WhatsApp автоматизира криптографска проверка на потребителски акаунти – Компютър – Новини

Седалището на Facebook: Здравейте, никой не проверява ключовете за криптиране, които изпращаме от нашите сървъри. Трябва да направим това по-лесно. Нека обявим кой има WhatsApp и предадем техните ключове, а след това WhatsApp на всеки може да изтегли тези данни от нашите сървъри, за да бъде абсолютно сигурен!

Ползата: хората се чувстват по-сигурни
Предимство: медийно внимание
Негативите: не прави нищо

(Не съм се задълбочавал в ключовете на устройството, става дума за автоматична проверка дали заглавието на Tweakers се показва.)

Тяхната публикация в блога ви отвежда до хранилището на GitHub, където файлът readme препраща към лист SEEMless: Сигурни, криптирани от край до край съобщения с по-малко доверие. „Формализираме идея [zo’n key directory]Система, която позволява на потребителите да наблюдават кои ключове услугата разпространява от тяхно имеТака че става въпрос конкретно за това, че лицето, което има ключа, може също да провери дали е издаден правилният ключ или не.Но това, което едно лице получава, не трябва да е същото като това, което другото лице получава в отговор от сървъра на директорията. Ако имате същия IP адрес и не се изпращат други метаданни, става трудно за нападателя да различи, но с изключение на случайните моменти, когато сте на една и съща WiFi с някого, това не е така или ако сте, нападателят изпраща отговор „услугата е временно недостъпна“. Мога да си представя, че WhatsApp след това ще ги блокира или ще издаде предупреждение, но във всеки случай тази ситуация се прилага само когато нападателят не може да разбере кое устройство го изисква, дори ако те прилагайте го правилно, обикновено няма значение.

READ  Изглежда, че Sony вече не казва точно кога игрите за PS Plus ще изчезнат - Игри - Новини

Изглежда толкова безполезно, че се чудя дали го разбирам правилно. Въпреки това, след като прочетох тази публикация по-задълбочено, виждам точния цитиран проблем и решението е потвърдено като „ОК, тогава човекът, чийто ключ трябва да се запази, пита Facebook за качения ключ“:

Очакваме сървърът да може да докаже на Боб, че вижда най-новите ключове на Алис [..] Това е тривиално за постигане, ако приемем, че Алис винаги може да подпише своя нов публичен ключ със стария си таен ключ. Но това е напълно неразумно предположение от обикновен потребител, който може да загуби устройството си или да преинсталира софтуера и по този начин загуба на предишния си таен ключ; Потребителят ще има достъп само до последния си таен ключ, който се съхранява на последното му устройство. Важно е Не предполагайте, че Алис или Боб могат да си спомнят някаква криптографска тайна. при това ограничение, Имаме нужда от Алис, за да наблюдава ключа си Достатъчно често, за да се гарантира, че последният му ключ е в директорията на сървъра. Само тогава можем да говорим, че Боб ще получи най-новите ключове на Алис по смислен начин.

За всеки, който играе у дома и чете: публикацията гласи „сървър [publishes updates] на партиди и публикуване на ангажимент към текущото състояние на com базата данни и доказателство Π актуализация, че е направена валидна актуализация„, но как помага това? Сървърът подписва актуализацията с частния си ключ. Дефиниция Криптиране от край до край Това е „комуникационна система, в която само свързани потребители могат да четат съобщения“. Не сървъра, а само потребителите. На теория това продължава, докато сървърът едностранно реши да се намеси без намесата на потребителя. (Вижте също въпроса другаде в тези коментари за това дали съдия може да нареди четене. Това е вашият начин. Тогава нямате записа, но имате чата от сега нататък.)

READ  Хакер Lapsus$, който изтече изображения на GTA VI, осъден на доживотен затвор TBS - Игри - Новини

TL; DR: Вие не се доверявате на пътя за шифроване и не се доверявате на нищо, което страните си спомнят, когато пътят за шифроване не е наличен, но вярвате, че сървърът ще бъде справедлив и към двете страни.

Също известен от Keybase, който казва, че чатът е криптиран от край до край, но Не можете да го проверите. Просто трябва да се доверите на сървъра да бъде честен и с двете страни.

[Reactie gewijzigd door Lucb1e op 13 april 2023 21:08]

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *