W ostatnim tygodniu, WhatsApp To trafia na pierwsze strony gazet, i to nie bez powodu. Osobiście nigdy nie wierzyłem, że czaty są szyfrowane end-to-end. Zastanawiam się: „Jeśli tak, to jak zarabiają?”. Wydaje się, że odpowiedź brzmi: każdy pracownik Meta ma dostęp do naszych czatów. Zgłoszono to w tym tygodniu i nadal będę nalegał, abyśmy starali się korzystać z… RCS dostępny teraz na Androida i iOS.
Jednocześnie firma podkreśla, że Nikt poza czatem, nawet Meta, nie może przeczytać treści wiadomości. To napięcie między oficjalną wersją a zewnętrznymi oskarżeniami sprawiło, że szyfrowanie WhatsApp stało się jedną z najbardziej drażliwych kwestii w dziedzinie ochrona danych i zaufanie cyfrowe dla milionów europejskich użytkowników.
Na czym polega kompleksowe szyfrowanie, które obiecuje WhatsApp?
WhatsApp zaprezentował szyfrowanie typu end-to-end (E2EE) jako istotną część swojego DNA. Według samej platformy, system ten chroni wiadomości, zdjęcia, filmy, notatki głosowe, dokumenty, połączenia, lokalizacja w czasie rzeczywistym i aktualizacje statusutak, że tylko nadawca i odbiorca mają dostęp do treści.
Aplikacja wyjaśnia, że każda wiadomość jest zabezpieczona „zamek” i jeden klucz Klucze te są generowane na urządzeniach, a nie na serwerach Meta. Zmieniają się one stale i są zarządzane automatycznie, więc użytkownik nie musi aktywować żadnych specjalnych opcji, aby zabezpieczyć swoje czaty.
Aby wzmocnić zaufanie, WhatsApp przypomina użytkownikom, że jego system szyfrowania opiera się na Protokół sygnałuProtokół ten jest powszechnie uznawany w świecie cyberbezpieczeństwa. Jest jednak stosowany w aplikacjach, które nie są open source, co oznacza, że zewnętrzni eksperci mogą przeprowadzać audyty jedynie w ograniczonym zakresie w jaki sposób szyfrowanie zostało wdrożone w praktyce.
Jak użytkownik może stwierdzić, czy rozmowa jest szyfrowana?
W Centrum pomocy WhatsApp podano, że każda zaszyfrowana rozmowa ma konkretny kod bezpieczeństwaTen identyfikator służy do weryfikacji, czy Połączenia i wiadomości są skutecznie chronione z E2EE pomiędzy tymi dwoma konkretnymi urządzeniami.
Ten kod można wyświetlić w formacie Kod QR lub ciąg 60 cyfr W danych kontaktowych, w sekcji „Szyfrowanie”. Porównanie tych danych między uczestnikami czatu pozwala zweryfikować, czy obaj używają tych samych kluczy i czy treść nie została przekazana osobom trzecim.
W praktyce weryfikacja polega na otwarciu czatu, przejściu do ekranu informacji o kontakcie lub grupie i stuknięciu „Szyfrowanie”Po kilku sekundach aplikacja wyświetli automatyczny komunikat potwierdzający szyfrowanie i zaproponuje opcję zeskanowania kodu QR lub sprawdzenia 60 cyfr, aby upewnić się, że są zgodne na obu urządzeniach.
Pozew zbiorowy kwestionujący szyfrowanie WhatsApp
Pomimo tego oficjalnego dyskursu, pozew zbiorowy złożony w Sądzie Rejonowym w San Francisco To ponownie rozbudziło podejrzenia co do faktycznego działania szyfrowania. W dokumencie sądowym utrzymuje się, że Meta przechowuje, analizuje i może uzyskiwać dostęp do komunikatów które użytkownicy wysyłają za pośrednictwem WhatsApp, chociaż platforma jest promowana jako usługa całkowicie prywatna.
W grupie powódek znajdują się prawnicy i organizacje z Australia, Brazylia, Indie, Meksyk i Republika Południowej AfrykiW swoich oskarżeniach twierdzą, że zarówno system kompleksowego szyfrowania, jak i pozostałe narzędzia zabezpieczające aplikacji są bezpieczne. „Nie będą tak skuteczne, jak twierdzą”. i że firma wprowadziła opinię publiczną w błąd, informując o dostępnym poziomie ochrony.
