Bl0ckch41nnewsWhatsApp ahora cifra las bases de datos de contactos para una sincronización que preserva la privacidad
La plataforma de mensajería WhatsApp ha presentado
Identity Proof Linked Storage (IPLS), un nuevo sistema de almacenamiento cifrado que preserva la privacidad y
está diseñado para la gestión de contactos.
El nuevo sistema resuelve dos problemas que los usuarios de WhatsApp han
tenido durante años: el riesgo de perder sus listas de contactos si pierden
su teléfono y la imposibilidad de sincronizar contactos entre diferentes
dispositivos.
Con IPLS, las listas de contactos de WhatsApp ahora se vincularán a la cuenta
en lugar del dispositivo, lo que permitirá a los usuarios administrarlas
fácilmente entre cambios o reemplazos de dispositivos.
Además, IPLS permite mantener diferentes listas de contactos para múltiples
cuentas en el mismo dispositivo, cada una administrada de forma segura y
aislada del resto.
Un sistema seguro y cifrado
IPLS es un novedoso sistema de WhatsApp que permite a los usuarios almacenar
los nombres de sus contactos de forma cifrada. IPLS permite que el
dispositivo cliente guarde la información de contacto mediante una clave de
cifrado segura generada en el dispositivo cliente. Su recuperación se basa
en que el cliente autentique la identidad de su dispositivo principal.
IPLS se basa en dos piezas de tecnología existentes que WhatsApp ya utiliza
a gran escala: y hardware security module (HSM).
Cuando se agrega un nuevo contacto, el nombre se cifra utilizando una clave de
cifrado simétrica generada en el dispositivo del usuario y almacenada en Key
Vault, resistente a manipulaciones y basada en HSM de WhatsApp.
Los HSM se utilizan para realizar copias de seguridad cifradas de extremo a extremo de WhatsApp y permiten la ejecución privada y a prueba de manipulaciones de la lógica de la aplicación dentro de los centros de datos de WhatsApp, preservando la privacidad. El procesamiento de datos dentro de los límites de seguridad de los HSM sigue siendo opaco incluso para los miembros internos de WhatsApp con los mayores privilegios y acceso físico al hardware.
Cuando el usuario inicia sesión en un nuevo dispositivo, se establece una
sesión segura con Key Vault basado en HSM para recuperar el nuevo contacto
realizando una acción de autenticación utilizando el par de claves
criptográficas vinculadas a la cuenta del usuario (creada al momento del
registro).
IPLS garantiza que todos los contactos estén cifrados de extremo a extremo, lo
que significa que los datos de contacto están cifrados en el dispositivo del
usuario y permanecen cifrados a medida que se mueven a través de los sistemas
de WhatsApp, lo que evita las intercepciones en tránsito o el acceso por parte
de empleados deshonestos de Meta.
WhatsApp también se asocia con Cloudflare para la auditoría independiente de
terceros de sus operaciones criptográficas, específicamente, para actuar como
garante de las actualizaciones del Directorio de Claves Auditables (AKD),
firmando cada parte y validando que no haya sido alterado.
WhatsApp publica pruebas auditables de consistencia para las actualizaciones
del directorio de claves en una instancia de Amazon S3 de acceso público, lo
que permite a los usuarios, investigadores y auditores verificar de forma
independiente la integridad del AKD.
Antes de que IPLS y los mecanismos subyacentes se presentaran al público,
WhatsApp contrató a NCC Group para realizar una auditoría de seguridad del
nuevo sistema. El descubrimiento más crítico de esa auditoría fue una falla
que permitía la suplantación de los HSM de Marvell y el descifrado del
material de la clave secreta de los usuarios, lo que potencialmente exponía
los metadatos de contactos privados.
WhatsApp solucionó este problema, junto con 12 fallas calificadas de gravedad
baja a media, en septiembre de 2024, por lo que no están presentes en la
versión final de IPLS.
Fuente:
BC
Los comentarios están cerrados.