Četiri savjeta za sve koji su zabrinuti zbog curenja ličnih podataka.
WhatsApp enkripcija vas neće spasiti osim ako ne slijedite ova pravila
Alexey ZenkovAli prije nego počnete širiti svoje planove za rušenje globalnog kapitalizma putem WhatsApp-a, imajte na umu da je presretanje poruka dok su u tranzitu samo jedan od načina da vas špijunirate, i to prilično malo vjerojatan. Sama enkripcija nije od velike koristi osim ako ne slijedite niže navedena pravila.
Ne čuvate poruke na svom telefonu
Ako zaista želite da niko osim vas ne čita vaše poruke, izbrišite ih odmah nakon što ih pročitate. Ako neko preuzme vaš telefon (ukrade ga, na primjer) i može ga otključati - što je FBI nedavno uspio iPhone strelica iz San Bernardina - imat će pristup svemu što je pohranjeno u memoriji. Neki instant messengeri, na primjer, imaju funkciju "samouništenja", kada se aktiviraju, poruke se automatski brišu nakon određenog vremenskog perioda. WhatsApp još nema takvu funkciju. (S druge strane, u Telegramu end-to-end enkripcija ne radi prema zadanim postavkama; morate je posebno omogućiti.)
Ne spremate poruke u oblak
WhatsApp ne sprema vaše razgovore na svoje servere. Ali, na primjer, možete uštedjeti rezervna kopija poruke na iCloud, cloud usluga. Kada informacije stignu u oblak, vlada ih može presresti.
Signal je aplikacija popularna među zagovornicima privatnosti. Koristi istu tehnologiju šifriranja kao WhatsApp i backup se ne dešava u oblaku.
Bravo WhatsApp, ali nisam spreman da odustanem od Signala. Bojim se da su mnogi moji WhatsApp prijatelji omogućili nešifrovane sigurnosne kopije u oblaku.
Christopher Soghoian (@csoghoian) 5. aprila 2016
Sjajan posao WhatsApp, ali još nisam spreman odustati od Signala. Pretpostavljam da mnogi moji prijatelji WhatsApp imaju omogućeno kopiranje u oblak.
Christopher Soghoian (@csoghoian)
Šifriranje poruka u Whatsapp-u - šta je to i zašto je potrebno? Ovo pitanje postavljaju mnogi korisnici ove aplikacije, koja je već postala popularna. O tome i još mnogo toga će se dalje raspravljati.
Zašto je potrebna enkripcija?
Zašto je vlasnik WhatsAppa omogućio enkripciju? Ne zna se pouzdano do kakvog je sukoba došlo između sigurnosnih snaga zemalja, njihovih udruženja i menadžmenta kompanije, ali sada Whatsapp u potpunosti šifrira sve podatke koje šalju korisnici. Ispostavilo se da samo pošiljalac i primalac poruka mogu vidjeti njihov sadržaj. To uključuje:
- Tekstualna poruka, uključujući emotikone.
- Slika.
- Video.
- Fotografija.
- Kompilirani (mješoviti) fajlovi.
- Poziv (audio poruka).
Zapravo, bilo je potrebno omogućiti enkripciju kako bi se oduprli sajber kriminalcima i drugim korisnicima, fizičkim i pravna lica ko može imati pristup ovoj vrsti podataka. Čak i za samu kompaniju, prepiska pojedinačnih korisnika sada je potpuno zatvorena za pregled. Sviđalo vam se to ili ne, kada komunicirate na ovoj mreži koristeći grupne razgovore, razmjenjivat ćete podatke sa zaštićenim sadržajima koji se ne mogu ukloniti.
Jan Koum, jedan od vlasnika WhatsApp-a, smatra da podaci koje korisnici šalju jedni drugima ne mogu koristiti ili pregledati od strane drugih. Zbog toga je potrebna enkripcija u Whatsapp-u. Zove se "end-to-end enkripcija" i izvodi se prema zadanim postavkama. Dešifrovanje se takođe automatski izvodi na uređaju primaoca poruke.
Šta je end-to-end enkripcija?
