El jefe de la Autoridad de Tecnologías de Información y Comunicación de Turquía dijo esto en Twitter ayer:
WhatsApp puede leer sus mensajes cifrados de extremo a extremo cuando sea necesario. Puede descifrar sus mensajes usando una llave dorada que se almacena en la memoria del dispositivo.
¿Hay alguna evidencia de esto?
¿Una "llave dorada almacenada en la memoria del dispositivo"? No que yo sepa.
Pero WhatsApp tiene una vulnerabilidad que potencialmente le permite acceder a cualquier mensaje que aún no esté marcado como entregado, de acuerdo con este artículo de Guardian desde el 13 de enero de 2017:
WhatsApp tiene la capacidad de forzar la generación de nuevas claves de cifrado para los usuarios fuera de línea, desconocidas para el remitente y el destinatario de los mensajes, y para hacer que el remitente vuelva a cifrar los mensajes con nuevas claves y enviarlos nuevamente por cualquier mensaje que tenga no ha sido marcado como entregado.
El destinatario no tiene conocimiento de este cambio en el cifrado, mientras que el remitente solo recibe una notificación si ha optado por recibir advertencias de cifrado en la configuración, y solo después de que se hayan reenviado los mensajes. Este nuevo encriptado y retransmisión permite a WhatsApp interceptar y leer los mensajes de los usuarios.
La laguna de seguridad fue descubierta por Tobias Boelter, un investigador de criptografía y seguridad de la Universidad de California, Berkeley. Le dijo a The Guardian: "Si una agencia gubernamental le solicita a WhatsApp que divulgue sus registros de mensajes, puede otorgar acceso de manera efectiva debido al cambio de clave".
La vulnerabilidad no es inherente al protocolo Signal. La aplicación de mensajes de Open Whisper Systems, Signal, la aplicación utilizada y recomendada por el denunciante Edward Snowden, no sufre la misma vulnerabilidad.
Esto es un bit como tener una llave de oro para la conversación en cuestión, ya que podría permitir el acceso a todos los mensajes futuros en esa conversación, desde el momento de la intercepción en adelante:
Boelter dijo: "[Algunos] podrían decir que esta vulnerabilidad solo se puede utilizar para espiar los mensajes específicos" únicos ", no conversaciones enteras. Esto no es cierto si considera que el servidor de WhatsApp puede simplemente reenviar mensajes sin enviar el "mensaje recibido por la notificación del destinatario" (o la doble marca), que los usuarios podrían no notar. Al usar la vulnerabilidad de retransmisión, el servidor de WhatsApp puede luego obtener una transcripción de toda la conversación, no solo un mensaje. "
No, es inverosímil que WhatsApp posea una clave para leer tus mensajes cifrados de extremo a extremo.
WhatsApp implementa un cifrado de extremo a extremo según Signal protocol que ha mantenido una buena reputación en la comunidad de seguridad. De su documento técnico de seguridad :
Mensajes de WhatsApp, voz y video. llamadas entre un remitente y un receptor que utilizan el software de cliente de WhatsApp lanzados después del 31 de marzo de 2016 están cifrados de extremo a extremo.
El protocolo de señal, diseñado por Open Whisper Systems, es la base para El cifrado de extremo a extremo de WhatsApp. Este protocolo de cifrado de extremo a extremo está diseñado para evitar que terceros y WhatsApp tengan texto sin formato acceso a mensajes o llamadas. Lo que es más, incluso si las claves de cifrado desde el dispositivo de un usuario están comprometidos físicamente, no pueden ser solía retroceder en el tiempo para descifrar los mensajes transmitidos previamente.
El último punto se refiere a la propiedad de adelante secreto que proporciona el protocolo de Señal al implementar el doble trinquete algoritmo . Esto significa que incluso al comprometer la sesión actual, WhatsApp no podría descifrar ningún tráfico pasado. no hay una sola clave que pueda usarse para "descifrar todo tus mensajes". Por lo tanto, el reclamo no tiene sentido considerando cómo funciona el protocolo.
Dicho esto, mientras que el protocolo Signal es de código abierto, el cliente de WhatsApp de su tienda de aplicaciones no lo es. Si desconfías de ellos hasta el punto de esperar que WhatsApp envíe una rutina de puerta trasera en una de sus actualizaciones, entonces tendrás que encontrar un mensajero alternativo en el que puedas confiar.
Lea otras preguntas en las etiquetas encryption whatsapp instant-messaging