Hacer que la interoperabilidad de la mensajería de terceros sea segura para los usuarios en Europa

• Para cumplir con una nueva ley de la UE, la Ley de Mercados Digitales (DMA), que entrará en vigor el 7 de marzo, hemos realizado cambios importantes en WhatsApp y Messenger para permitir la interoperabilidad con servicios de mensajería de terceros.
• Estamos compartiendo cómo habilitamos la interoperabilidad de terceros (interoperabilidad) mientras mantenemos el cifrado de extremo a extremo (E2EE) y otras salvaguardas de privacidad en nuestros servicios tanto como sea posible.

El 7 de marzo entra en vigor una nueva ley de la UE, la Ley de Mercados Digitales (DMA). Uno de sus requisitos es que los servicios de mensajería designados permitan que los servicios de mensajería de terceros sean interoperables, siempre que el tercero cumpla con una serie de elegibilidad, incluidos requisitos técnicos y de seguridad.

Esto permite a los usuarios de proveedores externos que opten por habilitar la interoperabilidad (interoperabilidad) enviar y recibir mensajes con los usuarios de Messenger o WhatsApp que hayan optado por participar, los cuales han sido designados por la Comisión Europea (CE) como requeridos para proporcionar interoperabilidad. de forma independiente a terceros – servicios de mensajería de terceros.

Durante casi dos años, nuestro equipo ha estado trabajando con la CE para implementar la interoperabilidad de una manera que cumpla con los requisitos de la ley y maximice la seguridad, la privacidad y la protección del usuario. La interoperabilidad es un desafío técnico, incluso cuando se centra en las funcionalidades básicas requeridas por DMA. En el primer año, el requisito es enviar mensajes de texto 1:1 entre usuarios individuales y compartir imágenes, mensajes de voz, videos y otros archivos adjuntos entre usuarios finales individuales. En el futuro, los requisitos se ampliarán a la funcionalidad de grupos y llamadas.

Para interoperar, los proveedores externos firmarán un acuerdo con Messenger y/o WhatsApp y trabajaremos juntos para permitir la interoperabilidad. Hoy publicaremos la Oferta de referencia de WhatsApp para proveedores externos, que describirá lo que se necesitará para interoperar con el servicio. La oferta de recomendación de Messenger se lanzará a su debido tiempo.

Si bien Meta debe estar listo para permitir la interoperabilidad con otros servicios dentro de los tres meses posteriores a la recepción de una solicitud, puede llevar más tiempo antes de que la funcionalidad esté lista para uso público. Queríamos aprovechar esta oportunidad para definir la infraestructura técnica y el pensamiento detrás de nuestra solución de interoperabilidad.

Un enfoque centrado en la privacidad para crear servicios de mensajería interoperables

Nuestro enfoque hacia el cumplimiento de DMA se centra en preservar la privacidad y seguridad de los usuarios tanto como sea posible. La DMA establece, con razón, como requisito legal que no debilitemos la seguridad proporcionada a los propios usuarios de Meta.

El enfoque que hemos adoptado en términos de implementación de interoperabilidad es la mejor manera de cumplir con los requisitos de DMA y al mismo tiempo crear un enfoque viable para proveedores externos interesados ​​en ser interoperables con Meta y maximizar la seguridad y la privacidad del usuario.

Implementación de un protocolo cifrado de extremo a extremo

Primero, debemos proteger la seguridad subyacente que mantiene segura la comunicación en las aplicaciones de mensajería Meta E2EE: el protocolo de cifrado. WhatsApp y Messenger utilizan el protocolo Signal probado y verdadero como componente básico para su cifrado.

Messenger todavía implementa E2EE por defecto para la comunicación personal, pero en WhatsApp este estándar es así desde 2016. En ambos casos, estamos utilizando el protocolo Signal como base para estas comunicaciones E2EE, ya que representa el estándar de oro actual. para chats E2EE.

Para maximizar la seguridad del usuario, preferiríamos que proveedores externos utilicen el protocolo Signal. Sin embargo, dado que esto tiene que funcionar para todos, permitiremos que proveedores externos utilicen un protocolo compatible si pueden demostrar que ofrece las mismas garantías de seguridad que Signal.

Para enviar mensajes, los proveedores externos deben crear estructuras de mensajes protobuf que luego se cifran mediante el protocolo de señal y luego se empaquetan en subrutinas de mensajes de lenguaje de marcado extensible (XML).

Los metaservidores envían mensajes a clientes conectados a través de una conexión persistente. Los servidores de terceros son responsables de alojar los archivos multimedia que sus aplicaciones cliente envían a los metaclientes (como archivos de imagen o vídeo). Después de recibir un mensaje multimedia, los clientes Meta descargarán medios cifrados desde servidores de mensajería de terceros utilizando un servicio proxy Meta.

Es importante observar que La promesa E2EE que Meta ofrece a los usuarios de nuestros servicios de mensajería requiere que controlemos tanto a los clientes emisores como receptores. Esto nos permite garantizar que solo el remitente y los destinatarios puedan ver lo que se envió y que nadie pueda escuchar su conversación sin que ambas partes lo sepan.

