¿Por qué whatsapp Inc. todavía almacena en caché los datos del usuario incluso después de introducir el cifrado de extremo a extremo?

Navega tus respuestas
10

La semana pasada, Whatsapp introdujo el cifrado de extremo a extremo para evitar que el hombre se intercepte / ataque en el medio. La compañía afirma que los datos como texto, llamada, video, imágenes y documentos no se almacenan en su servidor, solo los dispositivos involucrados podrán almacenar o descifrar los datos. Pero aún así, " Carga rápida de imagen / video " funciona bien. La idea básica detrás de " Carga de imagen rápida / video " es almacenar en caché una copia de las imágenes / videos cargados en el servidor y cuando otro usuario intenta cargar el mismo contenido, se comparan los hashes. Si el hash coincide, entonces la copia del servidor se utiliza para evitar el uso de datos. Si la reclamación realizada por Whatsapp Inc. (en relación con el cifrado de extremo a extremo sin caché del servidor) es cierta, ¿cómo sigue funcionando " Quick Image / Video upload "

Actualizar

Gracias @TreyBlalock por compartir el documento técnico de seguridad de Whatsapp: enlace

  

Transmisión de medios y otros archivos adjuntos:

     

Los archivos adjuntos grandes de cualquier tipo (video, audio, imágenes o archivos) también se cifran de extremo a extremo:

     
  1. El usuario de WhatsApp que envía un mensaje ("remitente") genera una clave efímera de 32 bytes AES256, y una clave efímera de 32 bytes HMACSHA256.
    2.   
  2. El remitente cifra el archivo adjunto con la clave AES256 en modo CBC con un IV aleatorio, luego agrega un MAC del texto cifrado usando HMAC-SHA256.
    3.   
  3. El remitente carga los archivos adjuntos cifrados en un almacén de blob.
    4.   
  4. El remitente transmite un mensaje cifrado normal al destinatario que contiene la clave de cifrado, la clave HMAC, un hash SHA256 del blob cifrado y un puntero al blob en el almacén de blob.
    5.   
  5. El destinatario descifra el mensaje, recupera el blob cifrado del almacén de blob, verifica el hash SHA256, verifica el MAC y descifra el texto sin formato.
    6.   

El puntero número 3 es interesante aquí. Básicamente, están almacenando en caché los archivos adjuntos en su blob, lo que significa que, por supuesto, están almacenando los datos encriptados en un dispositivo que no es un dispositivo de comunicación.

  

Ahora la pregunta del millón: " ¿Sus datos están seguros? ¿Están fuera de   ¿Alcanza las autoridades o los hackers? "

    
pregunta Ganesh 09.04.2016 - 19:49
fuente

1 respuesta

2

Todas las especulaciones sobre qué es la aplicación realmente usa e2e siempre que sea posible (o si se apaga con un interruptor de detención cuando lo deseen) a un lado:

Si lo que se describe en el documento es cierto, sus datos están bien en el blob, ya que están cifrados razonablemente bien.

Lo único que ya no funcionaría es la deduplicación de datos, por ejemplo,

  

Si un archivo con ese hash ya está presente, no lo cargue, indique el éxito del usuario.

Esto crea una mayor carga en los servidores, y posiblemente en planes de datos telefónicos para personas que copian videos en lugar de enviar enlaces.

Tenga en cuenta que si subiera un archivo por segunda vez, su dispositivo podría almacenar en caché el archivo y las claves correspondientes y enviar una referencia al mismo objeto blob, compartiendo las mismas claves que antes, a otros usuarios. / p>

Esto de alguna manera al menos disminuiría la cantidad de datos que deben ir al servidor para que una sola persona envíe el mismo archivo a varias personas.

    
respondido por el Tobi Nary 10.04.2016 - 02:42
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo convencer a mis clientes de que no envíen datos de la tarjeta de crédito por correo electrónico? ¿Puede un intruso terminar una conexión TCP si se ha utilizado SSL / TLS para proteger los datos en el segmento TCP?