31 oct 2024

WhatsApp ahora cifra las bases de datos de contactos para una sincronización que preserva la privacidad

La plataforma de mensajería WhatsApp ha presentado Identity Proof Linked Storage (IPLS), un nuevo sistema de almacenamiento cifrado que preserva la privacidad y está diseñado para la gestión de contactos.

El nuevo sistema resuelve dos problemas que los usuarios de WhatsApp han tenido durante años: el riesgo de perder sus listas de contactos si pierden su teléfono y la imposibilidad de sincronizar contactos entre diferentes dispositivos.

Con IPLS, las listas de contactos de WhatsApp ahora se vincularán a la cuenta en lugar del dispositivo, lo que permitirá a los usuarios administrarlas fácilmente entre cambios o reemplazos de dispositivos.

Además, IPLS permite mantener diferentes listas de contactos para múltiples cuentas en el mismo dispositivo, cada una administrada de forma segura y aislada del resto.

Un sistema seguro y cifrado

IPLS es un novedoso sistema de WhatsApp que permite a los usuarios almacenar los nombres de sus contactos de forma cifrada. IPLS permite que el dispositivo cliente guarde la información de contacto mediante una clave de cifrado segura generada en el dispositivo cliente. Su recuperación se basa en que el cliente autentique la identidad de su dispositivo principal.

IPLS se basa en dos piezas de tecnología existentes que WhatsApp ya utiliza a gran escala: y hardware security module (HSM).

Cuando se agrega un nuevo contacto, el nombre se cifra utilizando una clave de cifrado simétrica generada en el dispositivo del usuario y almacenada en Key Vault, resistente a manipulaciones y basada en HSM de WhatsApp.

Los HSM se utilizan para realizar copias de seguridad cifradas de extremo a extremo de WhatsApp y permiten la ejecución privada y a prueba de manipulaciones de la lógica de la aplicación dentro de los centros de datos de WhatsApp, preservando la privacidad. El procesamiento de datos dentro de los límites de seguridad de los HSM sigue siendo opaco incluso para los miembros internos de WhatsApp con los mayores privilegios y acceso físico al hardware.

Cuando el usuario inicia sesión en un nuevo dispositivo, se establece una sesión segura con Key Vault basado en HSM para recuperar el nuevo contacto realizando una acción de autenticación utilizando el par de claves criptográficas vinculadas a la cuenta del usuario (creada al momento del registro).

IPLS garantiza que todos los contactos estén cifrados de extremo a extremo, lo que significa que los datos de contacto están cifrados en el dispositivo del usuario y permanecen cifrados a medida que se mueven a través de los sistemas de WhatsApp, lo que evita las intercepciones en tránsito o el acceso por parte de empleados deshonestos de Meta.

WhatsApp también se asocia con Cloudflare para la auditoría independiente de terceros de sus operaciones criptográficas, específicamente, para actuar como garante de las actualizaciones del Directorio de Claves Auditables (AKD), firmando cada parte y validando que no haya sido alterado.

WhatsApp publica pruebas auditables de consistencia para las actualizaciones del directorio de claves en una instancia de Amazon S3 de acceso público, lo que permite a los usuarios, investigadores y auditores verificar de forma independiente la integridad del AKD.

Antes de que IPLS y los mecanismos subyacentes se presentaran al público, WhatsApp contrató a NCC Group para realizar una auditoría de seguridad del nuevo sistema. El descubrimiento más crítico de esa auditoría fue una falla que permitía la suplantación de los HSM de Marvell y el descifrado del material de la clave secreta de los usuarios, lo que potencialmente exponía los metadatos de contactos privados.

WhatsApp solucionó este problema, junto con 12 fallas calificadas de gravedad baja a media, en septiembre de 2024, por lo que no están presentes en la versión final de IPLS.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!