Авторы криптографической части WhatsApp, компания Open Whisper Systems, официально объявила о сабже. Ранее мы несколько раз писали про WhatsApp и указывали, что он значительно проигрывает по безопасности такому мессенджеру как Telegram, не говоря уже о Signal. Сам WhatsApp уже поддерживал end-to-end шифрование, но только для Android (начиная с 2014 г.). Его интеграцией для Android также занималась Open Whisper Systems, специалисты которой также являются авторами Signal. С сегодняшнего дня WhatsApp поддерживает полное end-to-end шифрование не только для Android, но также для iOS, Windows Phone, и Blackberry OS.
Для реализации механизма шифрования в WhatsApp используется библиотека мессенджера Signal, который считается одним из самых безопасных на сегодняшний день и получивший максимальные оценки по безопасности организации EFF. Использование вышеупомянутой библиотеки для end-to-end шифрования гарантирует, что на промежуточном сервере данные не только не расшифровываются, но там также не хранится какая-либо информация метаданных, по которой можно идентифицировать собеседников.
WhatsApp Encryption Overview
WhatsApp's Signal Protocol integration is now complete
Как видно из аннотации, шифрование применяется ко всему пересылаемому содержимому, включая, чаты, групповые чаты, вложения, голосовые заметки, а также голосовые вызовы.
Правда, особенность заключается в том, что новшество доступно в новой версии мессенджера, а это значит, что более старые его версии должны быть обновлены до этой версии.
Рис. Предупреждение приложения на iOS, которое указывает на устаревшую версию WhatsApp получателя.
Рис. Настройка шифрования в новой версии WhatsApp.
Свойства используемого механизма шифрования:
Подробнее об используемых механизмах end-to-end шифрования WhatsApp можно прочитать здесь.
См. также Безопасность в WhatsApp.
Для реализации механизма шифрования в WhatsApp используется библиотека мессенджера Signal, который считается одним из самых безопасных на сегодняшний день и получивший максимальные оценки по безопасности организации EFF. Использование вышеупомянутой библиотеки для end-to-end шифрования гарантирует, что на промежуточном сервере данные не только не расшифровываются, но там также не хранится какая-либо информация метаданных, по которой можно идентифицировать собеседников.
All communication between WhatsApp clients and WhatsApp servers is layered within a separate encrypted channel. On Windows Phone, iPhone, and Android, those end-to-end encryption capable clients use Noise Pipes with Curve25519, AES-GCM, and SHA256 from the Noise Protocol Framework for long running interactive connections.
WhatsApp Encryption Overview
Over the past year, we've been progressively rolling out Signal Protocol support for all WhatsApp communication across all WhatsApp clients. This includes chats, group chats, attachments, voice notes, and voice calls across Android, iPhone, Windows Phone, Nokia S40, Nokia S60, Blackberry, and BB10.
WhatsApp's Signal Protocol integration is now complete
Как видно из аннотации, шифрование применяется ко всему пересылаемому содержимому, включая, чаты, групповые чаты, вложения, голосовые заметки, а также голосовые вызовы.
Правда, особенность заключается в том, что новшество доступно в новой версии мессенджера, а это значит, что более старые его версии должны быть обновлены до этой версии.
Рис. Предупреждение приложения на iOS, которое указывает на устаревшую версию WhatsApp получателя.
Рис. Настройка шифрования в новой версии WhatsApp.
Свойства используемого механизма шифрования:
- Очень быстрый процесс установки защищенного подключения между сторонами и старта после паузы.
- Шифрованию подвергаются метаданные подключения, что скрывает такую служебную информацию от посторонних глаз. При передаче не раскрывается никакой информации о сторонах подключения.
- На сервере WhatsApp не хранятся данные аутентификации клиента. Стороны аутентифицируют себя с использованием пары ключей (key pair) Curve25519. Сервер хранит только публичные ключи сторон. Даже в случае компрометации одного из серверов мессенджера, это никак не отразится на конфиденциальности переписки.
Подробнее об используемых механизмах end-to-end шифрования WhatsApp можно прочитать здесь.
См. также Безопасность в WhatsApp.
Комментарии (20)
Goodkat
06.04.2016 09:48+3Вот только не работает это ещё. Сейчас проверили с товарищем — мне WhatsApp прямо в окне чата написал, что соединение теперь защищено, а ему — ничего. По тапу на заголовок чата мне показывает замочек c текстом «защищено блаблабла», а ему — разомкнутый замок и «не защищено блаблабла, скажите другому участнику актуализировать приложение». У обоих последняя версия приложения и iOS 9.3.1.
rockin
07.04.2016 18:45Вообще-то, уже обсудили вчера
geektimes.ru/post/273884
Да и что делать тем, у кого нет учётки Artem и этой пдфки…
file///C:/Users/Artem/Downloads/WhatsApp-Security-Whitepaper.pdf
а так хочется почитать поподробнее :)
Наверное, вот
www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf
9uvwyuwo6pqt
07.04.2016 18:46>можно прочитать здесь.
>http://file///C:/Users/Artem/Downloads/WhatsApp-Security-Whitepaper.pdf
Nagg
Так а есть экран с принтом паблик ключа для сверки?
Да и смысла в енд-ту-енд с закрытым кодом клиента не особо много — видимо все просто должны поверить на слово. Вон в телеграме даже с открытым кодом на первых парах нашли нечто типа бэкдора.
LinGG
про «пары» можно поподробнее?
Nagg
Посыпаю голову пеплом за пары. Но по теме — habrahabr.ru/post/206900 (xor nonce).
gurinderu
Исходники Signal вполне себе открыты https://github.com/WhisperSystems
Kolonist
Про WhatsApp же речь, вроде как.
gurinderu
в WhatsApp используется библиотека мессенджера Signal
Kolonist
Что не мешает остальной закрытой части мессенджера, например, сливать ваш приватный ключ либо тексты сообщений до шифрования.
wartur
Вот Tox ничего так себе тема же?
https://habrahabr.ru/post/217289/
tualantin
Есть.
Nekit1234007
Есть. Можно посмотреть, перейдя по ссылке из статьи: whispersystems.org/blog/whatsapp-complete
Kondra007
Да, такой экран есть. Скриншот его можете увидеть, например, в статье на Android Police: www.androidpolice.com/2016/04/05/whatsapps-end-to-end-encryption-is-now-appearing-for-users-everywhere.
Предлагается QR-код и текстовая «расшифровка»