(trad) Esta mañana, en una pequeña oficina en Mountain View, California, WhatsApp hizo que el alcance de la mirada batalla cifrado de Apple por el FBI un poco pequeña.
#3:
Por cierto, tuvieron que ampliar el algoritmo de cifrado a 256 bits, porque con 128 no podían encriptar la polla del negro entera.
#2:
#1 Pues igual que lo de Apple, todo ha sido un puto paripé para hacer creer al público que Apple "ha resistido bravamente por el bien de sus clientes".
#1:
si, si, suena muy bien.
Una aplicacion propiedad de Facebook, de que color Habra puesto el backdoor? tendra alfombra para recibir a la NSA y al FBI?
#40:
A ver, a los bocachanclas del "a ver donde esta la puerta trasera", "que me enseñen el código", "software privativo caca", etc etc:
Messages between WhatsApp users are protected with an end- to-end encryption protocol so that third parties and WhatsApp cannot read them and so that the messages can only be decrypted by the recipient All types of WhatsApp messages (including
chats, group chats, images, videos, voice messages and les) and WhatsApp calls are protected by end-to-end encryption
WhatsApp servers do not have access to the private keys of WhatsApp users, and WhatsApp users have the option to verify keys in order to ensure the integrity of their communication.
The Signal protocol library used by WhatsApp is Open Source, available here:https://github com/whispersystems/libsignal-protocol-java/
Ale, ahora a cantar las alabanzas del software libre y que alguno vaya, se lea la librería y ya si eso nos cuenta si nos podemos fiar o no
PD: De la última página del white paper que ha enlazado #22
#12:
La aplicación tiene un error enorme. Llevo todo el día leyendo los mensajes que me envían, no están encriptados.
#52:
#49 Con eso lo único que demuestras es que ahora en este momento se está usando cifrado. No puedes comprobar que no hay puertas traseras, para eso necesitas el código. ¿Quién te dice a ti que no tienen una clave maestra a la cual responda el programa que permita acceder a las conversaciones?
La seguridad por oscuridad no funciona.
#47:
#25 Si el código fuente no es libre, no existe ninguna forma de verificar que no hay puertas traseras. No es que ellos tengan información privilegiada, es que esa información es privilegiada y para demostrar que Whatsapp es seguro no debería serlo.
#14:
¿Han publicado el código fuente? ¿Hay forma de comprobarlo independientemente?
Hasta entonces es marketing.
No digo que no sea cierto. Sólo que no se puede comprobar.
#81:
#69 Ah no? Por supuesto que si se asume. Cualquier persona que trabaja en seguridad informática ha de asumir que todas las aplicaciones son inseguras hasta que se demuestre lo contrario. Whatsapp NO ha demostrado lo contrario, ni puede demostrarlo sin hacer el código open source.
PD: Si, yo trabajo en seguridad informática.
#116:
#100 Lo que dice tu contertulio en #81 y #98 es lo correcto desde el punto de vista de la seguridad. Sin el código fuente lo máximo que se puede demostrar es que se aplica cifrado punto a punto y que es correcto.
Pero si hay o no puertas traseras se queda en el limbo. Por lo tanto si me tengo que plantear enviar por Whatsapp información que me pueda comprometer, no lo haré ni de putísima coña. Usaré Signal u otra solución cuyo código fuente sea auditable.
¿Que ahora las conversaciones a través de Whatsapp son más seguras? Lo más probable es que sí, pero una cosa no quita la otra.
#188:
#40 quien te dice que ese es el código fuente que han usado para compilar el binario que te descargas?
Yo uso binarios compilados por mi distribución.
Pero los paranoicos, quieren tener el código fuente para poder compilarlo ellos mismos.
Con whatsapp no pueden.
#25:
#5 supongo que lo sabéis porque trabajais en las entrañas de Apple y manejais información privilegiada.
O eso, o es que os gusta haceros los interesantes
#117:
#9Me consta que esa foto existe desde tiempos inmemoriables
Muchos no la conociamos,... no todos nos dedicamos a buscar rabos de negros
Lo siento... pero lo has dejado a huevo
#109:
#40 Puede que sí que esté cifrado y hasta sin puertas traseras (como dicen por ahí), pero lo que sí que no cifran es con quién te mensajeas.
#98:
#85 Yo no afirmo que haya puerta trasera, pero lo asumo como cierto en principio. Y cualquier persona preocupada por su privacidad debe hacer lo mismo.
#78:
#40 Esa librería no puede ser la que usa WhatsApp porque es GPL y tendrían que haber liberado el código de todo el programa si la estuvieran usando, así que será otra versión bajo otra licencia, que puede ser o no la misma que la que hay en GitHub.
Para saberlo a ciencia cierta tendrían que decirte como han hecho la compilación y que pudieras reproducirlo y obtener el mismo resultado, cosa que ni siquiera el propio Signal soporta completamente, hace unos días anunciaron que en Android tenían soporte parcial para ello: https://whispersystems.org/blog/reproducible-android/
Además de eso si consiguieras reproducirlo todo solo te asegurarías que el protocolo es el que dicen que es, el resto de lo que hace WhatsApp te tienes que fiar, como dicen ellos en ese mismo párrafo las claves privadas no van a los servidores de WhatsApp y te lo crees.
#1 Pues igual que lo de Apple, todo ha sido un puto paripé para hacer creer al público que Apple "ha resistido bravamente por el bien de sus clientes".
