פיצוי על סימן גלגל המזלות
סלבריטאים C החלפה ג

גלה תאימות על ידי סימן גלגל המזלות

הסבר: מדוע WhatsApp מצפינה גיבויים וכיצד זה ישפיע על המשתמשים

מסתכלים על המהלך כצעד לקראת סגירת פרצה שאפשרה לצ'אטים של משתמשים להיות מחוץ לתחום ההצפנה ולפיכך ניתן לגשת אליהם על ידי צד שלישי, מה שמשפיע על פרטיות המשתמש.

WhatsApp, גיבוי צWhatsApp אומרת שהיא תוסיף תמיכה לתכונה זו בשבועות הקרובים כשכבת אבטחה נוספת למי שרוצה זאת. (ייצוגי)

פלטפורמת המסרים בבעלות פייסבוק הציגה WhatsApp הצפנה מקצה לקצה עבור גיבויים של צ'אטים שהמשתמשים שלו לוקחים בשירותי ענן כמו Google Drive או iCloud של אפל. מסתכלים על המהלך כצעד לקראת סגירת פרצה שאפשרה לצ'אטים של משתמשים להיות מחוץ לתחום ההצפנה ולפיכך ניתן לגשת אליהם על ידי צד שלישי, מה שמשפיע על פרטיות המשתמש. WhatsApp מסרה שהיא עובדת על הוצאת תכונה זו במשך שנים והיא תושק עד סוף השנה הנוכחית.





מה הצורך בגיבויים להיות מוצפנים מקצה לקצה?

משתמשים רבים של WhatsApp לוקחים גיבויים של הצ'אטים שלהם, הכוללים הודעות טקסט, תמונות, סרטונים ומסמכים המשותפים בפלטפורמת ההודעות. התוכן של צ'אטים בהודעות הוא בעל ערך למשתמשי WhatsApp ו-WhatsApp מציעה תכונת גיבוי בתוך האפליקציה כדי להגן על התוכן במקרה שמכשיר של משתמש יאבד או נגנב; וכדי לאפשר את העברת היסטוריית הצ'אט שלהם למכשיר חדש, WhatsApp ציינה בנייר אבטחה על גיבויים מוצפנים. בעוד ששירות הצ'אט של WhatsApp מוצפן מקצה לקצה, הוא היה תלוי בשותפים בענן כמו Google Drive או iCloud כדי לאחסן גיבויים של נתוני WhatsApp. החברה אמרה קודם לכן שברגע שהצ'אטים הועלו ל-Google Drive או iCloud, הם יצאו מערוץ ההצפנה ולא היו פרטיים יותר. במספר מקרים, חמושים בצו, רשויות אכיפת החוק ברחבי העולם הצליחו לקבל גישה לצ'אטים של WhatsApp באמצעות גיבויים המאוחסנים בשירותי הענן הללו.



מה משתמש צריך לעשות כדי להצפין את הגיבויים של הצ'אטים שלו בוואטסאפ?

לאחר השקת השירות מאוחר יותר השנה, המשתמשים יקבלו אפשרות להפעיל הצפנה עבור הגיבויים שלהם. תמיד תהיה אפשרות לא לגבות את הצ'אטים כדי להבטיח שהצ'אטים לעולם לא יצאו מהתשתית של WhatsApp. ברגע שמשתמש מחליט להצפין את הגיבוי, ייווצר מפתח בן 64 ספרות - מפתח זה יהיה הכרחי כדי שהגיבוי ישוחזר בנקודת זמן מאוחרת יותר. כאן, למשתמש יהיו שתי אפשרויות - או שהוא יכול לאחסן את המפתח בן 64 הספרות בעצמו לשמירה בטוחה או להשתמש בכספת מפתחות הגיבוי החדשה מבוססת מודול אבטחת החומרה של WhatsApp כדי לאחסן את המפתח שלו עם סיסמה שהוא יכול ליצור. חשוב לציין שבמקרה שהסיסמה, המפתח בן 64 הספרות או המכשיר שדרכו נוצר המפתח יאבדו לפני פענוח גיבוי הצ'אט המוצפן, המשתמש יאבד גישה לגיבוי. ההצפנה של הגיבוי תתרחש לפני העלאתו לאחד משני שירותי הענן ויישאר שם כקובץ מוצפן שיהיה נגיש רק בשימוש במפתח בן 64 הספרות. כאשר מישהו רוצה לאחזר את הגיבויים שלו, הוא מזין את הסיסמה שלו, המוצפנת ולאחר מכן מאומתת על ידי כספת מפתחות הגיבוי. לאחר אימות הסיסמה, כספת מפתחות הגיבוי תשלח את מפתח ההצפנה בחזרה ללקוח WhatsApp. עם המפתח ביד, לקוח WhatsApp יכול לפענח את הגיבויים. לחלופין, אם משתמש בחר להשתמש במפתח בן 64 הספרות בלבד, הוא יצטרך להזין את המפתח באופן ידני בעצמו כדי לפענח ולגשת לגיבויים שלו.



