WhatsApp Ende-zu-Ende-Verschlüsselung: Das bedeuten die Sicherheitsnummern
von caschy | 54 Kommentare
Der zu Facebook gehörende Messenger WhatsApp hat Plattform-übergreifend mobil Ende-zu-Ende-Verschlüsselung angekündigt. Wie das Ganze funktioniert und aussieht, beschrieb ich bereits in diesem Beitrag und auch Open Whisper Systems hat einen Beitrag online. Standardmäßig sind alle Chats- und Gruppengespräche mit den Inhalten verschlüsselt und ein Infofeld weist auf die Verschlüsselung hin. Doch was hat es eigentlich mit den Sicherheitsnummern auf sich, die ein wenig an Threema erinnern?
Im Falle von WhatsApp wird nun Ende-zu-Ende verschlüsselt, der Umstand im Chat auch visualisiert. Bedeutet, dass die Gespräche verschlüsselt sind, von Gerät zu Gerät. Einmalige Nummer. Nun könnte euch jemand die SIM klauen und sich im Chat mit anderen als ihr ausgeben. Das funktioniert zwar, also ein Chat ist weiterhin möglich, doch die alten Inhalte sind nicht ersichtlich, ferner kann jeder Nutzer einstellen, dass er informiert wird, wenn sich die Sicherheitsnummer des Chats geändert hat. Sieht dann so aus:
Jeder Chat hat eine Sicherheitsnummer, die sich der Nutzer anzeigen lassen kann, wenn er das gelbe Infofenster anklickt. Er kann auch die Nummer mit seinem Chatpartner teilen, abgleichen oder dessen Code scannen. Im Falle eines Angreifers, der eure SIM (und somit eure Nummer für WhatsApp hat), sieht das wie folgt aus. Er kann WhatsApp installieren und auch mit eurer Nummer verifizieren.
In diesem Moment wird eure alte Instanz gekappt und die neue aktiviert. Aufgrund eines neuen Gerätes ändert sich auch die Sicherheitsnummer des Chats. Über eine geänderte Nummer kann man sich im Chat so informieren lassen: Einstellungen > Account > Sicherheit > Sicherheits-Benachrichtigungen anzeigen.
In dem Fall – den man natürlich keinen wünscht – ist sofort ersichtlich, wenn sich ein nicht verifizierter Mensch mit der Nummer eines Freundes in einen Chat einklinkt und sich so vielleicht an euch heranwanzen will.
Man sollte bedenken, dass die jetzt mobil übergreifende Verschlüsselung noch nicht bei allen angekommen ist – ältere Clients werden da noch Außen vor sein. Des Weiteren freue ich mich nun auf die Berichte und Erkenntnisse von Crypto-Experten, was denn letzten Endes an den vollmundigen Aussagen dran ist – und wo sich vielleicht noch Fallstricke verstecken.
Wird geladen ...
tolle Sache
Warum nicht gleich Threema verwenden? Das kann auch anonym, ohne Angabe von der Rufnummer genutzt werden, bei WhatsApp werden die Metadaten eh immer noch ausgewertet werden.
Wie jedesmal beim Thema Threema: Die Mehrheit nutzt einfach WhatsApp und es hat sich im Moment als Standard durchgesetzt.
@holga91 die Nutzer, die immernoch WA nutzen interessieren sich entweder einen Scheiß für Verschlüsselung oder können ihre Kontakte nicht zwingen, auf etwas ordentliches umzusteigen. Deswegen kann man jede Alternative anführen, sie werden nicht wechseln und lassen sich viel zu gerne von Facebook auswerten.
@holga91;
Weil WhatsApp eine Milliarde Nutzer hat und Threema nicht.
In Deutschland hat es doch eigentlich jeder, bis auf ein paar Nerds, die meinen ihre Gespräche seien so wertvoll, dass sie besonders gesichert sein müssen 😉
Und Backups auf Google Drive funktioniert weiterhin (auch für alte und übergreifende Chats)? Auch wenn man zwischenzeitlich mal das Smartphone zurücksetzt und WhatsApp neu installiert?
@Dominik sollte. Nachrichten werden ja bei dir entschlüsselt und höchstwahrscheinlich in der gleichen verschlüsselten Datenbank gesichert wie bisher…ich sehe keinen Grund, weshalb Backups nicht funktionieren sollten. Und da die Backups in DEINEM Drive-Konto liegen, musst du dich nur bei Drive mit deinem Konto anmelden und bei WA mit deiner Nummer, wie bisher.
@holga91
Threema hat ca. 5 Millionen Nutzer. Whatsapp hat eine Milliarde.
99% der Leute mit denen ich Kontakt habe, nutzen Whatsapp. Threema ca. 5%.
Die beste Kamera ist, die ich immer dabei habe (Smartphone)… und der beste Messenger ist der, den jeder nutzt.
Man sollte wenn man nachdenkt am besten keine Backups auf Google Drive machen denn damit speichert man ja seinen Chatverlauf wieder in der Cloud 😉
@therealmarv die Backups sollten Verschlüsselt stattfinden, der Schlüssel ist irgendwo auf deinem gerät
Und was passiert in dem (viel häufiger vorkommenden) Fall, dass ich WA mit derselben SIM auf einem neuen Smartphone installiere? Kann ich dann das Backup auch nicht mehr einspielen und alle Kontakte bekommen die Nachricht, dass meine SIM geklaut wurde?
Abgesehen davon ist das SIM-Klau-Szenario doch arg weit hergeholt. Ich kenne viele Leute, die keine Displaysperre auf dem Handy haben, so das jeder, der das Handy in die Hand bekommt, einfach los chatten kann. Aber SIMs ohne PIN? Die sind doch eher selten…
@HO 35% haben in Mathe eine 5. wie soviel sind wir doch gar nicht.
Welche Version brauche ich? Aktuell ist bei mir 2.12.556 installiert und angeblich muß jeder meiner Kontakte erst noch aktualisieren (das wird dort auch über mich gesagt).
Ich habe auch 2.12.556 installiert, und die Verschlüsselung ist aktiv.
@Anton
aktualisier mal deine Kontaktliste (bzw. dein Gegenüber), danach läufts
Es gibt noch SIMs mit PIN?
hab auf dem iphone 2.16.1 und bekomm die hinweise mit verschlüsselung nicht, meine bessere hälfte hat da schon die hinweise stehen, wo seh ich denn jetzt obs funktioniert oder nicht? neue version ist auch nicht im store verfügbar, mal prüfen was sie hat???
@Felix die Aussage von HO ist nicht falsch wenn man davon ausgeht, dass es User gibt die beides nutzen.
@buliwyf: deswegen hat Felix ja auch die 5 in Mathe 😉
ok, sie hat auch die gleiche version, es muss nicht die kontaktliste sondern die favoritenliste aktualisiert werden, also einfach auf favoritenliste gehen und von oben nach unten ziehen, er läd das kurz und schon ist beim kontakt auch das schloss blau und der hinweis kommt beim chat. danke!