Si bien hemos creado una solución segura para la interoperabilidad que utiliza el cifrado del protocolo Signal para proteger los mensajes en tránsito, sin la propiedad de ambos clientes (puntos finales), no podemos garantizar lo que hace un proveedor externo con los mensajes enviados o recibidos y, por lo tanto, no podemos hacer lo mismo. promesa.

Nuestra solución técnica se basa en la arquitectura cliente/servidor existente de Meta.

Creemos que la mejor manera de proporcionar interoperabilidad es a través de una solución que se base en la arquitectura cliente/servidor existente de Meta. [Figure 1]. En particular, exigir que los clientes se conecten a la infraestructura Meta tiene los siguientes beneficios:

• Permite a Meta maximizar el nivel de seguridad para todos los usuarios al realizar muchas de las mismas comprobaciones de integridad que realiza para los usuarios de Meta existentes.
• Constituye un modelo “plug-and-play” para terceros proveedores, reduciendo las barreras para posibles nuevos participantes y los costos para terceros proveedores.
• Ayuda a maximizar la protección de la privacidad del usuario al limitar la exposición de sus datos personales únicamente a metaservidores.
• Mejora la confiabilidad general del servicio interoperable, ya que se beneficia de la infraestructura de Meta, que ya está escalada globalmente para manejar más de 100 mil millones de mensajes por día.

Tomando el ejemplo de WhatsApp, los clientes de terceros se conectarán a los servidores de WhatsApp utilizando nuestro protocolo (basado en el Protocolo Extensible de Presencia y Mensajería – XMPP). El servidor de WhatsApp interactuará con un servidor de terceros a través de HTTP para facilitar una variedad de cosas, incluida la autenticación de usuarios de terceros y las notificaciones automáticas.

WhatsApp expone una API de registro que los clientes externos deben ejecutar al unirse a la red de WhatsApp. Cuando un usuario externo se registra en WhatsApp o Messenger, conserva su identificador de usuario visible existente y también recibe un identificador interno único de WhatsApp que se utiliza a nivel de infraestructura (para protocolos, almacenamiento de datos, etc.).

WhatsApp requiere que los clientes externos proporcionen una «prueba» de propiedad del identificador visible del usuario externo al conectarse o registrarse. La prueba la construye el servicio de terceros firmando criptográficamente un token de autenticación. WhatsApp utiliza el protocolo OpenID estándar (con algunas modificaciones menores) junto con un token web JSON (Token JWT) para verificar el identificador visible del usuario utilizando claves públicas obtenidas periódicamente del servidor de terceros.

WhatsApp utiliza el marco de protocolo de ruido para cifrar todos los datos que viajan entre el cliente y el servidor de WhatsApp. Como parte del Protocolo de ruido, el cliente externo debe realizar un “Apretón de manos de ruido” cada vez que el cliente se conecta al servidor de WhatsApp. Parte de este protocolo de enlace es proporcionar una carga útil al servidor que también contiene el token JWT.

Una vez que el cliente se haya conectado correctamente al servidor de WhatsApp, el cliente debe utilizar el protocolo de chat de WhatsApp para comunicarse con el servidor de WhatsApp. El protocolo de chat de WhatsApp utiliza estrofas XML optimizadas para comunicarse con nuestros servidores.

A medida que continuamos discutiendo esta arquitectura con proveedores externos, creemos que también existe un enfoque para implementar la interoperabilidad en el que podríamos darles a los proveedores externos la opción de agregar un proxy o un «intermediario» entre su cliente y el servidor de WhatsApp. Un proxy podría potencialmente brindar a los proveedores externos más flexibilidad y control sobre lo que sus clientes pueden recibir del servidor de WhatsApp y también eliminar el requisito de que los clientes externos implementen el protocolo cliente-servidor de WhatsApp, es decir, mantengan su «canal de chat». . ”en sus clientes.

El desafío aquí es que WhatsApp ya no tendría una conexión directa con ambos clientes y, como resultado, perdería las señales de nivel de conexión que son importantes para mantener a los usuarios a salvo del spam y estafas como las huellas digitales TCP. Por lo tanto, anticipamos implementar requisitos adicionales para proveedores externos que elijan esta opción bajo nuestra Oferta de Referencia. Este enfoque también expone todos los metadatos del chat al servidor proxy, lo que aumenta la probabilidad de que estos datos se filtren accidental o intencionalmente.

Explicar claramente a los usuarios cómo funciona la interoperabilidad.

Creemos que es fundamental ofrecer a los usuarios información transparente sobre cómo funciona la interoperabilidad y en qué se diferencia de sus chats con otros usuarios de WhatsApp o Messenger. Esta será la primera vez que los usuarios formarán parte de una red interoperable en todos nuestros servicios, por lo que será esencial brindarles información clara y directa sobre qué esperar. Por ejemplo, los usuarios deben saber que nuestra promesa y conjunto de funciones de seguridad y privacidad no coincidirán exactamente con lo que ofrecemos en los chats de WhatsApp.

La privacidad y la seguridad son una responsabilidad compartida

Como esperamos que esta publicación deje claro, preservar la privacidad y la seguridad en un sistema interoperable es una responsabilidad compartida, no algo que Meta sea capaz de hacer por sí solo. Por lo tanto, necesitaremos seguir colaborando con proveedores externos para brindar la mejor y más segura experiencia a nuestros usuarios.