WhatsApp: Verschlüsselung ja, geheime Kommunikation nein
Die Einführung der Ende-zu-Ende-Verschlüsselung in WhatsApp schlug bereits große Wellen. Rund eine Milliarde Nutzer, die nur ihren Messenger updaten müssen, um künftig geschützt vor den Augen anderer kommunizieren zu können. Wie so oft, hat die Medaille allerdings zwei Seiten, denn auch wenn die Nachrichten an sich verschlüsselt sind, sind weiterhin zahlreiche Meta-Daten zu den Nachrichten verfügbar. Nicht verschlüsselt sind zum Beispiel Datum, Zeit und Nummer einer Nachricht. Es kann also weiterhin festgestellt werden, wann Ihr mit wem kommuniziert habt, lediglich das was bleibt durch die Verschlüsselung unklar.
WhatsApp macht daraus aber kein Geheimnis, erwähnt dies in den AGB folgendermaßen:
[color-box color=“gray“ rounded=“1″]Notwithstanding the above, WhatsApp may retain date and time stamp information associated with successfully delivered messages and the mobile phone numbers involved in the messages, as well as any other information which WhatsApp is legally compelled to collect.[/color-box]WhatsApp teilt in den AGB auch mit, wann diese Daten herausgegeben werden:
[color-box color=“gray“ rounded=“1″]We may collect and release Personally Identifiable Information and/or non-personally-identifiable information if required to do so by law, or in the good-faith belief that such action is necessary to comply with state and federal laws (such as U.S. Copyright Law), international law or respond to a court order, subpoena, or search warrant or equivalent, or where in our reasonable belief, an individual’s physical safety may be at risk or threatened.[/color-box]Das soll auch keine Kritik an WhatsApp sein, viel mehr ein Hinweis an die Nutzer, dass eben nicht alles verschlüsselt ist und man sich nicht in falscher Sicherheit wiegen sollte. Die Inhalte sind ja trotzdem nicht einsehbar, das dürfte einem Großteil der Nutzer schon genügen. Falls man sich überhaupt Gedanken über die Verschlüsselung macht. Das tun bekanntlich die wenigsten.
Was bringt das Einscannen des QR Codes des Gegenübers?
Sicherstellen, dass der Kontakt die Nummer ist, von der man den QR Code einscannt?
Ich behaupte einfach mal, das es technisch gar nicht möglich ist, die Nachrichten komplett (= inklusive aller Metadaten) zu verschlüsseln. Irgendwie muss WhatsApp ja wissen, zu wem die Nachricht soll. Man wird höchstens daran arbeiten können so wenig Metadaten wie möglich unverschlüsselt zu lassen.
@Leonard:
Genau. Wenn z. B. ein Dritter versuchen würde, sich mit einer bestimmten Handynummer als jemand anderes auszugeben, würdest du das merken, weil dann die Meldung kommt, dass der Sicherheitscode nicht mit dem übereinstimmt, den du gescannt hast.
Das Gleiche passiert übrigens auch, wenn jemand ein neues Smartphone kauft und dort WhatsApp neu installiert. Dann bekommen die Kontakte ebenfalls so eine Warnung.
@Leonard: Du stellst damit sicher, dass dein Gegenüber den selben Schlüssel wie du verwendet.
Ich glaube, der Testnutzer im rechten Screenshot ist nicht ausreichend anonymisiert 😉
@Markus: Das ist die Verschlüsselungsvisualisierung. Steht ja schließlich dort, dass kein Dritter lesen kann. 😀
@Heiko:
Doch, geht. Sofern die Metadaten keiner realen Person einwandfrei zugeordnet werden können ist das Auftreten dieser kein Problem. Zwar ist der Ansatz von WA ein guter Anfang, aber besser macht es z.B. Threema. Bei WA wirst Du über die Telefonnummer identifziert und kannst daher auch über die Telefonabrechnung identifiziert werden.Bei Threema erfolgt die Zuordnung nur auf Wunsch über die Telefonnummer. Du kannst auch mit z.B. einem ICQ ähnlichem Code zugeordnet werden und die App anonym kaufen. Dann ist eine Zuordnung nicht mehr möglich und die Metadaten sind irrelevant.
@Heiko das stimmt nicht. Es gibt Software (nur am PC) die auch Metadaten verschlüsselt und versteckt. Ein prominenteres Beispiel ist die Software Vuvuzela https://github.com/davidlazar/vuvuzela
Wie steht es eigentlich mit Push-Nachrichten? Sind die auch Inhaltslos wie bei Threema, oder wird da aus Bequemlichkeitsgründen die Verschlüsselung augehebelt?
@mich Vielleicht mal das hier verfolgen http://security.stackexchange.com/q/119624 es gibt anscheinend einen Weg jetzt bei iOS (was früher nicht ging)
@mich
In den Einstellungen von WhatsApp kannst du unter „Mitteilungen“ auswählen, ob eine „Vorschau“ in den Push-Nachrichten angezeigt wird oder nicht.
Bei der Verschlüsselung geht es NUR um die Verschlüsselung des Inhaltes. Das ist dasselbe – entschuldigt diese „olle Kamelle“ – wie beim Brief: Niemand kommt auf die Idee, längeren Text auf einer Postkarte zu versenden, schon gar nicht Geschäfts- oder sonstige (geschäftliche oder private) Nachrichten. Der Briefumschlag in Verbindung mit dem Brief-/Postgeheimnis (Juristerei – bitte nicht totschlagen, wenn ich nicht die korrekten Begriffe verwende) ist die Verschlüsselung. Diejenigen, durch deren Hände der Brief geht, können nicht ohne Weiteres den Inhalt lesen – es sei denn, Sie brechen das Briefgeheimnis mutwillig/vorsätzlich (strafbar) oder sind dazu beauftragt (von staatswegen – Geheimdienste etc.). Adressen unterliegen nicht dem Postgeheimnis (siehe Telefonbuch) – logischerweise, denn wie soll der Briefträger denn den Brief korrekt zustellen… Das Ganze ist doch nichts Neues! Auch ein Brief kostet etwas Mühe UND Spucke! Übrigens wäre STARTMAIL.COM eine – allerdings kostenpflichtige – Lösung für diejenigen, die mit der GnuPG-Verschlüsselung via Thunderbird/Enigmail/GPG4Win nicht klar kommen. Die ganze Diskussion um Verschlüsselung der Adressdaten („Metadaten“?) führt nicht zum Ziel und dient mehr zur Entschuldigung für die eigene Faulheit.
Ich nutze seit Jahren Signal (Textsecure). Nun stellt sich mir die Frage, ob ich WhatsApp parallel nutzen soll. Dazu meine Überlegungen und Fragen:
1) Wenn ich keine Metadaten herausgeben will, dürfte ich ein Smartphone überhaupt nicht nutzen. Der Provider, Google oder Apple etc. erhalten sie auch.
2) Ich habe gelesen, dass WhatsApp den Inhalt einer Nachricht bereits einsehen kann, wen er eingetippt wird, also noch unverschlüsselt ist. Aber WhatsApp ist closed sourcer, woher soll man es dann wissen? Wie wahrscheinlich ist das?
3) Übermittelt WhatsApp die Kontakte noch ungefragt oder kann man das bei der Installation abschalten?
Kurz und Knapp: Whatsapp gehört zu Facebook! Was soll da eine fahdenscheinige Verschlüsselung nützen?
Da würde ich eher Threema trauen als dieser Datenkrake vom „Gesichtsbuch“.
Aber….wer wirklich sensible Daten hat nimmt wohl nicht den Weg über einen Messenger – oder?!
Threema und nichts als Threema!
Allein schon, dass die Verschlüsselungsanforderung über den WA-Server läuft ist ein deutlicher Hinweis, das hier was faul ist! Vorgegaukelte Verschlüsselung für die Unt*rschicht!
wenn du Angst vor Closed Source hast solltest du WhatsApp nie benutzen. Es kann sich jederzeit was ändern. Kontakte werden immer noch komplett übertragen weil WhatsApp sonst nicht funktioniert. Und das mit den Metadaten hast du recht. Jedes Smartphone (und auch normale Telefon) schickt so schon genug raus.
Das verifizieren mit dem qr Code ist ja dumm, kein bleibendes Merkmal wie bei Threema, somit recht sinnlos.
@Fraggle
Metadaten können nahezu immer einer Person zugeordnet werden. Auch bei Threema. Ob da jetzt die Telefonnummer dahinter steht oder nicht ist völlig irrelevant. Die Nachricht geht an eine IP und für die lässt sich die Person ermitteln, die sie genutzt hat. Der einzige Weg das zu vermeiden sind öffentliche WLANs. Aber das wird für 99% der Nutzer keine Lösung sein…
Und selbst bei Nutzung von öffentlichen WLANs lässt sich durch die kontinuierliche Betrachtung ein Bewegungsprofil erstellen, über das auch eine Identifizierung möglich ist.
Egal ob Threema, Whatsapp oder andere Messenger: Bei keinem können Versender oder Empfänger einer Nachricht verschleiert werden.
@grandpa
Ich bin mir zu hundert Prozent sicher, die geistige(?) Oberschicht nimmt nur Threema und Co.
@Erhardt
Oh ja, wir wissen es ja jetzt mittlerweile, du musst dich also nicht ständig wiederholen.
1 Milliarde WhatsApp-Nutzer und alles Unterschicht.