bedoel, onder die enjinkap. Lame gebruiker hoef glad nie daarvan te weet nie.
Ek sien nêrens melding van sentrale enkripsie nie, inteendeel.
Dit was gebruiklik dat die skrywer van die artikel 'n opmerking plaas op grond van die plasingswysiging en dit kortliks in die bespreking skryf en "gespesifiseerd" sê.
Die skrywer van die artikel sal egter iets moet verander.
so in daardie geval is ek baie jammer, ek het 'n wolfmis gehad. Die fout was tussen my rekenaar en die muur.
Threema
Ek weet nie wat die skrywer bedoel met die sleutelkoördinasie nie. Sover ek weet, en soos in die artikel genoem, gebruik WhatsApp nuut die Signal-protokol, wat gebaseer is op die feit dat elke gesprek 'n nuwe uitruil van sleutels via Diffie-Hellmann en die generering van 'n nuwe AES en MAC beteken. Dit alles vind plaas aan die kliëntkant en niemand langs die pad kan iets daaraan doen nie, nie eens WhatsApp nie, wat geënkripteerde boodskappe maksimaal tussen gebruikers stuur en metadata kan (en waarskynlik doen) stoor en ontleed. Of het ek iets gemis?
Hallo, ek is nie juis 'n kenner van enkripsie nie en ek wou nie ingaan op tegniese aspekte wat ek nie eers regtig verstaan nie. In elk geval, as ek reg verstaan, werk WhatsApp met publieke sleutels wat gebruik word om die boodskap te enkripteer. Dus, as 'n aanvaller deur WhatsApp daarin kon slaag om sy eie enkripsiesleutel na iemand toe te glip, kon hy ook die geënkripteerde boodskap dekripteer.
Andersins is jy reg en ek bely sonder marteling, jy het heel waarskynlik die oorhand wanneer dit by enkripsie kom en ek sal bly wees as jy my leer.
Hallo, dit is 'n redelik omvattende onderwerp, maar ek sal probeer om dit te vereenvoudig - die enigste ding wat op die WhatsApp-bediener gestoor word, is 'n paar van jou publieke sleutels, wat gebruik word wanneer 'n kletssessie tussen jou en iemand anders geskep word. Dit sou moontlik wees sonder hulle, maar hierdie sogenaamde voorafsleutels laat onder andere toe om 'n geënkripteerde sessie te skep, selfs wanneer die ander party vanlyn is (wat 'n spesialiteit van die Signal-protokol is, dit kan niks anders doen nie , ten minste sover ons weet). Die seinprotokol bevat ook 'n metode vir betroubare verifikasie van die ander party, wat verhoed dat iemand jou naboots. Simmetriese kriptografie word dan gebruik om die boodskap self te enkripteer, dit wil sê die boodskap word geïnkripteer en gedekripteer met dieselfde sleutel. Hierdie sleutel word vir elke nuwe boodskap gegenereer en WhatsApp (die maatskappy) het nie toegang daartoe nie, dit word gegenereer op eindtoestelle (dus End-to-End-kriptografie), wat eers die sogenaamde handdruk uitgevoer het deur die Diffie-Hellman-protokol ( meer presies, ECDH). Danksy hierdie handdruk kry albei partye ’n sogenaamde gedeelde geheim, dit wil sê een of ander groot ewekansige nommer wat albei partye ken, maar niemand anders kan afluister nie. Op grond van hierdie gedeelde geheim kan beide partye nuwe en nuwe enkripsiesleutels genereer wat uniek is vir elke boodskap. Die inset vir die generering van so 'n sleutel is nie net die gedeelde "gedeelde geheim" nie, maar ook die vorige boodskap. Danksy hierdie en ander eienskappe van die Sein-protokol word die sogenaamde voorwaartse geheimhouding en toekomstige geheimhouding verseker, dit wil sê selfs al kry iemand jou geënkripteerde boodskap en op een of ander manier daarin slaag om dit in die toekoms te kraak en toegang tot die enkripsiesleutel te verkry, kan hy nie dekripteer 'n ander boodskap wat jy gestuur het.
Ek vra om verskoning as ek dit in te veel detail geskryf het en iets herhaal wat jy reeds weet en ek hoop ek het die verwarring beantwoord. Ek is nie 'n kenner van kriptografie nie, maar toevallig het ek die afgelope tyd redelik in diepte met hierdie onderwerp behandel :) Tog, as iemand enige onakkuraathede vind in wat ek geskryf het, sal ek bly wees as jy my regstel.
Baie dankie vir die inligting, jy het dit op 'n baie duidelike manier verduidelik. Volgende keer sal ek beter toegerus wees met inligting ;)
Beteken dit dat WhatsApp nie nou sentrale geskiedenis het nie?
Dit het 'n sentrale geskiedenis, maar elke boodskap is geïnkripteer met 'n unieke sleutel wat slegs die ontvanger van die boodskap het.