¿Qué tan seguro es el nuevo cifrado de extremo a extremo de WhatsApp?

Advertencia larga respuesta!

Desde 1990, he estado estudiando la confidencialidad de los sistemas de mensajería en computadoras y dispositivos móviles.

Era obvio que los foros electrónicos, correos electrónicos y mensajes SMS podían ser interceptados fácilmente por terceros. Esperar que el servicio que brindaba a las empresas desarrollara e implementara protocolos de confidencialidad no era realista. Nunca hubo un consenso general sobre la necesidad de confidencialidad o desarrollo de protocolos entre servicios.

Con el desánimo de los gobiernos, muchos informáticos evitaron la creación de software para mantener la comunicación confidencial entre las partes.

Muchas películas de espías mostraron tecnologías avanzadas para mantener la comunicación entre los espías y sus organizaciones. La más famosa es la máquina Enigma utilizada por los alemanes durante la Segunda Guerra Mundial. El científico británico Alan Turing fue el que desarrolló una versión temprana de las computadoras actuales para resolver el misterio de la máquina Enigma. Como todo visionario, tuvo serios problemas con el establecimiento. Después de que el gobierno descubriera que era homosexual, le dieron 2 opciones. La primera opción era ir a la cárcel hasta que se volviera heterosexual o castración química. El pobre Turing eligió la segunda opción y después de un tiempo se suicidó. Todo criptólogo hoy recuerda lo que le sucedió al primer representante de esta ciencia.

Sin entrar en los términos tecnológicos (todos están disponibles en Wikipedia), la mejor manera de mantener la conversación confidencial es usar un libro de códigos entre 2 (o más, pero más sobre eso más adelante) partes. Un libro de códigos es una definición simple y una lista de códigos que se comparte entre las partes y cada código se usa solo una vez. A menos que el libro de códigos se vea comprometido, este método de comunicación de privacidad es a prueba de balas. No hay computadora en el mundo, y no habrá ninguna en el futuro que pueda descubrir cuál es la comunicación. El único método sería la vieja escuela espiando a las partes que se comunican entre sí.

Si necesito dar un ejemplo para el método anterior, sería como elegir un periódico que sea accesible para ambas partes. Esa será nuestra base de mensajes.

Definamos un libro de códigos ahora:

El primer código en el libro es

3–4,6–7,1–2 y se repite

el segundo código es

5–7,3–1,8–5,4–2 y se repite

Digamos que hoy te mando un mensaje como

20,42,15,5,8,67,23,56,12,43,13,11,10

Como es nuestro primer intercambio de mensajes, utilizará el primer código del libro. Además, nuestra base de mensajes solo la conocemos nosotros, lo que dificulta aún más que otros entiendan el mensaje secreto que acabo de enviarle.

Para entender el mensaje, esto es lo que debe hacer: elige el New York Times de hoy, que es el periódico que acordamos usar.

Tome el primer número en el mensaje secreto que es 20, luego busque en el libro de códigos el primer código que es 3–4. Vaya a la tercera página, encuentre el cuarto párrafo, obtenga el vigésimo carácter y repita este proceso para cada número en el mensaje secreto que envié.

Digamos que MI6 está tratando de interceptar el mensaje, lo cual hacen porque envié el mensaje por correo electrónico o SMS o evento con ambos.

Todo lo que tienen es 20,42,15,5,8,67,23,56,12,43,13,11,10 y no tienen idea de lo que significa. No saben qué fuente de texto usamos, cuál era el New York Times y no conocen el código que usamos para ese mensaje que era 3–4,6–7,1–2. Incluso podemos hacer que esto sea más difícil, para cada día de la semana usamos un periódico diferente en el que estamos de acuerdo.

Y digamos que MI6 descubre qué periódico usamos para cada día, digamos que incluso descubren nuestro mecanismo de código, que es la página, el párrafo y el carácter para decodificar el mensaje secreto.

Mientras usemos cada línea de código solo una vez y nunca repitamos los códigos usados, prácticamente no hay forma de que MI6 descubra nuestra conversación. Excepto, por supuesto, enviar su doble agente a uno de nosotros y golpearnos en la cabeza con una barra de hierro que nos haría cantar como un pájaro y revelar todos los secretos.

Como puede ver en el ejemplo, una barra de hierro, colocada estratégicamente en su cabeza con un golpe moderado, rompería todo el código que establecimos.

Dejando a un lado esa realidad, si le susurro al oído los nombres de los periódicos y le entrego un trozo de papel con una lista de códigos que también tengo la misma copia, hasta que se acaben los códigos, no hay forma de que nuestra comunicación pueda ser interpretada cuando es interceptada .

La dificultad en este tipo de confidencialidad de mensajes es compartir y mantener un papel con una lista de códigos y hacer el intercambio de códigos nuevamente cuando la lista de códigos se agota y nunca usar un código nuevamente.

Cuando esto no es posible por razones prácticas como la distancia entre las partes o el número de mensajes intercambiados es demasiado alto y frecuente, la metodología utilizada es el cifrado basado en computadora (que garantiza la confidencialidad de la comunicación entre las partes) de los mensajes.

Esto tampoco es muy diferente de lo que hicimos en el primer ejemplo. Para crear nuestros códigos interminables es que para cada mensaje que intercambiamos usamos 3 constantes. Tiene una clave maestra, una clave pública y estamos de acuerdo en una fórmula matemática que es muy difícil de resolver para la computadora. La dificultad aquí asegura que el tiempo para probar cada combinación de variables (sin la clave maestra) para la fórmula es tan largo que prácticamente hace imposible que otros adivinen nuestra lista de códigos.

En este método también tengo una clave maestra y una clave pública. Para resolver el problema de mantener una lista de códigos establecidos y comunicar que entre las partes intercambiamos libremente nuestras claves públicas con todos y cuando le envío un mensaje, utilizo su clave pública (cualquiera de mis claves excepto generar una firma especial con mi clave privada para que pueda validar con mi clave pública que garantiza que el mensaje se haya originado realmente en mí) para crear un mensaje confidencial. Cuando lo recibe por correo electrónico, SMS o correo postal normal, utiliza su clave privada que solo puede averiguar el contenido del mensaje confidencial. Y como estamos hablando de sistemas informáticos, protegemos nuestras claves privadas con contraseñas.

No me gusta usar nombres dados por ingenieros informáticos o cualquier otra persona técnica, pero en aras de la aclaración, esta clave maestra / pública y un algoritmo establecido para usar se llama criptología de clave pública privada.

Otro término que no me gusta es “cifrado de extremo a extremo”. Esto es para confirmar que el método de criptología utilizado no puede ser interceptado por otras partes y solo el destinatario puede entender el contenido del mensaje.

Una empresa que ha desarrollado una implementación de cifrado de extremo a extremo es Open Whisper Systems. Llamaron a su producto ‘Señal’, que es una plataforma y también el nombre de su aplicación en iOS y Android. Su producto utiliza esta criptología de clave pública privada para garantizar que las comunicaciones de texto y voz entre las partes se mantengan confidenciales. Supuestamente el infame denunciante de irregularidades de la NSA Edward Snowden usa su aplicación y la considera bastante buena.

Ahora volvamos al problema de seguridad de WhatsApp. WhatsApp está utilizando el protocolo establecido por Open Whisper Systems para sus comunicaciones públicas protegidas por clave privada (audio, video y mensajes de texto).

