Η πλατφόρμα messenger WhatsApp εισήγαγε το Identity Proof Linked Storage (IPLS), ένα νέο κρυπτογραφημένο σύστημα αποθήκευσης που διατηρεί το απόρρητο, σχεδιασμένο για διαχείριση επαφών.
Το νέο σύστημα λύνει δύο μακροχρόνια προβλήματα που αντιμετωπίζουν εδώ και χρόνια οι χρήστες του WhatsApp, δηλαδή τον κίνδυνο να χάσουν τις λίστες επαφών τους εάν χάσουν το τηλέφωνό τους και την αδυναμία συγχρονισμού επαφών μεταξύ διαφορετικών συσκευών.
Με το IPLS, οι λίστες επαφών WhatsApp θα συνδέονται πλέον με τον λογαριασμό και όχι με τη συσκευή, επιτρέποντας στους χρήστες να τις διαχειρίζονται εύκολα μεταξύ των αλλαγών ή των αντικαταστάσεων της συσκευής.
Επιπλέον, το IPLS καθιστά δυνατή τη διατήρηση διαφορετικών λιστών επαφών για πολλούς λογαριασμούς στην ίδια συσκευή, καθένας από τους οποίους διαχειρίζεται με ασφάλεια και απομονώνεται από τους υπόλοιπους.
Ένα ασφαλές, κρυπτογραφημένο σύστημα
Το IPLS επιτυγχάνει ασφάλεια μέσω ενός συνδυασμού κρυπτογράφησης, διαφάνειας κλειδιού και χρήσης μονάδων ασφαλείας υλικού (HSMs).
Όταν προστίθεται μια νέα επαφή, το όνομα κρυπτογραφείται χρησιμοποιώντας ένα συμμετρικό κλειδί κρυπτογράφησης που δημιουργείται στη συσκευή του χρήστη και αποθηκεύεται στο θησαυροφυλάκιο κλειδιών που βασίζεται σε HSM, με προστασία από παραβιάσεις.
Όταν ο χρήστης συνδέεται σε μια νέα συσκευή, δημιουργείται μια ασφαλής περίοδος σύνδεσης με το κλειδί Vault που βασίζεται σε HSM για την ανάκτηση της νέας επαφής εκτελώντας μια ενέργεια ελέγχου ταυτότητας χρησιμοποιώντας το κρυπτογραφικό ζεύγος κλειδιών που είναι συνδεδεμένο με τον λογαριασμό του χρήστη (που δημιουργήθηκε κατά την εγγραφή).
Πηγή: Meta
Το IPLS διασφαλίζει ότι όλες οι επαφές είναι κρυπτογραφημένες από άκρο σε άκρο, πράγμα που σημαίνει ότι τα δεδομένα επαφών κρυπτογραφούνται στη συσκευή του χρήστη και παραμένουν κρυπτογραφημένα καθώς κινούνται μέσω των συστημάτων του WhatsApp, αποτρέποντας τις υποκλοπές κατά τη μεταφορά ή την πρόσβαση από αδίστακτους υπαλλήλους της Meta.
Το WhatsApp συνεργάζεται επίσης με το Cloudflare για ανεξάρτητο έλεγχο τρίτων των κρυπτογραφικών λειτουργιών του, συγκεκριμένα, για να λειτουργεί ως εγγυητής των ενημερώσεων στον Κατάλογο Ακουστικού Κλειδιού (AKD), υπογράφοντας κάθε εποχή και επικυρώνοντας ότι δεν έχει παραβιαστεί.
Το WhatsApp δημοσιεύει ελεγχόμενες αποδείξεις συνέπειας για τις ενημερώσεις του βασικού καταλόγου (μεταβάσεις μεταξύ εποχών) σε μια δημόσια προσβάσιμη παρουσία του Amazon S3, επιτρέποντας στους χρήστες, τους ερευνητές και τους ελεγκτές να επαληθεύουν ανεξάρτητα την ακεραιότητα του AKD.
Πηγή: Meta
Πριν καν παρουσιαστούν στο κοινό το IPLS και οι υποκείμενοι μηχανισμοί, η WhatsApp συνήψε σύμβαση με το NCC Group για να εκτελέσει ένα έλεγχος ασφαλείας στο νέο σύστημα.
Η πιο κρίσιμη ανακάλυψη αυτού του ελέγχου ήταν ένα ελάττωμα που επέτρεπε την πλαστοπροσωπία των HSM της Marvell και την αποκρυπτογράφηση του υλικού μυστικού κλειδιού των χρηστών, αποκαλύπτοντας δυνητικά μεταδεδομένα ιδιωτικών επαφών.
Αυτό το πρόβλημα, μαζί με 12 ελαττώματα με χαμηλή έως μέτρια σοβαρότητα, αντιμετωπίστηκαν από το WhatsApp τον Σεπτέμβριο του 2024, επομένως δεν υπάρχουν στην τελική έκδοση του IPLS.
VIA: bleepingcomputer.com
