여러 장치에서 암호화된 메시지는 위험을 증가시킬 수 있다고 전문가들은 말합니다.

December 02, 2021
에뉴스 인터넷 보안

click fraud protection

주요 내용

WhatsApp은 소규모 사용자 그룹을 대상으로 다중 장치 기능을 베타 테스트하고 있습니다.
새로운 기능을 통해 사용자는 4개의 추가 장치에서 통신을 동기화할 수 있습니다.
전문가들은 암호화된 경우에도 장치 간에 통신할 때 개인 정보 보호 트레이드오프가 있을 수 있다고 말합니다.

기술 디지털 그래픽이 있는 휴대 전화 및 노트북 컴퓨터로 작업하는 손 — Busakorn Pongparnit / 게티 이미지

7월 발표 이후 다중 장치 기능은 베타 버전이었습니다., WhatsApp 사용자는 여러 장치에서 로그인할 수 있다는 아이디어에 기뻐했습니다. 그러나 추가된 편의성이 개인 정보 보호에 대한 절충안과 함께 올까요? 알아야 할 사항이 있습니다.

그것에도 불구하고 호평받는 암호화 프로토콜, 인기 있는 메시징 앱에는 불타오르다 NS 몇 번 ~에 최근 몇 년 (그리고, 어, 어제) 수많은 취약점에 대해 보안에 대한 질문을 제기합니다. 전문가들은 암호화된 통신 앱에 여러 장치를 연결할 때도 절충점이 있을 수 있다고 경고합니다.

"[질문]은 장치를 더 추가하는 것이 아니라 항상 안전합니까?" 스티븐 M. 벨로빈, 콜롬비아 대학의 컴퓨터 과학 교수는 전화 인터뷰에서 라이프와이어에 말했습니다. "보안 문구는 '공격 표면'입니다. 얼마나 많은 곳에서, 얼마나 다양한 방식으로 공격을 받을 수 있습니까?"

기술적으로 안전한

Bellovin에 따르면 하나의 계정으로 여러 장치를 보호하는 것과 관련하여 해결해야 할 가장 어려운 문제 중 하나는 암호화의 기본 기반에서 시작됩니다.

벨로빈은 암호화 키를 자신이 속한 자동차에만 시동을 걸 수 있는 자동차 키와 비교하면서 "모든 암호화는 비밀 키에 의존한다"고 말했다. "모든 사람은 자신의 것이 있어야 합니다. 그렇기 때문에 당신은 읽을 수 있고 다른 사람은 읽을 수 없습니다."

종단 간 암호화(E2EE)에 의존하는 모든 앱은 키 처리 및 네임스페이스의 기본 원칙을 기반으로 하는 특정 프로토콜을 사용하기 때문에(후자는 일반적으로 사용자의 전화번호), Bellovin은 여러 장치에서 키를 안전하게 이동하고 소유자를 인증하는 방법을 찾는 것이 문제라고 말했습니다. 질문."

왕국의 열쇠

경쟁업체와 마찬가지로 WhatsApp은 이미 사용자가 키와 연결된 스마트폰(회사 그런 다음 계정을 미러링한다고 말합니다.). 그러나 베타 시스템에서는 동기화된 각 장치에 고유한 키가 있어 사용자가 전화 없이 4개의 추가 장치에 로그인할 수 있습니다.

"[질문]은 장치를 더 추가하는 것이 아니라 항상 안전합니까?"

"E2EE는 일반적으로 사용하려는 모든 장치에 키를 복사해야 하는 사용자당 하나의 암호화 키를 사용합니다. 그래서 WhatsApp은 지금까지 하나의 장치만 지원했습니다. 여러 장치로 이동하는 동안 해당 암호화 키를 안전하게 유지하기 어렵기 때문입니다. 장치" 존 S. 코PDK(Per-Device Keys)라는 다중 장치 E2EE 접근 방식에 중점을 둔 보안 연구원이 라이프와이어에 이메일로 말했습니다.

"PDK를 사용하면 사용자가 하나의 암호화 키만 갖는 대신 각 사용자의 장치에 고유한 암호화 키가 있습니다. WhatsApp은 이 개념을 받아들이고 장치 키를 '신원 키'라고 부릅니다."라고 Koh는 말했습니다. "기기당 하나의 키에 의존하는 내 및 아마도 WhatApp의 접근 방식을 사용하는 여러 기기에서 E2EE의 이점 중 하나는 사용 모델이 사용자가 훨씬 더 쉽게 이해할 수 있다는 것입니다. 절충안은 사용자가 장치를 잃어버리고 액세스 권한을 제거해야 하는 경우가 있는데, 이는 때때로 힘든 과정이 될 수 있습니다."

더 많은 장치, 동일한 솔루션

"무언가가 안전한지 여부에 대한 대답은 항상 '필요한 사항이 무엇입니까?'라는 또 다른 질문에서 시작됩니다." 마리차 존슨샌디에고 대학의 보안 및 개인 정보 보호 전문가이자 센터 책임자인 는 전화 인터뷰에서 라이프와이어에 말했습니다.

페이스북은 개인의 보안 요구를 해결하기 위해 블로그 게시물 WhatsApp은 계정에 연결된 모든 장치를 보고 마지막으로 사용한 시간을 볼 수 있는 기능을 제공할 계획입니다. 원격으로 로그아웃하십시오. Johnson이 말한 것은 특히 때때로 파트너 학대의 피해자에게 중요합니다. 사이버스토킹의 표적.

휴대폰 브라우징 인터넷을 사용하는 남자, 홈 오피스 테이블에 있는 노트북 컴퓨터를 통해 작업 — Tippapatt / 게티 이미지

존슨은 "전 남자친구의 휴대전화가 모든 사본을 받는 것을 원하지 않거나 알지 못하거나 종료하는 방법을 모른다"고 말했다. "공유 장치에서 WhatsApp 계정에 로그인하고 이것이 어떤 영향을 미칠지 생각하고 싶다면 개인적인 결정입니다."

Johnson은 또한 가장 강력한 암호화로는 보호할 수 없는 다른 사람이 물리적으로 액세스하지 못하도록 연결된 모든 장치를 암호로 보호해야 한다고 강조했습니다.

"같은 계정으로 사용하는 모든 노트북, 태블릿 또는 기타 기기에서 누군가가 스와이프하여 열 수 없도록 기본 보안 수준이 동일해야 합니다."라고 Johnson이 말했습니다.