El problema es que la facilidad de uso de la aplicación Signal no es buena. Hay ciertos momentos en que estas claves públicas y privadas tienen que cambiarse. 2 ejemplo de esos momentos es si cambia su teléfono o desinstala / reinstala su aplicación (cualquiera que sea la aplicación que esté utilizando, Signal o WhatsApp)

Para probar la facilidad de uso de Signal App para manejar el cambio de los pares de claves (combinaciones de claves públicas privadas) utilicé mi conejillo de indias humano Riz. Fue muy difícil para mí explicar lo que tiene que hacer y también encontrar la ubicación de los elementos del menú fue terriblemente difícil. Después de maldecirme a mí y a los diseñadores de aplicaciones muchas veces, Riz completó la aprobación del nuevo intercambio de claves entre nosotros para que pudiéramos comunicarnos nuevamente.

Echemos un vistazo a cómo WhatsApp ha implementado esta renovación de pares clave entre usuarios. Dado que la autenticidad de un usuario solo puede identificarse confiando en su firma privada con clave firmada y, en el caso probable de que el usuario tenga un teléfono nuevo o haya reinstalado la aplicación WhatsApp, los servidores de WhatsApp conservan una copia del mensaje secreto hasta que el destinatario lo descargue. Ahora digamos que me enviaste un mensaje mientras estaba desconectado y mientras tanto cambié de teléfono. Cuando recibo ese mensaje de usted, lo que hace la aplicación Signal es que me advierte y no le permitirá comunicarse con usted hasta que apruebe su nueva clave pública (en el estilo de una clave pública combinada de ambas partes porque solo hay un código que necesita ser verificado en ambos extremos). En lugar de pedirle al usuario que verifique qué hace WhatsApp, vuelve a cifrar su mensaje con mi nueva clave (en su explicación, solicite a su WhatsApp que mantenga ese mensaje en la memoria en forma cifrada y primero descifre y luego vuelva a cifrar el mismo mensaje con mi nueva clave pública) sin pedirnos a ninguno de nosotros que vuelva a confirmar la identidad de ambas partes.

Esto técnicamente abre una puerta trasera para que las agencias de inteligencia descifren los mensajes entre las partes.

¿Cómo sucede eso? WhatsApp confirma la instalación de la aplicación mediante confirmación por SMS. Digamos que quiero interceptar sus mensajes de WhatsApp. Envío un equipo en una camioneta de reparto que parece una camioneta de reparación pero que tiene un bloqueador de señal de comunicación móvil a la dirección de su casa. El bloqueo es lo suficientemente inteligente como para hacer que su teléfono piense que todavía está en la cobertura de la red, por lo que no sospecha nada a menos que intente hacer una llamada que parecerá que la red móvil está llena y no está disponible. Mientras desconecto su teléfono de la red, puedo hacer 2 cosas, puedo interceptar cualquier mensaje SMS que se presente en mi camioneta de servicio o dar una orden judicial a la compañía de telefonía móvil para que me dé una copia de sus mensajes SMS en tiempo real.

Luego instalo WhatsApp en un nuevo teléfono, ingreso su número de teléfono como mi número y recibo una copia de la confirmación por SMS con el número de verificación y lo ingreso en WhatsApp. A partir de ese momento, recibiré cualquier espera (ya que lo desconecté de la red móvil) y cualquier mensaje de noticias que los usuarios de WhatsApp le envíen.

Intencional o no, esta es una puerta secreta que las agencias gubernamentales pueden usar fácilmente.

Si utilicé la técnica anterior para interceptar mensajes entre usuarios de Signal, lo que sucedería sería que primero no podría recibir ningún mensaje esperando en la nube porque Signal no mantiene los mensajes en la nube, cuando está desconectado, el mensaje espera en la aplicación de señal del remitente. Cuando el remitente intenta enviarte un mensaje nuevo o reenviado, mi nueva instalación de la aplicación Signal en el teléfono de mi agencia gubernamental informará a tu amigo, el remitente, que he cambiado nuestro código secreto compartido y le pregunta si / él quiere aprobar esta nueva instalación en el otro extremo confirmando el nuevo código secreto compartido con usted. Cuando él / ella te llama a tu teléfono fijo, dices que no has instalado un nuevo WhatsApp en tu teléfono o que has cambiado de teléfono, ambos entienden que hay otra parte que está tratando de interceptar tus mensajes.

Ahora, WhatsApp dice que hay una opción en su aplicación, en Configuración / Cuenta / Seguridad / Mostrar notificaciones de seguridad que está desactivada de forma predeterminada. Si activa esta opción, su reclamo es que recibirá notificaciones cuando el código de seguridad de un contacto haya cambiado. No dicen si los mensajes aún se entregarán a pesar de una notificación de seguridad o no. Añaden que ‘Los mensajes que envía sus llamadas están encriptados independientemente de esta configuración, CUANDO ES POSIBLE’. Utilicé las dos últimas palabras en mayúscula, ¿qué significa “CUANDO ES POSIBLE”? Tampoco dicen nada sobre los mensajes que va a recibir. Aunque active esta configuración de advertencia, si la configuración de su amigo no está activada, no se le notificará si los mensajes que le envían son interceptados.

WhatsApp llama a esta puerta secreta no intencional una ‘opción de diseño amigable para el usuario’. Es una opción de diseño tan fácil de usar que también es amigable para los agentes gubernamentales. No puedo imaginar cuántos diplomáticos ya entregaron mensajes confidenciales a agencias enemigas usando WhatsApp. Los diplomáticos en Bruselas se despiertan y huelen el café …

Related Content

¿Qué sabe sobre las herramientas de seguridad cibernética que necesita para obtener protección contra las amenazas cibernéticas más recientes y avanzadas?

Definiciones de palabras, terminología y jerga: ¿Cuál es la diferencia entre codificación, cifrado y hash?

¿Cómo son las vulnerabilidades de software que son explotadas por los hackers?

¿Cómo se puede infiltrar en la censura a nivel de ISP?

¿Qué es el cifrado de clave simétrica?

Trabajo en una empresa de seguridad móvil / IoT durante los últimos días y he seguido estas noticias en varios canales en línea. Le pedí a Filip Chytry, investigador de seguridad y administrador inteligente de amenazas móviles de Avast, que escribiera una publicación de invitado sobre este tema. Léalo aquí, el cifrado de extremo a extremo de WhatsApp. En el artículo, explica cómo funciona el cifrado de extremo a extremo en WhatsApp.

——

¿Cómo funciona técnicamente el cifrado de extremo a extremo en WhatsApp?

Para comunicarse con otro usuario de WhatsApp, un cliente de WhatsApp primero debe establecer una sesión cifrada. Una vez que se establece la sesión, los clientes no necesitan reconstruir una nueva sesión entre ellos hasta que el estado de la sesión existente se pierda a través de un evento externo, como la reinstalación de una aplicación o el cambio de dispositivo.

Para establecer una sesión:

  1. El cliente iniciador (“iniciador”) solicita la Clave de identidad pública, la Clave previa firmada pública y una sola Clave previa pública única para el destinatario.
  2. El servidor devuelve los valores de clave pública solicitados. Una clave previa de una sola vez solo se usa una vez, por lo que se elimina del almacenamiento del servidor después de ser solicitada. Si se ha consumido el último lote de Clave previa de un solo uso y el destinatario no los ha reabastecido, no se devolverá ninguna Clave previa de un solo uso.
  3. El iniciador guarda la Clave de identidad del destinatario como receptor , la Clave previa firmada como receptor y la Clave previa de un solo uso como receptor .
  4. El iniciador genera un par de claves Curve25519 efímero, Einitiator .
  5. El iniciador carga su propia clave de identidad como iniciador .
  6. El iniciador calcula un secreto maestro como master_secret = ECDH (Iinitiator, Srecipient) || ECDH (Einitiator, Irecipient) || ECDH (Einitiator, Srecipient) || ECDH (Einitiator, Orecipient) Si no hay una clave previa única, se omite la ECDH final.
  7. El iniciador usa HKDF (clave de extracción y expansión) para crear una clave raíz y claves de cadena desde master_secret .

