Geçen hafta, WhatsApp Bu durum manşetlere çıkıyor, ama iyi bir sebepten değil. Şahsen, sohbetlerin uçtan uca şifrelendiğine hiç inanmadım. "Eğer öyleyse, nasıl para kazanıyorlar?" diye merak ediyorum. Cevap, Meta çalışanlarının sohbetlerimize erişebilmesi gibi görünüyor. Bu durum bu hafta haberlerde yer aldı ve ben de en iyi yöntemi kullanmaya devam etmemiz konusunda ısrar edeceğim. RCS artık Android ve iOS'ta kullanılabilir..
Aynı zamanda şirket, şu konuda ısrar ediyor: Sohbetin dışındaki hiç kimse, hatta Meta bile, içeriği okuyamaz. Mesajların içeriğiyle ilgili bu gerilim, resmi versiyon ile dışarıdan gelen suçlamalar arasındaki farkı ortaya koyarak WhatsApp şifrelemesini bu alandaki en hassas konulardan biri haline getirdi. veri koruma ve dijital güven milyonlarca Avrupalı kullanıcı için.
WhatsApp'ın vaat ettiği uçtan uca şifreleme nedir?
WhatsApp, sunumlarını yapıyor. uçtan uca şifreleme (E2EE) Bu, platformun DNA'sının temel bir parçası olarak kabul ediliyor. Platformun kendi açıklamasına göre, bu sistem koruma sağlıyor. mesajlar, fotoğraflar, videolar, sesli notlar, belgeler, aramalar, gerçek zamanlı konum ve durum güncellemeleriBöylece içeriğe yalnızca gönderen ve alıcı erişebilir.
Uygulama, her mesajın bir güvenlik önlemiyle korunduğunu açıklıyor. "Kilit" ve tek bir anahtar Bu anahtarlar Meta'nın sunucularında değil, cihazlarda oluşturulur. Sürekli değişirler ve otomatik olarak yönetilirler, bu nedenle kullanıcının sohbetlerini güvence altına almak için herhangi bir özel seçeneği etkinleştirmesine gerek yoktur.
Güveni pekiştirmek için WhatsApp, şifreleme sisteminin şu unsurlara dayandığını kullanıcılara hatırlatıyor: Sinyal protokolüBu protokol siber güvenlik dünyasında yaygın olarak kabul görmektedir. Ancak, açık kaynak kodlu olmayan bir uygulama içinde uygulanmaktadır, bu da şu anlama gelir: Dışarıdan uzmanlar ancak sınırlı ölçüde denetim yapabilirler. Bu şifrelemenin pratikte nasıl uygulandığı.
Bir kullanıcı bir sohbetin şifrelenmiş olup olmadığını nasıl anlayabilir?
WhatsApp, kendi Yardım Merkezi'nde her şifrelenmiş konuşmanın bir şifreye sahip olduğunu ayrıntılı olarak belirtiyor. özel güvenlik koduBu tanımlayıcı, şunu doğrulamak için kullanılır: Çağrılar ve mesajlar etkin bir şekilde korunmaktadır. Bu iki cihaz arasında uçtan uca veri aktarımı (E2EE) ile.
Bu kod şu formatta görüntülenebilir: QR kodu veya 60 haneli bir dize olarak İletişim bilgilerinde, "Şifreleme" bölümünde yer alan bu veriler, sohbet katılımcıları arasında karşılaştırılarak her ikisinin de aynı anahtarları kullandığı ve içeriğin üçüncü taraflara iletilmediği doğrulanır.
Pratikte doğrulama, bir sohbeti açmayı, kişi veya grup bilgileri ekranına gitmeyi ve üzerine dokunmayı içerir. "Şifreleme"Birkaç saniye sonra, uygulama şifrelemeyi onaylayan otomatik bir mesaj görüntüler ve QR kodunu tarama veya her iki cihaz arasında eşleştiğini doğrulamak için 60 haneyi kontrol etme seçeneklerini sunar.
