Судебный иск утверждает, что шифрование WhatsApp — ложь; профессор криптографии комментирует

Основатели WhatsApp и нынешний владелец Meta заявляют, что приложение использует сквозное шифрование, что означает, что никто за пределами чата не может получить доступ к содержимому. Судебный иск утверждает, что это неправда, и что любой сотрудник Meta может получить полный доступ ко всем сообщениям, отправленным или полученным любым пользователем WhatsApp.

Профессор Университета Джонса Хопкинса и криптограф Мэтью Грин высказался в своем блоге, анализируя эти заявления и вероятную реальность…

Сквозное шифрование WhatsApp (E2EE)

Основатели WhatsApp Ян Кум и Брайан Эктон целенаправленно создали приложение для обмена сообщениями на основе сквозного шифрования (E2EE), что вызвало обеспокоенность у правительств и правоохранительных органов, поскольку они не имели бы доступа к содержимому.

E2EE означает, что только участники чата имеют доступ к ключам, необходимым для расшифровки содержимого сообщений. Хотя эти сообщения отправляются через серверы WhatsApp, это происходит в зашифрованном виде, и у компании не должно быть возможности расшифровать данные.

Иск утверждает, что шифрование — ложь

Однако коллективный иск утверждает, что это ложь, и WhatsApp на самом деле не использует E2EE.

Заявление Meta и WhatsApp о том, что они не имеют доступа к содержанию сообщений пользователей WhatsApp, ложно. Как объяснили здесь разоблачители, WhatsApp и Meta хранят и имеют неограниченный доступ к зашифрованным сообщениям WhatsApp, а процесс получения этого доступа для сотрудников Meta достаточно прост. Сотруднику нужно лишь отправить «задачу» (то есть запрос через внутреннюю систему Meta) инженеру Meta с объяснением, что ему нужен доступ к сообщениям WhatsApp для его работы.

Затем команда инженеров Meta предоставит доступ [и тогда] они смогут читать сообщения пользователей […] Сообщения появляются почти сразу после их отправки — фактически, в режиме реального времени. Более того, доступ не имеет временных ограничений, поскольку сотрудники Meta могут получать доступ к сообщениям с момента активации учетных записей пользователями, включая те сообщения, которые пользователи считают удаленными.

Это довольно поразительные заявления, и если они окажутся правдой, это станет одним из крупнейших скандалов в сфере конфиденциальности в сфере технологий.

Профессор Университета Джонса Хопкинса высказывается

Профессор Университета Джонса Хопкинса и криптограф Мэтью Грин написал длинный пост в блоге по этой теме. Он отмечает, что, хотя шифрование WhatsApp основано на протоколе Signal, фактический используемый код не является открытым исходным кодом, и поэтому независимым исследователям невозможно проверить, как он реализован.

К сожалению, WhatsApp имеет закрытый исходный код, что означает, что вы не можете легко скачать исходный код, чтобы увидеть, правильно ли выполняется шифрование, или выполняется ли оно вообще.

Однако он говорит, что крайне маловероятно, что эти заявления правдивы, по трем причинам.

Я не могу однозначно сказать вам, что это не так. Однако я могу сказать вам, что если бы WhatsApp сделал это, они (1) были бы пойманы, (2) доказательства почти наверняка были бы видны в коде приложения WhatsApp, и (3) это подвергло бы WhatsApp и Meta захватывающим новым формам разрушения […]

Даже если исходный код приложения WhatsApp не является общедоступным, многие предыдущие версии скомпилированного приложения доступны для загрузки. Вы можете скачать любую из них прямо сейчас и декомпилировать ее с помощью различных инструментов, чтобы увидеть, не извлекаются ли ваши данные или ключи.

Грин признает, что выполнение этого анализа было бы огромной задачей, но говорит, что сам факт возможности такого анализа сделал бы для Meta чрезвычайно глупым врать об этом. Он заканчивает, цитируя пионера компьютерных наук и разработчика Unix Кена Томпсона.

Прошло более сорока лет с тех пор, как Кен Томпсон прочитал свою знаменитую лекцию «Размышления о доверии к доверию», в которой говорилось, что *избежать некоторого уровня доверия невозможно*. Следовательно, вопрос здесь не в том: *должны ли мы кому-то доверять*. Это решение уже принято. Вопрос в том: должны ли мы доверять WhatsApp, что он не проводит самую крупную аферу в истории технологий. Решение доверять WhatsApp в этом вопросе кажется мне вполне разумным, при отсутствии каких-либо конкретных доказательств обратного. Взамен, делая это предположение, вы получаете возможность общаться с тремя миллиардами пользователей WhatsApp.

Это точно такая же ситуация, как с iMessage и FaceTime: Apple не публикует открытый исходный код E2EE.

Мнение 9to5Mac

В судебном иске нет никаких доказательств для откровенно поразительных утверждений. Чтобы это было правдой, основатели WhatsApp и Meta должны были бы сказать одну из самых больших ложь в истории технологий. Дело не в том, этична ли компания, а в том, является ли она глубоко глупой.

Иск идет гораздо дальше, утверждая, что в компании существует отлаженный механизм для получения доступа к содержанию сообщений WhatsApp. Это означало бы, что это должно быть известно большому количеству людей в Meta. Приходит на ум старая поговорка: «Три человека могут хранить секрет, если двое из них мертвы».

Лично я продолжу пользоваться WhatsApp совершенно спокойно — а вы?

• Официальный магазин Apple на Amazon
• Держатели и аксессуары для AirTag
• Корпус Mac mini в стиле Mac Pro
• Адаптер беспроводного CarPlay
• NordVPN — VPN с упором на конфиденциальность, без журналов и независимыми аудитами для проверки
• Официальные чехлы для iPhone: iPhone 17 | iPhone 17 Pro и Pro Max | iPhone Air

Фото: Дмитрий Карастелев на Unsplash