Posljednjih godina, razgovor o privatnosti u porukama postao je uobičajen kao i pozdravljanje, i to s pravom: svakodnevno dijelimo tekstualne poruke, fotografije, audio zapise i dokumente koji ne bi trebali završiti u pogrešnim rukama. U tom kontekstu, end-to-end enkripcija (E2EE) To je ključni dio koji obećava da ono što pošaljete vide samo oni koji bi to trebali vidjeti.
WhatsApp ga uključuje po zadanim postavkama, i iako je to odlična vijest, važno je razumjeti tačno kako funkcioniše, šta pokriva, a šta ne. Postoje neke važne nijanse: Nije sve što radite u aplikaciji sigurno.Postoje rizici koje enkripcija ne ublažava i određeni posebni procesi (kao što su izvještaji o chatu) koji omogućavaju pregled sadržaja radi provjere kršenja pravila.
Šta je end-to-end enkripcija?
Jednostavno rečeno, E2EE je sistem pomoću kojeg Samo pošiljalac i primalac posjeduju ključeve potrebno za čitanje poruke. Sve ostalo - uključujući posredničke servere - vidi besmislene šifrirane podatke.
Zamislite da šaljete paket s katancem, a druga osoba ima jedini ključ kojim ga otvara; ako neko presretne taj paket, vidjet će nepristupačan metalni blok. To je ideja: Sadržaj putuje zaštićen tokom cijelog putovanja. i dešifrira se samo na uređaju primaoca.
Ovaj pristup je u suprotnosti s klasičnim sistemima zasnovanim na serverima koji su, kao što se još uvijek često viđalo 2016. godine, Oni šifriraju samo između klijenta i servera.Pružatelj usluga može dešifrirati i ponovo šifrirati podatke unutar svoje infrastrukture, uvodeći više potencijalnih tačaka izloženosti. Smanjenje broja aktera koji rukuju otvorenim tekstom upravo je ono što čini end-to-end enkripciju (E2EE) robusnijom.
Kako WhatsApp implementira E2EE enkripciju?
WhatsApp usvaja shemu zasnovanu na Signalni protokolSvaki chat ima svoj vlastiti set ključeva i kada pošaljete poruku, ona se šifrira na vašem telefonu prije slanja. Server djeluje samo kao messenger: pohranjuje i prosljeđuje, ali ne mogu dešifrirati sadržaj.
Nakon što stigne do uređaja primaoca, aplikacija koristi njegovu lozinku za otvaranje poruke. Isti princip se primjenjuje i na fotografije, videozapise, glasovne bilješke i pozive. Zaštita je sveobuhvatna za sadržaj koji dijelite u razgovoru.
Cijeli ovaj proces se odvija besprijekorno. Ne morate unositi lozinke svaki put kada razgovarate; aplikacija to obavlja u pozadini. U stvari, sam WhatsApp ističe da nema direktan pristup sadržaju jer se šifriranje i dešifriranje u potpunosti odvija na uređajima.
Može li WhatsApp vidjeti chat ako ga neko prijavi?
Važno je razjasniti ovu tačku jer je riječ o osjetljivom pitanju. Kada korisnik prijavi razgovor zbog mogućeg kršenja pravila, kompanija ukazuje na to da bi mogla pregledajte sadržaj povezan s tom žalbom da se procijeni šta se dogodilo. U praksi, sistem omogućava slanje dovoljno materijala za analizu prekršaja WhatsApp-u kada se izda izvještaj.
Drugim riječima, ako vas neko prijavi, aktivira se proces koji to omogućava pristupiti porukama iz tog chata u svrhu moderiranjaCilj je provjeriti zloupotrebu, neželjenu poštu ili zabranjeno ponašanje i, ako je potrebno, poduzeti mjere. To ne znači da zaposleni svakodnevno čitaju vaše razgovore; to je specifičan tijek rada koji se pokreće kada se podnesu izvještaji i služi za... provoditi standarde usluga.
Šta end-to-end enkripcija ne pokriva: vidljive podatke i metapodatke?
End-to-end enkripcija štiti sadržaj vaših poruka, ali ne i sve oko vas u aplikaciji. Kao opće pravilo, informacije koje objavljujete (vaša fotografija i opis profila) nije dio te end-to-end enkripcije.
Osim toga, WhatsApp može vidjeti imena i opisi grupa kojem pripadate. Ovo omogućava, između ostalog, punjenje automatiziranih sistema koji otkrivaju potencijalno neprihvatljive aktivnosti (na primjer, povezane sa zlostavljanjem djece) i interveniraju.
Također ne bismo trebali zaboraviti određene kontekstualne informacije - ono što nazivamo metapodacima, kao što su vrijeme isporuke ili s kim komunicirate - Nije nužno šifrirano od kraja do krajaPlatformi su potrebni neki od ovih podataka za rad usluge, a to znači da postoje podaci koji ne uživaju istu zaštitu kao sadržaj poruke.
