Hlavní navigace

Vlákno názorů k článku Šifrování WhatsApp je lež, server umí klientům vyměnit klíče od Ondřej Caletka - Domnívám se, že titulek je zavádějící. Není pochyb...

Článek je starý, nové názory již nelze přidávat.

  • 16. 1. 2017 11:36

    Ondřej Caletka

    Domnívám se, že titulek je zavádějící. Není pochyb o tom, že WhatsApp skutečně šifruje end-to-end. Že je možné vyměnit klíče je taky spíše bezpečnostní výhoda. Jedinou chybu tedy vidím v tom, že výchozí součástí komunikace by měla být přinejmenším nerušivá notifikace, že došlo ke změně klíčů.

    Zarazilo mě tohle:
    Server totiž může klientům nařídit, aby zatím nedoručené zprávy znovu zašifrovaly jiným klíčem a poslaly mu je. Příjemce se o této změně navíc vůbec nedozví a odesílatel jen v případě, že v nastavení výslovně zapne zobrazování varování týkajících se šifrování.

    Jak se o tom může příjemce nedozvědět? Šifrovací klíč znají jen oba konce komunikace. Tedy pokud má být odposloucháváno, musí dojít ke změně klíčů na obou stranách.

    Ještě je tu ta zásadní výhoda, že provozovatel nejspíše neví, které klíče byly klientem ověřeny a které ne. Útočník si tedy nemůže dovolit odposlouchávat plošně, protože dřív nebo později narazí na někoho, kdo ověření prodělal a na odposlech přijde. Když pak takový případ medializuje, služba okamžitě ztratí důvěru, případně více lidí se naučí ověřovat své známé.

  • 16. 1. 2017 12:12

    MaVi (neregistrovaný) 88.208.91.---

    Souhlasím, že titulek je zbytečně bulvární, stejně tak i zbytek článku si mele svou o bezpečnostní díře, bez potřeby vyrovnat se s faktem (je zmíněný i v reakci OWS), že by se naprostá většina uživatelů Whatsapp při zobrazení této notifikace nebyla schopná kvalifikovaně rozhodnout, co s tím.

    Tím, že se o tom klient nedozví je myšlen klient ve smyslu uživatele. Klientská aplikace se o tom dozví, jde jenom o to, jestli o tom informuje uživatele.

  • 16. 1. 2017 12:51

    Jiří Eischmann

    Hlavně WhatsApp by default ukládá historii chatu k nim na server a ta není šifrovaná na straně klienta. Aby měl člověk jistotu, že se k obsahu jeho chatu WhatsApp nedostane, musel by zajistit, aby nikdo z jeho kontaktů toto ukládání neměl zapnuté, což je prakticky nemožné. WhatsApp tedy může šifrovat end-to-end, ale výchozím nastavením (jak tím ukládáním historie, tak tím vyměněním klíčů bez toho, aniž by to uživatel věděl) je natolik oslabeno, že IMHO postrádá smysl.

  • 16. 1. 2017 13:01

    Ondřej Caletka

    Vážně je historie na serveru? Pokud se nepletu, tak historie je ve výchozím stavu pouze v klientovi a ten ji může na základě nastavení zálohovat do nějaké služby třetí strany, jako třeba Google Drive. Na tuto zálohu je jistě možné zaútočit, to je ale úplně jiná diskuze.

  • 16. 1. 2017 13:43

    Jiří Eischmann

    Já WhatsApp nepoužívám, takže z vlastní zkušenosti mluvit nemůžu, ale když jsem nastavoval WhatsApp na novém telefonu mojí máti, tak to automaticky obnovilo celou historii chatů a to si nikdy Google Drive nenastavovala nebo nepoužívala. Možná to umí nějak využít credentials k účtu Googlu, který už je v Androidu nastavený, a uživatele od nastavování zcela odstínit.
    Nicméně i kdyby k tomu používali Google Drive, podstata zůstává stejná: obsah chatů, který by se neměl díky end-to-end šifrování dostat do rukou nikomu jinému než vám a protistraně, je uložená na serveru někoho jiného a očividně nezašifrovaná klíčem, ke kterému máte přístup jenom vy. Na úplně novém klientovi to dokázalo obnovit zálohu, aniž by to vyžadovalo přenos nějakého klíče ze starého.

