Η Discord εισήγαγε το πρωτόκολλο DAVE, ένα προσαρμοσμένο πρωτόκολλο κρυπτογράφησης από άκρο σε άκρο (E2EE) που έχει σχεδιαστεί για να προστατεύει τις κλήσεις ήχου και βίντεο στην πλατφόρμα από μη εξουσιοδοτημένες υποκλοπές.
Το DAVE δημιουργήθηκε με τη βοήθεια ειδικών στον τομέα της κυβερνοασφάλειας στο Trail of Bits ελεγμένο τον κώδικα και την εφαρμογή του συστήματος E2EE.
Το νέο σύστημα θα καλύπτει ατομικές κλήσεις ήχου και βίντεο μεταξύ χρηστών σε ιδιωτικά κανάλια, κλήσεις ήχου και βίντεο σε μικρές ομαδικές συνομιλίες, κανάλια φωνής που βασίζονται σε διακομιστή που χρησιμοποιούνται για μεγαλύτερες ομαδικές συνομιλίες και ροή σε πραγματικό χρόνο.
“Σήμερα, θα ξεκινήσουμε τη μετεγκατάσταση φωνής και βίντεο σε DM, ομαδικά DM, φωνητικά κανάλια και ροές Go Live για χρήση του E2EE.” αναφέρει η ανακοίνωση της Discord.
“Θα μπορείτε να επιβεβαιώσετε πότε οι κλήσεις είναι κρυπτογραφημένες από άκρο σε άκρο και να πραγματοποιήσετε επαλήθευση άλλων μελών σε αυτές τις κλήσεις.”
Αρχικά δημιουργημένο για να επικοινωνούν οι παίκτες κατά τη διάρκεια του παιχνιδιού, το Discord έχει πλέον εξελιχθεί σε μία από τις πιο δημοφιλείς πλατφόρμες επικοινωνίας στον κόσμο, που εξυπηρετεί ομάδες με κοινά ενδιαφέροντα, δημιουργούς, επιχειρήσεις και διάφορες κοινότητες.
Η εισαγωγή του DAVE είναι μια σημαντική κίνηση για την ενίσχυση της ασφάλειας των δεδομένων και του απορρήτου στην πλατφόρμα, η οποία χρησιμοποιείται από περισσότερα από 200 εκατομμύρια άτομα.
Το πιο σημαντικό, το Discord αποφάσισε να κάνει το πρωτόκολλο και τις βιβλιοθήκες υποστήριξής του ανοιχτού κώδικα, επιτρέποντας τον έλεγχο από ερευνητές ασφαλείας. Δημοσιεύτηκε επίσης μια λευκή βίβλος με τις πλήρεις τεχνικές πληροφορίες, διασφαλίζοντας τη διαφάνεια προς την κοινότητα.
Τεχνική επισκόπηση DAVE
Το DAVE χρησιμοποιεί το κωδικοποιημένο API μετασχηματισμού WebRTC, το οποίο επιτρέπει στα πλαίσια πολυμέσων (ήχου και βίντεο) να κρυπτογραφούνται μετά την κωδικοποίησή τους και πριν από τη συσκευασία τους για μετάδοση. Το άκρο λήψης αποκρυπτογραφεί τα πλαίσια και στη συνέχεια τα αποκωδικοποιεί.
Μόνο τα ειδικά μεταδεδομένα κωδικοποιητή, όπως οι κεφαλίδες και οι δεσμευμένες ακολουθίες, παραμένουν μη κρυπτογραφημένα.
Πηγή: Discord
Σε ό,τι αφορά τη διαχείριση κλειδιών, το πρωτόκολλο Messaging Layer Security (MLS) χρησιμοποιείται για ασφαλείς και επεκτάσιμες ομαδικές ανταλλαγές κλειδιών, ενώ κάθε συμμετέχων έχει ένα συμμετρικό κλειδί κρυπτογράφησης μέσων ανά αποστολέα. Ο αλγόριθμος ψηφιακής υπογραφής ελλειπτικής καμπύλης (ECDSA) χρησιμοποιείται για τη δημιουργία ζευγών κλειδιών ταυτότητας.
Όταν αλλάζει η σύνθεση μιας ομάδας (ένα μέλος αποχωρεί ή ένα νέο μέλος εγγράφεται), ξεκινά μια νέα «εποχή» και η κατάσταση κρυπτογράφησης της ομάδας μετακινείται σε αυτή τη νέα εποχή δημιουργώντας νέα κλειδιά. Αυτή η διαδικασία θα πρέπει να ολοκληρωθεί χωρίς αισθητή αναστάτωση για τους συμμετέχοντες.
Το Discord λέει ότι το MLS προσθέτει κάποιο λανθάνοντα χρόνο για τις ανταλλαγές κλειδιών, αλλά το DAVE έχει σχεδιαστεί για να διατηρεί αυτήν την καθυστέρηση κάτω από το όριο μερικών εκατοντάδων χιλιοστών του δευτερολέπτου, ακόμη και σε μεγάλες ομαδικές κλήσεις.
Τέλος, σε ό,τι αφορά την επαλήθευση χρήστη, υπάρχουν μέθοδοι εκτός ζώνης, όπως η σύγκριση των κωδικών επαλήθευσης που ονομάζονται «κώδικες απορρήτου φωνής», που προέρχονται από την κατάσταση εποχής MLS της ομάδας.
Η αντίσταση στην επίμονη παρακολούθηση επιτυγχάνεται με τη χρήση εφήμερων κλειδιών ταυτότητας, καθώς στους χρήστες εκχωρείται ένα νέο κλειδί για κάθε κλήση.
Πηγή: Discord
Σταδιακή διάθεση
Το Discord έχει ξεκινήσει τη διαδικασία μετεγκατάστασης όλων των κατάλληλων καναλιών στο DAVE και οι χρήστες θα μπορούν να επιβεβαιώσουν εάν οι κλήσεις τους είναι κρυπτογραφημένες από άκρο σε άκρο ελέγχοντας την αντίστοιχη ένδειξη στη διεπαφή.
Αναμένεται ότι θα χρειαστεί αρκετός χρόνος για να έχουν όλοι οι χρήστες πλήρη πρόσβαση στο νέο σύστημα E2EE σε όλες τις συσκευές και τα κανάλια.
Οι χρήστες δεν χρειάζεται να κάνουν τίποτα άλλο εκτός από την αναβάθμιση στην πιο πρόσφατη εφαρμογή πελάτη, καθώς οι παλιοί πελάτες θα περιορίζονται στην κρυπτογράφηση μόνο για μεταφορά.
Η αρχική κυκλοφορία θα καλύψει τις εφαρμογές του Discord για υπολογιστές και κινητές συσκευές, με πελάτες ιστού που θα ακολουθήσουν στο μέλλον.
VIA: bleepingcomputer.com
