Según esta publicación en quora la aplicación de mensajería de WhatsApp parece utilizar criptografía de clave pública pero sin una autoridad de confianza de terceros para verificar la clave pública.
¿Es cierto? ¿Y si no lo hace, deja a los usuarios abiertos para atacar en el medio a menos que verifique manualmente las claves?
WhatsApp utiliza la Signal , que conceptualmente es mucho más cercana a PGP que TLS (y es el uso de las autoridades de certificación).
El sitio web de WhatsApp tiene una buena descripción general y una en profundidad whitepaper si desea entenderlo mejor.
Whatsapp ha publicado su implementación de seguridad.
Las claves que utilizan los clientes para generar las claves de cifrado de extremo a extremo se obtienen del servidor de Whatsapp y no de otros clientes. Esto hace posible probar la integridad y autenticidad de las claves que se reciben desde el servidor. Esto elimina el riesgo de que un atacante malintencionado lance un MiTM o un ataque de enmascaramiento.
Dicho esto, los clientes confían en el servidor para enviar las claves generadas por el destinatario del mensaje. Whatsapp siempre puede ejecutar un ataque MiTM enviando su propio conjunto de claves.
Lea otras preguntas en las etiquetas public-key-infrastructure encryption whatsapp rsa