  • 16. 1. 2017 13:47

    fish (neregistrovaný) 81.90.243.---

    Konverzace se zálohuje do souborů na SD kartě(a odtud pak případně i do google cloudu), takže je pravděpodobné, že došlo k přenosu právě přes SD kartu.

  • 16. 1. 2017 16:37

    David (neregistrovaný) ---.dkm.cz

    Je to tak, že WhatsApp už nějakou dobu denně zálohuje chaty (výchozí nastavení) na Google Drive odkud se pak při instalaci na novém zařízení auto­maticky obnoví.

  • 17. 1. 2017 18:02

    wvv (neregistrovaný) ---.net.upcbroadband.cz

    Ale pokud je ukládá zašifrované původním klíčem, jehož privátní část nemáš, jak ty zálohy rozšifruješ?
    Takže asi ne Time.

  • 16. 1. 2017 12:51

    hugochavez (neregistrovaný) 110.77.221.---

    "Že je možné vyměnit klíče je taky spíše bezpečnostní výhoda"
    Muzu se zeptat odkdy je vyhoda ze server muze vymenit klice aniz by si toho vetsina useru vsimla jelikoz upozornovani na zmenu klicu je defaultne vypnuto??......a vy urcite znate to rceni "the slavery of default".....??

    Signal tohle resi blokovanim dokud nedojde k znovu-verifikaci obou koncu, coz je presne to co by clovek od neprustrelneho crypto-messengeru cekal, a lidi od Whatsapp dobre vedi o cem je rec viz. "when a contact's key changes, should WhatsApp require the user to manually verify the new key before continuing....?"
    Zrovna tak ty jejich zvasty o uniku metadat "The choice to make these notifications "blocking" would in some ways make things worse. That would leak information to the server about who has enabled safety number change notifications and who hasn't, effectively telling the server who it could MITM..."
    Co soudruhum od Fejsbagu brani aby plosne vynucovali notifikaci zmeny klicu u VSECH ZARIZENI??
    Kazdy user by se pak dozvedel ze se "s klicema neco stalo" a server soudruhu z FB by se dozvedel akorat ze nemuze zkouset ojebavat nikoho aniz by riskoval ze se na to prijde.
    Kdyz uz se soudruzi tak zarikavaj jak jim strasne jde o privacy usera.....
    Taktez obhajovat dodani odeslane zpravy za cenu jejiho "presifrovani" za zady klienta povazuju za naivni blabol v lepsim pripade, v tom horsim za zly umysl.
    Co jim brani uskladnit zpravu lokalne a pushnout ji 2hymu konci az po overeni novych klicu?? Skladovani zprav na lokalu dokud nebude protistrana online delaly uz prvni verze Skypu nekdy pred 10ti lety.
    A proc by vlastne musel probenout re-keying?
    Proc by si nemoh' user zazalohovat svuj par klicu +dejme tomu i seznam kontaktu lokalne na nejakou flasku ci druhej komp?
    Takhle to holt dopada kdyz se dobreho protokolu chytnou spatni lide.....
    Mimochodem trochu to pripomina Apple=ten ma taky plnou hubu end2end sifrovani jenze skladovani a distribuci klicu pro iMessage zajistuji vyhradne servery Applu. Proto si taky sef FBI James Commey jeste nedavno tak liboval jak se s Applem vyborne spolupracuje kdyz potrebujou vylovit nejake zpravy a proto nechape proc se najednou Apple stavi na zadni a nechce jim pomoct cracknout to sifrovani v iPhonu (San Bernardino shooter case)

  • 16. 1. 2017 13:16

    Ondřej Caletka

    Muzu se zeptat odkdy je vyhoda ze server muze vymenit klice aniz by si toho vetsina useru vsimla jelikoz upozornovani na zmenu klicu je defaultne vypnuto??

    Nevytrhávejte z kontextu. To, že upozornění na překlíčování by mělo být vidět jsem zmínil hned v následující větě. Možnost výměny klíče je rozhodně lepší, než pokud by byl klíč zabetonovaný navždy (například v SSH; byť tam jde často o jiný účel). Pak by stačilo ukrást mobil a následně rozšifrovávat veškerou budoucí komunikaci.

