I den siste uken, WhatsApp Det skaper overskrifter, og det er ikke med god grunn. Personlig har jeg aldri trodd at chatter er ende-til-ende-kryptert. Jeg lurer på: «Hvis det er tilfelle, hvordan tjener de penger?» Svaret ser ut til å være at alle Meta-ansatte har tilgang til chattene våre. Dette har blitt rapportert denne uken, og jeg vil fortsette å insistere på at vi prøver å bruke RCS er nå tilgjengelig på Android og iOS.
Samtidig insisterer selskapet på at Ingen utenfor chatten, ikke engang Meta, kan lese innholdet av meldingene. Denne spenningen mellom den offisielle versjonen og eksterne anklager har gjort WhatsApp-kryptering til et av de mest sensitive temaene innen databeskyttelse og digital tillit for millioner av europeiske brukere.
Hva er ende-til-ende-krypteringen som WhatsApp lover?
WhatsApp har presentert ende-til-ende-kryptering (E2EE) som en essensiell del av DNA-et. Ifølge plattformen selv beskytter dette systemet meldinger, bilder, videoer, talenotater, dokumenter, samtaler, sanntidsposisjon og statusoppdateringerslik at bare avsender og mottaker har tilgang til innholdet.
Appen forklarer at hver melding er sikret med en "lås" og en enkelt nøkkel Disse nøklene genereres på enhetene, ikke på Metas servere. De endres kontinuerlig og administreres automatisk, slik at brukeren ikke trenger å aktivere noen spesielle alternativer for å sikre chattene sine.
For å styrke tilliten minner WhatsApp brukerne om at krypteringssystemet deres er avhengig av signal-protokollDenne protokollen er allment anerkjent i cybersikkerhetsverdenen. Den brukes imidlertid i en app som ikke er åpen kildekode, noe som betyr at eksterne eksperter kan bare revidere i begrenset grad hvordan krypteringen har blitt implementert i praksis.
Hvordan kan en bruker vite om en chat er kryptert?
WhatsApp oppgir selv i hjelpesenteret sitt at hver krypterte samtale har en spesifikk sikkerhetskodeDenne identifikatoren brukes til å bekrefte at Samtaler og meldinger er effektivt beskyttet med E2EE mellom disse to spesifikke enhetene.
Den koden kan sees i formatet QR-kode eller som en 60-sifret streng I kontaktinformasjonen, i delen «Kryptering». Sammenligning av disse dataene mellom chatdeltakere bekrefter at begge bruker de samme nøklene og at innholdet ikke har blitt videresendt til tredjeparter.
I praksis innebærer verifisering å åpne en chat, gå til kontakt- eller gruppeinformasjonsskjermen og trykke på "Kryptering"Etter noen sekunder viser applikasjonen en automatisk melding som bekrefter krypteringen, og tilbyr alternativene for å skanne QR-koden eller sjekke de 60 sifrene for å bekrefte at de samsvarer på begge enhetene.
Gruppesøksmålet som utfordrer WhatsApps kryptering
Til tross for denne offisielle diskursen, en gruppesøksmål anlagt i distriktsdomstolen i San Francisco Dette har gjenopplivet mistanker om hvordan kryptering faktisk fungerer. Rettsdokumentet hevder at Meta lagrer, analyserer og kan få tilgang til kommunikasjon som brukere sender via WhatsApp, selv om plattformen markedsføres som en helt privat tjeneste.
Saksøkergruppen inkluderer advokater og organisasjoner fra Australia, Brasil, India, Mexico og Sør-AfrikaI påstandene sine hevder de at både ende-til-ende-krypteringssystemet og resten av appens sikkerhetsverktøy er sikre. «De ville ikke være så effektive som annonsert.» og at selskapet hadde villedet offentligheten ved å kommunisere hvilket beskyttelsesnivå som var tilgjengelig.
Ifølge dokumentasjonen er anklagen også basert på vitneforklaringer fra påståtte interne varslere som ville ha beskrevet prosesser der Meta-ansatte kunne få tilgang til innholdet i visse chatter, på forespørsel i selskapets interne system.
Meta og WhatsApps svar: «ekte» kryptering og «absurde» anklager
Selskapets reaksjon har vært utvetydig. Andy Stone, talsperson for WhatsApp og MetaStone har kalt søksmålet «useriøst» og hevdet at selskapet vil søke sanksjoner mot advokatene som anla det. I uttalelsene sine til medier som Bloomberg hevder Stone at «Enhver påstand om at WhatsApp-meldinger ikke er kryptert er kategorisk feil og absurd.».
Meta hevder at verken WhatsApp-ansatte eller morselskapets ansatte De har en måte å lese brukernes krypterte kommunikasjon på, og E2EE-systemet basert på Signal-protokollen har vært i drift i nesten et tiår. Det bemerkes også at myndigheter som ber om tilgang til innholdet De møter den samme tekniske barrieren som resten av tredjepartene: krypteringsdesignet ville forhindre levering av meldinger, selv ved offisielle forespørsler.
