Facebook пояснив, як працює наскрізне зашифроване резервне копіювання WhatsApp напередодні його більш широкого розгортання через кілька тижнів. Перевір!
WhatsApp, що належить Facebook, уже досить давно пропонує наскрізне шифрування повідомлень, хоча цей додатковий захист не застосовувався до резервних копій у минулому. Це також не стосується медіафайлів, і ви покладаєтеся на послуги шифрування, які пропонує хмарний постачальник, до якого ви створюєте резервні копії. Ці хмарні провайдери також можуть розшифрувати їх, якщо виникне така потреба, і для тих, хто піклується про конфіденційність, це, очевидно, не ідеально.
Компанія почалася тестування резервних копій із наскрізним шифруванням у бета-версії WhatsApp, а тепер, перед ширшим розгортанням, має Facebook пояснив як саме працюють ці зашифровані резервні копії.
Як працюють наскрізні зашифровані резервні копії WhatsApp
Генерація ключів шифрування та паролів
Facebook каже, що розробив абсолютно нову систему зберігання ключів шифрування, яка працює як на iOS, так і на Android. Резервні копії шифруються унікальним випадковим ключем, який можна зберегти вручну або за допомогою пароля. Якщо користувач хоче зберегти його з паролем, він може отримати доступ до резервного сховища ключів на основі апаратного модуля безпеки, щоб отримати свій ключ шифрування та розшифрувати резервну копію. Це сховище відповідає за виконання спроб перевірки пароля та робить ключ назавжди недоступним після кількох невдалих спроб доступу до нього. Це запобігає атакам грубої сили, і WhatsApp ніколи не дізнається ключ.
Зберігання ключів
WhatsApp використовує зовнішню службу під назвою ChatD, яка обробляє підключення клієнтів і автентифікацію клієнт-сервер. Він реалізує протокол, який надсилає резервні ключі на сервери WhatsApp і з них, а клієнт і сховище ключів обмінюються зашифрованими повідомленнями. Резервні копії створюються як безперервний потік даних, які зашифровані симетрично, тобто ключ, який використовується для їх шифрування, також може бути використаний для їх розшифровки. Після шифрування резервні копії можна зберігати будь-де за межами сайту, зокрема на Google Drive або iCloud.
У Facebook кажуть, що, щоб допомогти впоратися з кількістю користувачів, які покладаються на WhatsApp, служба сховища ключів буде географічно розподілена між кількома центрами обробки даних у разі збою. Facebook також випустив пару графічних зображень, які показують, як працює наскрізне шифрування під час використання ключа для розшифровки резервної копії або під час використання пароля користувача для її розшифровки.
Процес шифрування та дешифрування під час використання пароля
Якщо власник облікового запису використовує пароль для доступу до своєї резервної копії, він працюватиме за допомогою наступного процесу, щоб отримати ключ із сховища ключів.
- Вони вводять свій пароль, який шифрується, а потім перевіряється резервним сховищем ключів.
- Після перевірки пароля Backup Key Vault надішле ключ шифрування назад до клієнта WhatsApp.
- Маючи ключ у руках, клієнт WhatsApp може розшифрувати резервні копії.
Якщо використовується лише 64-розрядний ключ, користувачеві потрібно буде вручну зберегти та ввести ключ самостійно.