O Facebook explicou como funcionam os backups criptografados de ponta a ponta do WhatsApp, antes de sua implementação mais ampla em algumas semanas. Confira!
O WhatsApp, de propriedade do Facebook, já oferece mensagens criptografadas de ponta a ponta há algum tempo, embora essa segurança adicional não tenha sido aplicada a backups no passado. Também não se aplica à mídia e você depende dos serviços de criptografia oferecidos pelo provedor de nuvem para o qual você faz backup. Esses provedores de nuvem também podem descriptografá-los caso surja necessidade e, para quem se preocupa com a privacidade, isso obviamente não é o ideal.
A empresa começou testando backups criptografados de ponta a ponta na versão beta do WhatsApp e agora, antes de seu lançamento mais amplo, o Facebook explicado como exatamente esses backups criptografados funcionam.
Como funcionam os backups criptografados de ponta a ponta do WhatsApp
Gerando chaves de criptografia e senhas
O Facebook afirma que desenvolveu um sistema totalmente novo para armazenamento de chaves de criptografia que funciona tanto em iOS quanto em Android. Os backups são criptografados com uma chave única e aleatória, e a chave pode ser armazenada manualmente ou com uma senha. Caso o usuário queira armazená-lo com uma senha, ele poderá acessar o Backup Key Vault baseado em módulo de segurança de hardware para recuperar sua chave de criptografia e descriptografar o backup. Este cofre é responsável por impor tentativas de verificação de senha e tornar a chave permanentemente inacessível após uma série de tentativas malsucedidas de acessá-la. Isso evita ataques de força bruta e o WhatsApp nunca saberá a chave.
Armazenando chaves
O WhatsApp utiliza um serviço front-end chamado ChatD, que gerencia conexões de clientes e autenticação cliente-servidor. Ele implementará um protocolo que envia chaves de backup de e para os servidores do WhatsApp, e o cliente e o cofre de chaves trocam mensagens criptografadas. Os backups são gerados como um fluxo contínuo de dados criptografados simetricamente – ou seja, a chave usada para criptografá-los também pode ser usada para descriptografá-los. Depois de criptografados, os backups podem ser armazenados em qualquer lugar externo, inclusive no Google Drive ou iCloud.
O Facebook diz que para ajudar a lidar com o número de usuários que dependem do WhatsApp, o serviço de cofre de chaves será distribuído geograficamente em vários data centers no caso de uma interrupção. O Facebook também lançou um par de gráficos que mostram como funciona a criptografia de ponta a ponta ao usar uma chave para descriptografar seu backup ou ao usar uma senha de usuário para descriptografá-lo.
O processo de criptografia e descriptografia ao usar uma senha
Se o proprietário da conta usar uma senha para acessar o backup, ele funcionará através do processo a seguir para recuperar a chave do cofre de chaves.
- Eles inserem sua senha, que é criptografada e verificada pelo Backup Key Vault.
- Assim que a senha for verificada, o Backup Key Vault enviará a chave de criptografia de volta ao cliente WhatsApp.
- Com a chave em mãos, o cliente WhatsApp pode então descriptografar os backups.
Se apenas a chave de 64 bits estiver sendo usada, o usuário precisará salvar manualmente e inserir a chave por conta própria.