Under den senaste veckan, WhatsApp Det skapar rubriker, och det av en god anledning. Personligen har jag aldrig trott att chattar är end-to-end-krypterade. Jag undrar: "Om så är fallet, hur tjänar de pengar?" Svaret verkar vara att alla Meta-anställda har tillgång till våra chattar. Detta har rapporterats den här veckan, och jag kommer att fortsätta insistera på att vi försöker använda RCS nu tillgängligt på Android och iOS.
Samtidigt insisterar företaget på att Ingen utanför chatten, inte ens Meta, kan läsa innehållet av meddelandena. Denna spänning mellan den officiella versionen och externa anklagelser har gjort WhatsApp-kryptering till en av de känsligaste frågorna inom området dataskydd och digitalt förtroende för miljontals europeiska användare.
Vad är den end-to-end-kryptering som WhatsApp lovar?
WhatsApp har presenterat end-to-end-kryptering (E2EE) som en viktig del av dess DNA. Enligt plattformen själv skyddar detta system meddelanden, foton, videor, röstmeddelanden, dokument, samtal, platsinformation i realtid och statusuppdateringarså att endast avsändaren och mottagaren kan komma åt innehållet.
Appen förklarar att varje meddelande är säkrat med en "lås" och en enda nyckel Dessa nycklar genereras på enheterna, inte på Metas servrar. De ändras ständigt och hanteras automatiskt, så användaren behöver inte aktivera några speciella alternativ för att säkra sina chattar.
För att stärka förtroendet påminner WhatsApp användarna om att deras krypteringssystem är beroende av SignalprotokollDetta protokoll är allmänt erkänt inom cybersäkerhetsvärlden. Det tillämpas dock i en app som inte är öppen källkod, vilket innebär att Externa experter kan endast granska i begränsad omfattning hur krypteringen har implementerats i praktiken.
Hur kan en användare se om en chatt är krypterad?
WhatsApp beskriver själva i sitt hjälpcenter att varje krypterad konversation har en specifik säkerhetskodDenna identifierare används för att verifiera att Samtal och meddelanden är effektivt skyddade med E2EE mellan dessa två specifika enheter.
Den koden kan ses i formatet QR-kod eller som en 60-siffrig sträng I kontaktinformationen, i avsnittet "Kryptering". Genom att jämföra dessa uppgifter mellan chattdeltagarna verifieras att båda använder samma nycklar och att innehållet inte har vidarebefordrats till tredje part.
I praktiken innebär verifiering att man öppnar en chatt, går till skärmen för kontakt- eller gruppinformation och trycker på "Kryptering"Efter några sekunder visar applikationen ett automatiskt meddelande som bekräftar krypteringen och erbjuder alternativen att skanna QR-koden eller kontrollera de 60 siffrorna för att verifiera att de matchar mellan båda enheterna.
Grupptalan som ifrågasätter WhatsApps kryptering
Trots denna officiella diskurs, en grupptalan inlämnad vid distriktsdomstolen i San Francisco Detta har återuppväckt misstankar om hur kryptering faktiskt fungerar. Domstolsdokumentet hävdar att Meta lagrar, analyserar och kan komma åt kommunikation som användare skickar via WhatsApp, trots att plattformen marknadsförs som en helt privat tjänst.
Målsägandegruppen omfattar advokater och organisationer från Australien, Brasilien, Indien, Mexiko och SydafrikaI sina anklagelser hävdar de att både end-to-end-krypteringssystemet och resten av appens säkerhetsverktyg är säkra. "De skulle inte vara så effektiva som det utlovas." och att företaget hade vilselett allmänheten genom att kommunicera den tillgängliga skyddsnivån.
Enligt dokumentationen baseras anklagelsen även på vittnesmål från påstådda interna visselblåsare som skulle ha beskrivit processer genom vilka Meta-anställda kunde få tillgång till innehållet i vissa chattar, på begäran i företagets interna system.
Metas och WhatsApps svar: "riktig" kryptering och "absurda" anklagelser
Företagets reaktion har varit entydig. Andy Stone, talesperson för WhatsApp och MetaStone har kallat stämningen "oseriös" och hävdat att företaget kommer att vidta sanktioner mot de advokater som lämnade in den. I sina uttalanden till medier som Bloomberg hävdar Stone att "Alla påståenden om att WhatsApp-meddelanden inte är krypterade är kategoriskt falska och absurda.".
Meta hävdar att varken WhatsApp-anställda eller moderbolagets anställda De har ett sätt att läsa användarnas krypterade kommunikation, och E2EE-systemet baserat på Signal-protokollet har varit i drift i nästan ett decennium. Det noteras också att regeringar som begär tillgång till innehållet De stöter på samma tekniska hinder som resten av tredjeparterna: krypteringsdesignen skulle förhindra leverans av meddelanden, även vid officiella förfrågningar.
