Whatsapp 表示,由于加密,他无法访问用户消息,但私钥存储在自己的应用程序中,那么他们是否可以从手机中偷偷取出密钥并解密聊天记录?
答案1
“理论上是的”,因为他们完全控制着他们的源代码。但我明白你想要一个更实际的答案,所以我不得不说:
不,Whatsapp 使用的加密协议不是这样运作的。如果他们想这样做,就必须从根本上改变他们的加密系统,即使他们确实可以这样做,如此巨大的代码更改也不会被忽视,并且还会使他们的基本政策(隐私政策、与用户的协议)无效,很快就会给他们带来法律麻烦。
Whatsapp 使用的信号加密协议的工作原理如下 - 摘自本文来自 Wired
然而,Signal 协议使用所谓的“棘轮”系统,该系统在发送每条消息后都会更改密钥。它通过为每个用户生成一组临时密钥对来实现这一点,除了永久密钥之外。当有人使用 Signal 协议通过应用程序向联系人发送消息时,该应用程序会将两个用户的临时和永久公钥和私钥对组合起来,以创建用于加密和解密该消息的共享密钥。由于生成此密钥需要访问用户的私钥,因此它仅存在于他们的两个设备上。Signal 协议的临时密钥系统(它会不断为每个用户补充)允许它在发送每条消息后生成一个新的共享密钥。
因此:他们“偷偷溜走”的任何密钥都只能解密一条消息,而不是整个聊天。
此外,信号加密协议是开源的,这意味着有一个庞大的社区确保没有错误。
在这种情况下,正如您的问题所暗示的,中间人攻击是不可行的。
任何人要想阅读您的 WhatsApp 消息,都需要满足以下条件之一:
- 物理访问你的手机
- 某些恶意应用程序创建的手机后门
- 访问你的云备份,这可能没有得到妥善保护
- 通过 Whatsapp Web 界面进行访问。我猜这种访问可能会被黑客入侵,甚至 WhatsApp 自己也会。回答这个问题需要进行更多研究,这超出了你的问题范围。
最后,你真正的问题应该是:“我能信任 WhatsApp 吗?例如,我能信任 Facebook 吗?这家以不尊重用户隐私而闻名的公司?”
因此,如果你参与的活动隐私至关重要,你根本不应该使用 WhatsApp,而应该使用其他致力于隐私的服务,例如 Signal Messaging App