Come per questo post su quora L'applicazione WhatsApp Messenger sembra utilizzare la crittografia a chiave pubblica, ma senza un'autorità di fiducia di terze parti per verificare la chiave pubblica contro.
È vero? E se è così non lascia gli utenti aperti all'uomo nell'attacco centrale a meno che tu non verifichi manualmente le chiavi?
WhatsApp utilizza il segnale che è concettualmente molto più vicino a PGP che a TLS (ed è l'uso delle autorità di certificazione).
Il sito web di whatsapp ha una buona panoramica e un in profondità white paper se vuoi capirlo meglio.
Whatsapp ha pubblicato la loro implementazione di sicurezza.
Le chiavi utilizzate dai client per generare chiavi di crittografia end-to-end vengono recuperate dal server Whatsapp e non da altri client. Ciò rende possibile testare l'integrità e l'autenticità delle chiavi ricevute dal server. Ciò elimina il rischio che un utente malintenzionato possa lanciare un attacco MiTM o masquerading.
Detto questo, i client si fidano del server per inviare le chiavi che sono state generate dal destinatario del messaggio. Whatsapp può sempre eseguire un attacco MiTM inviando il proprio set di chiavi.
Leggi altre domande sui tag encryption public-key-infrastructure whatsapp rsa