WhatsApp fură o pagină din manualul Signal: ce se întâmplă cu conversațiile tale

de: Cojocaru Cristian
22 07. 2021

WhatsApp testează deja sincronizarea mesajelor pe mai multe dispozitive, dar să păstreze în același timp și criptarea end-to-end. Protocolul folosit este însă unul adoptat de la Signal, una dintre cele mai sigure platforme de mesaje instant astfel.

Protocolul de criptare end-to-end este special conceput pentru a împiedica terțe părți și inclusiv WhatsApp de a avea acces la mesajele sau apelurile pe care tu le inițiezi în cadrul aplicației. Chiar și în cazul în care cineva obține o cheie de decriptare a unui dispozitiv, aceasta nu va putea decripta mesajele pe care tu le-ai transmis anterior.

Actualul mod în care este conceput WhatsApp, se bazează pe utilizarea aplicației, care este asociată unei chei unice. Această cheie este utilizată pentru a iniția conversațiile și pentru a stabili conexiuni securizate de la un capăt la celălalt pentru fiecare utilizator. Această abordare, deși este ușor de implementat, are o serie de dezavantaje în ceea ce privește experiența utilizatorului.

Dintre acestea putem aminti funcționarea lentă, dependența de baterie a telefonului și nu numai. Noua arhitectură bazată pe mai multe dispozitive încearcă să evite toate aceste probleme, fără a slăbi securitatea. Cea mai importantă modificare constă în faptul că fiecare dispozitiv are propria cheie de identitate, în timp ce utilizatorii au o listă de dispozitive autorizate.

Pentru a conecta un alt dispozitiv la un cont WhatsAapp, dispozitivul principal trebuie mai întâi să creeze o semnătură a contului prin semnarea cheii de identitate publică a noului dispozitiv. Acesta, la rândul lui, va trebui să creeze o semnătură a cheii de identitate publică a dispozitivului principal. Odată ce ambele semnături există, atunci sesiunile end-to-end pot fi stabilite în cazul noului dispozitiv.

WhatsApp împrumută securitatea de la Signal

Totuși, această autorizare a dispozitivelor nu este suficientă pentru a putea asigura că nimeni nu va accesa mesajele unui utilizator. Un server malițios ar putea adăuga un nou dispozitiv pe lista dispozitivelor autorizate de către utilizator. Pentru a putea fi prevenit acest lucru, un utilizator ar trebui să verifice fiecare dispozitiv care trimite mesaje.

Acest lucru nu este însă atât de facil, astfel că WhatsApp încearcă să facă acest lucru în mod automat, având drept scop stabilirea automată a încredere între dispozitive. Necesitatea intervenției utilizatorului va avea loc doar atunci cân dun întreg cont este înregistrat, spre deosebire de adăugarea unui nou dispozitiv la contul respectiv.

Abordarea fundamentală pe care o adoptă protocolul Signal pentru a se asigura că toate mesajele sunt trimise către toate dispozitivele în formă criptată se numește client-fanout. Acesta constă în trimiterea unui mesaj către fiecare dintre dispozitivele din listele de dispozitive ale expeditorului și ale destinatarului. Fiecare mesaj trimis către un dispozitiv dat este criptat cu cheia stabilită între dispozitivele expeditorului și receptorului.

Datorită acestui fapt, dispozitivele unui utilizator nu trebuie să facă schimb de informații între ele sau cu servere WhatsApp pentru a se sincroniza și a prezenta aceeași experiență de utilizator. Singura excepție de la aceasta este atunci când este autorizat pentru prima dată un dispozitiv nou. În astfel de cazuri, smartphone-ul care este utilizat pentru a autoriza noul dispozitiv îi va transfera întregul istoric al comunicărilor.

Facebook nu oferă niciun detaliu despre impactul abordării client-fanout, deși poate implica o creștere semnificativă a comunicării și a mesajelor pe care le va gestiona serverul WhatsApp. Protocolul Signal utilizat de WhatsApp se bazează pe biblioteca open source dezvoltată de Open Whisper Systems.