WhatsApp nos permite verificar la seguridad de nuestros chats de forma automática, sin código QR ni código numérico
Todas las conversaciones de WhatsApp están cifradas de extremo a extremo y puedes comprobar su seguridad desde la información de un contacto, escaneando un código QR o comparando manualmente un código de cifrado de 60 caracteres. Ambas opciones no son ideales en muchas ocasiones y por ello WhatsApp nos da una nueva opción: una verificación de cifrado automática.
WhatsApp puede ahora verificar el cifrado de una conversación sin que necesites casi mover un dedo, sin código QR y, mejor todavía, sin tener que comparar 60 dígitos. Es lo que denominan key transparency y se basa en un repositorio de claves públicas que la aplicación puede comprobar en un par de segundos.
Verificación automática del cifrado
WhatsApp genera un código numérico de 60 segundos basado en la clave de cifrado pública y privada. Cuando alguna de las dos claves no es igual (por ejemplo, porque uno de los usuarios es en verdad un atacante haciéndose pasarp or otra persona) el código no coincide entre los participantes de un chat.
WhatsApp nos daba hasta ahora dos formas de comprobar el cifrado. En persona, puedes verificar que ambos códigos coinciden escaneando un código QR que se muestra en un móvil con el otro. A distancia, puedes comparar que el código numérico de 60 dígitos es el mismo.
Ambas opciones no son óptimas en varias ocasiones (por ejemplo, si no puedes usar la cámara del móvil en ese momento o si no tienes ningún otro "canal seguro" para enviar el código numérico a comparar), así que WhatsApp nos da una opción automática para verificar el cifrado, que está ya activa en su beta y nos aparece nada más entrar en el apartado Cifrado de la información de un contacto.
WhatsApp explica en los entresijos técnicos de esta verificación automática al detalle en su blog, pero un resumen de la misma sería que lo que hace es verificar las claves públicas usando un AKD (directorio de claves auditables) hospedado por WhatsApp en sus servidores, de código abierto.
Este directorio lleva la cuenta de todos los cambios en claves públicas de los usuarios, con el cual puede confirmar que un usuario usa la misma clave pública para comunicarse con una persona que para hacerlo con todo el mundo. La clave pública no permite ni a WhatsApp -ni a nadie- descifrar un mensaje y la clave privada se sigue guardando de forma exclusiva localmente, en el teléfono.
Esta verificación automática tiene la ventaja de ser, eso, automática, además de poder usarse en lugares donde la verificación manual es todo menos práctica, como en grupos.
No obstante, la verificación manual sigue estando disponible desde el apartado Cifrado de la información de un contacto, tocando en Escanear un código QR (que muestra el nuestro también) y Comparar un número de 60 dígitos.
Imagen de portada | Meta
Vía | WaBetaInfo
En Xataka Android | Guía de privacidad de WhatsApp: todo lo que puedes hacer para protegerte
Ver todos los comentarios en https://www.xatakandroid.com
VER 0 Comentario