WhatsApp'ın şifrelemesini sorgulayan toplu dava.
Bu resmi söyleme rağmen, bir San Francisco Bölge Mahkemesi'nde açılan toplu dava. Bu durum, şifrelemenin aslında nasıl çalıştığına dair şüpheleri yeniden alevlendirdi. Mahkeme belgesinde şu ifade yer alıyor: Meta, iletişimleri depolar, analiz eder ve bunlara erişebilir. Kullanıcılar, tamamen özel bir hizmet olarak tanıtılan WhatsApp üzerinden çok sayıda mesaj gönderiyor.
Davacı grubu, avukatlar ve kuruluşlardan oluşmaktadır. Avustralya, Brezilya, Hindistan, Meksika ve Güney Afrikaİddialarında, hem uçtan uca şifreleme sisteminin hem de uygulamanın diğer güvenlik araçlarının güvenli olduğunu savunuyorlar. "Reklamda anlatıldığı kadar etkili olmazlardı." Şirketin, sunulan koruma düzeyi konusunda kamuoyunu yanılttığı ve yanlış bilgi verdiği belirtildi.
Belgelere göre, suçlama aynı zamanda iddia edilen kişilerin ifadelerine de dayanmaktadır. iç ihbarcılar Bu, Meta çalışanlarının şirket içi sistemde talep üzerine belirli sohbetlerin içeriğine erişebilecekleri süreçleri tanımlayacaktı.
Meta ve WhatsApp'ın yanıtı: "gerçek" şifreleme ve "saçma" suçlamalar
Şirketin tepkisi net oldu. Andy Stone, WhatsApp ve Meta'nın sözcüsüStone, davayı "yersiz" olarak nitelendirdi ve şirketin davayı açan avukatlara karşı yaptırım uygulanmasını talep edeceğini belirtti. Bloomberg gibi medya kuruluşlarına yaptığı açıklamalarda Stone, şunları savunuyor: "WhatsApp mesajlarının şifrelenmediği yönündeki her türlü iddia kesinlikle yanlış ve saçmadır.".
Meta şunu savunuyor: ne WhatsApp çalışanları ne de ana şirketin çalışanları Kullanıcıların şifrelenmiş iletişimlerini okuyabilecekleri bir yöntemleri var ve Signal protokolüne dayalı uçtan uca şifreleme sistemi neredeyse on yıldır çalışıyor. Ayrıca şunlara da dikkat çekiliyor: İçeriğe erişim talep eden hükümetler Diğer üçüncü taraflar gibi onlar da aynı teknik engelle karşılaşıyorlar: şifreleme tasarımı, resmi talepler karşısında bile mesajların iletilmesini engelleyecektir.
Meta'nın CEO'su Mark Zuckerberg, bu modeli kamuoyu önünde savunarak şunları belirtti: "Meta'nın sunucularının içeriği gördüğü belirli bir zaman dilimi yoktur." İki kişi WhatsApp üzerinden sohbet ettiğinde mesajların şifrelenmesi söz konusu olduğunda, şirket için şifrelemenin bir göstermelik olduğu yönündeki suçlamalar tamamen teknik temelden yoksundur.
Sızıntılar ve eski yükleniciler şüpheleri artırıyor.
Hukuki baskının yanı sıra, yapılan açıklamalar da var. WhatsApp içerik denetimiyle bağlantılı eski yüklenicilerAmerika Birleşik Devletleri'nde kolluk kuvvetleri tarafından soruşturma altına alınan kişiler. Bloomberg'in elde ettiği bir rapora göre, bu işçilerin bazı Meta çalışanlarının... kullanıcı mesajlarına geniş erişim uygulamanın.
