Titolo

La guerra alla crittografia - alcune questioni tecniche

2 commenti (espandi tutti)

Ho provato lo scambio di chiavi off-line, effettivamente si tratta di un lungo codice numerico e il sistema richiede di verificare che sia lo stesso su entrambi i dispositivi. Quindi le chiavi vengono generate in maniera centrale e l'utente non puo' fare altro che accettarle o meno.

Da  questa procedura non traspare che ci siano due chiavi pubbliche, una per ciascuna parte della comunicazione. Non ho provato con le chat multiutente.

Mi e' sembrato restrittivo che due utenti non possano generarsi le chiavi al di fuori del software di WA e poi importarle (chiaro che non e' una procedura adatta a tutti). Ma non essendo un esperto, forse la mia e' solo una paranoia.

Se guardi, il numero che viene generato è composto di un pezzo fisso e un pezzo che cambia con il contatto, i due pezzi corrispondano alle due chiavi pubbliche dei due contatti. Per le chat di gruppo lo scambio di chiavi avviene con ogni partecipante a livello di client: il server non ha mai accesso alle chiavi private o alle chiavi di sessione. Esiste un white paper "Whatsapp Encryption Overview" che spiega abbastanza bene come è (o dovrebbe essere) implementato il meccanismo. Non riesco a linkarlo ora, ma credo si trovi facilmente su google.