Il capo dell'Autorità per le tecnologie dell'informazione e della comunicazione della Turchia lo ha detto su Twitter ieri:
WhatsApp can read your end to end encrypted messages when necessary. It can decrypt your messages by using a golden key that stored in device memory.
Ci sono prove a riguardo?
Una "chiave d'oro memorizzata nella memoria del dispositivo"? Non che io sappia.
Ma WhatsApp ha una vulnerabilità che potenzialmente gli consente di accedere a tutti i messaggi non ancora contrassegnati come consegnati, secondo questo articolo di Guardian a partire dal 13 gennaio 2017:
WhatsApp has the ability to force the generation of new encryption keys for offline users, unbeknown to the sender and recipient of the messages, and to make the sender re-encrypt messages with new keys and send them again for any messages that have not been marked as delivered.
The recipient is not made aware of this change in encryption, while the sender is only notified if they have opted-in to encryption warnings in settings, and only after the messages have been re-sent. This re-encryption and rebroadcasting effectively allows WhatsApp to intercept and read users’ messages.
The security loophole was discovered by Tobias Boelter, a cryptography and security researcher at the University of California, Berkeley. He told the Guardian: “If WhatsApp is asked by a government agency to disclose its messaging records, it can effectively grant access due to the change in keys.”
The vulnerability is not inherent to the Signal protocol. Open Whisper Systems’ messaging app, Signal, the app used and recommended by whistleblower Edward Snowden, does not suffer from the same vulnerability.
Questo bit sembra avere una chiave d'oro per la conversazione in questione, in quanto potrebbe consentire l'accesso a tutti i futuri messaggi in quella conversazione, dal momento dell'intercettazione in poi:
Boelter said: “[Some] might say that this vulnerability could only be abused to snoop on ‘single’ targeted messages, not entire conversations. This is not true if you consider that the WhatsApp server can just forward messages without sending the ‘message was received by recipient’ notification (or the double tick), which users might not notice. Using the retransmission vulnerability, the WhatsApp server can then later get a transcript of the whole conversation, not just a single message.”
No, non è plausibile che WhatsApp abbia una chiave per leggere i tuoi messaggi crittografati end-to-end.
WhatsApp implementa la crittografia end-to-end per Protocollo di firma che ha mantenuto una buona reputazione nella comunità di sicurezza. Dal loro white paper sulla sicurezza :
WhatsApp messages, voice and video calls between a sender and receiver that use WhatsApp client software released after March 31, 2016 are end-to-end encrypted.
The Signal Protocol, designed by Open Whisper Systems, is the basis for WhatsApp’s end-to-end encryption. This end-to-end encryption protocol is designed to prevent third parties and WhatsApp from having plaintext access to messages or calls. What’s more, even if encryption keys from a user’s device are ever physically compromised, they cannot be used to go back in time to decrypt previously transmitted messages.
L'ultimo punto si riferisce alla proprietà di inoltro segreto che il protocollo Signal fornisce implementando il doppio cricchetto algoritmo . Ciò significa che, anche compromettendo la sessione corrente, WhatsApp non sarebbe in grado di decrittografare il traffico passato - non c'è semplicemente la singola chiave che potrebbe essere usata per "decodificare tutto" i tuoi messaggi ". Quindi l'affermazione non ha senso considerando come funziona il protocollo.
Detto questo - mentre il protocollo Signal è open source, il client WhatsApp dal tuo app store non lo è. Se non ti fidi di loro a un livello che ti aspetti che WhatsApp spedisca una routine di backdoor in uno dei loro aggiornamenti, dovrai trovare un messenger alternativo di cui fidarti.
Leggi altre domande sui tag encryption whatsapp instant-messaging