TG客服:@SSjiejie — 官方频道:@SSwangluo
三生网络 © 2009-2023 超15年出海经验,跨境项目专家
多年来,为了保护人们消息的隐私,WhatsApp默认提供了端到端加密,消息只有发送者和接收者才能看到,中间没有人看到。现在,我们计划让人们可以选择使用端到端加密来保护他们的WhatsApp备份。
人们已经可以通过Google Drive和iCloud等基于云的服务来备份他们的WhatsApp消息历史记录。WhatsApp无权访问这些备份,它们由单独的基于云的存储服务保护。
但是现在,如果人们选择启用端到端加密(E2EE)备份一旦可用,WhatsApp和备份服务提供商都将无法访问他们的备份或备份加密密钥。
E2EE备份的工作原理
生成加密密钥和密码
为了启用E2EE备份,我们开发了一个全新的加密密钥存储系统,适用于iOS和Android。启用E2EE备份后,备份将使用唯一的、随机生成的加密密钥进行加密。人们可以选择手动或使用用户密码来保护密钥。当有人选择采用密码,密钥存储在基于一种称为硬件安全模块(HSM)组件的内置备份密钥库-专业,可用于安全存储加密密钥的安全硬件。当帐户所有者需要访问他们的备份时,他们可以使用他们的加密密钥访问它,或者他们可以使用他们的个人密码从基于HSM的备份密钥库中检索他们的加密密钥并解密他们的备份。
基于HSM的备份密钥保管库将负责强制执行密码验证尝试,并在尝试访问密钥失败的次数有限后使密钥永久无法访问。这些安全措施可防止暴力尝试检索密钥。WhatsApp只会知道HSM中存在一个密钥。它不会知道密钥本身。
将密钥存储在备份密钥保管库中
WhatsApp的前端服务ChatD处理客户端连接和客户端-服务器身份验证,并将实施一个协议,将密钥发送到WhatsApp的服务器和从WhatsApp的服务器发送的备份。客户端和基于HSM的Backup Key Vault将交换加密消息,ChatD本身无法访问其内容。
基于HSM的备份密钥保管库将位于ChatD之后,并为备份的加密密钥提供高度可用和安全的存储。备份本身将作为连续数据流生成,并使用生成的密钥使用对称加密进行加密。启用E2EE备份后,在加密后,备份可以存储在设备之外(例如,存储到iCloud或Google Drive)。
WhatsApp为超过20亿人提供服务,该产品的核心挑战之一是确保基于HSM的Backup Key Vault可靠运行。为帮助确保系统始终可用,基于HSM的Backup Key Vault服务将在地理上分布在多个数据中心,以在数据中心中断时保持其正常运行。
备份可以使用64位加密密钥进行端到端加密。
还可以使用密码保护备份,在这种情况下,加密密钥将保存到基于HSM的备份密钥保管库。
基于HSM的Backup Key Vault和加密解密过程
当帐户所有者使用个人密码来保护其端到端加密备份时,基于HSM的备份密钥保管库将对其进行存储和保护。
当有人想要检索他们的备份时:
1.他们输入自己的密码,该密码经过加密,然后由备份密钥保管库进行验证。
2.验证密码后,Backup Key Vault会将加密密钥发送回WhatsApp客户端。
3.有了密钥,WhatsApp客户端就可以解密备份。
或者,如果帐户所有者选择单独使用64位密钥,他们将必须自己手动输入密钥以解密和访问他们的备份。
E2EE备份将在未来几周内在iOS和Android上可用。
TG客服:@SSjiejie — 官方频道:@SSwangluo
三生网络 © 2009-2023 超15年出海经验,跨境项目专家