Razlika između E2EE i enkripcije u tranzitu
Šifriranje tokom prenosa štiti podatke dok putuju od vašeg mobilnog uređaja do servera i nazad do primaoca, ali dešifriranje se može dogoditi na serveru. To otvara vrata greškama, neovlaštenom pristupu ili zahtjevima za podacima. Za razliku od šifriranja od kraja do kraja (E2EE), Server nikada ne vidi sadržaj u otvorenom tekstu.drastično smanjujući rizik.
Također vrijedi napomenuti da su neke službe koristile taj termin na zbunjujući način. Lavabit i Hushmail Čak su predstavljeni kao E2EE iako njihov dizajn nije bio strogo takav. Drugi, poput Telegram ili Google AlloKritikovani su što ne omogućavaju end-to-end enkripciju po defaultu u svim svojim funkcijama, što može dovesti do nesporazuma o stvarnom nivou zaštite.
Ključevi, protokoli i pregovaranje: kako se uspostavljaju tajne
Kako bi se osiguralo da samo krajnji korisnici znaju tajnu, E2EE sistemi mogu koristiti unaprijed podijeljeni ključevi (kao u PGP-u) ili jednokratne tajne izvedene iz tih početnih tajni (DUKPT). Također mogu pregovarati o novom ključu u hodu koristeći Razmjena Diffie-Hellman ključeva, kao u OTR-u.
Tokom tih pregovora postoji klasična opasnost: napad tipa "čovjek u sredini" (MITM)U ovom scenariju, treća strana se predstavlja kao jedna od uključenih strana i dobija ključ koji joj omogućava da pročita sve. Da bi se to spriječilo, protokoli uključuju autentifikaciju krajnjih tačaka koristeći certifikacijskih tijela, pouzdane mreže ili sistemi za ručnu verifikaciju.
Jednostavan način provjere je poređenje otisci prstiju javnog ključaPrikazani su kao heksadecimalni nizovi čitljivi ljudima, na primjer: 43:51:43:a1:b5:fc:8b:b7:0a:3a:a9:b1:0f:66:73:a8. Ako obje strane provjere isti otisak prsta putem alternativnog pouzdanog kanala, rizik od MITM-a se smanjuje.
Neke aplikacije pretvaraju te blokove u prirodne riječi U korisničkom jeziku, drugi preferiraju niz s bazom 10 kako bi poboljšali lokalizaciju. U modernom načinu razmjene poruka obično je najpraktičnije prikazati otisak prsta kao QR code da druga osoba može skenirati sa svog uređaja.
Kako provjeriti end-to-end enkripciju na WhatsAppu?
Iako WhatsApp automatski primjenjuje end-to-end enkripciju (E2EE), postoji alat za provjeru da li vi i vaš kontakt dijelite ispravan ključ. Ova funkcija prikazuje QR kod i 60-cifreni numerički identifikator da možete međusobno uporediti.
- Otvorite chat sa osobom sa kojom želite da provjerite sigurnost.
- Unesite kontakt informacije iz naziva chata na vrhu.
- Pronađite odjeljak ŠifriranjeVidjet ćete QR kod i numerički kod.
- Skenirajte jedni drugima QR kodove — ili Uporedite 60 cifara— da se potvrdi da se podudaraju.
Ako se sve sabere, to znači da nema posrednika koji mijenjaju ključeve. Ova dodatna verifikacija rijetko je neophodna za svakodnevnu upotrebu, ali To je veoma korisno u osjetljivim kontekstima. ili kada želite biti posebno sigurni.
Rizici koje E2EE ne ublažava: sigurnost na rubovima mreže
E2EE paradigma ne rješava probleme uređaja na kojima se vrši šifriranje i dešifriranje. Ako je vaš mobilni telefon kompromitovan od strane malwareNapadač može pročitati već dešifrirane poruke, snimiti pritiske tipki ili ukrasti ključeve prije ili poslije šifriranja.
Da bi se povećala zaštita, neki pristupi izoluju generisanje i pohranjivanje ključeva u namjenskom hardveru, kao što je pametna kartica ili projekte poput Google Project Vaulta. Čak i ako ulazni i izlazni tekstualni podaci prolaze kroz sistem, Trojanski konj može špijunirati razgovor u realnom vremenu
Druga taktika je rad na potpuno izolovanom uređaju - bez internet veze - za rukovanje visoko osjetljivim podacima. Međutim, čak i ovaj pristup ima svoja ograničenja: slučaj Stuxnet Pokazalo se da zlonamjerni softver može preskočiti fizičku odvojenost (zračni jaz) i doći do mreža za koje se smatralo da su hermetički zatvorene, kao što se dogodilo s postrojenjem Natanz u Iranu.
Za borbu protiv krađe ključeva pomoću zlonamjernog softvera, predloženo je sljedeće podijeliti pouzdanu računarsku bazu na dvije mašine povezane jednosmjerno, na način koji sprječava i umetanje zlonamjernog softvera i curenje tajni. Uprkos tome, nijedna shema nije sigurna.