    Co jim brani uskladnit zpravu lokalne a pushnout ji 2hymu konci az po overeni novych klicu?? Skladovani zprav na lokalu dokud nebude protistrana online delaly uz prvni verze Skypu nekdy pred 10ti lety.

    Vždyť to přesně tak je. Jen s tím rozdílem, že tu není odsouhlasování od uživatele, protože se předpokládá, že uživatel souhlasí. Což je zcela opodstatněné s přihlédnutím k cílové skupině uživatelů (opět analogie s SSH: už jste někdy na dotaz o autenticitě serveru odpověděli jinak než „ano“?) Bdělý uživatel tedy v nejhorším případě vyzradí jedinou zprávu, následně zpozorní při notifikaci o změně klíčů a provede nové ověření protistrany.

  • 18. 1. 2017 14:45

    hugochavez (neregistrovaný) 110.77.221.---

    @Ondrej Caletka
    "Možnost výměny klíče je rozhodně lepší, než pokud by byl klíč zabetonovaný navždy (například v SSH; byť tam jde často o jiný účel). Pak by stačilo ukrást mobil a následně rozšifrovávat veškerou budoucí komunikaci."
    Ja bych to tak jednoznacne nevidel=pokud prijdu o mobil, je tam klic "zabetonovany navzdy"tak jako tak.Coz je sice vopruz na 2hou stranu to ma tu vyhodu ze me to DONUTI VYGENEROVAT NOVY PAR KLICU+PROVEST AUTENTIZACI S MYMI KONTAKTY ZNOVU=PROTOZE PROSTE VIM ZE DOSLO KE ZMENE a taky nechci aby posilali zpravy na "starej klic"
    Neriskuji tedy ze to za mymi zady bude delat server s pochybnym vysledkem/umyslem.

    Jiny scenar je kdyz si potrebuju "zachovat identitu"+prenest ji=napr. si poridim novejsi mobil, upgrade firmwaru apod. Pak je vyhodne pouze nahrat puvodni klice a vyhnout se tak nutnosti autentizovat 50 starych kontaktu znovu.

    "Co jim brani uskladnit zpravu lokalne a pushnout ji 2hymu konci az po overeni novych klicu??....
    .......Vždyť to přesně tak je."
    NE-tak to presne NENI. Aspon ne v pripade WA. Chovani ktere popisujete je chovani Signalu.
    U WA pokud potencialni prijemce zpravy provede re-keying a zacne tim padem provozovat novy par klicu, zatimco ve fronte cekaji pro nej zpravy zasifrovane jeho puvodnim STARYM VEREJNYM KLICEM, server to zjisti a vyzve odesilatele k zasifrovani starych zprav prijemcovo NOVYM KLICEM KTERY MU PODSTRCI-a to je ten problem! Pokud totiz prijemce NEPROVEDE AUTENTIZACI=ZTO­TOZNENI PRIJEMCE S TIMTO NOVYM KLICEM,NEMUZE SI BYT NIKDY JIST ZE TENTO VEREJNY KLIC SKUTECNE POCHAZI OD DEKLAROVANEHO PRIJEMCE A TUDIZ JE NEBEZPECNE JAKEKOLIV ZPRAVY ZNOVU POSILAT! Proste dokud neprobehne nova vzajemna autentizace obou koncu nelze vubec mluvit o end2end bezpecne komunikaci=presto nejede vlak a soudruzi od WA to muzou okecavat jak chtej.
    Navic tim ze uzivatele nejsou defaultne na nic upozornovani +bavime se o uzivatelich ala FB (ktere jste charakterizoval sam presne viz."..že tu není odsouhlasování od uživatele, protože se předpokládá, že uživatel souhlasí. Což je zcela opodstatněné s přihlédnutím k cílové skupině uživatelů " :-)
    tim si tato konstrukce koleduje o to ze se stane cilem najezdu hackeru, policajtu FBI a podobnych spolku....
    "Bdělý uživatel tedy v nejhorším případě vyzradí jedinou zprávu, následně zpozorní při notifikaci o změně klíčů a provede nové ověření protistrany"
    Opet mluvite o Signalu, WA zadne bdele uzivatele nema, a pokud si tech 5 chytrejsich nekde precetlo ze je dobry mit aktivovany notifikace a zaplo sito tak to tu miliardu dalsich BFU co nic netusej nezachrani.