Mark Zuckerberg, VD för Meta, har offentligt försvarat denna modell och sagt att "Det finns ingen tidpunkt då Metas servrar ser innehållet" av meddelandena när två personer chattar på WhatsApp. För företaget saknar anklagelserna om att kryptering är en fasad helt teknisk grund.
Läckor och tidigare entreprenörer ger näring åt tvivlen
Utöver det rättsliga trycket finns uttalanden från tidigare entreprenörer kopplade till WhatsApp-innehållsmodereringsom har varit föremål för utredningar av polis i USA. Enligt en rapport som Bloomberg tagit del av påstås dessa arbetare ha hävdat att vissa Meta-anställda hade bred åtkomst till användarmeddelanden av ansökan.
Vittnesmålen kommer från personer som arbetade för WhatsApp genom externa konsultföretagoch att de berättade för en utredare från handelsdepartementet att deras arbetsplatser hade tjänster med "obegränsad tillgång" till chattrum. Denna information sammanställdes i en intern rapport med titeln "Operation krypterad från källan", daterad juli och beskriven som en del av en pågående utredning.
Emellertid, själva Kontoret för industri och säkerhet Det amerikanska handelsdepartementet har senare avfärdat dessa påståenden och sagt att Den undersöker inte WhatsApp eller Meta för påstådda brott mot exportlagar och att rapporten som utarbetats av en av dess ombud låg utanför dess behörighetsområde.
Meta har å sin sida svarat att "Det dessa individer påstår är inte möjligt" Eftersom varken företaget eller dess entreprenörer har tillgång till innehållet i krypterad kommunikation, insisterar företaget på att det kommer att fortsätta att avvisa anklagelserna, inklusive de som väckts av advokatbyrån som leder grupptalan.
Kritik från tävlingen: Telegram och andra röster
Debatten om WhatsApp-kryptering har också använts av direkta konkurrenter på budmarknadenSom WireTelegrams VD Pavel Durov har öppet ifrågasatt säkerheten i Metas app och sagt att blint förtroende för dess skyddssystem enligt hans åsikt är "oacceptabel".
Durov hävdar att Telegram har analyserade WhatsApps krypteringssystem och att de i den processen skulle ha upptäckt potentiella sårbarheterEnligt hans berättelse har WhatsApp aldrig varit så säkert som det presenteras i Metas officiella kommunikation till sina miljarder användare.
Telegramgrundarens kritik kom vid ett särskilt känsligt ögonblick, mitt i grupptalan i USA mot Meta för påstådda åtkomst till påstådda krypterade meddelanden. WhatsApp har helt enkelt bekräftat att de använder Signal-protokollet och att Säkerhetsnycklarna finns i enheternainte på servrarna, så företaget kunde inte läsa innehållet i chattarna även om de ville.
Krypteringsexperternas perspektiv
Mitt i detta anklagelseutbyte har vissa kryptografispecialister försökt att dämpa spänningarna. Professor Matthew Green, kryptograf vid Johns Hopkins UniversityHan noterade på sin blogg att WhatsApps kryptering är baserad på Signal-protokollet och att även om Meta-appen inte är öppen källkod, finns det Tekniska sätt att upptäcka om innehållet faktiskt krypteras.
Green påpekar att om WhatsApp systematiskt läste meddelanden, säkerhetsforskningsgemenskapen skulle så småningom hitta bevis i applikationens beteende eller i trafikanalys. Ändå betonar det att det är extremt svårt att oberoende verifiera att krypteringen tillämpas, vilket företaget påstår, eftersom man inte kan granska all kod.
Samtidigt har olika integritetsorganisationer, såsom de som främjar initiativ som "Kryptera det redan"De pressar stora företag att utöka end-to-end-kryptering till fler tjänster och använda det som standard. Specifikt när det gäller WhatsApp kräver dessa grupper att Krypterade E2EE-säkerhetskopior är aktiverade som standard och är inte beroende av att användaren konfigurerar dem manuellt.
Vad gäller säkerhetskopior: systemets svaga punkt
En av de mest relevanta, och kanske minst kända, nyanserna är skillnaden mellan krypteringen av meddelanden under överföring och skyddet av säkerhetskopior av molnetMedan WhatsApp-chattar och samtal är krypterade, lagras säkerhetskopior på Google Drive eller iCloud. Det har inte alltid varit skyddat med E2EE standard.
WhatsApp har erbjudit möjligheten att aktivera ett tag nu. End-to-end krypterade säkerhetskopiorså att varken appen själv eller molnleverantörer kan komma åt dess innehåll. Men den här funktionen kräver att användaren skapar ett lösenord eller en 64-siffrig nyckel Och om den glöms bort eller förloras finns det inget sätt att återställa den sparade informationen.
Det är därför vissa personer och företag föredrar Aktivera inte E2EE-kryptering i säkerhetskopiorDe menar att detta gör det enklare att återställa chattar när man byter telefon, använda verktyg för migrering över plattformar eller uppfylla vissa arkiverings- och granskningsskyldigheter, på bekostnad av att enbart förlita sig på molnleverantörens säkerhet.
Varför inaktiverar vissa användare kryptering av säkerhetskopior?
Beslutet att avstå från E2EE-kryptering i säkerhetskopior baseras ofta på praktiska skäl. Om någon aktiverar det systemet och sedan Glömt ditt lösenord eller tappat bort din 64-siffriga nyckelSäkerhetskopian blir oåterställbar. WhatsApp lagrar inte dessa nycklar, så de kan inte hjälpa till att återställa dem.
I affärsvärlden kan inaktivering av säkerhetskopieringskryptering ses som ett sätt att säker åtkomst till chatthistorik För efterlevnad av lagar eller bestämmelser, särskilt inom sektorer med strikta dokumentationskrav. I detta sammanhang blir prioriteten garanterad återställning av data, även om det innebär att man antar att en större risk vad gäller sekretess.
Det finns också användare som, efter att ha lidit fel eller blockeringar När man återställer en heltäckande krypterad säkerhetskopia väljer många användare att återgå till ett vanligt molnbaserat säkerhetskopieringssystem. Tredjepartsverktyg som låter användare migrera eller extrahera WhatsApp-data mellan plattformar fungerar vanligtvis bara med okrypterade säkerhetskopior, vilket tvingar många att... tillfälligt inaktivera den extra säkerhetsnivån.
Risker och rättsligt sammanhang i Europa och Spanien
Att inaktivera end-to-end-kryptering i säkerhetskopior innebär i praktiken att informationen endast skyddas av åtgärder från företag som Google eller AppleOm någon får åtkomst till molnkontot – till exempel via nätfiske eller stöld av autentiseringsuppgifter— skulle kunna hämta WhatsApp-säkerhetskopian och analysera dess innehåll om den inte är krypterad.
Ur ett rättsligt perspektiv är det europeiska ramverket, med Allmän dataskyddsförordning (RGPD) Som referens uppmuntras användningen av robusta säkerhetsåtgärder, inklusive kryptering, för att skydda personuppgifter. För företag som använder WhatsApp för professionella ändamål i Spanien eller andra EU-länder, lagra chatthistorik utan ytterligare kryptering Det kan ge upphov till problem med efterlevnaden om känsliga kunduppgifter hanteras.
Dessutom påverkar kryptering förhållandet med säkerhetsstyrkor och organOm säkerhetskopior är end-to-end-krypterade och endast användaren har nyckeln, kan varken molnleverantören eller WhatsApp lämna ut innehållet i händelse av ett domstolsbeslut. Om de inte är det kan teknikföretag tvingas att underlätta åtkomst till dessa säkerhetskopior när domstolarna beordrar det.
Denna balans mellan integritet, allmän säkerhet och rättsliga skyldigheter är särskilt känslig i Europa, där förslag regelbundet debatteras för att begränsa eller kringgå kryptering under vissa omständigheter. I det sammanhanget granskas fallet WhatsApp noggrant, med tanke på dess enorma betydelse i den dagliga kommunikationen mellan miljontals användare i Spanien.
Så här kontrollerar och hanterar du kryptering i appen
Dagligen kan användaren utföra några enkla kontroller för att bättre förstå vad som är skyddat och hurI varje individuell eller gruppkonversation är det möjligt att komma åt chattinformationen genom att klicka på avsnittet "Kryptering" och verifiera säkerhetskoden med en QR-kod eller den 60-siffriga strängen. Detta bekräftar att utbytet mellan dessa två enheter krypteras från början till slut.
Angående säkerhetskopior kan du komma åt säkerhetskopieringsavsnittet från appinställningarna – både på Android och iPhone. «Chatt backup» och se om alternativet "krypterad säkerhetskopiering från början till slut" Den är aktiverad. Om den är det krävs ett lösenord eller den 64-siffriga nyckeln för att inaktivera eller ändra den; annars kan användaren konfigurera detta skydd genom att följa guiden som erbjuds av WhatsApp.
Även med alla dessa funktioner påminner den aktuella debatten oss om att kryptering inte är en rent teknisk fråga, utan också en fråga om förtroende för hur företag genomför och uppfyller sina egna löftenMitt i stämningar i USA, läckor från tidigare entreprenörer, kritik från konkurrenter och europeiska tillsynsmyndigheters vaksamma öga, kommer framtiden för WhatsApp-kryptering och dess status som ett verkligt privat verktyg att förbli en viktig fråga för användare, säkerhetsexperter och myndigheter i Spanien och i hela Europa.
