WhatsApp tento týden oznámil, že zavádí plošné end-to-end šifrování. U hodně lidí to vyvolalo nadšení. Přitom je to jako s náboženstvím. Důkaz nedostanete, nezbývá vám nic jiného než věřit.

End-to-end šifrování je pěkná věc. V poslední době se z něj stává marketingový tahák. I WhatsApp se chlubí tím, že díky tomu nabízí zcela bezpečnou komunikaci, kterou můžou využívat třeba režimem pronásledovaní lidé po celém světě. Pokud by vám ale šlo opravdu o hodně, dali byste svůj osud do rukou WhatsAppu? Já ne.

WhatsApp je totiž uzavřená služba a to dokonale. Otevřené není prakticky nic. Od klientů až po serverovou část. Pokud nemá veřejnost přístup ke zdrojovému kódu, nemůže ověřit, že tvrzení o bezpečnosti a soukromí opravdu platí. WhatsApp údajně implementuje protokol TextSecure, s čímž mu pomáhala firma Open Whisper Systems, která stojí za kecálkem Signal.

Ten je doporučovaný pro svoji bezpečnost. Na rozdíl od WhatsAppu je ale zcela otevřený. I kdybychom důvěřovali lidem z OWS, že je vše, jak se proklamuje, nemáme žádnou záruku, že v budoucnu WhatsApp potichu neprovede změny, které bezpečnost služby oslabí. Motivace se přímo nabízí. Podobné služby mají problémy s vládami po celém světě. Zablokování služby by znamenalo ztrátu desítek milionů uživatelů. Přitom by stačilo udělat malá zadní vrátka, aby bylo možné požadavkům vlád potichu vyhovět… Nechci WhatsApp obviňovat, že něco podobného udělá, ale to riziko tam je.

A přitom by stačilo tak málo, aby WhatsApp pochybnosti odstranil. Kdyby byly klienty otevřené, mohla by si veřejnost ověřit, že end-to-end šifrování je skutečně v pořádku implementováno a nenachází se v nich žádné backdoory. Serverová část může klidně zůstat uzavřená, protože u end-to-end šifrování se k obsahu zpráv nedostane. Takto to má třeba Telegram. Serverová část je sice uzavřená, ale klienty jsou otevřené a můžete si je sestavit sami, pokud nedůvěřujete binárkám od poskytovatele. Protokol je také otevřený, díky čemuž existují implementace klientů od třetích stran, pokud poskytovateli nedůvěřujete ani tak.

U uzavřených služeb jako WhatsApp žádnou jistotu nemáte. Jediné, co vám zbývá, je důvěřovat poskytovateli. To může mnoha lidem stačit, ale IMHO se na tom skutečně bezpečná služba postavit nedá.

Ještě bych dodal, že end-to-end šifrování není všelék na soukromí. K obsahu zpráv se sice nikdo nedostane, ale metadata už k dispozici jsou. Lze tedy zjistit, kdo píše komu, jak často atd. Věřím tomu, že v totalitních zemích stačí represivním složkám, že s někým konkrétním komunikujete, aniž by znaly obsah. V tomto jsou mnohem bezpečnější decentralizované služby s vysokou mírou anonymity. Těm ale popularita zrovna nekvete.