Facebook har forklart hvordan WhatsApps ende-til-ende krypterte sikkerhetskopier fungerer, i forkant av den bredere utrullingen om noen uker. Sjekk det ut!
Facebook-eide WhatsApp har tilbudt ende-til-ende krypterte meldinger i en god stund nå, selv om den ekstra sikkerheten ikke har vært gjeldende for sikkerhetskopier tidligere. Det gjelder heller ikke media, og du er avhengig av krypteringstjenestene som tilbys av skyleverandøren du sikkerhetskopierer til. Disse skyleverandørene kan også dekryptere dem hvis behovet skulle oppstå, og for personvernbevisste er det åpenbart mindre enn ideelt.
Selskapet begynte testing av ende-til-ende krypterte sikkerhetskopier i betaversjonen av WhatsApp, og nå, i forkant av sin bredere utrulling, har Facebook forklart nøyaktig hvordan de krypterte sikkerhetskopiene fungerer.
Hvordan WhatsApps ende-til-ende krypterte sikkerhetskopier fungerer
Generering av krypteringsnøkler og passord
Facebook sier at de har utviklet et helt nytt system for lagring av krypteringsnøkler som fungerer på tvers av både iOS og Android. Sikkerhetskopier er kryptert med en unik, tilfeldig nøkkel, og nøkkelen kan enten lagres manuelt eller med passord. Hvis brukeren ønsker å lagre det med et passord, kan de få tilgang til det maskinvare-sikkerhetsmodulbaserte sikkerhetskopinøkkelhvelvet for å hente krypteringsnøkkelen og dekryptere sikkerhetskopien. Dette hvelvet er ansvarlig for å håndheve passordbekreftelsesforsøk og gjøre nøkkelen permanent utilgjengelig etter en rekke mislykkede forsøk på å få tilgang til den. Dette forhindrer brute-force-angrep, og WhatsApp vil aldri vite nøkkelen.
Oppbevaring av nøkler
WhatsApp bruker en front-end-tjeneste kalt ChatD, som håndterer klientforbindelser og klient-server-autentisering. Den vil implementere en protokoll som sender sikkerhetskopinøkler til og fra WhatsApps servere, og klienten og nøkkelhvelvet utveksler krypterte meldinger. Sikkerhetskopier genereres som en kontinuerlig strøm av data som er kryptert symmetrisk - det vil si at nøkkelen som brukes til å kryptere den også kan brukes til å dekryptere den. Når de er kryptert, kan sikkerhetskopiene lagres hvor som helst utenfor stedet, inkludert på Google Drive eller iCloud.
Facebook sier at for å hjelpe til med å takle antallet brukere som er avhengige av WhatsApp, vil nøkkelhvelvtjenesten være geografisk fordelt over flere datasentre i tilfelle avbrudd. Facebook ga også ut et par grafikk som viser hvordan ende-til-ende-kryptering fungerer når du bruker en nøkkel for å dekryptere sikkerhetskopien din, eller når du bruker et brukerpassord for å dekryptere den.
Krypterings- og dekrypteringsprosessen ved bruk av passord
Hvis kontoeieren bruker et passord for å få tilgang til sikkerhetskopien, vil det fungere via følgende prosess for å hente nøkkelen fra nøkkelhvelvet.
- De skriver inn passordet sitt, som er kryptert og deretter bekreftet av Backup Key Vault.
- Når passordet er bekreftet, vil Backup Key Vault sende krypteringsnøkkelen tilbake til WhatsApp-klienten.
- Med nøkkelen i hånden kan WhatsApp-klienten deretter dekryptere sikkerhetskopiene.
Hvis 64-bits nøkkelen alene er det som brukes, må brukeren manuelt lagre og skrive inn nøkkelen selv.