Vooral qua context gebeurtenissen van de afgelopen maanden het is heel interessant nieuws dat alle communicatie via de populaire applicatie WhatsApp nu volledig end-to-end-versleuteld is. Een miljard actieve gebruikers van de dienst kunnen nu een veilig gesprek voeren, zowel op iOS als Android. Tekstberichten, verzonden afbeeldingen en spraakoproepen zijn gecodeerd.
De vraag is hoe kogelbestendig de encryptie is. WhatsApp blijft alle berichten centraal afhandelen en coördineert ook de uitwisseling van encryptiesleutels. Dus als een hacker of zelfs de overheid bij de berichten zou willen komen, zou het niet onmogelijk zijn om de berichten van de gebruikers te achterhalen. In theorie zou het voor hen voldoende zijn om het bedrijf aan hun kant te krijgen of het op de een of andere manier rechtstreeks aan te vallen.
Encryptie betekent voor de gemiddelde gebruiker in ieder geval een enorme verhoging van de veiligheid van hun communicatie en is een grote sprong voorwaarts voor de applicatie. Voor de encryptie wordt gebruik gemaakt van de technologie van het gerenommeerde bedrijf Open Whisper, waarmee WhatsApp sinds november vorig jaar encryptie test. De technologie is gebaseerd op open source-code (open source).
Het is mij niet duidelijk waarom de centrale encryptie, waarom WhatsApp niet toestaat dat beide deelnemers aan het gesprek sleutels uitwisselen?
In één zin: bruikbaarheid voor BFU. Met een volledig onafhankelijke sleuteluitwisseling zou het leuk zijn, maar onbruikbaar.
Nou ja, ik bedoelde natuurlijk onder de motorkap. Een lamme gebruiker hoeft er helemaal niets van te weten.
Ik zie nergens enige vermelding van centrale encryptie, integendeel.
Vroeger was het gebruikelijk dat de auteur van het artikel een reactie plaatste op basis van de berichtbewerking en deze kort in de discussie schreef en zei "gespecificeerd".
De auteur van het artikel zou echter iets moeten veranderen.
dus in dat geval spijt het me heel erg, ik had een wolvenmist. De fout zat tussen mijn computer en de muur.
Threema
Ik weet niet wat de auteur bedoelt met de sleutelcoördinatie. Voor zover ik weet, en zoals vermeld in het artikel, maakt WhatsApp voor het eerst gebruik van het Signal-protocol, dat gebaseerd is op het feit dat elk gesprek een nieuwe sleuteluitwisseling via Diffie-Hellmann en het genereren van een nieuwe AES en MAC betekent. Dit alles speelt zich af aan de clientzijde en niemand kan er iets aan doen, zelfs WhatsApp niet, dat gecodeerde berichten maximaal tussen gebruikers doorstuurt en metadata kan opslaan en analyseren (en waarschijnlijk ook doet). Of heb ik iets gemist?
Hallo, ik ben niet bepaald een expert op het gebied van encryptie en ik wilde niet ingaan op technische details die ik niet eens echt begrijp. Hoe dan ook, als ik het goed begrijp, werkt WhatsApp met publieke sleutels die gebruikt worden om het bericht te versleutelen. Dus als een aanvaller via WhatsApp erin slaagt zijn eigen coderingssleutel aan iemand door te geven, kan hij ook het gecodeerde bericht ontsleutelen.
Anders heb je gelijk en ik moet bekennen dat je, zonder marteling, hoogstwaarschijnlijk de overhand hebt als het gaat om encryptie en ik zal blij zijn als je het mij leert.
Hallo, het is een redelijk uitgebreid onderwerp, maar ik zal proberen het te vereenvoudigen: het enige dat op de WhatsApp-server wordt opgeslagen, zijn een paar van je openbare sleutels, die worden gebruikt bij het maken van een chatsessie tussen jou en iemand anders. Zonder zou het ook mogelijk zijn, maar deze zogenaamde pre-keys maken het onder meer mogelijk om een gecodeerde sessie te creëren, zelfs als de andere partij offline is (wat een specialiteit is van het Signal-protocol, het kan niets anders doen (althans voor zover wij weten). Het Signal-protocol bevat ook een methode voor betrouwbare verificatie van de andere partij, waardoor wordt voorkomen dat iemand zich voor u uitgeeft. Symmetrische cryptografie wordt vervolgens gebruikt om het bericht zelf te coderen, dat wil zeggen dat het bericht met dezelfde sleutel wordt gecodeerd en gedecodeerd. Deze sleutel wordt gegenereerd voor elk nieuw bericht en WhatsApp (het bedrijf) heeft er geen toegang toe, maar wordt gegenereerd op eindapparaten (vandaar End-to-End-cryptografie), die eerst de zogenaamde handshake uitvoerde met behulp van het Diffie-Hellman-protocol ( meer precies, ECDH). Dankzij deze handdruk krijgen beide partijen een zogenaamd gedeeld geheim, dat wil zeggen een groot willekeurig getal dat beide partijen kennen, maar niemand anders kan afluisteren. Op basis van dit gedeelde geheim kunnen beide partijen nieuwe en nieuwe encryptiesleutels genereren die uniek zijn voor elk bericht. De input voor het genereren van zo’n sleutel is niet alleen het gedeelde ‘gedeelde geheim’, maar ook het voorgaande bericht. Dankzij deze en andere eigenschappen van het Signal-protocol wordt de zogenaamde forward secrecy en future secrecy gegarandeerd, d.w.z. zelfs als iemand uw gecodeerde bericht ontvangt en er in de toekomst op de een of andere manier in slaagt het te kraken en toegang krijgt tot de coderingssleutel, kan hij dat niet doen. een ander bericht decoderen dat u hebt verzonden.
Mijn excuses als ik dit te gedetailleerd heb geschreven en iets heb herhaald dat u al weet, en ik hoop dat ik de verwarring heb beantwoord. Ik ben geen expert op het gebied van cryptografie, maar toevallig heb ik dit onderwerp de laatste tijd behoorlijk diepgaand behandeld :) Maar als iemand onnauwkeurigheden ontdekt in wat ik schreef, zou ik het fijn vinden als je me corrigeert.
Hartelijk dank voor de info, je hebt het heel duidelijk uitgelegd. Volgende keer zal ik beter uitgerust zijn met informatie ;)
Betekent dit dat WhatsApp nu geen centrale geschiedenis heeft?
Het heeft een centrale geschiedenis, maar elk bericht wordt gecodeerd met een unieke sleutel die alleen de ontvanger van het bericht heeft.