Sigurnosne kopije i šifriranje na strani klijenta
Neke usluge sigurnosnog kopiranja i dijeljenja datoteka nude šifriranje na strani klijentaIako može zvučati slično, nije isto što i end-to-end messaging (E2EE), jer se ne fokusira na zaštitu interaktivne komunikacije između korisnika. U stvari, termin E2EE se ponekad koristi kao sinonim, ali ekvivalencija nije tačna.
Na WhatsAppu i drugim aplikacijama, rezervne kopije Mogu imati drugačiji status: ako napravite kopiju u oblaku, morate provjeriti je li ta kopija šifrirana tako da samo vi imate ključ ili je, po namjeri, Moglo bi biti pristupačno pod određenim uslovima. To je ključna nijansa koju mnogi previđaju.
Pravi slučajevi i kontroverze: zadnja vrata i dizajn
Nedavna historija pruža primjere kako dizajn platforme može uvesti stražnja vrataDokumenti koje je procurio Edward Snowden 2013. godine pokazali su da Skype Uključivao je mehanizam kojim je Microsoft mogao dostavljati poruke NSA-i iako su one službeno bile "šifrirane". Ovaj kontrast između marketinga i stvarne arhitekture naglašava važnost temeljitog razumijevanja sigurnosnog modela.
U međuvremenu, postoje i servisi koji su kritikovani zbog omogućavanja E2EE samo u određenim režimima ili zbog toga što ga ne omogućavaju po defaultu. To je slučaj sa Telegram u određenim chatovima i sada nepostojećeg Google Allogdje je zaštita zavisila od načina rada koji je korisnik odabrao, što može biti zbunjujuće i ostaviti razgovore bez očekivane zaštite.
E2EE u drugim aplikacijama i u e-pošti
Najraširenija upotreba E2EE-a je u razmjeni poruka. iMessage Šifrira poruke između Apple uređaja od početka do kraja, tako da ih čak ni sam Apple ne može pročitati. Na Androidu je situacija raznolikija: sistem ne nameće jedinstveni standard i svaka aplikacija odlučuje njihovu strategiju, iako mnoge aplikacije na Google Playu već nude E2EE.
Osim WhatsAppa, signal To je mjerilo za fokus na privatnost, s end-to-end enkripcijom prema zadanim postavkama za poruke, pozive i video pozive. Ovaj ekosistem pokazuje da je E2EE postao zlatni standard za ličnu komunikaciju.
E-pošta također može biti korisna, ali obično zahtijeva više podešavanja. PGP Možete šifrirati i potpisivati e-poruke kako biste osigurali povjerljivost i integritet. Neki pružatelji usluga, kao što su Proton MailOni integriraju PGP kako bi ga pojednostavili, dok drugi, kao što su OdijeloOni implementiraju vlastitu end-to-end enkripciju između korisnika usluge.
Dobre prakse autentifikacije i verifikacije
Da bi E2EE ispunio svoje obećanje, vrata MITM-u moraju biti zatvorena. pouzdana autentifikacija ključeva. Možete se osloniti na certifikacijske autoritete (klasični web model) ili na pouzdanu mrežu gdje ljudi provjeravaju ljude.
Poređenje ključnih otisaka prstiju putem različitih kanala - telefonskog poziva, lično ili pomoću QR koda - je jednostavno i nevjerovatno efikasno. Ako se otisci prstiju podudaraju, nema posrednika da su zamijenili vaše lozinke. Ova praksa, koliko god jednostavna izgledala, pravi razliku između obećane i dokazane privatnosti.
Šta ovo znači za vaš svakodnevni život?
Kada je E2EE omogućen po zadanim postavkama, možete razgovarati bezbrižno znajući da je sadržaj zaštićen od početka do kraja. Uprkos tome, imajte na umu da nije sve šifriranoVodite računa o svom uređaju, aktivirajte PIN zaključavanjeAžurirajte svoj sistem, budite oprezni sa sumnjivim linkovima i pratite gdje pravite sigurnosne kopije, jer će strpljivi napadač radije napasti najslabiju kariku.
I još jedna praktična stvar: ako razgovor dovede do nasilnog ponašanja, postoji mehanizam za izveštaj Kao što smo vidjeli, ovo otvara vrata WhatsAppu da pregleda materijal kako bi provodio svoje politike. Privatnost nije dozvola za uznemiravanje ili kršenje pravila; platforma može poduzeti mjere i zatvaranje računa ako otkrije prekršaje.
End-to-end enkripcija u WhatsAppu pruža stvarnu zaštitu sadržaja, ali je važno razumjeti ograničenja: šta štiti, a šta izostavljaOvo objašnjava kako provjeriti informacije, koji rizici ostaju na uređajima i u kojim slučajevima servis može pregledati prijavljene poruke. Uz ovaj jasan plan i dobre sigurnosne prakse, imat ćete sigurnije razgovore bez žrtvovanja praktičnosti koju očekujete od moderne aplikacije za razmjenu poruka. Podijelite ovaj vodič i više korisnika će saznati šta je WhatsApp-ovo end-to-end šifriranje.
