אם יש הצפנה מקצה לקצה בווטסאפ – איך פייסבוק יכולה לקרוא את ההודעות?

בעקבות פרשות אלו ואחרות ובמיוחד בעקבות פרשת טלגרס, עולה תהיה אצל הרבה משתמשים – האם פייסבוק יכולה לקרוא את ההודעות? נמאס לי לענות בכל פעם למישהו אחר אז החלטתי לכתוב פוסט מהיר ולא טכני על זה: האם פייסבוק יכולה לקרוא את ההודעות שלנו בווטסאפ?

כשאנחנו כותבים הודעה לאיש קשר חדש בתוכנה הפופולרית ווטסאפ ששייכת לפייסבוק, אנו רואים את ההודעה הבאה באופן בולט בתחילת השיחה:

Messages you send to this chat and calls are secured with end-to-end encryption.

Messages you send to this chat and calls are secured with end-to-end encryption

יש גם דף הסבר נאה (אם תלחצו על ההודעה) שמסביר בצורה מפורטת על כך.

מה זה אומר ‘הצפנה מקצה לקצה’? זה אומר שהתקשורת בין כל משתמשים ווטסאפ מוצפנת בשיטת
Signal Protocol. מה זאת אומרת הצפנה? זאת אומרת שהתקשורת בין משתמשי ווטסאפ מוצפנת. אם מישהו יירט את התקשורת בינך לבין משתמש אחר, הוא לא יצליח לקרוא אותה.

הצפנה מקצה לקצה - דיאגרמה

כשאנו מדברים על ‘יירוט’ תשדורת – הכוונה כאן היא לא להאקרים מחוכמים חמושים באנטנות. זה יכול להיות בעל בית הקפה שדרכו אתם גולשים, וירוס מטופש ששינה קובץ במחשב שלכם או השכן המשועמם שגולש איתכם על אותו ראוטר. יירוט תשדורות אינטרנט נשמע כמו משהו מפוצץ, אבל האמת היא שמדובר בהתקפה שקל מאוד לממש אותה – עם כלים שניתנים להורדה בקלות מהרשת או בלעדיהם.

איך ההצפנה הזו עובדת? לכל משתמש בווטסאפ ניתן, בהגדרה, מפתח ציבורי ומפתח פרטי. המפתח הציבורי גלוי לכל. הכנסו, באמצעות הטלפון שלכם, אל פרטי איש קשר בווטסאפ ולחצו על Encryption. תוכלו לראות את המפתח הציבורי שלו.

נכנסים לפרופיל של מישהו בווטסאפ (דרך הטלפון, לא בווב) ולוחצים על 'הצפנה'
נכנסים לפרופיל של מישהו בווטסאפ (דרך הטלפון, לא בווב) ולוחצים על ‘הצפנה’
תצוגת מפתח ציבורי
תצוגת מפתח ציבורי

עם המפתח הציבורי אפשר להצפין כל מסר, אבל אפשר לפתוח את אותו מסר רק עם המפתח הפרטי. כלומר ברגע שהצפנתי משהו עם המפתח הציבורי – הטקסט המוצפן יכול ‘להפתח’ רק עם המפתח הפרטי. אף אחד אחר לא יכול לראות אותו. רק מי שיש ברשותו את המפתח הפרטי. לצורך העניין: רק מי שמקבל את המסר.

נעם רותם הסביר יפה את העניין בפוסט שלו שמיועד לחסרי ידע טכני.

אז איך בדיוק פייסבוק יכולה להאזין לתשדורות? היא לא יכולה להאזין לתשדורות אם אין לה את המפתח הפרטי. אבל מה יש לה? שליטה מלאה באפליקציה שמקבלת את התשדורות. שזה בדיוק כמו שמישהו יציץ בטלפון בזמן שאני קורא את ההודעה.

כלומר כל השיטה של ההצפנה מונעת ממישהו להאזין לתשדורת באמצע, אבל לא תמנע ממנו ללכת ולהסתכל לי בטלפון ולראות מה אני שלחתי ומה שלחו לי. וזה בדיוק מה שפייסבוק יכולה לעשות. התוכנה של ווטסאפ היא שלה – הקוד שרץ באתר או באפליקציה שבו מופיעה ההודעה הוא שלה ושום דבר לא מונע ממנה לקרוא את תוכן ההודעה לאחר שנפתחה באמצעות המפתח הפרטי.

ההצפנה מקצה לקצה מעולה כדי למנוע מכל גורם שהוא לצותת. היא לא תמנע מפייסבוק עצמה להסתכל על ההודעה המתקבלת אחרי שההצפנה נפתחה וההודעה מוצגת בפני המשתמש.

ככה פייסבו יכולה לעקוף את ההצפנה מקצה לקצה
כך פייסבוק יכולה לעקוף את ההצפנה מקצה לקצה

אז מה אפשר לעשות? בגדול? אני משתמש באפליקצית סיגנל, שהקוד שלה פתוח ואני יכול לראות מה היא עושה עם ההודעה אחרי שהיא נשלחת ושהודיעה מספר רב של פעמים לרשויות החוק (למשל באוסטרליה) שאין לה דרך להגיע להודעות של המשתמשים. לא, לא שאין לה ‘רצון’ (כמו שטלגרם הודיעה) אלא שאין לה יכולת. או לחלופין, לשמור את ווטסאפ להתכתבויות חסרות ערך כמו ועד הכיתה למשל.

ומה עם טלגרם? לטלגרם אין הצפנה מקצה לקצה באופן דיפולטיבי, אז לפי דעתי היא פחות מאובטחת. מצד שני, היא לא של תאגיד פייסבוק השמנוני. אני משתמש בכולן. אבל לדברים מאובטחים? סיגנל.

הבהרה חשובה – אני לא יודע אם פייסבוק עושה את זה לכל המשתמשים, לחלק מהמשתמשים או לאף אחד. המאמר הזה מדבר על יכולת. לא על מעשה. אני למשל יכול ללכת ולזרוק ביצה על השכן, אבל אני לא עושה את זה ממגוון סיבות. יכול להיות שאני אדם טוב, יכול להיות שאני מפחד מהשכן ויכול להיות שאין לי ביצה בבית או שאני אעדיף לזרוק עליו לבנה. אותו הדבר עם פייסבוק, לא בטוח שהיא צריכה את תוכן ההודעות מווטסאפ, יכול להיות שמספיק לה לדעת עם מי אתם יוצרים קשר ובאיזו תדירות. זה באמת תיאורטי. בינתיים לפחות.

הערה ותוספת חשובה: המאמר הזה מתעלם באלגנטיות מכמה שאלות חשובות – כמו למשל מה קורה כאשר מדברים בקבוצה ולא אחד מול השני וגם על החולשה המובנית של פרוטוקול סיגנל שהתגלתה בינואר 2018. אבל העקרון הוא חשוב: אם אתה לא סומך על הפלטפורמה, אתה לא יכול לסמוך על ההצפנה. אני לא סומך על ווטסאפ.

כדאי תמיד להשאר מעודכנים! הרשמו לעדכונים של האתר במייל! - המייל יישלח כל יום ראשון בעשר בבוקר ויכיל אך ורק את המאמרים שהתפרסמו באינטרנט ישראל. ללא ספאם, ללא הצפות, ללא בלגנים. אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂

אהבתם? לא אהבתם? דרגו!

לא אהבתי בכלללא אהבתיבסדראהבתיאהבתי מאוד (24 הצבעות, ממוצע: 4.50 מתוך 5)

תגיות: פורסם בקטגוריה: חדשות אינטרנט

יאללה, שתפו :)

אל תשארו מאחור! יש עוד מה ללמוד!

5 comments on “אם יש הצפנה מקצה לקצה בווטסאפ – איך פייסבוק יכולה לקרוא את ההודעות?
  1. דויד וייס הגיב:

    למעלה למרות ההצפנה בקצה לקצה עדיין אפשר לשבור אותה די בקלות אם אתה פייסבוק, אחרי הכל הם כתבו את מכולל המספריים העיקריים ולכן יכולים לאסוף אוסף מספיק גדול של מפתחות רדומלים כדי להריץ את הדבר הבא:
    https://algorithmsoup.wordpress.com/2019/01/15/breaking-an-unbreakable-code-part-1-the-hack/

  2. תומר הגיב:

    תודה על ההסבר 🙂 אשמח לשמוע את דעתך על אפליקציית ההודעות של אפל (iMessgae) ששמה דגש מאוד גדול על פרטיות וטוענת שהיא לא יכולה לראות את תוכן ההודעות של משתמשים.

  3. מישהו הגיב:

    הנקודה האחרונה לא ברורה. אפשר בקלות לראות את התעבורה שיוצאת מהאפליקציה חוץ מההודעה עצמה, יש מספיק אפליקציות שמתקינות רוט סרטיפיקט על טלפון ומסניפות את התעבורה, ואני בטוח שמספיק אנשים כבר בדקו את זה, כך שאם פייסבוק היו משדרים איזשהו ניתוח של ההודעות היינו יודעים.
    זה לא אומר שההסבר לא נכון, היות ובגלל מבנה האפליקציה הם יוכלו לעשות זאת בעתיד, אבל אפשר לבדוק בקלות אם הם כבר עושים את זה. פספסתי משהו?

    • משתמש אנונימי (לא מזוהה) הגיב:

      אתה צודק. ולא – עד כמה שאני יודע לא מצאו שהיא שולחת נתונים כאלו. השאלה אם מישהו בדק. אני לא בדקתי.
      וחוץ מזה – הבאתי את הציטוט של עומר שמראה שגם המטא מידע לפעמים מספיק.

    • מישהו הגיב:

      אופס. קהות מחשבה קלה. מדובר כמובן בהצפנה נוספת על הצפנת התעבורה, פענוח של התעבורה רק יתן לראות קקופוניה של תשדורות יוצאות אבל אכן אין דרך לדעת

כתיבת תגובה

האימייל לא יוצג באתר.

רישום