Facebook har forklaret, hvordan WhatsApps end-to-end krypterede sikkerhedskopier fungerer, forud for dens bredere udrulning om et par uger. Tjek det ud!
Facebook-ejede WhatsApp har tilbudt ende-til-ende krypteret beskeder i et stykke tid nu, selvom den ekstra sikkerhed ikke har været gældende for sikkerhedskopier tidligere. Det gælder heller ikke medier, og du er afhængig af de krypteringstjenester, som skyudbyderen tilbyder, som du sikkerhedskopierer til. Disse cloud-udbydere kan også dekryptere dem, hvis behovet nogensinde skulle opstå, og for den privatlivsbevidste er det naturligvis mindre end ideelt.
Firmaet begyndte test af ende-til-ende krypterede sikkerhedskopier i betaversionen af WhatsApp, og nu, forud for sin bredere udrulning, har Facebook forklaret hvordan præcist disse krypterede sikkerhedskopier fungerer.
Hvordan WhatsApps end-to-end krypterede sikkerhedskopier fungerer
Generering af krypteringsnøgler og adgangskoder
Facebook siger, at de har udviklet et helt nyt system til opbevaring af krypteringsnøgler, der fungerer på tværs af både iOS og Android. Sikkerhedskopier krypteres med en unik, tilfældig nøgle, og nøglen kan enten gemmes manuelt eller med en adgangskode. Hvis brugeren ønsker at gemme det med en adgangskode, kan de få adgang til det hardware-sikkerhedsmodul-baserede Backup Key Vault for at hente deres krypteringsnøgle og dekryptere sikkerhedskopien. Denne boks er ansvarlig for at håndhæve forsøg på adgangskodebekræftelse og gøre nøglen permanent utilgængelig efter et antal mislykkede forsøg på at få adgang til den. Dette forhindrer brute-force-angreb, og WhatsApp kender aldrig nøglen.
Opbevaring af nøgler
WhatsApp gør brug af en front-end-tjeneste kaldet ChatD, som håndterer klientforbindelser og klient-server-godkendelse. Det vil implementere en protokol, der sender backupnøgler til og fra WhatsApps servere, og klienten og nøgleboksen udveksler krypterede beskeder. Sikkerhedskopier genereres som en kontinuerlig strøm af data, der krypteres symmetrisk - dvs. nøglen, der bruges til at kryptere dem, kan også bruges til at dekryptere dem. Når de er krypteret, kan sikkerhedskopierne gemmes hvor som helst off-site, inklusive på Google Drev eller iCloud.
Facebook siger, at for at hjælpe med at klare antallet af brugere, der er afhængige af WhatsApp, vil nøglebokstjenesten være geografisk fordelt på tværs af flere datacentre i tilfælde af et nedbrud. Facebook udgav også et par grafik, der viser, hvordan ende-til-ende-kryptering fungerer, når du bruger en nøgle til at dekryptere din backup, eller når du bruger en brugeradgangskode til at dekryptere den.
Krypterings- og dekrypteringsprocessen ved brug af en adgangskode
Hvis kontoejeren bruger en adgangskode til at få adgang til deres backup, vil det fungere via følgende proces for at hente nøglen fra nøgleboksen.
- De indtaster deres adgangskode, som er krypteret og derefter verificeret af Backup Key Vault.
- Når adgangskoden er bekræftet, sender Backup Key Vault krypteringsnøglen tilbage til WhatsApp-klienten.
- Med nøglen i hånden kan WhatsApp-klienten derefter dekryptere sikkerhedskopierne.
Hvis 64-bit nøglen alene er det, der bliver brugt, så skal brugeren manuelt gemme og indtaste nøglen selv.