Praėjusią savaitę WhatsApp Tai patenka į antraštes, ir ne be reikalo. Aš asmeniškai niekada netikėjau, kad pokalbiai yra užšifruoti nuo galo iki galo. Įdomu: „Jei taip yra, kaip jie uždirba pinigus?“ Atsakymas, regis, yra tas, kad bet kuris „Meta“ darbuotojas turi prieigą prie mūsų pokalbių. Apie tai buvo pranešta šią savaitę, ir aš toliau reikalausiu, kad bandytume tai naudoti. RCS dabar pasiekiamas „Android“ ir „iOS“ sistemose.
Tuo pačiu metu bendrovė tvirtina, kad Niekas už pokalbio ribų, net Meta, negali skaityti turinio žinučių. Ši įtampa tarp oficialios versijos ir išorinių kaltinimų pavertė „WhatsApp“ šifravimą vienu opiausių klausimų šioje srityje. duomenų apsauga ir skaitmeninis pasitikėjimas milijonams Europos vartotojų.
Kokį ištisinį šifravimą žada „WhatsApp“?
„WhatsApp“ pristatė šifravimas nuo galo iki galo (E2EE) kaip esminė jos DNR dalis. Pasak pačios platformos, ši sistema apsaugo žinutės, nuotraukos, vaizdo įrašai, balso užrašai, dokumentai, skambučiai, buvimo vieta realiuoju laiku ir būsenos atnaujinimaikad turinį galėtų pasiekti tik siuntėjas ir gavėjas.
Programėlėje paaiškinama, kad kiekvienas pranešimas yra apsaugotas „spyna“ ir vienas raktas Šie raktai generuojami įrenginiuose, o ne „Meta“ serveriuose. Jie nuolat keičiasi ir yra tvarkomi automatiškai, todėl vartotojui nereikia aktyvuoti jokių specialių parinkčių, kad apsaugotų savo pokalbius.
Siekdama sustiprinti pasitikėjimą, „WhatsApp“ primena vartotojams, kad jos šifravimo sistema priklauso nuo signalo protokolasŠis protokolas yra plačiai pripažintas kibernetinio saugumo pasaulyje. Tačiau jis taikomas ne atvirojo kodo programoje, o tai reiškia, kad Išorės ekspertai gali atlikti tik ribotą auditą kaip tas šifravimas buvo įgyvendintas praktiškai.
Kaip vartotojas gali sužinoti, ar pokalbis yra užšifruotas?
Pati „WhatsApp“ savo pagalbos centre išsamiai nurodo, kad kiekvienas užšifruotas pokalbis turi konkretus saugos kodasŠis identifikatorius naudojamas norint patikrinti, ar Skambučiai ir žinutės yra efektyviai apsaugotos su E2EE tarp šių dviejų konkrečių įrenginių.
Tą kodą galima peržiūrėti tokiu formatu QR kodas arba 60 skaitmenų eilutė Kontaktinės informacijos skiltyje „Šifravimas“. Palyginus šiuos duomenis tarp pokalbio dalyvių, patvirtinama, kad abu naudoja tuos pačius raktus ir kad turinys nebuvo persiųstas trečiosioms šalims.
Praktiškai patvirtinimas apima pokalbio atidarymą, kontakto arba grupės informacijos ekrano atidarymą ir bakstelėjimą "Šifravimas"Po kelių sekundžių programa automatiškai parodo šifravimą patvirtinantį pranešimą ir siūlo nuskaityti QR kodą arba patikrinti 60 skaitmenų atitikimą abiejuose įrenginiuose.
Kolektyvinis ieškinys, ginčijantis „WhatsApp“ šifravimą
Nepaisant šio oficialaus pasisakymo, kolektyvinis ieškinys, pateiktas San Francisko apygardos teisme Tai vėl sukėlė įtarimų dėl to, kaip iš tikrųjų veikia šifravimas. Teismo dokumente teigiama, kad Meta saugo, analizuoja ir gali pasiekti pranešimus kuriuos vartotojai siunčia per „WhatsApp“, nors platforma reklamuojama kaip visiškai privati paslauga.
Ieškovų grupėje yra teisininkų ir organizacijų iš Australija, Brazilija, Indija, Meksika ir Pietų AfrikaSavo kaltinimuose jie teigia, kad tiek ištisinė šifravimo sistema, tiek kitos programėlės saugumo priemonės yra saugios. "Jie nebūtų tokie veiksmingi, kaip reklamuojama." ir kad bendrovė klaidino visuomenę, pranešdama apie galimą apsaugos lygį.
