Yadda ɓoye-zuwa-ƙarshe ke aiki akan WhatsApp

A yau muna taɗi, kira, da raba hotuna ba tare da tunani na biyu ba, amma a bayan fage, akwai fasaha da ke kiyaye duk waɗannan amintattun: ɓoye-ɓoye na ƙarshe zuwa ƙarshe. A WhatsApp, an tsara wannan Layer Security ta yadda kai da wanda kake magana da shi kadai za su iya karanta abin da ake aikawa. Babu sabar tsaka-tsaki ko mai bayarwa da kanta yakamata su sami damar yin amfani da abun cikiKuma hakan yana canza dokokin wasan gaba ɗaya idan ana maganar sirri.

Duk da haka, yana da mahimmanci a fahimci yadda yake aiki, abin da yake karewa da abin da ba ya yi, kuma a cikin wace yanayi za a iya samun nuances. Za mu karya tsarin, iyakoki na gaske, da yadda ake tabbatar da cewa an kare tattaunawar ku da kyau.da kuma yin bitar hadura kamar hare-haren mutane-a-tsakiyar ko barazana ga na'urorin da kansu.

Menene boye-boye na ƙarshe-zuwa-ƙarshe kuma me yasa yake da mahimmanci?

Lokacin da ƙa'idar ta yi iƙirarin yin amfani da ɓoye-ɓoye na ƙarshe-zuwa-ƙarshe (E2EE), yana nufin cewa an rufaffen bayanan akan na'urar mai aikawa kuma an ɓoye bayanan akan na'urar mai karɓa kawai. Duk hanyar "tabbatacciyar-shara ce"Don haka ko da wani ya katse fakitin, za su ga jumble ɗin da ba za a iya tantancewa ba tare da maɓalli daidai ba.

Hanya mai sauƙi don hango shi ita ce tunanin aika fakiti a cikin akwati da aka kulle. Kai da sauran mutum ne kawai ke da maɓallin makullinA kan hanyar, kunshin zai ratsa ta hannaye da yawa, amma ba wanda zai iya buɗewa sai wanda ke da wannan maɓalli. A cikin sharuɗɗan fasaha, maɓallin ɓoyewa ya kasance ƙarƙashin ikon wuraren ƙarshen sadarwa.

Wannan ya bambanta da tsarin tushen uwar garken na al'ada, waɗanda kawai ke ɓoye haɗin tsakanin na'urarka da sabar (ɓoye cikin wucewa). A cikin wannan ƙirar, mai badawa zai iya dubawa ko sarrafa abun ciki a cikin rubutu na fili.Wannan wani abu ne da yawancin masu amfani za su gwammace su guji a cikin tattaunawa ta sirri. Shi ya sa ake ɗaukar E2EE a matsayin zaɓi mafi ƙarfi don sadarwa mai mahimmanci.

A tarihi, ba duk dandamali ne suka yi wasa mai kyau tare da kalmar ba. Akwai ayyuka da suka tallata kansu a matsayin "ƙarshe-zuwa-ƙarshe" ba tare da sun kasance haka ba, kamar Lavabit ko Hushmail a wasu lokuta. Wasu, kamar Telegram ko Google Sannu, an soki su don rashin kunna E2EE ta tsohuwa, yana buƙatar mai amfani ya ɗauki ƙarin matakin kunna shi.

Hakanan yana da mahimmanci a rarrabe E2EE daga ɓoyayyen ɓoyayyen abokin ciniki da aka yi amfani da shi zuwa madadin ko ayyukan fayil. Kawai saboda mai badawa ya rufa asirin abubuwan ajiyar ku akan na'urarku baya sanya wannan sabis ɗin saƙon ƙarshe zuwa ƙarshe.Wani ingantaccen nau'in kariya ne, amma an tsara shi zuwa ga ajiyababu musanya tsakanin mutane.

Yadda ɓoye-zuwa-ƙarshe ke aiki akan WhatsApp

WhatsApp yana aiwatar da ɓoyayyen sa bisa ƙa'idar siginar, ƙayyadaddun ƙa'ida da aka bincika kuma sananne. Ana samar da maɓallai na musamman don kowane taɗi. wanda ke kare saƙonni, hotuna, bidiyo, fayiloli, bayanan murya, da kira. An rufaffen duk abin da ke kan na'urar kafin tafiya kuma ana ɓoyewa ne kawai idan ya isa wayar abokin hulɗar ku.

Don haka, ko da sakon ya wuce ta hanyar sabobin WhatsApp, ba za a iya karanta shi a can ba. Kamfanin ya yi iƙirarin cewa ba shi da damar yin amfani da maɓallan ɓoye bayananwanda ke zama na musamman akan na'urorin masu amfani. A aikace, wannan yana sa mai badawa ba zai iya "buɗe" taɗi da kansa ba, koda kuwa wani ya hana zirga-zirga.

