V zadnjem tednu, WhatsApp To je v naslovnicah, in to ne brez dobrega razloga. Osebno nikoli nisem verjel, da so klepeti Å¡ifrirani od konca do konca. SpraÅ¡ujem se: "Äe je temu tako, kako potem zasluÅŸijo denar?" Zdi se, da je odgovor, da ima vsak zaposleni v Meti dostop do naÅ¡ih klepetov. O tem so poroÄali ta teden in Å¡e naprej bom vztrajal, da poskuÅ¡amo uporabiti RCS je zdaj na voljo za Android in iOS.
Hkrati podjetje vztraja, da NihÄe zunaj klepeta, niti Meta, ne more prebrati vsebine sporoÄil. Zaradi te napetosti med uradno razliÄico in zunanjimi obtoÅŸbami je Å¡ifriranje WhatsAppa postalo eno najbolj obÄutljivih vpraÅ¡anj na podroÄju varstvo podatkov in digitalno zaupanje za milijone evropskih uporabnikov.
Kaj je Å¡ifriranje od konca do konca, ki ga obljublja WhatsApp?
WhatsApp je predstavil Å¡ifriranje od konca do konca (E2EE) kot bistveni del svoje DNK. Glede na samo platformo ta sistem Å¡Äiti sporoÄila, fotografije, videoposnetki, glasovne opombe, dokumenti, klici, lokacija v realnem Äasu in posodobitve stanjatako da lahko do vsebine dostopata le poÅ¡iljatelj in prejemnik.
Aplikacija pojasnjuje, da je vsako sporoÄilo zavarovano z "kljuÄavnica" in en sam kljuÄ Ti kljuÄi se generirajo na napravah, ne na streÅŸnikih Mete. Nenehno se spreminjajo in se upravljajo samodejno, zato uporabniku ni treba aktivirati nobenih posebnih moÅŸnosti za zaÅ¡Äito klepetov.
Za okrepitev zaupanja WhatsApp uporabnike opominja, da je njegov sistem šifriranja odvisen od Signalni protokolTa protokol je v svetu kibernetske varnosti splošno priznan. Vendar se uporablja v aplikaciji, ki ni odprtokodna, kar pomeni, da zunanji strokovnjaki lahko revidirajo le v omejenem obsegu kako je bilo to šifriranje izvedeno v praksi.
Kako lahko uporabnik ugotovi, ali je klepet Å¡ifriran?
WhatsApp v svojem centru za pomoÄ podrobno opisuje, da ima vsak Å¡ifriran pogovor posebna varnostna kodaTa identifikator se uporablja za preverjanje, ali Klici in sporoÄila so uÄinkovito zaÅ¡Äiteni z E2EE med tema dvema specifiÄnima napravama.
To kodo si lahko ogledate v obliki QR koda ali kot 60-mestni niz V kontaktnih podatkih, v razdelku »Šifriranje«. Primerjava teh podatkov med udeleÅŸenci klepeta preveri, ali oba uporabljata iste kljuÄe in da vsebina ni bila posredovana tretjim osebam.
V praksi preverjanje vkljuÄuje odpiranje klepeta, odpiranje zaslona s podatki o stiku ali skupini in tapkanje "Å ifriranje"Po nekaj sekundah aplikacija prikaÅŸe samodejno sporoÄilo, ki potrjuje Å¡ifriranje, in ponudi moÅŸnosti skeniranja QR kode ali preverjanja 60 Å¡tevk, da se preveri, ali se ujemajo med obema napravama.
Skupinska toÅŸba, ki izpodbija Å¡ifriranje WhatsAppa
Kljub tej uradni razpravi, a skupinska toÅŸba, vloÅŸena na okroÅŸnem sodiÅ¡Äu v San Franciscu To je ponovno sproÅŸilo sume o tem, kako Å¡ifriranje dejansko deluje. Sodni dokument trdi, da Meta shranjuje, analizira in lahko dostopa do komunikacij ki jih uporabniki poÅ¡iljajo prek WhatsAppa, Äeprav se platforma promovira kot popolnoma zasebna storitev.
Skupina toÅŸnikov vkljuÄuje odvetnike in organizacije iz Avstralija, Brazilija, Indija, Mehika in JuÅŸna AfrikaV svojih obtoÅŸbah trdijo, da sta tako sistem Å¡ifriranja od konca do konca kot tudi ostala varnostna orodja aplikacije varna. "Ne bi bili tako uÄinkoviti, kot se oglaÅ¡uje." in da je podjetje zavajalo javnost s sporoÄanjem ravni razpoloÅŸljive zaÅ¡Äite.
