Šifruoti pranešimai keliuose įrenginiuose gali padidinti riziką, sako ekspertai

Turinys:

Šifruoti pranešimai keliuose įrenginiuose gali padidinti riziką, sako ekspertai
Šifruoti pranešimai keliuose įrenginiuose gali padidinti riziką, sako ekspertai
Anonim

Pagrindiniai pasiėmimai

  • WhatsApp yra beta versijos kelių įrenginių galimybių testavimas su nedidele vartotojų grupe.
  • Nauja funkcija leis naudotojams sinchronizuoti ryšius keturiuose papildomuose įrenginiuose.
  • Ekspertai teigia, kad bendraujant įrenginiuose gali būti kompromisų dėl privatumo, net kai jie yra užšifruoti.
Image
Image

Liepos mėn. paskelbus, kad kelių įrenginių galimybės yra beta versijos, „WhatsApp“vartotojai džiaugėsi mintimi, kad galės prisijungti keliuose įrenginiuose. Bet ar papildomas patogumas bus susijęs su kompromisais dėl privatumo? Štai ką reikia žinoti.

Nepaisant pripažinto šifravimo protokolo, populiari pranešimų siuntimo programa pastaraisiais metais (ir vakar) kelis kartus buvo kritikuojama dėl daugybės pažeidžiamumų, todėl kyla klausimų dėl jos saugumo. Ekspertai įspėja, kad gali kilti kompromisų, kai prijungiate kelis įrenginius prie bet kurios šifruotos komunikacijos programos.

"[Klausimas] yra ne tik papildomų įrenginių pridėjimas, bet ar jie visada saugūs?" Stivenas M. Bellovinas, Kolumbijos universiteto kompiuterių mokslų profesorius, sakė „Lifewire“per interviu telefonu. „Saugumo frazė yra „atakos paviršius“– kiek vietų galite būti užpultas ir kiek skirtingų būdų?

Techniškai saugus

Pasak Bellovin, viena iš sudėtingesnių problemų, susijusių su kelių įrenginių apsauga vienoje paskyroje, prasideda nuo pagrindinių šifravimo pagrindų.

„Visas šifravimas priklauso nuo slaptojo rakto“, – sakė Bellovinas, lygindamas šifravimo raktus su automobilio raktais, kurie gali užvesti tik automobilį, kuriam jie priklauso. "Kiekvienas žmogus turi turėti savo. Štai kodėl jūs galite jį perskaityti, o niekas kitas negali."

Kadangi kiekviena programa, kuri remiasi galutiniu šifravimu (E2EE), naudoja konkretų protokolą, pagrįstą pagrindiniais raktų tvarkymo ir vardų erdvės principais (pastaroji paprastai yra vartotojo telefono numeris), Bellovin teigė, kad iššūkis yra rasti būdą saugiai perkelti raktus ir autentifikuoti savininkus keliuose įrenginiuose – tai, pasak jo, „nelengvas klausimas“.

Karalystės raktai

Kaip ir konkurentai, WhatsApp jau leidžia vartotojams prisijungti prie kompiuterio, jei jie taip pat yra prisijungę prie išmaniojo telefono, susieto su jų raktu (bendrovė teigia, kad tada atspindi paskyrą). Tačiau naudojant beta versiją, kiekvienas sinchronizuotas įrenginys turės savo raktą, leidžiantį naudotojams prisijungti prie keturių papildomų įrenginių be telefono.

[Klausimas] yra ne tik papildomų įrenginių pridėjimas, bet ar jie visada saugūs?

E2EE paprastai naudoja vieną šifravimo raktą vienam vartotojui, kuris turi nukopijuoti raktą į kiekvieną norimą naudoti įrenginį… Štai kodėl WhatsApp iki šiol palaikė tik vieną įrenginį, nes sunku išlaikyti šį šifravimą saugiai ir saugiai perkeliant raktą į kelis įrenginius“, – sakė John S. Koh, saugumo tyrinėtojas, kurio darbas buvo sutelktas į kelių įrenginių E2EE metodą, vadinamą kiekvieno įrenginio raktais (PDK), Lifewire pasakojo el. laiške.

"Naudojant PDK, vietoj to, kad vartotojai turėtų tik vieną šifravimo raktą, kiekvienas vartotojo įrenginys turi savo šifravimo raktą. Panašu, kad "WhatsApp" laikosi šios sąvokos ir įrenginio raktus vadina "tapatybės raktais", "Koh". sakė. „Vienas iš E2EE privalumų keliuose įrenginiuose, kuriuose naudojamas mano ir tikriausiai WhatApp metodas, pagrįstas vienu raktu kiekviename įrenginyje, yra tai, kad naudotojams daug lengviau suprasti naudojimo modelį. Kompromisas yra tas, kad vartotojai praranda savo įrenginius ir reikia pašalinti prieigą, o tai kartais gali būti sunkus procesas."

Daugiau įrenginių, tie patys sprendimai

„Atsakymas į tai, ar kažkas yra saugus, visada prasideda kitu klausimu, ty: „Kokie jūsų poreikiai?“, – „Lifewire“sakė Maritza Johnson, saugumo ir privatumo ekspertė bei San Diego universiteto centro direktorė interviu telefonu.

Siekdama patenkinti individualius saugumo poreikius, „Facebook“tinklaraščio įraše teigė, kad „WhatsApp“planuoja pasiūlyti galimybę peržiūrėti visus įrenginius, susietus su paskyra, pamatyti, kada jie buvo paskutinį kartą naudojami, ir atsijungti nuotoliniu būdu – kažkas, pasak Johnsono, yra svarbu., ypač partnerio prievartos aukoms, kurios kartais tampa elektroninio persekiojimo taikiniais.

Image
Image

„Jūs nenorite, kad jūsų buvusio vaikino telefonas gautų visko kopiją, o jūs nežinote arba nežinote, kaip jį išjungti“, – sakė Johnsonas. „Tai asmeninis sprendimas, jei norite prisijungti prie „WhatsApp“paskyros bendrame įrenginyje ir apgalvoti, kokios būtų to pasekmės.“

Johnsonas taip pat pabrėžė, kad svarbu užtikrinti, kad kiekvienas susietas įrenginys būtų apsaugotas slaptažodžiu, kad kas nors kitas jo fiziškai nepasiektų – nuo ko negali apsaugoti stipriausias šifravimas.

Bet koks nešiojamasis kompiuteris, planšetinis kompiuteris ar kitas įrenginys, kurį naudojate su ta pačia paskyra, norėsite būti tikri, kad visi šie įrenginiai turi tokį patį pagrindinį saugos lygį, kad kas nors galėtų tiesiog perbraukite, kad atidarytumėte“, – sakė Johnsonas.

Rekomenduojamas: