WhatsApp unterstützt nun Ende-zu-Ende-Verschlüsselung

3. März 2016 Kategorie: Backup & Security, Social Network, geschrieben von: caschy

Artikel-WhatsApp-LogoNeues bei WhatsApp. Nicht lange ist es her, da wurde die Größe des Gruppenchats auf maximal 256 Teilnehmer erweitert. Die gestern in der Betaversion verteilte Funktion für Gruppen ist allerdings um einiges interessanter und erwähnenswert: Gruppenchats sind nun Ende-zu-Ende-verschlüsselt, sofern die im Gruppenchat vorhandenen Teilnehmer ebenfalls die unterstützte WhatsApp-Version einsetzen. Es funktioniert also momentan nicht von WhatsApp-Beta unter Android zu iOS oder von Android-Beta zu Nicht-Beta. Alle Teilnehmer müssen derzeit offenbar die WhatsApp-Beta einsetzen, die man über den Play Store bekommen kann, zudem muss die Änderung serverseitig freigeschaltet sein. Haben alle Teilnehmer die Version, die die Ende-zu-Ende-Verschlüsselung unterstützt, so wird dies im Chat visualisiert, wie man anhand des Screenshots unseres Lesers AragurLP sehen kann.

wa e2e



Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22143 Artikel geschrieben.

28 Kommentare

Steffen 3. März 2016 um 18:50 Uhr

Die E-t-E Funktion gilt aber nur für Gruppenchats?

Joe 3. März 2016 um 18:52 Uhr

Ein ganz netter Schritt. Da die Metadaten allerdings weiterhin bei WhatsApp / Facebook landen, leider auch nur ein begrenzter Gewinn. Immerhin.

Robert 3. März 2016 um 18:55 Uhr

@Steffen nein, Android-zu-Android Chats sind schon eine Weile Ende-zu-Ende verschlüsselt. Wobei das relativ einfach auszuhebeln ist und WhatsApp das jederzeit ausschalten kann…

Timo 3. März 2016 um 19:09 Uhr

@Joe: Bist scheinbar ein WhatsApp-Insider 😀

Lukas 3. März 2016 um 19:14 Uhr

@Robert: Was meinst du mit „einfach auszuhebeln“? Beziehst du dich da auf die Verschlüsselungstechnik von WhatsApp im Speziellen, oder auf E2E-Verschlüsselung auf Smartphones im Allgemeinen?

Dominik 3. März 2016 um 19:18 Uhr

Da alle Gruppen weiterhin über die Whatsappserver laufen und scheinbar nur die Nachrichtentexte verschlüsselt sind wird WA vermutlich trotzdem wissen und auswerten wer wann mit wem geschrieben hat.

Und Metadaten sind ja auch Gold wert 😉

David Flynt 3. März 2016 um 19:23 Uhr

Seid wann kann man Dokumente in iOS senden? Schon länger oder neu?

Herr Hauser 3. März 2016 um 19:28 Uhr

@ Dominik

Internet abschaffen und komplett analog leben. Dann braucht man auch keine Angst vor dem eigenen Schatten haben. 😉

Dominik 3. März 2016 um 19:34 Uhr

@Herr Hauser

Gibt nich nur Schwarz oder Weiss 😉

dennSieWissenNichtWasSieTun 3. März 2016 um 20:02 Uhr

@Herr Hauser
Oder Internet weiternutzen, nur bewusst, es gibt ja prima Alternativen.
Entscheiden Sie sich beim Autokauf auch für das Model ohne Anschnallgurt? Und empfehlen denjenigen, die sich für die Alternative mit Anschnallgurt entscheiden auch, lieber ganz aufs Autofahren zu verzichten?

Tobby 3. März 2016 um 20:10 Uhr

„…zudem muss die Änderung serverseitig freigeschaltet sein….“

Warum?

Doch wohl nur, damit die Entschlüsselungscodes WhatsApp (also Facebook, FBI, CIA) auch gleichzeitig vorliegen!

Pseudo End-2-End-Verschlüsselung

oder besser gesagt

End – 2 – Geheimdienst – 2 End-User-Verarsche!

info 3. März 2016 um 21:49 Uhr

Im Umkehrschluss heißt das, dass bisher alle Gruppenchats unverschlüsselt auf den Servern von WA/Facebook zwischengespeichert wurden!

Hat auch nur ein Nutzer in der Gruppe ein iPhone, werden die Nachrichten auch weiterhin unverschlüsselt auf deren Server zwischengespeichert.

