14 января 2017 г.

Как работает шифрование в мессенджере WhatsApp и почему важно сверять коды безопасности

Open Whisper Systems разработчик мессенджера Signal и одноименного протокола безопасной связи, который используется в том числе и в WhatsApp. В своем блоге опровергла наличие уязвимости в WhatsApp и объяснила недавнее сообщение, особенностью реализации протокола Signal, а именно механизма проверки подлинности участников переписки.

WhatsApp как и все системы на основе протокола Signal использует асимметричное шифрование (открытый и закрытый ключ) для защиты переписки. Данное шифрование работает следующим образом:

  • На Вашем устройстве генерируются открытый и закрытый ключ. С помощью открытого ключа возможно зашифровать сообщение, но расшифровать сообщение может только обладатель закрытого ключа.

  • Ваш открытый ключ через сервер WhatApp распространяется всем вашим контактам, аналогично вы получаете открытые ключи всех ваших контактов. Закрытый ключ остается только на вашем устройстве.

  • Таким образом человек с которым Вы переписываетесь, зашифровывает сообщение предназначенное Вам вашим открытым ключом, расшифровать его можете только Вы, потому что закрытый ключ есть только на вашем устройстве.

Атака человек посередине (man-in-the-midle)


  • При использовании End-To-End шифрования важно убедиться, что ваши контакты обладают верными открытыми ключами (полученными именно от Вас), в противном случае никто не мешает злоумышленнику представиться вами, снабдить вашего собеседника своим открытым ключом, получать сообщения предназначенные для Вас и пересылать их вам пользуясь Вашим открытым ключом. Такая атака называется человек посередине (man-in-the-midle).

  • Чтобы исключить возможность проведения такой атаки против вас, необходимо удостовериться, что контакт с которым вы переписываетесь использует именно ваш открытый ключ для шифрования сообщений, а вы в свою очередь используете открытый ключ вашего собеседника.

Как сверить ключи безопасности WhatsApp


Для выполнения такой проверки в WhatApp предусмотрен механизм сверки ключей на основе QR кода.

При личной встрече с вашим собеседником, откройте его профиль в WhatsApp и выберите раздел Шифрование, для сверки открытых ключей отсканируйте QR код вашего собеседника, а он тем временем отсканирует Ваш. К сожалению, такую сверку придется выполнять с каждым контактом.

Фото: secretvpn.net


Как получать уведомления безопасности WhatsApp


Чтобы получать уведомления безопасности, в частности о том, что секретный код вашего собеседника изменился.
  1. Откройте WhatsApp и нажмите на Настройки.
  2. Нажмите на Аккаунт и выберите Безопасность.
  3. Здесь вы можете включить уведомления безопасности, выбрав Показывать уведомления безопасности.
Теперь если кто-то попытается подменить Ваш открытый ключ или Вашего собеседника, Вы получите уведомление об этом.

Это повод прекратить общение и еще раз сверить ключи при личной встрече, возможно кто-то из Вас сменил телефон или Вас пытаются прослушать.

Читайте также
В мессенджере WhatsApp обнаружена уязвимость, которая позволяет читать чужую переписку
Facebook и WhatsApp признаны самыми безопасными мессенджерами.
Выбираем самый безопасный мессенджер


1 комментарий:

  1. ***Предостовляем услуги взлома***
    **И ddos атк сайтов**
    1.Социальные сети:
    >>> Тел. 8-960-233-75-37
    >>>E-mail: vzlom.alexei@gmail.com

    1.1 Вконтакте
    1.2 Mamba
    1.3 Одноклассники
    1.4 Facebook
    1.5 love
    1.6 По остальным соц.сетям узнавайте лично у нас
    &
    2.Почту:
    2.1 яндекс
    2.2 Маил
    2.3 Рамблер
    2.4 gmail
    2.5 Yahoo
    2.6 Hotmail
    2.7 ukr . net
    2.8 На счёт остальных узнавать лично у нас
    &
    3.Наши гарантии:
    3.1 Оплата только после доказательсв
    3.2 При взломе пароль не меняем, то есть жертва о взломе не узнает
    3.3 Полная анонимность
    &
    4. Оплата производится:
    4.1 Яндекс деньги
    4.2 Qiwi
    4.3 Webmoney
    4.4 Или просто на мобильный телефон
    &
    По всем вопросам писать:
    >>> Тел. 8-960-233-75-37
    >>>E-mail: vzlom.alexei@gmail.com
    с уважением Алексей

    ОтветитьУдалить