მიხალ მარეკი განსაკუთრებით კონტექსტში გასული თვეების მოვლენები ძალიან საინტერესო სიახლეა, რომ პოპულარული აპლიკაციის WhatsApp-ის მეშვეობით ყველა კომუნიკაცია ახლა სრულად დაშიფრულია ბოლოდან ბოლომდე მეთოდის გამოყენებით. სერვისის მილიარდ აქტიურ მომხმარებელს ახლა შეუძლია უსაფრთხო საუბარი, როგორც iOS-ზე, ასევე Android-ზე. ტექსტური შეტყობინებები, გაგზავნილი სურათები და ხმოვანი ზარები დაშიფრულია.
საკითხავია, რამდენად ტყვიაგამძლეა დაშიფვრა. WhatsApp აგრძელებს ყველა შეტყობინების ცენტრალიზებულ დამუშავებას და ასევე კოორდინაციას უწევს დაშიფვრის გასაღებების გაცვლას. ასე რომ, თუ ჰაკერს ან თუნდაც მთავრობას სურდა შეტყობინებების მიღება, მომხმარებლების შეტყობინებების მიღება შეუძლებელი არ იქნებოდა. თეორიულად, მათთვის საკმარისი იქნებოდა კომპანიის თავის მხარეზე დაყენება ან რაიმე ფორმით უშუალოდ მასზე თავდასხმა.
დაშიფვრა საშუალო მომხმარებლისთვის ნებისმიერ შემთხვევაში ნიშნავს მათი კომუნიკაციების უსაფრთხოების უზარმაზარ ზრდას და არის დიდი წინსვლა აპლიკაციისთვის. დაშიფვრისთვის გამოიყენება ცნობილი კომპანია Open Whisper-ის ტექნოლოგია, რომლითაც WhatsApp გასული წლის ნოემბრიდან ამოწმებს დაშიფვრას. ტექნოლოგია დაფუძნებულია ღია კოდზე (ღია კოდი).
ჩემთვის გაუგებარია რატომ ცენტრალური დაშიფვრა, რატომ არ აძლევს WhatsApp საუბრის ორივე მონაწილეს გასაღებების გაცვლის უფლებას?
ერთი წინადადებით - გამოყენებადობა BFU-სთვის. გასაღების სრულიად დამოუკიდებელი გაცვლით, კარგი იქნებოდა, მაგრამ გამოუსადეგარი.
რა თქმა უნდა, კაპოტის ქვეშ ვგულისხმობდი. კოჭლმა მომხმარებელმა საერთოდ არ უნდა იცოდეს ამის შესახებ.
არსად ვერ ვხედავ ცენტრალური დაშიფვრის ხსენებას, პირიქით.
ადრე ჩვეული იყო, რომ სტატიის ავტორი პოსტის რედაქტირებიდან გამომდინარე აქვეყნებდა კომენტარს და დისკუსიაში მოკლედ ეწერა და ეთქვა „განაზუსტებული“.
თუმცა, სტატიის ავტორს რაღაცის შეცვლა მოუწევს.
ასე რომ, ამ შემთხვევაში ძალიან ვწუხვარ, მგლის ნისლი მქონდა. შეცდომა იყო ჩემს კომპიუტერსა და კედელს შორის.
თრემა
არ ვიცი, ავტორი რას გულისხმობს გასაღების კოორდინაციაში. რამდენადაც მე ვიცი და როგორც სტატიაშია აღნიშნული, WhatsApp ახლად იყენებს სიგნალის პროტოკოლს, რომელიც ეფუძნება იმ ფაქტს, რომ ყოველი საუბარი ნიშნავს გასაღებების ახალ გაცვლას Diffie-Hellmann-ის მეშვეობით და ახალი AES და MAC-ის თაობაზე. ეს ყველაფერი ხდება კლიენტის მხარეს და გზად ვერავინ ვერაფერს გააკეთებს, ვერც WhatsApp-ს, რომელიც მაქსიმალურად მარშრუტებს დაშიფრულ შეტყობინებებს მომხმარებლებს შორის და შეუძლია (და ალბათ აკეთებს) მეტამონაცემების შენახვა და ანალიზი. ან რამე გამომრჩა?
გამარჯობა, მე არ ვარ დაშიფვრის ექსპერტი და არ მინდოდა შევეშვა ტექნიკურ საკითხებს, რომლებიც არც კი მესმის. ყოველ შემთხვევაში, თუ სწორად მესმის, WhatsApp მუშაობს საჯარო გასაღებებით, რომლებიც გამოიყენება შეტყობინების დაშიფვრისთვის. ამრიგად, თუ WhatsApp-ის მეშვეობით თავდამსხმელმა მოახერხა ვინმესთვის საკუთარი დაშიფვრის გასაღების გადაცემა, მას ასევე შეეძლო დაშიფრული შეტყობინების გაშიფვრა.
