Ayer por la noche ya empecé a ver las primeras noticias sobre el cifrado punto a punto de WhatsApp y hablando de este tema con mi hermano nos surgieron bastantes dudas sobre lo seguro que podía llegar a ser ya que, aunque se utilice criptografia asimétrica, si todo pasa por los servidores de esta empresa podrían guardarse la clave pública, la privada y el mensaje.
Antes de seguir, recodemos un poco como funciona un cifrado asimétrico que busques por donde lo busques sale explicado de un par de maneras, la de autenticidad y la que usa WhatApp la de confidencialidad.
Aunque en esta aplicación funciona un poco diferente:
Como supongo que os pasará a mas de uno he estado toda la noche y toda mi jornada laboral con ganas de leerme el White paper que se publicó ayer sobre como funciona el protocolo Signal diseñado por Open Whisper Systems y no, no os voy a explicar todo el paper pero si que os indicaré algunos puntos que a mi me han parecido interesantes. Por ejemplo:
- El uso del esquema de cifrado por bloques AES-256 junto a la función criptográfica de Hash SHA-256.
- Este punto me parece genial y un buen ejemplo a los deberes bien hechos ya que SHA-256 pertenece a la familia de SHA-2 y no es vulnerable a día de hoy, mientras que su antecesor [SHA-1 y anteriores si lo son] al menos teóricamente.
- También explica como se crean las claves publicas y la privada/sesión como le llaman ya que dependen de 3 "argumentos " para generarse.
Por otro lado nos encontramos con el siguiente apartado:
"The WhatsApp server stores these public keys associated with the user’s identifier. At no time does the WhatsApp server have access to any of the client’s private keys"
Bueno, que guarden la clave publica de los usuarios no me parece un gran problema es mas, siempre me ha parecido tedioso el hecho de compartir claves publicas así que, en mi opinión y desmentidme si es necesario, es un peso que me quita la gente de WhatsApp.
Si miramos el tema de la clave privada, es una clave generada en el dispositivo receptor del mensaje y que solo se podrá descifrar el mensaje verificando la clave publica del receptor. Además la empresa vuelve a recordar que no guarda esta clave en sus servidores y que no tiene acceso a ella, en el apartado de conclusiones del paper:
"WhatsApp servers do not have access to the private keys of
WhatsApp users, and WhatsApp users have the option to verify
keys in order to ensure the integrity of their communication"
De esta manera, yo que he sido un retractor de la seguridad de WhatsApp, ahora me parece mas viable usarlo y quien dice que después de leer opiniones de gente que lleva mas años que yo en este mundo y "estudiarme" bien el paper acabe desinstalando Telegram.
Aquí tenéis toda la información sobre el cifrado sobre el cifrado end-to-end de esta App que ya se me olvidaba:
También os dejo la entrada de CNET donde , con razón, explican que el cifrado en esta planificación se remonta a 2015 en Android y 2015 en iOS pero ahora tenemos la confirmación de que toda comunicación a través de ella es segura. Aunque Estados Unidos quiera darle fuerte y flojo al cifrado.
Sed Buenos ;)