Intercambiando mensajes

Una vez que se ha establecido una sesión, los clientes intercambian mensajes que están protegidos con una clave de mensaje utilizando AES256 en modo CBC para el cifrado y HMAC-SHA256 para la autenticación.

La clave de mensaje cambia para cada mensaje transmitido, y es efímera, de modo que la clave de mensaje utilizada para cifrar un mensaje no se puede reconstruir desde el estado de la sesión después de que se haya transmitido o recibido un mensaje.

La clave de mensaje se deriva de la clave de cadena del remitente que “reenvía” con cada mensaje enviado. Además, se realiza un nuevo acuerdo ECDH con cada mensaje de ida y vuelta para crear una nueva clave de cadena . Esto proporciona secreto hacia adelante a través de la combinación de un “trinquete hash” inmediato y un “trinquete DH” de ida y vuelta.

Lo que sucede después de este proceso es que cada dispositivo en un lado A y B ha intercambiado claves privadas que son únicas para cada sesión y cada usuario. Si comparamos esta situación con las llaves de su hogar, significa que cada vez que vaya a casa tendrá una nueva llave en su bolsillo, pero todo el intercambio se realizará automáticamente sin que usted esté involucrado.

———-

Divulgación: trabajo para TeskaLabs, un proveedor de seguridad de aplicaciones para dispositivos móviles e Internet de las cosas.

Jeffrey

El cifrado codifica datos como mensajes de texto, fotos y documentos y los hace ininteligibles para destinatarios no deseados. Un servicio cifrado de extremo a extremo no puede ser monitoreado o interceptado. Nadie, excepto las personas o el grupo que se comunican entre sí, puede acceder a los datos. Si las agencias de inteligencia, las empresas de telecomunicaciones, los proveedores de Internet o incluso las empresas que ejecutan servicios de mensajería intentan interceptar el mensaje, todo lo que obtendrían sería datos confusos.

WhatsApp utilizó anteriormente una forma básica de cifrado llamada RC4. Se sabe que este algoritmo es inseguro durante algún tiempo, pero el atacante aún tiene que hacer un esfuerzo considerable para descifrar el mensaje. Últimamente, Whisper Systems entró en escena y los creadores de WhatsApp se unieron a ellos a través de Signal Protocol Library y decidieron probar e implementar un cifrado completo de extremo a extremo que pudo ver el día de la luz en abril de 2016. Bueno , el trabajo estuvo en progreso durante mucho tiempo, pero lamentablemente aquí está ahora. Lea un reddit relacionado aquí: https://www.reddit.com/r/netsec/comments/34e6si/whatsapps_endtoend_encryption_analysed_its_pretty/cqtxbh7

Es mucho más difícil para las agencias de inteligencia manipular programas de software de código abierto que muchos de los sistemas cerrados desarrollados por compañías como Apple y Microsoft. Dado que cualquiera puede ver software libre y de código abierto, se hace difícil insertar puertas traseras secretas sin que se note.

El proceso de cifrado de extremo a extremo siempre ha provocado que NSA, GCHQ, MOSSAD, R&AW (India), FSB (Rusia), DGSE (Francia) mencionen algunos problemas importantes para entrar en las comunicaciones de destino, ya que están totalmente cifrados entre dispositivos individuales en conversación / comunicación y solo los usuarios del dispositivo pueden leer los datos cifrados, ya que solo ellos tienen las claves para descifrar. Además, los usuarios de WhatsApp tienen la opción de verificar las claves para garantizar la integridad de su comunicación.

Si bien los chats no serán accesibles, la información asociada conocida como metadatos estará disponible, como cuándo tuvieron lugar las conversaciones, las identidades de los remitentes y destinatarios, sus ubicaciones, números móviles, fotos de perfil y libretas de direcciones, que pueden ser útiles para las agencias de seguridad .

Las agencias de inteligencia pueden obtener los metadatos, pero no obtendrán los datos o conversaciones reales / originales a menos que puedan comprometer el dispositivo. Pero es bien sabido que las agencias de inteligencia como la NSA (Agencia de Seguridad Nacional de América), GCHQ (Reino Unido) han podido entrar en dispositivos individuales con facilidad en el pasado.

WhatsApp ahora proporciona a los usuarios cifrado de extremo a extremo. Esto hace que WhatsApp sea bueno para la comunicación privada con fotos, videos, archivos y mensajes de voz que envía, está encriptado de extremo a extremo de forma predeterminada, incluidos los chats grupales, pero todo siempre que ningún usuario esté usando la versión anterior de la aplicación.

Sin embargo, para no olvidar, la NSA estadounidense tiene algunos criptólogos / criptógrafos locos.

Otras lecturas:

a) La biblioteca de protocolo de señal utilizada por WhatsApp es de código abierto, disponible en https://github.com/whispersystem

b) WhatsApp :: Seguridad

Mit Gajjar

Según el cuadro de mandos de mensajería segura, ahora la calificación de seguridad de WhatsApp es 6 de 7.

7 criterios son los siguientes: –

  1. Cifrado en tránsito?
    ¡SÍ! Whatsapp está encriptado en tránsito.
    Este criterio requiere que todas las comunicaciones del usuario estén encriptadas a lo largo de todos los enlaces en la ruta de comunicación.
  2. ¿Cifrado para que el proveedor no pueda leerlo?
    ¡SÍ! Whatsapp ahora sigue el cifrado de extremo a extremo.
    Este criterio requiere que todas las comunicaciones del usuario estén encriptadas de extremo a extremo. Esto significa que las claves necesarias para descifrar mensajes deben generarse y almacenarse en los puntos finales (es decir, por los usuarios, no por los servidores). Las claves nunca deben dejar puntos finales, excepto con una acción explícita del usuario, como hacer una copia de seguridad de una clave o sincronizar claves entre dos dispositivos. Está bien si las claves públicas de los usuarios se intercambian utilizando un servidor centralizado.
  3. ¿Se pueden verificar las identidades de los contactos?
    ¡SÍ! Puede hacer coincidir sus claves públicas en WhatsApp y verificar su contacto.
    Este criterio requiere que exista un método incorporado para que los usuarios verifiquen la identidad de los corresponsales con los que están hablando y la integridad del canal, incluso si el proveedor de servicios u otros terceros están comprometidos.
    Dos soluciones aceptables son:
    1. Una interfaz para que los usuarios vean la huella digital (hash) de las claves públicas de sus corresponsales, así como la suya, que los usuarios pueden verificar manualmente o fuera de banda.
    2. Un protocolo de intercambio de claves con una comparación de cadenas de autenticación corta, como el protocolo del Millonario Socialista.
  1. ¿Son seguras las comunicaciones pasadas si te roban las llaves?
    ¡SÍ! Whatsapp proporciona secreto hacia adelante.
    Este criterio requiere que la aplicación proporcione confidencialidad, es decir, todas las comunicaciones deben estar encriptadas con claves efímeras que se eliminan rutinariamente (junto con los valores aleatorios utilizados para derivarlas). Es imperativo que estas claves no puedan ser reconstruidas después del hecho por nadie que incluso tenga acceso a las claves privadas a largo plazo de ambas partes, asegurando que si los usuarios eligen eliminar sus copias locales de correspondencia, se eliminen permanentemente. Tenga en cuenta que este criterio requiere el criterio 2, cifrado de extremo a extremo.
  2. ¿El código está abierto a revisión independiente?
    ¡NO! El código fuente de Whatsapp es privado.
    Este criterio requiere que se haya publicado suficiente código fuente para que una implementación compatible se pueda compilar de forma independiente. Aunque es preferible, no requiera que el código se publique bajo ninguna licencia específica de código abierto / libre. Solo requiere que todo el código que pueda afectar la comunicación y el cifrado realizado por el cliente esté disponible para su revisión a fin de detectar errores, puertas traseras y problemas estructurales. Nota: cuando las herramientas son proporcionadas por un proveedor de sistemas operativos, solo requerimos código para la herramienta y no para todo el sistema operativo. Esto es un compromiso, pero la tarea de proteger los sistemas operativos y las actualizaciones de los sistemas operativos está más allá del alcance de este proyecto.
  3. ¿El diseño de seguridad está debidamente documentado?
    ¡SÍ! Es.
    Este criterio requiere explicaciones claras y detalladas de la criptografía utilizada por la aplicación. Preferiblemente, esto debería tomar la forma de un documento técnico escrito para su revisión por una audiencia de criptógrafos profesionales. Esto debe proporcionar respuestas a las siguientes preguntas:
      1. Qué algoritmos y parámetros (como tamaños de clave o grupos de curvas elípticas) se utilizan en cada paso del proceso de encriptación y autenticación
      2. Cómo se generan, almacenan e intercambian claves entre usuarios
      3. El ciclo de vida de las claves y el proceso para que los usuarios cambien o revoquen sus claves.
      4. Una declaración clara de las propiedades y protecciones que el software pretende proporcionar (implícitamente, esto tiende a proporcionar también un modelo de amenaza, aunque también es bueno tener un modelo de amenaza explícito). Esto también debe incluir una declaración clara de los escenarios en los que el protocolo no es seguro.
    1. ¿Ha habido alguna auditoría de código reciente?
      ¡SÍ! Se realizó una revisión de seguridad independiente en WhatsApp.
      Este criterio requiere que se haya realizado una revisión de seguridad independiente dentro de los 12 meses anteriores a la evaluación. Esta revisión debe cubrir tanto el diseño como la implementación de la aplicación y debe ser realizada por una parte auditora designada que sea independiente del equipo de desarrollo principal de la herramienta. Las auditorías realizadas por un equipo de seguridad independiente dentro de una gran organización son suficientes. Reconociendo que las auditorías no publicadas pueden ser valiosas, no exigimos que los resultados de la auditoría se hagan públicos, solo que una parte designada está dispuesta a verificar que la auditoría se llevó a cabo.