Z dokumentacji wynika, że oskarżenie opiera się również na zeznaniach rzekomych wewnętrzni sygnaliści opisywałoby to procesy, dzięki którym pracownicy Meta mogliby uzyskać dostęp do treści niektórych czatów na żądanie w wewnętrznym systemie firmy.
Odpowiedź Meta i WhatsApp: „prawdziwe” szyfrowanie i „absurdalne” oskarżenia
Reakcja firmy była jednoznaczna. Andy Stone, rzecznik WhatsApp i MetaStone nazwał pozew „błahym” i zapewnił, że firma będzie domagać się sankcji wobec prawników, którzy go złożyli. W swoich oświadczeniach dla mediów, takich jak Bloomberg, Stone utrzymuje, że „Każde twierdzenie, że wiadomości WhatsApp nie są szyfrowane, jest kategorycznie fałszywe i absurdalne”..
Meta utrzymuje, że ani pracownicy WhatsApp, ani pracownicy spółki macierzystej Dysponują sposobem na odczytywanie zaszyfrowanej komunikacji użytkowników, a system E2EE oparty na protokole Signal działa już od prawie dekady. Zauważa się również, że rządy żądające dostępu do treści Napotykają oni taką samą barierę techniczną jak pozostali użytkownicy: sposób szyfrowania uniemożliwia dostarczanie wiadomości, nawet w obliczu oficjalnych żądań.
Mark Zuckerberg, dyrektor generalny Meta, publicznie bronił tego modelu, stwierdzając, że „Nie ma czasu, w którym serwery Meta widzą treść” wiadomości, gdy dwie osoby rozmawiają na WhatsAppie. Dla firmy oskarżenia, że szyfrowanie to fasada, są całkowicie pozbawione podstaw technicznych.
Wycieki i byli kontrahenci podsycają wątpliwości
Oprócz nacisków prawnych pojawiają się oświadczenia byli kontrahenci powiązani z moderacją treści WhatsAppktórzy byli przedmiotem śledztw prowadzonych przez organy ścigania w Stanach Zjednoczonych. Według raportu uzyskanego przez Bloomberga, pracownicy ci rzekomo twierdzili, że niektórzy pracownicy Meta mieli szeroki dostęp do wiadomości użytkowników aplikacji.
Świadectwa pochodzą od osób, które pracowały dla WhatsApp przez zewnętrzne firmy konsultingowei że poinformowali śledczego Departamentu Handlu, że w ich miejscu pracy były stanowiska z „nieograniczonym dostępem” do czatów. Informacje te zostały zebrane w wewnętrznym raporcie zatytułowanym „Operacja zaszyfrowana ze źródła”, datowany na lipiec i opisany jako część trwającego śledztwa.
Jednakże bardzo Biuro Przemysłu i Bezpieczeństwa Departament Handlu Stanów Zjednoczonych odrzucił później te twierdzenia, stwierdzając, że Nie prowadzi dochodzenia w sprawie WhatsApp ani Meta za rzekome naruszenia przepisów eksportowych i że raport sporządzony przez jednego z jej agentów wykraczał poza zakres jej kompetencji.
Meta ze swojej strony odpowiedziała, że „To, co twierdzą ci ludzie, nie jest możliwe” Ponieważ ani firma, ani jej kontrahenci nie mają dostępu do treści zaszyfrowanej komunikacji, firma zapewnia, że będzie nadal odrzucać oskarżenia, w tym te wysunięte przez kancelarię prawną prowadzącą pozew zbiorowy.
Krytyka ze strony konkurencji: Telegram i inne głosy
Debata na temat szyfrowania WhatsApp była również wykorzystywana przez bezpośredni konkurenci na rynku kurierskimJak DrutDyrektor generalny Telegramu, Pavel Durov, otwarcie zakwestionował bezpieczeństwo aplikacji Meta, stwierdzając, że jego zdaniem ślepe zaufanie do jej systemu ochrony jest "gorszący".
Durov twierdzi, że Telegram ma przeanalizowano system szyfrowania WhatsApp i że w tym procesie wykryliby potencjalne luki w zabezpieczeniachWedług jego relacji, WhatsApp nigdy nie był tak bezpieczny, jak przedstawiają to oficjalna komunikacja Meta z miliardami użytkowników.
