WhatsApp mit Ende-zu-Ende-Verschlüsselung

Artikel-WhatsApp-LogoEs gibt Neuigkeiten zu WhatsApp. Die werden nach eigenen Aussagen alle Nachrichten (Sprache und Text) sowie eure Bilder und Videos standardmäßig  Ende-zu-Ende verschlüsseln. Die Verschlüsselung soll dabei Plattform-übergreifend ablaufen, wie man heute verkündete. Die neu gestalteten Informationsseiten des zu Facebook gehörenden Messengers sind mittlerweile auch in deutscher Sprache verfügbar. Auf ihnen heißt es beispielsweise:

whatsapp

Einige deiner persönlichsten Momente werden über WhatsApp geteilt, was der Grund ist, warum wir Ende-zu-Ende-Verschlüsselung in die neuesten Versionen unserer App eingebaut haben. Wenn deine Nachrichten, Fotos, Videos, Sprachnachrichten, Dokumente und Anrufe Ende-zu-Ende verschlüsselt sind, sind sie davor geschützt, in die falschen Hände zu fallen.

WhatsApps Ende-zu-Ende-Verschlüsselung ist verfügbar, wenn sowohl du, als auch die Personen, denen du Nachrichten sendest, die neueste Version unserer App verwenden.

Zum Thema: WhatsApp – das bedeuten die Sicherheitsnummern

WhatsApp erlaubt die Überprüfung der Verschlüsselung, ein Symbol innerhalb der Kontaktinfo oder der Gruppeninfo visualisiert den Umstand. Seitens WhatsApp hat man auch das passende Whitepaper in englischer Sprache veröffentlicht, welches technische Informationen bereithält. Schaut auch ruhig in „Einstellungen > Account > Sicherheit“, hier lassen sich Sicherheits-Benachrichtigungen dahingehend justieren, dass sie angezeigt werden.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

55 Kommentare

  1. Läuft bei mir. Auch für Gruppen.

  2. Ist das ernsthaft seit 2014 bei Whatsapp in Planung gewesen? Vom Pascal gabs damals fast identische News mit einer recht lustig gewordenen URL : http://stadt-bremerhaven.de/whatsapp-android-update-ende/

  3. Ziemliche Blöde Verdchlüsselung… Man muss erst einen Code von der anderen Person scannen und anders rum auch damit das funktioniert. Also ziemlicher Mist wenn die andere Person hunderte Kilometer entfernt Sitz…

  4. @Markus: Tja, Verschlüsselung ist eben kein Wunschkonzert, ein anderer Weg ist eben nicht bekannt.

  5. Lol aber immer auf threema Schimpfen.
    Code scannen rofl

  6. Bei mir ist in der Beta aus dem Playstore noch nichts davon zu sehen

  7. @Markus, jede andere Übertragungsmethode für Public Keys ist schlichtweg unsicher. bzw. müsste der Angreifer dort einiges mehr investieren als z.B. eine Man-in-the-Middle-Attacke oder ein von der NSA angezapftes Unterseekabel.

  8. Das Scannen des QR-Codes ist nicht nötig, um die Verschlüsselung zu nutzen, oder? So wie ich das verstanden habe ist es nur dafür da, um zu bestätigen, dass beide Enden die Verschlüsselung nutzen. Aber das wäre maximal unnötig. Was soll das sein?

  9. Selbst wenn alles weiter End-zu-End Verschlüsselt ist hält mich alles andere weiter davon ab
    – Gehört weiterhin zu Facebook und ist mittlereweile Kostenlos
    – Wurde für 19 mrd. gekauft. Wie rechnet sich das für FB wenn es kostenlos ist?
    – Die App hat weiterhin viel zu viele Berechtigungen
    – Trotzdem weiss Facebook wann ich mit wem schreibe und mit welchen Personen ich in Gruppen verweile
    – Allein am Onlinestatus, den Facebook sicherlich trackt, wird sich Facebook bereichern

    Daher be ich lieber bei Threema, habe eh alle dahin bekommen.

  10. Gerade auch bei mir freigeschaltet worden. In Gruppen wird auch von WhatsApp gepetzt, an wem es liegt, wenn die Verschlüsselung noch nicht möglich ist.

  11. Weitere Frage: Wie sieht das nun mit automatischen Backups aus? Wie wird sichergestellt, dass nur ich die Daten auf mein Gerät bekomme und kein anderer?