      2. Por último, me gustaría decirte que el cifrado más grande eres mismo.

      Technomakes

      Algunos de nuestros momentos más personales se comparten con WhatsApp, por lo que WhatsApp incorporó el cifrado de extremo a extremo en las últimas versiones de su aplicación.

      Cuando se encripta de extremo a extremo, nuestros mensajes, fotos, videos, mensajes de voz, documentos y llamadas están protegidos para que no caigan en la mano equivocada.

      Muchas aplicaciones de mensajería solo cifran mensajes entre usted y ellos, pero el cifrado de extremo a extremo de WhatsApp garantiza que solo usted y la persona con la que se está comunicando puedan leer lo que se envía, y nadie en el medio, ni siquiera WhatsApp.

      Esto se debe a que los mensajes estarán asegurados con un candado, y solo el destinatario y usted tendrán la clave única que puede desbloquear el chat y puede leerlo 🙂

      Para una protección adicional, cada mensaje que envía tiene su cerradura y llave únicas. Todo esto ocurre automáticamente, no es necesario activar la configuración o configurar chats secretos especiales para proteger sus mensajes.

      Al igual que nuestros mensajes, las llamadas de WhatsApp están encriptadas de extremo a extremo para que WhatsApp y terceros no puedan escucharlas.

      Nuestros mensajes deben estar en nuestras manos. Es por eso que WhatsApp no ​​almacena nuestros mensajes en sus servidores una vez que los entregan, WhatsApp y otros terceros no pueden leerlos

      Lea esta guía completa para más

      End to End Encryption (E2EE) Una guía completa – HackersDen

      Jeffrey

      El cifrado de extremo a extremo, tal vez es una técnica de cifrado avanzada para la comunicación, pero el hacker tiene muchas formas de obtener su información. El cifrado de extremo a extremo no es suficiente para proteger su mensaje.

      Hoy en día, cada vez más aplicaciones de mensajería instantánea adoptan cifrado de extremo a extremo, suena seguro. Sin embargo, todas las claves secretas de los usuarios se guardan en el servidor del operador y casi todas las aplicaciones de mensajería instantánea necesitan el número de teléfono celular o correos electrónicos de los usuarios para iniciar sesión. mensaje guardado en el servidor, tiene el riesgo de ser pirateado. Incluso no hackeado, su mensaje siempre será visto por el administrador, no seguro sin condiciones.

      Hace unos días, encontré una aplicación llamada ShadowTalk que no tenía servicio de almacenamiento . El texto que envía solo se guarda en su propio teléfono celular y en el lado opuesto que recibe su información, y el tercero no puede encontrarlo. Además, no es necesario iniciar sesión , y de esto puede encontrar una función interesante, llamada relación paralela en la red . Debido a que no está registrado, puede desempeñar diferentes roles para diferentes personas, incluso para las mismas personas. Por ejemplo, usted es A, tiene amigos B y C. Cuando chatea con B, puede hacerlo en A o en cualquier otro rol. Y cuando chateas con C, también puedes hacerlo en A o en cualquier otro rol. Un día, cuando B se encuentra con C y se miran contactos, no pueden encontrar que tienen un amigo común A. En realidad, en esto nadie sabe con quién está hablando.

      ShadowTalk otras características como:

      Quemar después de leer

      Esta grabación no solo desaparece en su teléfono celular, sino que también desaparece en toda la red. Ya nadie puede encontrar el mensaje.

      Encriptado de fin a fin

      Usando el algoritmo de cifrado RSA, el cifrado asimétrico, las claves públicas y privadas pueden alcanzar una longitud de 2048.

      Sai Ramanan

      Hay algunas respuestas fantásticas a continuación sobre la tecnología. Es ciertamente una hazaña fantástica de ingeniería.

      Sin embargo, WhatsApps y mensajeros similares están muy lejos de ser seguros si usted es una red que quiere protegerse del rastreo y el espionaje del gobierno. ¡NO USE ESTOS para mensajes sensibles!

      Aquí hay algunas deficiencias que, cuando se explotan, pueden meterte en problemas con funcionarios mal intencionados.

      1. WhatsApp y la mayoría de los mensajeros usan SMS para establecer su identidad. Como muchos artículos hoy en día señalan, SMS no es seguro. Por lo tanto, no es del todo imposible que los gobiernos creen usuarios proxy controlados que se hagan pasar por usuarios reales. Ahí va en el contenedor de basura todo el cifrado fuerte. WhatsApp proporciona otros medios para verificar la confianza. Esto es bueno y debe ser usado.
      2. Muchas de estas aplicaciones utilizan la infraestructura SSL / TLS y PKI para establecer la confianza en un servidor central. Los gobiernos pueden y muy probablemente tienen la capacidad de emitir certificados “válidos” a voluntad, incluso para WhatsApp, Facebook, etc.
      3. El mayor problema con diferencia es que el cifrado de extremo a extremo es rastreable, es decir, el hecho de que usted y un asociado intercambian mensajes no está oculto en absoluto. Un funcionario del gobierno que tenga acceso a un cortafuegos en todo el país puede rastrear fácilmente mensajes de usted a WhatsApp y de WhatsApp a su amigo. El funcionario del gobierno puede correlacionar los mensajes por tamaño, contenido y tiempo. Así, los gobiernos descubren redes de usuarios que intercambian mensajes. Hemos visto varios arrestos en todo el mundo de usuarios de WhatsApp y Telegram: Turquía, Irán. Francia, Alemania, por nombrar algunos.

