Michal Marek Posebno u kontekstu događaji proteklih mjeseci vrlo je zanimljiva vijest da je sva komunikacija putem popularne aplikacije WhatsApp sada u potpunosti šifrirana metodom end-to-end. Milijardu aktivnih korisnika usluge sada može imati siguran razgovor, kako na iOS-u tako i na Androidu. Tekstualne poruke, poslane slike i glasovni pozivi su šifrovani.
Pitanje je koliko je šifriranje otporno na metke. WhatsApp nastavlja centralno rukovati svim porukama i također koordinira razmjenu ključeva za šifriranje. Dakle, ako bi haker ili čak vlada željeli doći do poruka, ne bi bilo nemoguće doći do poruka korisnika. U teoriji, bilo bi im dovoljno da dovuku kompaniju na svoju stranu ili da je direktno napadnu na neki način.
Enkripcija za prosječnog korisnika u svakom slučaju znači ogromno povećanje sigurnosti njihove komunikacije i veliki je korak naprijed za aplikaciju. Za enkripciju se koristi tehnologija renomirane kompanije Open Whisper, kojom WhatsApp testira enkripciju od novembra prošle godine. Tehnologija je bazirana na otvorenom kodu (open source).
Nije mi jasno zašto centralna enkripcija, zašto WhatsApp ne dozvoljava oba učesnika razgovora da razmijene ključeve?
U jednoj rečenici – upotrebljivost za BFU. Sa potpuno nezavisnom razmjenom ključeva, to bi bilo lijepo, ali neupotrebljivo.
Pa, naravno da sam mislio, ispod haube. Lagani korisnik uopšte ne mora da zna za to.
Ne vidim nigdje nikakvog pominjanja centralne enkripcije, upravo suprotno.
Nekada je bio običaj da autor članka postavi komentar na osnovu uređivanja posta i napiše ga ukratko u diskusiji i kaže "navedeno".
Međutim, autor članka bi morao nešto promijeniti.
pa u tom slučaju mi je jako žao, imao sam vučju maglu. Greška je bila između mog računara i zida.
Threema
Ne znam šta autor misli pod ključnom koordinacijom. Koliko ja znam, a kao što je spomenuto u članku, WhatsApp novo koristi protokol Signal, koji se temelji na činjenici da svaki razgovor znači novu razmjenu ključeva preko Diffie-Hellmanna i generiranje novog AES-a i MAC-a. Sve se to odvija na strani klijenta i niko usput ne može ništa učiniti po tom pitanju, čak ni WhatsApp, koji maksimalno usmjerava šifrirane poruke između korisnika i može (i vjerovatno i čini) pohranjivati i analizirati metapodatke. Ili sam nešto propustio?
Poštovani, nisam baš stručnjak za enkripciju i nisam želio da ulazim u tehničke detalje koje čak i ne razumijem. U svakom slučaju, ako sam dobro razumio, WhatsApp radi s javnim ključevima koji se koriste za šifriranje poruke. Dakle, ako je napadač preko WhatsApp-a uspio nekome prenijeti vlastiti ključ za šifriranje, mogao bi i dešifrirati šifriranu poruku.
Inače si u pravu i priznajem bez torture, najvjerovatnije imaš prednost kada je u pitanju šifriranje i bit ću sretan ako me naučiš.
Poštovani, to je prilično opsežna tema, ali pokušaću da je pojednostavim - jedino što je pohranjeno na WhatsApp serveru je nekoliko vaših javnih ključeva, koji se koriste prilikom kreiranja sesije ćaskanja između vas i nekog drugog. Bilo bi moguće i bez njih, ali ovi takozvani pre-ključevi omogućavaju, između ostalog, kreiranje šifrirane sesije čak i kada je druga strana van mreže (što je specijalnost signalnog protokola, ne može ništa drugo , barem koliko znamo). Protokol signala također uključuje metodu za pouzdanu verifikaciju druge strane, sprječavajući da se neko lažno predstavlja. Simetrična kriptografija se tada koristi za šifriranje same poruke, tj. poruka se šifrira i dešifruje istim ključem. Ovaj ključ se generira za svaku novu poruku i WhatsApp (kompanija) nema pristup njemu, generira se na krajnjim uređajima (dakle kriptografija End to End), koji su prvi izvršili takozvano rukovanje koristeći Diffie-Hellman protokol ( tačnije, ECDH). Zahvaljujući ovom rukovanju, obe strane dobijaju takozvanu zajedničku tajnu, odnosno neki veliki slučajni broj koji obe strane znaju, ali niko drugi ne može da ga prisluškuje. Na osnovu ove zajedničke tajne, obje strane mogu generirati nove i nove ključeve za šifriranje koji su jedinstveni za svaku poruku. Ulaz za generisanje takvog ključa nije samo zajednička "zajednička tajna", već i prethodna poruka. Zahvaljujući ovom i drugim svojstvima protokola Signal, osigurana je takozvana prosječna tajnost i buduća tajnost, tj. čak i ako neko dobije vašu šifriranu poruku i nekako uspije da je provali u budućnosti i dobije pristup ključu za šifriranje, ne može dešifrirajte drugu poruku koju ste poslali.
Izvinjavam se ako sam ovo napisao previše detaljno i ponovio nešto što već znate i nadam se da sam odgovorio na zabunu. Nisam stručnjak za kriptografiju, ali se sticajem okolnosti bavim ovom temom u poslednje vreme prilično detaljno :) Ipak, ako neko nađe neku netačnost u onome što sam napisao, bio bih srećan da me ispravi.
Hvala vam puno na informacijama, vrlo jasno ste to objasnili. Sljedeći put ću biti bolje opremljen informacijama ;)
Da li to znači da WhatsApp sada nema centralnu istoriju?
Ima centralnu istoriju, ali svaka poruka je šifrovana jedinstvenim ključem koji ima samo primalac poruke.