Glede na dokumentacijo obtoÅŸba temelji tudi na priÄevanjih domnevnih notranji prijavitelji nepravilnosti ki bi opisoval postopke, prek katerih bi lahko zaposleni v podjetju Meta dostopali do vsebine doloÄenih klepetov na zahtevo v internem sistemu podjetja.
Odgovor Mete in WhatsAppa: "pravo" Å¡ifriranje in "absurdne" obtoÅŸbe
Odziv podjetja je bil nedvoumen. Andy Stone, tiskovni predstavnik za WhatsApp in MetaStone je toÅŸbo oznaÄil za "neresno" in zatrdil, da bo podjetje zahtevalo sankcije proti odvetnikom, ki so jo vloÅŸili. V svojih izjavah za medije, kot je Bloomberg, Stone trdi, da "Vsaka trditev, da sporoÄila WhatsApp niso Å¡ifrirana, je kategoriÄno napaÄna in absurdna.".
Meta trdi, da niti zaposleni v WhatsAppu niti zaposleni v matiÄni druÅŸbi Imajo naÄin za branje Å¡ifrirane komunikacije uporabnikov, sistem E2EE, ki temelji na protokolu Signal, pa deluje ÅŸe skoraj desetletje. Prav tako ugotavlja, da vlade, ki zahtevajo dostop do vsebine Naletijo na isto tehniÄno oviro kot ostale tretje osebe: Å¡ifrirana zasnova bi prepreÄila dostavo sporoÄil, tudi ob uradnih zahtevah.
Mark Zuckerberg, izvrÅ¡ni direktor podjetja Meta, je javno zagovarjal ta model in izjavil, da "Metini streÅŸniki ne vidijo vsebine" sporoÄil, ko dve osebi klepetata na WhatsAppu. Za podjetje so obtoÅŸbe, da je Å¡ifriranje le fasada, popolnoma brez tehniÄne podlage.
PuÅ¡Äanje informacij in nekdanji izvajalci podÅŸigajo dvome
Poleg pravnega pritiska obstajajo tudi izjave o nekdanji pogodbeniki, povezani z moderiranjem vsebin WhatsAppaki so bili predmet preiskav organov pregona v ZdruÅŸenih drÅŸavah Amerike. Glede na poroÄilo, ki ga je pridobil Bloomberg, naj bi ti delavci trdili, da so nekateri zaposleni v podjetju Meta imeli Å¡irok dostop do uporabniÅ¡kih sporoÄil vloge.
PriÄevanja prihajajo od ljudi, ki so delali za WhatsApp prek zunanja svetovalna podjetjain da so preiskovalcu Ministrstva za trgovino povedali, da imajo na svojih delovnih mestih delovna mesta z "neomejenim dostopom" do klepetalnic. Te informacije so bile zbrane v internem poroÄilu z naslovom "Operacija Å ifrirano od vira", z dne julija in opisan kot del tekoÄe preiskave.
Vendar pa zelo Urad za industrijo in varnost AmeriÅ¡ko ministrstvo za trgovino je te trditve pozneje zanikalo in izjavilo, da Ne preiskuje WhatsAppa ali Mete. zaradi domnevnih krÅ¡itev izvozne zakonodaje in da je poroÄilo, ki ga je pripravil eden od njegovih zastopnikov, zunaj njegove pristojnosti.
Meta je s svoje strani odgovorila, da "Kar ti posamezniki trdijo, ni mogoÄe" Ker niti podjetje niti njegovi izvajalci nimajo dostopa do vsebine Å¡ifriranih komunikacij, podjetje vztraja, da bo Å¡e naprej zavraÄalo obtoÅŸbe, vkljuÄno s tistimi, ki jih je vloÅŸila odvetniÅ¡ka pisarna, ki vodi skupinsko toÅŸbo.
Kritika konkurence: Telegram in drugi glasovi
Razpravo o Å¡ifriranju WhatsAppa so uporabili tudi neposredni konkurenti na trgu kurirskih storitevKot WireIzvrÅ¡ni direktor Telegrama Pavel Durov je odkrito podvomil o varnosti aplikacije Meta in izjavil, da je po njegovem mnenju slepo zaupanje v njen zaÅ¡Äitni sistem ... "nesprejemljivo".
Durov trdi, da ima Telegram analiziral Å¡ifrirni sistem WhatsApp in da bi v tem procesu odkrili morebitne ranljivostiPo njegovih besedah ââWhatsApp Å¡e nikoli ni bil tako varen, kot je predstavljen v uradnih sporoÄilih Mete milijardam uporabnikov.