Bu tanıklıklar, WhatsApp'ta çalışmış kişilerden geliyor. dış danışmanlık firmalarıAyrıca, Ticaret Bakanlığı müfettişine iş yerlerinde sohbet odalarına "sınırsız erişim" sağlayan pozisyonlar olduğunu söyledikleri belirtildi. Bu bilgiler, "..." başlıklı bir iç raporda derlendi. "Kaynaktan Şifrelenmiş İşlem"Temmuz tarihli ve devam eden bir soruşturmanın parçası olarak tanımlanan belge.
Ancak, tam Sanayi ve Güvenlik Ofisi ABD Ticaret Bakanlığı daha sonra bu iddiaları reddederek şunları belirtti: WhatsApp veya Meta'yı soruşturmuyor. İhracat yasalarının ihlal edildiği iddiaları ve temsilcilerinden biri tarafından hazırlanan raporun yetki alanı dışında olduğu gerekçesiyle.
Meta ise kendi adına şu yanıtı verdi: "Bu kişilerin iddia ettikleri mümkün değil." Çünkü ne şirket ne de yüklenicileri şifrelenmiş iletişimlerin içeriğine erişebiliyor. Şirket, toplu dava açan hukuk firmasının da dahil olduğu suçlamaları reddetmeye devam edeceğini ısrarla belirtiyor.
Rakiplerden gelen eleştiriler: Telegram ve diğer sesler
WhatsApp şifrelemesiyle ilgili tartışma, aynı zamanda şu amaçlarla da kullanıldı: kurye pazarındaki doğrudan rakiplerGibi TelTelegram CEO'su Pavel Durov, Meta uygulamasının güvenliğini açıkça sorgulayarak, koruma sistemine körü körüne güvenmenin, kendi görüşüne göre, yanlış olduğunu belirtti. "kabul edilemez".
Durov, Telegram'ın şunları iddia ettiğini öne sürüyor: WhatsApp şifreleme sistemini analiz etti. ve bu süreçte tespit edeceklerdi potansiyel güvenlik açıklarıOnun anlatımına göre, WhatsApp, Meta'nın milyarlarca kullanıcısına yaptığı resmi açıklamalarda sunulduğu kadar güvenli hiç olmadı.
Telegram kurucusunun eleştirisi, özellikle hassas bir anda, tam da şu durumun ortasında geldi: Amerika Birleşik Devletleri'nde toplu dava Meta'ya karşı, sözde şifrelenmiş mesajlara eriştiği iddiasıyla dava açıldı. WhatsApp ise sadece Signal protokolünü kullandıklarını ve Güvenlik anahtarları cihazlarda bulunur.Sunucularda olmadığı için şirket istese bile sohbetlerin içeriğini okuyamazdı.
Şifreleme uzmanlarının bakış açısı
Bu karşılıklı suçlamalar arasında bazı kriptografi uzmanları gerilimi azaltmaya çalıştı. Profesör Johns Hopkins Üniversitesi'nde kriptograf olan Matthew GreenBlogunda WhatsApp'ın şifrelemesinin Signal protokolüne dayandığını ve Meta uygulamasının açık kaynaklı olmamasına rağmen, bazı geliştiricilerin mevcut olduğunu belirtti. İçeriğin gerçekten şifrelenip şifrelenmediğini tespit etmenin teknik yolları.
Green, WhatsApp'ın mesajları sistematik olarak okuyor olması durumunda, Güvenlik araştırmaları topluluğu eninde sonunda kanıt bulacaktı. Uygulamanın davranışında veya trafik analizinde. Yine de, tüm kodu inceleyememenin, şifrelemenin şirketin iddia ettiği gibi uygulandığının bağımsız olarak doğrulanmasını son derece zorlaştırdığını vurguluyor.