Ich hoffe für die Nutzer WA kann sich ausreichend vor Angriffen von Geheimdiensten usw. auf ihre Infrastruktur schützen, bei 1.000.000.000 aktive Nutzern, ist das auch bitter notwendig.

icancompute 3. März 2016 um 22:24 Uhr

Wäre jetzt auch meine Frage, wie die Verschlüsselung etwaigen Hacking- und Knackversuchen standhält.
Die Verschlüsselung soll zwar vorhanden sein, aber weit her soll es damit ja nicht sein. Bin da nicht auf dem Laufenden, aber meine, heise hätte da mal was getestet und probiert und letztlich nicht alle Zweifel an der Verschlüsselung ausräumen können. Nur unter bestimmten Bedingungen, bis zu einem gewissen Punkt in der Nachrichtenkette etc.

Hatte mir vor einigen Wochen WA zwecks Planung eines Junggesellenabschieds installiert, da ich der einzige JGA Teilnehmer ohne WA war und immer erst recht spät über die Entwicklung informiert wurde. Jetzt im Nachgang wird die Gruppe noch für die ein oder andere Planung zur Hochzeit genutzt. Danach soll WA wieder runter vom Handy. Es sei denn, die Verschlüsselung ist langsam mal glaubwürdig und aktuellem Stand nach hieb und stichfest. Dann kann ich mich auch dazu überwinden, den Messenger weiter zu nutzen.

Massimo Biundo 3. März 2016 um 22:29 Uhr

Ich hoffe das gilt aber nur für Gruppenchats?

therealmarv (@therealmarv) 3. März 2016 um 22:54 Uhr

Interessante Aluhut Kommentare hier… WhatsApp speichert Nachrichten auf ihren Servern nur so lange man offline ist. Quelle: https://www.whatsapp.com/faq/en/general/21197296 & https://youtu.be/TneLO5TdW_M?t=31m11s
Bzgl. Datensicherheit bei Gruppenchats sollten sich Telegramnutzer viel mehr und richtige Sorgen machen. Telegram ist ein Cloudservice der alle Gruppenchats auf deren Servern für immer speichert! Die interne Verschlüsselung von Gruppenchats wird durch Keys in unterschiedlichen Jurisdiktionen gesichert https://telegram.org/privacy#cloud-chats
D.h. wenn so ein Key doch mal irgendwie abhanden kommt ist euer gesamter Gruppenchat einsehbar… da ist schon ein bisschen als WhatsApp heutzutage sogar ohne End2End.

drudsta 3. März 2016 um 23:33 Uhr

WA zu benutzen zeugt von fehlender Medienkompetenz. Sorry, Leute…

zeromg 4. März 2016 um 08:09 Uhr

Kann man die Artikel nicht kennzeichnen mit „BETA, iOS only, Android only“ ? Der Titel des Artikels hat mich zu früh hoffen lassen. Schade

niemand 4. März 2016 um 08:32 Uhr

@therealmarv
Ich würde vorsichtig damit sein, Leute als Aluhüte zu bezeichnen, die die Sicherheit ihrer Nachrichten bei einem NSA-Kooperationspartner anzweifeln. Kann schon sein, dass WhatsApp die Nachrichten nach der Zustellung von ihren Servern löscht, aber die NSA wird das nicht interessieren, wenn sie schon eine Sicherungskopie auf ihren Servern hat.

Wer ernsthaft glaubt, dass die NSA bei einem Internetdienst mit über 1 Mrd. Benutzer nicht ihre Finger im Spiel hat, der hat den Schuss noch nicht gehört.

Jan 4. März 2016 um 09:41 Uhr

Jetzt geht das alte Thema mit dem abhören durch die NSA wieder los. Natürlich werden wir über und zu jeder Zeit überwacht und abgehört. Wer das nicht will sollte seinen Namen tanzen und klatschen. Es wird nicht besser, nur anders 😉

Fraggle 4. März 2016 um 09:50 Uhr

Ach Jan, nur weil es so ist, sollte man es nicht kritisieren? Sollen wir z.B nicht aufstehen, wenn unsere Politiker anfangen die Demokratie ganz abzuschaffen mit den Worten, der Bürger weiß es eh nicht besser? Seltsame Logik, daß etwas auf einmal ok ist, nur weil es alle machen. Das erinnert mich an etwa, was man eigentlich nicht anführt, weil es Diskussionen beendet, aber es muß dennoch sein: Man wirft heutzutage den Menschen zwischen 33-45 vor nichts getan zu haben, als es noch ging (vor den Massenmorden), aber selber bekommt man den Arsch nicht hoch, obwohl man heutzutage nicht einmal deswegen um sein Leben fürchten muß.

