Ako môžeme vedieť, že správy odoslané prostredníctvom aplikácie WhatsApp sú skutočne šifrované a nedokáže ich nikto iný prečítať?
Prečo WhatApp nemôže použiť svoj šifrovací systém aj na dešifrovanie správ a prečítať ich obsah?
WhatsApp dokáže odosielať okrem textových správ aj hlasové správy, údaje o polohe, súbory, fotografie a hlasové hovory, a iné.
Pre tento text budeme uvažovať len o textových správach, rovnako však pracuje prenos všetkých typov obsahu cez WhatsApp.
Spravujte GLPI s IT365! Objavte naše expertné služby pre implementáciu a podporu GLPI.
Kliknite pre viac informácií.
Zašifrovaná správa odoslaná WhatsAppom sa skladá z troch častí. Pôvodná nešifrovaná správa, nazývaná plaintext, šifrovací algoritmus a kľúč. Tieto spolu vytvoria tajnú správu nazývanú ciphertext.
Kombinácia kľúča, algoritmu a tajnej správy zase vytvorí čitateľnú, nešifrovanú správu v telefóne príjemcu.
Tajnú správu, ciphertext, pokladáme pri prenose za verejnú, keďže inak by nemalo zmysel správy šifrovať vôbec a stačilo by poslať nešifrovanú správu bez réžie okolo utajenia.
WhatsApp na šifrovanie správ používa algoritmus Signal. Je open source, teda verejný a auditovateľný a to je práve podmienka dôveryhodného šifrovacieho algoritmu. Algoritmus je tak k dispozícii mnohým odborným autoritám, ktoré dokážu potvrdiť jeho skutočnú bezpečnosť prostredníctvom simulovaných útokov a auditu zdrojového kódu.
Teda všetko, čo chráni správu je kľúč. V prípade WhatsAppu používame rozdielne kľúče pre šifrovanie a dešifrovanie správy. Príjemca pošle svoj šifrovací kľúč a odosielateľ môže vytvárať správy, ktoré dešifruje jedine príjemca, vďaka svojmu dešifrovaciemu kľúču, ktorý sa nikde neodosiela. Tento systém sa nazýva end-to-end šifrovanie.
V praxi sa však musíme reálne pozrieť na WhatsApp a presvedčiť sa. Našťastie existuje autorita EFF, ktorá to urobila za nás. Hodnotenie je vysoké, nie je však možné prehliadať zdrojový kód aj verejnosťou. Neexistuje teda garancia, že aplikácia v telefóne robí konkrétne to, čo videl auditor a, že nevznikli nové chyby od auditu podnes.