U opisu WhatsApp messengera stoji da radi na principu end-to-end enkripcije. Ova se značajka smatra jednom od glavnih prednosti programa. Ali ne razumiju svi korisnici što se krije iza takvog naziva. Za mnoge ljude, logično pitanje će biti: "Što je WhatsApp end-to-end enkripcija?"
Osobitosti
U klasičnim glasnicima sljedeća shema dopisivanja između korisnika je sljedeća: poruka se šalje s prvog uređaja na poslužitelj programera, a odatle se isporučuje primatelju. U moderne aplikacije, koji se odnosi na WhatsApp, malo je izmijenjen.
Sada je poruka šifrirana na pametnom telefonu prije slanja. Na poslužitelj ne dolazi u obliku ispisanog teksta, već u obliku simbola koji su ljudima kaotični. Odatle se poruka preusmjerava na pametni telefon ili tablet primatelja, gdje se dešifrira. Ključ za šifriranje je niz znakova koji definira "abecedu" šifre. Ovo je neki oblik abecede. Ali u slučaju WhatsAppa, ključ je jedinstven za svaki uređaj. Točnije, postoje dva od njih: prvi je odgovoran za pretvaranje teksta pri slanju, drugi - pri primanju.
Moguće je hakirati takav sustav samo ako znate ovaj WhatsApp enkripcijski ključ. I snima se izravno na uređaju korisnika. Ovo je moderna zaštita u messengeru.
Postavljanje end-to-end enkripcije
Programeri WhatsAppa ne omogućuju onemogućavanje end-to-end enkripcije. To se čak spominje i na službenoj stranici aplikacije. Ova odluka je sasvim logična, jer sigurnost i sigurnost osobnih podataka oduvijek je bila važna korisnicima. A ako deaktivirate ovu funkciju, sigurnost će nestati.
Međutim, vrijedi napomenuti da nije sve tako kategorično. Ako tražite kako ukloniti end-to-end enkripciju u WhatsAppu, onda postoji takav način. Dovoljno je instalirati staru verziju WhatsAppa na svoj pametni telefon ili tablet, gdje ovu funkciju bio odsutan.
Ali u ovom slučaju nitko ne može jamčiti da stranci neće ući u vašu prepisku. Imajte na umu da ćete za instaliranje starijih verzija programa morati onemogućiti zaštitu na svom mobilnom uređaju.
U slučaju Androida, sve je jednostavno, samo aktivirajte način rada "Instaliraj iz nepoznatih izvora" u izborniku postavki za razvojne programere. Ali za iOS će vam trebati jailbreak - opcija hakiranja - koja može dovesti do oštećenja vašeg iPhonea ili iPada.
Pažnja: uključeno službena stranica WhatsAppu nedostaje odjeljak u kojem možete pronaći stare verzije. To znači da ćete morati preuzeti aplikaciju iz izvora trećih strana koji mogu sadržavati viruse.
WhatsApp je nedavno ažurirao svoj protokol šifriranja kako bi umirio i najparanoičnije korisnike. Takozvani end-to-end enkripcijski protokol obećava da "samo vi i osoba s kojom komunicirate možete pročitati ono što je poslano." Nitko, čak ni WhatsApp, nema pristup vašem sadržaju.
Sigurnosni protokol opisan je u blogu:
Kada pošaljete poruku, jedina osoba koja je može pročitati je osobni ili grupni chat kojem šaljete poruku. Nitko ne vidi ovu poruku. Ne kibernetički kriminalci. Ne hakeri. Ne represivna tijela. Čak i mi. End-to-end enkripcija pomaže da komunikacija putem WhatsAppa bude privatna - nešto poput razgovora licem u lice.
Nova značajka također je dostupna na širokom rasponu mobilnih platformi, uključujući iPhone, Android, Windows i mnoge druge. Možete čak koristiti značajku end-to-end enkripcije na WhatsApp web, platforma za razmjenu poruka dizajnirana za PC ili Mac.
Dodatno, WhatsApp kaže u svojim FAQ da je značajka uvijek omogućena:
Važno: enkripcija s kraja na kraj aktivira se ako sve strane koriste najnoviju whatsapp verzija. End-to-end enkripcija se ne može onemogućiti.
Nadogradite na end-to-end enkripciju
Međutim, morat ćete osigurati da je šifriranje omogućeno. Da biste to učinili: ažurirajte WhatsApp na Najnovija verzija i zamolite osobu ili grupu s kojom komunicirate da učini isto. Nema potrebe za dodatna primjena odnosno funkcije.
