E agora o WhatsApp tem um novo sistema de armazenamento criptografado chamado IPLS. Confira os detalhes dessa tecnologia.
A plataforma de mensagens WhatsApp introduziu o Identity Proof Linked Storage (IPLS), um novo sistema de armazenamento criptografado que preserva a privacidade e foi projetado para gerenciamento de contatos.
WhatsApp tem um novo sistema de armazenamento criptografado
Sim. O WhatsApp tem um novo sistema de armazenamento criptografado. O novo sistema resolve dois problemas de longa data com os quais os usuários do WhatsApp lidam há anos, ou seja, o risco de perder suas listas de contatos se perderem o telefone e a incapacidade de sincronizar contatos entre diferentes dispositivos.
Com o IPLS, as listas de contatos do WhatsApp agora serão vinculadas à conta em vez do dispositivo, permitindo que os usuários as gerenciem facilmente entre trocas ou substituições de dispositivos.
Além disso, o IPLS torna possível manter diferentes listas de contatos para várias contas no mesmo dispositivo, cada uma gerenciada com segurança e isolada das demais.
O IPLS atinge a segurança por meio de uma combinação de criptografia, transparência de chaves e o uso de Módulos de Segurança de Hardware (HSMs).
Quando um novo contato é adicionado, o nome é criptografado usando uma chave de criptografia simétrica gerada no dispositivo do usuário e armazenada no Key Vault resistente a violações baseado em HSM do WhatsApp.
Quando o usuário faz login em um novo dispositivo, uma sessão segura com o Key Vault baseado em HSM é estabelecida para recuperar o novo contato executando uma ação de autenticação usando o par de chaves criptográficas vinculado à conta do usuário (criado no registro).
O IPLS garante que todos os contatos sejam criptografados de ponta a ponta, o que significa que os dados de contato são criptografados no dispositivo do usuário e permanecem criptografados enquanto se movem pelos sistemas do WhatsApp, evitando interceptações em trânsito ou acesso de funcionários desonestos do Meta.
O WhatsApp também faz parceria com a Cloudflare para auditoria independente de terceiros de suas operações criptográficas, especificamente, para atuar como um fiador de atualizações no Auditable Key Directory (AKD), assinando cada época e validando que não foi adulterado.
O WhatsApp publica provas auditáveis de consistência para as atualizações do diretório de chaves (transições entre épocas) para uma instância do Amazon S3 acessível publicamente, permitindo que usuários, pesquisadores e auditores verifiquem de forma independente a integridade do AKD.
Antes mesmo de o IPLS e os mecanismos subjacentes serem apresentados ao público, o WhatsApp contratou o NCC Group para realizar uma auditoria de segurança no novo sistema.
A descoberta mais crítica dessa auditoria foi uma falha que permitiu a representação dos HSMs Marvell e a descriptografia do material da chave secreta dos usuários, potencialmente expondo metadados de contato privado.
Esse problema, junto com 12 falhas classificadas como de baixa a média gravidade, foram abordadas pelo WhatsApp em setembro de 2024, então elas não estão presentes na versão final do IPLS.
