U posljednjoj sedmici, WhatsApp Ovo puni naslovnice, i to ne s dobrim razlogom. Lično, nikada nisam vjerovao da su chatovi šifrirani od početka do kraja. Pitam se: "Ako je to slučaj, kako zarađuju?" Odgovor izgleda da je da svaki zaposlenik Mete ima pristup našim chatovima. Ovo je objavljeno ove sedmice i nastavit ću insistirati da pokušamo koristiti RCS je sada dostupan na Androidu i iOS-u.
Istovremeno, kompanija insistira na tome Niko izvan chata, čak ni Meta, ne može pročitati sadržaj poruka. Ova napetost između službene verzije i vanjskih optužbi učinila je šifriranje WhatsAppa jednim od najosjetljivijih pitanja u području zaštita podataka i digitalno povjerenje za milione evropskih korisnika.
Šta je end-to-end enkripcija koju WhatsApp obećava?
WhatsApp je predstavljao end-to-end enkripcija (E2EE) kao suštinski dio svog DNK-a. Prema samoj platformi, ovaj sistem štiti poruke, fotografije, videozapisi, glasovne bilješke, dokumenti, pozivi, lokacija u stvarnom vremenu i ažuriranja statusatako da samo pošiljalac i primalac mogu pristupiti sadržaju.
Aplikacija objašnjava da je svaka poruka zaštićena "brava" i jedan ključ Ovi ključevi se generiraju na uređajima, a ne na Meta serverima. Oni se stalno mijenjaju i njima se upravlja automatski, tako da korisnik ne mora aktivirati nikakve posebne opcije za zaštitu svojih chatova.
Kako bi ojačao povjerenje, WhatsApp podsjeća korisnike da se njegov sistem šifriranja oslanja na signalni protokolOvaj protokol je široko priznat u svijetu kibernetičke sigurnosti. Međutim, primjenjuje se unutar aplikacije koja nije otvorenog koda, što znači da Vanjski stručnjaci mogu vršiti reviziju samo na ograničen način kako je ta enkripcija implementirana u praksi.
Kako korisnik može znati da li je chat šifriran?
Sam WhatsApp u svom Centru za pomoć navodi da svaki šifrirani razgovor ima specifični sigurnosni kodOvaj identifikator se koristi za provjeru da Pozivi i poruke su efikasno zaštićeni sa E2EE između ta dva specifična uređaja.
Taj kod se može pogledati u formatu QR kod ili kao niz od 60 cifara Unutar kontaktnih informacija, u odjeljku "Šifriranje". Poređenjem ovih podataka između učesnika u chatu potvrđuje se da oba koriste iste ključeve i da sadržaj nije proslijeđen trećim stranama.
U praksi, verifikacija uključuje otvaranje chata, odlazak na ekran s informacijama o kontaktu ili grupi i dodirivanje "Šifriranje"Nakon nekoliko sekundi, aplikacija prikazuje automatsku poruku kojom se potvrđuje enkripcija i nudi opcije skeniranja QR koda ili provjere 60 znamenki kako bi se potvrdilo da se podudaraju na oba uređaja.
Kolektivna tužba koja osporava šifriranje WhatsAppa
Uprkos ovom zvaničnom diskursu, a kolektivna tužba podnesena Okružnom sudu u San Franciscu Ovo je ponovo probudilo sumnje o tome kako šifriranje zapravo funkcioniše. Sudski dokument tvrdi da Meta pohranjuje, analizira i može pristupiti komunikacijama koje korisnici šalju putem WhatsAppa, iako se platforma promovira kao potpuno privatna usluga.
Grupa tužitelja uključuje advokate i organizacije iz Australija, Brazil, Indija, Meksiko i Južna AfrikaU svojim optužbama, oni tvrde da su i sistem end-to-end enkripcije i ostali sigurnosni alati aplikacije sigurni. "Ne bi bili toliko efikasni kao što se reklamira." i da je kompanija obmanula javnost komunicirajući nivo dostupne zaštite.