Ako koristite WhatsApp za pregovore najnovija verzija Whatsapp programi iOS, sve poruke koje se šalju sagovorniku moraju posebno šifrirati softver. To se zove "end-to-end enkripcija". Činjenica njegovog prisustva daje stopostotnu garanciju povjerljivosti svakom korisniku. Jer ovaj tip Zaštita informacija je stalno aktivirana, nemoguće ju je onemogućiti i nije potrebna.
Svaki put kada pošaljete poruku bilo koje veličine i sadržaja, ona se posebno šifrira (to znači da ste zaštićeni), tako da ima svoj ključ. Posjeduje je samo osoba koja je poslala poruku, kao i primalac ove informacije.
Kodiranje možete provjeriti na jedan od sljedećih načina:
Posebno je lako napraviti drugu opciju provjere ako se vi i vaš sagovornik možete sresti u stvarnom životu, odnosno geografski ste blizu. U ovom slučaju, neko od vas može skenirati QR kod sa uređaja prijatelja (nije bitno da li je Android ili neki drugi uređaj) sa kojeg koristi WhatsApp ili vizuelno uporediti svih šezdeset cifara.
Imajte na umu da čak 60 cifara QR koda nije cijela „šifriranje“, već samo njen dio. Skrivanje dijela koda od svih je dodatna mjera koja će osigurati sigurnost komunikacije i razmjene informacija.
Ako se kod ne podudara, to znači da ste greškom skenirali kod drugog chata ili drugog korisnika. Ovo takođe može ukazivati zastarjela verzija programe. Na istu stvar ukazuje i poruka o nedostatku enkripcije koja se pojavljuje kada pokušate saznati ovaj kod.
Gore opisani proces naziva se “Verifikacija sigurnosnog koda”, ali to nije obavezna procedura.
Također možete provjeriti usklađenost bilo kojeg svog ćaskanja s ovim novim sigurnosnim standardima. Da biste to uradili, morate otići na željeni kontakt u programu kliknite na “Prikaži kontakt”, odaberite “Šifriranje”. Nakon uspješne verifikacije, možete poslati glasovne poruke, tekstualne poruke koje sadrže emotikone i sve druge informacije. Sada ne morate da brinete. Ne plašite se bilo kakvih spoljnih upada tokom komunikacije!
Kako funkcionira šifriranje?
Ova vrsta zaštite poslanih podataka funkcionira na sljedeći način:
- Korisnik A (tačnije, njegov uređaj) traži javni ključ od servera kompanije koja je vlasnik programa za slanje poruka.
- Poruka se šalje od A do B, prethodno kodirana ovim ključem.
- Uređaj korisnika B dešifruje poruku po prijemu.
Dakle, unutra savremeni svet ispunjeni informacijama, korisnim i štetnim ili netačnim, potrebno je zaštititi podatke od neovlaštenih utjecaja i krađe. Kada koristite WhatsApp, takva zaštita šifriranja može se izvršiti automatski.
U opisu WhatsApp messengera stoji da radi na principu end-to-end enkripcije. Ova karakteristika se smatra jednom od glavnih prednosti programa. Ali ne razumiju svi korisnici što se krije iza takvog imena. Za mnoge ljude, logično pitanje će biti: „Šta je WhatsApp end-to-end enkripcija?“
Posebnosti
U klasičnim messengerima, sljedeća shema korespondencije između korisnika je sljedeća: poruka se šalje sa prvog uređaja na server programera, a odatle se isporučuje primaocu. U modernim aplikacijama, koje uključuju WhatsApp, malo je izmijenjen.
Sada je poruka šifrovana na pametnom telefonu prije nego što se pošalje. Na server ne dolazi u obliku otkucanog teksta, već u obliku haotičnih simbola za ljude. Odatle se poruka preusmjerava na pametni telefon ili tablet primatelja, gdje se dešifruje. Ključ za šifriranje je niz znakova koji definira "abecedu" šifre. Ovo je neki oblik abecede. Ali u slučaju WhatsApp-a, ključ je jedinstven za svaki uređaj. Tačnije, postoje dva od njih: prvi je odgovoran za pretvaranje teksta prilikom slanja, drugi - prilikom primanja.
Takav sistem je moguće hakirati samo ako znate ovaj ključ za šifriranje WhatsApp-a. I snima se direktno na korisnikov uređaj. Ovo je savremena zaštita u glasniku.
