פרוטוקול איתות

Signal Protocol פותח על ידי Open Whisper Systems (כיום Signal Foundation) החל משנת 2013. הוא התפתח מפרוטוקולי העברת הודעות מאובטחות קודמים (OTR, SCIMP) ושילב את הרעיונות שלהם עם מבנה מחמיר חדש. החידוש העיקרי: כל הודעה משתמשת במפתח הצפנה חדש, כך שפשרה של מפתח אחד חושפת רק הודעה אחת - והפרוטוקול מרפא את עצמו לאחר פשרה על ידי הכללת חומר מפתח חדש בהודעות הבאות. בלוקים:

• X25519 (Curve25519 Diffie-Hellman) עבור הסכם מפתח
• HKDF (KDF מבוסס HMAC) להפקת מפתחות מסודות משותפיםXPLZXXZPL5A16PLZ5XX16PLZ5XX16PLZ5XX16PLZ5XXX16PLZ5XX17 במצב CBC עם HMAC-SHA256 להצפנת הודעות ("הצפין-אז-MAC")
• Ed25519 חתימות עבור מפתחות זהות

The X3DHZ8 הודעה ראשונית בובXPLZ לחיצת יד ראשונה - Al7When לחיצת יד ראשונית להיות במצב לא מקוון - Signal צריך דרך ליצור מפתח משותף ללא החלפה אינטראקטיבית. התשובה היא X3DH (Extended Triple Diffie-Hellman). האפליקציה של בוב מעלה שלושה מפתחות לשרת של סיגנל:

• מפתח ה-זהות לטווח ארוך שלו
• A לטווח בינוני מפתח קדם חתום (מתרענן מעת לעת)XPLZ40AXXPLZ4 מאגר של פעם אחת-XAXXPLZ4 prekeys (נצרך פעם אחת בכל הפעלה חדשה) האפליקציה של

Alice מביאה את שלושתם. הוא מבצע ארבעה חישובים של דיפי-הלמן המשלבים את מפתחות הארעיים והזהות שלה עם שלושת המקשים המקדימים של בוב, ואז HKDF מערבב את התוצאות לסוד משותף. ההודעה הראשונה כוללת את המפתח הציבורי הארעי של אליס ואת מזהי המפתח המוקדמים שבהם השתמשה; האפליקציה של בוב משחזרת את אותו סוד משותף מהצד שלו.

המתמטיקה היא א-סימטרית: אליס לא צריכה את בוב מקוון, אבל החוזק ההצפנה שווה ערך ללחיצת יד אינטראקטיבית.

The Double Ratchet

פעם אחת מכניסים את הפרוטוקול אליס ובובי חולקים את הפרוטוקול שלו. שני מחגרות מפתח מתקדמים עבור כל הודעה:

• מחגר מפתח סימטרי: עבור כל הודעה בשורה מאותו השולח, הפק מפתח שרשרת חדש על ידי גיבוב של מפתח השרשרת הקודם. מפתח השרשרת מעורבב עם HKDF כדי לייצר מפתח הודעה ייחודי.
• Diffie-Hellman ratchet: בכל פעם שכיוון השיחה מתהפך (בוב משיב לאליס), בוב מייצר זוג מפתחות ארעיים טרי, מבצע DH עם המפתח האחרון של אליס, שיתוף המפתח הסודי והתוצאה הסודית הוא שיתוף המפתח הסודי. מנקודה זו פועל ראצ'ט סימטרי חדש.

שילוב זה מעניק גם forward סודיות (הודעות קודמות נשארות חסויות אם מפתח נוכחי דולף) וגם סודיות עתידית / אבטחה לאחר פשרהforward הודעה פרטית לאחר פשרה עתידית ( שוב).

What Signal does well

• Forward secretion at message granularity. רוב הפרוטוקולים המוצפנים נותנים סודיות קדימה בפירוט הפגישה. אות עושה את זה לכל הודעה.
• משלוח מחוץ להזמנה. אם הודעות 5, 6, 7 מגיעות לפי הסדר 7, 5, 6, המקלט עדיין יכול לפענח את כולן על ידי שמירת מפתחות הודעה שדילוגו מאפשרת לזמן קצר.XPLZ80Synchronous communication XXLZ81XXLZ81. שיחה בלי שהנמען יהיה מקוון.
• תמיכה במכשירים רבים. פרוטוקול שומשום המרוכב מלמעלה מטפל במספר התקנים לכל משתמש.
• מטא נתונים מינימליים. עיצוב השרתים הפרטיים של אותות יותר מאשר העיצוב הפרטי של אותות מתחרים.

מה קשה

הפרוטוקול הוא דו-צדדי. Group messaging דורש מכונות נוספות - הפתרון של Signal הוא "מפתחות שולח" כאשר כל שולח שואב מפתח לכל קבוצה ומפיץ אותו בזוגיות לכל חבר באמצעות הפרוטוקול הרגיל. ערבויות הסודיות קדימה בקבוצות חלשות יותר מאשר בצ'אטים 1:1; ניתן להוסיף חברים חדשים אך העלות של פעולות קריפטוגרפיות גדלה עם גודל הקבוצה. תקן MLS (Messaging Layer Security) IETF מתייחס לכך בקנה מידה ומאומץ בהדרגה.

אימות זהות עדיין תלוי בהשוואה מחוץ לתחום של מספרי בטיחות. אם לא תאמת, אתה סומך על השרת של Signal שלא יחליף מפתחות בשקט. רוב המשתמשים לעולם אינם מאמתים; אבטחת הפרוטוקול מותנית אז בכנות המפעיל בתוספת הקושי של החלפה המונית שלא מזוהה.

היכן אתה נתקל בפרוטוקול האות

• Signal עצמו (מימוש הייחוס)
• WhatsApp (2.5 מיליארד משתמשים - שירות ההודעות המוצפן הגדול ביותר מקצה לקצה אי פעם) (השקת ברירת המחדל של E2E הושלמה ב-2024)
• Google Messages / RCS (צ'אטים 1:1 כברירת מחדל; צ'אטים קבוצתיים נוספו מאוחר יותר)
• Skype's privates (מורשת) clients

ספריית הפרוטוקול, libsignal, היא קוד פתוח ומבוקרת. העיצוב הקריפטוגרפי החזיק מעמד תחת יותר מעשור של בדיקה.