Prema dokumentaciji, optužba se također zasniva na svjedočenjima navodnih interni uzbunjivači koji bi opisao procese putem kojih zaposleni u Meti mogu pristupiti sadržaju određenih chatova, na zahtjev u internom sistemu kompanije.
Odgovor Mete i WhatsAppa: "pravo" šifriranje i "apsurdne" optužbe
Reakcija kompanije je bila nedvosmislena. Andy Stone, glasnogovornik za WhatsApp i MetaStone je tužbu nazvao "neozbiljnom" i tvrdio da će kompanija tražiti sankcije protiv advokata koji su je podnijeli. U svojim izjavama medijima poput Bloomberga, Stone tvrdi da "Svaka tvrdnja da WhatsApp poruke nisu šifrirane je kategorički lažna i apsurdna.".
Meta tvrdi da ni zaposleni u WhatsAppu ni zaposleni u matičnoj kompaniji Imaju način čitanja šifrirane komunikacije korisnika, a E2EE sistem zasnovan na Signal protokolu funkcioniše već skoro deceniju. Također se napominje da vlade koje traže pristup sadržaju Susreću se s istom tehničkom barijerom kao i ostale treće strane: dizajn šifriranja bi spriječio isporuku poruka, čak i uz službene zahtjeve.
Mark Zuckerberg, izvršni direktor kompanije Meta, javno je branio ovaj model, navodeći da "Ne postoji vrijeme kada Metini serveri vide sadržaj" poruka kada dvije osobe razgovaraju na WhatsAppu. Za kompaniju, optužbe da je šifriranje fasada su potpuno bez tehničke osnove.
Curenje informacija i bivši izvođači radova podstiču sumnje
Pored pravnog pritiska, tu su i izjave o Bivši izvođači radova povezani s moderiranjem sadržaja na WhatsAppukoji su bili predmet istraga od strane organa za provođenje zakona u Sjedinjenim Američkim Državama. Prema izvještaju koji je dobio Bloomberg, ovi radnici su navodno tvrdili da su neki zaposlenici Mete imali širok pristup korisničkim porukama prijave.
Svjedočanstva dolaze od ljudi koji su radili za WhatsApp putem eksterne konsultantske firmei da su istražitelju Ministarstva trgovine rekli da na njihovim radnim mjestima postoje pozicije s "neograničenim pristupom" chat sobama. Ove informacije su sakupljene u internom izvještaju pod nazivom "Operacija Šifrirano od izvora", datiran u julu i opisan kao dio tekuće istrage.
Međutim, sama Ured za industriju i sigurnost Ministarstvo trgovine SAD-a je naknadno odbacilo ove tvrdnje, navodeći da Ne istražuje WhatsApp ili Meta zbog navodnih kršenja zakona o izvozu i da je izvještaj koji je pripremio jedan od njegovih agenata bio izvan njegove nadležnosti.
Meta je, sa svoje strane, odgovorila da "Ono što ovi pojedinci tvrde nije moguće" Budući da ni kompanija ni njeni izvođači radova nemaju pristup sadržaju šifriranih komunikacija, kompanija insistira da će nastaviti odbacivati optužbe, uključujući i one koje je podnijela advokatska kancelarija koja vodi kolektivnu tužbu.
Kritike konkurencije: Telegram i drugi glasovi
Debatu o šifriranju WhatsAppa koristili su i direktni konkurenti na tržištu kurirskih usluga, kako ŽicaIzvršni direktor Telegrama, Pavel Durov, otvoreno je doveo u pitanje sigurnost Metine aplikacije, navodeći da je, po njegovom mišljenju, slijepo povjerenje u njen sistem zaštite... "neprihvatljivo".
Durov tvrdi da Telegram ima analizirao WhatsApp sistem šifriranja i da bi u tom procesu otkrili potencijalne ranjivostiPrema njegovim riječima, WhatsApp nikada nije bio toliko siguran koliko se predstavlja u zvaničnim komunikacijama Mete upućenim milijardama korisnika.