Postavljanje end-to-end enkripcije
Programeri WhatsAppa ne predviđaju onemogućavanje end-to-end enkripcije. To se čak spominje i na službenoj web stranici aplikacije. Ova odluka je sasvim logična, jer je sigurnost i sigurnost ličnih podataka oduvijek bila važna korisnicima. A ako deaktivirate ovu funkciju, sigurnost će nestati.
Međutim, vrijedi napomenuti da nije sve tako kategorično. Ako tražite kako ukloniti end-to-end enkripciju u WhatsApp-u, onda postoji takav način. Dovoljno je instalirati staru verziju WhatsApp-a na svoj pametni telefon ili tablet, koji nije imao ovu funkciju.
Ali u ovom slučaju, niko ne može garantovati da stranci neće ući u vašu prepisku. Treba uzeti u obzir da za ugradnju stare verzije program će morati da onemogući zaštitu na mobilnom uređaju.
U slučaju Androida, sve je jednostavno, samo aktivirajte mod „Instaliraj iz nepoznatih izvora“ u meniju postavki programera. Ali za iOS će vam trebati jailbreak - opcija hakovanja - što može dovesti do toga kvar iPhonea ili iPad.
Pažnja: uključeno službena stranica WhatsApp-u nedostaje odjeljak u kojem možete pronaći stare verzije. To znači da ćete morati preuzeti aplikaciju sa resursa trećih strana koji mogu sadržavati viruse.
Enkripcija s kraja na kraj (E2EE) smatra se lijekom za uporne pokušaje hakera i agencija za provođenje zakona da pristupe onlajn komunikacijama. Značenje E2EE se često svodi na to da se ključevi čuvaju samo na uređajima sagovornika i ne idu na server... ali to nije sasvim tačno. Pogledajmo kako stvari stvarno stoje s E2EE, koristeći primjer popularnih instant messengera.
Šifrovanje u glasnicima
Ponukalo me da napišem ovaj članak istraživanje Prepreke za usvajanje sigurnih komunikacijskih alata (PDF). Kako su otkrili njeni autori, “ogromna većina učesnika ankete ne razumije osnovni koncept end-to-end enkripcije.” Jednostavno rečeno, ljudi obično biraju glasnika srcem, a ne mozgom.
Počnimo s činjenicom da E2EE ima svoje karakteristike u svakom glasniku. U Signalu je gotovo uzoran. WhatsApp je formalno isti kao Signal, s izuzetkom jedne vrlo važne tačke: promjena primarnog ključa WhatsApp pretplatnika ne blokira slanje poruka njemu. Najviše možete omogućiti beskorisno obavještenje (koje je onemogućeno u zadanim postavkama). U Viberu je end-to-end enkripcija po defaultu neaktivna, a pojavila se tek u šestoj verziji. U Telegramu se E2EE također koristi samo u tajnim razgovorima, a implementirani su prilično čudno.
Sukob između Roskomnadzora i Telegrama općenito je stvorio odličnu reklamu za potonjeg. Obični korisnici sada smatraju Durovovu kreaciju pravim trnom u leđa obavještajnim službama (ili malo nižim od njih), koje ne mogu ništa učiniti s neprobojnom inovativnom uslugom. Ljubitelji Telegrama ga upoređuju sa Signalom i tvrde superiornost prvog.
Međutim, u kriptografiji, a posebno u primijenjenoj kriptografiji, nema čuda. Mnogi matematički prelepe ideje ispostavilo se da su beznadežno pokvareni implementacijom kada su pogodnost i kontrola stavljeni iznad sigurnosti i privatnosti (a to se gotovo uvijek dešava).
U početku, glasnici su koristili OTR (Off-the-Record) protokol. On koristi simetrično šifrovanje AES u CTR modu, DH protokol razmjene ključeva i SHA-1 hash funkcija. AES-CTR šema pruža takozvano „diskutabilno“ (na dobar način) enkripciju i mogućnost da se negira autorstvo teksta ako se presretne. Uvijek možete tvrditi da je presretač prometa sam promijenio šifrirani tekst tako da odgovara drugoj opciji dešifriranja iste dužine. Na primjer, umjesto "idi kupi kruh" ispostavilo se da je "otrovati kraljicu" - to je tehnički moguće, a ovo svojstvo je posebno ugrađeno u algoritam.
