Spenden

Dieser Artikel ist mehr als 10 Jahre alt.

WhatsApp kann jetzt Verschlüsselung auf allen Geräten

Vor gut 15 Monaten verkündete Open Whisper Systems die Zusammenarbeit mit WhatsApp. Ziel dieser Zusammenarbeit war und ist die Implementierung des Signal Protocols und damit einer Ende-zu-Ende-Verschlüsselung im weitverbreitesten Instant Messenger. Heute verkündet Open Whisper Systems, dass jetzt die Verschlüsselung auf allen Clients für Chats, Gruppenchats, Anhänge, Sprachnachrichten und Anrufe funktioniere:

Over the past year, we’ve been progressively rolling out Signal Protocol support for all WhatsApp communication across all WhatsApp clients. This includes chats, group chats, attachments, voice notes, and voice calls across Android, iPhone, Windows Phone, Nokia S40, Nokia S60, Blackberry, and BB10. As of today, the integration is fully complete. Users running the most recent versions of WhatsApp on any platform now get full end to end encryption for every message they send and every WhatsApp call they make when communicating with each other. This includes all the benefits of the Signal Protocol – a modern, open source, forward secure, strong encryption protocol for asynchronous messaging systems, designed to make end-to-end encrypted messaging as seamless as possible.

Damit es wirklich mit der Verschlüsselung klappt, müssen sich die Nutzerinnen und Nutzer noch die aktuellste Version des Messengers runterladen. Sobald ein Nutzer verschlüsseln kann, ist mit diesem Kontakt nur noch eine Ende-zu-Ende verschlüsselte Kommunikation möglich. Das soll vor Attacken schützen, bei denen eine alte WhatsApp-Version aufgespielt wird. Zugleich können die WhatsApp-Nutzer über den Fingerprint, der bei WhatsApp „Security Code“ heißt, die Authentizität des Gegenübers überprüfen. Wie sich das eben bei einer ordentlichen Verschlüsselung gehört. In einem Whitepaper (PDF) beschreibt das Unternehmen die Verschlüsselung.

WhatsApp hat mehr als eine Milliarde Nutzer weltweit und gehört seit 2014 zu Facebook. Unklar ist, wie sich die Verschlüsselung mit dem Geschäftsmodell von WhatsApp verträgt, da der Dienst jetzt nur noch die Metadaten der User hat, aber nicht mehr wissen dürfte, was die User so kommunizieren. Spannend bleibt auch, ob es externe Audits geben wird, welche die Sicherheit von WhatsApp überprüfen.

Wer sich aus guten Gründen nicht auf proprietäre Lösungen wie WhatsApp verlassen will, der kann einfach die App „Signal“ nutzen. Die ist quelloffen und bietet ähnliche Features und Verschlüsselung.

  • Markus Reuter
Markus Reuter
53
Sobald ein Kontakt als Verschlüsselungsfähig erkannt wird, ist nur noch verschlüsselte Kommunikation möglich. Screenshot: Open Whisper Systems

Vor gut 15 Monaten verkündete Open Whisper Systems die Zusammenarbeit mit WhatsApp. Ziel dieser Zusammenarbeit war und ist die Implementierung des Signal Protocols und damit einer Ende-zu-Ende-Verschlüsselung im weitverbreitesten Instant Messenger. Heute verkündet Open Whisper Systems, dass jetzt die Verschlüsselung auf allen Clients für Chats, Gruppenchats, Anhänge, Sprachnachrichten und Anrufe funktioniere:

Over the past year, we’ve been progressively rolling out Signal Protocol support for all WhatsApp communication across all WhatsApp clients. This includes chats, group chats, attachments, voice notes, and voice calls across Android, iPhone, Windows Phone, Nokia S40, Nokia S60, Blackberry, and BB10. As of today, the integration is fully complete. Users running the most recent versions of WhatsApp on any platform now get full end to end encryption for every message they send and every WhatsApp call they make when communicating with each other. This includes all the benefits of the Signal Protocol – a modern, open source, forward secure, strong encryption protocol for asynchronous messaging systems, designed to make end-to-end encrypted messaging as seamless as possible.

