Ялангуяа контекст дээр өнгөрсөн саруудын үйл явдлууд Алдартай WhatsApp хэрэглүүрээр дамжуулан бүх харилцаа холбоо төгсгөлийн аргыг ашиглан бүрэн шифрлэгдсэн нь маш сонирхолтой мэдээ юм. Үйлчилгээний тэрбум идэвхтэй хэрэглэгчид одоо iOS болон Android дээр аюулгүй харилцан яриа хийх боломжтой. Текст мессеж, илгээсэн зураг, дуут дуудлага шифрлэгдсэн байна.
Шифрлэлт нь ямар сум нэвтэрдэггүй вэ гэдэг нь асуулт юм. WhatsApp нь бүх мессежийг төвлөрсөн байдлаар зохицуулж, шифрлэлтийн түлхүүр солилцох ажлыг зохицуулдаг. Тиймээс хэрэв хакер эсвэл засгийн газар мессеж рүү нэвтрэхийг хүсч байвал хэрэглэгчдийн мессежийг авах боломжгүй байх болно. Онолын хувьд тэд компанийг өөрсдийн талд оруулах эсвэл ямар нэгэн байдлаар шууд дайрахад хангалттай байх болно.
Ямар ч тохиолдолд энгийн хэрэглэгчдэд зориулсан шифрлэлт нь тэдний харилцааны аюулгүй байдлыг асар их хэмжээгээр нэмэгдүүлж, програмын хувьд том үсрэлт юм. Алдарт Open Whisper компанийн технологийг шифрлэхэд ашигладаг бөгөөд WhatsApp өнгөрсөн оны арваннэгдүгээр сараас эхлэн шифрлэлтийг туршиж байгаа юм. Технологи нь нээлттэй эх код (нээлттэй эх) дээр суурилдаг.
Яагаад төвлөрсөн шифрлэлт, яагаад WhatsApp харилцан ярианд оролцогчид хоёулаа түлхүүр солилцохыг зөвшөөрдөггүй нь надад тодорхойгүй байна вэ?
Нэг өгүүлбэрээр - BFU-д ашиглах боломжтой. Бүрэн бие даасан түлхүүр солилцох нь сайхан байх болно, гэхдээ ашиглах боломжгүй.
Мэдээжийн хэрэг би бүрээсний доор гэсэн үг юм. Доголон хэрэглэгч энэ тухай огт мэдэх албагүй.
Би хаана ч төвлөрсөн шифрлэлтийн талаар дурдаагүй, харин эсрэгээрээ.
Өгүүллийн зохиогч нь тухайн нийтлэлийн засварт тулгуурлан сэтгэгдлээ бичиж, хэлэлцүүлэгт товч бичээд "заасан" гэж хэлдэг заншилтай байсан.
Гэсэн хэдий ч нийтлэлийн зохиогч ямар нэг зүйлийг өөрчлөх шаардлагатай болно.
тийм тохиолдолд би маш их уучлаарай, би чонын манантай байсан. Алдаа нь миний компьютер болон хананы хооронд байсан.
Цус алдалт
Зохиогч гол зохицуулалт гэж юуг хэлээд байгааг би мэдэхгүй. Миний мэдэж байгаагаар, нийтлэлд дурдсанчлан WhatsApp нь дохионы протоколыг шинээр ашиглаж байгаа бөгөөд энэ нь яриа бүр нь Diffie-Hellmann-ээр дамжуулан шинэ түлхүүр солилцох, шинэ AES болон MAC үүсгэх гэсэн үг юм. Энэ бүхэн үйлчлүүлэгчийн тал дээр явагддаг бөгөөд энэ талаар хэн ч юу ч хийж чадахгүй, тэр дундаа WhatsApp хүртэл шифрлэгдсэн мессежийг хэрэглэгчдэд дээд зэргээр чиглүүлж, мета өгөгдлийг хадгалж, дүн шинжилгээ хийх боломжтой (болон магадгүй). Эсвэл би ямар нэг юм алдсан уу?
Сайн байцгаана уу, би яг шифрлэлтийн чиглэлээр мэргэшсэн мэргэжилтэн биш бөгөөд би өөрөө ч ойлгохгүй байгаа техникийн асуудалд орохыг хүсээгүй. Ямар ч байсан, хэрэв би зөв ойлговол WhatsApp нь мессежийг шифрлэхэд ашигладаг нийтийн түлхүүрээр ажилладаг. Тиймээс, хэрэв халдагчид WhatsApp-аар дамжуулан өөрийн шифрлэлтийн түлхүүрээ хэн нэгэнд шилжүүлж чадсан бол тэр мөн шифрлэгдсэн мессежийг тайлж чадна.