#49 Con eso lo único que demuestras es que ahora en este momento se está usando cifrado. No puedes comprobar que no hay puertas traseras, para eso necesitas el código. ¿Quién te dice a ti que no tienen una clave maestra a la cual responda el programa que permita acceder a las conversaciones?
A ver, a los bocachanclas del "a ver donde esta la puerta trasera", "que me enseñen el código", "software privativo caca", etc etc:
Messages between WhatsApp users are protected with an end- to-end encryption protocol so that third parties and WhatsApp cannot read them and so that the messages can only be decrypted by the recipient All types of WhatsApp messages (including
chats, group chats, images, videos, voice messages and les) and WhatsApp calls are protected by end-to-end encryption
WhatsApp servers do not have access to the private keys of WhatsApp users, and WhatsApp users have the option to verify keys in order to ensure the integrity of their communication.
The Signal protocol library used by WhatsApp is Open Source, available here:https://github com/whispersystems/libsignal-protocol-java/
Ale, ahora a cantar las alabanzas del software libre y que alguno vaya, se lea la librería y ya si eso nos cuenta si nos podemos fiar o no
PD: De la última página del white paper que ha enlazado #22
#25 Si el código fuente no es libre, no existe ninguna forma de verificar que no hay puertas traseras. No es que ellos tengan información privilegiada, es que esa información es privilegiada y para demostrar que Whatsapp es seguro no debería serlo.
#69 Ah no? Por supuesto que si se asume. Cualquier persona que trabaja en seguridad informática ha de asumir que todas las aplicaciones son inseguras hasta que se demuestre lo contrario. Whatsapp NO ha demostrado lo contrario, ni puede demostrarlo sin hacer el código open source.
#100 Lo que dice tu contertulio en #81 y #98 es lo correcto desde el punto de vista de la seguridad. Sin el código fuente lo máximo que se puede demostrar es que se aplica cifrado punto a punto y que es correcto.
Pero si hay o no puertas traseras se queda en el limbo. Por lo tanto si me tengo que plantear enviar por Whatsapp información que me pueda comprometer, no lo haré ni de putísima coña. Usaré Signal u otra solución cuyo código fuente sea auditable.
¿Que ahora las conversaciones a través de Whatsapp son más seguras? Lo más probable es que sí, pero una cosa no quita la otra.
Si quieres más seguridad, usa Signal, que tiene el mismo cifrado que Whatsapp (el cifrado Whatsapp ha sido implementado por la misma compañía que creó Signal) pero es open source.
#85 Yo no afirmo que haya puerta trasera, pero lo asumo como cierto en principio. Y cualquier persona preocupada por su privacidad debe hacer lo mismo.
#92 No olvides que Whatsapp usa HTTPS, ¿eres capaz de ver lo que se envía a Whatsapp? Qué crack!¡
Cuándo tengas un rato avisa, que me gustaría aprender.
Totalmente de acuerdo con lo del cuñadismo...
#40 Esa librería no puede ser la que usa WhatsApp porque es GPL y tendrían que haber liberado el código de todo el programa si la estuvieran usando, así que será otra versión bajo otra licencia, que puede ser o no la misma que la que hay en GitHub.
Para saberlo a ciencia cierta tendrían que decirte como han hecho la compilación y que pudieras reproducirlo y obtener el mismo resultado, cosa que ni siquiera el propio Signal soporta completamente, hace unos días anunciaron que en Android tenían soporte parcial para ello: https://whispersystems.org/blog/reproducible-android/
Además de eso si consiguieras reproducirlo todo solo te asegurarías que el protocolo es el que dicen que es, el resto de lo que hace WhatsApp te tienes que fiar, como dicen ellos en ese mismo párrafo las claves privadas no van a los servidores de WhatsApp y te lo crees.
#14 El hecho de que hayan activado el cifrado es muy fácil de comprobar y no necesitas el código para nada. Lo que no sabemos es si hay o no una puerta trasera en el código.
#34 La cuestión no es tanto conocer como funciona el sistema de clave pública o privada: el problema está en no poder verificar por ti mismo que esas claves pública y privada no estén comprometidas de primeras... Es como si compras una casa y no cambias la cerradura, ¿quién te dice que la constructora no tiene una llave de tu casa y puede entrar cuando le salga?
Pues aquí lo mismo, si no se puede comprobar directamente en el código (como se generan las claves, como se comparten, etc.) es como si dicen que las claves son de 2048 bits... Humo todo.
#14 Puede ser cierto y fraudulento: se envían los datos cifrados entre usuario y usuario, y al mismo tiempo descifrados entre el usuario y la agencia de tres letras de turno.
#66 Quiero todo el código, desde la función a la que le llega la cadena que he introducido por teclado hasta se borran todas las variables y se sobreescriben con datos aleatorios.
#69 siento decirte, que sin pruebas del cifrado punto a punto que supuestamente usa Whatsapp, tampoco podemos afirmar que sea cierto, lo único cierto que la interfaz pone algo de eso, pero nadie a demostrado todavía que ese cifrado sea real y punto a punto sin que otro alguien pueda descifrarlo. Y menos sin tener el código para confirmarlo.
Increíble que sea la misma implementación que el Signal, y cifra grupos cosa que ni hace Telegram.
Pero sin el código fuente no podemos saber si hay puerta trasera delantera o a saber que tendrán.
Por su importantísima labor en el campo del "quita que no tienes ni idea", del "es to mentira", del "igual que lo del VHS" y de "es todo márketing", se otorga a los comentaristas de este meneo el...
#34 Pues entonces te partirás de risa con los monólogos de bar de Bruce Schneier, ese que no parece conocer ni lo que es la criptografía de clave pública :
4) Be suspicious of commercial encryption software, especially from large vendors. My guess is that most encryption products from large US companies have NSA-friendly back doors, and many foreign ones probably do as well. It's prudent to assume that foreign products also have foreign-installed backdoors. Closed-source software is easier for the NSA to backdoor than open-source software. Systems relying on master secrets are vulnerable to the NSA, through either legal or more clandestine means.
Esta mañana, en una pequeña oficina en Mountain View, California, WhatsApp hizo que el alcance de la mirada batalla cifrado de Apple por el FBI un poco pequeña.
Debe ser, que como es en California y va de secretos, el texto está redactado en Cheyene, porque, al menos yo, no me entero.
#110 Como Whatsapp no hace un montón de conexiones a sus servidores, vas a saber lo que es cantoso sin ver su contenido...
Podrían enviarlo junto a una sincronización de estado y ni te enterarías
#25 Hombre si apple no tuviera backdoor y si un sistema de encriptacion capaz de resistir todo lo que le echara el FBI y la NSA, la próxima versión del iphone sería la ISIS edition. Vamos si resulta que en el movil hay datos sobre un atentado terrorista y Apple se niega a abrir el cifrado, muriendo personas por eso, con todo lo poderosa que es Apple en 1 año desaparece.
#17 Los móviles son inherentemente inseguros. Esto servirá para que la NSA no pueda leer los whatsapp simplemente leyendo los paquetes de información que circulan por internet... pero los móviles no son seguros y sí que pueden entrar en tu móvil y leer todas las conversaciones.
Ah, y alguien que hable de seguridad 100% es que no tiene ni zorra de seguridad. La seguridad 100% NO EXISTE.
#40 Si la clave que genera tu copia de whatsapp en tu teléfono (y la de la otra parte con la que cifras la conversación) la mandan a sus servidores una vez generada, ya puedes usar todo el código abierto, cerrado o la polla del negro, que te lo descrifran sí o sí
#75 Bien puede implementar WA lo que le salga del ojete con librerías BSD, no soltar código y mandar las contraseñas y todo lo que escriba a FB y la NSA.
#40 no me cuadra que la libreria tenga licencia GPL (cc #78), aunque parece que han incluido el texto al repositorio ... Se les habra olvidado?
No se dice nada de como whatsapp usa esa libreria, hay restricciones de exportacion para criptografia asi que no creo que sea la hostia, pero en ninguna lado dicen que algoritmo usan. Solo que es asimetrico.
#40 ¿Has compilado tú el código de la app de Whatsapp que tienes en tu móvil a partir de esos fuentes (que por otro lado es sólo la librería que usan y no la app)? Pues eso.
#201 Se puede comprobar que está cifrado, pero no que ellos no pueden descifrarlo. (Aún así, eso de por si ya es un avance para Whatsapp).
Sobre lo de Wireshark GOTO #96
A mí personalmente esto me da bastante igual. No me fío de ninguna aplicación de mensajería para mensajes que sean realmente sensibles.
Usaré preferentemente WhatsApp cuando tengan una aplicación de escritorio decente y que funcione sin tener el móvil al lado, y cuando no me monte un pollo si quiero tenerlo en dos móviles con multiSIM. Vamos, cuando abandonen la absurda idea (en 2016) de que el sistema de mensajería esté atado a un dispositivo en lugar de a una persona.
Mientras tanto, mi opción de referencia es Telegram, y WhatsApp sólo es para hablar con la gente que se empeña en tener sólo esa castaña.
#40, #66 Si no tienes el 100% del código no puedes estar seguro de absolutamente nada. A parte de que un programa puede modificar su propio comportamiento, es como si enseño solo una función de mi programa, que usa código fuente fiable, pero luego hago que mi programa utilice otra función diferente en función de lo que yo le diga.
Además, en este caso nada impediría que whatsapp tenga una función oculta para poder acceder a las claves de cifrado utilizadas por ese módulo del programa.
#40 Dicen que no tienen acceso a las claves y sin embargo son (Whatsapp) los que las generan... No sé, pero no termino de creérmelo.
Además como bien dice #18 ¿quién te dice que no envían el mensaje a sus servidores antes de cifrarlo?
No me creo yo que vayan a prescindir del negocio de la publicidad (y otros), así tan a la ligera...
#82 porque lo dices?,si WhatsApp guarda las claves públicas de todos los miembros, si yo mando un mensaje, supongo que estaré mandando uno diferente para cada destinatario. Aumentará mucho el tráfico de datos, pero no veo el problema.
Me deja más tranquilo, ahora mi móvil Jiayu chino con el shell Yandex ruso corriendo en Android de la muy norteamericana Google está cifrando las conversaciones de Whatsapp que pertenece a Facebook, también norteamericana.
#56 se generan en el dispositivo en la instalación.
Para la publicidad no necesitan saber lo que escribes, necesitan saber que eres un varón de Madrid de 30 años con un móvil de 600 euros. Eso no está encriptado
Pero bueno, yo acabo de enviar "Allahu Akbar Obama" y tampoco ha pasado.... ¿Que es ese ruido? Mieeerdaaaaaaaaa aksgjdfkjgkldlafjkslajkNAKLNKL;naKL;NDJKahnjklFklsMFKLSD VBKL;SDFVBSDFB SF
#14 eso es cierto, y es una de las razones por las que es tan importante que el software sea libre.
Dicho eso, también es cierto que en este caso tampoco eso importa tanto, puesto que la comunicación en WhatsApp no es de extremo a extremo, sino que está centralizada en su red de servidores. Eso significa que por muy libre que fuera el software de cliente y por muy cifrado que sea el tráfico, todo queda en sus servidores, donde no sabemos apenas ni qué software tienen instalado ni quién tiene acceso a ellos.
#204 Hombre, si tuviéramos la certeza de que ellos no tienen una clave privada que les permita descifrar pues ya lo tendrían bastante más difícil. Pero no lo podemos saber. Tampoco podemos saber (en principio) qué otras cosas envía la app a los servidores por HTTPS. O usando esteganografía.
Aún así que cifren la conversación ya es de por si un avance en seguridad para el común de los mortales usuarios de Whatsapp.
#71 Sí sí, se generan en el dispositivo y se almacenan en el dispositivo, ¿pero se quedan ahí o de paso se copian al servidor? Si es la aplicación la que genera las claves, tiene acceso a ellas.
El negocio de la publicidad va mucho más allá que los datos básicos.
#182 Yo he explicado las razones por las que se asume que todo software es inseguro a priori, no he dicho simplemente "trabajo en esto y lo que digo va a misa". La seguridad no se asume, se demuestra. Whatsapp no ha demostrado que su software sea seguro, ni mucho menos.
#92 Hay mucho cuñadismo y magufeo pero no donde tu crees. Los datos ocultos no van a salir en wireshark, van esteganografiados en cabeceras de paquetes, tiempos de envío, reenvíos por aparente error y mil otras formas.
Desde luego no van a ser tan tontos para transmitirlo de manera que llegue un auténtico cuñao con su wireshark a demostrarlo.
#51 Eso díselo al ex primer ministro de Islandia que debe estar cagándose en la madre que parió al "hacker de barra de bar" que se hizo con más de 11 millones de correos electrónicos de un despacho de abogados de Panamá (en los que aparece él y su señora esposa).
Y eso sin que los del despacho Fonseca enseñaran "el código" ni las claves
#92 magufeo? Dejame instalar un programa en tu móvil y podre hacer, basicamente, lo q me salga del cipote mucho más sutilmente de lo q lo hace microsoft.
#182 Sería falacia si hubiera basado su argumento en ello, pero lo ha puesto sólo de post data. Pretendes parecer riguroso y lo que consigues es parecer pedante.
#213 Todo lo que dices es cierto, pero cada capa la controla uno o varios agentes. La capa superior es por la que habría que comenzar a investigar, y si no es posible hacerlo no tiene sentido seguir hacia abajo.
Para todas las de abajo, siempre hay distintas alternativas de otras multinacionales/gobiernos a la app store, al compilador, al fabricante de cpus, bios/efi, cables, silicio... es natural que en este caso EEUU quiera también su puerta trasera en la aplicación, para poder controlar los dispositivos en los que no puede intervenir en otras capas (móviles chinos, app stores rusas etc.)
No es paranoia, es coherencia. Pretender que alguien confie en un sistema criptográfico cerrado es pretender engañarlo por definición.
#213 "- Has revisado que el APK que te instalas procede del código fuente. Ya sabes, reproducible builds. Porque por mucho que audites el código fuente, te pueden estar metiendo la puerta trasera en la app store."
FDroid.
"- Has revisado el código fuente del compilador. Es más, has compilado el compilador. Es más, para resolver la paradoja de Ritchie, has escrito tu propio ensamblador, tu propio compilador, y has hecho un bootstraping como Dios manda."
GuixSD.
"- Has revisado el cableado de tu CPU y el código de las microinstrucciones. Porque todo el mundo sabe que Intel tiene puertas traseras a nivel CPU."
Linux-libre.
#213 Hombre, para empezar no está de más que encima de toda esa infraestructura, la app que usas para comunicarte de la posibilidad de hacerle una auditoría de forma objetiva. Especialmente si es de una empresa privada de un país extranjero con un gobierno que tuvo, y probablemente sigue teniendo, un programa de vigilancia masiva. ¿Qué podría salir mal?
Para el común de los mortales pues vale, pero teniendo en cuenta lo que le gusta a nuestros políticos usar el Whatsapp (por ejemplo)...
Comentarios
Por cierto, tuvieron que ampliar el algoritmo de cifrado a 256 bits, porque con 128 no podían encriptar la polla del negro entera.
#1 Pues igual que lo de Apple, todo ha sido un puto paripé para hacer creer al público que Apple "ha resistido bravamente por el bien de sus clientes".
si, si, suena muy bien.
Una aplicacion propiedad de Facebook, de que color Habra puesto el backdoor? tendra alfombra para recibir a la NSA y al FBI?
La aplicación tiene un error enorme. Llevo todo el día leyendo los mensajes que me envían, no están encriptados.
#49 Con eso lo único que demuestras es que ahora en este momento se está usando cifrado. No puedes comprobar que no hay puertas traseras, para eso necesitas el código. ¿Quién te dice a ti que no tienen una clave maestra a la cual responda el programa que permita acceder a las conversaciones?
La seguridad por oscuridad no funciona.
A ver, a los bocachanclas del "a ver donde esta la puerta trasera", "que me enseñen el código", "software privativo caca", etc etc:
Messages between WhatsApp users are protected with an end- to-end encryption protocol so that third parties and WhatsApp cannot read them and so that the messages can only be decrypted by the recipient All types of WhatsApp messages (including
chats, group chats, images, videos, voice messages and les) and WhatsApp calls are protected by end-to-end encryption
WhatsApp servers do not have access to the private keys of WhatsApp users, and WhatsApp users have the option to verify keys in order to ensure the integrity of their communication.
The Signal protocol library used by WhatsApp is Open Source, available here: https://github com/whispersystems/libsignal-protocol-java/
Ale, ahora a cantar las alabanzas del software libre y que alguno vaya, se lea la librería y ya si eso nos cuenta si nos podemos fiar o no
PD: De la última página del white paper que ha enlazado #22
¿Han publicado el código fuente? ¿Hay forma de comprobarlo independientemente?
Hasta entonces es marketing.
No digo que no sea cierto. Sólo que no se puede comprobar.
#25 Si el código fuente no es libre, no existe ninguna forma de verificar que no hay puertas traseras. No es que ellos tengan información privilegiada, es que esa información es privilegiada y para demostrar que Whatsapp es seguro no debería serlo.
#5 supongo que lo sabéis porque trabajais en las entrañas de Apple y manejais información privilegiada.
O eso, o es que os gusta haceros los interesantes
#12 Tienes que poner el móvil al revés
#69 Ah no? Por supuesto que si se asume. Cualquier persona que trabaja en seguridad informática ha de asumir que todas las aplicaciones son inseguras hasta que se demuestre lo contrario. Whatsapp NO ha demostrado lo contrario, ni puede demostrarlo sin hacer el código open source.
PD: Si, yo trabajo en seguridad informática.
#2 Totalmente de acuerdo, de teatrillo en teatrillo.
#57 Pero impide demostrar que no las tiene.
#100 Lo que dice tu contertulio en #81 y #98 es lo correcto desde el punto de vista de la seguridad. Sin el código fuente lo máximo que se puede demostrar es que se aplica cifrado punto a punto y que es correcto.
Pero si hay o no puertas traseras se queda en el limbo. Por lo tanto si me tengo que plantear enviar por Whatsapp información que me pueda comprometer, no lo haré ni de putísima coña. Usaré Signal u otra solución cuyo código fuente sea auditable.
¿Que ahora las conversaciones a través de Whatsapp son más seguras? Lo más probable es que sí, pero una cosa no quita la otra.
#12 Claro, lo que están es cifrados.
#40 ¿Quien ha dicho que la puerta trasera está justo en la única parte del código que se puede revisar?
#9 Las modas son cíclicas.
#9 Me consta que esa foto existe desde tiempos inmemoriables
Muchos no la conociamos,... no todos nos dedicamos a buscar rabos de negros
Lo siento... pero lo has dejado a huevo
Si quieres más seguridad, usa Signal, que tiene el mismo cifrado que Whatsapp (el cifrado Whatsapp ha sido implementado por la misma compañía que creó Signal) pero es open source.
#9 Deja que te lo cuente él mismo:
#85 Yo no afirmo que haya puerta trasera, pero lo asumo como cierto en principio. Y cualquier persona preocupada por su privacidad debe hacer lo mismo.
#40 Puede que sí que esté cifrado y hasta sin puertas traseras (como dicen por ahí), pero lo que sí que no cifran es con quién te mensajeas.
Besis.
#9 Nos fascinan las pollas como boas constrictor. Así de crudo.
#92 No olvides que Whatsapp usa HTTPS, ¿eres capaz de ver lo que se envía a Whatsapp? Qué crack!¡
Cuándo tengas un rato avisa, que me gustaría aprender.
Totalmente de acuerdo con lo del cuñadismo...
#57 Que no se pueda demostrar que no hay puertas traseras ya es suficiente para ponerse en lo peor.
#40 Esa librería no puede ser la que usa WhatsApp porque es GPL y tendrían que haber liberado el código de todo el programa si la estuvieran usando, así que será otra versión bajo otra licencia, que puede ser o no la misma que la que hay en GitHub.
Para saberlo a ciencia cierta tendrían que decirte como han hecho la compilación y que pudieras reproducirlo y obtener el mismo resultado, cosa que ni siquiera el propio Signal soporta completamente, hace unos días anunciaron que en Android tenían soporte parcial para ello: https://whispersystems.org/blog/reproducible-android/
Además de eso si consiguieras reproducirlo todo solo te asegurarías que el protocolo es el que dicen que es, el resto de lo que hace WhatsApp te tienes que fiar, como dicen ellos en ese mismo párrafo las claves privadas no van a los servidores de WhatsApp y te lo crees.
#14 El hecho de que hayan activado el cifrado es muy fácil de comprobar y no necesitas el código para nada. Lo que no sabemos es si hay o no una puerta trasera en el código.
Aquí el whitepaper aunque no está muy técnico: https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf
#48 Felicita también a todos los ganadores del PREMIO FABA 2015/2016 que confían en programas criptográficos de código cerrado.
#34 La cuestión no es tanto conocer como funciona el sistema de clave pública o privada: el problema está en no poder verificar por ti mismo que esas claves pública y privada no estén comprometidas de primeras... Es como si compras una casa y no cambias la cerradura, ¿quién te dice que la constructora no tiene una llave de tu casa y puede entrar cuando le salga?
