WhatsApp использует различные типы "сертификатов безопасности" и механизмов для обеспечения безопасности связи, и хранятся они в разных местах в зависимости от их назначения:
1. Сертификаты TLS/SSL для защиты соединения с серверами WhatsApp
Когда ваше приложение WhatsApp подключается к серверам WhatsApp (например, для отправки/получения сообщений, обновлений статуса, синхронизации контактов), оно устанавливает защищенное соединение с использованием протокола TLS (Transport Layer Security). Для этого серверы WhatsApp представляют свои TLS/SSL-сертификаты, которые клиентское приложение должно проверить.
Где хранятся:
На стороне сервера: Сами TLS/SSL-сертификаты, выданные центром сертификации (CA) для доменов WhatsApp, хранятся на серверах WhatsApp.
На устройстве пользователя (доверенные корневые сертификаты): Ваше База данных whatsapp в Нидерландах мобильное устройство (Android, iOS) содержит встроенный набор доверенных корневых сертификатов (Root Certificates) от известных и проверенных центров сертификации (CA), таких как DigiCert, Let's Encrypt и т.д. Когда приложение WhatsApp (или любой другой клиент) получает сертификат от сервера WhatsApp, оно проверяет, был ли этот сертификат выдан одним из этих доверенных корневых CA, или одним из промежуточных CA, чья цепочка доверия ведет к доверенному корневому CA. Эти корневые сертификаты хранятся в системном хранилище доверенных сертификатов вашей операционной системы (Android Keystore, iOS Keychain).
Certificate Pinning (Привязка сертификатов): Это дополнительная мера безопасности, которую приложения могут использовать для повышения защиты от атак типа "человек посередине" (Man-in-the-Middle, MitM). Вместо того чтобы доверять любому сертификату, выданному доверенным CA, приложение "привязывает" (закрепляет) ожидаемый публичный ключ или хэш сертификата к конкретному серверу.
Если WhatsApp реализует Certificate Pinning (что является хорошей практикой для приложений с высокой степенью безопасности), то ожидаемые публичные ключи или хэши сертификатов серверов WhatsApp встроены непосредственно в код самого приложения WhatsApp. Это означает, что при попытке соединения, приложение не просто проверяет, выдан ли сертификат доверенным CA, но и убеждается, что его публичный ключ совпадает с тем, который "зашит" в приложении. Если публичный ключ не совпадает, соединение отклоняется, даже если сертификат валиден по цепочке доверия.
2. Ключи шифрования для сквозного шифрования (End-to-End Encryption Keys)
WhatsApp использует протокол Signal для сквозного шифрования сообщений и звонков. Это означает, что сообщения шифруются на устройстве отправителя и расшифровываются только на устройстве получателя. Ни WhatsApp, ни кто-либо еще не может прочитать их.
Где хранятся:
Приватные ключи (Private Keys): Ваш приватный идентификационный ключ и другие ключи сеанса (session keys), используемые для шифрования и дешифрования сообщений, хранятся локально на вашем устройстве (телефон, компьютер для WhatsApp Web/Desktop) в защищенном хранилище, доступ к которому имеет только приложение WhatsApp. Эти ключи никогда не покидают ваше устройство и не передаются на серверы WhatsApp.
Публичные ключи (Public Keys): Ваши публичные ключи передаются на серверы WhatsApp, чтобы другие пользователи могли их получить и использовать для шифрования сообщений, предназначенных для вас. Серверы WhatsApp служат лишь "посредником" для обмена публичными ключами.
Ключи для зашифрованных резервных копий: Если вы включили сквозное шифрование для резервных копий WhatsApp (на Google Диске или iCloud), то:
Сама резервная копия зашифрована на вашем устройстве перед отправкой в облако.
Ключ шифрования для этой резервной копии либо сохраняется вами (64-значный ключ), либо защищается паролем, который вы создаете. В последнем случае, WhatsApp использует Backup Key Vault, который защищен HSM (аппаратными модулями безопасности) для безопасного хранения вашего пароля, который затем используется для получения ключа шифрования для дешифрования резервной копии. Важно: сам ключ шифрования для резервной копии не хранится в открытом виде у WhatsApp или Google.
Краткое резюме
Сертификаты TLS/SSL для серверов WhatsApp: Хранятся на серверах WhatsApp (публичная часть) и проверяются приложением клиента с использованием доверенных корневых сертификатов, встроенных в операционную систему вашего устройства. Возможно, также используются встроенные в приложение "прикрепленные" публичные ключи (certificate pinning).
Ключи сквозного шифрования (приватные): Хранятся исключительно на вашем устройстве и никогда не покидают его.
Ключи для зашифрованных резервных копий: Могут быть сохранены вами вручную или защищены паролем, который проверяется через защищенное хранилище WhatsApp (Backup Key Vault), чтобы получить доступ к самому ключу, который также генерируется на вашем устройстве.