Facebook heeft uitgelegd hoe de end-to-end gecodeerde back-ups van WhatsApp werken, voorafgaand aan de bredere uitrol over een paar weken. Bekijken!
WhatsApp, eigendom van Facebook, biedt al een tijdje end-to-end gecodeerde berichten aan, hoewel die extra beveiliging in het verleden niet is toegepast op back-ups. Het geldt ook niet voor media, en u bent afhankelijk van de encryptiediensten die worden aangeboden door de cloudprovider waarvan u een back-up maakt. Deze cloudproviders kunnen ze ook ontsleutelen mocht dat ooit nodig zijn, en voor privacybewuste mensen is dat uiteraard niet ideaal.
Het bedrijf begon het testen van end-to-end gecodeerde back-ups in de bètaversie van WhatsApp, en nu, voorafgaand aan de bredere uitrol, heeft Facebook dat ook gedaan uitgelegd hoe die gecodeerde back-ups precies werken.
Hoe de end-to-end gecodeerde back-ups van WhatsApp werken
Het genereren van encryptiesleutels en wachtwoorden
Facebook zegt dat het een geheel nieuw systeem heeft ontwikkeld voor de opslag van encryptiesleutels dat zowel op iOS als Android werkt. Back-ups worden gecodeerd met een unieke, willekeurige sleutel, en de sleutel kan handmatig of met een wachtwoord worden opgeslagen. Als de gebruiker deze met een wachtwoord wil opslaan, heeft hij toegang tot de op hardware-beveiligingsmodule gebaseerde Backup Key Vault om zijn coderingssleutel op te halen en de back-up te decoderen. Deze kluis is verantwoordelijk voor het afdwingen van wachtwoordverificatiepogingen en het permanent ontoegankelijk maken van de sleutel na een aantal mislukte pogingen om er toegang toe te krijgen. Dit voorkomt aanvallen met brute kracht en WhatsApp zal nooit de sleutel kennen.
Sleutels opbergen
WhatsApp maakt gebruik van een front-end-service genaamd ChatD, die clientverbindingen en client-server-authenticatie afhandelt. Het zal een protocol implementeren dat back-upsleutels van en naar de servers van WhatsApp verzendt, en de client en de sleutelkluis wisselen gecodeerde berichten uit. Back-ups worden gegenereerd als een continue stroom gegevens die symmetrisch wordt gecodeerd. Dat wil zeggen dat de sleutel die wordt gebruikt om deze te coderen, ook kan worden gebruikt om deze te decoderen. Eenmaal gecodeerd, kunnen de back-ups overal elders worden opgeslagen, ook op Google Drive of iCloud.
Facebook zegt dat om het aantal gebruikers dat afhankelijk is van WhatsApp te helpen opvangen, de sleutelkluisdienst geografisch verspreid zal worden over meerdere datacenters in het geval van een storing. Facebook heeft ook een paar afbeeldingen vrijgegeven die laten zien hoe end-to-end-codering werkt wanneer u een sleutel gebruikt om uw back-up te decoderen, of wanneer u een gebruikerswachtwoord gebruikt om deze te decoderen.
Het coderings- en decoderingsproces bij gebruik van een wachtwoord
Als de accounteigenaar een wachtwoord gebruikt om toegang te krijgen tot de back-up, werkt het via het volgende proces om de sleutel uit de sleutelkluis op te halen.
- Ze voeren hun wachtwoord in, dat wordt gecodeerd en vervolgens wordt geverifieerd door de Backup Key Vault.
- Zodra het wachtwoord is geverifieerd, stuurt de Backup Key Vault de coderingssleutel terug naar de WhatsApp-client.
- Met de sleutel in de hand kan de WhatsApp-client vervolgens de back-ups ontsleutelen.
Als alleen de 64-bits sleutel wordt gebruikt, moet de gebruiker de sleutel handmatig opslaan en zelf invoeren.