Især i sammenhæng begivenheder i de seneste måneder det er meget interessant nyhed, at al kommunikation via den populære applikation WhatsApp nu er fuldt krypteret ved hjælp af end-to-end-metoden. En milliard aktive brugere af tjenesten kan nu føre en sikker samtale, både på iOS og Android. Tekstbeskeder, sendte billeder og taleopkald er krypteret.
Spørgsmålet er, hvor skudsikker krypteringen er. WhatsApp fortsætter med at håndtere alle beskeder centralt og koordinerer også udvekslingen af krypteringsnøgler. Så hvis en hacker eller endda regeringen ønskede at komme til beskederne, ville det ikke være umuligt at få brugernes beskeder. I teorien ville det være nok for dem at få virksomheden på deres side eller direkte angribe den på en eller anden måde.
Kryptering for den gennemsnitlige bruger betyder under alle omstændigheder en enorm stigning i sikkerheden af deres kommunikation og er et stort spring fremad for applikationen. Teknologien fra det anerkendte firma Open Whisper bruges til kryptering, som WhatsApp har testet kryptering med siden november sidste år. Teknologien er baseret på open source-kode (open source).
Det er ikke klart for mig, hvorfor den centrale kryptering, hvorfor WhatsApp ikke lader begge deltagere i samtalen udveksle nøgler?
I én sætning – brugervenlighed for BFU. Med en fuldstændig uafhængig nøgleudveksling ville det være rart, men ubrugeligt.
Nå, selvfølgelig mente jeg, under motorhjelmen. Lamme bruger behøver slet ikke at vide om det.
Jeg kan ikke se nogen omtale af central kryptering nogen steder, tværtimod.
Det plejede at være kutyme, at artiklens forfatter skrev en kommentar baseret på indlægsredigeringen og skrev den kort i diskussionen og sagde "specificeret".
Artiklens forfatter skulle dog ændre noget.
så i så fald er jeg meget ked af det, jeg havde en ulvetåge. Fejlen var mellem min computer og væggen.
Threema
Jeg ved ikke, hvad forfatteren mener med nøglekoordineringen. Så vidt jeg ved, og som nævnt i artiklen, bruger WhatsApp for nylig Signal-protokollen, som er baseret på, at hver samtale betyder en ny udveksling af nøgler via Diffie-Hellmann og generering af en ny AES og MAC. Alt dette foregår på klientsiden og ingen undervejs kan gøre noget ved det, heller ikke WhatsApp, som maksimalt ruter krypterede beskeder mellem brugere og kan (og sandsynligvis gør) gemme og analysere metadata. Eller gik jeg glip af noget?
Hej, jeg er ikke ligefrem ekspert i kryptering, og jeg ønskede ikke at komme ind på tekniske detaljer, som jeg ikke engang rigtig forstår. Uanset hvad, hvis jeg forstår det rigtigt, fungerer WhatsApp med offentlige nøgler, der bruges til at kryptere beskeden. Således, hvis en angriber gennem WhatsApp formåede at smide sin egen krypteringsnøgle til nogen, kunne han også dekryptere den krypterede besked.
Ellers har du ret, og jeg tilstår uden tortur, at du højst sandsynligt har overhånden, når det kommer til kryptering, og jeg vil blive glad, hvis du lærer mig det.
Hej, det er et ret omfattende emne, men jeg vil forsøge at forenkle det – det eneste, der er gemt på WhatsApp-serveren, er et par af dine offentlige nøgler, som bruges, når du opretter en chatsession mellem dig og en anden. Det ville være muligt uden dem, men disse såkaldte præ-nøgler giver blandt andet mulighed for at skabe en krypteret session, selv når den anden part er offline (som er en specialitet i Signal-protokollen, den kan ikke andet , i hvert fald så vidt vi ved). Signalprotokollen inkluderer også en metode til pålidelig verifikation af den anden part, der forhindrer nogen i at efterligne dig. Symmetrisk kryptografi bruges så til at kryptere selve beskeden, dvs. beskeden krypteres og dekrypteres med den samme nøgle. Denne nøgle genereres for hver ny besked, og WhatsApp (virksomheden) har ikke adgang til den, den genereres på slutenheder (deraf End-to-End-kryptering), som først udførte det såkaldte håndtryk ved hjælp af Diffie-Hellman-protokollen ( mere præcist, ECDH). Takket være dette håndtryk får begge parter en såkaldt delt hemmelighed, altså et stort tilfældigt tal, som begge parter kender, men ingen andre kan aflytte. Baseret på denne delte hemmelighed kan begge parter generere nye og nye krypteringsnøgler, der er unikke for hver besked. Inputtet til generering af en sådan nøgle er ikke kun den delte "delte hemmelighed", men også den tidligere besked. Takket være denne og andre egenskaber ved Signal-protokollen er den såkaldte fremadrettede hemmeligholdelse og fremtidig hemmeligholdelse sikret, dvs. selvom nogen får din krypterede besked og på en eller anden måde formår at knække den i fremtiden og får adgang til krypteringsnøglen, kan han ikke dekryptere en anden besked, som du har sendt.
Jeg undskylder, hvis jeg skrev dette for meget detaljeret og gentog noget, du allerede ved, og jeg håber, at jeg besvarede forvirringen. Jeg er ikke ekspert i kryptografi, men tilfældigvis har jeg beskæftiget mig ret indgående med dette emne for nylig :) Alligevel, hvis nogen finder nogle unøjagtigheder i det jeg skrev, ville jeg blive glad hvis du retter mig.
Mange tak for info, du har forklaret det på en meget overskuelig måde. Næste gang vil jeg være bedre udstyret med information ;)
Betyder det, at WhatsApp ikke har en central historie nu?
Den har en central historie, men hver besked er krypteret med en unik nøgle, som kun modtageren af beskeden har.