Pues aquí lo mismo, si no se puede comprobar directamente en el código (como se generan las claves, como se comparten, etc.) es como si dicen que las claves son de 2048 bits... Humo todo.
#14 Puede ser cierto y fraudulento: se envían los datos cifrados entre usuario y usuario, y al mismo tiempo descifrados entre el usuario y la agencia de tres letras de turno.
Telegram siempre ha cifrado los mensajes. Whatsapp siempre por detrás...
#66 Quiero todo el código, desde la función a la que le llega la cadena que he introducido por teclado hasta se borran todas las variables y se sobreescriben con datos aleatorios.
#27 No va por detrás en todo, en usuarios va muy por delante
#31 ¿Te suena de algo entregar la clave privada a un tercero?
#40 quien te dice que ese es el código fuente que han usado para compilar el binario que te descargas?
Yo uso binarios compilados por mi distribución.
Pero los paranoicos, quieren tener el código fuente para poder compilarlo ellos mismos.
Con whatsapp no pueden.
#30 Mejor que enseñen el código fuente y no tengamos que fiarnos de tanto hacker de barra de bar
#69 siento decirte, que sin pruebas del cifrado punto a punto que supuestamente usa Whatsapp, tampoco podemos afirmar que sea cierto, lo único cierto que la interfaz pone algo de eso, pero nadie a demostrado todavía que ese cifrado sea real y punto a punto sin que otro alguien pueda descifrarlo. Y menos sin tener el código para confirmarlo.
Increíble que sea la misma implementación que el Signal, y cifra grupos cosa que ni hace Telegram.
Pero sin el código fuente no podemos saber si hay puerta trasera delantera o a saber que tendrán.
Que novedad! algo que llevan otros productos libres hace eones
https://es.wikipedia.org/wiki/Off_the_record_messaging
#18 A eso me refiero. Sólo si es posible comprobarlo de forma independiente te puedes fiar (y aún así...). Hasta entonces lo dicho, marketing.
Por su importantísima labor en el campo del "quita que no tienes ni idea", del "es to mentira", del "igual que lo del VHS" y de "es todo márketing", se otorga a los comentaristas de este meneo el...
PREMIO CUÑAO 2015/2016
¡Enhorabuena a todos los agraciados!
#72 https://www.whatsapp.com/legal/ (iii) you will not attempt to reverse engineer, alter or modify any part of the Service;
#10 está la opción de interceptar una comunicación y analizar el cifrado.
Pero para eso hay que currar y saber. Mejor digamos lo que creamos que da más karma
#9 porque los que la conocíamos eramos los llamados "internautas".
Ahora tiene watsapp casi toda la población.
#34 Pues entonces te partirás de risa con los monólogos de bar de Bruce Schneier, ese que no parece conocer ni lo que es la criptografía de clave pública :
4) Be suspicious of commercial encryption software, especially from large vendors. My guess is that most encryption products from large US companies have NSA-friendly back doors, and many foreign ones probably do as well. It's prudent to assume that foreign products also have foreign-installed backdoors. Closed-source software is easier for the NSA to backdoor than open-source software. Systems relying on master secrets are vulnerable to the NSA, through either legal or more clandestine means.
http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance
#31 Claro, por eso lo digo.
#6 Si solo te va a perseguir la Guardia Civil o la Pulisia Nazional sí, aunque con esos hasta sin cifrado sirve
Esta mañana, en una pequeña oficina en Mountain View, California, WhatsApp hizo que el alcance de la mirada batalla cifrado de Apple por el FBI un poco pequeña.
Debe ser, que como es en California y va de secretos, el texto está redactado en Cheyene, porque, al menos yo, no me entero.
#110 Como Whatsapp no hace un montón de conexiones a sus servidores, vas a saber lo que es cantoso sin ver su contenido...
Podrían enviarlo junto a una sincronización de estado y ni te enterarías
#25 Hombre si apple no tuviera backdoor y si un sistema de encriptacion capaz de resistir todo lo que le echara el FBI y la NSA, la próxima versión del iphone sería la ISIS edition. Vamos si resulta que en el movil hay datos sobre un atentado terrorista y Apple se niega a abrir el cifrado, muriendo personas por eso, con todo lo poderosa que es Apple en 1 año desaparece.
Oooohh, que pena, no permite ver la noticia si tienes un bloqueador de publicidad. Pues, ale ya está vista la página...
#17 Los móviles son inherentemente inseguros. Esto servirá para que la NSA no pueda leer los whatsapp simplemente leyendo los paquetes de información que circulan por internet... pero los móviles no son seguros y sí que pueden entrar en tu móvil y leer todas las conversaciones.
Ah, y alguien que hable de seguridad 100% es que no tiene ni zorra de seguridad. La seguridad 100% NO EXISTE.
#41 Si quieren no, LO HACEN.
El modem GSM/UMTS puede enviar comandos a CPU, sea manzanita o robotito.
#40 Si la clave que genera tu copia de whatsapp en tu teléfono (y la de la otra parte con la que cifras la conversación) la mandan a sus servidores una vez generada, ya puedes usar todo el código abierto, cerrado o la polla del negro, que te lo descrifran sí o sí
#75 Bien puede implementar WA lo que le salga del ojete con librerías BSD, no soltar código y mandar las contraseñas y todo lo que escriba a FB y la NSA.
