A WhatsApp üzenetküldő platform bemutatta az Identity Proof Linked Storage (IPLS) rendszert, amelyet a névjegyzékek kezelésre terveztek.
Az új rendszer két olyan problémát old meg, amelyekkel a WhatsApp felhasználók már évek óta küzdenek. Az egyik a telefon elvesztése esetén a névjegyzék elvesztésének kockázata, a másik pedig a névjegyek szinkronizálása a különböző eszközök között. Az IPLS segítségével a WhatsApp névjegyzék mostantól a fiókhoz kötődik, nem pedig az eszközhöz. Ezenkívül az IPLS lehetővé teszi, hogy ugyanazon az eszközön több fiókhoz különböző névjegyzékeket rendeljen hozzá, amelyek mindegyike biztonságosan kezelhető és elkülöníthető a többitől.
Biztonságos, titkosított rendszer
Az IPLS a biztonságot a titkosítás, a kulcsok átláthatósága és a Hardware Security Modules (HSM) kombinációjával éri el. Új névjegy hozzáadásakor a név egy szimmetrikus titkosítási kulccsal lesz titkosítva, amelyet a felhasználó eszközén generálnak, és a WhatsApp HSM-alapú illetéktelen módosítás elleni védelemmel ellátott Key Vaultban tárolják.
Amikor a felhasználó bejelentkezik egy új eszközön, létrejön egy biztonságos munkamenet a HSM alapú Key Vault az új névjegy lekéréséhez a felhasználó fiókjához csatolt (regisztrációkor létrehozott) titkosítási kulcspár használatával.
Az IPLS biztosítja azt, hogy minden névjegy végponttól végpontig titkosítva legyen. A névjegyadatok titkosítva vannak a felhasználó eszközén, és titkosítva maradnak, miközben áthaladnak a WhatsApp rendszerein, megakadályozva az átvitel során a lehallgatást.
A WhatsApp a Cloudflare-rel is együttműködik kriptográfiai műveleteinek független, harmadik fél általi auditálásában, különösen azért, hogy validálja az Auditable Key Directory (AKD).
Mielőtt az IPLS-t és az alapjául szolgáló mechanizmusokat nyilvánosságra hozták volna, biztonsági ellenőrzést végeztek az új rendszeren. Az ellenőrzés legkritikusabb felfedezése egy olyan hiba volt, amely lehetővé tette a Marvell HSM-ek megszemélyesítését és a felhasználók titkos kulcsának visszafejtését, ami potenciálisan felfedte a privát kapcsolati metaadatokat.
Ezt a problémát, valamint 12 alacsony és közepes súlyosságú hibát a WhatsApp 2024 szeptemberében javította, így ezek már nem szerepelnek az IPLS végső kiadásában.
