Facebook a explicat cum funcționează backup-urile criptate end-to-end ale WhatsApp, înainte de lansarea sa mai largă în câteva săptămâni. Verifică!
WhatsApp, deținută de Facebook, a oferit mesagerie criptată end-to-end de ceva vreme, deși această securitate suplimentară nu s-a aplicat copiilor de rezervă în trecut. Nu se aplică nici media și vă bazați pe serviciile de criptare oferite de furnizorul de cloud la care faceți backup. Acei furnizori de cloud le pot decripta, de asemenea, dacă este nevoie vreodată, iar pentru cei care sunt atenți la confidențialitate, acest lucru este evident mai puțin decât ideal.
Compania a început testarea backup-urilor criptate end-to-end în versiunea beta a WhatsApp, iar acum, înainte de lansarea sa mai largă, Facebook are explicat cum funcționează exact acele copii de rezervă criptate.
Cum funcționează backup-urile criptate end-to-end ale WhatsApp
Generarea de chei de criptare și parole
Facebook spune că a dezvoltat un sistem complet nou pentru stocarea cheilor de criptare care funcționează atât pe iOS, cât și pe Android. Backup-urile sunt criptate cu o cheie unică, aleatorie, iar cheia poate fi stocată fie manual, fie cu o parolă. În cazul în care utilizatorul dorește să o stocheze cu o parolă, poate accesa Backup Key Vault bazată pe modulul de securitate hardware pentru a-și recupera cheia de criptare și a decripta backup-ul. Acest seif este responsabil pentru forțarea încercărilor de verificare a parolei și pentru ca cheia să fie permanent inaccesibilă după o serie de încercări nereușite de a o accesa. Acest lucru previne atacurile cu forță brută, iar WhatsApp nu va ști niciodată cheia.
Depozitarea cheilor
WhatsApp folosește un serviciu front-end numit ChatD, care se ocupă de conexiunile client și de autentificare client-server. Acesta va implementa un protocol care trimite chei de rezervă către și de la serverele WhatsApp, iar clientul și seiful de chei schimbă mesaje criptate. Backup-urile sunt generate ca un flux continuu de date care este criptat simetric - adică cheia folosită pentru a le cripta poate fi folosită și pentru a le decripta. Odată criptate, copiile de rezervă pot fi stocate oriunde în afara site-ului, inclusiv pe Google Drive sau iCloud.
Facebook spune că, pentru a face față numărului de utilizatori care se bazează pe WhatsApp, serviciul seif pentru chei va fi distribuit geografic în mai multe centre de date în cazul unei întreruperi. Facebook a lansat, de asemenea, o pereche de grafice care arată cum funcționează criptarea end-to-end atunci când utilizați o cheie pentru a vă decripta backup-ul sau când folosiți o parolă de utilizator pentru a o decripta.
Procesul de criptare și decriptare atunci când se utilizează o parolă
Dacă proprietarul contului folosește o parolă pentru a-și accesa backupul, atunci va funcționa prin următorul proces pentru a prelua cheia din seiful de chei.
- Ei își introduc parola, care este criptată și apoi verificată de Backup Key Vault.
- Odată ce parola este verificată, Backup Key Vault va trimite cheia de criptare înapoi clientului WhatsApp.
- Cu cheia în mână, clientul WhatsApp poate apoi decripta copiile de rezervă.
Dacă cheia pe 64 de biți este cea care este folosită, atunci utilizatorul va trebui să salveze manual și să introducă el însuși cheia.