Damit es wirklich mit der Verschlüsselung klappt, müssen sich die Nutzerinnen und Nutzer noch die aktuellste Version des Messengers runterladen. Sobald ein Nutzer verschlüsseln kann, ist mit diesem Kontakt nur noch eine Ende-zu-Ende verschlüsselte Kommunikation möglich. Das soll vor Attacken schützen, bei denen eine alte WhatsApp-Version aufgespielt wird. Zugleich können die WhatsApp-Nutzer über den Fingerprint, der bei WhatsApp „Security Code“ heißt, die Authentizität des Gegenübers überprüfen. Wie sich das eben bei einer ordentlichen Verschlüsselung gehört. In einem Whitepaper (PDF) beschreibt das Unternehmen die Verschlüsselung.

WhatsApp hat mehr als eine Milliarde Nutzer weltweit und gehört seit 2014 zu Facebook. Unklar ist, wie sich die Verschlüsselung mit dem Geschäftsmodell von WhatsApp verträgt, da der Dienst jetzt nur noch die Metadaten der User hat, aber nicht mehr wissen dürfte, was die User so kommunizieren. Spannend bleibt auch, ob es externe Audits geben wird, welche die Sicherheit von WhatsApp überprüfen.

Wer sich aus guten Gründen nicht auf proprietäre Lösungen wie WhatsApp verlassen will, der kann einfach die App „Signal“ nutzen. Die ist quelloffen und bietet ähnliche Features und Verschlüsselung.

Über die Autor:innen

  • Markus Reuter
    Markus Reuter

    Markus Reuter recherchiert und schreibt zu Digitalpolitik, Desinformation, Zensur und Moderation sowie Überwachungstechnologien. Darüber hinaus beschäftigt er sich mit der Polizei, Grund- und Bürgerrechten sowie Protesten und sozialen Bewegungen. Für eine Recherchereihe zur Polizei auf Twitter erhielt er 2018 den Preis des Bayerischen Journalistenverbandes, für eine TikTok-Recherche 2020 den Journalismuspreis Informatik. Bei netzpolitik.org seit März 2016 als Redakteur dabei. Er ist erreichbar unter markus.reuter | ett | netzpolitik.org, sowie auf Mastodon und Bluesky.

    Kontakt: E-Mail (OpenPGP)

Veröffentlicht

Kategorie

Schlagwörter

, , , ,

Weiterlesen

Thema

Linkschleuder

Thema

Ende-zu-Ende-Verschlüsselung

Thema

Kurzmeldungen

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

53 Kommentare zu „WhatsApp kann jetzt Verschlüsselung auf allen Geräten“

  1. Skynet

    ,

    Allein der Glaube fehlt! Koum hat seinerzeit die Daten seiner Kunden an Facebook verkauft. Das war mehr als eine Ohrfeige aus reiner Gier! Ich hatte aus gutem Grund meine Telefonnummer (n) nicht bei Facebook hinterlegt. Das Gleiche gilt erst Recht für mein ganzes Telefonbuch. Seit der Übernahme nutze ich weder FB noch WA. Solange WA nicht OpenSource und unabhängig von Facebook ist, gibt es kein Vertrauen und keine Nutzung mehr von mir. Ein unabhängiges Audit wäre nur eine Momentaufnahme und damit wertlos. Signal ist ein guter Ansatz, nur leider nicht komfortabel und umfangreich genug um andere davon zu überzeugen. Das letzte Update auf dem Apfelphone ist vom 10.11.2015. Da müsste mal mehr kommen.

    1. Khan Jost IV

      ,

      Was habt ihr da immer für brennend interessante nachrichten die niemand lesen darf?

      1. Skynet

        ,

        Naja, Anschlag hier, Bombe da…Terroristenblabla halt. Sonst würde doch keiner ne Cryptoapp nutzen. ;)

      2. andrea

        ,

        Sehr gute Frage? Das frage ich mich auch immer! Ich nehme mich und meine Nachrichten nicht so wichtig!

      3. Claudia

        ,

        Es geht doch gar nicht um brennend interessante Nachrichten, sondern ums Prinzip. Als politisch denkender Mensch finde ich – und sehr viele andere – das einfach wichtig, unabhängig vom Inhalt meiner Nachrichten.

      4. Otto

        ,

        Zum Beispiel private Gespräche mit meiner Freundin.