თორემ მართალი ხარ და ვაღიარებ წამების გარეშე, დიდი ალბათობით შენ გაქვს უპირატესობა დაშიფვრასთან დაკავშირებით და გამიხარდება თუ მასწავლი.
გამარჯობა, ეს საკმაოდ ყოვლისმომცველი თემაა, მაგრამ ვეცდები გავამარტივო - ერთადერთი, რაც ინახება WhatsApp სერვერზე, არის თქვენი რამდენიმე საჯარო გასაღები, რომელიც გამოიყენება თქვენსა და სხვას შორის ჩატის სესიის შექმნისას. მათ გარეშეც შესაძლებელი იქნებოდა, მაგრამ ეს ეგრეთ წოდებული წინასწარი გასაღებები, სხვა საკითხებთან ერთად, საშუალებას აძლევს შექმნას დაშიფრული სესია მაშინაც კი, როდესაც მეორე მხარე ხაზგარეშეა (რაც სიგნალის პროტოკოლის სპეციალობაა, მას სხვა რამის გაკეთება არ შეუძლია. ყოველ შემთხვევაში, რამდენადაც ჩვენ ვიცით). სიგნალის პროტოკოლი ასევე მოიცავს მეორე მხარის საიმედო გადამოწმების მეთოდს, რომელიც ხელს უშლის ვინმეს თქვენს იმიტაციას. სიმეტრიული კრიპტოგრაფიის შემდეგ გამოიყენება თავად შეტყობინების დაშიფვრა, ანუ შეტყობინება დაშიფრულია და გაშიფრულია იმავე გასაღებით. ეს გასაღები გენერირდება ყოველი ახალი შეტყობინებისთვის და WhatsApp-ს (კომპანიას) არ აქვს მასზე წვდომა, ის გენერირდება ბოლო მოწყობილობებზე (აქედან გამომდინარე End to End კრიპტოგრაფია), რომელმაც პირველად შეასრულა ე.წ. ხელის ჩამორთმევა Diffie-Hellman პროტოკოლის გამოყენებით ( უფრო ზუსტად, ECDH). ამ ხელის ჩამორთმევის წყალობით ორივე მხარე იღებს ეგრეთ წოდებულ საერთო საიდუმლოს, ანუ რაღაც დიდ შემთხვევით რიცხვს, რომელიც ორივე მხარემ იცის, მაგრამ სხვა ვერავინ უსმენს. ამ საერთო საიდუმლოზე დაყრდნობით, ორივე მხარეს შეუძლია შექმნას ახალი და ახალი დაშიფვრის გასაღებები, რომლებიც უნიკალურია თითოეული შეტყობინებისთვის. ასეთი გასაღების გენერირების შეყვანა არის არა მხოლოდ გაზიარებული "გაზიარებული საიდუმლო", არამედ წინა შეტყობინებაც. სიგნალის პროტოკოლის ამ და სხვა თვისებების წყალობით, უზრუნველყოფილია ეგრეთ წოდებული წინსვლის საიდუმლოება და მომავალი საიდუმლოება, ანუ იმ შემთხვევაშიც კი, თუ ვინმე მიიღებს თქვენს დაშიფრულ შეტყობინებას და როგორმე მოახერხებს მის გატეხვას მომავალში და მიიღებს წვდომას დაშიფვრის გასაღებზე, მას არ შეუძლია. სხვა შეტყობინების გაშიფვრა, რომელიც თქვენ გაგზავნეთ.
ბოდიშს ვიხდი, თუ ეს ძალიან დეტალურად დავწერე და გავიმეორე ის, რაც თქვენ უკვე იცით და იმედი მაქვს, რომ დაბნეულობას ვუპასუხე. მე არ ვარ კრიპტოგრაფიის ექსპერტი, მაგრამ დამთხვევით ბოლო დროს საკმაოდ ჩაღრმავებული ვარ ამ თემით :) და მაინც თუ ვინმე რაიმე უზუსტობას აღმოაჩენს ჩემს დაწერილში, მოხარული ვიქნები თუ შემისწორებთ.
დიდი მადლობა ინფორმაციისთვის, ძალიან გასაგებად ამიხსენი. შემდეგ ჯერზე უკეთ ვიქნები ინფორმირებული ;)
ნიშნავს თუ არა ეს იმას, რომ WhatsApp-ს ახლა არ აქვს ცენტრალური ისტორია?
მას აქვს ცენტრალური ისტორია, მაგრამ თითოეული შეტყობინება დაშიფრულია უნიკალური გასაღებით, რომელიც მხოლოდ შეტყობინების მიმღებს აქვს.