#7 No creo que me persiga nadie, no tengo nada que esconder me encanta esa frase
#0 ¿Entradilla patrocinada por el traductor de Google? Arréglala un poco, anda.
#52 Que el codigo no sea abierto, no demuestra que haya puertas traseras tampoco.
#40 no me cuadra que la libreria tenga licencia GPL (cc #78), aunque parece que han incluido el texto al repositorio ... Se les habra olvidado?
No se dice nada de como whatsapp usa esa libreria, hay restricciones de exportacion para criptografia asi que no creo que sea la hostia, pero en ninguna lado dicen que algoritmo usan. Solo que es asimetrico.
Esto es de hace un año puede que lo hayan mejorado, puede que no ... http://www.myce.com/news/users-shouldnt-trust-on-whatsapps-end-to-end-encryption-75939/
Tambien habria que ver si guardan las conversaciones cifradas en local.
#40 ¿Has compilado tú el código de la app de Whatsapp que tienes en tu móvil a partir de esos fuentes (que por otro lado es sólo la librería que usan y no la app)? Pues eso.
Jajajajaja si claro
#55 Métete a vidente y sácate unos dineros.
#111 " Es que el propio snowden dijo que era relativamente facil colar puertas en linux"
¿Snowden? Me fío más de Assange, era programador y curró con Debian.
No, no es tan fácil.
En movil sí, olvídate. Seguridad 0 y desde el terminal UMTS/GSM/3G te meten lo que sea y no te empapas.
#201 Se puede comprobar que está cifrado, pero no que ellos no pueden descifrarlo. (Aún así, eso de por si ya es un avance para Whatsapp).
Sobre lo de Wireshark GOTO #96
A mí personalmente esto me da bastante igual. No me fío de ninguna aplicación de mensajería para mensajes que sean realmente sensibles.
Usaré preferentemente WhatsApp cuando tengan una aplicación de escritorio decente y que funcione sin tener el móvil al lado, y cuando no me monte un pollo si quiero tenerlo en dos móviles con multiSIM. Vamos, cuando abandonen la absurda idea (en 2016) de que el sistema de mensajería esté atado a un dispositivo en lugar de a una persona.
Mientras tanto, mi opción de referencia es Telegram, y WhatsApp sólo es para hablar con la gente que se empeña en tener sólo esa castaña.
¿Me lo instalo o no?
#22 Ya lo leí. Y sí, se puede comprobar que está cifrado, pero no que ellos no pueden descifrarlo.
#40, #66 Si no tienes el 100% del código no puedes estar seguro de absolutamente nada. A parte de que un programa puede modificar su propio comportamiento, es como si enseño solo una función de mi programa, que usa código fuente fiable, pero luego hago que mi programa utilice otra función diferente en función de lo que yo le diga.
Además, en este caso nada impediría que whatsapp tenga una función oculta para poder acceder a las claves de cifrado utilizadas por ese módulo del programa.
En Español
Las conversaciones de WhatsApp por fin son seguras al 100%
http://www.elandroidelibre.com/2016/04/las-conversaciones-de-whatsapp-por-fin-son-seguras-al-100.html
Así funciona el nuevo cifrado extremo a extremo de WhatsApp y cómo comprobar que está activo
http://www.adslzone.net/2016/04/05/asi-funciona-nuevo-cifrado-extremo-extremo-whatsapp-comprobar-esta-activo/
Una cosa interesante es que también implementa el cifrado extremo a extremo para los grupos, eso es algo que Telegram por ejemplo no tiene.
#40 Dicen que no tienen acceso a las claves y sin embargo son (Whatsapp) los que las generan... No sé, pero no termino de creérmelo.
Además como bien dice #18 ¿quién te dice que no envían el mensaje a sus servidores antes de cifrarlo?
No me creo yo que vayan a prescindir del negocio de la publicidad (y otros), así tan a la ligera...
#64 Elucubraciones tuyas.
#76 Afectar en algo ≠ bancarrota.
Apple 1997 ≠ Apple 2017
#40 Claro, y tu eres tonto por creer que en el APK que entrega Whatsapp hay eso. Bravo.
#110 Whatsapp siempre establece conexiones cifradas a servidores de Facebook, ¿cómo sabes lo que manda o deja de mandar a través de ellas?
#82 porque lo dices?,si WhatsApp guarda las claves públicas de todos los miembros, si yo mando un mensaje, supongo que estaré mandando uno diferente para cada destinatario. Aumentará mucho el tráfico de datos, pero no veo el problema.
#58 La patriot act les permite cerrar apple y llevarse todos sus ordenadores y mandar a los programadores de vacaciones guantanamo.
#11 #9 No, las modas son la polla.
Me deja más tranquilo, ahora mi móvil Jiayu chino con el shell Yandex ruso corriendo en Android de la muy norteamericana Google está cifrando las conversaciones de Whatsapp que pertenece a Facebook, también norteamericana.
WhatsApp's Signal Protocol integration is now complete: https://whispersystems.org/blog/whatsapp-complete/
#58 Vamos tu asocia un marca a terrorismo y muerte. A ver lo que dura por mucho fanboy que tenga.
#56 se generan en el dispositivo en la instalación.