Dokumentuose teigiama, kad kaltinimas taip pat grindžiamas tariamų asmenų parodymais. vidiniai pranešėjai kuris būtų aprašęs procesus, kuriais „Meta“ darbuotojai, pateikę prašymą įmonės vidinėje sistemoje, galėtų pasiekti tam tikrų pokalbių turinį.
„Meta“ ir „WhatsApp“ atsakas: „tikras“ šifravimas ir „absurdiški“ kaltinimai
Įmonės reakcija buvo vienareikšmė. Andy Stone'as, „WhatsApp“ ir „Meta“ atstovas spaudaiStone'as ieškinį pavadino „nerimtu“ ir pareiškė, kad bendrovė sieks sankcijų jį pateikusiems teisininkams. Savo pareiškimuose žiniasklaidos priemonėms, tokioms kaip „Bloomberg“, Stone'as tvirtina, kad „Bet koks teiginys, kad „WhatsApp“ žinutės nėra užšifruotos, yra kategoriškai klaidingas ir absurdiškas.“.
Meta tvirtina, kad nei „WhatsApp“ darbuotojų, nei patronuojančios bendrovės darbuotojų Jie turi būdą nuskaityti užšifruotą vartotojų ryšį, o „E2EE“ sistema, pagrįsta „Signal“ protokolu, veikia jau beveik dešimtmetį. Taip pat pažymima, kad vyriausybės, prašančios prieigos prie turinio Jie susiduria su ta pačia technine kliūtimi kaip ir kitos trečiosios šalys: šifravimo dizainas neleistų pristatyti pranešimų, net ir gavus oficialius prašymus.
„Meta“ generalinis direktorius Markas Zuckerbergas viešai gynė šį modelį, teigdamas, kad „Meta serveriai niekada nemato turinio“ žinučių, kai du žmonės kalbasi „WhatsApp“. Bendrovės nuomone, kaltinimai, kad šifravimas tėra fasadas, yra visiškai nepagrįsti.
Nuotėkiai ir buvę rangovai kursto abejones
Be teisinio spaudimo, yra ir pareiškimų, Buvę rangovai siejami su „WhatsApp“ turinio moderavimukurie buvo Jungtinių Valstijų teisėsaugos institucijų tyrimų objektas. Remiantis „Bloomberg“ gauta ataskaita, šie darbuotojai tariamai teigė, kad kai kurie „Meta“ darbuotojai plati prieiga prie naudotojų pranešimų paraiškos.
Liudijimai gauti iš žmonių, kurie dirbo „WhatsApp“ per išorės konsultavimo įmonėsir kad jie Prekybos departamento tyrėjui pasakė, jog jų darbovietėse yra pareigybių, suteikiančių „neribotą prieigą“ prie pokalbių kambarių. Ši informacija buvo surinkta vidinėje ataskaitoje pavadinimu „Operacija užšifruota nuo šaltinio“, datuota liepos mėn. ir aprašyta kaip vykdomo tyrimo dalis.
Tačiau pats Pramonės ir saugos biuras JAV prekybos departamentas vėliau paneigė šiuos teiginius, pareikšdamas, kad 2013 m. Jis netiria „WhatsApp“ ar „Meta“. dėl tariamų eksporto įstatymų pažeidimų ir kad vieno iš jos atstovų parengta ataskaita nepriklausė jos kompetencijai.
Savo ruožtu „Meta“ atsakė, kad „Tai, ką teigia šie asmenys, neįmanoma“ Kadangi nei bendrovė, nei jos rangovai neturi prieigos prie užšifruotų pranešimų turinio, bendrovė tvirtina, kad ir toliau atmes kaltinimus, įskaitant ir tuos, kuriuos pateikė kolektyvinį ieškinį nagrinėjanti advokatų kontora.
Kritika iš konkurso: „Telegram“ ir kiti balsai
Diskusijos apie „WhatsApp“ šifravimą taip pat buvo panaudotos tiesioginiai konkurentai kurjerių rinkojeKaip Laidas„Telegram“ generalinis direktorius Pavelas Durovas atvirai suabejojo „Meta“ programėlės saugumu, teigdamas, kad aklas pasitikėjimas jos apsaugos sistema, jo nuomone, yra... „nepriimtina“.
Durovas teigia, kad „Telegram“ turi išanalizavo „WhatsApp“ šifravimo sistemą ir kad to proceso metu jie būtų aptikę galimi pažeidžiamumaiPasak jo pasakojimo, „WhatsApp“ dar niekada nebuvo tokia saugi, kaip teigiama oficialiuose „Meta“ pranešimuose milijardams vartotojų.
