Un'agenzia di intelligence governativa può vedere * Chi * I Messaging su WhatsApp

La risposta prudente a questa domanda deve essere sì . La chiave è capire che anche se la crittografia e l'autenticazione dei messaggi di Whatsapp sono valide, e proteggono non solo il contenuto del messaggio ma anche i metadati a livello di applicazione, che non proteggono da tutte le possibili forme di analisi traffico .

Un'agenzia che intercettazioni sul traffico di rete dei server Whatsapp può vedere gli indirizzi IP dei pacchetti in entrata e in uscita. La crittografia protegge i contenuti dei payload dei pacchetti, ma non le loro dimensioni o volte . Se l'agenzia riesce a connettere Alice e Bob a specifici indirizzi IP, e sospettano che stiano usando Whatsapp per comunicare, potrebbe provare a verificare quell'ipotesi correlando i tempi e le dimensioni dei pacchetti che i loro indirizzi IP inviano ai server Whatsapp con quelli dei pacchetti dai server Whatsapp all'altra parte. Non sono l'unico ad aver raggiunto questa conclusione :

For every messaging app built on mobile operating systems the supporting infrastructure is able to see the message traffic flows. This metadata is sufficient to conduct traffic analysis and build social network graphs. Strong encryption, and Signal has the best encryption available, only provides confidentiality. Mobile messenger apps provide no anonymity. Worse, the apps’ accounts and associated devices are frequently very strongly connected to a real personal identity through phone numbers.

Even using the most secure privacy conscious mobile messaging app — Signal — there’s still plenty of data for SIGINT.

Non possiamo escludere che le tecniche per fare ciò possano scalare per supportare l'analisi del traffico dei "big data", in modo che l'agenzia non debba nemmeno prendere deliberatamente di mira Alice e Bob per scoprire che stanno parlando tramite Whatsapp, ma piuttosto scoprilo dall'analisi di routine di prodotti di raccolta dati non mirati.

Sì, dice Forbes :

Hence one order (published below) sent to WhatsApp in May 2016, a month after the full rollout of end-to-end encryption was complete. [...] The date, time and duration of comms would be recorded, as would the numbers involved.

Tuttavia, questo l'articolo su Softpedia indica che i metadati storici sono crittografati:

As it stands right now, if the FBI would want access to any encrypted WhatsApp data or metadata, Facebook looks poised to put up a fight, just like Apple.

WhatsApp ha necessariamente i metadati di chi comunica con chi e, essendo un'azienda statunitense, non hanno altra scelta che cooperare con i mandati che ordinano loro di consegnare i dati.

Nota anche che i metadati sono sufficienti per ottenere una condanna. Da BBC :

Sterling was convicted for the most part entirely on phone and email records with no content attached.

Whatsapp deve sapere dove inviare i messaggi crittografati, in modo che sappiano con chi stai parlando. Se memorizzano queste informazioni a lungo termine, possono essere consultate successivamente dai governi e dagli hacker; altrimenti semplicemente non c'è più.

Un attaccante (governativo o meno) potrebbe eseguire un uomo nell'attacco centrale per ottenere queste informazioni in tempo reale con una precisione del 100%.

Per quanto riguarda il contenuto dei messaggi, questo non è mai noto a WhatsApp o ai governi in qualsiasi momento. Se un attaccante esegue un attacco mitm e non hai convalidato che la persona con cui stai parlando è la persona che pensi sia, attraverso un canale offline, il contenuto del messaggio può essere estratto / modificato. Le chiavi utilizzate per crittografare / decodificare i messaggi vengono rimosse il prima possibile e utilizzate solo per un singolo messaggio, in base al protocollo. Se whatsapp cancella le chiavi subito o non è noto (ma perché dovrebbero tenerle?). Se le chiavi non sono disponibili, nessun numero di messaggi precedentemente acquisiti può essere decodificato da terzi.