      5. Sergej

        ,

        Warum gibt es überhaupt Postgeheimnis? Erlauben wir doch, dass unsere Briefe von den Behörden/dem Postboten/dem Konkurenten aufgemacht und gelesen werden können! Sie sollen gleich auch alle unsere Briefe einscannen und für immer speichern!

    2. Hans

      ,

      Also mir persönlich würde es schon reichen, wenn WhatsApp nicht automatisch das Telefonbuch absaugen würde. Ich hoffe da auf das neue Permission-Management in Android 6. Habe bis jetzt aber nicht rausfinden können, ob WhatsApp noch funktioniert wenn man den Zugriff auf das Telefonbuch unterbindet.

      1. Smith

        ,

        Funktionieren schon, deine Kontaktliste ist dann eben leer. Wenn du mit jemandem schreiben willst, musst derjenige dich anschreiben dadurch erscheint seine Nummer (nur seine Nummer, da Whatsapp die Nummer nicht mit deiner Kontaktliste abgleichen kann).

        Blöd, dass du nicht gezielt einzelne Kontakte freigeben kannst, entweder alle oder keinen.

      2. Hans

        ,

        Danke für die Info!

  2. dsfigjunh

    ,

    Signal benutzt genauso wie Whatsapp auch proprietäre Services… Nur ist es bei denen Google mit GCM. Man kann also neuerdings zwischen Facebook oder Google wählen.
    Einen großen Vorteil hat Signal jedoch: Man *sieht* dass verschlüsselt wird. Der eigene und auch der Schlüssel des Partners wird angezeigt, sodass man ihn auch überprüfen kann. Ohne eine solche Funktion ist die ganze end2end-Geschichte witzlos, da der, der die Schlüssel verteilt (Whatsapp-Server) auch einfach einen anderen Schlüssel austeilen kann, ohne dass der Partner es bemerken würde.

    Die einzige wirkliche Alternative für mich ist LibreSignal.
    https://github.com/LibreSignal/LibreSignal

    1. Franz

      ,

      „Man *sieht* dass verschlüsselt wird. Der eigene und auch der Schlüssel des Partners wird angezeigt, sodass man ihn auch überprüfen kann. “

      Bei WhatsApp auch der Fall. https://whispersystems.org/blog/whatsapp-complete/

      1. Daniel

        ,

        Das sind Screenshots der Signal-App. Bei Whatsapp habe ich diese Funktion nicht gefunden.

      2. Otto

        ,

        Also bei mir sieht Signal anders aus, als auf dem Bild in diesem Blogpost. Kann es sein, dass Du noch eine alte Whatsapp-Version hast und daher die Verschlüsselung noch nicht aktiv ist?

      3. Manu

        ,

        Das sind WhatsApp Screenshots. Einfach auf einen Chatpartner oder die Gruppe tippen (Titelleiste oben) und dann auf „Verschlüsselung“.

    2. Bernie

      ,

      Whatsapp ist komplett proprietär. Signal benutzt einen proprietären Service um Push Nachrichten zu vermitteln. Wegen sowas die ganze Software auf eine Ebene mit Whatsapp zu stellen ist lächerlich…

      Zum Artikel: Ich finds gut. Würde aus Security-Perspektive immer noch Signal bevorzugen, aber ein weiterer Schritt von Whatsapp in die richtige Richtung. Mal schauen wie lange es dauert, bis die Mehrheit der Leute ein Update macht :-P

    3. Hans

      ,

      Signal nutzt zwar GCM, aber nur um dem Client mitzuteilen, dass er etwas vom Signal Server abholen kann. Der (verschlüsselte) Inhalt der Nachricht gelangt nie auf die Google Server. Ein paar Metadaten bleiben natürlich bei Google hängen. Aber soweit mir bekannt kann man für den Betrieb eines Messenger-Dienstes unter Kosten/Nutzen Gesichtspunkten derzeit nicht vernünftigerweise auf GCM bzw. APN verzichten.
      WhatsApp bietet genauso wie Signal die Möglichkeit, den Schlüssel des Gegenüber zu scannen bzw. mündlich auszutauschen. Von daher kein Unterschied zu Signal – was ja auch nicht verwundert, denn WhatsApp nutzt ja das Signal-Verschlüsselungsprotokoll und hat diese mit Hilfe von Open Whisper Systems (Signal-Hersteller) implementiert.
      Daran, dass WhatsApp closed-source ist, kommt man natürlich nicht vorbei. Aber wenn man es mit anderen Messengern vergleicht, die vielleicht mal eben die gesamte Chat-History im Standard auf dem Server lagern (*hust*Telegram*hust*), ist es ein gigantischer Schritt in die richtige Richtung.