Kritika ustanovitelja Telegrama je priÅ¡la v posebej obÄutljivem trenutku, ravno sredi skupinska toÅŸba v ZdruÅŸenih drÅŸavah Amerike proti Meti zaradi domnevnega dostopa do domnevno Å¡ifriranih sporoÄil. WhatsApp je preprosto potrdil, da uporabljajo protokol Signal in da Varnostni kljuÄi so shranjeni v napravahne na streÅŸnikih, zato podjetje ni moglo prebrati vsebine klepetov, tudi Äe bi ÅŸelelo.
Perspektiva strokovnjakov za Å¡ifriranje
Sredi te izmenjave obtoÅŸb so nekateri strokovnjaki za kriptografijo poskuÅ¡ali umiriti napetosti. Profesor Matthew Green, kriptograf na Univerzi Johns HopkinsNa svojem blogu je zapisal, da Å¡ifriranje WhatsAppa temelji na protokolu Signal in da Äeprav aplikacija Meta ni odprtokodna, obstajajo TehniÄni naÄini za zaznavanje, ali je vsebina dejansko Å¡ifrirana.
Green poudarja, da Äe bi WhatsApp sistematiÄno bral sporoÄila, bi skupnost raziskovalcev varnosti sÄasoma naÅ¡la dokaze v vedenju aplikacije ali v analizi prometa. Kljub temu poudarja, da je zaradi nezmoÅŸnosti pregleda celotne kode izjemno teÅŸko neodvisno preveriti, ali je Å¡ifriranje uporabljeno, kot trdi podjetje.
Hkrati razliÄne skupine za zagovorniÅ¡tvo zasebnosti, kot so tiste, ki spodbujajo pobude, kot so "Åœe Å¡ifriraj"Pritiskajo na veÄja podjetja, da razÅ¡irijo Å¡ifriranje od konca do konca na veÄ storitev in ga uporabljajo privzeto. Å e posebej glede WhatsAppa te skupine zahtevajo, da Å ifrirane varnostne kopije E2EE so privzeto omogoÄene in niso odvisni od roÄne nastavitve uporabnika.
Kaj pa varnostne kopije: Å¡ibka toÄka sistema
Ena najpomembnejÅ¡ih in morda najmanj znanih odtenkov je razlika med Å¡ifriranjem sporoÄila v prenosu in zaÅ¡Äito varnostne kopije v oblakuMedtem ko so klepeti in klici v WhatsAppu Å¡ifrirani, se varnostne kopije shranjujejo v storitvi Google Drive ali iCloud. Ni bil vedno zaÅ¡Äiten z E2EE privzeto.
WhatsApp ÅŸe nekaj Äasa ponuja moÅŸnost aktivacije. Å ifrirane varnostne kopije od konca do koncatako da niti sama aplikacija niti ponudniki storitev v oblaku ne morejo dostopati do njene vsebine. Vendar pa ta funkcija od uporabnika zahteva, da ustvari geslo ali 64-mestni kljuÄ In Äe so pozabljeni ali izgubljeni, shranjenih podatkov ni mogoÄe obnoviti.
Zato nekateri ljudje in podjetja raje Ne omogoÄi Å¡ifriranja E2EE v varnostnih kopijahTrdijo, da to olajÅ¡a obnovitev klepetov ob menjavi telefona, uporabo orodij za migracijo med platformami ali izpolnjevanje doloÄenih obveznosti arhiviranja in revizije, za ceno zanaÅ¡anja izkljuÄno na varnost ponudnika storitev v oblaku.
Zakaj nekateri uporabniki onemogoÄijo Å¡ifriranje varnostnih kopij?
OdloÄitev o opustitvi Å¡ifriranja E2EE v varnostnih kopijah pogosto temelji na praktiÄnih razlogih. Äe nekdo omogoÄi ta sistem in nato Pozabite geslo ali izgubite 64-mestni kljuÄVarnostne kopije ni mogoÄe obnoviti. WhatsApp teh kljuÄev ne shranjuje, zato jih ne more obnoviti.
V poslovnem svetu se onemogoÄanje Å¡ifriranja varnostnih kopij lahko razume kot naÄin za varen dostop do zgodovine klepetov Za namene skladnosti s predpisi ali predpisi, zlasti v sektorjih, za katere veljajo stroge zahteve glede dokumentacije. V tem kontekstu postane prednostna naloga zagotovljena obnovitev podatkov, tudi Äe to pomeni predpostavko veÄje tveganje glede zaupnosti.
