De nieuwe beveiliging van WhatsApp - De stap naar end-to-end - Geachte redactie

woensdag 6 april 2016 23:49

Acties:

Topicstarter

quote: http://tweakers.net/revie...iliging-van-whatsapp.html
Dit houdt, eenvoudig weergegeven, in dat elke WhatsApp-gebruiker een openbare publieke sleutel krijgt toegewezen en daarnaast een geheime privésleutel heeft

Sleutelparen worden altijd gegenereerd door clients. Omdat de publieke en privésleutel wiskundig met elkaar verbonden zijn kan je geen publieke sleutel toewijzen vanuit een centrale autoriteit (server) zonder dat daar ook de privésleutel bekend is om aan de client te geven voor gebruik... en dan heeft het principe van asymmetrische cryptografie geen zin

zie ook hoofdstuk 'transport security' punt 3.

donderdag 7 april 2016 09:16

Acties:

duqu

Hoi Rafe, dank voor de opmerking. Ik ben voor die woordkeuze gegaan om duidelijk te maken dat een gebruiker zelf geen actie hoeft te ondernemen. Maar ik ben het eens met jouw opmerking dat het daardoor lijkt of er een sleutel door de server wordt gegenereerd. Ik zal het wat verduidelijken.

donderdag 7 april 2016 18:40

Acties:

djwice

De info van https://weakdh.org moet denk ik ook toegevoegd worden, gezien FREAK etc.

Zou je wat WhatsApp doet niet gewoon ook als een TLS met FS en sterke cipher kunnen doen waarbij ze de FS tussen twee partijen faciliteren, waarbij ze de TCP pakketten cachen totdat de ander online komt om ze te ontvangen.

[ Voor 4% gewijzigd door djwice op 07-04-2016 18:41 ]

Mijn LEGO MOC's met PDF bouwinstructies en stop-motion animaties vind je op https://rebrickable.com/users/BrickDesignerNL/mocs/

vrijdag 8 april 2016 13:52

Acties:

duqu

Hoi djwice, bedankt voor de aanvulling. WhatsApp maakt gebruik van het Noise-protocol als alternatief voor tls. Eenzelfde downgrade-aanval als waar jij naar verwijst is dan ook onwaarschijnlijk. Noise maakt ook gebruik van DH, waarvan veilige implementaties mogelijk zijn.