WhatsApp yedekleri için onları daha güvenli hâle getirecek yeni bir özellik var. Facebook’a ait uygulama, cuma günü yapılan duyuruya göre, 2 milyardan fazla kullanıcısının mesajlarının yedeklerini tamamen şifrelemesine izin verecek. Bu özellik bir süredir Android tarafında test ediliyordu.
WhatsApp’ın önümüzdeki haftalarda iOS ve Android’deki kullanıcılara sunulmadan önce bir teknik incelemede ayrıntılı olarak açıkladığı plan, WhatsApp kullanıcılarının halihazırda Google Drive’a veya Apple’ın iCloud’una gönderdiği yedekleri güvence altına alarak bunları şifreleme anahtarı olmadan okunamaz hale getirmeyi amaçlıyor. Şifreli yedeklemeleri tercih eden WhatsApp kullanıcılarından 64 basamaklı bir şifreleme anahtarı kaydetmeleri veya anahtara bağlı bir parola oluşturmaları istenecektir.
Facebook CEO’su Mark Zuckerberg, yaptığı açıklamada “WhatsApp, uçtan uca şifreli mesajlaşma ve yedeklemeler sunan bu ölçekteki ilk küresel mesajlaşma hizmetidir ve oraya ulaşmak, işletim sistemlerinde anahtar depolama ve bulut depolama için tamamen yeni bir çerçeve gerektiren gerçekten büyük bir teknik zorluktu.” dedi.
Birisi hesabının şifreleme anahtarına bağlı bir parola oluşturursa, WhatsApp ilişkili anahtarı Facebook tarafından sağlanan ve yalnızca WhatsApp’a doğru parola girildiğinde açılan fiziksel bir donanım güvenlik modülünde veya HSM’de saklar. Bir HSM, dijital anahtarları şifrelemek ve şifresini çözmek için bir emanet kasası görevi görür.
WhatsApp’taki ilişkili şifre ile kilidi açıldıktan sonra HSM, Apple veya Google sunucularında depolanan hesabın yedeğinin şifresini çözen şifreleme anahtarını sağlar. WhatsApp’ın HSM kasalarından birinde saklanan bir anahtar, tekrarlanan şifre denemeleri yapılırsa kalıcı olarak erişilemez hâle gelecektir. Donanımın kendisi, internet kesintilerinden korunmak için dünya genelinde Facebook’un sahip olduğu veri merkezlerinde bulunuyor.
WhatsApp başkanı Will Cathcart, The Verge sitesine yaptığı açıklamada, sistemin hesap sahibi dışında hiç kimsenin bir yedeğe erişememesini sağlamak için tasarlandığını söyledi. İnsanların daha basit parolalar oluşturmasına izin vermenin amacının, şifrelenmiş yedeklemeleri daha erişilebilir hale getirmek olduğunu söyledi. WhatsApp yalnızca bir HSM’de bir anahtarın bulunduğunu bilecektir, anahtarın kendisi veya kilidini açmak için ilgili parolayı bilmeyecektir.
WhatsApp’ın bu hamlesi, anlık mesajlaşma uygulamasının en büyük pazarı olan Hindistan gibi, dünyanın dört bir yanındaki hükümetlerin şifrelemenin çalışma şeklini bozmakla tehdit etmesiyle geldi. Cathcart, “Bundan dolayı bazıları tarafından eleştirilmeyi bekliyoruz.” dedi. “Bu bizim için yeni değil … Hükümetlerin bizi daha fazla güvenliğe sahip olmaya ve tersini yapmamaya zorlaması gerektiğine kuvvetle inanıyorum.”
WhatsApp’ın duyurusu, uygulamanın iMessage mesajlarını şifreleyen ancak yine de şifrelenmiş yedeklemelerin anahtarlarını elinde tutan Apple’a göre bir adım daha ileri gittiği anlamına geliyor. Bu, Apple’ın veri kurtarmaya yardımcı olabileceği, ancak gerektiği zaman anahtarları kanuni kolluk kuvvetlerine teslim etmek zorunda kalabileceği anlamına gelir. Cathcart, WhatsApp’ın son birkaç yıldır şifreli yedeklemeleri hayata geçirmek için çalıştığını ve başlangıç aşamasını isteğe bağlı olarak belirlemelerine rağmen, zamanla “bunun herkes için çalışmasını sağlamayı” umduğunu söyledi.