  12. Geil, läuft ja schon mal nicht. Auf iPhone der Frau wird in Kantaktinfo angezeigt, dass Chat verschlüsselt wäre. Auf meinem iPhone wird angezeigt, dass es NICHT verschlüsselt sei, da sie nicht die aktuelle WA-Version habe. Hat sie aber, auch ich, beide auch gleiche iOS-Version und beide iPhone 6. Scannen geht auch nicht und wird auch nicht erklärt in der App. FAIL, Facebook!

  13. @dominik da das Google Drive ist gar nicht… Faktisch derjenige der sich nach der Whatsappeinrichtung den Code der dir per SMS geschickt wird beschaffen kann…

    Würde mich nicht wundern wenn Facebook vergessen hat auch das Google Drive Backup zu verschlüsseln…

  14. Wunder gibt es immer wieder…

  15. Ich weiß ja nicht, aber wenn ich eine verschlüsselte Zip-Datei an einen Freund sende, dann bekommt er das nicht auf, solange er das Passwort nicht kennt. Also woher kennt nun bei Whatsapp der Empfänger mein Passwort um die Nachrichten zu entschlüsseln? Es kann nicht per Ende-zu-Ende Verschlüsselung übertragen worden sein. Also kennt es entweder Whatsapp oder eben jeder der gerade den Traffic überwacht. Natürlich ist Whatsapp ab dann sicher und verschlüsselt, aber wenn ich Whatsapp neu installiere, dann muss ja dieses Passwort neu abgerufen werden, und genau dieser Befehl ist dann die Schwachstelle im System.

  16. Dann ist es ja schon hinfällig.

    Sobald Facebook das Backup in die Finger fällt und es KEINEN zusätzlichen Schutz (Passwort) gibt wird es für Facebook (und die NSA) ein Kinderspiel sein das Backup einzulesen und den Code für die Rufnummerbestätigung kann Facebook dann ganz leicht aus der SMS-Datenbank entnehmen…

    Klasse ^^

  17. Hat jemand eine Ahnung wie das nun funktioniert? Muss mein Chatpartner diesen Code einscannen? Im Gruppenchat muss auch jeder meinen Code einscannen? Vielleicht kann mir jemand kurz darüber aufklären.

  18. http://futurezone.at/netzpolitik/legale-whatsapp-verwendung-ist-praktisch-unmoeglich/189.971.340
    Freue mich schon darauf Whatsapp-Nutzer zu verklagen und mir damit ein kleines Zubrot zu verdienen.

  19. Und nicht NUR mit den neusten Version!
    Ich benutze 2.16.9 und ein Kumpel noch 2.12.556 und auch kam die Meldung auch!

  20. @dominik

    – Gehört weiterhin zu Facebook
    …bisher hat facebook noch nichts böses getan. die machen bisher das gleiche wie google: mit zugeschnittener werbung geld verdienen.

    – Wurde für 19 mrd. gekauft. Wie rechnet sich das für FB wenn es kostenlos ist?
    …es wurde einfach ein bedrohlicher konkurrent aus dem weg geräumt. auch hätten die gerne snapchat gekauft. geld wird damit verdient, indem es kostenpflichtige firmen-accounts gibt und diese firmen so mit ihren kunden kommunizieren können.

    – Die App hat weiterhin viel zu viele Berechtigungen
    ..entziehe sie der app doch einfach. nur dann kannst du halt viele funktionen nicht mehr nutzen (bilder verschicken, standort verschicken, sprachnachrichten verschicken)

    – Trotzdem weiss Facebook wann ich mit wem schreibe und mit welchen Personen ich in Gruppen verweile
    …das ist bei der nutzung von facebook nicht anders.

    – Allein am Onlinestatus, den Facebook sicherlich trackt, wird sich Facebook bereichern
    …wie auch immer man sich daran bereichern soll.

    Daher be ich lieber bei Threema, habe eh alle dahin bekommen.
    ….ok.

  21. Den QR-code kann man vom Chatpartner senden lassen und den schickt man weiter oder lädt in die cloud, pc oder sonst was wo mann denn im Anschluß scannen kann.
    Hat bei threema damals funktioniert.