      Si me pregunta la próxima vez que se realice una evaluación en estas plataformas de mensajería instantánea, debería haber cosas como:

      1. ¿Cómo se establece la identidad del usuario? ¿Puede establecer confianza en los medios que no incluyen SMS, acceso a Internet, etc.
      2. ¿Se puede evitar por completo el uso de SSL / TLS?
      3. ¿Los mensajes mutan en la red? ¿Los mensajes son proxied / split y unidos dentro de la red de tal manera que es difícil establecer el hecho de que dos partes se comunican?
      4. ¿Puede un gobierno discernir el tráfico hacia / desde la red a un dispositivo específico? ¿Se puede enmascarar el tráfico como comunicación de bajo perfil?
      5. ¿Hay latencia aleatoria en el envío de mensajes para evitar la detección de comunicación directa entre las partes?
      6. ¿Se envían mensajes falsos en la red para ofuscar el tráfico real?
      7. ¿Hay medios para evitar / minimizar la comunicación con la infraestructura centralizada?
      Sumanta Chatterjee

      El mejor cifrado de extremo a extremo de Whatsapp usando código fuente

      INTRODUCCIÓN:

      Es el mejor proyecto de seguridad que lleva alrededor de un año y medio en completarse, pero el gigante de mensajería WhatsApp ahora ha implementado completamente un cifrado de extremo a extremo en su plataforma y en todas las plataformas móviles para las que ofrece aplicaciones.

      Esto significa que todos los usuarios de las últimas versiones de la aplicación de mensajería tendrán sus comunicaciones y medios cifrados de extremo a extremo de forma predeterminada. Y hay muchos usuarios de WhatsApp; A principios de este año, la compañía propiedad de Facebook anunció que había superado los mil millones de usuarios activos. Asegurar las comunicaciones de video multiplataforma fue la última pieza del rompecabezas, según un portavoz de WhatsApp.

      Los algoritmos involucrados son: intercambio de claves Diffie – Hellman o curva elíptica Diffie – Hellman

      CONCEPTOS:

      El cifrado de extremo a extremo significa que el contenido de las comunicaciones no se almacena en texto sin formato (formato de texto simple) en los servidores de WhatsApp. No es ninguna compañía que pueda descifrar los mensajes de los usuarios para acceder a ellos, ya que no posee las claves de cifrado. Por lo tanto, WhatsApp no ​​podrá verse obligado a entregar datos de mensajería, incluso si las autoridades le exigen una orden de acceso.

      Si bien las noticias de WhatsApp pueden parecer oportunas a la luz de la reciente batalla de alto perfil entre Apple y el FBI por un iPhone encriptado, la compañía ha estado implementando encriptación desde 2013, el año en que el denunciante de la NSA Edward Snowden desencadenó una tormenta de privacidad global al revelar el alcance de los programas de vigilancia masiva del gobierno.

      Luego, WhatsApp se asoció con Open Whisper Systems al año siguiente y ha estado integrando su Protocolo de Señal de cifrado de extremo a extremo ampliamente respetado específicamente desde finales de 2014. En una publicación de blog hoy, el colectivo de hackers sin fines de lucro detrás de este último tecnología de código abierto confirmó el

      La implementación de WhatsApp ahora está completa.

      “Esto incluye chats, chats grupales, archivos adjuntos, notas de voz y llamadas de voz en Android, iPhone, Windows Phone, Nokia S40, Nokia S60, Blackberry y BB10”, escribió. “Los usuarios que ejecutan las versiones más recientes de WhatsApp en cualquier plataforma ahora obtienen un cifrado de extremo a extremo para cada mensaje que envían y cada llamada de WhatsApp que hacen cuando se comunican entre ellos”.

      ¿Qué es la pantalla “Verificar código de seguridad” en mi información de contacto / información de grupo?

      Cada uno de sus chats tiene su propio código de seguridad utilizado para verificar que sus llamadas y los mensajes que envía a ese chat están encriptados de extremo a extremo.

      NOTA: El proceso de verificación es opcional y se usa solo para confirmar que los mensajes que envía están encriptados de extremo a extremo.

      Este código se puede encontrar en la pantalla de información de contacto / información de grupo, tanto como un código QR como un número de 60 dígitos. Estos códigos son únicos para cada chat y se pueden comparar entre las personas en cada chat para verificar que los mensajes que envía al chat estén encriptados de extremo a extremo. Los códigos de seguridad son solo versiones visibles de la clave especial compartida entre ustedes, y no se preocupen, no es la clave en sí misma, siempre se mantiene en secreto.

      IMPORTANTE: el cifrado de extremo a extremo siempre está activado, siempre que todas las partes estén utilizando la última versión de WhatsApp. No hay forma de desactivar el cifrado de extremo a extremo.

      CÓMO USAR EL MÉTODO DE ENCRIPTACIÓN DE EXTREMO A EXTREMO

      Para verificar que un chat está encriptado de extremo a extremo

      1. Abre el chat.

      2. Toque el nombre del contacto o grupo para abrir la pantalla de información de contacto / información de grupo.

      3. Toque Cifrado para ver el código QR y el número de 60 dígitos.

      Si usted y su contacto están físicamente uno al lado del otro, uno de ustedes puede escanear el código QR del otro o comparar visualmente el número de 60 dígitos. Si escanea el código QR y el código es el mismo, aparecerá una marca de verificación verde. Como coinciden, puede estar seguro de que nadie está interceptando sus mensajes o llamadas.

      Si los códigos no coinciden, es probable que esté escaneando el código de un contacto diferente o un número de teléfono diferente. Si su contacto ha reinstalado recientemente WhatsApp o ha cambiado de dispositivo, le recomendamos que actualice el código enviándole un nuevo mensaje y luego escaneando el código.

      Si usted y su contacto no están físicamente cerca, pueden enviarles el número de 60 dígitos. Informe a su contacto que una vez que reciba su código, debe anotarlo y luego compararlo visualmente con el número de 60 dígitos que aparece en la pantalla de información de contacto en Cifrado. Para Android, iPhone y Windows Phone, puede usar el botón Compartir desde la pantalla del código QR / número de 60 dígitos para enviar el número de 60 dígitos por SMS, correo electrónico, etc.

      El mejor cifrado de extremo a extremo de Whatsapp usando código fuente

      1001+ Top Best cool Love Whatsapp Buen estado que hace la vida divertida.

      Uso web de WhatsApp en el navegador Google Chrome en PC / computadora (Mac / Windows XP, 7,8.1,10)

      Leo Lee

      Whatsapp ahora integrará el software de código abierto Textsecure, creado por Open Whisper Systems, una organización sin fines de lucro centrada en la privacidad, que codifica los mensajes con una clave criptográfica a la que solo el usuario puede acceder y nunca abandona su dispositivo.

      El cifrado de mensajes de Whatsapp se limita a Android y aún no se aplica a mensajes grupales, fotos o mensajes de video. Marlinspike dice que Whatsapp planea expandir su implementación de Textsecure en esas otras características y otras plataformas, incluido el iOS de Apple, pronto. No especificó un período de tiempo exacto, y los empleados de Whatsapp se negaron a comentar sobre las nuevas funciones de cifrado. Marlinspike dice que la implementación de Textsecure ha estado en proceso durante seis meses, desde poco después de que Facebook adquirió Whatsapp en febrero pasado.

      Además, TextSecure se basa en una función llamada “confidencialidad directa perfecta PFS” que crea una nueva clave de cifrado para cada mensaje enviado.

      También se ha dicho que este es el mayor despliegue de cifrado de extremo a extremo de la historia. Esto también significa que cientos de millones de usuarios ahora pueden comunicarse sin ser espiados por las agencias gubernamentales de la NSA.