„Telegram“ įkūrėjo kritika pasirodė itin jautriu momentu, pačiame įvykių įkarštyje. kolektyvinis ieškinys Jungtinėse Valstijose prieš „Meta“ dėl tariamos prieigos prie tariamai užšifruotų pranešimų. „WhatsApp“ tiesiog dar kartą patvirtino, kad naudoja „Signal“ protokolą ir kad Saugos raktai yra įrenginiuosene serveriuose, todėl bendrovė negalėtų perskaityti pokalbių turinio, net jei norėtų.
Šifravimo ekspertų požiūris
Šių kaltinimų metu kai kurie kriptografijos specialistai bandė sumažinti įtampą. Profesorius Matthew Green, kriptografas Johnso Hopkinso universiteteSavo tinklaraštyje jis pažymėjo, kad „WhatsApp“ šifravimas pagrįstas „Signal“ protokolu ir kad nors „Meta“ programėlė nėra atvirojo kodo, yra Techniniai būdai, kaip nustatyti, ar turinys iš tikrųjų yra šifruojamas.
Greenas atkreipia dėmesį, kad jei „WhatsApp“ sistemingai skaitytų žinutes, saugumo tyrimų bendruomenė galiausiai rastų įrodymų programos elgesyje ar srauto analizėje. Nepaisant to, pabrėžiama, kad negalėjimas peržiūrėti viso kodo labai apsunkina nepriklausomą šifravimo taikymo patikrinimą, kaip teigia bendrovė.
Tuo pačiu metu įvairios privatumo gynimo grupės, pavyzdžiui, tos, kurios skatina tokias iniciatyvas kaip „Jau užšifruokite“Jie daro spaudimą didelėms įmonėms išplėsti ištisinį šifravimą į daugiau paslaugų ir naudoti jį pagal numatytuosius nustatymus. Kalbant apie „WhatsApp“, šios grupės reikalauja, kad... Užšifruotos E2EE atsarginės kopijos yra įjungtos pagal numatytuosius nustatymus ir nepriklauso nuo vartotojo rankinio konfigūravimo.
O kaip atsarginės kopijos: silpnoji sistemos vieta
Vienas aktualiausių ir galbūt mažiausiai žinomų niuansų yra skirtumas tarp šifravimo siunčiami pranešimai ir apsauga debesies atsarginės kopijosNors „WhatsApp“ pokalbiai ir skambučiai yra šifruojami, atsarginės kopijos saugomos „Google“ diske arba „iCloud“. Jis ne visada buvo apsaugotas E2EE pagal nutylėjimą
„WhatsApp“ jau kurį laiką siūlo aktyvavimo parinktį. nuo galo iki galo užšifruotos atsarginės kopijoskad nei pati programa, nei debesijos paslaugų teikėjai negalėtų pasiekti jos turinio. Tačiau šiai funkcijai reikalingas vartotojo susikurtas turinys slaptažodis arba 64 skaitmenų raktas O jei jis pamirštamas ar pametamas, išsaugotų duomenų atkurti nebeįmanoma.
Štai kodėl kai kurie žmonės ir įmonės renkasi Neįjungti E2EE šifravimo atsarginėse kopijoseJie teigia, kad tai palengvina pokalbių atkūrimą keičiant telefonus, kelių platformų perkėlimo įrankių naudojimą arba tam tikrų archyvavimo ir audito įsipareigojimų laikymąsi, tačiau tuo pačiu metu reikia pasikliauti vien debesijos paslaugų teikėjo saugumu.
Kodėl kai kurie vartotojai išjungia atsarginių kopijų šifravimą?
Sprendimas atsisakyti E2EE šifravimo atsarginėse kopijose dažnai priimamas dėl praktinių priežasčių. Jei kas nors įjungia tą sistemą ir tada Pamiršote slaptažodį arba pametėte 64 skaitmenų raktąAtsarginės kopijos atkurti nebeįmanoma. „WhatsApp“ nesaugo šių raktų, todėl negali padėti jų atkurti.
Verslo pasaulyje atsarginių kopijų šifravimo išjungimas gali būti laikomas būdu saugi prieiga prie pokalbių istorijų Teisinių ar reglamentų atitikties tikslais, ypač sektoriuose, kuriems taikomi griežti dokumentacijos reikalavimai. Šiame kontekste prioritetas tampa garantuotas duomenų atkūrimas, net jei tai reiškia, kad reikia daryti prielaidą, jog didesnė rizika konfidencialumo požiūriu.
