矽谷對監控的回應︰WhatsApp全面使用「點對點」加密防竊聽

矽谷對監控的回應︰WhatsApp全面使用「點對點」加密防竊聽
Photo Credit: Jon Nazca / REUTERS / 達志影像
我們想讓你知道的是

WhatsApp宣佈全面使用點對點加密技術,確保所有類型的通訊免受監聽。曾任職Twitter的電腦保安專家Moxie Marlinspike,是推動這項計劃背後的重要人物。

WhatsApp創辦人Jan Koum及Brian Acton昨日在其官方網站上宣佈,這個現時全球有10億用戶的通訊軟件,將會全面使用「點對點」加密技術(end-to-end encryption,又譯作「端對端」),保護所有傳送的內容——包括文字、圖像、語音訊息及檔案——免受第三方監控。

在點對點加密通訊下,只有通訊雙方能讀取內容,其他人無法解密。因此即使用戶被截取通訊,或者WhatsApp的技術人員意圖偷看其訊息,也難以成功。這種加密方式,被視為是現時最難破解的一種加密技術。

另一個加密通訊軟件

WhatsApp使用的加密技術來自Signal——一個斯諾登也推薦使用的加密通訊軟件。Signal的前身是兩個軟件︰Textsecure和Redphone,前者用作加密文字訊息,後者則加密語音通話。兩個軟件原本屬於Whisper Systems公司,由電腦保安專家Moxie Marlinspike創立,其後被Twitter收購,Marlinspike則變成Twitter安全團隊的負責人。

其後Whisper Systems把其軟件以開放源碼方式釋出,Marlinspike在2013年離開Twitter,成立「致力令私人通訊變得簡單」的非牟利組織Open Whisper Systems,負責開發和維護一些開源計劃,包括Signal。

Marlinspike希望能把加密技術應用到WhatsApp這個最多人使用的通訊軟件,因此分別跟WhatsApp兩名創辦人Acton及Koum會面。很快他們便決定把整個WhatsApp變成點對點加密,並找來15名WhatsApp的工程師協助。Acton認為他們非常幸運,要不是遇到Marlinspike,這項計劃將難以實現。

全面使用點對點加密

2014年11月,Open Whisper Systems宣佈跟WhatsApp合作,移植其Signal加密通訊協議到WhatsApp。但當時只限於Android平台上才能使用點對點加密,iPhone用戶使用WhatsApp時,訊息仍未有加密,亦未有覆蓋群組通訊或其他檔案。

2016年4月5日,Open Whisper Systems宣佈WhatsApp跟Signal加密通訊協議的整合完成,用戶只要更新到最新版本的WhatsApp,便會自動使用點對點加密。不論你的電話平台是Android、iOS、Windows Phone、BlackBerry和BlackBerry 10,甚至是Nokia的S40及S60,都能加密所有類型的通訊。

此外,由於WhatsApp伺服器中不會儲存訊息,所有加密訊息均只會在通訊設備中,就算WhatsApp被黑客攻擊,或者FBI要求該公司合作交出用戶訊息,仍能保障內容安全。WhatsApp更新後,在電子前線基金會(EFF)的安全通訊軟件評分中,達成了7項要求中的6項,只欠獨立檢視源碼。

可互相驗證確保安全

通訊雙方都更新軟件後,用戶可以在對話中看到確認已使用點對點加密的訊息,而且用戶可以透過QR碼或對比一個60位數字,去互相驗證對方使用的密鑰,確保通訊沒有受到「中間人攻擊」——竊聽者在通訊中間偽裝雙方去讀取通訊息的手段。

Open Whisper Systems 示範圖片。

在目前的過渡階段,WhatsApp用戶仍然可以使用未經加密的方式通訊。然而一旦雙方的軟件均支授點對點加密後,WhatsApp經不再容許兩人以傳訊未加密訊息,即使其中一人重新安裝舊版軟件,以防止第三方用這方法來避開加密。

Open Whisper Systems 示範圖片(留意對方是尼采)。

最終所有用戶的WhatsApp均會更新至最新版本,屆時所有通訊,不論是單對單、群組抑或語音訊息,全部都會以點對點加密保護。這次更新可以說是在通訊服務史上,最大型落實採用點對點加密的計劃。

加密戰爭

早前FBI跟蘋果就解鎖一部iPhone對簿公堂,雖然最終FBI自行成功解鎖而放棄訴訟,但隱私跟加密技術的爭議在多次恐怖襲擊只會持續。WhatsApp作為最多用戶的通訊軟件,全面採用點對點加密,可視為科技界支持加密技術的明確訊息。

大約半年前,在人權團體及多家科技公司聯手下,美國政府宣佈暫時放棄立法強制在通訊軟件中加入後門程式,以方便執法機關調查。

WhatsApp的母公司Facebook,早前也表明反對英國政府正推動的《調查權力法草案》,根據草案要求,網絡公司在法庭命令下,須向執法機關或情報部門交岀其客戶的解密通訊內容。即使內政大臣文翠珊上國會接受提問時,也未有清楚說明會否禁止點對點加密技術。

在烏克蘭出生的Koum素來反對協助政府監控,他曾表示︰「我在一個所有事情都被竊聽、記錄、告密的社會長大,誰也不應有權竊聽,否則這是個極權國家——我在小孩時逃出來那類國家。我來到這個國家,擁有言論自由和民主,我們的目標是保護它。」

相關文章︰

資料來源︰

或許你會想看
更多『新聞』文章 更多『科技』文章 更多『Kayue』文章
Loader