Ako môžeme vedieť, že správy odoslané prostredníctvom aplikácie WhatsApp sú skutočne šifrované a nedokáže ich nikto iný prečítať?

Prečo WhatApp nemôže použiť svoj šifrovací systém aj na dešifrovanie správ a prečítať ich obsah?

WhatsApp dokáže odosielať okrem textových správ aj hlasové správy, údaje o polohe, súbory, fotografie a hlasové hovory, a iné.

Pre tento text budeme uvažovať len o textových správach, rovnako však pracuje prenos všetkých typov obsahu cez WhatsApp.

Zašifrovaná správa odoslaná WhatsAppom sa skladá z troch častí. Pôvodná nešifrovaná správa, nazývaná plaintext, šifrovací algoritmus a kľúč. Tieto spolu vytvoria tajnú správu nazývanú ciphertext.

Kombinácia kľúča, algoritmu a tajnej správy zase vytvorí čitateľnú, nešifrovanú správu v telefóne príjemcu.

Tajnú správu, ciphertext, pokladáme pri prenose za verejnú, keďže inak by nemalo zmysel správy šifrovať vôbec a stačilo by poslať nešifrovanú správu bez réžie okolo utajenia.

WhatsApp na šifrovanie správ používa algoritmus Signal. Je open source, teda verejný a auditovateľný a to je práve podmienka dôveryhodného šifrovacieho algoritmu. Algoritmus je tak k dispozícii mnohým odborným autoritám, ktoré dokážu potvrdiť jeho skutočnú bezpečnosť prostredníctvom simulovaných útokov a auditu zdrojového kódu.

Teda všetko, čo chráni správu je kľúč. V prípade WhatsAppu používame rozdielne kľúče pre šifrovanie a dešifrovanie správy. Príjemca pošle svoj šifrovací kľúč a odosielateľ môže vytvárať správy, ktoré dešifruje jedine príjemca, vďaka svojmu dešifrovaciemu kľúču, ktorý sa nikde neodosiela. Tento systém sa nazýva end-to-end šifrovanie.

V praxi sa však musíme reálne pozrieť na WhatsApp a presvedčiť sa. Našťastie existuje autorita EFF, ktorá to urobila za nás. Hodnotenie je vysoké, nie je však možné prehliadať zdrojový kód aj verejnosťou. Neexistuje teda garancia, že aplikácia v telefóne robí konkrétne to, čo videl auditor a, že nevznikli nové chyby od auditu podnes.