Baya ga boye-boye, tabbatar da shaidar lamba yana da mahimmanci. WhatsApp yana nuna lambar QR da lambobi 60 masu alaƙa da kowace tattaunawa. Idan ku duka biyun ku yi binciken lambar QR ko kwatanta lambobin, kun tabbatar da cewa babu kwaikwaiyo. da kuma cewa kuna magana da wanda kuka gaskata.

Don duba shi da hannu: Bude hirar, matsa lamba ko sunan rukuni, sannan shigar da "Encryption". Za ku ga lambar QR kusa da lambobi 60. Kuna iya bincika lambar QR daga ɗayan wayar ko kwatanta kirtan lambar a gani. Ba koyaushe kuna buƙatar yin hakan a cikin yanayin yau da kullun ba, amma yana da amfani idan kun yi zargin wani yana amfani da lambar QR. canza na'urar ko lokacin fara tattaunawa mai mahimmanci.

Wannan hanya ta bambanta da abin da ake kira ɓoyewa a cikin hanyar wucewa. A cikin wancan samfurin, uwar garken yana karɓar abin da aka ɓoye sannan kuma ya sake rufa masa asiri. Wannan yana buɗe wuraren kai hari akan sabar.A cikin E2EE, a gefe guda, abun ciki yana tafiya a ɓoye daga ƙarshe zuwa ƙarshe, yadda ya kamata ya kawar da masu shiga tsakani tare da samun damar yin rubutu.

Abin da aka cire daga ɓoyewa: metadata da abubuwan bayyane

Kawai saboda an rufaffen taɗi ba yana nufin cewa duk abin da ke kewaye da asusunku ba a iya gani. Sunan ku, bayanin ku, da hoton bayanin ku bayanai ne waɗanda za su iya samuwa ga WhatsApp bisa ga saitunan sirrinku. Hakazalika, sunayen rukuni da kwatance ba sashe ne na rufaffen abun ciki na taɗi.

Waɗannan abubuwan jama'a ko na jama'a na iya zama ƙarƙashin kulawa ta atomatik don gano cin zarafi (misali, a kan cin zarafin yara). Wannan ba yana nufin akwai mutane suna karanta tattaunawar sirrinku ba.amma akwai matakan bita akan sassan sabis ɗin waɗanda E2EE ba su rufe su.

Hakanan yana da amfani a tuna cewa E2EE baya sarrafa duk metadata da kansa. Bayani kamar kwanan wata, girman fayil, ko Adireshin IP suna iya barin burbushi (dangane da aiwatarwa da manufofin sabis). Ko da abin da ke cikin rufaffen sirri ne, kasancewar sadarwa kawai ana iya yin la'akari da shi a wasu lokuta.

Wani abu makamancin haka yana faruwa tare da tsarin ajiya: idan kun yi girgije madadin kuma waɗannan ba rufaffen-zuwa-ƙarshe ba ne, Mai ba da ajiyar ajiyar ku zai iya samun dama ga wannan bayanan ta fasaha.Lokacin amfani da boye-boye-gefen abokin ciniki, kuna riƙe ikon maɓalli, amma hakan baya sanya tsarin E2EE saƙon, saboda muna magana akan ajiya, ba musanya ba.

Korafe-korafe da rahotanni akan WhatsApp: menene ainihin ke faruwa tare da ɓoyewa

Ɗaya daga cikin abubuwan da suka fi rikitarwa shine abin da ke faruwa idan wani ya ba da rahoton tattaunawa. Saurin karanta wasu rubutun yana nuna cewa WhatsApp na iya "karye ɓoyewa." Abin da ke faruwa a aikace ya bambanta: lokacin bayar da rahoto, na'urar mai amfani da rahoton tana tura kwafin saƙonnin kwanan nan zuwa WhatsApp. daga waccan taɗi don bincike, domin ƙungiyar ta iya tantance ko ana keta dokokin sabis.

Daga ra'ayi na fasaha, babu wani maɓalli mai mahimmanci wanda ke buɗe duk makullin. Ba a yanke cikakken tarihin akan sabar Haka kuma ba a tilasta maɓallan tattaunawa ba. Abin da aka sake dubawa shine ɓangaren da abokin ciniki na mai amfani da rahoto ya yanke shawarar ƙaddamar da shi azaman shaida, kuma wannan ya isa ya bincika cin zarafi, spam, ko cin zarafi.