Kako biste bili sigurni da je značajka ažurirana, započnite chat i kliknite na ime prijatelja ili člana obitelji na vrhu. Zatim ćete biti preusmjereni na svoju stranicu s podacima za kontakt, koja će prikazati hoće li vaše poruke biti šifrirane, kao što možete vidjeti u označenom dijelu na slici ispod.
Ako chat nije kriptiran, kliknite na enkripciju da biste vidjeli QR kod i jedinstveni 60-znamenkasti broj. WhatsApp kaže da se jedinstveni "ključ" dijeli samo između primatelja poruke, pri čemu je svaki ključ jedinstven za svaki chat.
Zatim možete podijeliti brojeve ili kod s prijateljima ili obitelji. Ako su vam prijatelj ili članovi obitelji u blizini, imate sreće. Možete međusobno skenirati kod kako biste bili sigurni da su vaši razgovori aktivirani. Ako su daleko, pošaljite im 60-znamenkasti kod sa putem SMS-a, E-mail itd. Preko gumba dijeljenje na vašem iPhone, Android ili Windows telefonu.
To je to, vaši su razgovori sada šifrirani.
WhatsApp i dalje pohranjuje vaše podatke
Budi oprezan. Prema pravnim odredbama WhatsAppa, informacije o datumu i vremenu pohranjuju se na WhatsApp poslužiteljima kratko vrijeme:
WhatsApp može pohraniti informacije o datumu i vremenu povezane s uspješno isporučenim porukama i brojevima Mobiteli uključeni u poruke, kao i sve druge informacije koje je WhatsApp zakonski prisiljen prikupljati. Datoteke koje se šalju putem usluge WhatsApp ostat će na našim poslužiteljima kratko vrijeme nakon isporuke, ali će kratko vrijeme biti izbrisane i uklonjene iz svih identifikacijskih podataka u skladu s našim javno dostupnim pravilima zadržavanja.
To znači da su vaši metapodaci ili informacije o vašim podacima potencijalno ranjivi na hakere - to je jedan od problema koji brine korisnike.
Što to znači? To znači da se informacije - kao što je kada je slika snimljena, kada je snimljena itd. - mogu pohraniti na WhatsApp poslužiteljima na kratko vremensko razdoblje. I dok sama slika vjerojatno nije prisutna, informacije o slici, dokumentu, videu itd. ostaju.
Osim toga, vaši se metapodaci također mogu dijeliti s marketinškim timovima, u skladu s drugim nedavnim ažuriranjem koje aplikaciji za chat omogućuje "komunikaciju s tvrtkama i organizacijama". Ova informacija nastala je kada je aplikacija najavljena kao besplatna za sve korisnike u svijetu.
WhatsApp je s ažuriranjem najavio da neće biti oglasa trećih strana ili neželjene pošte, ali nejasna fraza "komunikacija s tvrtkama i organizacijama" još uvijek ostavlja otvorena vrata tumačenja.
Konkretno, promjene su napravljene. Čini se da je većina korisnika vrlo zadovoljna ažuriranjem koje obećava zaštitu vaših podataka.
Ima li razloga za zabrinutost?
Prethodno je nizozemski razvojni programer otkrio da su informacije o vremenskoj traci aplikacije bile dostupne putem softver pod nazivom WhatSpy Public, koji očito može "pokazati vremensku traku online statusa korisnika koji se prati."
Softverski dizajner Maikel Zwerink izazvao je mnogo brige dokazavši da svojom aplikacijom može "špijunirati" korisnike.
Ostaje za vidjeti može li aplikacija pratiti korisnike s najnovijim ažuriranjem end-to-end enkripcije. Ali korisnike treba upozoriti: enkripcija nije potpuno sigurna.
Što misliš o tome? Koristite li WhatsApp? Jeste li zabrinuti za sigurnost podataka tijekom korištenja aplikacije? Ažurirate li aplikaciju redovito? Javite nam u komentarima ispod.
End-to-end enkripcija (E2EE) smatra se lijekom za uporne pokušaje hakera i agencija za provođenje zakona da pristupe online komunikacijama. Značenje E2EE često se svodi na to da se ključevi pohranjuju samo na uređajima sugovornika i ne idu na server... ali to nije sasvim točno. Pogledajmo kako stvari stvarno stoje s E2EE na primjeru popularnih instant messengera.
Enkripcija u messengerima
Na pisanje ovog članka ponukalo me istraživanje Prepreke usvajanju alata za sigurnu komunikaciju (PDF). Kako su otkrili njezini autori, "velika većina sudionika ankete ne razumije osnovni koncept end-to-end enkripcije." Jednostavno rečeno, ljudi obično biraju glasnika srcem, a ne mozgom.
