Hlavní navigace

Názor k článku Šifrování WhatsApp je lež, server umí klientům vyměnit klíče od Ondřej Caletka - Domnívám se, že titulek je zavádějící. Není pochyb...

Článek je starý, nové názory již nelze přidávat.

  • 16. 1. 2017 11:36

    Ondřej Caletka

    Domnívám se, že titulek je zavádějící. Není pochyb o tom, že WhatsApp skutečně šifruje end-to-end. Že je možné vyměnit klíče je taky spíše bezpečnostní výhoda. Jedinou chybu tedy vidím v tom, že výchozí součástí komunikace by měla být přinejmenším nerušivá notifikace, že došlo ke změně klíčů.

    Zarazilo mě tohle:
    Server totiž může klientům nařídit, aby zatím nedoručené zprávy znovu zašifrovaly jiným klíčem a poslaly mu je. Příjemce se o této změně navíc vůbec nedozví a odesílatel jen v případě, že v nastavení výslovně zapne zobrazování varování týkajících se šifrování.

    Jak se o tom může příjemce nedozvědět? Šifrovací klíč znají jen oba konce komunikace. Tedy pokud má být odposloucháváno, musí dojít ke změně klíčů na obou stranách.

    Ještě je tu ta zásadní výhoda, že provozovatel nejspíše neví, které klíče byly klientem ověřeny a které ne. Útočník si tedy nemůže dovolit odposlouchávat plošně, protože dřív nebo později narazí na někoho, kdo ověření prodělal a na odposlech přijde. Když pak takový případ medializuje, služba okamžitě ztratí důvěru, případně více lidí se naučí ověřovat své známé.