OTR protokol autentifikuje sagovornike i šifruje prepisku između njih. Sigurno je sve dok učesnici u razgovoru redovno provjeravaju otiske prstiju javni ključevi jedni druge i odupiru se napadima drugih vektora (uključujući društveni inženjering).
Glavni nedostatak OTR-a je što nakon slanja novog ključa morate čekati potvrdu od sagovornika. Ako je van mreže, komunikacija će biti privremeno nemoguća. Jedno rješenje je bio algoritam Double Ratchet (DR), koji su prije pet godina razvili Trevor Perrin i Moxie Marlinspike iz Open Whisper Systems. Danas se DR koristi u Signal, WhatsApp, Viber i mnogim drugim instant messengerima koji podržavaju end-to-end enkripciju prema zadanim postavkama ili kao zasebna opcija (tajni razgovori).
Enkripcija od kraja do kraja
E2EE šema koristi kombinaciju otvorenih i otvorenih kriptografskih sistema. privatni ključ. Očigledno je generalno i prilično složeno na nivou detalja. Koristi mnogo međusobno povezanih ključeva, od kojih se neki obavezno šalju na server i, štoviše, obavezno se učitavaju na njega prije početka korespondencije, tako da se može pokrenuti u svakom trenutku. Pogledajmo to izbliza.
Vjerovatno znate početak šeme, jer je standardna za sve asimetrične sisteme šifriranja - generira se par ključeva. Ovo je neophodno jer su kriptosistemi sa jednim ključem (poput AES) preteški za upotrebu u korespondenciji u njihovom čistom obliku. Morali bi nekako organizirati siguran kanal za prijenos ključa (na primjer, lično se sastati), a zatim to ponoviti svaki put kada se promijeni.
Sve je kao u uobičajenom PGP-u: postoje dva sagovornika (Alice i Bob), od kojih svaki generiše svoj par ključeva. Zatim razmjenjuju javne ključeve, držeći svoje uparene tajne ključeve u tajnosti. Javni ključevi se prenose preko otvorenog kanala (zato su javni, neka budu presretnuti za dobru mjeru) i služe u dvije svrhe: omogućavaju vam da šifrirate poruku i provjerite njen potpis. U skladu s tim, tajni ključevi se koriste za dešifriranje i generiranje potpisa.
INFO
Termin "poruka" se ovdje koristi u širem smislu. Poruka može biti tekst, medijska datoteka ili metapodaci usluge koje messenger razmjenjuje sa serverom. Neki od ovih podataka sadrže vremenske oznake, stanje klijentske aplikacije i nove ključeve.
Nažalost, u svom čistom obliku, shema asimetrične enkripcije također nije prikladna za instant messengere, jer su ove usluge usmjerene na intenzivnu online korespondenciju u obliku lanca kratke poruke. Moraju biti prikazani po strogo definisanom redosledu, a sagovornik može biti van mreže u bilo kom trenutku i poremetiti strukturu dijaloga.
Štaviše, šifriranje velikog broja kratkih poruka jednim ključem je loša ideja. U samo jednom danu prepiske nastaju stotine (ako ne i hiljade) njih. U mnogim porukama količina šifriranog teksta je minimalna i predvidljiva (smajlić, naljepnica). Oni također imaju standardna zaglavlja koja olakšavaju kriptoanalizu.
Posebnost korespondencije u instant messengerima je u tome što, zbog tipičnih metapodataka, napadač može presresti veliku količinu predvidljivog šifriranog teksta u kratkom vremenu. Lavovski dio toga će odgovarati poznatom otvorenom tekstu. Ako je šifriran jednim ključem, onda će u slučaju uspješnog napada sve ranije napisane poruke, pa čak i one koje će sagovornici pisati u budućnosti, biti ugrožene.
Kako bi spriječili da se to dogodi, glasnici pružaju svojstva kao što su tajnost naprijed i nazad. Oni podrazumijevaju nemogućnost čitanja poruka koje su prethodno poslane i napisane u budućnosti, imajući samo trenutni ključ za šifriranje u ruci. U tu svrhu koristi se višeslojna enkripcija sa prelaskom sa asimetrične na simetričnu kriptografiju i dodatnim ključevima sa u različito vrijemeživot.