  22. @marcgutt dafür gibt es durchaus Möglichkeiten zum sicheren Schlüsselaustausch, siehe z.B. Diffie Hellman. Bei TLS im Browser funktioniert das z.B. auch

  23. @selim genau das führt die Bestätigung des Partners aber ab absurdum, dann kann man es gleich lassen (verschlüsselt ist es trotzdem, nur dein gesprächspartner nicht eindeutig Identifizierbar)

  24. @marcgutt: Die beiden App-Instanzen einigen sich auf einen Schlüssel. Das geht auch über einen öffentlichen Kanal, ohne dass jemand anderes danach den Schlüssel kennen kann, ohne sehr sehr viel Glück zu haben. Ein Beispielverfahren dafür ist der Diffie-Hellman-Schlüsselaustausch: https://de.wikipedia.org/wiki/Diffie-Hellman-Schl%C3%BCsselaustausch

    Das Problem dabei: Theoretisch kann das Verfahren durch einen Man-In-The-Middle-Angriff attackiert werden, das heißt jemand tut so als wäre er dein Gesprächspartner, leitet deine Nachrichten aber an den echten weiter. Der QR-Code ist nun dafür da, zu verifizieren, dass eben dies nicht geschehen ist und ihr euch tatsächlich auf den gleichen Schlüssel geeinigt habt.

    Das Thema Kryptographie ist für Laien leider ziemlich undurchschaubar.

    Quelle: Studiere Informatik im 6. Semester.

  25. @marcgutt eine private/public-Key Lösung wie bei E-Mail wäre auch denkbar. Wie das in genau umgesetzt ist hab ich mir nicht abgeschaut.

  26. Und einen Screenshot vom Code versende ich dann über einen unsicheren Weg an meine Freunde, wenn die weiter weg sind? 😀

    Funktioniert aber auch schon auf meinem Windows Phone.

  27. Wenn ich das richtig verstanden haben, das das QR-Code-Scannen optional. Die Verschlüsselung sollte auf jeden Fall funktionieren. Der QR-Code versichert dir, dass derjenige wirklich der ist, mit dem du kommuniziert (Authetifikation). Ohne QR-Code musst du halt Whatsapps vertrauen, dass sie den Kommunikationspartner per Mobilfunknummer authenifiziert haben. Zumindest ist es so bei Threema.

    Abgesehen von der E2E-Verschüsselung, die ich sehr begrüße, ist Whatsapp natürlich immer noch ein Privacy-Hölle (Online-Status, Adressbuch abfischen, …)

  28. wer denen noch glaubt ist selber schuld

  29. Peter Paul says:

    WhatsApp ist wohl eh nicht an den eigentlichen Nachrichten interessiert, sondern an den Metadaten. Es ist immer noch geboten, Threema oder einen anderen Messenger zu verwenden, der Privatsphäre respektiert (und z.B. nicht alle Kontakte-Daten aus dem Adressbuch auf dem Server speichert).

  30. Ende zu Ende Verschlüsselung und Facebook hat den Schlüssel, oder wie?
    Dass es sich hier um wirklich sichere Verschlüsselung handelt glaube ich denen nicht für 5 cent.

  31. @OxKing: laut Whitepaper liegt der Private Key nicht auf den Servern

  32. Hier hat sich doch wieder kaum jmd. das White Paper durchgelesen, reden aber trotzdem fleißig mit und verbreiten ihr Unwissen.

  33. Bin mir nicht sicher, ob ich den Text im Whitepaper nun richtig verstehe, aber man liest darin: „Encrypts metadata to hide it from unauthorized network observers. No information about the connecting user’s identity is revealed“

  34. Sebastian says:

    Hmm, es funktioniert leider nicht.
    Habe das iPhone meiner Frau, und mein iPhone hier liegen. Auf beiden Geräten erhalte ich jeweils die Mitteilung, dass die Version des Gegenübers veraltet sei und die Verschlüsselung deshalb nicht funktioniere.
    Welche Version wird denn benötigt, und wie bekommt man die?

