Afbeelding: WhatsApp
WhatsApp heeft vrijdag aangekondigd dat het zijn gebruikers later dit jaar end-to-end versleutelde back-ups zal aanbieden.
Gebruikers kunnen kiezen hoe de gebruikte coderingssleutel wordt opgeslagen.
Het eenvoudigste is dat gebruikers zelf de willekeurige 64-cijferige sleutel bijhouden, vergelijkbaar met hoe Signal back-ups afhandelt, die ze opnieuw zouden moeten invoeren om een back-up te herstellen.
Het alternatief zou zijn dat de willekeurige sleutel wordt opgeslagen in de infrastructuur van WhatsApp, een op hardware-beveiligingsmodule gebaseerde (HSM) back-upsleutelkluis die toegankelijk is via een door de gebruiker gemaakt wachtwoord.
“Het wachtwoord is onbekend bij WhatsApp, de cloudpartners van de gebruiker voor mobiele apparaten of een derde partij. De sleutel wordt opgeslagen in de HSM Backup Key Vault zodat de gebruiker de sleutel kan herstellen in het geval dat het apparaat verloren of gestolen is”, aldus de woordvoerder. bedrijf zei in een witboek [PDF].
“De HSM Backup Key Vault is verantwoordelijk voor het afdwingen van wachtwoordverificatiepogingen en het permanent ontoegankelijk maken van de sleutel na een bepaald aantal mislukte pogingen om toegang te krijgen. Deze beveiligingsmaatregelen bieden bescherming tegen brute force-pogingen om de sleutel te achterhalen .”
Voor redundantiedoeleinden zei WhatsApp dat de sleutel zou worden gedistribueerd via meerdere datacenters die werken volgens een consensusmodel.
WhatsApp zei dat het alleen zou weten dat een sleutel in zijn kluis bestaat en de sleutel zelf niet zou kennen.
De back-ups zouden berichttekst opslaan, evenals ontvangen foto's en video's, zei WhatsApp.
“De back-ups zelf worden op de client gegenereerd als gegevensbestanden die worden versleuteld met behulp van symmetrische encryptie met de lokaal gegenereerde sleutel”, aldus het bedrijf van Facebook.
“Nadat een back-up is versleuteld, wordt deze opgeslagen in de opslag van derden (bijvoorbeeld iCloud of Google Drive). Omdat de back-ups worden versleuteld met een sleutel die niet bekend is bij Google of Apple, kan de cloudprovider ze niet lezen.”
Eerder dit jaar stelde WhatsApp het afdwingen van een take-it-or-leave-it-update van zijn privacyvoorwaarden uit tot mei.
WhatsApp bood gebruikers oorspronkelijk een prompt om de nieuwe privacyvoorwaarden voor 8 februari te accepteren, anders riskeren ze de app niet te kunnen gebruiken. In de gebruikte bewoording zei WhatsApp dat het beleid zou veranderen hoe het samenwerkte met Facebook om “integraties aan te bieden”, en dat bedrijven Facebook-services hadden kunnen gebruiken om WhatsApp-chats te beheren.
In juni stopte WhatsApp uiteindelijk met zijn updateplannen.
Gerelateerde dekking
WhatsApp beboet $ 267 miljoen voor GDPR-schendingenWhatsApp past privacyregels in Brazilië aan WhatsApp lost kwetsbaarheid op met betrekking tot beeldfilterfunctionaliteit Facebook brengt Snapchat-achtige view once-foto- en videofunctie naar WhatsAppWhatsApp-chef zegt overheidsfunctionarissen, Amerikaanse bondgenoten doelwit van Pegasus-spyware
gerelateerde onderwerpen:
Social Enterprise Security TV Data Management CXO Datacenters 