Mark Zuckerberg, administrerende direktør i Meta, har offentlig forsvart denne modellen og sagt at "Det er ikke noe tidspunkt hvor Metas servere ser innholdet" av meldingene når to personer chatter på WhatsApp. For selskapet er anklagene om at kryptering er en fasade fullstendig uten teknisk grunnlag.
Lekkasjer og tidligere entreprenører gir næring til tvilen
I tillegg til det juridiske presset er det uttalelser fra tidligere kontraktører knyttet til WhatsApp-innholdsmodereringsom har vært gjenstand for etterforskning av politiet i USA. Ifølge en rapport innhentet av Bloomberg, skal disse arbeiderne angivelig ha hevdet at noen Meta-ansatte hadde bred tilgang til brukermeldinger av søknaden.
Vitnesbyrdene kommer fra folk som jobbet for WhatsApp gjennom eksterne konsulentfirmaerog at de fortalte en etterforsker fra handelsdepartementet at arbeidsplassene deres hadde stillinger med «ubegrenset tilgang» til chatterom. Denne informasjonen ble samlet i en intern rapport med tittelen "Operasjon kryptert fra kilde", datert juli og beskrevet som en del av en pågående etterforskning.
Imidlertid, selve Kontoret for industri og sikkerhet Det amerikanske handelsdepartementet har senere avvist disse påstandene og sagt at Den etterforsker ikke WhatsApp eller Meta for påståtte brudd på eksportlover, og at rapporten utarbeidet av en av dens agenter var utenfor dens kompetanseområde.
Meta har på sin side svart at «Det disse personene påstår er ikke mulig» Fordi verken selskapet eller dets kontraktører har tilgang til innholdet i kryptert kommunikasjon, insisterer selskapet på at det vil fortsette å avvise anklagene, inkludert de som er fremmet av advokatfirmaet som leder gruppesøksmålet.
Kritikk fra konkurransen: Telegram og andre stemmer
Debatten om WhatsApp-kryptering har også blitt brukt av direkte konkurrenter i budmarkedetSom MetalltrådTelegram-sjef Pavel Durov har åpent stilt spørsmål ved sikkerheten til Metas app, og uttalt at blind tillit til beskyttelsessystemet deres er, etter hans mening, "uakseptabelt".
Durov hevder at Telegram har analyserte WhatsApp-krypteringssystemet og at de i den prosessen ville ha oppdaget potensielle sårbarheterIfølge hans beretning har WhatsApp aldri vært så sikker som den presenteres i Metas offisielle kommunikasjon til sine milliarder av brukere.
Telegram-grunnleggerens kritikk kom på et spesielt delikat øyeblikk, midt i gruppesøksmål i USA mot Meta for angivelig tilgang til angivelig krypterte meldinger. WhatsApp har ganske enkelt bekreftet at de bruker Signal-protokollen og at Sikkerhetsnøklene befinner seg i enheteneikke på serverne, så selskapet kunne ikke lese innholdet i chattene selv om de ville.
Krypteringsekspertenes perspektiv
Midt i denne utvekslingen av anklager har noen kryptografispesialister forsøkt å dempe spenningen. Professor Matthew Green, kryptograf ved Johns Hopkins UniversityHan bemerket på bloggen sin at WhatsApps kryptering er basert på Signal-protokollen, og at selv om Meta-appen ikke er åpen kildekode, finnes det Tekniske måter å oppdage om innholdet faktisk blir kryptert.
Green påpeker at hvis WhatsApp systematisk leste meldinger, sikkerhetsforskningsmiljøet ville til slutt finne bevis i applikasjonens oppførsel eller i trafikkanalyse. Likevel understreker det at det å ikke kunne gjennomgå all koden gjør det ekstremt vanskelig å verifisere uavhengig at krypteringen brukes, slik selskapet hevder.
Samtidig har ulike personverngrupper, som de som fremmer initiativer som "Krypter det allerede"De presser store selskaper til å utvide ende-til-ende-kryptering til flere tjenester og bruke det som standard. Spesielt når det gjelder WhatsApp, krever disse gruppene at Krypterte E2EE-sikkerhetskopier er aktivert som standard og er ikke avhengige av at brukeren konfigurerer dem manuelt.
Hva med sikkerhetskopier: systemets svake punkt
En av de mest relevante, og kanskje minst kjente, nyansene er forskjellen mellom krypteringen av meldinger underveis og beskyttelsen av sikkerhetskopier i skyenMens WhatsApp-chatter og -samtaler er krypterte, lagres sikkerhetskopier på Google Drive eller iCloud. Det har ikke alltid vært beskyttet med E2EE misligholde.
WhatsApp har tilbudt alternativet for aktivering en stund nå. ende-til-ende krypterte sikkerhetskopierslik at verken appen selv eller skyleverandører har tilgang til innholdet. Men denne funksjonen krever at brukeren oppretter et passord eller en 64-sifret nøkkel Og hvis den blir glemt eller mistet, er det ingen måte å gjenopprette de lagrede dataene på.
