Facebook vysvetľuje, ako fungujú end-to-end šifrované zálohy WhatsApp

Krátke Správy XdaNov 13, 2023

Facebook vysvetlil, ako fungujú end-to-end šifrované zálohy WhatsApp, ešte pred jeho rozšírením v priebehu niekoľkých týždňov. Skontrolovať to!

WhatsApp vlastnený Facebookom už dlhšiu dobu ponúka šifrované správy typu end-to-end, hoci toto dodatočné zabezpečenie sa v minulosti na zálohy nevzťahovalo. Netýka sa to ani médií a ste odkázaní na šifrovacie služby, ktoré ponúka poskytovateľ cloudu, do ktorého zálohujete. Títo poskytovatelia cloudu ich môžu v prípade potreby aj dešifrovať, a pre ľudí, ktorí si uvedomujú súkromie, to zjavne nie je ideálne.

Spoločnosť začala testovanie end-to-end šifrovaných záloh v beta verzii WhatsApp a teraz, pred jeho širším zavedením, má Facebook vysvetlil ako presne tie šifrované zálohy fungujú.

Ako fungujú end-to-end šifrované zálohy WhatsApp

Generovanie šifrovacích kľúčov a hesiel

Facebook tvrdí, že vyvinul úplne nový systém na ukladanie šifrovacích kľúčov, ktorý funguje na iOS aj Androide. Zálohy sú šifrované jedinečným náhodným kľúčom a kľúč je možné uložiť manuálne alebo pomocou hesla. Ak by si ho chcel používateľ uložiť s heslom, môže získať prístup k záložnému kľúču založenému na module hardvérového zabezpečenia, aby získal svoj šifrovací kľúč a dešifroval zálohu. Tento trezor je zodpovedný za vynútenie pokusov o overenie hesla a natrvalo zneprístupní kľúč po niekoľkých neúspešných pokusoch o prístup k nemu. Tým sa zabráni útokom hrubou silou a WhatsApp sa nikdy nedozvie kľúč.

Ukladanie kľúčov

WhatsApp využíva front-end službu s názvom ChatD, ktorá sa stará o pripojenia klientov a autentifikáciu klient-server. Bude implementovať protokol, ktorý posiela záložné kľúče na servery WhatsApp a zo serverov WhatsApp a klient a trezor kľúčov si vymieňajú šifrované správy. Zálohy sa generujú ako nepretržitý tok údajov, ktoré sú šifrované symetricky – t. j. kľúč použitý na šifrovanie je možné použiť aj na ich dešifrovanie. Po zašifrovaní môžu byť zálohy uložené kdekoľvek mimo lokality, vrátane služby Disk Google alebo iCloud.

Facebook hovorí, že s cieľom pomôcť vyrovnať sa s počtom používateľov, ktorí sa spoliehajú na WhatsApp, bude služba Key Vault v prípade výpadku geograficky distribuovaná do viacerých dátových centier. Facebook tiež zverejnil dvojicu grafík, ktoré ukazujú, ako funguje end-to-end šifrovanie pri použití kľúča na dešifrovanie zálohy alebo pri použití používateľského hesla na jej dešifrovanie.

Proces šifrovania a dešifrovania pri použití hesla

Ak vlastník účtu používa heslo na prístup k svojej zálohe, potom bude fungovať prostredníctvom nasledujúceho procesu na získanie kľúča z trezoru kľúčov.

  1. Zadajú svoje heslo, ktoré je zašifrované a následne overené záložným trezorom kľúčov.
  2. Po overení hesla záložný trezor odošle šifrovací kľúč späť klientovi WhatsApp.
  3. S kľúčom v ruke môže klient WhatsApp dešifrovať zálohy.

Ak sa používa samotný 64-bitový kľúč, používateľ si bude musieť kľúč manuálne uložiť a zadať sám.