脸书现在让WhatsApp用户可以选用端到端加密技术来保护备份,如此无论是WhatsApp或是备份服务的供应商,都将无法访问备份或是备份加密密钥,大幅提升用户的消息安全。官方提到,这项端到端加密备份功能,将会在数周内,向iOS和Android用户推出。
目前WhatsApp已经默认提供端到端加密,只有发送者和接受者才能看到消息,没有任何中间人可以读取经过端得端加密的消息。脸书也让用户可以在Google Drive和iCloud等云计算服务,备份WhatsApp历史消息记录,使这些消息无法被WhatsApp本身访问,由独立的云计算存储服务保护。
脸书现在通过让用户激活端到端加密备份,来进一步提供更高的消息保护功能,脸书开发了适用于iOS和Android的全新加密密钥存储系统,当用户激活端到端加密备份功能后,备份将会使用唯一且随机生成的密钥来加密,用户可以手动或是使用密码来保护密钥。
一旦用户选择以密码来保护密钥,密钥会存储在备份密钥保险箱中,该保险箱是由硬件安全模块(HSM)组件构建而成,是可以安全地存储加密密钥的专用安全硬件。当账户拥有者,要访问备份时,就可以用加密密钥来访问,或是使用个人密码,从硬件安全模块的备份密钥保险箱中,检索加密密钥并且解开备份。
基于硬件安全模块的备份密钥保险箱,以强健的方式保护密钥,当密钥经多次访问失败后,系统将锁定密钥永远无法再访问,进而避免密钥遭到暴力破解。WhatsApp本身所知道的信息,只有硬件安全模块中存在一个密钥,但是不知道本身密钥为何。
WhatsApp的前端服务ChatD负责处理客户端连接,以及客户端到服务器的身份验证,并且实例将密钥发送至备份以及WhatsApp服务器的协议,客户端和基于硬件安全模块的备份密钥保险箱,将交换加密消息,但ChatD无法访问消息内容。
备份密钥保险箱位于ChatD之后,提供高度可用且安全的加密密钥存储,官方提到,备份是以连续资料流媒体形式生成,并以密钥使用对称加密算法进行加密,加密之后备份可以存储在设备以外,像是iCloud或Google Drive等服务。
当用户想要检索自己的备份时,可以输入密码,该密码会通过加密,发送至备份密钥保险箱进行验证,验证完后,备份密钥保险箱会将加密密钥送回WhatsApp客户端,进行备份解密。当用户决定单独使用64位元密钥,则必须手动输入密钥,来解密访问他们的备份。