Obstajajo tudi uporabniki, ki po trpljenju napake ali blokade Pri obnavljanju varnostno kopirane kopije, ki je Å¡ifrirana od zaÄetka do konca, se mnogi uporabniki odloÄijo za vrnitev na standardni sistem varnostnega kopiranja v oblaku. Orodja drugih ponudnikov, ki uporabnikom omogoÄajo selitev ali ekstrahiranje podatkov WhatsApp med platformami, obiÄajno delujejo le z neÅ¡ifriranimi varnostnimi kopijami, zaradi Äesar mnogi ... zaÄasno onemogoÄite to dodatno raven varnosti.
Tveganja in pravni kontekst v Evropi in Å paniji
OnemogoÄanje Å¡ifriranja od konca do konca v varnostnih kopijah v praksi pomeni, da so informacije zaÅ¡Äitene le z ukrepi podjetij, kot so Google ali AppleÄe nekdo dostopa do raÄuna v oblaku â na primer prek laÅŸno predstavljanje ali kraja poverilnicâ bi lahko pridobil varnostno kopijo datoteke WhatsApp in analiziral njeno vsebino, Äe ni Å¡ifrirana.
S pravnega vidika evropski okvir z SploÅ¡na uredba o varstvu podatkov (RGPD) Kot referenco spodbuja uporabo robustnih varnostnih ukrepov, vkljuÄno s Å¡ifriranjem, za zaÅ¡Äito osebnih podatkov. Za podjetja, ki uporabljajo WhatsApp za poslovne namene v Å paniji ali drugih drÅŸavah EU, shranjevanje zgodovine klepetov brez dodatnega Å¡ifriranja Äe se obravnavajo obÄutljivi podatki strank, lahko to povzroÄi pomisleke glede skladnosti s predpisi.
Poleg tega Å¡ifriranje vpliva na odnos z varnostne sile in organiÄe so varnostne kopije Å¡ifrirane od konca do konca in ima kljuÄ samo uporabnik, niti ponudnik storitev v oblaku niti WhatsApp ne moreta izroÄiti vsebine v primeru sodnega naloga. Äe tega ne storita, bi lahko bila tehnoloÅ¡ka podjetja prisiljena olajÅ¡ati dostop do teh varnostnih kopij ko tako odredijo sodiÅ¡Äa.
To ravnovesje med zasebnostjo, javno varnostjo in pravnimi obveznostmi je Å¡e posebej obÄutljivo v Evropi, kjer se o predlogih redno razpravlja omejiti ali zaobiti Å¡ifriranje v doloÄenih okoliÅ¡Äinah. V tem kontekstu se primer WhatsAppa natanÄno preuÄuje, glede na njegov ogromen pomen v vsakodnevni komunikaciji milijonov uporabnikov v Å paniji.
Kako preveriti in upravljati Å¡ifriranje v aplikaciji
Uporabnik lahko vsakodnevno opravi nekaj preprostih preverjanj, da bolje razumeti, kaj je zaÅ¡Äiteno in kakoV vsakem individualnem ali skupinskem pogovoru je mogoÄe dostopati do informacij klepeta s klikom na razdelek "Å ifriranje" in preverite varnostno kodo s kodo QR ali 60-mestnim nizom. To potrjuje, da je izmenjava med tema dvema napravama Å¡ifrirana od konca do konca.
Kar zadeva varnostne kopije, lahko do razdelka za varnostne kopije dostopate v nastavitvah aplikacije â tako v sistemu Android kot v napravi iPhone. «Varnostno kopiranje klepeta» in preverite, ali je moÅŸnost "varnostno kopiranje s Å¡ifriranjem od konca do konca" Aktivirana je. Äe je, bo za deaktivacijo ali spremembo potrebno geslo ali 64-mestni kljuÄ; sicer lahko uporabnik to zaÅ¡Äito konfigurira s pomoÄjo Äarovnika, ki ga ponuja WhatsApp.
Kljub vsem tem znaÄilnostim nas trenutna razprava opominja, da Å¡ifriranje ni zgolj tehniÄna zadeva, temveÄ tudi stvar zaupanje v to, kako podjetja izvajajo in spoÅ¡tujejo svoje obljubeSredi toÅŸb v ZdruÅŸenih drÅŸavah Amerike, uhajanja informacij nekdanjih izvajalcev, kritik konkurentov in budnega oÄesa evropskih regulatorjev bo prihodnost Å¡ifriranja WhatsApp in njegov status resniÄno zasebnega orodja ostala kljuÄno vpraÅ¡anje za uporabnike, varnostne strokovnjake in oblasti v Å paniji in po vsej Evropi.