      Sai Ramanan

      Hay algunos factores a tener en cuenta:

      Concepto teórico (el protocolo)
      En primer lugar, los desarrolladores tienen que desarrollar un protocolo seguro para habilitar el cifrado de extremo a extremo. El protocolo utilizado (de acuerdo con [1]) es el mismo que utiliza TextSecure [2], que se describe aquí [3].
      El protocolo se basa en la mensajería Off-The-Record y proporciona un secreto de reenvío perfecto [4]. Eso significa que asegura que:

      • Nadie más que el receptor puede leer su mensaje, ni siquiera los servidores involucrados en la transmisión del mensaje (para eso es el cifrado de extremo a extremo)
      • Si alguien rompe una clave involucrada en el intercambio de mensajes, puede usarse para descifrar un mensaje como máximo, ya que se generan nuevas claves para cada mensaje individual. Este es el secreto hacia adelante.

      Esto significa que el protocolo promete ser muy seguro, y ni siquiera las agencias gubernamentales más poderosas podrán descifrarlo en un tiempo razonable, hasta donde sabemos.
      Además, creo que es seguro decir que la mayoría de los expertos no creen que ninguna organización pueda hacerlo actualmente.

      Los algoritmos involucrados son el intercambio de claves Diffie – Hellman o la curva elíptica Diffie – Hellman.

      En teoría, podría haber debilidades dentro del protocolo, pero dado que hace uso de técnicas bien establecidas, concluyo que la probabilidad de que eso sea muy pequeña.

      Implementación
      Un riesgo mucho mayor de debilidades es la implementación. Porque (¿casi?) Nadie es perfecto, ocurren errores. No siempre es trivial implementar un protocolo, aunque parezca no ser demasiado complicado.

      Si alguien con poca experiencia en el campo de la criptografía aplicada se acerca a esta tarea, la experiencia muestra que hay muchos errores comunes que debilitan el sistema.
      Incluso los desarrolladores muy experimentados cometen errores: solo mire las listas de problemas de seguridad en software ampliamente utilizado como OpenSSL, Heartbleed es un ejemplo muy reciente y famoso.

      Es por eso que WhatsApp eligió asociarse con el equipo de OpenWhisperSystems, dirigido [5] por Moxie Marlinspike, que parece tener mucha experiencia en esta área.

      Aunque mi experiencia no es suficiente para juzgar la calidad de implementación de otros proyectos de OWS (como TextSecure o RedPhone, el código está disponible públicamente), otros lo han hecho. Como ejemplo, permítanme citar a Matthew Green, también un conocido experto en criptografía:

      Calidad general del código: después de leer el código RedPhone de Moxie por primera vez, literalmente descubrí una línea de baba corriendo por mi cara. Es realmente bueno. [6]

      Personalmente, confío mucho en el trabajo de OpenWhisperSystems y, por lo tanto, supongo que la implementación es probablemente más segura que la mayoría de las alternativas disponibles.

      Verificación
      Este es probablemente el punto débil de WhatsApp: no puedo leer la fuente y no puedo verificar que no nos traicionen. En teoría, sería posible que se hayan implementado puertas traseras.
      Es por eso que todavía prefiero las aplicaciones de código abierto como TextSecure, aunque admito que la ventaja de seguridad es bastante teórica, ya que no he “auditado” el código de TextSecure.
      Sin embargo, creo que el hecho de que el código esté disponible y, dadas las habilidades adecuadas, en teoría podría verificar si hay puertas traseras es al menos un poco reconfortante.

      En última instancia, esto lleva al siguiente, último y probablemente el punto más importante:

      Confianza
      Tengo que confiar mucho en WhatsApp.
      Tengo que confiar en que no implementaron deliberadamente puertas traseras, tengo que confiar en que sus esfuerzos no han sido socavados por otros jugadores, como agencias gubernamentales u otras partes involucradas (Google, Apple, etc. podrían, por ejemplo, manipular el distribución de software a través de sus tiendas de aplicaciones, etc.).
      Y tengo que confiar en que pusieron esfuerzos suficientes en una buena calidad de implementación.

      (También tenga en cuenta que esto también se aplica a las aplicaciones de código abierto: aquí tengo que confiar en que suficientes personas estén revisando el código, tengo que confiar en que los autores no están ocultando deliberadamente una puerta trasera que es tan astuta que nadie lo encontró, etc. )

      ¿Personalmente pongo esa confianza en WhatsApp?
      , y por eso:

      • Creo que sería un gran riesgo para ellos traicionar deliberadamente a sus usuarios; después de todo, sería difícil de ocultar
      • Puede que les interese leer y analizar los mensajes del usuario, pero como WhatsApp no ​​es gratuito, este no parece ser su objetivo principal de negocios y el temor de que los usuarios escapen si no se proporciona un cifrado suficiente probablemente sea bastante alto (aunque Esto fue lo que más me sorprendió después de que Facebook los adquirió, ya que analizar los datos y usarlos para anuncios es el modelo de negocio de Facebook)
      • Puse mucha confianza en personas como Moxie Marlinspike, por lo tanto, su participación me da mucha confianza adicional.

      Para ser justos, permítanme decir que la mayoría de las personas confiables involucradas probablemente tienen poco control sobre muchas otras partes del desarrollo y el proceso de publicación, por lo que no es imposible que alguien “superior” implemente algún tipo de puerta trasera, pero de nuevo, Creo que eso es bastante improbable.

      Con todo, probablemente confiaría en WhatsApp lo suficiente como para usarlo como mi aplicación de mensajería principal.
      Sin embargo, estas conclusiones probablemente serían diferentes si planeara derrocar a un gobierno o algo así 😉

      [1] Blog >> Open Whisper Systems se asocia con WhatsApp para proporcionar cifrado de extremo a extremo
      [2] WhisperSystems / TextSecure
      [3] trevp / axolotl y WhisperSystems / TextSecure y Blog >> Trinquete criptográfico avanzado
      [4] Adelante secreto
      [5] No estoy seguro acerca de la estructura interna o la jerarquía de OpenWhisperSystems, pero Moxie Marlinspike es la figura más prominente involucrada.
      [6] Algunos pensamientos sobre ingeniería criptográfica

      Leo Lee

      El cifrado de extremo a extremo de WhatsApp está disponible cuando usted y las personas a las que envía mensajes utilizan las últimas versiones de la aplicación WhatsApp. Muchas aplicaciones de mensajería solo cifran mensajes entre usted y ellos, pero el cifrado de extremo a extremo de WhatsApp garantiza que solo usted y la persona con la que se está comunicando puedan leer lo que se envía, y nadie en el medio, ni siquiera WhatsApp. Esto se debe a que sus mensajes están asegurados con un candado, y solo el destinatario y usted tienen la clave especial necesaria para desbloquearlos y leerlos. Para mayor protección, cada mensaje que envía tiene su propia cerradura y llave únicas. Todo esto sucede automáticamente: no es necesario activar la configuración o configurar chats secretos especiales para proteger sus mensajes.

      Hablar libremente

      WhatsApp Calling te permite hablar con tus amigos y familiares, incluso si están en otro país. Al igual que sus mensajes, las llamadas de WhatsApp están encriptadas de extremo a extremo para que WhatsApp y terceros no puedan escucharlas.

      Mensajes que te acompañan

      Tus mensajes deben estar en tus manos. Es por eso que WhatsApp no ​​almacena sus mensajes en los servidores una vez que los entregamos, y el cifrado de extremo a extremo significa que WhatsApp y terceros no pueden leerlos de todos modos.

      Ver por ti mismo

      WhatsApp le permite verificar si las llamadas que realiza y los mensajes que envía están encriptados de extremo a extremo. Simplemente busque el indicador en la información de contacto o información del grupo.

