米哈爾·馬雷克 尤其是在上下文中 過去幾個月的事件 這是一個非常有趣的消息,所有透過流行應用程式 WhatsApp 進行的通訊現在都使用端到端方法完全加密。該服務的 10 億活躍用戶現在可以在 iOS 和 Android 上進行安全對話。簡訊、傳送的影像和語音通話均經過加密。
問題是加密的防彈能力如何。 WhatsApp 繼續集中處理所有訊息,並協調加密金鑰的交換。因此,如果駭客甚至政府想要獲取這些訊息,那麼獲取用戶的消息並非不可能。理論上來說,他們只要讓公司站在自己這邊或以某種方式直接攻擊它就足夠了。
無論如何,對於普通用戶來說,加密意味著其通訊安全性的巨大提高,並且對於應用程式來說是一個巨大的飛躍。加密採用了知名公司Open Whisper的技術,WhatsApp從去年11月開始就使用該技術進行加密測試。該技術基於開源程式碼(open source)。
我不清楚為什麼要進行中央加密,為什麼 WhatsApp 不允許對話雙方交換金鑰?
一言以蔽之-BFU 的可用性。如果有完全獨立的密鑰交換,那就太好了,但無法使用。
嗯,當然我的意思是,在幕後。蹩腳的用戶根本不需要知道它。
我沒有在任何地方看到任何提及中央加密的內容,恰恰相反。
以前的習慣是文章作者根據帖子編輯發表評論,並在討論中簡單寫下並說“指定”。
然而,這篇文章的作者必須改變一些東西。
所以在那種情況下我很抱歉,我有狼霧。錯誤發生在我的電腦和牆壁之間。
Threema
不知道作者所說的鍵協調是什麼意思。據我所知,正如文章中提到的,WhatsApp 新近使用了 Signal 協議,該協議基於以下事實:每次對話都意味著透過 Diffie-Hellmann 進行新的密鑰交換以及新的 AES 和 MAC 的生成。所有這一切都發生在客戶端,一路上沒有人可以對此做任何事情,甚至 WhatsApp 也不能,它最大限度地在用戶之間路由加密訊息,並且可以(並且可能確實)儲存和分析元資料。還是我錯過了什麼?
您好,我不完全是加密方面的專家,我不想涉及我什至不太理解的技術細節。無論如何,如果我理解正確的話,WhatsApp 使用用於加密訊息的公鑰進行操作。因此,如果攻擊者透過 WhatsApp 設法將自己的加密金鑰洩露給某人,他也可以解密加密的訊息。
否則,你是對的,我不用折磨就承認,在加密方面你很可能佔上風,如果你教我,我會很高興。
您好,這是一個相當全面的主題,但我會盡力簡化它 - WhatsApp 伺服器上儲存的唯一內容是您的一些公鑰,這些公鑰在您和其他人之間創建聊天會話時使用。沒有它們也是可能的,但是這些所謂的預密鑰除其他外還允許即使對方離線時也可以創建加密會話(這是信號協議的特點,它不能做任何其他事情) ,至少據我們所知)。 Signal 協議還包括一種可靠驗證對方的方法,防止有人冒充您。然後使用對稱密碼術對訊息本身進行加密,即使用相同的金鑰對訊息進行加密和解密。該金鑰是為每個新訊息產生的,WhatsApp(公司)無法存取它,它是在終端裝置上產生的(因此是端對端加密),該金鑰首先使用Diffie-Hellman 協定執行所謂的握手(更準確地說,ECDH)。透過這次握手,雙方都獲得了所謂的共享秘密,即雙方都知道但沒有其他人可以竊聽的一些大隨機數字。基於這個共享的秘密,雙方可以產生新的和新的加密金鑰,這些金鑰對於每個訊息都是唯一的。產生這樣的密鑰的輸入不僅是共享的“共享秘密”,而且還包括先前的訊息。由於訊號協定的這一特性和其他特性,可以確保所謂的前向保密和未來保密,即即使有人獲得您的加密訊息並在未來以某種方式設法破解它並獲得對加密金鑰的存取權限,他也無法解密您發送的另一則訊息。
如果我寫得太詳細並重複您已經知道的內容,我深表歉意,我希望我能解答您的困惑。我不是密碼學專家,但碰巧我最近一直在深入處理這個主題:)不過,如果有人發現我寫的內容有任何不准確之處,如果您糾正我,我會很高興。
非常感謝您提供的信息,您已經以非常清晰的方式解釋了這一點。下次我會更好地配備資訊;)
這是否意味著 WhatsApp 現在沒有中心歷史記錄了?
它有一個中心歷史記錄,但每個訊息都使用只有訊息接收者擁有的唯一密鑰進行加密。