消息应用程序Wickr开放了专业版app的核心加密软件供他人查看。这个库托管在GitHub上。
Wickr公司表示公布代码的目的并不是让复用,而是仅供“查看许可证”,不过表示GNC许可证下的开源软件发布正在筹备过程中。
为避免独立的库依赖关系,Wickr公司表示已通过专业版以一种“有序且通用的”方式展示其安全原语。换句话说,虽然这款app使用的是OpenSSL 1.0.2,但也可支持其它库。受支持的OpenSSL原语包括AES 256 (GCM和CTR)、SHA 256到512;多种椭圆曲线Diffie-Hellman;SCRYPThe BCRYPT;HMAC和HKDF。
白皮书中指出,该协议提供了以下内容:
* 端对端加密——信息和加密密钥仅对Wickr应用程序开放,并且并未透露给攻击者或Wickr服务器运营商。
* 完美的前向保密性——即使用户或设备的长期密钥被攻陷,旧的信息内容也不会被攻陷。同时也提供了针对被动对手的后向保密性。
* 对元数据的保护——存储在信息首标中的节点身份信息被隐藏,缺乏信息上下文和源信息的攻击者不可见。
协议内容还包括加密模块以及该应用程序的其它关键基础架构信息,以及“上下文(Context)”。上下文提供的是客户端前端如何跟加密库整合的方式。
该协议还是可扩展的,因此未来能够支持诸如文件转换、视频和音频等非文本型文件。相关人员表示,加密源代码和白皮书都已经经过了独立的审计。
Wickr并非首个允许此类审计的安全消息app,其竞争对手Signal就曾在2016年11月份发布了其代码。