I governi possono intercettare comunicazioni Whatsapp crittografate end-to-end attraverso l'intercettazione legale?

Naviga le tue risposte
17

Poiché Whatapp ha avviato la crittografia end-to-end con un'opzione che consente agli utenti di verificare le chiavi, molte agenzie di sicurezza governative, come quella indiana, hanno contrassegnato in rosso tale uso della crittografia.

Ora ieri il Parlamento è stato informato da Communications and IT Ministro Ravi Shankar Prasad che le forze dell'ordine / della sicurezza incontrano difficoltà nel gestire le comunicazioni crittografate da vari fornitori di servizi applicativi, inclusi i messaggi di comunicazione cifrati end-to-end forniti da Whatsapp. Tuttavia, le agenzie di sicurezza sono in grado di intercettare questi servizi di comunicazione crittografati attraverso le strutture di intercettazione legale fornite dai fornitori di servizi di telecomunicazione.

Questo è tecnologicamente possibile considerando un 256 bit? Le agenzie governative possono intercettare servizi di comunicazione Whatsapp crittografati end-to-end attraverso le strutture di intercettazione legale fornite dai fornitori di servizi di telecomunicazione?

    
posta CrownedEagle 30.04.2016 - 10:56
fonte

6 risposte

23

È molto improbabile che qualsiasi agenzia governativa rompa la crittografia. Avrebbero avuto bisogno della chiave. E l'unico modo per ottenerlo è se Whatsapp avesse una backdoor o debolezza nel loro software che permettesse di estrarre una chiave del genere.

Al momento non esiste alcuna prova diretta dell'esistenza di una tale backdoor in Whatsapp. Ma poiché Whatsapp è closed source, diventa anche difficile assicurarsi che una backdoor di questo tipo non esista.

Tuttavia, in termini di sicurezza delle informazioni, ciò che ci interessa è una valutazione del rischio . Considerando il PO, le agenzie governative sono le parti su cui ci viene chiesto. Dovremmo quindi valutare questo rischio. Ecco alcune informazioni rilevanti a riguardo:

La società madre di Whatsapp, Facebook, ha dimostrato di fornire l'accesso diretto e unilaterale alla NSA ai loro server attraverso qualcosa chiamato il programma PRISM. Mentre Facebook nega questo , è stato dimostrato da documenti trapelati . Ciò, tuttavia, non significa che l'NSA possa decifrare i messaggi di Whatsapp. Includo queste informazioni nella valutazione del rischio come esempio della relazione del proprietario di Whatsapp con la NSA e della trasparenza della privacy in generale.

Nel 2013 sono state rilasciate informazioni su: ( Fonte )

• NSA and GCHQ unlock encryption used to protect emails, banking and medical records

• $250m-a-year US program works covertly with tech companies to insert weaknesses into products

Non possiamo assolutamente dimostrare che questo grande programma nascosto ha in effetti ha funzionato con Facebook per mettere tale "debolezza" in Whatsapp. Tuttavia, questa informazione è comunque rilevante per la nostra valutazione del rischio. Se una tale debolezza è effettivamente implementata, potrebbe compromettere la chiave di crittografia.

Sebbene non sia assolutamente identico, cose molto simili sono già accadute prima. Ecco un esempio riguardante Skype, Microsoft e NSA.

Conclusione: al momento è difficile concludere in un modo o nell'altro. La società madre di Whatsapp (così come altre società) hanno dimostrato in passato di voler fornire l'accesso unilaterale alla NSA ai dati dell'utente. Hanno anche mostrato la volontà di mentire su di esso . Detto questo, sembra difficile portare le aziende sotto il controllo di Facebook alla loro parola riguardo a questo particolare soggetto.

Quando valutiamo il grado di rischio relativo a malware, virus, hacking, perdita di dati, furto di dati, sorveglianza, ecc., non è rilevante solo se qualcosa è provato . È anche rilevante se qualcosa è possibile o anche probabile . Mentre, in questo caso particolare, potrebbero non esserci motivi sufficienti per affermare che l'NSA ottiene l'accesso alle chiavi di crittografia di Whatsapp è probabile , è sicuramente possibile , data la storia di queste entità.