      Sai Ramanan

      Bueno, es muy bueno, pero hay una posibilidad con cualquier tipo de aplicación que alguien pueda pasar. Y eso puede crear un gran problema, especialmente si tuvo largas conversaciones y muchas conversaciones.

      Encontré algunos consejos sobre cómo hacer que su seguridad de WhatsApp esté más protegida y segura contra las intrusiones.

      1. Active la verificación en dos pasos

      La verificación en dos pasos agrega una capa adicional de seguridad.

      Para activar la verificación en dos pasos, vaya a Configuración> Cuenta> Verificación en dos pasos> Activar .

      Siga los pasos para crear un código PIN de seis dígitos que sea fácil de recordar . También puede agregar una dirección de correo electrónico que recibirá el código en caso de que lo olvide.

      De ahora en adelante, y a intervalos aleatorios, verá bloqueos que solo se desactivarán cuando ingrese el PIN . De esta manera, si alguien roba tu móvil, gracias a este sistema, no podrá espiar tu WhatsApp.

      2. Obtenga un buen código de bloqueo

      Si le roban su teléfono móvil pero el ladrón no puede desbloquearlo, no podrá acceder a su WhatsApp (o cualquier otra aplicación, por supuesto). Use todo lo que su teléfono móvil puede ofrecerle a este respecto para evitar que alguien que no sea usted lo use.

      Puede parecer un consejo tonto, pero te sorprendería la cantidad de personas que usan, por ejemplo, la secuencia 1-2-3-4 para su código de bloqueo.

      Estos han demostrado que son muy útiles y si desea más seguro, puede visitar 8 trucos para fortalecer su seguridad de WhatsApp y seguir las instrucciones para obtener más trucos.

      Espero que esto te ayude.

      Leo Lee

      Whatsapp utilizó el algoritmo de seguridad de texto para proporcionar un cifrado de extremo a extremo al usuario. En el algoritmo de texto seguro, se genera una clave aleatoria para cada par de comunicaciones.

      TEXTSECURE se basa en un protocolo de intercambio de claves (ORKE) de una ronda (en caché) ejecutado entre las partes A y B para calcular el secreto de larga duración, una función de derivación de clave (KDF) que toma como entrada el secreto de larga duración y un nuevo DH secreto y un
      esquema de cifrado autenticado
      Para el primer mensaje, una clave efímera en caché del receptor (llamada preclave) se obtiene del servidor TEXTSECURE, junto con su clave pública de larga duración. Luego nuevo
      los recursos compartidos públicos efímeros se incluyen en cada (primera) respuesta a un mensaje. El proceso de cambiar los recursos efímeros de DH se llama trinquete en OTR y TEXTSECURE
      terminología. Si una parte envía varios mensajes antes de recibir
      Al responder, actualiza la clave simétrica utilizada para cada
      mensaje de manera unidireccional aplicando una derivación clave
      funcionar en un valor intermedio (llamado clave de encadenamiento), desde
      que se calculan todas las claves criptográficas.

      TEXTSECURE se basa en un conjunto de primicias criptográficas
      Tives. Para las operaciones ECDH (intercambio de claves Deffie-Hellman sobre curva elíptica), se utiliza Curve25519 como
      se implementa en el criptográfico nativo de Android de Google
      biblioteca. El cifrado simétrico en TEXTSECURE se basa en AES en ambos modos, contador sin relleno y modo de encadenamiento de bloques cifrados con relleno PKCS7. HMAC-
      SHA256 se utiliza para la integridad del mensaje. Para la mensajería push a través del canal de datos, TEXTSECURE
      se basa en un servidor central4
      (TS) para transmitir mensajes al
      destinatario. Las partes se comunican con TS a través de un
      REST-API usando HTTPS. El certificado de T S está autofirmado; el
      certificado de la CA firmante está codificado en el TEXTO
      Aplicación SEGURA. La entrega real del mensaje se realiza a través de
      Google Cloud Messaging.

      Por lo tanto, textsecure es una mezcla de protocolo criptográfico avanzado como ECDH, AES, HMAC y protocolo oscuro como SHA-1. Dado que utilizaba cifrado seguido de firma. Proporciona falta de maleabilidad y también garantiza que se logre un cifrado de extremo a extremo para que ningún tercero pueda leer los datos. Pero este protocolo tampoco está libre de ataques externos. Uno de estos ataques es el ataque de clave compartida desconocida. Cuando el ataque se lanza contra una persona A que intercambia una clave con B con la suposición de que son las mismas, pero en realidad las claves no son las mismas, interrumpen toda la conversación.

      Si bien no es inesperado que
      WHATSAPP no ofrece una forma para que los usuarios se autentiquen
      clave del otro – naturalmente, WHATSAPP sufre de la
      mismas deficiencias, como TEXTSECURE– WHATSAPP hace
      ni siquiera ofrece una manera para que los usuarios comparen las huellas digitales clave.
      En conjunto, las diferencias existentes justifican la conclusión
      que uno no debe deducir los lazos de seguridad de WHATSAPP de TEXTSECURE.

      Sai Ramanan

      La imagen de arriba resume el esquema de encriptación de WhatsApp. Las claves públicas vinculadas con la identidad de un usuario se almacenan en el servidor.

      Cada mensaje intercambiado entre dos usuarios se cifra mediante una nueva clave: utiliza un mecanismo de cadena / trinquete.

      La mejor característica es que, incluso si las claves de cifrado del dispositivo de un usuario se ven comprometidas físicamente, no se pueden usar para retroceder en el tiempo para descifrar mensajes transmitidos anteriormente. => Proporciona perfecto secreto hacia adelante.

      Sin entrar en detalles, el algoritmo de derivación de claves produce claves, que ayudan a proporcionar confidencialidad [nadie más que las dos partes pueden ver sus mensajes] y autenticación [demostrando que usted es quien dice ser].

      Ankit Pandey

      En resumen, es bastante bueno.

      WhatsApp ha anunciado su integración de productos con el software Textsecure (creado por Open Whisper Systems, una organización sin fines de lucro centrada en la privacidad).

      No se modificó drásticamente en los últimos años, y ya había publicaciones académicas sobre ese cifrado, para una breve especificación sobre el cifrado, recomendaría leer ese artículo (2014) que predijo la integración con WhatsApp:

      • ¿Qué tan seguro es TextSecure?

      Y el siguiente artículo actualizado también:

      • WhatsApp-Security-Whitepaper

      O incluso mi pobre explicación sobre la idea de cifrado:

      • ¿Cómo almacena WhatsApp los mensajes cifrados que están en cola para su entrega?

      Cito la parte interesante de sus conclusiones (2014):

      Si bien no es inesperado que WhatsApp no ​​ofrezca una forma para que los usuarios autentiquen la clave de los demás, naturalmente, WhatsApp sufre las mismas deficiencias, ya que WhatsApp, WhatsApp ni siquiera ofrece una forma para que los usuarios comparen las huellas digitales clave.

      WhatsApp manejó eso con la pantalla “Verificar código de seguridad” que todos tienen en su aplicación. Esa “pequeña” cosa permite la integridad.

      Gracias Kelvin Zifla por el A2A!

      Harys Mumtaz

      Los nuevos inventos han hecho que el mundo de hoy sea más interesante y vulnerable a los ataques. Según la ayuda de la tarea de informática, el chat en línea es una aplicación de gran población. Whatsapp es una de esas aplicaciones que admite chats en línea. La aplicación también admite archivos adjuntos de imágenes, archivos y audio. Por lo tanto, la ayuda del ensayo afirma que este es uno de los grandes en el mercado. El software admite comunicación individual y grupal. Los inventores han presentado la función de cifrado para esta aplicación. La ayuda de asignación de seguridad de la información indica que el cifrado se utiliza para proteger las conversaciones de usuarios no autorizados. Los mensajes transmitidos entre dos partes se cifran mediante el protocolo de señal. C, C ++, Java y Python se utilizan para programar Whatsapp. La ayuda del ensayo describe algunas de las características del software.

