WhatsApp mit Ende-zu-Ende-Verschlüsselung
von caschy | 55 Kommentare
Es gibt Neuigkeiten zu WhatsApp. Die werden nach eigenen Aussagen alle Nachrichten (Sprache und Text) sowie eure Bilder und Videos standardmäßig Ende-zu-Ende verschlüsseln. Die Verschlüsselung soll dabei Plattform-übergreifend ablaufen, wie man heute verkündete. Die neu gestalteten Informationsseiten des zu Facebook gehörenden Messengers sind mittlerweile auch in deutscher Sprache verfügbar. Auf ihnen heißt es beispielsweise:
Einige deiner persönlichsten Momente werden über WhatsApp geteilt, was der Grund ist, warum wir Ende-zu-Ende-Verschlüsselung in die neuesten Versionen unserer App eingebaut haben. Wenn deine Nachrichten, Fotos, Videos, Sprachnachrichten, Dokumente und Anrufe Ende-zu-Ende verschlüsselt sind, sind sie davor geschützt, in die falschen Hände zu fallen.
WhatsApps Ende-zu-Ende-Verschlüsselung ist verfügbar, wenn sowohl du, als auch die Personen, denen du Nachrichten sendest, die neueste Version unserer App verwenden.
[/color-box]Zum Thema: WhatsApp – das bedeuten die Sicherheitsnummern
WhatsApp erlaubt die Überprüfung der Verschlüsselung, ein Symbol innerhalb der Kontaktinfo oder der Gruppeninfo visualisiert den Umstand. Seitens WhatsApp hat man auch das passende Whitepaper in englischer Sprache veröffentlicht, welches technische Informationen bereithält. Schaut auch ruhig in „Einstellungen > Account > Sicherheit“, hier lassen sich Sicherheits-Benachrichtigungen dahingehend justieren, dass sie angezeigt werden.
Wird geladen ...
Das ist zwar jetzt gegen den Kommentarstorm, aber für mich ist Threema aber ab heute raus. Die waren die ersten, die Verschlüsselung für Messenger einfach andwendbar angeboten haben, aber die Entwicklung war einfach zu schleppend. Immer noch kein Support für die Applewatch, es gibt keine Nachrichtenvorschau und keinen Multidevice Support. Noch nicht mal die Möglichkeit die App am Rechner zu nutzen. Threema ist ebenfalls closed Source und Whisper Systems ist ein durchaus vertrauenswürdiges Unternehmen. Wenn ich weniger Nutzer in Zukunft in Kauf nehme, dann will ich auch mit Soße und scharf. Also mindestens ein Browserplugin, am besten Opensource. Signal ist OpenSource und Wire kann, was Skype kann und das mit Verschlüsselung. Threema ist für mich eine tote Brückentechnologie.
@dns13 und @Christian Brüggemann
Der DH ist aber anfällig für Man-in-the-Middle. Wobei ich eigentlich schon zu kompliziert denke. Whatsapp kann das Passwort ja auch einfach vom Endgerät anfordern. Wozu sind sie denn die Entwickler.
Bei mir läuft es wie bei Andreas. Bei allen Kontakten wird mir angezeigt das diese aktualisieren müssen. Meine Freundin z.B. hat bei einem Chat mit mir und auch in Gruppenchats in denen ich bin die Anzeige das es verschlüsselt ist. Da scheint noch etwas nicht zu passen. Insbesondere finde ich ärgerlich das angezeigt wird das verschlüsselt wird obwohl dem nicht so ist.
Na mal auf die ersten Updates warten.
Wie ist das eigentlich bei Videos. Whatsapp sagt ja, dass die nun auch verschlüsselt übertragen werden. Hat Whatsapp jetzt also die eigenen Cache-Server abgeschaltet?! Bisher war das nämlich immer so, dass wenn Videos hochgeladen werden, die bereits viele geteilt haben, dass die dann nicht noch mal hochgeladen wurden. Auch wenn man Bilder teilt, gab es ja keinen zusätzlichen Upload. Müssten die jetzt nicht jedes mal neu hochgeladen werden, weil ja erst verschlüsselt werden muss und jede Chat-Verbindung einen eigenen Schlüssel nutzt?
Die meisten scheinen ja gigantische Verschwörungstheorien zu verschicken, dass darum so ein Gedöns gemacht wird. Sollen sie doch lesen, dass ich meine Frau liebe, wer wirklich sensible Dinge über WhatsApp verschickt, dem ist nicht mehr zu helfen. Whatsapp könnte wesentlich innovativer gestaltet werden als mit einer Verschlüsselung, die es bei Threema oder Telegram schon ewig gibt.