    "už jste někdy na dotaz o autenticitě serveru odpověděli jinak než „ano"?"
    Pokud by se mi server prokazal klicem kde fingerprint nesedi s tim co ocekavam pak bych ho poslal do (_!_) protoze je jasny ze se nebavim se serverem ale s nakym chytrakem po ceste.

  • 18. 1. 2017 15:01

    hugochavez (neregistrovaný) 110.77.221.---

    BTW aby to nebylo tak jednoduchy tak pri generovani klicu se vyrabi udajne rovnou 100 paru "pro pripad potreby" jak probiha jejich sprava je (aspon pro me) ponekud nejasny. Na mobilu uzivatele predpokladam nelezi protoze pri ztrate mobilu by to jaksi pozbyvalo smyslu, cili lezi pravdepodobne na serveru DOUFEJME ze jako zasifrovanej kontejner (jinak je to security masakr :-))) a otazka je jak snadno se k obsahu da dostat.

  • 19. 1. 2017 22:09

    Ondřej Caletka

    Pokud při ztrátě mobilu jednoduše vygenerujete nový pár klíčů, pak zcela evidentně nejde o jeden klíč zabetonovaný navždy, ale o systém, který umožňuje výměnu klíčů. Což je přesně systém, který používá WhatsApp a Signal – vyzkoušel jsem obě aplikace a chovají se prakticky totožně. Obě je možné používat velmi bezpečně, Signal bezpečnost více vynucuje a to je možná důvod, proč na něm nejsou žádní lidé. Jedinou opravdovou slabinou je, že WhatsApp vyzradí potenciálnímu útočníkovi jednu zprávu v okamžiku, aniž by mohl odesílatel ovlivnit, jestli ji chce odeslat. I tak to ale bdělý uživatel ihned detekuje.

    Ani se Signalem nejste v bezpečí. Lidé si po něm píšou většinou v případech, kdy nejsou ve fyzické blízkosti, takže si klíče ověřit nemohou. Pokud se klíč změní, můžete změnu přijmout nebo odmítnout, nemáte žádnou šanci zkontrolovat, jestli je ten nový klíč správný, dokud ho neodsouhlasíte.

    Koho šifrování zajímá, ten si notifikace zapne. Třeba já je měl zapnuté vždy, dokonce jsem se až do vydání článku domníval, že jde o výchozí chování. Když mi WhatsApp napíše, že došlo k výměně klíčů, zpozorním, zeptám se na příčinu protistrany a naplánuju nové ověření. Po tomto článku jsem dokonce pár svých známých navštívil osobně a provedl ověření klíčů, což je docela zábava. Velká škoda je, že si ani klient nepamatuje, které klíče už byly ověřeny a které ne.

    Nemusí to tak dělat všichni a ani určitě nebudou. Spousta lidí bezpečnost neřeší a nepotřebuje. I pro ně je ale E2E šifrování bezpečnější, než kdyby tam nebylo. Ale samotný fakt, že tam možnost autentizace protistrany je, z toho dělá velmi bezpečný komunikátor. Pokud je navíc pravda, že servery nevědí, kdo má notifikace zapnuté a kdo ověřil klíče, jsou chráněni i uživatelé s laxním přístupem k bezpečnosti.

    Pro srovnání: Telegram, který tvrdí, že podporuje E2E šifrované privátní chaty, nenabízí vůbec žádnou možnost autentizace. Hangouts ani nenabízí E2E šifrování. Signal je jistě bezpečnější, ale zase na něm nejsou žádní lidé ;)

    Pokud by se mi server prokazal klicem kde fingerprint nesedi s tim co ocekavam pak bych ho poslal do (_!_) protoze je jasny ze se nebavim se serverem ale s nakym chytrakem po ceste.

    Spravoval jsem pár serverů, kam lezli i jiní uživatelé, a vždycky když jsem změnil SSH klíče, počítal jsem, kolik z nich se ozve s žádostí o ověření pravosti klíče. Ani jeden. Takže asi tak.

