La scorsa settimana Whatsapp ha introdotto la crittografia end-to-end per prevenire l'intercettazione / attacco medio dell'uomo. La società sostiene che i dati come testo, chiamata, video, immagini e documenti non sono archiviati da nessuna parte nel loro server, solo i dispositivi interessati saranno in grado di archiviare o decrittografare i dati. Ma il " caricamento rapido di immagini / video " continua a funzionare correttamente. L'idea di base di " Caricamento rapido di immagini / video " consiste nel memorizzare nella cache una copia delle immagini / video caricati nel server e quando un altro utente tenta di caricare lo stesso contenuto, gli hash vengono confrontati. Se l'hash corrisponde, viene utilizzata la copia del server per evitare l'utilizzo dei dati. Se il reclamo presentato da Whatsapp Inc. (riguardante la crittografia end-to-end senza cache del server) è vero, allora come funziona ancora il " Caricamento rapido di immagini / video ?
Aggiornamento
Grazie a @TreyBlalock per aver condiviso il whitepaper sulla sicurezza di whatsapp: link
Transmitting Media and Other Attachments:
Large attachments of any type (video, audio, images, or files) are also end-to-end encrypted:
- The WhatsApp user sending a message (“sender”) generates an ephemeral 32 byte AES256 key, and an ephemeral 32 byte HMACSHA256 key.
- The sender encrypts the attachment with the AES256 key in CBC mode with a random IV, then appends a MAC of the ciphertext using HMAC-SHA256.
- The sender uploads the encrypted attachment to a blob store.
- The sender transmits a normal encrypted message to the recipient that contains the encryption key, the HMAC key, a SHA256 hash of the encrypted blob, and a pointer to the blob in the blob store.
- The recipient decrypts the message, retrieves the encrypted blob from the blob store, verifies the SHA256 hash of it, verifies the MAC, and decrypts the plaintext.
Il puntatore numero 3 è interessante qui. Quindi in pratica stanno memorizzando nella cache gli allegati nel loro blob, il che significa che stanno ovviamente memorizzando i dati crittografati in un dispositivo che non è un dispositivo di comunicazione.
Now the million dollar question: "Is your data safe? Is it out of reach from the authorities or the hackers?"