Aynı zamanda, gizlilik savunuculuğu yapan çeşitli gruplar, örneğin şu gibi girişimleri destekleyenler, "Şimdiden Şifreleyin"Bu gruplar, büyük şirketlere uçtan uca şifrelemeyi daha fazla hizmete yaymaları ve varsayılan olarak kullanmaları için baskı yapıyorlar. Özellikle WhatsApp ile ilgili olarak, bu gruplar şu taleplerde bulunuyorlar: Şifrelenmiş uçtan uca yedeklemeler varsayılan olarak etkinleştirilmiştir. ve kullanıcının bunları manuel olarak yapılandırmasına bağlı değildirler.
Yedeklemeler ne olacak peki: sistemin zayıf noktası
En önemli ve belki de en az bilinen nüanslardan biri, şifreleme yöntemleri arasındaki farktır. iletim halindeki mesajlar ve korunması bulut yedeklemeleriWhatsApp sohbetleri ve aramaları şifrelenirken, yedeklemeler Google Drive veya iCloud'da saklanır. Uçtan uca şifreleme (E2EE) ile her zaman korunmamıştır. varsayılan.
WhatsApp bir süredir bu özelliği etkinleştirme seçeneği sunuyor. uçtan uca şifrelenmiş yedeklemelerBöylece ne uygulamanın kendisi ne de bulut sağlayıcıları içeriğine erişemez. Ancak bu özellik, kullanıcının bir dosya oluşturmasını gerektirir. bir parola veya 64 haneli bir anahtar Unutulursa veya kaybolursa, kaydedilen verileri kurtarmanın hiçbir yolu yoktur.
Bu yüzden bazı insanlar ve şirketler tercih ediyor. Yedeklemelerde uçtan uca şifrelemeyi etkinleştirmeyin.Bu durumun, telefon değiştirirken sohbetleri geri yüklemeyi, platformlar arası geçiş araçlarını kullanmayı veya belirli arşivleme ve denetim yükümlülüklerine uymayı kolaylaştırdığını, ancak bunun karşılığında tamamen bulut sağlayıcısının güvenliğine güvenmeyi gerektirdiğini savunuyorlar.
Bazı kullanıcılar yedekleme şifrelemesini neden devre dışı bırakıyor?
Yedeklemelerde uçtan uca şifrelemeden vazgeçme kararı genellikle pratik nedenlere dayanır. Eğer birisi bu sistemi etkinleştirirse ve sonra Parolanızı unuttunuz mu veya 64 haneli anahtarınızı kaybettiniz mi?Yedekleme kurtarılamaz hale gelir. WhatsApp bu anahtarları saklamadığı için geri yükleme konusunda yardımcı olamaz.
İş dünyasında, yedekleme şifrelemesini devre dışı bırakmak, şu amaçlarla kullanılabilir: sohbet geçmişlerine güvenli erişim Özellikle sıkı dokümantasyon gerekliliklerine tabi sektörlerde, yasal veya düzenleyici uyumluluk amacıyla, veri kurtarmanın garanti altına alınması öncelik kazanır; bu, varsayımlarda bulunmayı gerektirse bile. gizlilik açısından daha büyük bir risk.
Bazı kullanıcılar ise yaşadıkları sıkıntılardan sonra çözüm bulmaya çalışıyorlar. hatalar veya tıkanmalar Uçtan uca şifrelenmiş bir yedeklemeyi geri yüklerken, birçok kullanıcı standart bir bulut yedekleme sistemine geri dönmeyi tercih eder. Kullanıcıların WhatsApp verilerini platformlar arasında taşımasına veya çıkarmasına olanak tanıyan üçüncü taraf araçlar genellikle yalnızca şifrelenmemiş yedeklemelerle çalışır; bu da birçok kişiyi alternatif çözümlere yönlendirir. Bu ek güvenlik katmanını geçici olarak devre dışı bırakın..
Avrupa ve İspanya'daki riskler ve hukuki bağlam
Yedeklemelerde uçtan uca şifrelemeyi devre dışı bırakmak, pratikte bilgilerin yalnızca şu gibi şirketlerin önlemleriyle korunduğu anlamına gelir: Google veya AppleEğer birisi bulut hesabına erişirse—örneğin, şu yolla: kimlik avı veya kimlik bilgisi hırsızlığı— Şifrelenmemişse WhatsApp yedekleme dosyasını elde edip içeriğini analiz edebiliriz.
