Teljes titkosítást kap a WhatsApp

Tizenegyesig csavarja a biztonsági potmétert a WhatsApp, a világ legnépszerűbb csevegőappja a jövőben alapértelmezetten bevezeti a titkosítást teljes felületén, beleértve a szöveges chatet, hang- és videoüzeneteket, illetve a továbbított fényképeket, dokumentumokat is. A Facebook tulajdonában lévő cég által használt, végpontok közötti titkosításnak köszönhetően a felhasználók közötti üzenetváltásba sem harmadik felek, sem pedig maga a vállalat nem tud belenézni - így az a hatóságok előtt is rejtve marad.

A lépést a vállalat ügyesen időzítette, a felhasználók privát szférájának - illetve annak határainak - kérdése ugyanis a utóbbi hetekben, az Apple és az FBI nemrég lezárult bírósági csatájának hála a szokottnál is aktívabban van jelen a köztudatban. A mintegy 900 millió felhasználóval rendelkező WhatsApp egyébként nem most kezdte meg a titkosítás bevezetését, a vállalat már 2013-ban hozzáfogott az opcionálisan igénybe vehető biztonsági megoldás beépítéséhez alkalmazásába. A kezdeményezéshez 2014-ben a kifejezetten az üzenetküldő megoldások titkosítását célzó, nyílt forrású Open Whisper Systems projektet működtető, Moxie Marlinspike fedőnév alatt dolgozó fejlesztő is csatlakozott.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A WhatsApp a cég által közzétett whitepaper szerint az Open Whisper Systems által megtervezett Signal Protocol titkosítási protokollt használja. A felhasználók közötti kapcsolat létrehozásához először a chatkliens elindít egy titkosított munkamenetet, amely egészen addig megmarad, míg valamelyik fél újra nem telepíti az appot vagy telefont nem cserél. A munkamenet létrejöttével folyamatosan lehetőség van az üzenetküldésre, még akkor is, ha a címzett épp offline: az első üzenettel a küldő az adott munkamenet létrehozására vonatkozó információkat is továbbítja, így a címzett rögtön be tud csatlakozni a beszélgetésbe, amint ismét elérhető lesz az appban.

Ahogy azt a cég a technikai leírásban hangsúlyozza, a WhatsAppnak az üzenetváltás semelyik szakászában sincs hozzáférése a felhasználók privát kulcsaihoz, amelyek az üzenetek titkosításának feloldásához szükségesek, így azokat ha akarná se tudná kiadni, egy hatósági adatbekérés esetén sem. A kulcsok tehát az eszközökön és kizárólag az eszközökön tárolódnak, ezek elvesztése így értelemszerűen az üzenetekhez való hozzáférést is ellehetetleníti.

A vállalatot a népszerű chatszolgáltatásban alkalmazott titkosítás miatt korábban már több esetben is érte bírálat kormányzati szervek részéről, az appot többek között a tavaly novemberi párizsi terrortámadás elkövetői is használták kommunikációra. De Brazíliában 2015 decemberében rövid időre be is tiltották a szoftvert, miután az nem adott át - pontosabban nem tudott átadni - felhasználói adatokat egy bűnügyi nyomozás során. Ugyanebben az ügyben egyébként a Facebook egyik vezető beosztottját, Diego Dzodant egy hónappal ezelőtt le is tartóztatták a brazil hatóságok, arra hivatkozva, hogy a vállalat sorozatosan "nem működött együtt" a bírósággal.

A WhatsAppot ugyanakkor ez úgy látszik nem állítja meg a titkosítás bevezetésében, még akkor sem, ha az immár száz százalékban titkosított csevegőapp a jövőben még több, a fentiekhez hasonló összetűzéshez vezethet különböző országok hatóságaival.

A helyzet iróniája egyébként, hogy az alkalmazás által használt Signal Protocolt az Open Whisper Systems egy az Open Technology Fund csoporttól 2013-ban kapott jelentős, 2,25 millió dolláros támogatással fejlesztette ki - az Open Technology Fund fő támogatója pedig különböző szervezeteken keresztül az Egyesült Államok kormánya, így lényegében egy túlnyomórészt kormányzati pénzből létrejött a megoldásról van szó, amelyet épp a kormányzatok kifogásolnak leghangosabban.