Michal Marek Terutama dalam konteks peristiwa beberapa bulan yang lalu adalah berita yang sangat menarik bahawa semua komunikasi melalui aplikasi popular WhatsApp kini disulitkan sepenuhnya menggunakan kaedah hujung ke hujung. Satu bilion pengguna aktif perkhidmatan kini boleh mempunyai perbualan yang selamat, kedua-duanya pada iOS dan Android. Mesej teks, imej yang dihantar dan panggilan suara disulitkan.
Persoalannya ialah bagaimana kalis peluru adalah penyulitan. WhatsApp terus mengendalikan semua mesej secara berpusat dan juga menyelaras pertukaran kunci penyulitan. Jadi jika penggodam atau kerajaan mahu mendapatkan mesej, mendapatkan mesej pengguna tidak mustahil. Secara teorinya, sudah cukup bagi mereka untuk mendapatkan syarikat itu di pihak mereka atau menyerangnya secara langsung dalam beberapa cara.
Penyulitan untuk pengguna biasa dalam apa jua keadaan bermakna peningkatan besar dalam keselamatan komunikasi mereka dan merupakan lonjakan besar ke hadapan untuk aplikasi. Teknologi syarikat terkenal Open Whisper digunakan untuk penyulitan, yang mana WhatsApp telah menguji penyulitan sejak November tahun lepas. Teknologi ini berdasarkan kod sumber terbuka (sumber terbuka).
Tidak jelas kepada saya mengapa penyulitan pusat, mengapa WhatsApp tidak membenarkan kedua-dua peserta perbualan bertukar kunci?
Dalam satu ayat - kebolehgunaan untuk BFU. Dengan pertukaran kunci bebas sepenuhnya, ia adalah bagus, tetapi tidak boleh digunakan.
Sudah tentu saya maksudkan, di bawah tudung. Pengguna lumpuh tidak perlu tahu sama sekali.
Saya tidak nampak sebarang sebutan mengenai penyulitan pusat di mana-mana, sebaliknya.
Dahulu, pengarang artikel menghantar ulasan berdasarkan suntingan siaran dan menulisnya secara ringkas dalam perbincangan dan menyebut "ditentukan".
Walau bagaimanapun, pengarang artikel itu perlu mengubah sesuatu.
jadi dalam kes itu saya minta maaf, saya mempunyai kabut serigala. Ralat adalah antara komputer saya dan dinding.
Threema
Saya tidak tahu apa yang penulis maksudkan dengan penyelarasan utama. Setakat yang saya tahu, dan seperti yang dinyatakan dalam artikel itu, WhatsApp baru menggunakan protokol Isyarat, yang berdasarkan fakta bahawa setiap perbualan bermakna pertukaran kunci baharu melalui Diffie-Hellmann dan penjanaan AES dan MAC baharu. Semua ini berlaku di sisi pelanggan dan tiada siapa di sepanjang jalan boleh berbuat apa-apa mengenainya, malah WhatsApp, yang secara maksimum mengarahkan mesej yang disulitkan antara pengguna dan boleh (dan mungkin) menyimpan dan menganalisis metadata. Atau adakah saya terlepas sesuatu?
Helo, saya bukan pakar dalam penyulitan dan saya tidak mahu masuk ke dalam teknikal yang saya tidak faham. Bagaimanapun, jika saya faham dengan betul, WhatsApp beroperasi dengan kunci awam yang digunakan untuk menyulitkan mesej. Oleh itu, jika penyerang melalui WhatsApp berjaya menyelitkan kunci penyulitannya sendiri kepada seseorang, dia juga boleh menyahsulit mesej yang disulitkan.
Jika tidak, anda betul dan saya mengaku tanpa penyeksaan, kemungkinan besar anda mempunyai kelebihan dalam hal penyulitan dan saya akan gembira jika anda mengajar saya.
Helo, ini topik yang agak komprehensif, tetapi saya akan cuba memudahkannya - satu-satunya perkara yang disimpan pada pelayan WhatsApp ialah beberapa kunci awam anda, yang digunakan semasa membuat sesi sembang antara anda dan orang lain. Ia boleh dilakukan tanpanya, tetapi apa yang dipanggil pra-kunci ini membolehkan, antara lain, untuk mencipta sesi yang disulitkan walaupun apabila pihak lain berada di luar talian (yang merupakan kepakaran protokol Isyarat, ia tidak boleh melakukan apa-apa lagi , sekurang-kurangnya setakat yang kita tahu). Protokol Isyarat juga termasuk kaedah untuk pengesahan yang boleh dipercayai bagi pihak lain, menghalang seseorang daripada menyamar sebagai anda. Kriptografi simetri kemudian digunakan untuk menyulitkan mesej itu sendiri, iaitu mesej disulitkan dan dinyahsulit dengan kunci yang sama. Kunci ini dijana untuk setiap mesej baharu dan WhatsApp (syarikat) tidak mempunyai akses kepadanya, ia dijana pada peranti akhir (oleh itu End to End kriptografi), yang pertama kali melakukan apa yang dipanggil jabat tangan menggunakan protokol Diffie-Hellman ( lebih tepat lagi, ECDH). Terima kasih kepada jabat tangan ini, kedua-dua pihak mendapat apa yang dipanggil rahsia kongsi, iaitu beberapa nombor rawak besar yang diketahui oleh kedua-dua pihak, tetapi tiada orang lain yang boleh mencuri dengar. Berdasarkan rahsia yang dikongsi ini, kedua-dua pihak boleh menjana kunci penyulitan baharu dan baharu yang unik untuk setiap mesej. Input untuk menjana kunci sedemikian bukan sahaja "rahsia yang dikongsi", tetapi juga mesej sebelumnya. Terima kasih kepada ini dan ciri-ciri lain protokol Isyarat, apa yang dipanggil kerahsiaan hadapan dan kerahsiaan masa depan dipastikan, iaitu walaupun seseorang mendapat mesej anda yang disulitkan dan entah bagaimana berjaya memecahkannya pada masa hadapan dan mendapat akses kepada kunci penyulitan, dia tidak boleh menyahsulit mesej lain yang anda hantar.
Saya memohon maaf jika saya menulis ini dengan terlalu terperinci dan mengulangi sesuatu yang anda sudah tahu dan saya harap saya menjawab kekeliruan tersebut. Saya bukan pakar dalam kriptografi, tetapi secara kebetulan saya telah berurusan dengan topik ini dengan agak mendalam baru-baru ini :) Namun, jika seseorang mendapati sebarang ketidaktepatan dalam apa yang saya tulis, saya akan gembira jika anda membetulkan saya.
Terima kasih banyak atas maklumat, anda telah menerangkannya dengan cara yang sangat jelas. Lain kali saya akan lebih lengkap dengan maklumat ;)
Adakah ini bermakna WhatsApp tidak mempunyai sejarah utama sekarang?
Ia mempunyai sejarah pusat, tetapi setiap mesej disulitkan dengan kunci unik yang hanya dimiliki oleh penerima mesej.