"I did not generate my private/public keys"
Non l'hai fatto, ma il tuo dispositivo ha funzionato.
"nor can I change them"
Non mi sorprenderebbe se aggiungessero quell'abilità in futuro (dato che sarebbe solo il caso di essere autorizzati ad autenticarsi con la tua chiave esistente e poi richiederne la sostituzione: fornendo solo una nuova chiave pubblica a quella punto)
Could it be that the private keys were intercepted as they were being sent to users?"
Le chiavi sono generate lato client, o così dicono ...
"Could it be that Whatsapp kept the private keys, just in case the FBI gets really mad about not being able to access some account and demand cooperation?"
Vedremo ....
Il loro paper fornisce una descrizione decente di ciò che sta accadendo e include un link al ( open source) libreria di protocolli che usano.
Tuttavia, come con qualsiasi sistema, alla fine ti devi fidare che sono dalla tua parte e non da quella del cattivo (chiunque sia) perché se controllano il codice e gli aggiornamenti, allora hanno ancora il potere di rilasciare modifiche rivolte a utenti specifici, ecc. se necessario ... Tuttavia, molto simile al caso Apple vs FBI , non è davvero nell'interesse delle aziende tecnologiche essere visto come cedere a tali richieste.