WhatsApp mesajlaşma uygulaması, resmi web sitesi aracılığıyla uçtan uca şifreleme (end-to-end encryption) sistemini 31 Mart 2016 tarihinden itibaren hayata geçirdiğini duyurdu. Bu sistem sayesinde mesaj, ses, resim, arama ve diğer paylaşımların mesajlaşan iki taraf haricinde kimsenin ulaşamayacağı bir güvenlik sağlanmış oluyor.

Güvenli mesajlaşmanın gerçekleşmesi için programlarınızda herhangi ekstra bir ayarlama yapmanıza gerek yok. Varsayılan olarak, WhatsApp Uçtan Uca şifreleme aktif durumda bulunuyor. Kontrol edilmesi gereken tek nokta, mesaj göndereceğiniz kişinin profil adına tıklayıp, WhatsApp programının son sürümünü kullanıp kullanmadığına bakmak. Karşı taraf, programını güncellememiş ve eski sürümü kullanıyorsa şifrelemenin yapılması mümkün değil. Programınızı PlayStore üzerinden en kısa zamanda güncellemenizi öneriyoruz.

WhatsApp sitesi tarafından yapılan duyuruda, hayata geçirilen yeni güvenlik önlemi sayesinde, mesajlaşan iki taraf haricinde 3.tarafların da mesajların içeriğine erişmesi mümkün olmayacağı belirtiliyor. Bu kısıtlamaya Firmanın kendisi de dahil. Ayrıca, her mesajlaşma oturumu için ayrıca geçici bir anahtar üretildiğinden, herhangi bir şekilde şifreleme mekanizması (anahtarlar) ele geçirilse dahi bunun geçmişe dönük kullanılmasının mümkün olmadığı ifade ediliyor. UYARI: Bu ifadeden, anahtarların ele geçirilmesi ve geleceğe dönük kullanılmasının ihtimal dahilinde olacağını düşünüyoruz. Bu sebeple, kullanıcıların kendi anahtarlarını belirli aralıklarla yenilemelerini, karşı taraf kullanıcı profilinden anahtar kontrolü yapılmasının daha güvenli olacağını tavsiye ediyoruz.

WhatsApp Anahtar Sistemi

Open Whisper Systems tarafından geliştirilen algoritmada, uçtan uca şifrelemede kullanılan anahtar tipleri, sisteme ait teknik dokümanda şöyle açıklanıyor;

Açık Anahtar Tipleri:

Kimlik Anahtar Çifti – Uzun süreli kullanım için Curve25519 sistemi ile üretilen anahtar çiftidir.
İmzalanmış Ön Anahtar – Orta vadeli kullanım için Curve25519 sistemi ile üretilen anahtar çiftidir. Kurulum esnasında üretilir ve Kimlik Anahtarı ile imzalanır. Peiryodik olarak değiştirilir.
Tek kullanımlık Anahtarlar – Curve25519 sistemi ile üretilen ve ihtiyaç olduğunda değiştirilen anahtarlardır.

Curve25519 için https://cr.yp.to/ecdh.html adresini inceleyebilirsiniz.

Oturum için Anahtar Tipleri:

Kök Anahtarı – 32-byte değerden oluşan ve Zincir anahtarı oluşturmakta kullanılan anahtardır.
Zincir Anahtarı – 32-byte değerden oluşan ve Mesaj Anahtarını üretmekte kullanılan anahtardır.
Mesaj Anahtarı – 80-byte değerden oluşur ve mesajları şifrelemekte kullanılır. Bu anahtarın 32 byte kısmı AES-256 ile, 32 byte kısmı HMAC-SHA256 ile ve 16 byte kısmı IV algoritması ile şifrelenmektedir.

Teknik detayların tamamını bu adresten inceleyebilirsiniz.

Signal Protocol olarak adlandırılan algoritmanın kütüphanesi Açık Kaynak Kodlu olarak github üzerinden elde edilebilmektedir. Bu sistemin ne kadar etkili olacağını merak ettiğimizi de belirtmek istiyoruz. Önümüzdeki günlerde bu konuda yapılacak araştırmaları merakla takip edeceğiz.