  3. Brutus

    ,

    Leider nicht überprüfbar – und damit wertlos. Das Vertrauen in US-Firmen habe ich schon seit langer Zeit verloren…

    Siehe auch: https://www.kuketz-blog.de/kommentar-whatsapp-und-die-ende-zu-ende-verschluesselung/

    1. CDD

      ,

      Dein Link ist 1,5 Jahre alt.…
      Trick an der aktuellen Lage ist ja, dass sich seit dem einiges getan haben soll.
      Ich benutze WA seit übername durch FB auch nicht mehr und bin auf Threema umgestiegen. Leider gottes sind ca. 95% meiner Kontakte zu naiv um auf ihre Daten zu achten.

      Wenn sich die e2e verschlüsselung als brauchbar erweist, könnte ich mir vorstellen whatsapp zumindest noch mal zu testen.

      Zu verbergen hab ich wenig bis nichts, aber trotzdem geht es niemanden etwas an über was ich mit wem spreche. Und Fotos meiner Kinder gehören erst recht nicht in die Hände „unsichtbarer dritter“.

      Da ich noch Testgeräte im schrank liegen habe, werde ich mir den Verschlüsselungsmythos WA wohl mal annehmen.

      1. Brutus

        ,

        Ja der Link ist schon 1,5 Jahre alt und ist dennoch aktuell.
        Woher willst du denn wissen, ob sich die e2e als „brauchbar“ erweist? Ist schon irgendwo der Quellcode zu WA aufgetaucht? Wenn nicht, dann sind das alles nur Spekulationen.

      2. Hans

        ,

        Die Verschlüsselung von WhatsApp ist Open Source, der Rest nicht. Ähnlich wie bei Threema. Nicht so gut wie voll Open Source, aber besser als vieles andere was da draussen so keucht und fleucht.
        https://github.com/whispersystems/libsignal-protocol-java
        https://www.reddit.com/r/Android/comments/4dguw2/whatsapp_just_implemented_endtoend_encryption/d1r123r

  4. Sophie

    ,

    Wie funktioniert das eigentlich, dass eine E2E-Verschlüsselung auf mehreren Entgeräten simultan funktioniert?
    Wollte nun mit der neuen verschlüsselten Variante eine Nachricht von meinem Telefon an ein anderes Telefon senden. Mit Betätgung des „Senden“-Buttens wurde meine Nachricht allerdings auch auf meinem Laptop angezeigt (WathsApp Web).
    Jetzt dachte ich, dass eine E2E-Verschlüsselung, ausschließlich von einem Endgerät zu einem anderen Endgerät funktioniert?
    Habe ich da etwas grundlegendes falsch verstanden?

    1. Ch.

      ,

      Das ist, finde ich, eine interessante Frage. Aber E‑Mail-Verschlüsselung kann man ja auch die abgesendeten Nachrichten danach zusätzlich zum lokalen E‑Mail-Client auch per Plugin beim Mailanbieter im Browser ansehen.

      Bei den einzelnen Alternativen zu WhatsApp ist das Problem, das jeden Monat (auch hier) eine andere Alternative als die sicherste dargestellt wird. Wie soll sich denn da jemals eine kritische Masse aufbauen, wenn man alle paar Wochen wieder wechseln muss. Meiner Meinung nach, kann das erst funktionieren, wenn die Messenger auch untereinander kommunizieren können.

    2. Otto

      ,

      Bei Apple werden die Nachrichten wohl an alle Geräte des Adressaten geschickt (jeweils mit einem separaten Schlüssel pro Gerät) und gleichzeitig an alle eigenen Geräte, die mit dem eigenen Apple-Konto verknüpft sind. Die eigenen Geräte haben dann auch jeweils eigene Schlüssel, mit denen die Nachricht verschlüsselt wird.

      Hier wird das ausführlich behandelt:
      https://www.lawfareblog.com/iphones-fbi-and-going-dark

      Eine alternative Lösung ist, den Schlüssel manuell (oder automatisch) auf die anderen eigenen Geräte zu übertragen. Das wird beispielsweise bei PGP so gemacht.