Počnimo s činjenicom da E2EE ima svoje karakteristike u svakom glasniku. U Signalu je to gotovo uzorno. WhatsApp je formalno isti kao Signal, osim jednog jakog važan trenutak: Promjena primarnog ključa WhatsApp pretplatnika ne blokira slanje poruka njemu. Najviše možete omogućiti beskorisnu obavijest (koja je onemogućena u zadanim postavkama). U Viberu je end-to-end enkripcija prema zadanim postavkama neaktivna, a pojavila se tek u šestoj verziji. U Telegramu se E2EE također koristi samo u tajnim chatovima, a implementirani su prilično čudno.
Sukob između Roskomnadzora i Telegrama općenito je stvorio izvrsnu reklamu za potonje. Obični korisnici sada smatraju Durovljevu kreaciju pravim trnom u leđima obavještajnih službi (ili nešto niže od njih), koje ne mogu učiniti ništa s neprobojnom inovativnom uslugom. Ljubitelji Telegrama uspoređuju ga sa Signalom i tvrde da je prvi bolji.
No, u kriptografiji, a pogotovo u primijenjenoj kriptografiji nema čuda. Mnoge matematički lijepe ideje ispadaju beznadno pokvarene implementacijom, kada se praktičnost i mogućnost kontrole stavljaju iznad sigurnosti i privatnosti (a to se događa gotovo uvijek).
U početku su glasnici koristili OTR (Off-the-Record) protokol. Koristi AES simetričnu enkripciju u CTR modu, DH protokol za razmjenu ključeva i SHA-1 hash funkciju. AES-CTR shema pruža takozvanu “spornu” (u dobrom smislu riječi) enkripciju i mogućnost poricanja autorstva teksta ako je presretnut. Uvijek možete tvrditi da je presretač prometa sam promijenio šifrirani tekst tako da odgovara drugoj opciji dešifriranja iste duljine. Na primjer, umjesto "idi kupiti kruh" ispalo je "otrovati kraljicu" - to je tehnički moguće, a ovo svojstvo je posebno ugrađeno u algoritam.
OTR protokol autentificira sugovornike i šifrira korespondenciju između njih. Siguran je sve dok sudionici u razgovoru redovito međusobno provjeravaju otiske javnih ključeva i odolijevaju napadima drugih vektora (uključujući društveni inženjering).
Glavni nedostatak OTR-a je da nakon slanja novog ključa morate čekati potvrdu od sugovornika. Ako je izvan mreže, tada će komunikacija biti privremeno nemoguća. Jedno od rješenja bio je algoritam Double Ratchet (DR), koji su prije pet godina razvili Trevor Perrin i Moxie Marlinspike iz Open Whisper Systemsa. Danas se DR koristi u Signalu, WhatsAppu, Viberu i mnogim drugim instant messengerima koji podržavaju end-to-end enkripciju prema zadanim postavkama ili kao zasebna opcija (tajni chatovi).
End-to-end enkripcija
Shema E2EE koristi kombinaciju otvorenih i otvorenih kriptografskih sustava. privatni ključ. Očito je općenito, a dosta složeno na razini detalja. Koristi mnogo međusobno povezanih ključeva, od kojih neki nužno završavaju na poslužitelju i, štoviše, nužno se učitavaju na njega prije početka dopisivanja, tako da se može pokrenuti u bilo kojem trenutku. Pogledajmo ga pobliže.
Vjerojatno znate početak sheme, budući da je standardna za sve asimetrične sustave šifriranja - generira se par ključeva. Ovo je neophodno jer je kriptosustave s jednim ključem (kao što je AES) preteško koristiti u korespondenciji u njihovom čistom obliku. Morali bi nekako organizirati siguran kanal za prijenos ključa (npr. osobno se sastati), pa to ponoviti svaki put kad se promijeni.
Sve je kao u uobičajenom PGP-u: postoje dva sugovornika (Alice i Bob), od kojih svaki generira vlastiti par ključeva. Zatim razmjenjuju javne ključeve, čuvajući svoje uparene tajne ključeve u tajnosti. Javni ključevi prenose se otvorenim kanalom (zato su javni, neka ih se presretne za dobru mjeru) i služe u dvije svrhe: omogućuju šifriranje poruke i provjeru njezina potpisa. Sukladno tome, tajni ključevi se koriste za dešifriranje i generiranje potpisa.