Questo è qualcosa che le persone possono prendere in considerazione quando valuta una situazione del genere.

Lettura correlata:

New Snowden Documents Detail How La NSA può ignorare la crittografia Internet comune (International Business Times)

Microsoft ha consegnato l'accesso alla NSA ai messaggi crittografati (The Guardian)

Revealed: come le agenzie di spionaggio degli Stati Uniti e del Regno Unito sconfiggono la privacy e la sicurezza di Internet (The Guardian)

PRISM (programma di sorveglianza) (Wikipedia)

    
risposta data 01.05.2016 - 07:30
fonte
6

Hai posto una domanda, ma penso che ne stai chiedendo due:

  • è possibile acquisire le comunicazioni crittografate di WhatsApp e
  • è possibile acquisire le comunicazioni crittografate di Whatsapp in "the clear"

Alla tua prima domanda, tutte le comunicazioni possono essere acquisite dalle autorità legali. In realtà non è così difficile, e ci sono più esempi di ciò che accade.

Per il tuo secondo, possiamo solo usare i fatti dichiarati in evidenza, e speculare sul resto. Whatsapp afferma che non hanno accesso alle chiavi di crittografia, il che significherebbe che non sarebbero in grado per consegnare quelle chiavi alle autorità. Se è vero, la risposta alla tua seconda domanda è "no".

Possiamo speculare sulle vulnerabilità del processo di gestione delle chiavi o sulla veridicità delle affermazioni di Whatsapp, ma finché non avremo prove in un modo o nell'altro, possiamo presumere che le affermazioni siano tecnicamente vere.

    
risposta data 30.04.2016 - 18:25
fonte
3

In breve:

  • Intercetta comunicazione crittografata: si (l'autore dell'attacco acquisisce alcuni metadati)
  • Decrittografia del contenuto della comunicazione crittografata intercettata: no (presumibilmente)
  • Intercettazione delle comunicazioni non ancora criptate o già decifrate alle due estremità: (l'utente malintenzionato dovrebbe modificare il cliente, ma le agenzie governative possono forzare WhatsApp / Facebook o Google o Apple a spingere malevoli versioni dell'app ai loro target o ai loro coetanei)
risposta data 01.05.2016 - 08:42
fonte
3

"Per il secondo, possiamo solo utilizzare i fatti dichiarati in evidenza e speculare sul resto. Whatsapp afferma che non hanno accesso alle chiavi di crittografia, il che significherebbe che non sarebbero in grado di consegnare quelle chiavi Se è vero, la risposta alla tua seconda domanda è "no".

Non dimenticare l'opzione per disabilitare la crittografia per un account specifico, invece di crackare la crittografia.

    
risposta data 17.08.2018 - 23:12
fonte
2

IMHO, se passa da server Whatsapp, non è quello che chiamerei la crittografia end-to-end - a meno che il messaggio sia solo per la società di Whatsapp.

Quindi qui ci sono diverse domande sottostanti:

  • è il protocollo utilizzato per inviare i dati a Whatsapp sicuro - anche se non posso confermarlo perché Whatsapp è closed source: penso si e i dati non possono essere intercettati senza l'accordo Whatsapp
  • puoi fidarti di Whatsapp per non consegnare i dati alle agenzie governative: sei da solo, ma penso che consentano alle agenzie statunitensi a causa del Patriot Act, non lo so per gli altri
  • è true end-end encrytion secure: YES, ma supponiamo che tu invii un file crittografato opaco attraverso [scegli il tuo media, Whatsapp o ...] e che i dati sono decodificati solo dal suo destinatario finale
risposta data 10.12.2016 - 11:30
fonte
0

Possono intercettarlo ma non possono decrittografarlo.

Bene ... Quindi ci piace pensare ... c'erano delle diapositive trapelate da Snowden che mostravano la capacità della NSA di decrittografare parzialmente le chat OTR su Google Talk.

    
risposta data 30.04.2016 - 18:28
fonte

Leggi altre domande sui tag

Qual è il punto distintivo tra uno script kiddie e un hacker? Perché gli iframe sono ammessi nei browser moderni?