      1. Sophie

        ,

        Das ist ein netter Artickel, aber darin geht es doch um die App „iMassage“ von Apple und hat hiermit nichts zu tun.
        Im oben genannten „Whats App Sec Whitepaper“ ist auch nichts von einem Key-Server zu entdecken.

      2. MR

        ,

        @Sophie: Lies noch mal genau, denn im Whats-App Whitepaper ist ein zu
        Apple analoges Vorgehen beschrieben:
        Das Identity Key Pair und das Signed Pre Key Pair werden bei der
        Installation erzeugt (also geräteabhängig) und die Public Keys davon an
        den Server geschickt und gespeichert („The WhatsApp server stores these
        public keys associated with the user’s identifier.“).

        Mir ist allerdings nicht ganz schlüssig, wieso das sicher sein sollte.
        Denn WhatsApp (oder eine Partei mit Zugriff auf ihren Server) kann ja
        mit den „user identifiers“ auch ein nicht existierendes Gerät
        verknüpfen, die entsprechenden Keys für ein imaginäres Gerät erzeugen
        und wäre damit ebenfalls in der Lage alle Nachrichten zu empfangen oder
        auch welche zu senden. Aber hab es jetzt auch nur überflogen.

        Dem durchschnittlichen WhatsApp-Usern kann man nicht zutrauen selbst
        Hand anzulegen und Keys auf allen Geräten manuell zu

      3. MR

        ,

        @Sophie: Lies noch mal genau, denn im Whats-App Whitepaper ist ein zu
        Apple analoges Vorgehen beschrieben:
        Das Identity Key Pair und das Signed Pre Key Pair werden bei der
        Installation erzeugt (also geräteabhängig) und die Public Keys davon an
        den Server geschickt und gespeichert („The WhatsApp server stores these
        public keys associated with the user’s identifier.“).

        Mir ist allerdings nicht ganz schlüssig, wieso das sicher sein sollte.
        Denn WhatsApp (oder eine Partei mit Zugriff auf ihren Server) kann ja
        mit den „user identifiers“ auch ein nicht existierendes Gerät
        verknüpfen, die entsprechenden Keys für ein imaginäres Gerät erzeugen
        und wäre damit ebenfalls in der Lage alle Nachrichten zu empfangen oder
        auch welche zu senden. Aber hab es jetzt auch nur überflogen.

        Dem durchschnittlichen WhatsApp-Usern kann man nicht zutrauen selbst
        Hand anzulegen und Keys auf allen Geräten manuell zu kopieren :/

      4. MR

        ,

        @Sophie: Lies noch mal genau, denn im WhatsApp Whitepaper ist sogar ein analoges Vorgehen beschrieben:
        Das Identity Key Pair und das Signed Pre Key Pair werden bei der Installation erzeugt (ist also geräteabhängig) und die Public Keys davon werden an den Server geschickt un gespeichert („The WhatsApp server stores the public keys associated with the user’s identifier.“).

        Mir ist allerdings nicht ganz schlüssig, wieso das sicher sein soll. Denn WhatsApp (oder eine Partei mit Zugriff auf ihren Server) kann dann mit den „user identifiers“ auch ein eigentlich nicht existierendes Gerät verknüpfen, die entsprechenden Keys für das imaginäre Gerät erzeugen, und wäre folglich ebenfalls in der Lage alle Nachrichten zu empfangen oder auch welche zu senden. (Habe es jetzt aber auch nur überflogen).

        Dem durchschnittlichen WhatsApp-Usern kann man nicht zutrauen selbst Hand anzulegen und die Keys auf allen Geräten manuell zu kopieren (dann würden es nur ein paar % nutzen) :/

      5. MR

        ,

        Habe weiter recherchiert und WhatsApp Web ist kein richtiger Client, sondern eher eine Fernbedienung für WhatsApp auf dem Smartphone. Sprich, die Web-App -> Server -> Smartphone -> WhatsApp Netzwerk, wovon zu den Transportwegen der ersten 3 Schritte nichts bekannt ist und erst ab dem letzten greift E2E.

        Also sofern es wirklich nicht möglich ist, WhatsApp mehrfach auszuführen, gibt es das Problem gar nicht.