Idan kun karya dokokin kuma aka ba da rahoton, WhatsApp na iya ɗaukar mataki, gami da dakatar da asusun ku. Wannan baya karya ka'idar E2EE ga kowa da kowaYana ba da damar tashar sa kai (a ɓangaren mai ba da rahoto) don mai bayarwa don bincika takamaiman abun ciki don dalilai na tsaro da yarda.

Man-in-the-middle (MITM) harin da yadda za a hana su

Rufewa yana kare abun ciki, amma dole ne ka tabbatar kana sadarwa da mutumin da kake tunanin kai ne. A wani hari na mutum-mutumi, mai kutse yana kwaikwayon wanda aka yi niyya a lokacin musayar maɓalli. sa ka rufawa asiri da makullin da yake sarrafawaSannan zaku iya karantawa da sake ɓoye saƙon ta yadda komai ya zama daidai ga wanda aka nufa.

Don hana wannan, tsarin E2EE sun haɗa da tabbatar da ƙarshen ƙarshen. Kuna iya dogara ga hukumomin takaddun shaida ko amfani da amintaccen cibiyar sadarwa (Web of Trust), da kuma tabbatar da sawun yatsu da hannu. WhatsApp yana warware wannan a zahiri tare da lambar QR da lambar lambobi 60, waɗanda ke sauƙaƙe kwatancen.

A wasu kayan aikin, ana nuna hotunan yatsu na jama'a azaman igiyoyin hexadecimal da aka haɗa su don sauƙaƙe karatu. Misali na yau da kullun na 128-bit MD5 zanta na iya yin kama da wannan.:

43:51:43:a1:b5:fc:8b:b7:0a:3a:a9:b1:0f:66:73:a8

Wasu mafita suna nuna kalmomi a cikin yare na halitta maimakon hexadecimal, ko ɓoye a cikin tushe 10 don haɓaka wuri. da apps Fasahar zamani kuma tana ba da damar bincika hotunan yatsu kamar lambobin QR.wanda ke rage kuskuren ɗan adam lokacin kwatanta dogayen igiyoyi da hannu.

Abin da ke ƙarƙashin hular: maɓalli da ladabi

Ana iya aiwatar da E2EE ta hanyoyi da yawa. Yana yiwuwa a yi amfani da sirrin da aka riga aka raba (kamar yadda yake cikin PGP), wanda aka samo daga sirrin lokaci ɗaya (DUKPT), ko yin shawarwarin maɓalli akan tashi ta hanyar musayar maɓallin maɓallin Diffie-Hellman, kamar yadda ka'idodin salon OTR (Off-the-Record) ke yi.

Ka'idar siginar, wacce WhatsApp ta dogara da ita, tana amfani da tsarin fasaha na zamani, kamar "Double Ratchet" tare da Curve25519, don juya maɓallai akai-akai kuma ba da cikakkiyar sirri gaba (ta yadda ko da maɓalli na gaba ya lalace, tsoffin saƙonnin sun kasance amintacce). Wannan jujjuyawar akai-akai yana rage saman harin.

Yana da kyau a jaddada cewa, ba da dadewa ba, yawancin dandamalin saƙo na tushen sabar ba su bayar da E2EE ta tsohuwa ba. Ya fara yaduwa daga 2016 zuwa gaba. a cikin shahararrun aikace-aikace, matsa lamba ta hanyar buƙatun zamantakewa don keɓancewa da kuma aikin jami'an tsaro.

Tsaron Ƙarshen Ƙarshe: mahaɗin mafi rauni

E2EE baya karewa malware wannan yana kan wayar hannu ko kwamfutarku. Idan na'urarka ta lalace, mai hari zai iya karanta saƙonnin da zarar an ɓoye su.Ɗauki hotunan kariyar kwamfuta ko satar kalmomin shiga. Shi ya sa tsabtace dijital (sabuntawa, amintattun apps, kulle na'urar) yana da mahimmanci.

Don ƙarfafa kariya, akwai hanyoyin da ke ware mahimman tsarawa da adanawa a ciki hardware sadaukar (katuna masu wayo), kamar tsohon Project Vault na Google. Waɗannan samfuran suna rage haɗarin fallasa maɓallai zuwa tsarin aiki.Koyaya, windows masu kai hari har yanzu suna cikin abubuwan shigar da rubutu a sarari da abubuwan fitarwa.

Hanya mafi arfafa ita ce yin aiki tare da keɓaɓɓen kayan aiki (masu gibin iska) don ɗaukar abubuwa masu mahimmanci. An ba da shawarar PGP tsawon shekaru don waɗannan nau'ikan al'amuranKoyaya, ko da keɓancewar cibiyoyin sadarwa na iya gazawa: shari'ar Stuxnet ta nuna cewa malware na iya ƙetare shingen jiki ta amfani da abubuwan ƙirƙira.