Hukuki açıdan bakıldığında, Avrupa çerçevesi, Genel Veri Koruma Yönetmeliği (RGPD) Referans olarak, kişisel verileri korumak için şifreleme de dahil olmak üzere güçlü güvenlik önlemlerinin kullanılmasını teşvik eder. İspanya'da veya diğer AB ülkelerinde WhatsApp'ı profesyonel amaçlarla kullanan işletmeler için, Sohbet geçmişlerini ek şifreleme olmadan saklayın. Hassas müşteri verilerinin işlenmesi durumunda uyumluluk sorunları ortaya çıkabilir.
Ayrıca, şifreleme, ilişki üzerinde de etkili olur. güvenlik güçleri ve kurumlarıYedeklemeler uçtan uca şifrelenmişse ve anahtar yalnızca kullanıcıdaysa, mahkeme kararı durumunda ne bulut sağlayıcısı ne de WhatsApp içeriği teslim edemez. Eğer şifrelenmemişse, teknoloji şirketleri içeriği teslim etmeye zorlanabilir. bu yedeklemelere erişimi kolaylaştırmak Mahkemelerce emredildiğinde.
Gizlilik, kamu güvenliği ve yasal yükümlülükler arasındaki bu denge, özellikle Avrupa'da oldukça hassastır; burada düzenli olarak çeşitli öneriler tartışılmaktadır. şifrelemeyi sınırlamak veya atlatmak Belirli koşullar altında. Bu bağlamda, İspanya'daki milyonlarca kullanıcının günlük iletişiminde sahip olduğu muazzam önem göz önüne alındığında, WhatsApp vakası yakından inceleniyor.
Uygulamada şifrelemeyi nasıl kontrol edip yönetebilirsiniz?
Kullanıcı günlük olarak bazı basit kontroller gerçekleştirebilir. Nelerin koruma altında olduğunu ve nasıl korunduğunu daha iyi anlamakBireysel veya grup sohbetlerinin her birinde, ilgili bölüme tıklayarak sohbet bilgilerine erişmek mümkündür. "Şifreleme" Ardından QR kodunu veya 60 haneli dizeyi kullanarak güvenlik kodunu doğrulayın. Bu, iki cihaz arasındaki iletişimin uçtan uca şifrelendiğini teyit eder.
Yedeklemelerle ilgili olarak, hem Android hem de iPhone'da uygulama ayarlarından yedekleme bölümüne erişebilirsiniz. «Sohbet yedeklemesi» ve şu seçeneğin olup olmadığına bakın. "uçtan uca şifrelenmiş yedekleme" Etkinleştirildi. Etkinleştirildiyse, devre dışı bırakmak veya değiştirmek için bir parola veya 64 haneli anahtar gerekecektir; aksi takdirde, kullanıcı WhatsApp tarafından sunulan sihirbazı takip ederek bu korumayı yapılandırabilir.
Tüm bu özelliklere rağmen, mevcut tartışma bize şifrelemenin yalnızca teknik bir mesele değil, aynı zamanda bir mesele olduğunu da hatırlatıyor. Şirketlerin kendi verdikleri sözleri nasıl yerine getirdikleri ve uyguladıkları konusundaki güven.Amerika Birleşik Devletleri'ndeki davalar, eski yüklenicilerden sızan bilgiler, rakiplerden gelen eleştiriler ve Avrupa düzenleyicilerinin dikkatli gözetimi altında, WhatsApp şifrelemesinin geleceği ve gerçekten özel bir araç olma statüsü, İspanya'da ve Avrupa genelinde kullanıcılar, güvenlik uzmanları ve yetkililer için önemli bir konu olmaya devam edecektir.