  • 23. 1. 2017 14:58

    hugochavez (neregistrovaný) ---.u.parknet.dk

    "Signal bezpečnost více vynucuje a to je možná důvod, proč na něm nejsou žádní lidé."
    Ne-duvodem je ze WA patri pod FB ktery ma urcite marketingove paky.
    Signal je gratis opensource ktery zadnou megavelkou socialni sit neprovozuje, takze se o nem vetsina beznych BFU nikdy nedozvi.

    "Jedinou opravdovou slabinou je, že WhatsApp vyzradí potenciálnímu útočníkovi jednu zprávu v okamžiku, aniž by mohl odesílatel ovlivnit, jestli ji chce odeslat. I tak to ale bdělý uživatel ihned detekuje."

    Ne-opravdovou slabinou je ze uzivatel WA vubec nikdy nezjisti ze se do jeho komunikace vlozil MitM, pokud necha vse tak jak je to nastaveno v defaultu. Vzhledem k tomu ze cilova skupina pro WA jsou uzivatele FB (se vsim co k tomu patri) je naprosto naivni se domnivat ze tito BFU se z vlastni iniciativy budou prehrabovat v nastaveni a zvysovat si ho na vyssi security.

    " I tak to ale bdělý uživatel ihned detekuje."
    Myslim ze pocet "bdelych uzivatelu" by se v teto cilovce dal spocitat na prstech 1 ruky.

    "Ani se Signalem nejste v bezpečí. Lidé si po něm píšou většinou v případech, kdy nejsou ve fyzické blízkosti, takže si klíče ověřit nemohou."
    Fyzicka blizkost neni samozrejme potreba- to je naprosty blabol. Kdyby to tak bylo vetsina Americanu by ten soft vubec nemohla pouzivat protoze vzdalenosti v USA jsou obrovske.
    Autentizaci je mozne provest vice zpusoby-viz tady je demo (@2h11m12s)
    https://twit.tv/shows/security-now/episodes/555
    Je dobry to skouknout cely od cca 1h48m kdy Gibson pomerne podrobne probira Signal protokol a jeho pouziti ve WA -je zajimavy ze video je z dubna 2016 a uz tenkrat se chytal za hlavu proc jsou notifikace defaultne vypnute+probira tam jake z toho plynou dusledky pro bezpecnost celeho systemu ;o)

    Zaroven tam vysvetluje k cemu slouzi onech 100 jednorazovych paru klicu cosi kazdej uzivatel vygeneruje kdyz se zahlasi do systemu....... je to celkem genialni.

    "Spousta lidí bezpečnost neřeší a nepotřebuje"
    To ze spousta lidi bezpecnost neresi je bohuzel pravda-muze to byt ale take tim ze nevedi jak, nee kazdy je dostatecne technicky zdatny. To ale neznamena ze nema narok na ochranu soukromi (notabene mu pravo na soukromi priznava i Ustava) a na bezpecnost sve privatni komunikace. A tu by mu prave meli zajistit ti kdoz jsou technicky zdatnejsi = napr WA. Obzvlast kdyz do sveta vytrubujou jak jim desne jde o privacy uzivatele.....

    To, ze by lidi "nepotrebovali" bezpecnost je nesmysl- Snowden kdysi na obdobny argument (trefne) odpovedel:
    je to jako rict ze lidi nepotrebujou freedom of speech protoze momentalne nemaji co rict.
    Je potreba si uvedomit ze prava ktera maji plosne lidi dneska, zdaleka nemeli vzdycky a trvalo mnoho let a potoky krve nez se k onem soucasnym pravum probojovali viz. zrovnopravneni lidi ruzne barvy pleti aka odstraneni otrokarstvi, zrovnopravneni zen aka priznani hlasovaciho prava, odstraneni monarchie aka obecne zrovnopravneni lidi aka zavedeni demokracie atd.
    Je velmi snadne se zrici svych prav/prijit o ne ale je velmi tezke je pozdeji ziskat zpet.
    Urcite se shodnem' na tom ze v dnesnim svete je tendence opacna = zvolna orezavat zakladni lidska prava hezky salamovou metodou samozrejme "pro vase dobro a vase bezpeci" viz "kdo nic spatneho nedela nema prece co skryvat"

    "Pokud je navíc pravda, že servery nevědí, kdo má notifikace zapnuté a kdo ověřil klíče, jsou chráněni i uživatelé s laxním přístupem k bezpečnosti."