, 7. april 2016End-to-end enkripcija u WhatsApp-u, ništa manje, znači 100% povjerljivost prepiske, koja postaje dostupna isključivo sagovornicima uključenim u komunikaciju, isključujući praćenje od strane autsajdera.
Jučer uveče sam razmenjivao trenutne poruke na WhatsApp-u kod prijatelja iz drugog grada, kada se na ekranu pojavi obavijest o pokretanju end-to-end enkripcije poruka i poziva.
sta takav s kraja na kraj enkripcija?
Tehnologija end-to-end enkripcije (takođe nazvana "end-to-end" enkripcija" ili " E2EE) je metoda prijenosa podataka u kojoj samo pošiljatelj i primalac imaju pristup prenijetim informacijama. U slučaju WhatsApp-a to znači da su poruke, pozivi, fotografije ili video snimci poslani i primljeni u potpunosti šifrirani pomoću posebnih kriptografskih ključeva. Ključ za dešifriranje dostupan je isključivo sagovorniku, tako da ni presretači, ni vladine agencije, pa čak ni sam server neće moći dešifrirati poruke. WhatsApp, preko kojeg se prenose podaci. Čak iu slučaju hipotetičkog presretanja informacija od strane napadača, upotreba moderna tehnologija enkripcija čini gotovo nemogućim pristup njegovom sadržaju.
Vaše poruke u servisuwhatsapp je sada 100% povjerljivo (u najnovijoj verziji programa )
Priznajem u dobrom duhu - iako nemam šta da krijem, ipak ne želim da neko drugi čita moju ličnu prepisku, sluša moje pozive ili pregleda porodične fotografije. Hvala za nova funkcija E2EE enkripcija u popularnom messengeru, sva korespondencija je sigurno šifrirana i da biste dobili pristup njoj i njenom sadržaju, sada se morate jako potruditi, što u mom slučaju (kao u slučaju lavovskog dijela publike messengera) , malo je vjerovatno.
Tvoja poruke encrypted?
Sjajne vijesti - WhatsApp konfigurisana enkripcija svih prenesenih podataka po defaultu za sve korisnike najnovije verzije programa. Sve što trebate učiniti za ovo je ažurirati messenger. Važno je naglasiti da je tehnologija enkripcije efikasna samo kada vaš sagovornik koristi najnoviju verziju programa WhatsApp. Ako čak i jedan član grupe ne koristi najnovija verzija programa, svi njegovi učesnici automatski postaju u opasnosti od kompromisa. Ako želite provjeriti status vaših razgovora, kliknite na sliku osobe. Dno dijaloškog okvira koji se pojavljuje pokazat će da li je šifriranje omogućeno.
Na slici ispod možete vidjeti da jedan od članova moje grupe još nije ažurirao WhatsApp, tako da su sve informacije objavljene u grupi nešifrirane.
Korak naprijed ka ličnoj privatnosti
Filip Chytry, šef istraživanja mobilnih prijetnji u Avast-u, rekao je u vezi s tim: “To je jednostavno sjajnowhatsapp počeo šifrirati svu razmjenu podataka u svom servisu po defaultu, slijedeći postojeći sigurnosni standard koji se već duže vrijeme koristi, na primjer, u T messengeru elegram. Za prosječnog korisnika to znači garanciju povjerljivosti lične korespondencije, što je samo po sebi dobra vijest.
Zahvaljujući enkripciji, sada čak i sam WhatsAppne može vidjeti prepisku svojih korisnika. Iskreno rečeno, vrijedi napomenuti da se to još uvijek ne odnosi na meta podatke, odnosno WhatsAppi dalje može vidjeti s kim tačno razgovarate, ali ne i sadržaj vašeg razgovora.”
Tranzicija WhatsApp messenger Prelazak na potpuno šifriranje korisničke korespondencije dogodio se u pozadini naglog porasta incidenata curenja povjerljivih podataka, sve većeg nadzora korisnika od strane vladinih agencija i velikih korporacija, kada se tema privatnosti na Internetu naširoko raspravlja ne samo od strane profesionalaca, već i također među širokim spektrom običnih korisnika. Još značajnija je činjenica da je jedno ažuriranje verzije messengera dovoljno da zaštiti milijardu ljudi od praćenja lične korespondencije od strane autsajdera.
Pratite vijestiAvastu mrežama