BI中文站 1月14日?qǐng)?bào)道

Facebook

旗下的消息平臺(tái)WhatsApp是市面上安全程度相對(duì)較高的消息應(yīng)用之一。WhatsApp在今年早些時(shí)候重新設(shè)計(jì)了后臺(tái)，讓用戶們通過(guò)這項(xiàng)服務(wù)發(fā)出的每一條消息都是安全的，即便是WhatsApp也無(wú)法看到消息的內(nèi)容。WhatsApp將這種安全技術(shù)稱作端到端加密。但是衛(wèi)報(bào)周五發(fā)表了一篇報(bào)道，對(duì)WhatsApp的安全機(jī)制提出質(zhì)疑，報(bào)道指出WhatsApp應(yīng)用中存在一個(gè)“安全漏洞”或“后門(mén)”，政府部門(mén)可以通過(guò)這個(gè)漏洞或后門(mén)窺探用戶的隱私信息。但是不用擔(dān)心。WhatsApp應(yīng)用中并不存在后門(mén)，就像聯(lián)邦調(diào)查局希望

蘋(píng)果

在iPhone中預(yù)設(shè)的那種后門(mén)。Open Whisper Systems的創(chuàng)始人莫克西·馬林斯派克（Moxie Marlinspike）曾經(jīng)參與設(shè)計(jì)WhatsApp的安全協(xié)議，他在本周五發(fā)表了一篇洋洋灑灑、說(shuō)理細(xì)致的博客文章，對(duì)衛(wèi)報(bào)提出的質(zhì)疑進(jìn)行了反駁。密碼學(xué)是一門(mén)專注于細(xì)節(jié)的、極其復(fù)雜的學(xué)科，概述性的文字通常都是錯(cuò)誤的，但是關(guān)鍵是：消息收發(fā)系統(tǒng)必須知道用戶的消息確實(shí)發(fā)到了他想要傳遞消息的對(duì)象手中。但是WhatsApp認(rèn)為，如果一名用戶改變了他的安全密鑰，它就可以向用戶發(fā)出警示信息，而不是像某些消息應(yīng)用那樣將改變安全密鑰的用戶完全攔截，它只會(huì)發(fā)出一條如圖所示的警示信息。正是因?yàn)檫@樣的設(shè)定，導(dǎo)致衛(wèi)報(bào)對(duì)WhatsApp的安全性提出了質(zhì)疑。衛(wèi)報(bào)懷疑政府部門(mén)也許可以通過(guò)“中間人”攻擊劫持一名用戶本想發(fā)給另一名用戶的消息。馬林斯派克解釋說(shuō)：“大多數(shù)端到端加密通訊系統(tǒng)都有一些類似于這種驗(yàn)證方式的設(shè)置?！敝虚g人攻擊（Man-in-the-Middle Attack，簡(jiǎn)稱“MITM攻擊”）是一種“間接”的入侵攻擊，這種攻擊模式是通過(guò)各種技術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間，這臺(tái)計(jì)算機(jī)就稱為“中間人”。然后入侵者把這臺(tái)計(jì)算機(jī)模擬成一臺(tái)或兩臺(tái)原始計(jì)算機(jī)，使“中間人”能夠與原始計(jì)算機(jī)建立活動(dòng)連接并允許其讀取或修改傳遞的信息，然而兩個(gè)原始計(jì)算機(jī)用戶卻認(rèn)為他們是在互相通信。通常，這種“攔截?cái)?shù)據(jù)——修改數(shù)據(jù)——發(fā)送數(shù)據(jù)”的過(guò)程就被稱為“會(huì)話劫持”（Session Hijack）。馬里斯派克說(shuō)：“中間人攻擊特別適合用來(lái)對(duì)付公共密鑰密碼學(xué)，而不僅僅是WhatsApp?！睂?shí)際上，WhatsApp根據(jù)其可用性做了一項(xiàng)安全選擇，因?yàn)樗?0億用戶，關(guān)閉用戶之間的會(huì)話可能會(huì)引起用戶的不滿。更糟的是，它可能會(huì)讓整個(gè)系統(tǒng)變得更不安全。密碼學(xué)家必須時(shí)時(shí)刻刻權(quán)衡利弊。馬林斯派克說(shuō)：“考慮到WhatsApp用戶群的龐大規(guī)模和影響范圍，我們感覺(jué)他們選擇這種通知而非完全攔截的方式是恰當(dāng)?shù)?。從透明和密碼學(xué)的角度來(lái)說(shuō)，這樣做保證了每一位用戶的體驗(yàn)和用戶通訊的隱私。如果選擇攔截的方式，有時(shí)候可能會(huì)讓事情變得更糟糕。那樣會(huì)將信息泄露給服務(wù)器，讓服務(wù)器端知道誰(shuí)開(kāi)啟了這項(xiàng)功能而誰(shuí)沒(méi)有開(kāi)啟它，這實(shí)際上就是告訴服務(wù)器誰(shuí)有可能被用‘中間人攻擊’的方式攻破。在這方面，WhatsApp可是非常慎重的?！比绻銚?dān)心通訊內(nèi)容的隱私受到侵害，WhatsApp提供的解決方案仍然比其他可替代方案比如電報(bào)的安全性更優(yōu)秀。然而，如果你特別在意安全性而對(duì)可用性的要求比較低，那么不妨選擇Open Whisper Systems的Signal消息應(yīng)用，這也是斯諾登（Edward Snowden）最喜愛(ài)的消息應(yīng)用。（編譯/林靖東）