Facebook wyjaśnił, jak działają kompleksowo zaszyfrowane kopie zapasowe WhatsApp przed jego szerszym wdrożeniem za kilka tygodni. Sprawdź to!
WhatsApp, będący własnością Facebooka, już od dłuższego czasu oferuje kompleksowo szyfrowane wiadomości, chociaż w przeszłości takie dodatkowe zabezpieczenia nie miały zastosowania w przypadku kopii zapasowych. Nie dotyczy to również multimediów i jesteś zależny od usług szyfrowania oferowanych przez dostawcę chmury, u którego tworzysz kopie zapasowe. Ci dostawcy usług w chmurze mogą je również odszyfrować, jeśli zajdzie taka potrzeba, a dla osób dbających o prywatność jest to oczywiście dalekie od ideału.
Firma zaczęła testowanie kompleksowo zaszyfrowanych kopii zapasowych w wersji beta WhatsApp, a teraz, przed szerszym wdrożeniem, ma to miejsce w Facebooku wyjaśnione jak dokładnie działają te zaszyfrowane kopie zapasowe.
Jak działają kompleksowo zaszyfrowane kopie zapasowe WhatsApp
Generowanie kluczy szyfrujących i haseł
Facebook twierdzi, że opracował zupełnie nowy system przechowywania kluczy szyfrujących, który działa zarówno na iOS, jak i Androidzie. Kopie zapasowe są szyfrowane unikalnym, losowym kluczem, a klucz można przechowywać ręcznie lub za pomocą hasła. Jeśli użytkownik chce przechowywać go za pomocą hasła, może uzyskać dostęp do magazynu kluczy zapasowych opartego na sprzętowym module bezpieczeństwa, aby odzyskać klucz szyfrowania i odszyfrować kopię zapasową. Skarbiec ten jest odpowiedzialny za wymuszanie prób weryfikacji hasła i sprawianie, że klucz staje się trwale niedostępny po wielu nieudanych próbach uzyskania do niego dostępu. Zapobiega to atakom typu brute-force, a WhatsApp nigdy nie pozna klucza.
Przechowywanie kluczy
WhatsApp korzysta z usługi front-end o nazwie ChatD, która obsługuje połączenia klientów i uwierzytelnianie klient-serwer. Wdroży protokół wysyłający klucze zapasowe do i z serwerów WhatsApp, a klient i magazyn kluczy będą wymieniać zaszyfrowane wiadomości. Kopie zapasowe są generowane jako ciągły strumień danych, które są szyfrowane symetrycznie, co oznacza, że klucz użyty do ich zaszyfrowania może być również użyty do ich odszyfrowania. Po zaszyfrowaniu kopie zapasowe można przechowywać w dowolnym miejscu poza siedzibą firmy, w tym na Dysku Google lub iCloud.
Facebook twierdzi, że aby poradzić sobie z liczbą użytkowników korzystających z WhatsApp, w przypadku awarii usługa magazynu kluczy będzie rozproszona geograficznie w wielu centrach danych. Facebook udostępnił także dwie grafiki pokazujące, jak działa kompleksowe szyfrowanie przy użyciu klucza do odszyfrowania kopii zapasowej lub przy użyciu hasła użytkownika do jej odszyfrowania.
Proces szyfrowania i deszyfrowania przy użyciu hasła
Jeśli właściciel konta używa hasła, aby uzyskać dostęp do swojej kopii zapasowej, pobranie klucza z magazynu kluczy będzie możliwe dzięki poniższemu procesowi.
- Wprowadzają swoje hasło, które jest szyfrowane, a następnie weryfikowane przez Backup Key Vault.
- Po zweryfikowaniu hasła Backup Key Vault wyśle klucz szyfrowania z powrotem do klienta WhatsApp.
- Mając klucz w ręku, klient WhatsApp może następnie odszyfrować kopie zapasowe.
Jeśli używany jest sam klucz 64-bitowy, użytkownik będzie musiał ręcznie zapisać i wprowadzić klucz samodzielnie.