Chiavi di crittografia di Whatsapp

64

Oggi mi sono svegliato e ho controllato il mio Whatsapp e ho ricevuto il messaggio che le comunicazioni vengono crittografate end-to-end da ora in poi.

Tuttavia, come posso sapere se Whatsapp può essere considerato affidabile?

I non ha generato le mie chiavi private / pubbliche , né posso modificarle. Non è sempre un difetto di sicurezza?

È possibile che le chiavi private siano state intercettate mentre venivano inviate agli utenti?

Potrebbe essere che Whatsapp abbia tenuto le chiavi private, nel caso l'FBI si arrabbiasse davvero per non essere in grado di accedere ad alcuni account e richiedere la cooperazione?

    
posta Quora Feans 06.04.2016 - 14:12
fonte

2 risposte

55

"I did not generate my private/public keys"

Non l'hai fatto, ma il tuo dispositivo ha funzionato.

"nor can I change them"

Non mi sorprenderebbe se aggiungessero quell'abilità in futuro (dato che sarebbe solo il caso di essere autorizzati ad autenticarsi con la tua chiave esistente e poi richiederne la sostituzione: fornendo solo una nuova chiave pubblica a quella punto)

Could it be that the private keys were intercepted as they were being sent to users?"

Le chiavi sono generate lato client, o così dicono ...

"Could it be that Whatsapp kept the private keys, just in case the FBI gets really mad about not being able to access some account and demand cooperation?"

Vedremo ....

Il loro paper fornisce una descrizione decente di ciò che sta accadendo e include un link al ( open source) libreria di protocolli che usano.

Tuttavia, come con qualsiasi sistema, alla fine ti devi fidare che sono dalla tua parte e non da quella del cattivo (chiunque sia) perché se controllano il codice e gli aggiornamenti, allora hanno ancora il potere di rilasciare modifiche rivolte a utenti specifici, ecc. se necessario ... Tuttavia, molto simile al caso Apple vs FBI , non è davvero nell'interesse delle aziende tecnologiche essere visto come cedere a tali richieste.

    
risposta data 06.04.2016 - 15:57
fonte
14

È corretto che tu non abbia generato le chiavi, come ha fatto WhatsApp. Quindi devi fidarti di WhatsApp e non conservare alcuna copia della chiave privata. Al massimo puoi verificare che stai scambiando messaggi con chi pensi di essere confrontando le "impronte digitali" dei tasti (di nuovo fidati di WhatsApp mentre ti dicono queste informazioni).

In breve, devi affidarti a WhatsApp per seguire il protocollo di sicurezza per ogni passaggio come descritto qui . Il codice sorgente di WhatsApp non è disponibile, pertanto, se lo si utilizza, è necessario essere consapevoli del fatto che si stia affidando a WhatsApp su tutto ciò che si fa, indipendentemente dal fatto che il canale di comunicazione sia codificato end-to-end o meno.

    
risposta data 06.04.2016 - 15:56
fonte

Leggi altre domande sui tag