端到端加密：WhatsApp不会去读取你的信息，它不需要……

全文共4692字，预计学习时长12分钟

 

图源：unsplash

WhatsApp于2021年1月4日发布了更新版本的隐私政策。其中提到：我们是Facebook子公司之一。你可以在新的隐私政策中进一步了解我们在这一系列公司中共享信息的方式。

 

除此之外，WhatsApp还高度评价“端到端加密”。WhatsApp甚至有一段30秒的视频，告诉用户端到端加密的存在，却没有任何解释。这是在向用户保证其信息在WhatsApp是安全的。

 

我略加思索，产生了怀疑。很快，我就确定了——不，没有什么是安全的。

 

什么是端到端加密？

 

简单地说，这意味着除了预期的收件人之外，没有人可以阅读、查看或者访问发送的信息。这个词在疫情期间也变成了法律上的噩梦。直到2020年6月，free Zoom用户才得以召开加密会议。Zoom轰炸是所有工作组都无法忘记的时刻。

 

首先，正常的加密是如何工作的？

 

加密是任何分布式软件系统的一个非常常见的特性。加密的主要目标是保护你的数据不受外部参与者的窃听。这本质上意味着服务器（开发人员团队）是事实上受信任的实体。在特殊情况下，法律实体（美国国家安全局，中情局，联邦调查局）也会受到信任。

 

如果你的邻居入侵了你的wifi网络，他可以访问你所有的在线活动。对于未加密的数据，他可以在纯文本中看到，如下所示：

 

· yourname@youremail.com-密码1234。

 

然而，通过加密，即使你的邻居全天候探索，也只能看到：

 

· 电子邮箱：
w8fodiasveuu33vtludrfxve3oarnhq1v5toqdkx8m=

· 密码：K4ysWmpk9g7T8TIlxWYuqg==

 

对于那些熟悉的人来说，两者都是使用AES加密，并且只有我知道一个秘密（密钥：“mysecret”）。在实际应用中，这个秘密通常由应用程序创建者选择（例如，通过使用一些密码库，如Node.jscrypto），既不是由用户自己也不由用户的设备选择。

 

这意味着应用服务器必须有一种方法来存储这个秘密（在上面的例子中是mysecret），以便在登录过程中访问服务器时解密加密的电子邮件和密码。这同样适用于客户机和服务器之间的所有其他数据交换。

 

这也意味着数据在窃听和黑客攻击下仍是安全的。但对于来自应用程序开发团队领域或