מדוע גיבויים מוצפנים של WhatsApp לא יעצור מפייסבוק לחטט
טייק אווי מפתח
- הגיבויים של WhatsApp מוצפנים כעת בבטחה, אפילו ב-iCloud וב-Google.
- פייסבוק מאחסנת את המפתחות במודול חומרה, אך המשתמשים יכולים לאחסן אותם באופן מקומי.
- פייסבוק עדיין יודעת הרבה על ההודעות שלך.
למרבה האירוניה, וואטסאפ של פייסבוק עשויה כעת להיות אחת מאפליקציות העברת ההודעות המאובטחות ביותר.
WhatsApp תצפין כעת את הגיבויים שלך, יחד עם ההצפנה הקיימת מקצה לקצה שהיא משתמשת בה לשליחת הודעות. המשמעות היא שאין דרך לגשת להודעות שלך ללא גישה פיזית למכשיר שלך.
ההצפנה חלה על הגיבויים המאוחסנים בשרתים של אפל או גוגל, מה שאומר שה-iCloud שלך הגיבוי בטוח, למשל, גם אם אפל נאלצת למסור את הגיבויים הלא מוצפנים שלך ל- מִשׁטָרָה. אז, האם זה הופך את WhatsApp לשירות ההודעות הבטוח ביותר?
"הצ'אטים של WhatsApp ועכשיו הגיבויים מאובטחים לחלוטין מצדדים שלישיים, גם כאשר הגיבויים הללו נמצאים בשרתי אפל וגוגל." אריק מקגי, מהנדס רשתות בכיר ב-TRGDatacenters, אמר ל-Lifewire בדוא"ל. "וואטסאפ, בניגוד לאפל, לא שומרת את מפתח ההצפנה, מה שאומר שלא ניתן לכפות עליה לתת [אותו] לצדדים שלישיים כמו רשויות אכיפת החוק".
כספת וירטואלית
הודעות WhatsApp כבר מוצפנות מקצה לקצה; ההודעה מוצפנת במכשיר שלך, נשלחת ומפוענחת על ידי הנמען. זה כמו לשלוח הודעה בקוד - אם היא מיירטת, אף אחד לא יכול לפענח אותה.
עַכשָׁיו, פייסבוק עושה משהו דומה עבור הגיבויים שלך. הגיבויים עצמם מוצפנים ומאוחסנים בגיבוי שלך בגוגל או אפל. אבל המפתח לפענוחם מאוחסן ב"מודול אבטחת חומרה" (HSM) - מכשיר פיזי שנשלט על ידי פייסבוק. אם אתה צריך גישה לגיבויים שלך, אתה יכול לבטל את נעילת המפתח ב-HSM על ידי הזנת סיסמה בטלפון שלך.
למה לא פשוט לאחסן את המפתח שפותח את נעילת הגיבוי שלך בטלפון שלך? פייסבוק אומרת שה-HSM אומר שאתה יכול לקבל סיסמה פשוטה וקלה לזכור בטלפון שלך תוך כדי מפתח מורכב וקשה לפיצוח ב-HSM. זה גם אומר שאתה יכול לשחזר את המפתח - ולגשת לגיבוי שלך, גם אם המכשיר שלך אבד או נגנב - כל עוד אתה זוכר את הסיסמה שלך.
ב נייר לבן משויך, פייסבוק מפרטת את ההגדרה. משתמשים יכולים לבחור להשתמש במפתח בן 64 ספרות ולאחסן אותו בעצמם. במקרה זה, המפתח אינו מאוחסן ב-HSM של פייסבוק, כך שאם אתה מאבד את המפתח, אתה מאבד את הגיבויים שלך.
לפייסבוק אין גישה להודעות שלך. זה נהדר, אבל רק חלק קטן מהסיפור.
מכונת מעקב של פייסבוק
ההודעות שלך מורכבות משני דברים - התוכן של ההודעות והמטא נתונים שלהן. גם אם הראשון נעול, האחרון נשאר בעל ערך, ולפייסבוק יש גישה חופשית. מטא נתונים מראים למי אתה שולח הודעות, מתי והיכן אתה נמצא כשאתה שולח אותן. באופן דומה, זה מראה מי קורא את ההודעות האלה ומתי.
"וואטסאפ, בניגוד לאפל, לא שומרת את מפתח ההצפנה, מה שאומר שלא ניתן לכפות עליה לתת [אותו] לצדדים שלישיים כמו רשויות אכיפת החוק".
כל מי שיש לו גישה לזה מטא נתונים יכולים לזהות דפוסים. למשל, הוגן להניח שאדם שמתקשר לספק מזון, מנעולן, מדפסת וספק ציוד מטבח, כנראה מקים מסעדה כלשהי.
ואם אתה חושב על מנגנון המעקב של פייסבוק, שנועד להציק לך ביותר פרטים אינטימיים מהגרף החברתי שלך, מטא נתונים אלה חשובים כמו התוכן שלך הודעות.
האלטרנטיבות
גם iMessages של אפל מוצפנים מקצה לקצה, אבל הגיבויים לא. או ליתר דיוק, הגיבויים האלה מוצפנים, אבל אפל מחזיקה את המפתח כדי לפתוח אותם, מה שהופך את ההצפנה הזו לחסרת תועלת. אז גם אם אתה משתמש באפשרות סינכרון הודעות ב-iCloud, כל ההודעות המאוחסנות במכשיר שלך כלולות בגיבויים של iCloud ולכן אפל יכולה לגשת אליה.
הדרך היחידה לעקוף זאת היא להשבית את גיבוי iCloud ולגבות במקום זאת למחשב שלך.
אות היא כנראה הבטוחה ביותר מכל פלטפורמות העברת ההודעות מכיוון שהיא לא חוסכת מטא נתונים. במקום זאת, הוא מעביר מסרים ואז שוכח מהם הכל. "הודעות מאוחסנות רק באופן מקומי", אומר שאלות נפוצות של Signal. "גיבוי של iTunes או iCloud אינו מכיל אף אחד מהיסטוריית הודעות האותות שלך."
באופן דומה, ההודעות שלך לא נשמרות בגיבויים שלך, כך שגם זה בטוח.
עם זאת, אתה יכול להעביר את היסטוריית ההודעות בחשבון שלך למכשיר חדש, אבל זה נעשה על ידי העברה ישירה, והמכשיר הישן מושבת.
לסיכום, אם אתה רוצה פרטיות, השתמש ב-Signal. אבל אם אתה משתמש בוואטסאפ, תהנה מאמצעי ההגנה החדשים האלה, אבל זכור שפייסבוק עדיין אוספת הכל מלבד התוכן של ההודעות שלך.