איך זה עובד?

בנייר האבטחה שלה, וואטסאפ השוותה את המערכת לכספת כספת המוצעת על ידי הבנקים, שבה מפתח אחד לכספת מסופק ללקוח כדי להבטיח שאף אחד מהבנק לא יוכל לבדו לפתוח את הכספת ללא גישה למפתח שניתן ללקוח. עם הצגת גיבויים מוצפנים מקצה לקצה, WhatsApp יצרה כספת מפתחות גיבוי מבוססת HSM (Hardware Security Module) לאחסון מאובטח מפתחות הצפנה לכל משתמש עבור גיבויי משתמש באחסון עמיד בפני חבלה, ובכך להבטיח אבטחה חזקה יותר של המשתמשים. היסטוריית הודעות, אמרה החברה. הכספת מבוססת HSM היא מקבילה דיגיטלית לכספת פיזית, היושבת באחד מהשרתים של WhatsApp, המכילה את המפתח לגיבוי המוצפן. כדי להבטיח חוסן, WhatsApp אמרה שהיא תפרוס את הכספת הזו בחמישה אתרי מרכזי נתונים.
נקודה רלוונטית לציון היא שההצפנה לגיבויים ניתנת רק עבור שירותי ענן מקוונים. נכון לעכשיו, גיבויים מוצפנים מקצה לקצה נתמכים רק במכשיר הראשי של המשתמש בנוסף, אנו ממליצים למשתמשים שבוחרים לגיבויים מוצפנים מקצה לקצה גם לבטל את בחירת WhatsApp מהאפליקציות הכלולות בגיבויים ברמת המכשיר שלהם. אנו נודיע למשתמשים על הצורך לעשות זאת כאשר הם מגדירים את הגיבוי המוצפן שלהם מקצה לקצה בוואטסאפ, ציינה החברה.



מה יכולה להיות ההשפעה של תכונה זו?

בסדרת ציוצים, שהכריזה על התכונה החדשה, אמר ראש ה-WhatsApp ב-Facebook Will Cathcart: כמובן, בכל פעם שטכנולוגים מקדמים את האבטחה, יש שיטענו שלהציע יותר פרטיות זה רע אם זה מקשה על ממשלות לגשת למידע הזה. אנו מאמינים שחברות חופשיות זקוקות לאבטחה הטובה ביותר כדי להגן על אנשים. למיליארדי אנשים יש כעת מידע דיגיטלי רגיש - כמו ההודעות הפרטיות שלהם - ומידע זה נמצא בסיכון הולך וגובר להיגנב על ידי האקרים, פושעים ואפילו מדינות עוינות בעצמן. ממשלות ברחבי העולם, כולל בהודו, חיפשו דלת אחורית לשירותי הודעות מוצפנות כמו WhatsApp. בחוקי טכנולוגיית המידע שהוכרזו מוקדם יותר השנה, ממשלת הודו הטילה על מתווכים משמעותיים במדיה החברתית (אלה עם יותר מ-50 לאך משתמשים) לאתר את מקור ההודעה שנחשבת לא חוקית. היכולת להצפין את הגיבויים עלולה לעורר דחיפה מצד ממשלות. ...אנחנו רחוקים מלהיות קונצנזוס בעניין זה. כמה ממשלות ממשיכות להציע להשתמש בסמכויותיהן כדי לדרוש מחברות להציע אבטחה חלשה יותר. אנחנו חושבים שזה הפוך: עלינו לדרוש מחברות יותר אבטחה למידע רגיש של אנשים, לא פחות, כתבה Cathcart.



שתף עם החברים שלך: