WhatsApp هیچ مدیریت رمزنگاری برای پیام های گروهی فراهم نمی کند

جریان افزودن اعضای جدید به پیام گروه WhatsApp:

• یک عضو گروه پیام بدون امضا را به سرور WhatsApp ارسال می کند که تعیین می کند که کاربران اعضای گروه هستند ، به عنوان مثال ، آلیس ، باب و چارلی
• سرور به همه اعضای گروه موجود اطلاع می دهد که آلیس ، باب و چارلی اضافه شده اند
• اعضای موجود این گزینه را دارند که تصمیم بگیرند پیام های آلیس ، باب و چارلی را بپذیرند و اینکه آیا پیام های رد و بدل شده با آنها باید رمزگذاری شوند

بدون هیچ گونه امضاهای رمزنگاری که یک عضو موجود را که می خواهد عضو جدیدی اضافه کند ، تأیید می کند ، توسط هرکسی که امکان کنترل سرور یا پیام هایی را که به داخل آن جریان دارد ، می تواند موارد اضافی ایجاد کند. با استفاده از سناریوی داستانی رایج برای نشان دادن رمزگذاری پایان به پایان ، این عدم اطمینان رمزنگاری باعث می شود که مالوری بتواند به یک گروه بپیوندد و به پیام های قابل خواندن انسانی که در آنجا رد و بدل می شوند ، دسترسی پیدا کنند.

WhatsApp تنها پیامبری نیست که فاقد اطمینان رمزنگاری برای اعضای گروه جدید است. در سال 2022 ، تیمی که شامل برخی از همان محققان که واتس اپ را مورد تجزیه و تحلیل قرار دادند ، دریافتند که ماتریس – یک منبع باز و سکوی اختصاصی برای مشتریان و سرورهای چت و همکاری – همچنین هیچ وسیله رمزنگاری برای اطمینان از تنها اعضای مجاز به گروهی ارائه نمی دهد. در همین حال ، پیام رسان تلگرام هیچ رمزگذاری پایان به پایان برای پیام های گروهی ارائه نمی دهد ، و این برنامه را برای تضمین محرمانه بودن پیام های گروهی در بین ضعیف ترین ها قرار می دهد.

در مقابل ، پیام رسان سیگنال منبع باز یک تضمین رمزنگاری را ارائه می دهد که فقط یک عضو گروه موجود به عنوان مدیر گروه می تواند اعضای جدیدی را اضافه کند. در یک ایمیل ، محقق بنیامین داولینگ ، همچنین از کالج کینگ ، توضیح داد:

سیگنال “مدیریت گروه رمزنگاری” را پیاده سازی می کند. تقریباً این بدان معنی است که مدیر یک گروه ، یک کاربر ، پیام را در امتداد خط “آلیس ، باب و چارلی در این گروه” برای همه افراد امضا می کند. سپس ، هر کس دیگری در این گروه تصمیم می گیرد که چه کسی را رمزگذاری کند و چه کسی پیام های خود را بر اساس این پیام های رمزنگاری شده رمزنگاری بپذیرد ، [meaning] چه کسی به عنوان یک عضو گروه پذیرش می کند. سیستم مورد استفاده توسط سیگنال کمی متفاوت است [than WhatsApp]، از آنجا که [Signal] تلاش های اضافی را برای جلوگیری از آشکار کردن عضویت گروه در سرور انجام می دهد ، اما اصول اصلی یکسان است.

در سطح بالا ، در سیگنال ، گروه ها با لیست عضویت گروهی که در سرور سیگنال ذخیره می شوند ، همراه هستند. یک مدیر گروه یک گروه Masterkey تولید می کند که برای ایجاد تغییر در این لیست عضویت گروه استفاده می شود. به طور خاص ، GroupMasterkey از طریق سیگنال به سایر اعضای گروه ارسال می شود ، و بنابراین برای سرور ناشناخته است. بنابراین ، هر زمان که یک سرپرست بخواهد تغییر در گروه ایجاد کند (به عنوان مثال ، کاربر دیگری را دعوت کنید) ، آنها باید یک لیست عضویت به روز شده (تأیید شده با Groupmasterkey) ایجاد کنند و به سایر کاربران گروهی که اضافه می کنند ، می گوید. کاربران موجود از تغییر مطلع شده و لیست گروه خود را به روز می کنند و عملیات رمزنگاری مناسب را با عضو جدید انجام می دهند تا عضو موجود بتواند ارسال پیام به اعضای جدید را به عنوان بخشی از گروه آغاز کند.

بیشتر برنامه های پیام رسانی ، از جمله سیگنال ، هویت کاربران خود را تأیید نمی کنند. این بدان معناست که هیچ راهی وجود ندارد که سیگنال بتواند تأیید کند که شخصی که از حساب کاربری به نام آلیس استفاده می کند ، در واقع متعلق به آلیس است. کاملاً ممکن است که مالوری بتواند یک حساب کاربری ایجاد کند و آن را آلیس نامگذاری کند. (به عنوان کنار و در تقابل شدید با سیگنال ، اعضای حساب که متعلق به یک گروه واتساپ مشخص شده است برای خودی ها ، هکرها و هر کسی که دارای احضار معتبر است قابل مشاهده است.)