Krytyka założyciela Telegramu nadeszła w szczególnie delikatnym momencie, w samym środku pozew zbiorowy w Stanach Zjednoczonych przeciwko Meta za rzekomy dostęp do rzekomo zaszyfrowanych wiadomości. WhatsApp po prostu potwierdził, że korzysta z protokołu Signal i że Klucze bezpieczeństwa znajdują się w urządzeniachnie na serwerach, więc firma nie mogłaby przeczytać treści czatów, nawet gdyby chciała.
Perspektywa ekspertów ds. szyfrowania
W obliczu tej wymiany oskarżeń niektórzy specjaliści od kryptografii próbowali rozładować napięcie. Profesor Matthew Green, kryptograf z Uniwersytetu Johnsa HopkinsaNa swoim blogu zauważył, że szyfrowanie WhatsApp opiera się na protokole Signal i że chociaż aplikacja Meta nie jest oprogramowaniem typu open source, istnieją Techniczne sposoby wykrywania, czy treść jest faktycznie szyfrowana.
Green zauważa, że gdyby WhatsApp systematycznie czytał wiadomości, społeczność zajmująca się badaniami nad bezpieczeństwem w końcu znajdzie dowody w zachowaniu aplikacji lub analizie ruchu. Mimo to firma podkreśla, że brak możliwości przejrzenia całego kodu sprawia, że niezależna weryfikacja, czy szyfrowanie jest stosowane, jest – jak twierdzi firma – niezwykle trudna.
W tym samym czasie różne grupy działające na rzecz ochrony prywatności, takie jak te promujące inicjatywy takie jak „Zaszyfruj to już”Wywierają presję na duże firmy, aby rozszerzyły szyfrowanie typu end-to-end na więcej usług i stosowały je domyślnie. W szczególności w odniesieniu do WhatsApp, grupy te domagają się, aby: Szyfrowane kopie zapasowe E2EE są domyślnie włączone i nie wymagają od użytkownika ręcznej konfiguracji.
Co z kopiami zapasowymi: słaby punkt systemu
Jednym z najistotniejszych, a być może najmniej znanych niuansów jest różnica między szyfrowaniem wiadomości w tranzycie i ochrona kopie zapasowe w chmurzeRozmowy i czaty WhatsApp są szyfrowane, natomiast kopie zapasowe są przechowywane na Dysku Google lub w chmurze iCloud. Nie zawsze był chroniony protokołem E2EE por defecto.
WhatsApp oferuje możliwość aktywacji tej funkcji już od jakiegoś czasu. Kopie zapasowe szyfrowane od początku do końcatak, że ani sama aplikacja, ani dostawcy chmury nie mogą uzyskać dostępu do jej zawartości. Jednak ta funkcja wymaga od użytkownika utworzenia hasło lub 64-cyfrowy klucz A jeśli zapomnisz o danych lub je zgubisz, nie będzie możliwości ich odzyskania.
Dlatego niektórzy ludzie i firmy wolą Nie włączaj szyfrowania E2EE w kopiach zapasowychTwierdzą, że dzięki temu łatwiej jest przywrócić czaty po zmianie telefonu, korzystać z narzędzi do migracji międzyplatformowej lub spełniać pewne obowiązki związane z archiwizacją i audytem, ale kosztem polegania wyłącznie na zabezpieczeniach oferowanych przez dostawcę chmury.
Dlaczego niektórzy użytkownicy wyłączają szyfrowanie kopii zapasowej?
Decyzja o rezygnacji z szyfrowania E2EE w kopiach zapasowych często wynika z powodów praktycznych. Jeśli ktoś włączy ten system, a następnie Zapomniałeś hasła lub zgubiłeś 64-cyfrowy kluczKopia zapasowa staje się niemożliwa do odzyskania. WhatsApp nie przechowuje tych kluczy, więc nie może pomóc w ich przywróceniu.
W świecie biznesu wyłączenie szyfrowania kopii zapasowej można postrzegać jako sposób na bezpieczny dostęp do historii czatów W celu zapewnienia zgodności z przepisami prawa lub regulacjami, zwłaszcza w sektorach podlegających rygorystycznym wymogom dokumentacyjnym. W tym kontekście priorytetem staje się gwarantowane odzyskanie danych, nawet jeśli oznacza to założenie… większe ryzyko w zakresie poufności.
