Michal Marek Sidomos në kontekst ngjarjet e muajve të kaluar Është një lajm shumë interesant që i gjithë komunikimi përmes aplikacionit popullor WhatsApp tashmë është plotësisht i koduar duke përdorur metodën nga fundi në fund. Një miliard përdorues aktivë të shërbimit tani mund të kenë një bisedë të sigurt, si në iOS ashtu edhe në Android. Mesazhet me tekst, imazhet e dërguara dhe thirrjet zanore janë të koduara.
Pyetja është se sa antiplumb është kriptimi. WhatsApp vazhdon të trajtojë të gjitha mesazhet në mënyrë qendrore dhe gjithashtu koordinon shkëmbimin e çelësave të enkriptimit. Pra, nëse një haker apo edhe qeveria do të donte të arrinte tek mesazhet, nuk do të ishte e pamundur të merrte mesazhet e përdoruesve. Në teori, do të mjaftonte që ta merrnin kompaninë në anën e tyre ose ta sulmonin drejtpërdrejt në një farë mënyre.
Kriptimi për përdoruesit mesatar në çdo rast nënkupton një rritje të madhe të sigurisë së komunikimit të tyre dhe është një hap i madh përpara për aplikacionin. Për enkriptim përdoret teknologjia e kompanisë së njohur Open Whisper, me të cilën WhatsApp ka testuar enkriptimin që nga nëntori i vitit të kaluar. Teknologjia bazohet në kodin me burim të hapur (burim të hapur).
Nuk është e qartë për mua pse kriptimi qendror, pse WhatsApp nuk i lejon të dy pjesëmarrësit e bisedës të shkëmbejnë çelësat?
Me një fjali - përdorshmëria për BFU. Me një shkëmbim çelësash plotësisht të pavarur, do të ishte mirë, por e papërdorshme.
Epo, sigurisht e kisha fjalën, nën kapuç. Përdoruesi i çalë nuk duhet të dijë fare për të.
Unë nuk shoh ndonjë përmendje të kriptimit qendror askund, krejt e kundërta.
Dikur ishte zakon që autori i artikullit të postonte një koment bazuar në modifikimin e postimit dhe ta shkruante shkurtimisht në diskutim dhe të thoshte "specifikuar".
Sidoqoftë, autori i artikullit do të duhej të ndryshonte diçka.
kështu që në atë rast më vjen shumë keq, kisha një mjegull ujku. Gabimi ishte midis kompjuterit tim dhe murit.
trema
Nuk e di se çfarë nënkupton autori me koordinimin kyç. Me sa di unë, dhe siç u përmend në artikull, WhatsApp po përdor rishtazi protokollin Signal, i cili bazohet në faktin se çdo bisedë nënkupton një shkëmbim të ri çelësash përmes Diffie-Hellmann dhe gjenerimin e një AES dhe MAC të ri. E gjithë kjo ndodh në anën e klientit dhe askush gjatë rrugës nuk mund të bëjë asgjë për këtë, madje as WhatsApp, i cili drejton maksimalisht mesazhet e koduara midis përdoruesve dhe mund (dhe ndoshta bën) të ruajë dhe analizojë meta të dhënat. Apo më ka munguar diçka?
Përshëndetje, unë nuk jam saktësisht një ekspert në enkriptim dhe nuk doja të hyja në çështje teknike që as nuk i kuptoj vërtet. Gjithsesi, nëse e kuptoj mirë, WhatsApp funksionon me çelësa publikë që përdoren për të enkriptuar mesazhin. Kështu, nëse një sulmues përmes WhatsApp arrin t'i rrëshqasë dikujt çelësin e tij të enkriptimit, ai gjithashtu mund të deshifrojë mesazhin e koduar.
Përndryshe ke të drejtë dhe e rrëfej pa torturë, me shumë mundësi e ke përparësinë kur vjen puna tek enkriptimi dhe do të jem i lumtur nëse më mëson.
Përshëndetje, është një temë mjaft gjithëpërfshirëse, por do të përpiqem ta thjeshtoj - e vetmja gjë që ruhet në serverin WhatsApp janë disa nga çelësat tuaj publikë, të cilët përdoren kur krijoni një seancë bisede midis jush dhe dikujt tjetër. Do të ishte e mundur pa to, por këta të ashtuquajtur çelësa paraprak lejojnë, ndër të tjera, krijimin e një sesioni të koduar edhe kur pala tjetër është jashtë linje (që është një specialitet i protokollit të sinjalit, nuk mund të bëjë asgjë tjetër , të paktën me sa dimë ne). Protokolli i Sinjalit përfshin gjithashtu një metodë për verifikimin e besueshëm të palës tjetër, duke parandaluar që dikush t'ju imitojë. Më pas, kriptografia simetrike përdoret për të kriptuar vetë mesazhin, d.m.th., mesazhi kodohet dhe deshifrohet me të njëjtin çelës. Ky çelës gjenerohet për çdo mesazh të ri dhe WhatsApp (kompania) nuk ka akses në të, ai gjenerohet në pajisjet fundore (prandaj kriptografia End to End), e cila kryen fillimisht të ashtuquajturën shtrëngim duarsh duke përdorur protokollin Diffie-Hellman ( më saktë, ECDH). Falë kësaj shtrëngimi duarsh, të dyja palët marrin një të ashtuquajtur sekret të përbashkët, pra një numër të madh të rastësishëm që të dyja palët e dinë, por askush tjetër nuk mund ta përgjojë. Bazuar në këtë sekret të përbashkët, të dyja palët mund të gjenerojnë çelësa të rinj dhe të rinj enkriptimi që janë unikë për çdo mesazh. Inputi për gjenerimin e një çelësi të tillë nuk është vetëm "sekreti i përbashkët" i përbashkët, por edhe mesazhi i mëparshëm. Falë kësaj dhe veçorive të tjera të protokollit të sinjalit, sigurohet i ashtuquajturi sekreti i ardhshëm dhe sekreti i ardhshëm, d.m.th. edhe nëse dikush merr mesazhin tuaj të koduar dhe arrin disi ta thyejë atë në të ardhmen dhe të fitojë akses në çelësin e kriptimit, ai nuk mund të deshifroni një mesazh tjetër që keni dërguar.
Kërkoj falje nëse e kam shkruar këtë me shumë detaje dhe kam përsëritur diçka që tashmë e dini dhe shpresoj t'i përgjigjem konfuzionit. Unë nuk jam ekspert në kriptografi, por rastësisht jam marrë me këtë temë mjaft të thelluar kohët e fundit :) Megjithatë, nëse dikush gjen ndonjë pasaktësi në atë që kam shkruar, do të isha i lumtur nëse më korrigjoni.
Faleminderit shumë për informacionin, e keni shpjeguar në mënyrë shumë të qartë. Herën tjetër do të pajisem më mirë me informacion ;)
A do të thotë kjo që WhatsApp nuk ka histori qendrore tani?
Ai ka një histori qendrore, por çdo mesazh është i koduar me një çelës unik që ka vetëm marrësi i mesazhit.