@Christian Brüggemann, @marcgutt: DH ist doch in dieser Konstellation überhaupt nicht notwendig? Und warum muss ich den Public Key scannen? Ich könnte ihn auch einfach via Whatsapp an meine Kontakte weiterleiten …
Meine Güte, wenn man hier die Kommentare liest, dann glaubt man direkt im Vorschulkindergarten zu sein. Wildeste Spekulationen über die Funktionsweise, niemand scheint Verschlüsselung auf Public/Secret Key Basis zu kennen, fast niemand versteht den Sinn die Identität des Chatpartners zu überprüfen etc.
Dabei ist in der News sogar direkt das „Erklär-pdf“ aka Whitw Paper mit ausführlicher Erläuterung der Funktionsweise verlinkt….
Schwach..
Iphone 6splus und iphone5s (jeweils neuestes IOS und aktuellste WAVersion) ..
Bei 5s wird angezeigt Verschlüsselung aktiv,, beim neuesten Flaggschiff von Apple.. Fehlanzeige!! Neustart der Geräte hat nichts gebracht. Funktioniert ja BESTENS Herr Zuckerberg..
@marcgutt: Ja, dass DH für MITM anfällig ist hatte ich in meinem Kommentar auch erklärt 😉
Klar, WhatsApp kann den Schlüssel theoretisch auch erhalten, ich glaube aber nicht, dass Facebook diesen Vertrauensbruch begehen würde. Ohnehin könnte man das theoretisch auch bemerken, wenn man die Kommunikation von WhatsApp überwacht.
@eltomato: Ah stimmt, DH wäre für symmetrische Verschlüsselung geeignet. Wenn hier asymmetrische Public/Private-Key zum Einsatz kommt, wird DH natürlich nicht benötigt. Wenn du deinen Key über WhatsApp weiterleitest, bestätigst du damit aber nichts. Szenario:
eltomato Eve (Angreifer) Alice (Dein Partner)
WhatsApp verschickt hinter den Kulissen deinen Public Key A an Alice, die künftig damit alle Nachrichten verschlüsseln soll. Eve sieht den Schlüssel A und speichert ihn ab. Eve versendet ihren Schlüssel B an Alice, Alice denkt es sei dein Schlüssel und verschlüsselt künftig ihre Nachrichten damit. Eve erhält eine Nachricht von Alice, entschlüsselt sie mit ihrem Private Key und verschlüsselt sie mit Schlüssel A, den du ihr geschickt hast.
Nun schickst du deinen QR-Code, also deinen Public Key an Alice.
Eve erhält deinen Public Key, erkennt ihn, ersetzt ihn wieder durch ihren und leitet das an Alice weiter. Alice sieht den Public Key, der mit dem übereinstimmt, den WhatsApp intern erhalten hat. Alice ist nun noch überzeugter, dass sie deinen Public Key hat, obwohl sie ja eigentlich den Public Key von Eve hat 😉 Deswegen muss die QR-Code Bestätigung unbedingt auf einem Kanal erfolgen, der bereits vollständig gesichert ist. Am besten geht das natürlich, wenn man sich real trifft.
@torsten @chris.. merci
Favoriten aktualisieren (WA öffnen/Favoriten/nach unten ziehen zum aktualisieren) ist die Lösung. Irre, ist aber die Lösung im Falle der Nicht Verschlüsselung wenn es eigentlich gehen sollte und alle Parameter (gleiche Version) stimmen,
@cbruegg Schön erklärt. Besser hätte ich es auch nicht gekonnt ☺
Ein Bild sagt alles: http://dropcanvas.com/ay581/1
@Name Das Bild sagt in erster Linie, von wem es stammt. Das relevante Kriterium, ob ein Dienst anonym genutzt werden kann (bei Threema ist dies der Fall), ist z.B. unterschlagen worden.
@Christian Brüggemann dazu müssten sich aber beide teilnehmer im selben (angreifbaren) Netz befinden oder der Angreifer komprimiert die whatsapp server. Möglich wäre auch ein zusätzliches pinning der keys (bspw. Über den qr code)
Scannen muss man ja nicht, man kann die Nr vergleichen. Verschlüsselt sind all diejenigen, die die aktuellste Version haben. Kann man sehen, wenn man sich von irgendwem den Kontakt anzeigen lässt. Da ist rechts vom Text ein Schloss. Entweder isses geschlossen oder offen – offen heißt: Nicht verschlüsselt, der Kontakt sollte Whatsapp aktualisieren.
Wer weiß, wie man den Hinweis zur Verschlüsselung von Whatsapp wieder aus dem jeweiligen Chat löscht? Klappt jedenfalls nicht wie bei den normalen Nachrichten.