自从 Whatapp 开始端到端加密时,用户可以选择验证密钥,许多政府安全机构,比如印度的安全机构,都对这种加密的使用进行了警告。
现在,昨天通信和 IT 部长 Ravi Shankar Prasad 通知议会,安全/执法机构在处理各种应用服务提供商的加密通信时面临困难,包括 Whatsapp 提供的端到端加密通信消息。但是,安全机构可以通过电信服务提供商提供的合法拦截设施拦截这些加密通信服务。
考虑到它是 256 位,这在技术上是否可行?政府机构能否通过电信服务提供商提供的合法拦截设施拦截端到端加密的 Whatsapp 通信服务?
任何政府机构都不太可能破解加密。他们需要钥匙。他们能得到的唯一方法是,如果 Whatsapp 在他们的软件中有后门或弱点,可以提取这样的密钥。
截至今天,没有直接证据表明 Whatsapp 中存在这样的后门。但是,由于 Whatsapp 是封闭源代码,因此也很难确保这样的后门不存在。
但是,在信息安全方面,我们感兴趣的是风险评估。考虑到 OP,政府机构是我们被问及的各方。因此,我们应该评估这种风险。以下是一些相关信息:
Whatsapp 的母公司 Facebook已被证明可以通过称为 PRISM 计划的东西让 NSA 直接、单方面地访问他们的服务器。虽然 Facebook否认了这一点,但泄露的文件已经证明了这一点。然而,这并不意味着 NSA 可以解密 Whatsapp 消息。我将此信息包含在风险评估中,作为 Whatsapp 所有者与 NSA 的关系和总体隐私透明度的示例。
2013年,发布的信息有:(来源)
• NSA 和 GCHQ 解锁用于保护电子邮件、银行和医疗记录的加密
• 每年 250 美元的美国计划与科技公司秘密合作,在产品中插入弱点
我们绝对不能证明这个庞大的、隐蔽的程序实际上与 Facebook 合作,将这样的“弱点”置于 Whatsapp 中。然而,这些信息仍然与我们的风险评估相关。如果实际实施了这样的弱点,它可能会危及加密密钥。
虽然不完全相同,但确实发生过相当相似的事情。这是一个关于 Skype、微软和 NSA 的例子。
结论:目前,很难以一种或另一种方式得出结论。Whatsapp 的母公司(以及其他公司)过去曾表明,他们愿意让 NSA单方面访问用户数据。他们也表现出对此撒谎的意愿。鉴于此,似乎很难让 Facebook 控制下的公司就这一特定主题发表意见。
当我们评估有关恶意软件、病毒、被黑客攻击、数据丢失、数据盗窃、监视等的风险程度时,它不仅是相关的,如果某些事情得到证实。如果某事是可能的或什至可能的,这也是相关的。虽然在这种特殊情况下,可能没有足够的理由说 NSA 有可能获得 Whatsapp 加密密钥的访问权限,但鉴于这些实体的历史,这绝对是可能的。
这是人们在评估这种情况时可以考虑的因素。
相关阅读:
新的斯诺登文件详细说明了 NSA 如何绕过常见的 Internet 加密(国际商业时报)
你问了一个问题,但我认为你问的是两个:
对于您的第一个问题,法律当局可以捕获所有通信。这实际上并没有那么困难,并且有多个发生这种情况的例子。
第二,我们只能以陈述的事实为证据,其余的推测。Whatsapp表示他们无权访问加密密钥,这意味着他们无法将这些密钥交给当局。如果属实,那么第二个问题的答案是“否”。
我们可以推测密钥管理过程中的漏洞,或者 Whatsapp 声明的真实性,但在我们以某种方式获得证据之前,我们可以假设这些声明在技术上是正确的。
简而言之:
恕我直言,如果它通过 Whatsapp 服务器,这不是我所说的端到端加密 - 除非该消息仅适用于 Whatsapp 公司。
所以这里有不同的潜在问题: