Facebook har förklarat hur WhatsApps end-to-end krypterade säkerhetskopior fungerar, inför dess bredare utrullning om några veckor. Kolla in det!
Facebook-ägda WhatsApp har erbjudit end-to-end-krypterade meddelanden ett bra tag nu, även om den extra säkerheten inte har tillämpats på säkerhetskopior tidigare. Det gäller inte heller media, och du är beroende av de krypteringstjänster som erbjuds av molnleverantören som du säkerhetskopierar till. Dessa molnleverantörer kan också dekryptera dem om behovet uppstår, och för den integritetsmedvetna är det uppenbarligen mindre än idealiskt.
Företaget började testa krypterade säkerhetskopior från slut till ände i betaversionen av WhatsApp, och nu, inför sin bredare utrullning, har Facebook förklarade exakt hur dessa krypterade säkerhetskopior fungerar.
Hur WhatsApps end-to-end-krypterade säkerhetskopior fungerar
Generera krypteringsnycklar och lösenord
Facebook säger att de har utvecklat ett helt nytt system för lagring av krypteringsnyckel som fungerar över både iOS och Android. Säkerhetskopieringar krypteras med en unik, slumpmässig nyckel, och nyckeln kan antingen lagras manuellt eller med ett lösenord. Om användaren vill lagra det med ett lösenord kan de komma åt det hårdvarusäkerhetsmodulbaserade Backup Key Vault för att hämta sin krypteringsnyckel och dekryptera säkerhetskopian. Detta valv är ansvarigt för att upprätthålla lösenordsverifieringsförsök och göra nyckeln permanent otillgänglig efter ett antal misslyckade försök att komma åt den. Detta förhindrar brute-force-attacker, och WhatsApp kommer aldrig att veta nyckeln.
Förvaring av nycklar
WhatsApp använder sig av en front-end-tjänst som heter ChatD, som hanterar klientanslutningar och klient-server-autentisering. Det kommer att implementera ett protokoll som skickar reservnycklar till och från WhatsApps servrar, och klienten och nyckelvalvet utbyter krypterade meddelanden. Säkerhetskopior genereras som en kontinuerlig ström av data som krypteras symmetriskt - det vill säga nyckeln som används för att kryptera den kan också användas för att dekryptera den. När säkerhetskopiorna väl är krypterade kan de lagras var som helst utanför platsen, inklusive på Google Drive eller iCloud.
Facebook säger att för att hjälpa till att hantera antalet användare som förlitar sig på WhatsApp, kommer nyckelvalvstjänsten att fördelas geografiskt över flera datacenter i händelse av ett avbrott. Facebook släppte också ett par grafik som visar hur end-to-end-kryptering fungerar när du använder en nyckel för att dekryptera din säkerhetskopia, eller när du använder ett användarlösenord för att dekryptera den.
Krypterings- och dekrypteringsprocessen när du använder ett lösenord
Om kontoägaren använder ett lösenord för att komma åt sin säkerhetskopia, kommer det att fungera via följande process för att hämta nyckeln från nyckelvalvet.
- De anger sitt lösenord, som krypteras och sedan verifieras av Backup Key Vault.
- När lösenordet har verifierats kommer Backup Key Vault att skicka tillbaka krypteringsnyckeln till WhatsApp-klienten.
- Med nyckeln i handen kan WhatsApp-klienten sedan dekryptera säkerhetskopiorna.
Om endast 64-bitarsnyckeln är det som används, måste användaren manuellt spara och ange nyckeln själv.