Mi è stato detto che WhatsApp implementava la crittografia "end-to-end". Nel grande schema delle cose, che cosa significa in realtà contro, ad esempio, un altro servizio che utilizza HTTPS, come questo sito Web (StackExchange) o qualche altro sito crittografato non end-to-end? Esiste un punto in cui persino HTTPS / TLS espone i dati che non si verificano in un'app crittografata end-to-end come WhatsApp?
Definiamo end-to-end come dove il messaggio è crittografato dal mittente e decrittografato dal ricevente. Nessuno nel mezzo, nemmeno il provider di chat, ha la possibilità di decrittografarlo.
Confronta questo con una semplice chat su HTTPS. Il messaggio è crittografato dal mittente, solo in base al fatto che TLS viene utilizzato. Ora, mentre il destinatario previsto è un altro utente, la connessione TLS viene avviata con un server (si pensi a Facebook). TLS termina sul server e chiunque controlli il server ha la possibilità di visualizzare i messaggi poiché non sono crittografati. Quindi, il messaggio può essere passato nuovamente crittografato su TLS al destinatario.
La differenza principale è che il provider è in grado di visualizzare i messaggi nel secondo caso.
Codifica end-to-end (pensa: crittografia enduser-to-enduser ) è un concetto in cui la comunicazione viene crittografata direttamente tra gli utenti di un sistema, mentre molti i sistemi forniscono solo la crittografia tra ogni singolo utente e il fornitore di servizi. Cioè, con E2EE solo il mittente e il destinatario di un messaggio possono accedere al contenuto del messaggio. Né il fornitore del servizio né alcuna delle parti coinvolte nella consegna del messaggio lo vedrebbero in testo chiaro in qualsiasi momento.
What's the difference between end-to-end and regular TLS encryption?
E2EE non descrive una tecnologia particolare o detta determinati protocolli, descrive solo il modo in cui un sistema è progettato. TLS d'altra parte è un protocollo crittografico specifico che potrebbe essere utilizzato per un'implementazione E2EE (sebbene molti programmi di chat E2EE utilizzino algoritmi avanzati che sono più adatti per la messaggistica istantanea rispetto a TLS, come Protocollo del segnale ). Nota che tecnicamente parlando, qualsiasi tunnel di comunicazione sicuro fornisce la crittografia tra due estremità , ma il termine crittografia end-to-end viene solitamente applicato ai servizi di messaggistica o, più in generale, comunicazione sicura tra gli utenti di un servizio ma non tra un utente e il fornitore di servizi stesso.
Quindi, se invii un normale messaggio di Facebook, non è crittografato end-to-end tra te e il tuo partner di conversazione perché i server di Facebook memorizzano i tuoi messaggi in testo normale. Pertanto, il contenuto del messaggio sarebbe accessibile agli amministratori di Facebook o alle forze dell'ordine su richiesta. Tuttavia, la tua connessione a Facebook è tecnicamente una connessione crittografata end-to-end tra te e Facebook perché stai utilizzando HTTPS.
Leggi altre domande sui tag encryption