La semana pasada, Whatsapp introdujo el cifrado de extremo a extremo para evitar que el hombre se intercepte / ataque en el medio. La compañía afirma que los datos como texto, llamada, video, imágenes y documentos no se almacenan en su servidor, solo los dispositivos involucrados podrán almacenar o descifrar los datos. Pero aún así, " Carga rápida de imagen / video " funciona bien. La idea básica detrás de " Carga de imagen rápida / video " es almacenar en caché una copia de las imágenes / videos cargados en el servidor y cuando otro usuario intenta cargar el mismo contenido, se comparan los hashes. Si el hash coincide, entonces la copia del servidor se utiliza para evitar el uso de datos. Si la reclamación realizada por Whatsapp Inc. (en relación con el cifrado de extremo a extremo sin caché del servidor) es cierta, ¿cómo sigue funcionando " Quick Image / Video upload "
Actualizar
Gracias @TreyBlalock por compartir el documento técnico de seguridad de Whatsapp: enlace
Transmisión de medios y otros archivos adjuntos:
Los archivos adjuntos grandes de cualquier tipo (video, audio, imágenes o archivos) también se cifran de extremo a extremo:
- El usuario de WhatsApp que envía un mensaje ("remitente") genera una clave efímera de 32 bytes AES256, y una clave efímera de 32 bytes HMACSHA256.
- El remitente cifra el archivo adjunto con la clave AES256 en modo CBC con un IV aleatorio, luego agrega un MAC del texto cifrado usando HMAC-SHA256.
- El remitente carga los archivos adjuntos cifrados en un almacén de blob.
- El remitente transmite un mensaje cifrado normal al destinatario que contiene la clave de cifrado, la clave HMAC, un hash SHA256 del blob cifrado y un puntero al blob en el almacén de blob.
- El destinatario descifra el mensaje, recupera el blob cifrado del almacén de blob, verifica el hash SHA256, verifica el MAC y descifra el texto sin formato.
El puntero número 3 es interesante aquí. Básicamente, están almacenando en caché los archivos adjuntos en su blob, lo que significa que, por supuesto, están almacenando los datos encriptados en un dispositivo que no es un dispositivo de comunicación.
Ahora la pregunta del millón: " ¿Sus datos están seguros? ¿Están fuera de ¿Alcanza las autoridades o los hackers? "