    To teda opravdu netusim jak?? Tohle je FBI a podobnym spolkum uplne u (_!_)
    Ti kdyz potrebuji dosahnout sveho cile tak je jim osud dotcene firmy naprosto sumak- viz Lavabit anebo posledni utok na Apple. Pokud budou citit ze se tak snadneji dostanou ke svemu cili, klidne provedou "kobercovy nalet" a jestli se na to pak prijde anebo to odradi uzivatele sluzby vubec resit nebudou......

    "Telegram, který tvrdí, že podporuje E2E šifrované privátní chaty, nenabízí vůbec žádnou možnost autentizace. Hangouts ani nenabízí E2E šifrování."

    O duvod vic Telegram nepouzivat.
    Hangouts je Google- tam snad ani nikdo nic neocekava ne?

    "Spravoval jsem pár serverů, kam lezli i jiní uživatelé, a vždycky když jsem změnil SSH klíče, počítal jsem, kolik z nich se ozve s žádostí o ověření pravosti klíče. Ani jeden. Takže asi tak."

    Tak to je tristni. Tak to u tech serveru muze sedet sousedovic Zofka.
    Za co tedy ty admini dostavaj zold mi neni jasny.
    (nebyly to nakonec servery emericke DNC?? to by totiz ledacos vysvetlovalo :o))))))))

  • 17. 1. 2017 15:43

    Pavel (neregistrovaný) 2001:420:4517:----:----:----:----:----

    "...nerušivá notifikace, že došlo ke změně klíčů."

    Coze, nerusiva notifikace? Pokud je notifikace zadna nebo nerusiva, je to to same, jako kdyz by bylo pouzito client-server sifrovani, ne end-to-end. Nemoznost potichu vymenit klice za jine je prave to, co zajistuje end-to-end bezpecnost! Jedine spravne chovani je viditelne indikovat ze konverzace neni zabezpecena, dokud nedojde k overeni klicu bezpecnym kanalem. To bude i BFU jasne a klice overi, pokud mu o to pujde.

  • 19. 1. 2017 22:19

    Ondřej Caletka

    Rušivá notifikace stylu Signal: „Došlo k výměně klíče, chcete se dál bavit? Ano/Ne“ má naprosto stejný účinek, jako nerušivá notifikace WhatsApp „Došlo ke změně klíče, podrobnosti zobrazíte klepnutím“
    Přirovnávat to k Hop-by-Hop zabezpečení je hodně velká zkratka, když v případě hop-by-hop může provozovatel služby číst všechno pořád a v tomto případě tak smí činit pouze od výměny klíče do ověření totožnosti, o kterém neví, kdy a zda k němu dojde. Pokud to bude dělat, dřív nebo později se vyzradí, služba okamžitě ztratí důvěru a uživatelé se přesunou ke konkurenci. To mu za to rozhodně nestojí.

    Kdo ověřovat nechce, nebude to dělat, ani když po něm budete chtít napsat verzálkami ANO při stoji na jedné noze, kdo ověřovat chce, tomu stačí jednoduché upozornění, že se klíče změnily a je třeba ověřit znovu.

  • 23. 1. 2017 13:52

    hugochavez (neregistrovaný) ---.u.parknet.dk

    "Rušivá notifikace stylu Signal: „Došlo k výměně klíče, chcete se dál bavit? Ano/Ne“ má naprosto stejný účinek, jako nerušivá notifikace WhatsApp „Došlo ke změně klíče, podrobnosti zobrazíte klepnutím“"

    Nechapu proc neustale vychazite z (falesne) premisy ze uzivatele WA budou nejakym zpusobem upozorneni...­........celej ten clanek/problem se toci kolem toho ze "lze vynutit znovu-vygenerovani klicu aniz by si toho uzivatele vsimli"

    A kdyz uz resime jakou hlasku by bylo optimalni userum naservirovat co treba:
    "vase protistrana zmenila identitu-dalsi pokracovani ve vasi vzajemne konverzaci neni bezpecne a muze byt odposlechnuto nekym dalsim-chcete provest novou autentizaci protistrany?"

    A zadratovat to do klienta v defaultu- myslim ze tohle by nadzvedlo uz o dost vic BFU......