saujung 4. März 2016 um 10:01 Uhr

@icancompute
Der Test in der CT ist veraltet. Whatsapp setzt das OpenWhisper-System ein, und das ist zunächsteinmal als sicher anzusehen. Aber:
– im Moment nur von Android zu Android, andere System sind außen vor, bzw. sobald man mit ihnen in Kontakt tritt, wird quasi im Klartext übertragen
– Gruppenchats sind offen (da scheint sich in der Beta ja gerade etwas zu tun)
– Vollkommen untransparent, ohne Netzwerk-Schnüffeltool sieht man nicht, ob man verschlüsselt überträgt, oder nicht. Keine Möglichkeit, die Schlüssel zu verifizieren, die werden nichteinmal angezeigt. Das ganze führt dazu, dass die Verschlüsselung zum größten Teil nutzlos ist. Der Screenshot zeigt auch diesbezüglich einen Schritt in die richtige Richtung.
– Closed Source, kein Mensch weiß, ob die Schlüssel nicht sicherheitshalber doch auf dem Server gespeichert werden. Es gibt Experimente, die das nahe legen…
– Whatsapp kann sicherheitshalber die E2E-Verschlüsselung vom Server aus ausschalten. Wenn der Client dann den Chat rot darstellen würde, mit der Sicherhietswarnung, dass die Verschlüsselung im Moment ausgeschaltet ist, wäre das nicht so wild, so wird es aber nicht gemacht sein, siehe fehlende Transparenz.

Wie drudsta schon schrieb: eigentlich sollte man es nicht nutzen…

Wolfgang 4. März 2016 um 11:13 Uhr

@Fraggle

Das ist ja lustig. In dem Text heisst es:

Smartphone als Wanze

Mit den eingeräumten Rechten kann der Trojaner das Smartphone in eine Wanze verwandeln. Er kann unter anderem auf folgende Ressourcen zugreifen: Kamera, Mikrofon, GPS-Koordinaten, Speicherkarte, SMS, Adressbuch und Anrufliste. Ferner kann die Schad-App selbstständig SMS versenden, telefonieren und Daten ins Internet schicken. Es handelt sich bei der Android-Malware vermutlich um die funktionsreiche Spionage-Software OmniRat-A….

Alles Rechte die Whatsapp auch benötigt, oder? Nur dass es kein Trojaner ist wenn man es freiwillig installiert.

drudsta 4. März 2016 um 11:44 Uhr

@Wolfgang
Doch ist es. Und zwar der perfekte Trojaner. 😉

Maximilian 4. März 2016 um 12:30 Uhr

Wie schnell wird die Funktion denn in der öffentlichen Version verfügbar sein?

saujung 4. März 2016 um 13:03 Uhr

@Maximilian
öffentlich ist auch die Beta…

xmpp-user 4. März 2016 um 18:07 Uhr

Ich habe mehr Angst davor das sich Facebook mit Hilfe von WhatsApp gerade anschickt die gesammte elektronische Kommunikation zu kontrollieren.
Und ihr unterstützt dieses Monopol

Aus diesem Grund habe ich mich dazu entschieden genau das nicht zu tun.

Auch wenn mir klar ist das ich den Siegeszug nicht aufhalten kann, setze ich einen FOSS Messenger der mit offenen Standards wie PGP und XMPP punktet.

Dadurch das http://www.kontalk.org auf die offenen Standards setzt besteht jederzeit die Möglichkeit einen eigenen Client (auch von Unternehmen) zu entwickeln.

Bei Mail hat sich das durchaus bewährt.
Stellt euch mal vor wir müssten alle Gmail nutzen und hätten keine Wahlmöglichkeit.

anonym 5. März 2016 um 09:21 Uhr

Reine Symbolpolitik, die den Nutzer in völlig falsche Sicherheit wiegen. Die Argumente, die dieses Feature als in der Praxis für den Nutzer wertlos erscheinen lassen, wurden in den Kommentaren schon gebracht (Closed Source, Intransparenz, Metadaten, keine Kontrolle über Schlüssel, etc.).


Es kann bis zu 5 Minuten dauern, bis dein Kommentar erscheint.



Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.