政府は合法的な傍受を通じてエンドツーエンドの暗号化されたWhatsapp通信を傍受できますか?
Whatappがエンドツーエンドの暗号化を開始したのは、ユーザーがキーを検証するオプションを備えていたためです インドの政府機関のような多くの政府セキュリティ機関は、このような暗号化の使用を警告しました。
さて、 昨日、国会は通信とIT大臣のRavi Shankar Prasadから通知を受けました 提供されたエンドツーエンドの暗号化通信メッセージを含むさまざまなアプリケーションサービスプロバイダーによる暗号化通信を処理する際に、セキュリティ/法執行機関は困難に直面していますWhatsappによって。 ただし、セキュリティ機関は、通信サービスプロバイダーが提供する合法的傍受機能を介して、これらの暗号化された通信サービスを傍受することができます。
これは256ビットを考えると技術的に可能ですか?政府機関は、通信サービスプロバイダーが提供する合法的傍受機能を通じて、エンドツーエンドの暗号化されたWhatsapp通信サービスを傍受できますか?
どの政府機関も暗号化を解読することはほとんどありません。彼らは鍵が必要になります。そして、彼らがそれを得ることができる唯一の方法は、Whatsappがそのようなキーを抽出することを可能にする彼らのソフトウェアにバックドアまたは弱点を持っていた場合です。
現在のところ、Whatsappにそのようなバックドアが存在するという直接の証拠はありません。しかし、Whatsappはクローズドソースであるため、このようなバックドアがnotに存在することを確認することも困難になります。
ただし、情報セキュリティに関しては、リスク評価に関心があります。 OPを考えると、政府機関は私たちが尋ねられている当事者です。したがって、そのリスクを評価する必要があります。これに関するいくつかの関連情報はここにあります:
Whatsappの親会社であるFacebook 提供することが示されている PRISMプログラムと呼ばれるものを介して、サーバーへのNSAの直接的な一方向のアクセス。 Facebook これを否定する である一方で、 リークされたドキュメントによって証明された でした。ただし、これはNSAがWhatsappメッセージを復号化できることを意味するものではありません。 Whatsappの所有者とNSAとの関係およびプライバシーの透明性全般の例として、この情報をリスク評価に含めます。
2013年に、以下に関する情報がリリースされました:( ソース )
•NSAおよびGCHQは、電子メール、銀行、医療記録の保護に使用される暗号化を解除します
•年間2億5,000万ドルのプログラムは、テクノロジー企業と密かに連携して製品に弱点を挿入しています
proveこの大規模な秘密のプログラムhasがFacebookと連携してWhatsappに「弱点」を組み込むことは絶対にできません。ただし、この情報はそれでもリスク評価に関連しています。このような弱点wasが実際に実装されている場合、暗号化キーが危険にさらされる可能性があります。
完全に同一というわけではありませんが、かなり類似したことが実際に以前に起こりました。以下は、Skype、Microsoft、およびNSAに関する 1つの例 です。
結論:現在、いずれかの方法で結論を出すことは困難です。 Whatsappの親会社(および他の会社)は、過去にNSA 一方的なアクセス をユーザーデータに与える用意があることを以前に示しています。彼らは それについて嘘をつく への意欲も示しました。これを考えると、このparticular主題について the Word でFacebookの制御下にある企業を取り上げるのは難しいようです。
マルウェア、ウイルス、ハッキング、データの損失、データの盗難、監視などに関するリスクの程度を評価する場合、何かが証明済みである場合にのみ関連性があります。何かがpossibleまたはlikelyである場合にも関連します。この特定のケースでは、Whatsapp暗号化キーにアクセスするNSAがlikelyであると言うのに十分な根拠がないかもしれませんが、それは間違いなくpossibleです、これらのエンティティの履歴が与えられます。
これは、そのような状況を評価するときに人々が考慮に入れることができるものです。
関連資料:
新しいSnowdenドキュメントの詳細NSAは一般的なインターネット暗号化をバイパスできる(国際ビジネスタイム)
Microsoftは暗号化されたメッセージへのNSAアクセスを提供しました(The Guardian)
明らかに:米国と英国のスパイ機関がインターネットのプライバシーとセキュリティをどのように打ち負かしているか(ガーディアン)
あなたは1つの質問をしましたが、2つ質問していると思います。
- whatsappで暗号化された通信をキャプチャできます。
- whatsapp暗号化通信を「クリア」にキャプチャできるか
最初の質問では、すべての通信は法的機関によって捕捉される可能性があります。それは実際にはそれほど難しくはなく、これが起こっている例はいくつかあります。
第二に、私たちは証拠に記載された事実のみを使用し、残りを推測することができます。 Whatsapp states 彼らは暗号化キーにアクセスできないことを意味します。つまり、それらのキーを当局に引き渡すことはできません。 trueの場合、2番目の質問に対する答えは「いいえ」です。
鍵管理プロセスの脆弱性、またはWhatsappの発言の真実性について推測することはできますが、何らかの証拠が得られるまで、発言は技術的に真実であると想定できます。
要するに:
- 暗号化された通信を傍受:yes(攻撃者はいくつかのメタデータを取得します)
- 傍受した暗号化通信のコンテンツを復号化します:no(おそらく)
- まだ暗号化されていない、またはすでに復号化された通信をいずれかの端で傍受します:yes(攻撃者はクライアントを変更する必要がありますが、政府機関はWhatsApp/FacebookまたはGoogleを強制するか、Apple悪意のあるアプリのバージョンをターゲットまたはピアにプッシュする)
私見、それがWhatsappサーバーを通過する場合、メッセージがWhatsapp企業向けのものでない限り、それは私がエンドツーエンドの暗号化と呼ぶものではありません。
だから、ここに異なる根本的な質問があります:
- whatsappが安全なソースにデータを送信するために使用されるプロトコルです-Whatsappがクローズドソースであるため確認できない場合でも:はい、Whatsapp契約なしではデータを傍受できません
- whatsappが政府機関にデータを配信しないことを信頼できますか:あなたは自分自身でいますが、愛国者法のために米国の機関を許可していると思います、他人には知らない
- 真のエンドツーエンドの暗号化は安全です:はい、ただし、[メディア、Whatsappまたは...を選択]を介して不透明な暗号化ファイルを送信し、データは最終的な受信者によってのみデコードされると想定します
傍受することはできますが、復号化することはできません。
うーん...それで私たちは考えたいです... Snowdenからリークされたスライドがあり、Googleトーク上のOTRチャットの部分的な復号化のためのNSA機能を示しました。