Taip pat yra vartotojų, kurie po kančios klaidos ar blokavimai Atkurdami visiškai užšifruotą atsarginę kopiją, daugelis vartotojų pasirenka grįžti prie standartinės debesies atsarginių kopijų sistemos. Trečiųjų šalių įrankiai, leidžiantys vartotojams perkelti arba išgauti „WhatsApp“ duomenis tarp platformų, paprastai veikia tik su nešifruotomis atsarginėmis kopijomis, todėl daugelis verčia... laikinai išjungti tą papildomą saugumo lygį.
Rizika ir teisinis kontekstas Europoje ir Ispanijoje
Išjungus visą šifravimą atsarginėse kopijose, praktiškai informacija yra apsaugota tik tokių įmonių priemonėmis kaip Google arba AppleJei kas nors prisijungia prie debesies paskyros, pavyzdžiui, per sukčiavimas sukčiavimu arba kredencialų vagystė– galėtų gauti „WhatsApp“ atsarginės kopijos failą ir išanalizuoti jo turinį, jei jis nėra užšifruotas.
Teisiniu požiūriu, Europos sistema, kurioje Bendrasis duomenų apsaugos reglamentas (RGPD) Kaip nuoroda, jame raginama naudoti patikimas saugumo priemones, įskaitant šifravimą, siekiant apsaugoti asmens duomenis. Įmonėms, kurios Ispanijoje ar kitose ES šalyse naudoja „WhatsApp“ profesiniais tikslais, saugoti pokalbių istorijas be papildomo šifravimo Jei tvarkomi jautrūs klientų duomenys, gali kilti atitikties problemų.
Be to, šifravimas turi įtakos santykiams su saugumo pajėgos ir įstaigosJei atsarginės kopijos yra šifruojamos nuo galo iki galo ir tik vartotojas turi raktą, nei debesijos paslaugų teikėjas, nei „WhatsApp“ negali perduoti turinio teismo nutarties atveju. Jei ne, technologijų įmonės gali būti priverstos... palengvinti prieigą prie tų atsarginių kopijų kai teismai tai įpareigoja.
Ši privatumo, visuomenės saugumo ir teisinių įsipareigojimų pusiausvyra yra ypač subtili Europoje, kur reguliariai diskutuojama dėl pasiūlymų, kuriais siekiama... apriboti arba apeiti šifravimą tam tikromis aplinkybėmis. Atsižvelgiant į tai, „WhatsApp“ atvejis yra atidžiai tiriamas, atsižvelgiant į jos didžiulę svarbą kasdieniame milijonų vartotojų Ispanijoje bendravime.
Kaip patikrinti ir valdyti šifravimą programoje
Kasdien vartotojas gali atlikti kelis paprastus patikrinimus, kad geriau suprasti, kas ir kaip yra saugomaKiekviename individualiame ar grupiniame pokalbyje galima pasiekti pokalbio informaciją spustelėjus atitinkamą skyrių "Šifravimas" ir patikrinkite saugos kodą naudodami QR kodą arba 60 skaitmenų eilutę. Tai patvirtina, kad duomenų mainai tarp šių dviejų įrenginių yra šifruojami nuo galo iki galo.
Kalbant apie atsargines kopijas, atsarginių kopijų skyrių galite pasiekti programos nustatymuose – tiek „Android“, tiek „iPhone“ įrenginiuose. „Pokalbio atsarginė kopija“ ir pažiūrėkite, ar yra galimybė „nuo galo iki galo užšifruota atsarginė kopija“ Jis aktyvuotas. Jei taip, norint jį išjungti arba modifikuoti, reikės slaptažodžio arba 64 skaitmenų rakto; kitu atveju vartotojas gali sukonfigūruoti šią apsaugą vadovaudamasis „WhatsApp“ siūlomu vedliu.
Net ir atsižvelgiant į visas šias savybes, dabartinės diskusijos mums primena, kad šifravimas nėra vien techninis klausimas, bet ir pasitikėjimas tuo, kaip įmonės įgyvendina ir tesi savo pažadusNepaisant ieškinių Jungtinėse Valstijose, buvusių rangovų nutekintos informacijos, konkurentų kritikos ir Europos reguliavimo institucijų akylo dėmesio, „WhatsApp“ šifravimo ateitis ir jo, kaip tikrai privačios priemonės, statusas išliks pagrindiniu klausimu vartotojams, saugumo ekspertams ir valdžios institucijoms Ispanijoje ir visoje Europoje.
