WhatsApp用戶將可使用端到端加密保護歷史訊息備份

臉書現在讓WhatsApp用戶可以選用端到端加密技術來保護備份，如此無論是WhatsApp或是備份服務的供應商，都將無法存取備份或是備份加密金鑰，大幅提升用戶的訊息安全。官方提到，這項端到端加密備份功能，將會在數周內，向iOS和Android用戶推出。

目前WhatsApp已經預設提供端到端加密，只有發送者和接受者才能看到訊息，沒有任何中間人可以讀取經過端得端加密的訊息。臉書也讓使用者可以在Google Drive和iCloud等雲端服務，備份WhatsApp歷史訊息紀錄，使這些訊息無法被WhatsApp本身存取，由獨立的雲端儲存服務保護。

臉書現在透過讓用戶啟用端到端加密備份，來進一步提供更高的訊息保護功能，臉書開發了適用於iOS和Android的全新加密金鑰儲存系統，當用戶啟用端到端加密備份功能後，備份將會使用唯一且隨機生成的金鑰來加密，用戶可以手動或是使用密碼來保護金鑰。

一旦用戶選擇以密碼來保護金鑰，金鑰會儲存在備份金鑰保險箱中，該保險箱是由硬體安全模組（HSM）元件建置而成，是可以安全地儲存加密金鑰的專用安全硬體。當帳戶擁有者，要存取備份時，就可以用加密金鑰來存取，或是使用個人密碼，從硬體安全模組的備份金鑰保險箱中，檢索加密金鑰並且解開備份。

基於硬體安全模組的備份金鑰保險箱，以強健的方式保護金鑰，當金鑰經多次存取失敗後，系統將鎖定金鑰永遠無法再存取，進而避免金鑰遭到暴力破解。WhatsApp本身所知道的資訊，只有硬體安全模組中存在一個金鑰，但是不知道本身金鑰為何。

WhatsApp的前端服務ChatD負責處理客戶端連接，以及客戶端到伺服器的身份驗證，並且實作將金鑰發送至備份以及WhatsApp伺服器的協定，客戶端和基於硬體安全模組的備份金鑰保險箱，將交換加密訊息，但ChatD無法存取訊息內容。

備份金鑰保險箱位於ChatD之後，提供高度可用且安全的加密金鑰儲存，官方提到，備份是以連續資料串流形式生成，並以金鑰使用對稱加密演算法進行加密，加密之後備份可以儲存在裝置以外，像是iCloud或Google Drive等服務。

當用戶想要檢索自己的備份時，可以輸入密碼，該密碼會透過加密，傳送至備份金鑰保險箱進行驗證，驗證完後，備份金鑰保險箱會將加密金鑰送回WhatsApp客戶端，進行備份解密。當使用者決定單獨使用64位元金鑰，則必須手動輸入金鑰，來解密存取他們的備份。