Soprattutto nel contesto eventi degli ultimi mesi è una notizia molto interessante che tutte le comunicazioni tramite la popolare applicazione WhatsApp siano ora completamente crittografate utilizzando il metodo end-to-end. Un miliardo di utenti attivi del servizio possono ora avere conversazioni sicure, sia su iOS che su Android. I messaggi di testo, le immagini inviate e le chiamate vocali sono crittografate.
La domanda è quanto sia a prova di proiettile la crittografia. WhatsApp continua a gestire tutti i messaggi a livello centrale e coordina anche lo scambio delle chiavi di crittografia. Quindi, se un hacker o anche il governo volessero accedere ai messaggi, ottenere i messaggi degli utenti non sarebbe impossibile. In teoria basterebbe che portassero l’azienda dalla loro parte o la attaccassero direttamente in qualche modo.
In ogni caso, la crittografia per l'utente medio significa un enorme aumento della sicurezza delle comunicazioni e rappresenta un grande passo avanti per l'applicazione. Per la crittografia viene utilizzata la tecnologia della rinomata azienda Open Whisper, con la quale WhatsApp sta testando la crittografia dal novembre dello scorso anno. La tecnologia si basa su codice open source (open source).
Non mi è chiaro il motivo per cui la crittografia centrale, perché WhatsApp non consente ad entrambi i partecipanti alla conversazione di scambiarsi le chiavi?
In una frase: usabilità per BFU. Con uno scambio di chiavi completamente indipendente sarebbe carino, ma inutilizzabile.
Beh, ovviamente intendevo "sotto il cofano". L'utente zoppo non deve saperlo affatto.
Non vedo alcuna menzione della crittografia centrale da nessuna parte, al contrario.
In passato era consuetudine che l'autore dell'articolo pubblicasse un commento in base alla modifica del post e lo scrivesse brevemente nella discussione e dicesse "specificato".
Tuttavia, l’autore dell’articolo dovrebbe cambiare qualcosa.
quindi in quel caso mi dispiace molto, avevo la nebbia del lupo. L'errore era tra il mio computer e il muro.
Threema
Non so cosa intenda l'autore per coordinamento chiave. Per quanto ne so e come menzionato nell'articolo, WhatsApp utilizza nuovamente il protocollo Signal, che si basa sul fatto che ogni conversazione implica un nuovo scambio di chiavi tramite Diffie-Hellmann e la generazione di un nuovo AES e MAC. Tutto questo avviene lato client e nessuno lungo il percorso può fare nulla al riguardo, nemmeno WhatsApp, che instrada al massimo i messaggi crittografati tra gli utenti e può (e probabilmente lo fa) archiviare e analizzare i metadati. Oppure mi sono perso qualcosa?
Ciao, non sono esattamente un esperto di crittografia e non volevo entrare in dettagli tecnici che non capisco nemmeno bene. Ad ogni modo, se ho capito bene, WhatsApp funziona con chiavi pubbliche che servono per crittografare il messaggio. Pertanto, se un utente malintenzionato tramite WhatsApp riuscisse a passare la propria chiave di crittografia a qualcuno, potrebbe anche decrittografare il messaggio crittografato.
Altrimenti hai ragione e lo confesso senza tortura, molto probabilmente hai il sopravvento quando si tratta di crittografia e sarò felice se me lo insegni.
Ciao, l'argomento è abbastanza completo, ma cercherò di semplificarlo: l'unica cosa che viene memorizzata sul server WhatsApp sono alcune delle tue chiavi pubbliche, che vengono utilizzate quando crei una sessione di chat tra te e qualcun altro. Sarebbe possibile senza di loro, ma queste cosiddette pre-chiavi permettono, tra le altre cose, di creare una sessione crittografata anche quando l'interlocutore è offline (che è una specialità del protocollo Signal, non può fare nient'altro , almeno per quanto ne sappiamo). Il protocollo Signal include anche un metodo per la verifica affidabile dell'altra parte, impedendo a qualcuno di impersonificarti. Per crittografare il messaggio stesso viene poi utilizzata la crittografia simmetrica, ovvero il messaggio viene crittografato e decrittografato con la stessa chiave. Questa chiave viene generata per ogni nuovo messaggio e WhatsApp (l'azienda) non ha accesso ad essa, viene generata sui dispositivi finali (quindi crittografia End to End), che per primi hanno eseguito il cosiddetto handshake utilizzando il protocollo Diffie-Hellman ( più precisamente, ECDH). Grazie a questa stretta di mano, entrambe le parti ricevono un cosiddetto segreto condiviso, cioè un grosso numero casuale che entrambe le parti conoscono, ma che nessun altro può intercettare. Sulla base di questo segreto condiviso, entrambe le parti possono generare nuove e nuove chiavi di crittografia univoche per ciascun messaggio. L'input per generare tale chiave non è solo il "segreto condiviso" condiviso, ma anche il messaggio precedente. Grazie a questa e ad altre proprietà del protocollo Signal, sono garantiti i cosiddetti forward secrecy e future secrecy, cioè anche se qualcuno riceve il vostro messaggio crittografato e in qualche modo riesce a violarlo in futuro e ad accedere alla chiave di crittografia, non può decifrare un altro messaggio che hai inviato.
Mi scuso se ho scritto questo in modo troppo dettagliato e ho ripetuto qualcosa che già sai e spero di aver risposto alla confusione. Non sono un esperto di crittografia, ma guarda caso ho trattato questo argomento abbastanza approfonditamente ultimamente :) Comunque, se qualcuno trovasse delle imprecisioni in quello che ho scritto, sarei felice se mi correggeste.
Grazie mille per le informazioni, lo hai spiegato in modo molto chiaro. La prossima volta sarò meglio equipaggiato con le informazioni ;)
Questo significa che WhatsApp non ha più la cronologia centrale adesso?
Ha una cronologia centrale, ma ogni messaggio è crittografato con una chiave univoca di cui dispone solo il destinatario del messaggio.