Kritika osnivača Telegrama stigla je u posebno delikatnom trenutku, usred kolektivna tužba u Sjedinjenim Američkim Državama protiv Mete zbog navodnog pristupa navodno šifriranim porukama. WhatsApp je jednostavno potvrdio da koriste Signal protokol i da Sigurnosni ključevi se nalaze u uređajimane na serverima, tako da kompanija ne bi mogla pročitati sadržaj chatova čak i da je htjela.
Perspektiva stručnjaka za šifriranje
Usred ove razmjene optužbi, neki stručnjaci za kriptografiju pokušali su smiriti napetost. Profesor Matthew Green, kriptograf na Univerzitetu Johns HopkinsNa svom blogu je napomenuo da se WhatsAppovo šifriranje zasniva na Signal protokolu i da, iako Meta aplikacija nije otvorenog koda, postoje Tehnički načini za otkrivanje da li se sadržaj zaista šifrira.
Green ističe da ako bi WhatsApp sistematski čitao poruke, istraživačka zajednica sigurnosti bi na kraju pronašla dokaze u ponašanju aplikacije ili u analizi prometa. Uprkos tome, naglašava se da nemogućnost pregleda cijelog koda izuzetno otežava nezavisnu provjeru da li se šifriranje primjenjuje, kako kompanija tvrdi.
Istovremeno, razne grupe za zagovaranje privatnosti, poput onih koje promoviraju inicijative poput "Šifriraj to već"Oni vrše pritisak na velike kompanije da prošire end-to-end enkripciju na više usluga i da je koriste kao zadane. Konkretno u vezi sa WhatsAppom, ove grupe zahtijevaju da Šifrirane E2EE sigurnosne kopije su omogućene prema zadanim postavkama. i ne zavise od korisnika da ih ručno konfigurira.
Šta je sa sigurnosnim kopijama: slaba tačka sistema
Jedna od najrelevantnijih, a možda i najmanje poznatih, nijansi je razlika između šifriranja poruke u tranzitu i zaštitu sigurnosne kopije u oblakuIako su WhatsApp chatovi i pozivi šifrirani, sigurnosne kopije se pohranjuju na Google Drive ili iCloud. Nije uvijek bio zaštićen E2EE-om. default.
WhatsApp već neko vrijeme nudi opciju aktivacije. end-to-end šifrovane sigurnosne kopijetako da ni sama aplikacija ni pružatelji usluga u oblaku ne mogu pristupiti njenom sadržaju. Ali ova funkcija zahtijeva od korisnika da kreira lozinka ili ključ od 64 znamenke A ako se zaboravi ili izgubi, ne postoji način da se sačuvani podaci oporave.
Zato neki ljudi i kompanije preferiraju Ne omogućavajte E2EE enkripciju u sigurnosnim kopijamaOni tvrde da ovo olakšava vraćanje chatova prilikom promjene telefona, korištenje alata za migraciju između platformi ili ispunjavanje određenih obaveza arhiviranja i revizije, po cijenu oslanjanja isključivo na sigurnost provajdera cloud usluga.
Zašto neki korisnici onemogućavaju šifriranje sigurnosnih kopija?
Odluka o odustajanju od E2EE enkripcije u sigurnosnim kopijama često se zasniva na praktičnim razlozima. Ako neko omogući taj sistem, a zatim Zaboravili ste lozinku ili ste izgubili 64-cifreni ključSigurnosna kopija postaje nepovratna. WhatsApp ne pohranjuje ove ključeve, tako da ne može pomoći u njihovom vraćanju.
U poslovnom svijetu, onemogućavanje šifriranja sigurnosnih kopija može se smatrati načinom da se siguran pristup historiji chata U svrhu usklađenosti sa zakonima ili propisima, posebno u sektorima koji podliježu strogim zahtjevima za dokumentaciju. U tom kontekstu, prioritet postaje zagarantovani oporavak podataka, čak i ako to znači pretpostavku veći rizik u pogledu povjerljivosti.