Derfor foretrekker noen personer og bedrifter Ikke aktiver E2EE-kryptering i sikkerhetskopierDe hevder at dette gjør det enklere å gjenopprette chatter når man bytter telefon, bruke verktøy for migrering på tvers av plattformer eller overholde visse arkiverings- og revisjonsforpliktelser, på bekostning av å utelukkende stole på sikkerheten til skyleverandøren.
Hvorfor deaktiverer noen brukere kryptering av sikkerhetskopier?
Beslutningen om å avstå fra E2EE-kryptering i sikkerhetskopier er ofte basert på praktiske årsaker. Hvis noen aktiverer det systemet og deretter Glem passordet ditt eller forlegg den 64-sifrede nøkkelen dinSikkerhetskopien blir uopprettelig. WhatsApp lagrer ikke disse nøklene, så de kan ikke hjelpe med å gjenopprette dem.
I næringslivet kan deaktivering av kryptering av sikkerhetskopier sees på som en måte å sikker tilgang til chathistorikk For samsvar med juridiske eller regulatoriske forskrifter, spesielt i sektorer som er underlagt strenge dokumentasjonskrav. I denne sammenhengen blir prioriteten garantert gjenoppretting av data, selv om det betyr å anta en større risiko når det gjelder konfidensialitet.
Det finnes også brukere som, etter å ha lidd feil eller blokkeringer Når man gjenoppretter en ende-til-ende-kryptert sikkerhetskopi, velger mange brukere å gå tilbake til et standard skybasert sikkerhetskopieringssystem. Tredjepartsverktøy som lar brukere migrere eller trekke ut WhatsApp-data mellom plattformer fungerer vanligvis bare med ukrypterte sikkerhetskopier, noe som presser mange til deaktivere det ekstra sikkerhetsnivået midlertidig.
Risikoer og juridisk kontekst i Europa og Spania
Å deaktivere ende-til-ende-kryptering i sikkerhetskopier betyr i praksis at informasjonen kun er beskyttet av tiltakene til selskaper som Google eller AppleHvis noen får tilgang til skykontoen – for eksempel via phishing eller legitimasjonstyveri— kunne hente WhatsApp-sikkerhetskopifilen og analysere innholdet hvis den ikke er kryptert.
Fra et juridisk synspunkt er det europeiske rammeverket, med Generell databeskyttelsesforordning (RGPD) Som referanse oppfordres det til bruk av robuste sikkerhetstiltak, inkludert kryptering, for å beskytte personopplysninger. For bedrifter som bruker WhatsApp til profesjonelle formål i Spania eller andre EU-land, lagre chathistorikk uten ekstra kryptering Det kan gi opphav til bekymringer om samsvar dersom sensitive kundedata håndteres.
Videre påvirker kryptering forholdet til sikkerhetsstyrker og organerHvis sikkerhetskopier er ende-til-ende-kryptert og bare brukeren har nøkkelen, kan verken skyleverandøren eller WhatsApp utlevere innholdet i tilfelle en rettskjennelse. Hvis de ikke er det, kan teknologiselskaper bli tvunget til å legge til rette for tilgang til disse sikkerhetskopiene når domstolene bestemmer det.
Denne balansen mellom personvern, offentlig sikkerhet og juridiske forpliktelser er spesielt delikat i Europa, hvor forslag jevnlig debatteres for å begrense eller omgå kryptering under visse omstendigheter. I den sammenhengen blir saken om WhatsApp nøye gransket, gitt dens enorme betydning i den daglige kommunikasjonen til millioner av brukere i Spania.
Slik sjekker og administrerer du kryptering i appen
Daglig kan brukeren utføre noen enkle kontroller for å bedre forstå hva som er beskyttet og hvordanI hver individuelle samtale eller gruppesamtale er det mulig å få tilgang til chatinformasjonen ved å klikke på seksjonen "Kryptering" og bekreft sikkerhetskoden ved hjelp av en QR-kode eller den 60-sifrede strengen. Dette bekrefter at utvekslingen mellom disse to enhetene krypteres fra ende til ende.
Når det gjelder sikkerhetskopier, kan du få tilgang til sikkerhetskopieringsdelen fra appinnstillingene – både på Android og iPhone. «Chat backup» og se om alternativet for "ende-til-ende kryptert sikkerhetskopiering" Den er aktivert. Hvis den er det, kreves det et passord eller en 64-sifret kode for å deaktivere eller endre den. Ellers kan brukeren konfigurere denne beskyttelsen ved å følge veiviseren som tilbys av WhatsApp.
Selv med alle disse funksjonene minner den nåværende debatten oss om at kryptering ikke er et rent teknisk spørsmål, men også et spørsmål om tillit til hvordan selskaper implementerer og holder sine egne løfterMidt i søksmål i USA, lekkasjer fra tidligere kontraktører, kritikk fra konkurrenter og europeiske regulatorers årvåkne blikk, vil fremtiden til WhatsApp-kryptering og dens status som et virkelig privat verktøy forbli et sentralt spørsmål for brukere, sikkerhetseksperter og myndigheter i Spania og over hele Europa.