  35. Das läuft wohl noch nicht ganz rund. Bei meinem iPhone 6s mit iOS 9.3.1 und neuester Whatsapp Version wird angezeigt, dass alles verschlüsselt ist. Bei meiner Freundin mit den gleichen Daten wird angezeigt, dass nichts verschlüsselt ist, weil ich Whatsapp aktualisieren soll. Komisch…

  36. OMG … Die Kommentare „Knaller“ dieses mal. Amusement like a Sir.

    Ich glaube man sollte man ein „End 2 End encryption for beginners“ posten 🙂

  37. an die, wo einer der beiden Partner die Meldung bekommt, dass die Version aktualisiert werden soll (und beide aktuelle Versionen benutzen): Kontaktliste aktualisieren

  38. @torsten…, thx
    Das war endlich mal die Antwort die ich gesucht habe.
    Einfach in Whats App auf Favoriten gehen die dann nach unten ziehen und Bingo schon geht’s….!

  39. Ich kriege keine Mitteilung zum aktualisieren bzw. Es steht das ich die aktuelle Version habeund es wird mir angezeigt das meine Partner aktualisieren müssen dabei kann mein GesprächsPartner mit anderen schön sicher kommunizieren… wieso?

  40. @thorsten: danke, das mit der kontaktliste aktualisieren hat auf meinem Nexus 5x geklappt. man findet es im reiter kontakte und dann oben auf die punkte und dann aktualisieren

  41. Das ist zwar jetzt gegen den Kommentarstorm, aber für mich ist Threema aber ab heute raus. Die waren die ersten, die Verschlüsselung für Messenger einfach andwendbar angeboten haben, aber die Entwicklung war einfach zu schleppend. Immer noch kein Support für die Applewatch, es gibt keine Nachrichtenvorschau und keinen Multidevice Support. Noch nicht mal die Möglichkeit die App am Rechner zu nutzen. Threema ist ebenfalls closed Source und Whisper Systems ist ein durchaus vertrauenswürdiges Unternehmen. Wenn ich weniger Nutzer in Zukunft in Kauf nehme, dann will ich auch mit Soße und scharf. Also mindestens ein Browserplugin, am besten Opensource. Signal ist OpenSource und Wire kann, was Skype kann und das mit Verschlüsselung. Threema ist für mich eine tote Brückentechnologie.

  42. @dns13 und @Christian Brüggemann
    Der DH ist aber anfällig für Man-in-the-Middle. Wobei ich eigentlich schon zu kompliziert denke. Whatsapp kann das Passwort ja auch einfach vom Endgerät anfordern. Wozu sind sie denn die Entwickler.

  43. Fleischpirat says:

    Bei mir läuft es wie bei Andreas. Bei allen Kontakten wird mir angezeigt das diese aktualisieren müssen. Meine Freundin z.B. hat bei einem Chat mit mir und auch in Gruppenchats in denen ich bin die Anzeige das es verschlüsselt ist. Da scheint noch etwas nicht zu passen. Insbesondere finde ich ärgerlich das angezeigt wird das verschlüsselt wird obwohl dem nicht so ist.
    Na mal auf die ersten Updates warten.

  44. Wie ist das eigentlich bei Videos. Whatsapp sagt ja, dass die nun auch verschlüsselt übertragen werden. Hat Whatsapp jetzt also die eigenen Cache-Server abgeschaltet?! Bisher war das nämlich immer so, dass wenn Videos hochgeladen werden, die bereits viele geteilt haben, dass die dann nicht noch mal hochgeladen wurden. Auch wenn man Bilder teilt, gab es ja keinen zusätzlichen Upload. Müssten die jetzt nicht jedes mal neu hochgeladen werden, weil ja erst verschlüsselt werden muss und jede Chat-Verbindung einen eigenen Schlüssel nutzt?

  45. Die meisten scheinen ja gigantische Verschwörungstheorien zu verschicken, dass darum so ein Gedöns gemacht wird. Sollen sie doch lesen, dass ich meine Frau liebe, wer wirklich sensible Dinge über WhatsApp verschickt, dem ist nicht mehr zu helfen. Whatsapp könnte wesentlich innovativer gestaltet werden als mit einer Verschlüsselung, die es bei Threema oder Telegram schon ewig gibt.

  46. @Christian Brüggemann, @marcgutt: DH ist doch in dieser Konstellation überhaupt nicht notwendig? Und warum muss ich den Public Key scannen? Ich könnte ihn auch einfach via Whatsapp an meine Kontakte weiterleiten …

  47. Meine Güte, wenn man hier die Kommentare liest, dann glaubt man direkt im Vorschulkindergarten zu sein. Wildeste Spekulationen über die Funktionsweise, niemand scheint Verschlüsselung auf Public/Secret Key Basis zu kennen, fast niemand versteht den Sinn die Identität des Chatpartners zu überprüfen etc.

