Мессенджер WhatsApp представил Identity Proof Linked Storage (IPLS), новую зашифрованную систему хранения, сохраняющую конфиденциальность и предназначенную для управления контактами.
Она решает две давние проблемы, с которыми пользователи WhatsApp сталкивались годами, а именно риск потери списков контактов в случае утраты телефона и невозможности синхронизации контактов между различными устройствами.
Благодаря IPLS списки контактов WhatsApp теперь будут привязаны к учётной записи, а не к устройству. Кроме того, IPLS позволяет поддерживать разные списки контактов для нескольких учётных записей на одном гаджете.
Платформа обеспечивает безопасность за счет комбинации шифрования, прозрачности ключей и использования аппаратных модулей безопасности (HSM).
При добавлении нового контакта имя шифруется с помощью симметричного ключа шифрования, сгенерированного на устройстве пользователя и сохранённого в защищённом от несанкционированного доступа хранилище ключей WhatsApp на основе HSM.
Когда пользователь входит в систему на новом устройстве, устанавливается защищённый сеанс с хранилищем ключей на основе HSM для извлечения нового контакта путём аутентификации с использованием криптографической пары ключей, которая связана с учётной записью пользователя. IPLS гарантирует, что все контакты зашифрованы сквозным образом, то есть даже при перемещении через системы WhatsApp.
Мессенджер также сотрудничает с Cloudflare для независимого стороннего аудита своих криптографических операций, в частности, чтобы выступать в качестве гаранта обновлений Auditable Key Directory (AKD). Целостность AKD можно будет проверять в общедоступном экземпляре Amazon S3.
До внедрения технологии WhatsApp заключил контракт с NCC Group на проведение аудита безопасности системы. В ходе него была обнаружена уязвимость, которая позволяла внедрять ложные модули Marvell HSM и расшифровывать ключи пользователей, что потенциально раскрывало метаданные личных контактов. Эта проблема была устранена WhatsApp в сентябре 2024 года.
Ранее WhatsApp начал тестировать новый метод синхронизации контактов для улучшения конфиденциальности. Пользователь сможет выбирать, сохранять ли контакт только в своей учётной записи или также в приложении «Контакты» смартфона. Также можно будет легко управлять контактами с привязанных устройств, так как они будут автоматически синхронизироваться с основным.