WhatsApp gaat het zijn eindgebruikers binnenkort mogelijk maken om hun chats volledig end-to-end versleuteld te back-uppen. Dit maakte de messaging- en chatdienst onlangs bekend.
Met de straks beschikbare functionaliteit kunnen eindgebruikers van de messaging- en chatdienst straks al hun chats en andere handelingen helemaal versleuteld opslaan. Daarnaast geeft WhatsApp eindgebruikers straks een keuzemogelijkheid voor hoe zij hun encryptiesleutel kunnen opslaan. Met deze sleutel hebben alleen de eindgebruikers zelf toegang tot hun back-ups. Deze kunnen dus niet door anderen worden ingezien.
Twee opties
Concreet krijgen de eindgebruikers voor hun encryptiesleutel straks twee opties. De eerste optie is dat zij zelf een bestand bewaren van hun random digitale encryptiesleutel van 64 karakters. Deze sleutel moeten zij dan invoeren voor het herstellen van hun bestanden. Ook Signal doet dit.
Het alternatief is dat de sleutel wordt opgeslagen in de infrastructuur van WhatsApp zelf. Dit is de hardware security module-based (HSM) Backup Key Vault. Deze sleutel is dan toegankelijk via een door de eindgebruiker zelf aangemaakt wachtwoord. Dit wachtwoord is alleen bekend bij de eindgebruiker en wordt niet verder door Whatsapp, de cloudleveranciers op het mobiele device en andere partijen opgeslagen. Wel wordt de sleutel uit redundancy-overwegingen opgeslagen in meerdere datacenters die op een zogenoemd consensusmodel opereren.
De Backup Key Vault wordt gebruikt voor het standaard ‘enforcen’ van wachtwoordverificatie. Na enkele mislukte pogingen wordt de encryptiesleutel permanent ontoegankelijk. Dit moet de sleutel beschermen tegen onder meer brute force-aanvallen van hackers.
End-to-end backupstrategie
In de back-ups bevinden zich onder meer bericht- en chatteksten, foto’s en video’s. WhatsApp maakt de back-ups op de client. Deze zijn voorzien van symmetrische encryptie en de encryptiesleutel staat lokaal. Na versleuteling worden de bestanden opgeslagen in cloudstorage-omgevingen van derden. Je kunt hierbij denken aan iCloud of Google Drive. Ook de leveranciers van deze omgevingen hebben geen toegang tot de versleuteling.
15 uur geleden