    Dabei ist in der News sogar direkt das „Erklär-pdf“ aka Whitw Paper mit ausführlicher Erläuterung der Funktionsweise verlinkt….

  48. Schwach..
    Iphone 6splus und iphone5s (jeweils neuestes IOS und aktuellste WAVersion) ..
    Bei 5s wird angezeigt Verschlüsselung aktiv,, beim neuesten Flaggschiff von Apple.. Fehlanzeige!! Neustart der Geräte hat nichts gebracht. Funktioniert ja BESTENS Herr Zuckerberg..

  49. @marcgutt: Ja, dass DH für MITM anfällig ist hatte ich in meinem Kommentar auch erklärt 😉
    Klar, WhatsApp kann den Schlüssel theoretisch auch erhalten, ich glaube aber nicht, dass Facebook diesen Vertrauensbruch begehen würde. Ohnehin könnte man das theoretisch auch bemerken, wenn man die Kommunikation von WhatsApp überwacht.

    @eltomato: Ah stimmt, DH wäre für symmetrische Verschlüsselung geeignet. Wenn hier asymmetrische Public/Private-Key zum Einsatz kommt, wird DH natürlich nicht benötigt. Wenn du deinen Key über WhatsApp weiterleitest, bestätigst du damit aber nichts. Szenario:

    eltomato Eve (Angreifer) Alice (Dein Partner)

    WhatsApp verschickt hinter den Kulissen deinen Public Key A an Alice, die künftig damit alle Nachrichten verschlüsseln soll. Eve sieht den Schlüssel A und speichert ihn ab. Eve versendet ihren Schlüssel B an Alice, Alice denkt es sei dein Schlüssel und verschlüsselt künftig ihre Nachrichten damit. Eve erhält eine Nachricht von Alice, entschlüsselt sie mit ihrem Private Key und verschlüsselt sie mit Schlüssel A, den du ihr geschickt hast.

    Nun schickst du deinen QR-Code, also deinen Public Key an Alice.

    Eve erhält deinen Public Key, erkennt ihn, ersetzt ihn wieder durch ihren und leitet das an Alice weiter. Alice sieht den Public Key, der mit dem übereinstimmt, den WhatsApp intern erhalten hat. Alice ist nun noch überzeugter, dass sie deinen Public Key hat, obwohl sie ja eigentlich den Public Key von Eve hat 😉 Deswegen muss die QR-Code Bestätigung unbedingt auf einem Kanal erfolgen, der bereits vollständig gesichert ist. Am besten geht das natürlich, wenn man sich real trifft.

  50. @torsten @chris.. merci
    Favoriten aktualisieren (WA öffnen/Favoriten/nach unten ziehen zum aktualisieren) ist die Lösung. Irre, ist aber die Lösung im Falle der Nicht Verschlüsselung wenn es eigentlich gehen sollte und alle Parameter (gleiche Version) stimmen,

  51. Max Power says:

    @cbruegg Schön erklärt. Besser hätte ich es auch nicht gekonnt ☺

  52. @Name Das Bild sagt in erster Linie, von wem es stammt. Das relevante Kriterium, ob ein Dienst anonym genutzt werden kann (bei Threema ist dies der Fall), ist z.B. unterschlagen worden.

  53. Jens Köhler says:

    @Christian Brüggemann dazu müssten sich aber beide teilnehmer im selben (angreifbaren) Netz befinden oder der Angreifer komprimiert die whatsapp server. Möglich wäre auch ein zusätzliches pinning der keys (bspw. Über den qr code)

  54. Scannen muss man ja nicht, man kann die Nr vergleichen. Verschlüsselt sind all diejenigen, die die aktuellste Version haben. Kann man sehen, wenn man sich von irgendwem den Kontakt anzeigen lässt. Da ist rechts vom Text ein Schloss. Entweder isses geschlossen oder offen – offen heißt: Nicht verschlüsselt, der Kontakt sollte Whatsapp aktualisieren.

    Wer weiß, wie man den Hinweis zur Verschlüsselung von Whatsapp wieder aus dem jeweiligen Chat löscht? Klappt jedenfalls nicht wie bei den normalen Nachrichten.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.