Facebook ha spiegato come funzionano i backup crittografati end-to-end di WhatsApp, in vista del suo lancio più ampio tra poche settimane. Controlla!
WhatsApp, di proprietà di Facebook, offre messaggistica crittografata end-to-end ormai da un po' di tempo, anche se in passato questa sicurezza aggiuntiva non è stata applicata ai backup. Non si applica nemmeno ai media e fai affidamento sui servizi di crittografia offerti dal provider cloud su cui esegui il backup. Questi fornitori di servizi cloud possono anche decrittografarli in caso di necessità e, per chi è attento alla privacy, questo è ovviamente tutt'altro che ideale.
L'azienda è iniziata testare i backup crittografati end-to-end nella versione beta di WhatsApp e ora, prima del suo lancio più ampio, Facebook ha spiegato come funzionano esattamente quei backup crittografati.
Come funzionano i backup crittografati end-to-end di WhatsApp
Generazione di chiavi di crittografia e password
Facebook afferma di aver sviluppato un sistema completamente nuovo per l'archiviazione delle chiavi di crittografia che funziona sia su iOS che su Android. I backup vengono crittografati con una chiave univoca e casuale e la chiave può essere archiviata manualmente o con una password. Se l'utente desidera archiviarlo con una password, può accedere al Backup Key Vault basato sul modulo di sicurezza hardware per recuperare la chiave di crittografia e decrittografare il backup. Questo deposito ha il compito di applicare i tentativi di verifica della password e di rendere la chiave permanentemente inaccessibile dopo una serie di tentativi falliti di accesso. Ciò impedisce attacchi di forza bruta e WhatsApp non riconoscerà mai la chiave.
Conservazione delle chiavi
WhatsApp utilizza un servizio front-end chiamato ChatD, che gestisce le connessioni client e l'autenticazione client-server. Implementerà un protocollo che invia chiavi di backup da e verso i server di WhatsApp e il client e il key vault si scambiano messaggi crittografati. I backup vengono generati come un flusso continuo di dati crittografati simmetricamente, ovvero la chiave utilizzata per crittografarli può essere utilizzata anche per decrittografarli. Una volta crittografati, i backup possono essere archiviati ovunque fuori sede, anche su Google Drive o iCloud.
Facebook afferma che per far fronte al numero di utenti che si affidano a WhatsApp, il servizio Key Vault sarà distribuito geograficamente su più data center in caso di interruzione. Facebook ha anche rilasciato un paio di grafici che mostrano come funziona la crittografia end-to-end quando si utilizza una chiave per decrittografare il backup o quando si utilizza una password utente per decrittografarlo.
Il processo di crittografia e decrittografia quando si utilizza una password
Se il proprietario dell'account utilizza una password per accedere al backup, funzionerà tramite il processo seguente per recuperare la chiave dall'insieme di credenziali delle chiavi.
- Inseriscono la password, che viene crittografata e quindi verificata da Backup Key Vault.
- Una volta verificata la password, Backup Key Vault invierà la chiave di crittografia al client WhatsApp.
- Con la chiave in mano, il client WhatsApp può quindi decrittografare i backup.
Se viene utilizzata solo la chiave a 64 bit, l'utente dovrà salvare manualmente e inserire la chiave da solo.