14 января 2017 г.

Как работает шифрование в мессенджере WhatsApp и почему важно сверять коды безопасности

Open Whisper Systems разработчик мессенджера Signal и одноименного протокола безопасной связи, который используется в том числе и в WhatsApp. В своем блоге опровергла наличие уязвимости в WhatsApp и объяснила недавнее сообщение, особенностью реализации протокола Signal, а именно механизма проверки подлинности участников переписки.

WhatsApp как и все системы на основе протокола Signal использует асимметричное шифрование (открытый и закрытый ключ) для защиты переписки. Данное шифрование работает следующим образом:

  • На Вашем устройстве генерируются открытый и закрытый ключ. С помощью открытого ключа возможно зашифровать сообщение, но расшифровать сообщение может только обладатель закрытого ключа.

  • Ваш открытый ключ через сервер WhatApp распространяется всем вашим контактам, аналогично вы получаете открытые ключи всех ваших контактов. Закрытый ключ остается только на вашем устройстве.

  • Таким образом человек с которым Вы переписываетесь, зашифровывает сообщение предназначенное Вам вашим открытым ключом, расшифровать его можете только Вы, потому что закрытый ключ есть только на вашем устройстве.

Атака человек посередине (man-in-the-midle)


  • При использовании End-To-End шифрования важно убедиться, что ваши контакты обладают верными открытыми ключами (полученными именно от Вас), в противном случае никто не мешает злоумышленнику представиться вами, снабдить вашего собеседника своим открытым ключом, получать сообщения предназначенные для Вас и пересылать их вам пользуясь Вашим открытым ключом. Такая атака называется человек посередине (man-in-the-midle).

  • Чтобы исключить возможность проведения такой атаки против вас, необходимо удостовериться, что контакт с которым вы переписываетесь использует именно ваш открытый ключ для шифрования сообщений, а вы в свою очередь используете открытый ключ вашего собеседника.

Как сверить ключи безопасности WhatsApp


Для выполнения такой проверки в WhatApp предусмотрен механизм сверки ключей на основе QR кода.

При личной встрече с вашим собеседником, откройте его профиль в WhatsApp и выберите раздел Шифрование, для сверки открытых ключей отсканируйте QR код вашего собеседника, а он тем временем отсканирует Ваш. К сожалению, такую сверку придется выполнять с каждым контактом.

Фото: secretvpn.net


Как получать уведомления безопасности WhatsApp


Чтобы получать уведомления безопасности, в частности о том, что секретный код вашего собеседника изменился.
  1. Откройте WhatsApp и нажмите на Настройки.
  2. Нажмите на Аккаунт и выберите Безопасность.
  3. Здесь вы можете включить уведомления безопасности, выбрав Показывать уведомления безопасности.
Теперь если кто-то попытается подменить Ваш открытый ключ или Вашего собеседника, Вы получите уведомление об этом.

Это повод прекратить общение и еще раз сверить ключи при личной встрече, возможно кто-то из Вас сменил телефон или Вас пытаются прослушать.

Читайте также
В мессенджере WhatsApp обнаружена уязвимость, которая позволяет читать чужую переписку
Facebook и WhatsApp признаны самыми безопасными мессенджерами.
Выбираем самый безопасный мессенджер


Комментариев нет:

Отправить комментарий