Postoje i korisnici koji, nakon što su pretrpjeli greške ili blokade Prilikom vraćanja end-to-end enkriptovane sigurnosne kopije, mnogi korisnici se odlučuju za povratak na standardni sistem za sigurnosno kopiranje u oblaku. Alati trećih strana koji omogućavaju korisnicima migraciju ili izdvajanje WhatsApp podataka između platformi obično rade samo sa neenkriptovanim sigurnosnim kopijama, što mnoge tjera da... privremeno onemogućite taj dodatni nivo sigurnosti.
Rizici i pravni kontekst u Evropi i Španiji
Onemogućavanje end-to-end enkripcije u sigurnosnim kopijama u praksi znači da su informacije zaštićene samo mjerama kompanija poput Google ili AppleAko neko pristupi cloud računu - na primjer, putem krađa identiteta ili krađa akreditiva— mogao bi dobiti sigurnosnu kopiju WhatsApp datoteke i analizirati njen sadržaj ako nije šifrirana.
Sa pravnog stanovišta, evropski okvir, sa Opšta uredba o zaštiti podataka (RGPD) Kao referenca, podstiče se korištenje robusnih sigurnosnih mjera, uključujući enkripciju, radi zaštite ličnih podataka. Za preduzeća koja koriste WhatsApp u profesionalne svrhe u Španiji ili drugim zemljama EU, pohranjivanje historije razgovora bez dodatnog šifriranja To može izazvati zabrinutost zbog usklađenosti ako se rukuje osjetljivim podacima kupaca.
Nadalje, šifriranje utječe na odnos sa snage i tijela sigurnostiAko su sigurnosne kopije šifrirane od početka do kraja i samo korisnik ima ključ, ni pružatelj usluga u oblaku ni WhatsApp ne mogu predati sadržaj u slučaju sudskog naloga. Ako to nisu, tehnološke kompanije bi mogle biti prisiljene da... olakšati pristup tim sigurnosnim kopijama kada to nalože sudovi.
Ova ravnoteža između privatnosti, javne sigurnosti i zakonskih obaveza posebno je delikatna u Evropi, gdje se redovno raspravlja o prijedlozima ograničiti ili zaobići šifriranje u određenim okolnostima. U tom kontekstu, slučaj WhatsAppa se pomno ispituje, s obzirom na njegov ogroman značaj u svakodnevnoj komunikaciji miliona korisnika u Španiji.
Kako provjeriti i upravljati enkripcijom u aplikaciji
Korisnik može svakodnevno izvršiti neke jednostavne provjere kako bi bolje razumjeti šta je zaštićeno i kakoU svakom individualnom ili grupnom razgovoru, moguće je pristupiti informacijama o chatu klikom na odjeljak "Šifriranje" i provjerite sigurnosni kod pomoću QR koda ili niza od 60 cifara. Ovo potvrđuje da je razmjena između ta dva uređaja šifrirana od početka do kraja.
Što se tiče sigurnosnih kopija, odjeljku za sigurnosne kopije možete pristupiti iz postavki aplikacije - i na Androidu i na iPhoneu. «Rezervna kopija chata» i provjerite da li postoji opcija "skrivena šifrirana sigurnosna kopija" Aktivirano je. Ako jeste, bit će potrebna lozinka ili 64-cifreni ključ za deaktiviranje ili izmjenu; u suprotnom, korisnik može konfigurirati ovu zaštitu slijedeći čarobnjaka koji nudi WhatsApp.
Čak i sa svim ovim karakteristikama, trenutna debata nas podsjeća da šifriranje nije isključivo tehničko pitanje, već i pitanje povjerenje u način na koji kompanije implementiraju i poštuju svoja obećanjaUsred tužbi u Sjedinjenim Državama, curenja informacija od bivših izvođača radova, kritika konkurenata i budnog oka evropskih regulatora, budućnost šifriranja na WhatsAppu i njegov status kao zaista privatnog alata ostat će ključno pitanje za korisnike, sigurnosne stručnjake i vlasti u Španiji i širom Evrope.
