Solução para habilitar conversas integras e auditáveis em aplicativos de troca de mensagens instantâneas

  • Andrea Komo USP
  • Marcos Simplicio Jr. USP

Resumo


A integridade das mensagens em aplicativos de comunicação instantânea tem sido uma questão importante nosúltimos anos. Em particular, como esses aplicativos têm sido utilizados como ferramentas corporativas, não é incomum que as conversas neles realizadas sejam usadas como documentos para comprovar negociações. Por outro lado, a maioria desses aplicativos não apresenta um recurso de verificação para confirmar a integridade da conversas. De fato, análises mostram que é possível modificar registros de forma proposital ou acidental em aplicativos como WhatsApp, Telegram e outros, sem que a alteração seja facilmente detectada. Este trabalho propõe o uso de uma estrutura encadeada de hashes criptográficos das mensagens de forma a garantir a integridade e permitir a verificação confiável das conversas. Essa solução é independente da arquitetura do sistema e pode ser incorporada em qualquer aplicativo de mensagem.

Referências

A. Mcgrew, D. and Viega, J. (2004). The galois/counter mode of operation (gcm).

BB (2018). Clientes do BB podem acessar suas contas usando o WhatsApp [online]. www.bb.com.br/pbb/pagina-inicial/imprensa/n/58382/.

Cohn-Gordon, K., Cremers, C., Dowling, B., Garratt, L., and Stebila, D. (2017). A formal security analysis of the signal messaging protocol. In 2017 IEEE European Symposium on Security and Privacy (EuroS&P), pages 451–466.

Hu, Y.-C., Jakobsson, M., and Perrig, A. (2005). Efcient constructions for one-way hash chains. In Proc. of the 3rd Int. Conf. on Applied Cryptography and Network Security (ACNS'05), pages 423–441, Berlin, Heidelberg. Springer-Verlag.

Johnson, D., Menezes, A., and Vanstone, S. (2001). The elliptic curve International Journal of Information Security, digital signature algorithm (ecdsa). 1(1):36–63.

Komo, A. E., Arakaki, B. O., Simplicio Jr., M. A., and Levy, M. R. (2018). Aplicativo de troca de mensagens instantâneas utilizando comunicação P2P. In Anais Estendidos do XVIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, pages 65–72, Porto Alegre, RS, Brasil. SBC.

LaMacchia, B., Lauter, K., and Mityagin, A. (2007). Stronger security of authenticated key exchange. In Susilo, W., Liu, J. K., and Mu, Y., editors, Provable Security, pages 1–16, Berlin, Heidelberg. Springer Berlin Heidelberg.

Marlinspike, M. and Perrin, T. (2016). The double ratchet algorithm [online]. whispersystems.org/docs/.

Nakamoto, S. (2008). Bitcoin: A peer-to-peer electronic cash system.

NIST (2015). FIPS 202: SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions. National Institute of Standards and Technology.

Research, C. (2000). Sec 2: Recommended elliptic curve domain parameters, version 1.0. http://www.secg.org/SEC2-Ver-1.0.pdf.

Rogers, M., Saitta, E., Grote, T., Dehm, J., Erlingsson, E., Tyers, B., and Grigg, J. (2018). Briar. https://briarproject.org/.

Rösler, P., Mainka, C., and Schwenk, J. (2018). More is less: On the end-to-end security of group chats in Signal, WhatsApp, and Threema. In IEEE European Symposium on Security and Privacy (Euro S&P), pages 415–429.

Schliep, M. and Hopper, N. (2018). End-to-end secure mobile group messaging with conversation integrity and deniability. Cryptology ePrint Archive, Report 2018/1097. https://eprint.iacr.org/2018/1097.

Schliep, M., Kariniemi, I., and Hopper, N. (2017). Is Bob sending mixed signals? In Proc. of the 2017 on Workshop on Privacy in the Electronic Society, WPES '17, pages 31–40, New York, NY, USA. ACM.

Schröder, S., Huber, M., Wind, D., and Rottermanner, C. (2016). When signal hits the fan: On the usability and security of state-of-the-art secure mobile messaging. In Proc. of the 1st European Workshop on Usable Security.

Simplicio, M., Oliveira, B., Margi, C., Barreto, P., Carvalho, T., and Näslund, M. (2013). Survey and comparison of message authentication solutions on wireless sensor networks. Ad Hoc Networks, 11(3):1221–1236.

Simplicio, M., Santos, M., Leal, R., Gomes, M., and Goya, W. (2014). SecureTCG: a lightweight cheating-detection protocol for P2P multiplayer online trading card games. Security and Communication Networks, 7(12):2412–2431.

Telegram (2019a). MTProto mobile protocol [online]. core. telegram.org/mtproto.

Telegram (2019b). Telegram FAQ [online]. telegram.org/faq.

TJDFT (2016). Portaria Conjunta 67 de 08/08/2016. Tribunal de Justiça do Distrito Federal e dos Territórios. Disponível: www.tjdft.jus.br/publicacoes/publicacoes-oficiais/portarias-conjuntas-gpr-e-cg/2016/portaria-conjunta-67-de-08-08-2016.

Torvalds, L. (2005). Git. http://www.git-scm.com/.

WhatsApp (2016). WhatsApp encryption overview [online]. www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf.

WhatsApp (2019). Aplicativo WhatsApp Business [online]. www.whatsapp.com/business/.
Publicado
02/09/2019
KOMO, Andrea; SIMPLICIO JR., Marcos. Solução para habilitar conversas integras e auditáveis em aplicativos de troca de mensagens instantâneas. In: WORKSHOP DE TRABALHOS DE INICIAÇÃO CIENTÍFICA E DE GRADUAÇÃO - SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 19. , 2019, São Paulo. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2019 . p. 125-134. DOI: https://doi.org/10.5753/sbseg_estendido.2019.14014.