Whatsapp暗号化キー
今日、私は目を覚まして私のWhatsappをチェックし、通信は今後エンドツーエンドで暗号化されるというメッセージを受け取りました。
しかし、Whatsappが信頼できるかどうかはどうすればわかりますか?
私秘密/公開キーを生成しませんでした、またはそれらを変更することはできません。 これは常にセキュリティ上の欠陥ではないですか?
ユーザーに送信されているときに秘密キーが傍受された可能性はありますか?
FBIがアカウントにアクセスできず、協力を要求できないことに本当に腹を立てた場合に備えて、Whatsappが秘密鍵を保持していたのでしょうか?
「秘密鍵/公開鍵を生成しなかった」
あなたはしませんでしたが、あなたのデバイスはしました。
「それらを変更することもできません」
彼らが将来その機能を追加しても、私は驚くことではありません(それは、既存のキーで認証され、それを置き換えるように要求する場合のためです:その時点では新しい公開キーのみを提供します)。
ユーザーに送信されているときに秘密鍵が傍受された可能性はありますか?」
キーはクライアント側で生成される、またはそう言う...
「FBIがアカウントにアクセスできず、協力を要求できないことに本当に腹を立てた場合に備えて、Whatsappが秘密鍵を保持していたのでしょうか?」
わかります...
彼らの paper は、何が起こっているかについての適切な説明を提供し、彼らが使用する(オープンソース)プロトコルライブラリへのリンクを含みます。
ただし、他のシステムと同様に、最終的には悪意のある人(だれであれ)ではなく、自分の側にいると信頼する必要があります。なぜなら、コードとその更新を制御している場合でも、リリースする力があるからです。必要に応じて、特定のユーザーなどを対象とした変更...しかし、 Apple対FBIの場合 と同様に、そのような要求に屈することは、テクノロジー企業にとって最善の利益ではありません。
WhatsAppが生成したキーを生成しなかったのは正しいことです。そのため、WhatsAppを信頼し、秘密鍵のコピーを保持しないようにする必要があります。キーの「フィンガープリント」を比較することで、多くの場合、自分が本人だと思う相手とメッセージを交換していることを確認できます(この場合も、WhatsAppがこの情報を伝えるので、これを信頼します)。
要するに、あなたはWhatsAppを信頼して、説明されているように各ステップのセキュリティプロトコルに従う必要があります here 。 WhatsAppソースコードは利用できないため、それを使用する場合、通信チャネルがエンドツーエンドで暗号化されているかどうかに関係なく、行うすべてのことでWhatsAppを信頼していることに注意する必要があります。