Para la publicidad no necesitan saber lo que escribes, necesitan saber que eres un varón de Madrid de 30 años con un móvil de 600 euros. Eso no está encriptado
#75 pues falta la otra mitad
El pp contento porque ya no les hace falta pasarse a telegram.
#29 Hombre, te has delatado al escribirlo mal.
Pero bueno, yo acabo de enviar "Allahu Akbar Obama" y tampoco ha pasado.... ¿Que es ese ruido? Mieeerdaaaaaaaaa aksgjdfkjgkldlafjkslajkNAKLNKL;naKL;NDJKahnjklFklsMFKLSD VBKL;SDFVBSDFB SF
#14 eso es cierto, y es una de las razones por las que es tan importante que el software sea libre.
Dicho eso, también es cierto que en este caso tampoco eso importa tanto, puesto que la comunicación en WhatsApp no es de extremo a extremo, sino que está centralizada en su red de servidores. Eso significa que por muy libre que fuera el software de cliente y por muy cifrado que sea el tráfico, todo queda en sus servidores, donde no sabemos apenas ni qué software tienen instalado ni quién tiene acceso a ellos.
#204 Hombre, si tuviéramos la certeza de que ellos no tienen una clave privada que les permita descifrar pues ya lo tendrían bastante más difícil. Pero no lo podemos saber. Tampoco podemos saber (en principio) qué otras cosas envía la app a los servidores por HTTPS. O usando esteganografía.
Aún así que cifren la conversación ya es de por si un avance en seguridad para el común de los mortales usuarios de Whatsapp.
#189 Lo puedes descargar directamente desde la web oficial de Whatsapp sin necesidad de instalarlo.
#71 Sí sí, se generan en el dispositivo y se almacenan en el dispositivo, ¿pero se quedan ahí o de paso se copian al servidor? Si es la aplicación la que genera las claves, tiene acceso a ellas.
El negocio de la publicidad va mucho más allá que los datos básicos.
#42 Además el cifrado lo han desarrollado expertos en cifrado y seguridad... que es otra cosa que Telegram tampoco tiene
#182 Yo he explicado las razones por las que se asume que todo software es inseguro a priori, no he dicho simplemente "trabajo en esto y lo que digo va a misa". La seguridad no se asume, se demuestra. Whatsapp no ha demostrado que su software sea seguro, ni mucho menos.
#92 Hay mucho cuñadismo y magufeo pero no donde tu crees. Los datos ocultos no van a salir en wireshark, van esteganografiados en cabeceras de paquetes, tiempos de envío, reenvíos por aparente error y mil otras formas.
Desde luego no van a ser tan tontos para transmitirlo de manera que llegue un auténtico cuñao con su wireshark a demostrarlo.
http://sec.cs.ucl.ac.uk/users/smurdoch/papers/ih05coverttcp.pdf
#119 Es posible hacerlo, pero la implementación ha de poder auditarse para ser creíble.
#51 Eso díselo al ex primer ministro de Islandia que debe estar cagándose en la madre que parió al "hacker de barra de bar" que se hizo con más de 11 millones de correos electrónicos de un despacho de abogados de Panamá (en los que aparece él y su señora esposa).
Y eso sin que los del despacho Fonseca enseñaran "el código" ni las claves
#71 se generan en el dispositivo en la instalacion? Como lo sabes? Tienes el código de whatsapp?
#92 magufeo? Dejame instalar un programa en tu móvil y podre hacer, basicamente, lo q me salga del cipote mucho más sutilmente de lo q lo hace microsoft.
#182 Sería falacia si hubiera basado su argumento en ello, pero lo ha puesto sólo de post data. Pretendes parecer riguroso y lo que consigues es parecer pedante.
#213 Todo lo que dices es cierto, pero cada capa la controla uno o varios agentes. La capa superior es por la que habría que comenzar a investigar, y si no es posible hacerlo no tiene sentido seguir hacia abajo.
Para todas las de abajo, siempre hay distintas alternativas de otras multinacionales/gobiernos a la app store, al compilador, al fabricante de cpus, bios/efi, cables, silicio... es natural que en este caso EEUU quiera también su puerta trasera en la aplicación, para poder controlar los dispositivos en los que no puede intervenir en otras capas (móviles chinos, app stores rusas etc.)
No es paranoia, es coherencia. Pretender que alguien confie en un sistema criptográfico cerrado es pretender engañarlo por definición.
#213 "- Has revisado que el APK que te instalas procede del código fuente. Ya sabes, reproducible builds. Porque por mucho que audites el código fuente, te pueden estar metiendo la puerta trasera en la app store."
FDroid.
"- Has revisado el código fuente del compilador. Es más, has compilado el compilador. Es más, para resolver la paradoja de Ritchie, has escrito tu propio ensamblador, tu propio compilador, y has hecho un bootstraping como Dios manda."
GuixSD.
"- Has revisado el cableado de tu CPU y el código de las microinstrucciones. Porque todo el mundo sabe que Intel tiene puertas traseras a nivel CPU."
Linux-libre.
#213 Hombre, para empezar no está de más que encima de toda esa infraestructura, la app que usas para comunicarte de la posibilidad de hacerle una auditoría de forma objetiva. Especialmente si es de una empresa privada de un país extranjero con un gobierno que tuvo, y probablemente sigue teniendo, un programa de vigilancia masiva. ¿Qué podría salir mal?
Para el común de los mortales pues vale, pero teniendo en cuenta lo que le gusta a nuestros políticos usar el Whatsapp (por ejemplo)...