Michal Marek Sérstaklega í samhengi atburði síðustu mánaða það eru mjög áhugaverðar fréttir að öll samskipti í gegnum vinsæla forritið WhatsApp eru nú að fullu dulkóðuð með end-to-end aðferðinni. Milljarður virkra notenda þjónustunnar getur nú átt öruggt samtal, bæði á iOS og Android. Textaskilaboð, sendar myndir og símtöl eru dulkóðuð.
Spurningin er hversu skotheld dulkóðunin er. WhatsApp heldur áfram að meðhöndla öll skilaboð miðlægt og samræmir einnig skipti á dulkóðunarlykla. Þannig að ef tölvuþrjótur eða jafnvel stjórnvöld vildu komast að skilaboðunum væri ekki ómögulegt að fá skilaboð notendanna. Fræðilega séð væri nóg fyrir þá að fá fyrirtækið á sitt band eða ráðast beint á það á einhvern hátt.
Dulkóðun fyrir meðalnotanda þýðir í öllum tilvikum stóraukið öryggi samskipta þeirra og er stórt stökk fram á við fyrir forritið. Tækni hins virta fyrirtækis Open Whisper er notuð til dulkóðunar en WhatsApp hefur prófað dulkóðun með því síðan í nóvember á síðasta ári. Tæknin byggir á opnum kóða (open source).
Mér er ekki ljóst hvers vegna miðlæg dulkóðun, hvers vegna WhatsApp leyfir ekki báðum þátttakendum samtalsins að skiptast á lyklum?
Í einni setningu - notagildi fyrir BFU. Með fullkomlega sjálfstæðri lyklaskipti væri það fínt en ónothæft.
Jú, auðvitað meinti ég, undir húddinu. Lame notandi þarf alls ekki að vita af því.
Ég sé hvergi minnst á miðlæga dulkóðun, heldur þvert á móti.
Það var venja að höfundur greinarinnar setti inn athugasemd út frá færslubreytingunni og skrifaði hana stuttlega í umræðuna og sagði „tilgreint“.
Hins vegar þyrfti greinarhöfundur að breyta einhverju.
svo í því tilfelli er mér mjög leitt, ég var með úlfaþoku. Villan var á milli tölvunnar minnar og veggsins.
Þremba
Ég veit ekki hvað höfundur meinar með lyklasamhæfingunni. Eftir því sem ég best veit, og eins og nefnt er í greininni, notar WhatsApp nýlega Signal-samskiptaregluna, sem byggir á því að hvert samtal þýðir ný skipti á lyklum í gegnum Diffie-Hellmann og gerð nýs AES og MAC. Allt þetta á sér stað viðskiptavinamegin og enginn á leiðinni getur gert neitt í því, ekki einu sinni WhatsApp, sem beinir að hámarki dulkóðuðum skilaboðum á milli notenda og getur (og gerir það líklega) geymt og greint lýsigögn. Eða missti ég af einhverju?
Halló, ég er ekki sérfræðingur í dulkóðun og ég vildi ekki fara út í tækniatriði sem ég skil ekki einu sinni. Engu að síður, ef ég skil rétt, starfar WhatsApp með opinberum lyklum sem eru notaðir til að dulkóða skilaboðin. Þannig að ef árásarmaður í gegnum WhatsApp tókst að renna eigin dulkóðunarlykli til einhvers gæti hann líka afkóða dulkóðuðu skilaboðin.
Annars hefurðu rétt fyrir þér og ég játa án pyntinga, þú hefur líklegast yfirhöndina þegar kemur að dulkóðun og ég mun vera ánægður ef þú kennir mér.
Halló, þetta er nokkuð yfirgripsmikið efni, en ég ætla að reyna að einfalda það - það eina sem er geymt á WhatsApp þjóninum eru nokkrir af opinberu lyklunum þínum, sem eru notaðir þegar þú býrð til spjalllotu milli þín og einhvers annars. Það væri mögulegt án þeirra, en þessir svokölluðu forlyklar gera meðal annars kleift að búa til dulkóðaða lotu jafnvel þegar hinn aðilinn er ótengdur (sem er sérgrein Signal samskiptareglunnar, hann getur ekki gert neitt annað , að minnsta kosti eftir því sem við vitum). Merkjasamskiptareglur fela einnig í sér aðferð til áreiðanlegrar sannprófunar á hinum aðilanum, sem kemur í veg fyrir að einhver líki eftir þér. Samhverf dulritun er síðan notuð til að dulkóða skilaboðin sjálf, þ.e. skilaboðin eru dulkóðuð og afkóðuð með sama lykli. Þessi lykill er búinn til fyrir öll ný skilaboð og WhatsApp (fyrirtækið) hefur ekki aðgang að því, það er búið til á endatækjum (þar af leiðandi End to End dulmál), sem fyrst framkvæmdi svokallaða handaband með Diffie-Hellman samskiptareglum ( nánar tiltekið, ECDH). Þökk sé þessu handabandi fá báðir aðilar svokallað sameiginlegt leyndarmál, þ.e.a.s. einhverja stóra slembitölu sem báðir aðilar vita, en enginn annar getur hlerað. Byggt á þessu sameiginlega leyndarmáli geta báðir aðilar búið til nýja og nýja dulkóðunarlykla sem eru einstakir fyrir hvert skeyti. Inntakið til að búa til slíkan lykil er ekki aðeins sameiginlegt „samnýtt leyndarmál“ heldur einnig fyrri skilaboðin. Þökk sé þessu og öðrum eiginleikum Signal-samskiptareglunnar er svokallað áframhaldandi leynd og framtíðarleynd tryggð, þ.e.a.s. jafnvel þótt einhver fái dulkóðuðu skilaboðin þín og nái einhvern veginn að brjóta þau í framtíðinni og fá aðgang að dulkóðunarlyklinum getur hann ekki afkóða önnur skilaboð sem þú sendir.
Ég biðst afsökunar ef ég skrifaði þetta of ítarlega og endurtók eitthvað sem þú veist nú þegar og ég vona að ég hafi svarað ruglinu. Ég er enginn sérfræðingur í dulmáli, en fyrir tilviljun hef ég verið að fjalla nokkuð ítarlega um þetta efni undanfarið :) Samt ef einhver finnur einhverja ónákvæmni í því sem ég skrifaði, þá væri ég glaður ef þú leiðréttir mig.
Þakka þér kærlega fyrir upplýsingarnar, þú hefur útskýrt þær á mjög skýran hátt. Næst verð ég betur búinn með upplýsingar ;)
Þýðir þetta að WhatsApp hafi ekki miðlæga sögu núna?
Það hefur miðlæga sögu en hvert skeyti er dulkóðað með einstökum lykli sem aðeins viðtakandi skilaboðanna hefur.