Don rage fitar da maɓalli ta hanyar malware, an ba da shawarar raba amintaccen tushen kwamfuta tsakanin kwamfutoci guda biyu da ke da alaƙa da kai tsaye. Manufar ita ce a hana duka shigar da lambar ɓarna da zubar da bayanan sirri. idan daya daga cikin tsarin ya zama mai lalacewa.

Kofofin baya da amanar mai kaya

Tsaro ya dogara ba kawai akan algorithms ba; ya kuma dogara da halayen kamfanoni. A cikin 2013, takardun Snowden sun nuna cewa Skype yana da ƙofar baya wanda ya baiwa Microsoft damar isar da sakwanni zuwa ga NSA duk da kariyar da ake tsammani. Wannan nau'in ma'auni yana ƙarfafa zaɓi don buɗewa da ƙa'idodin ladabi.

Ana iya buɗe kofofin baya da gangan ko da gangan. Rashin aiwatarwa mara kyau, ko buƙatun tsari, na iya raunana tsarinWannan shine dalilin da ya sa yana da mahimmanci cewa ƙa'idodin sun ɗauki ƙirar tsaro ta tsohuwa, sabunta lambar su, da yin bincike mai zaman kansa.

E2EE bayan WhatsApp: dubawa

Babban amfani da E2EE a yau shine cikin saƙon hannu da kan layi. iMessage yana kare saƙonni tsakanin na'urorin Apple tare da ɓoye-zuwa-ƙarshe. ta yadda ko Apple ma ba zai iya karanta su ba. a Android Halin ya bambanta ta hanyar app: yawancin dandamali na Play Store suna ba da E2EE, amma ba wani abu bane da tsarin ke aiwatarwa a duniya.

Sigina ita ce ma'auni a cikin sirri saboda buɗaɗɗen ƙira da E2EE na asali don saƙonni, kira, da kiran bidiyo. WhatsApp, a nata bangare, yana amfani da E2EE ga duk tattaunawa da kirakawo tsayayyen sirri ga jama'a masu sauraro. An soki wasu ƙa'idodin don rashin kunna wannan kariyar ta tsohuwa.

Imel kuma na iya cin gajiyar E2EE ta hanyar PGP ko OpenPGP, kodayake tsarin sa ba koyaushe ba ne. Ayyuka kamar Proton Mail suna haɗa tallafi ga PGP don sauƙaƙe tsarin, yayin da wasu, kamar Tuta, suna amfani da nasu tsarin ɓoye ƙarshen-zuwa-ƙarshen.

Tasirin E2EE akan sirri da rayuwar mu ta dijital

Haɗin rai yana nufin barin alama. Shi ya sa E2EE ke ba da mahimmancin aminci don yin hira, daidaita aiki, ko raba bayanan sirri ba tare da fargabar sa ido akai-akai ba. Hana ɓangarori na uku mara izini yin saurara akan maganganunku kuma yana rage haɗarin zub da jini mai yawa.

Ta fuskar zamantakewa, wannan kariyar tana ƙarfafa 'yancin faɗar albarkacin baki, musamman ma a wuraren da ake yin ta'addanci. Tashar amintaccen tasha tana ba da damar sadarwa ba tare da tantance kai ba.Kuma hakan yana haifar da babban bambanci. Duk da haka, babu fasaha 100% ma'asumi: akwai iyakoki masu ma'ana waɗanda ya kamata a karɓa da sarrafa su.

Kafin mu ƙare, yana da kyau a tuna da dabaru masu amfani guda uku. Na farko, Tabbatar da lambar tsaro yana rage haɗarin hare-haren MITM.. Na biyu, Kula da ƙarshen ƙarshen kuKulle wayarka, sabunta tsarin, kuma ku kiyayi hanyoyin haɗin yanar gizo masu shakka. Na uku, Ka fayyace abin da ba a rufe shi ta hanyar ɓoyewa (bayanin martaba, sunayen rukuni da wasu metadata) don daidaita abubuwan da kuke tsammani.

Rufin rufaffiyar ƙarshen-zuwa-ƙarshe na WhatsApp yana aiki a cikin ƙarfi kuma balagagge hanya, yana dogaro da ƙa'idar zamani tare da jujjuya maɓalli da tabbatarwar QR mai sauƙi. Yana kariya daga masu shiga tsakaniWannan yana rage saman harin kuma yana iyakance bayyanar abun ciki. Ko da haka, rahotannin cin zarafi, metadata, da haɗarin kan na'ura suna zama a matsayin tunatarwa cewa keɓantawa ba canjin sihiri ba ne, sai dai haɗaɗɗun ayyuka mafi kyau da ingantaccen aiwatar da fasaha.