„WhatsApp Messenger“ platforma pristatė „Identity Proof Linked Storage“ (IPLS) – naują privatumą išsaugančią šifruotą saugojimo sistemą, skirtą kontaktų valdymui.
Naujoji sistema išsprendžia dvi įsisenėjusias problemas, su kuriomis „WhatsApp“ vartotojai susiduria jau ne vienerius metus, ty riziką prarasti kontaktų sąrašus pametus telefoną ir nesugebėjimą sinchronizuoti kontaktų tarp skirtingų įrenginių.
Naudojant IPLS, WhatsApp kontaktų sąrašai dabar bus susieti su paskyra, o ne su įrenginiu, todėl vartotojai galės lengvai juos valdyti tarp įrenginio pakeitimų ar pakeitimų.
Be to, IPLS leidžia tvarkyti skirtingus kontaktų sąrašus kelioms paskyroms tame pačiame įrenginyje, kurių kiekviena yra saugiai valdoma ir atskirta nuo kitų.
Saugi, šifruota sistema
IPLS užtikrina saugumą derindama šifravimą, raktų skaidrumą ir aparatūros saugos modulius (HSM).
Kai pridedamas naujas kontaktas, vardas užšifruojamas naudojant simetrinį šifravimo raktą, sugeneruotą vartotojo įrenginyje ir saugomą „WhatsApp“ HSM pagrįstoje apsaugotoje nuo klastojimo raktų saugykloje.
Kai vartotojas prisijungia prie naujo įrenginio, sukuriamas saugus seansas su HSM pagrindu veikiančia raktų saugykla, kad būtų galima gauti naują kontaktą, atliekant autentifikavimo veiksmą, naudojant kriptografinę raktų porą, susietą su vartotojo paskyra (sukurta registruojantis).

Šaltinis: Meta
IPLS užtikrina, kad visi kontaktai būtų užšifruoti nuo galo iki galo, o tai reiškia, kad kontaktiniai duomenys yra užšifruoti vartotojo įrenginyje ir išlieka užšifruoti, kai jie juda per WhatsApp sistemas, neleidžiant perimti tranzito arba nesąžiningų Meta darbuotojų prieigos.
„WhatsApp“ taip pat bendradarbiauja su „Cloudflare“, siekdama nepriklausomo trečiosios šalies atliekamo jos kriptografinių operacijų audito, ypač siekdama garantuoti audituojamų raktų katalogo (AKD) atnaujinimus, pasirašydama kiekvieną epochą ir patvirtindama, kad ji nebuvo pažeista.
„WhatsApp“ skelbia pagrindinio katalogo atnaujinimų (perėjimų tarp epochų) nuoseklumo įrodymus viešai prieinamame „Amazon S3“ egzemplioriuje, todėl vartotojai, tyrėjai ir auditoriai gali nepriklausomai patikrinti AKD vientisumą.

Šaltinis: Meta
Dar prieš tai, kai IPLS ir pagrindiniai mechanizmai buvo pristatyti visuomenei, „WhatsApp“ sudarė sutartį su „NCC Group“ atlikti naujos sistemos saugumo auditą.
Svarbiausias šio audito atradimas buvo trūkumas, leidžiantis apsimesti „Marvell“ HSM ir iššifruoti vartotojų slaptųjų raktų medžiagą, todėl galėjo būti atskleisti privačių kontaktų metaduomenys.
Šią problemą ir 12 trūkumų, įvertintų nuo mažo iki vidutinio sunkumo, „WhatsApp“ išsprendė 2024 m. rugsėjo mėn., todėl galutiniame IPLS leidime jų nėra.