Үгүй бол таны зөв, би эрүүдэн шүүхгүйгээр хүлээн зөвшөөрч байна, шифрлэлтийн асуудалд та давуу эрхтэй байх болно, хэрэв та надад зааж өгвөл би баяртай байх болно.
Сайн байна уу, энэ бол нэлээд дэлгэрэнгүй сэдэв боловч би үүнийг хялбарчлахыг хичээх болно - WhatsApp сервер дээр хадгалагдаж буй цорын ганц зүйл бол та болон өөр хэн нэгний хооронд чат үүсгэх үед ашигладаг цөөн хэдэн нийтийн түлхүүр юм. Тэдэнгүйгээр энэ нь боломжтой байсан ч эдгээр урьдчилсан түлхүүрүүд нь нөгөө тал нь офлайн үед ч гэсэн шифрлэгдсэн сесс үүсгэх боломжийг олгодог (энэ нь дохионы протоколын онцлог бөгөөд энэ нь өөр юу ч хийж чадахгүй) , наад зах нь бидний мэдэж байгаагаар). Дохионы протокол нь хэн нэгнийг таны дүр эсгэхээс сэргийлж, нөгөө талыг найдвартай шалгах аргыг агуулдаг. Дараа нь мессежийг өөрөө шифрлэхэд тэгш хэмт криптографийг ашигладаг, өөрөөр хэлбэл мессежийг ижил түлхүүрээр шифрлэж, тайлдаг. Энэ түлхүүрийг шинэ мессеж бүрт зориулж үүсгэсэн бөгөөд WhatsApp (компани) үүнд хандах эрхгүй, энэ нь эцсийн төхөөрөмжүүд дээр үүсгэгддэг (тиймээс End to End криптографи) нь эхлээд Diffie-Hellman протоколыг ашиглан гар барих гэж нэрлэгддэг үйлдлийг гүйцэтгэсэн. илүү нарийвчлалтай, ECDH). Энэхүү гар барилтын ачаар хоёр тал хуваалцсан нууц гэж нэрлэгддэг нууцыг олж авдаг, өөрөөр хэлбэл хоёр тал мэддэг, гэхдээ өөр хэн ч чагнаж чадахгүй том санамсаргүй тоо. Энэхүү хуваалцсан нууцад үндэслэн хоёр тал мессеж бүрт өвөрмөц шифрлэлтийн шинэ болон шинэ түлхүүрүүдийг үүсгэж болно. Ийм түлхүүрийг үүсгэх оролт нь зөвхөн хуваалцсан "хуваалцсан нууц" төдийгүй өмнөх мессеж юм. Дохионы протоколын энэ болон бусад шинж чанаруудын ачаар цаашдын нууцлал болон ирээдүйн нууцлалыг хангадаг, өөрөөр хэлбэл хэн нэгэн таны шифрлэгдсэн мессежийг хүлээн авч, ирээдүйд ямар нэгэн байдлаар үүнийг эвдэж, шифрлэлтийн түлхүүрт хандах боломжтой байсан ч тэр үүнийг хийж чадахгүй. Таны илгээсэн өөр мессежийн кодыг тайлах.
Хэрэв би үүнийг хэтэрхий дэлгэрэнгүй бичиж, таны мэддэг зүйлийг давтан бичсэн бол хүлцэл өчье, эндүүрэлд хариулсан гэж найдаж байна. Би криптографийн мэргэжилтэн биш ч санамсаргүй тохиолдлоор сүүлийн үед энэ сэдвийг нэлээд гүнзгийрүүлэн ярьж байна :) Гэсэн хэдий ч хэн нэгэн миний бичсэн зүйлээс алдаатай зүйл олж харвал залруулж өгвөл би баяртай байх болно.
Мэдээлэл өгсөнд маш их баярлалаа, та үүнийг маш ойлгомжтой тайлбарласан байна. Дараагийн удаа би мэдээллээр илүү сайн хангагдсан байх болно ;)
Энэ нь WhatsApp-д одоо төв түүх байхгүй гэсэн үг үү?
Энэ нь төв түүхтэй боловч мессеж бүр нь зөвхөн мессеж хүлээн авагчид байдаг өвөрмөц түлхүүрээр шифрлэгдсэн байдаг.