INFO
Izraz "poruka" ovdje se koristi u širokom smislu. Poruka može biti tekst, medijska datoteka ili metapodaci usluge koje glasnik razmjenjuje s poslužiteljem. Neki od ovih podataka sadrže vremenske oznake, stanje klijentske aplikacije i nove ključeve.
Nažalost, čista asimetrična shema šifriranja također nije prikladna za instant messengere, budući da su te usluge usmjerene na intenzivnu online korespondenciju u obliku lanca kratkih poruka. Moraju biti prikazani u strogo definiranom redoslijedu, a sugovornik može biti izvan mreže u bilo kojem trenutku i poremetiti strukturu dijaloga.
Štoviše, šifriranje mnogo kratkih poruka jednim ključem je loša ideja. U samo jednom danu dopisivanja nastane ih na stotine (ako ne i tisuće). U mnogim je porukama količina šifriranog teksta minimalna i predvidljiva (smajlić, naljepnica). Također imaju standardna zaglavlja koja olakšavaju kriptoanalizu.
Osobitost korespondencije u instant messengerima je da, zbog tipičnih metapodataka, napadač može presresti veliku količinu predvidljivog šifriranog teksta u kratkom vremenu. Lavlji će dio toga odgovarati poznatom otvorenom tekstu. Ako je šifriran jednim ključem, tada će u slučaju uspješnog napada biti ugrožene sve prethodno napisane poruke, pa čak i one koje će sugovornici napisati u budućnosti.
Kako bi spriječili da se to dogodi, glasnici osiguravaju svojstva kao što su tajnost naprijed i natrag. Oni podrazumijevaju nemogućnost čitanja poruka koje su poslane ranije i napisane u budućnosti, imajući u ruci samo trenutni ključ za šifriranje. Za to se koristi višeslojna enkripcija s prijelazom iz asimetrične u simetričnu kriptografiju i dodatnim ključevima s različitim životnim vijekom.
Mnogi od vas primijetili su da se nakon ažuriranja WhatsAppa u nekim chatovima pojavila obavijest o zaštiti enkripcije:
Poruke koje šaljete ovom chatu i pozivi sada su zaštićeni enkripcijom. Naučiti više.
Pozivamo vas da detaljnije razmotrite ovu temu. Messenger je standardno omogućio enkripciju poziva, poruka, fotografija, videa i svih ostalih informacija za sve svoje korisnike, tj. Vaš cijeli osobni život sada će biti nedostupan prisluškivanju ili hakiranju od strane hakera, vlasti, pa čak i zaposlenika samog WhatsAppa.
Kako omogućiti WhatsApp enkripciju na iPhoneu
Enkripcija je već omogućena prema zadanim postavkama za sve korisnike i ne zahtijeva posebnu aktivaciju, ali ako želite provjeriti jesu li sve moje poruke u određenom chatu šifrirane, učinite sljedeće:
Kako aktivirati WhatsApp enkripciju na Androidu
Šifriranje je omogućeno prema zadanim postavkama, ali da biste bili sigurni, učinite sljedeće:
Ako u chatu vidite poruku "Poruke koje šaljete na ovaj chat nisu šifrirane", tada je najvjerojatnije vaš sugovornik stara verzija aplikaciju i treba instalirati najnovije ažuriranje.
Mnogi od vas primijetili su da se nakon ažuriranja WhatsAppa u nekim chatovima pojavila obavijest o zaštiti enkripcije:
Poruke koje šaljete ovom chatu i pozivi sada su zaštićeni enkripcijom. Naučiti više.
Pozivamo vas da detaljnije razmotrite ovu temu. Messenger je standardno omogućio enkripciju poziva, poruka, fotografija, videa i svih ostalih informacija za sve svoje korisnike, tj. Vaš cijeli osobni život sada će biti nedostupan prisluškivanju ili hakiranju od strane hakera, vlasti, pa čak i zaposlenika samog WhatsAppa.
Kako omogućiti WhatsApp enkripciju na iPhoneu
Enkripcija je već omogućena prema zadanim postavkama za sve korisnike i ne zahtijeva posebnu aktivaciju, ali ako želite provjeriti jesu li sve moje poruke u određenom chatu šifrirane, učinite sljedeće:
Kako aktivirati WhatsApp enkripciju na Androidu
Šifriranje je omogućeno prema zadanim postavkama, ali da biste bili sigurni, učinite sljedeće:
Ako u chatu vidite poruku "Poruke koje šaljete na ovaj chat nisu šifrirane", tada najvjerojatnije osoba s kojom razgovarate ima staru verziju aplikacije i mora instalirati najnovije ažuriranje.