¿Cómo funciona el cifrado de extremo a extremo con Whatsapp web?

47

Desde hoy me he dado cuenta de que WhatsApp está utilizando el cifrado de extremo a extremo. Sin embargo, web.whatsapp.com también sigue funcionando. ¿Whatsapp establece una conexión con mi teléfono para mantener las cosas seguras?

    
pregunta Mehdi Nellen 05.04.2016 - 19:29
fuente

1 respuesta

34

Correcto: el cliente web está estableciendo una conexión segura con el teléfono. Los mensajes que envía a través de WhatsApp Web están cifrados por el cliente web, descifrados por el teléfono, luego se vuelven a cifrar para que se ajusten al esquema de extremo a extremo y luego se envíen al destinatario. Lo mismo al revés.

No sé detalles sobre el protocolo, pero esto es lo que sospecho (o cómo lo implementaría):

  • La primera vez que se abre WhatsApp Web, se genera un par de claves para el cifrado / firma asimétricos (y se almacena en el almacenamiento local del navegador) . Probablemente RSA o ECC.
  • Al escanear el código QR se intercambia la huella digital de la clave pública de dichos pares de llaves. Esto establece la confianza entre la instalación del teléfono y del navegador: el hecho de que el usuario haya escaneado el código QR implica que el usuario confía en el navegador.
  • Cuando se va a usar la Web de WhatsApp, se establece una conexión TLS con el teléfono (probablemente, como proxy de WhatsApp para superar los problemas de Firewall y NAT). WhatsApp Web se autentica en el teléfono mediante el par de llaves generado inicialmente (confiando así en la confianza establecida anteriormente).
    • La conexión entre el navegador y el teléfono es TLS completo: se incluyen autenticación y PFS.
respondido por el marstato 05.04.2016 - 19:34
fuente

Lea otras preguntas en las etiquetas