WhatsApp mesajlaşma platformu, kişi yönetimi için tasarlanmış, gizliliği koruyan yeni bir şifreli depolama sistemi olan Kimlik Kanıtı Bağlantılı Depolama’yı (IPLS) tanıttı.
Yeni sistem, WhatsApp kullanıcılarının yıllardır uğraştığı uzun süredir devam eden iki sorunu, yani telefonlarını kaybetmeleri durumunda kişi listelerini kaybetme riski ve kişileri farklı cihazlar arasında senkronize edememe sorununu çözüyor.
IPLS ile WhatsApp kişi listeleri artık cihaz yerine hesaba bağlanacak ve kullanıcıların cihaz değişiklikleri veya değiştirmeler arasında bunları kolayca yönetmesine olanak tanıyacak.
Ek olarak IPLS, aynı cihazdaki birden fazla hesap için, her biri güvenli bir şekilde yönetilen ve diğerlerinden izole edilmiş farklı kişi listelerinin tutulmasını mümkün kılar.
Güvenli, şifreli bir sistem
IPLS, şifreleme, anahtar şeffaflığı ve Donanım Güvenlik Modüllerinin (HSM’ler) kullanımının bir kombinasyonu yoluyla güvenliği sağlar.
Yeni bir kişi eklendiğinde ad, kullanıcının cihazında oluşturulan ve WhatsApp’ın HSM tabanlı kurcalamaya dayanıklı Key Vault’unda saklanan simetrik bir şifreleme anahtarı kullanılarak şifrelenir.
Kullanıcı yeni bir cihazda oturum açtığında, kullanıcının hesabına bağlı (kayıt sırasında oluşturulan) şifreleme anahtar çiftini kullanarak bir kimlik doğrulama eylemi gerçekleştirerek yeni kişiyi almak için HSM tabanlı Key Vault ile güvenli bir oturum oluşturulur.
IPLS, tüm kişilerin uçtan uca şifrelenmesini sağlar; bu, iletişim verilerinin kullanıcının cihazında şifrelendiği ve WhatsApp sistemlerinde dolaşırken şifreli kaldığı anlamına gelir; bu da, geçiş sırasında veya hileli Meta çalışanlarının erişimine müdahale edilmesini önler.
WhatsApp ayrıca, özellikle Denetlenebilir Anahtar Dizinindeki (AKD) güncellemelerin garantörü olarak hareket etmek, her dönemi imzalamak ve tahrif edilmediğini doğrulamak amacıyla, kriptografik operasyonlarının bağımsız üçüncü taraf denetimi için Cloudflare ile de ortaklık yapıyor.
WhatsApp, anahtar dizinin güncellemeleri (dönemler arasındaki geçişler) için herkesin erişebildiği bir Amazon S3 örneğinde denetlenebilir tutarlılık kanıtları yayınlayarak kullanıcıların, araştırmacıların ve denetçilerin AKD’nin bütünlüğünü bağımsız olarak doğrulamasına olanak tanır.
IPLS ve altında yatan mekanizmalar halka bile sunulmadan önce WhatsApp, yeni sistemde bir güvenlik denetimi yapması için NCC Group ile anlaştı.
Bu denetimin en kritik keşfi, Marvell HSM’lerin kimliğine bürünülmesine ve kullanıcıların gizli anahtar materyalinin şifresinin çözülmesine olanak tanıyan ve potansiyel olarak özel iletişim meta verilerinin açığa çıkmasına olanak tanıyan bir kusurdu.
Bu sorun, düşük ila orta şiddette derecelendirilen 12 kusurla birlikte Eylül 2024’te WhatsApp tarafından giderildi, dolayısıyla bunlar IPLS’nin son sürümünde mevcut değil.