Im Winter hatte WhatsApp Ende-zu-Ende-Verschlüsselung (E2E) eingeführt, ein elementares Sicherheits-Feature, wodurch im Idealfall nur Empfänger und Sender eine Nachricht im Klartext sehen können. Nun hat sich Heise die Transportwege einer WhatsApp-Nachricht mal genauer angesehen und kommt zu einem eher mittelerfreulichen Ergebnis.
Die gute Nachricht zuerst: Die versprochene Verschlüsselung, die auf dem zugekauften TextSecure basiert, funktioniert tatsächlich so wie beabsichtigt — zumindest, wenn die via Android verschickte Nachricht auf ein E2E-fähiges Gegenüber stößt.
Die schlechte: Im Verbund mit iOS scheint WhatsApp dies jedoch nicht zu tun. Darüber hinaus lässt sich nicht feststellen, ob z.B. Schlüssel nicht doch mal das Gerät verlassen. Und dass WhatsApp — vom Nutzer unbemerkt — jedem Client jederzeit signalisieren kann, auf Verschlüsselung zu verzichten, ist auch nicht unbedingt eine vertrauensbildende Maßnahme.
Heise kommentiert dazu:
Letzteres ist vielleicht sogar das größte Problem der Ende-zu-Ende-Verschlüsselung. Man weiß eigentlich nie wirklich sicher, ob sie tatsächlich zum Einsatz kommt. Denn weder beim Verschicken noch beim Empfang zeigt ein regulärer WhatsApp-Client an, ob die Nachricht E2E-verschlüsselt wurde. Auch unsere Labor-Tests belegen lediglich, dass das prinzipiell schon geschieht. Genug, um sich drauf zu verlassen, ist das leider nicht.
Ach, was? War doch im Vorfeld klar, dass das mit sehr großer Wahrscheinlichkeit nicht so funktioniert wie man denkt. Es ist Closed Source. Wer allen ernstes meint er könne seine Daten einem geschlossenen System anvertrauen, glaubt auch, dass Windows seine Privatsphäre achtet. Closed Source Verschlüsselung bringt nichts. Verschlüsselung in einer nicht-vertrauenswürdigen Systemumgebung (z.B. OS X, Windows, iOS) bringt nichts.
Quell-offene Programme, die in einer Quell-offenen Umgebung laufen nützen etwas. Alles andere ist nur Placebo. Zumal bei proprietären, zentralisierten Protokollen ja auch noch schön viele Metadaten anfallen, die von der Verschlüsselung überhaupt nicht abgedeckt sind.
http://nein-doch-ohhh.payer.cc/nein_doch_ohhh.mpg
Ihr habt da einen entscheidenden Fehler im Text – TextSecure ist von WhatsApp nicht gekauft worden, sondern die Macher von TextSecure (OpenWhisperSystems) haben das Protokoll, dass auch bei TextSecure eingesetzt wird (Axolotl) für WhatsApp in der Android Version von WhatsApp implementiert.
TextSecure gibt’s immer noch und ist grundsätzlich End2End verschlüsselt.
Danke für die Korrektur, ist geändert.
Verschlüsselung WhatsApp! Da mache ich mir nun überhaupt keinen Kopf. DeR alberne Kram der darüber versendet wird, erfordert nun wirklich keine Sicherheitsoptionen. Das müllt nur die Kapazitäten der NSA etc. zu.
Wer benutzt denn noch Whatsapp? Diese Facebook-Tochter dürfte etwa ähnlich viel Vertrauen genießen von Ronald Pofalla.
(Ich weiß: Leider noch immer viel zu viele, denen Bequemlichkeit wichtiger ist als Grundrechte, Privatsphäre, Schweigepflicht, Selbstbestimmung und andere Kleinigkeiten.
Probiert es mit diesem Tipp: Threema o.ä. kaufen. Bei Whatsapp wichtigen Kontakten schreiben, dass man sich aus Sicherheitsgründen von WA trennen muss und das Profil übermorgen gelöscht wird man sei stattdessen über Threema erreichbar, ein sichererer Messenger ohne Datenstaubsauger, der auch nur einmalig 1,80€ kostet. „Wir sehen uns dort.“ Dann neue Kontakte bei Threema aufploppen sehen.
Solange Sicherheit nur eine Option ist, interessiert sie nicht. Sobald man sie zur Bedingung macht, ziehen auch andere Nach. Falls es nicht klappt, schenkt euren wichtigen Kontakten den Messenger und gebt ihnen ein paar Tage Zeit.
Und dann: Beruhigt lachen, wenn Whatsapp schon wieder Negativschlagzeilen macht.)
wiederum open source, nachvollziehbar gebuildet und wird es auf einer sicheren Plattform eingesetzt?
an ein paar Punkten führt halt nichts vorbei, wenn einem die Privatsphäre irgendwie wichtig ist.
Viel interessanter als der heise Artikel sind die Antworten von Moxie (TextSecure Entwickler) bei reddit:
http://www.reddit.com/r/netsec/comments/34e6si/whatsapps_endtoend_encryption_analysed_its_pretty/