Są też użytkownicy, którzy po cierpieniu błędy lub blokady Przywracając zaszyfrowaną kopię zapasową end-to-end, wielu użytkowników decyduje się na powrót do standardowego systemu tworzenia kopii zapasowych w chmurze. Narzędzia innych firm, które umożliwiają użytkownikom migrację lub wyodrębnianie danych WhatsApp między platformami, zazwyczaj działają tylko z niezaszyfrowanymi kopiami zapasowymi, co zmusza wielu do… tymczasowo wyłącz ten dodatkowy poziom zabezpieczeń.
Zagrożenia i kontekst prawny w Europie i Hiszpanii
Wyłączenie szyfrowania typu end-to-end w kopiach zapasowych oznacza w praktyce, że informacje są chronione wyłącznie przez środki firm takich jak Google czy AppleJeśli ktoś uzyska dostęp do konta w chmurze, na przykład za pośrednictwem phishing lub kradzież danych uwierzytelniających— może uzyskać kopię zapasową pliku WhatsApp i przeanalizować jego zawartość, jeśli nie jest zaszyfrowana.
Z prawnego punktu widzenia ramy europejskie, wraz z Ogólne rozporządzenie o ochronie danych (RGPD) Dla porównania, zaleca się stosowanie solidnych środków bezpieczeństwa, w tym szyfrowania, w celu ochrony danych osobowych. Dla firm korzystających z WhatsApp w celach zawodowych w Hiszpanii lub innych krajach UE, przechowuj historię czatów bez dodatkowego szyfrowania Może to budzić obawy dotyczące zgodności, jeśli przetwarzane są poufne dane klientów.
Ponadto szyfrowanie wpływa na relacje z siły i organy bezpieczeństwaJeśli kopie zapasowe są szyfrowane metodą end-to-end i tylko użytkownik ma do nich klucz, ani dostawca chmury, ani WhatsApp nie mogą udostępnić treści w przypadku nakazu sądowego. W przeciwnym razie firmy technologiczne mogą zostać zmuszone do… ułatwiać dostęp do tych kopii zapasowych gdy tak nakaże sąd.
Ta równowaga między prywatnością, bezpieczeństwem publicznym i obowiązkami prawnymi jest szczególnie delikatna w Europie, gdzie regularnie debatuje się nad propozycjami ograniczyć lub obejść szyfrowanie W pewnych okolicznościach. W tym kontekście sprawa WhatsApp jest poddawana wnikliwej analizie, biorąc pod uwagę jej ogromne znaczenie w codziennej komunikacji milionów użytkowników w Hiszpanii.
Jak sprawdzić i zarządzać szyfrowaniem w aplikacji
Użytkownik może codziennie wykonywać kilka prostych kontroli, aby: lepiej zrozumieć, co jest chronione i w jaki sposóbW każdej rozmowie indywidualnej lub grupowej można uzyskać dostęp do informacji o czacie, klikając sekcję „Szyfrowanie” i zweryfikuj kod bezpieczeństwa za pomocą kodu QR lub 60-cyfrowego ciągu. Potwierdza to, że wymiana danych między tymi dwoma urządzeniami jest szyfrowana metodą end-to-end.
Jeśli chodzi o kopie zapasowe, dostęp do sekcji kopii zapasowych można uzyskać w ustawieniach aplikacji — zarówno na urządzeniu z systemem Android, jak i na telefonie iPhone. «Kopia zapasowa czatu» i sprawdź, czy opcja „kompleksowo szyfrowana kopia zapasowa” Jest aktywowana. Jeśli tak, do jej dezaktywacji lub modyfikacji wymagane będzie podanie hasła lub 64-cyfrowego klucza; w przeciwnym razie użytkownik może skonfigurować tę ochronę, postępując zgodnie z kreatorem oferowanym przez WhatsApp.
Mimo wszystkich tych cech obecna debata przypomina nam, że szyfrowanie nie jest kwestią czysto techniczną, ale także kwestią zaufanie do sposobu, w jaki firmy wdrażają i dotrzymują własnych obietnicW obliczu pozwów sądowych w Stanach Zjednoczonych, przecieków od byłych kontrahentów, krytyki ze strony konkurencji i czujnego oka europejskich regulatorów, przyszłość szyfrowania WhatsApp i jego status jako prawdziwie prywatnego narzędzia pozostaną kluczową kwestią dla użytkowników, ekspertów ds. bezpieczeństwa i władz w Hiszpanii i całej Europie.