      La aplicación se instala después del procedimiento de registro único. La identidad del dispositivo y el número de teléfono se publican en el sitio web correspondiente. Se solicita un procedimiento de autenticación de seis dígitos. Las tres variables: código de autenticación, identidad del dispositivo y número de teléfono se combinan. El resultado proporciona la contraseña generada por el servidor.

      La aplicación utiliza un mecanismo SASL personalizado llamado WAUTH-1. El protocolo XMPP sigue el mensaje de saludo. El protocolo funciona utilizando un mecanismo de autenticación de respuesta de desafío para el inicio de sesión del usuario. La acción es iniciada por el cliente. El servidor responde con los DATOS DEL DESAFÍO . El cliente utiliza este resultado de respuesta para generar una clave PBKDF2 . Esta clave se combina con la contraseña privada obtenida durante el registro único. SHA1 se utiliza durante el proceso de registro. El cliente se autentica en el servidor después del protocolo de enlace. Los mensajes están encriptados. La clave RC4 tiene 20 bytes de longitud. El resultado se combina con un hash, DATOS DE DESAFÍO, DATOS DE RESPUESTA y marca de tiempo actual.

      Actualmente la aplicación tiene una versión actualizada. La función de cifrado de extremo a extremo se realiza antes de transmitir los datos. El procedimiento de cifrado está narrado por la ayuda del ensayo. Se solicita la clave pública, la clave previa firmada y la clave previa única. El servidor los proporciona. Esto es seguido por la generación del par clave clave curva efímera25519. La clave de identidad está cargada. La clave maestra se calcula utilizando todas las claves. HKDF se usa para crear la clave raíz mediante el iniciador y las claves de cadena. La clave maestra se utiliza para este propósito. Los mensajes están protegidos con AES256 en modo CBC. HMAC-SHA256 se utiliza para autenticar.

      Para cada comunicación, la clave del mensaje se modifica. La clave de cadena del remitente se utiliza para derivar la clave del mensaje. El acuerdo de ECDH se realiza para generar una nueva clave de cadena. El enfoque proporciona secreto hacia adelante. El trinquete Hash y el trinquete DH de ida y vuelta se combinan para implementar el secreto hacia adelante.

      Algunas de las limitaciones se encuentran en la versión actualizada. La instalación está limitada a dispositivos Android. El procedimiento no es aplicable a mensajes grupales, videos y fotos. TextSecure utiliza una tecnología similar. El protocolo proporciona la mensajería extraoficial y el secreto directo perfecto. El sistema garantiza cierta cantidad de seguridad. Al obtener una de las claves, el intruso podrá descifrar uno de los mensajes. El procedimiento de encriptación está narrado por la ayuda de la tarea de informática. El cliente tiene que iniciar para establecer la sesión cifrada.

      La confidencialidad y la privacidad son imprescindibles en algunas comunicaciones. Los usuarios de la aplicación quieren que sus acciones permanezcan en secreto. La ayuda de asignación de seguridad de la información sugiere que el uso de cifrado en la comunicación mejora la privacidad y la confidencialidad. Los datos están protegidos en mayor medida. La ayuda del ensayo narra el procedimiento adoptado para cifrar el mensaje en la aplicación Whatsapp. Algunas de las limitaciones de la aplicación se destacan en este artículo. Se debe implementar el cifrado de videos, fotos y mensajes grupales.

      Technomakes

      WhatsApp se volverá más seguro y poderoso.

      Como dijo el equipo de WhatsApp , no descifrarán un solo mensaje enviado / recibido por el usuario, incluso si el gobierno obliga a descifrar …

      Inteligentemente significa que están en la mejora para proporcionar más seguridad y flexibilidad al usuario.

      Tal Shmueli

      WhatsApp retiene y almacena los registros de chat incluso después de que esos chats se hayan eliminado, según una publicación del investigador de iOS Jonathan Zdziarski. Al examinar las imágenes de disco tomadas de la versión más reciente de la aplicación, Zdziarski descubrió que el software conserva y almacena un rastro forense de los registros de chat incluso después de que se hayan eliminado los chats, creando un tesoro potencial de información para cualquier persona con acceso físico a la aplicación. dispositivo. Los mismos datos también podrían recuperarse a través de cualquier sistema de respaldo remoto en su lugar.

      Es un gran problema. Al usar una aplicación de encriptación segura como CoverMe, podemos obtener el control de nuestros datos y bloquear de forma segura la información privada. CoverMe está diseñado para la máxima seguridad, todos los datos están encriptados en su dispositivo. privacidad y no se puede ubicar en nuestra base de datos.

      Sumanta Chatterjee

      No soy muy técnico, pero utilizo diferentes aplicaciones de mensajería en mi teléfono inteligente … No sabía antes que la mensajería cifrada es realmente esencial en estos días y tiene mucha importancia … Me pareció interesante que WhatsApp implementara su nueva oferta de cifrado y asaltó la industria como cualquier cosa … Pero me preguntaba sobre otras aplicaciones que uso y no tenía idea de su nivel de cifrado. Pero acabo de encontrar un artículo que enumera de manera muy inteligente algunas de las principales aplicaciones y su nivel de cifrado.

      Fue bastante inquietante saber que la mayoría de mis aplicaciones no están encriptadas, incluidas Wechat, FB messenger, skype, etc. Estas aplicaciones también deberían implementar esta función de encriptación sin demora.

      Aquí está la fuente de ese artículo con una lista completa de aplicaciones de mensajería y sus niveles de cifrado.

      Aaron Sampson

      Aquí vamos.

      Fecha: 20/4/2016

      Solo mira estas dos capturas de pantalla.

      1) Lea el contenido del mensaje en WhatsApp.

      2) Vea el primer grupo sugerido que nunca antes había recibido en Facebook.

      Sumanta Chatterjee

      More Interesting

      ¿Es posible aprender piratería ética mediante el autoaprendizaje?

      ¿Cuál es el mejor software antivirus para Windows 7?

      ¿Podemos saber si la cámara frontal de nuestro teléfono móvil está pirateada o no?

      ¿Cuáles son las mejores herramientas de eliminación de malware para Windows?

      ¿Establecer mi computadora portátil en su fábrica original elimina los virus? Mira mi comentario a continuación por favor.

      ¿Qué lenguaje de programación es necesario para aprobar el OSCP (Offensive Security Certified Professional)?

      ¿Qué significa el cifrado de datos?

      En términos simples, ¿cuál es la tecnología de cifrado en iOS 8 que lo hace indescifrable, incluso para Apple?

      ¿El programa antivirus gratuito AVG está ralentizando mi computadora portátil o podría ser otra cosa?

      ¿Dónde puedo leer los documentos de investigación sobre seguridad cibernética publicados por académicos de forma gratuita? He probado la biblioteca digital ACM pero no creo que sea gratuita.

      ¿Cómo es que Stack Exchange no utiliza una conexión segura (TLS) a pesar de que es un sitio web popular con una comunidad activa de usuarios?

      ¿Hay alguna regla de compromiso para reaccionar a los ataques de la guerra cibernética? ¿Las convenciones de Ginebra cubren la guerra cibernética?

      ¿Cuáles son los mejores recursos para la capacitación en seguridad cibernética?

      ¿Cuál es la mejor empresa de pruebas de penetración?

      ¿Todas las intrusiones de malware tienen una característica común que podríamos usar para identificarlas antes de la ejecución a través de un escaneo previo estandarizado?