    3. MR

      ,

      Wenn der Public-Key und Private-Key (Stichwort: assymetrische Verschlüsselung) auf beiden Geräten vorliegt, dann ist das simultan kein Problem. Richtig angewandt sollte der Privat-Key nur lokal vorliegen, und der User müsste selbst tätig werden, um ihn auf ein anderes Gerät zu kopieren. Das scheint WhatsApp aber wohl dem durchschnittlichen User nicht zuzumuten… Ende-Zu-Ende bedeutet lediglich, dass es zwischendurch keine Zwischenstationen gibt, die über die Möglichkeit bzw den Privat-Key verfügen, um mitzulesen.

      Das was du sagst, deutet darauf hin, dass WhatsApp das nämlich zentral macht und die Keys automatisch an alle Endgeräte verteilt (wohl aus Komfortabilität *hust*), aber das ist natürlich ein ziemlicher Fail… Ende-Zu-Ende am Arsch!

      1. MR

        ,

        Ich hab gestern mehrfach versucht hier zu antworten, aber jedesmal kam nach dem „Kommentar Abschicken“ … nichts, ohne irgendeinen Hinweis. Jetzt aufeinmal steht mein – ich glaub – erster, bem ich noch nicht das Paper gelesen hab, Antwortversuch hier. Bin ich gerade völlig besoffen oder stimmt da was bei euch nicht @netzpolitik?

    4. Finn

      ,

      Soweit ich das im Kopf habe kriegst du die Nachricht nicht direkt an den Laptop gesendet, das ganze läuft stattdessen über dein Handy… Somit gibt es zumindest in diesem Schritt nur einen Empfänger.
      Interessant wäre auch nochmal die Frage, wie Handy und PC kommunizieren. Wenn der ganze Kram ohne eine besondere Verschlüsselung abläuft, ist es ja relativ witzlos (oder?)

  5. Nick

    ,

    Ich halte diese Nachricht für ein riesengroßes Problem. Die Nutzer glauben jetzt, einen abhörsicheren Kommunikationskanal zu haben. Da WhatsApp allerdings nach wie vor closed-source ist, kann die App die Verschlüsselung auch unbemerkt deaktivieren oder einfach die Schlüssel an einen WhatsApp-Server schicken. Das Axolotl-Protokoll ist brillant – nützt aber überhaupt nichts, wenn dessen Einsatz nicht vom Nutzer kontrolliert werden kann.

    Ehrlich gesagt bin ich enttäuscht von Markus bei netzpolitik.org, das nicht klar herauszustellen. Was WhatsApp da gemacht hat, ist ein PR-Gag auf Kosten der unwissenden Mehrheit der Nutzer. Meiner Meinung nach ist das nicht nur unmoralisch, sondern für manche Menschen auch gefährlich.

    1. Markus Reuter

      ,

      Ich sehe natürlich das Closed-Source-Problem genauso wie du, und das steht auch im Artikel. Aber: Wie sieht denn deine Lösung aus um Verschlüsselung einfach nutzbar für den Mainstream auszurollen?

      1. Nick

        ,

        Stimmt, es steht als Nebenbemerkung im letzten Absatz. Der konzeptionelle Konflikt zwischen Ende-zu-Ende-Verschlüsselung und closed-source wird aber gar nicht angesprochen. Insgesamt hat die Meldung, zumindest in meinen Ohren, einen positiven Grundtenor („Wie sich das eben bei einer ordentlichen Verschlüsselung gehört.”). Das halte ich für bedenklich.

        Sicher, damit Verschlüsselung beim Mainstream ankommt, muss die Schlüsselverwaltung so einfach wie möglich sein. Grundsätzlich halte ich die im White Paper beschriebene Umsetzung für tragbar. Nur ist das ganze Design hinfällig, wenn ich nicht weiß, was das heruntergeladene Programmpaket in Wirklichkeit tut. Wenn du mich fragst, kann die Lösung nur quelloffen sein.

      2. Markus Reuter

        ,

        @Nick: Ja, eine wirklich tragfähige Lösung muss quelloffen sein. Aber es ist im Hinblick auf die ganze Cryptodebatte eben doch ein großer Schritt, dass innerhalb von einem Jahr der größte Instant Messenger die Kommunikationsinhalte verschlüsselt bekommt und eine Milliarde Menschen auf einmal verschlüsselt kommunizieren können. Die Aufgabe von allen, die wissen, dass eine wirkliche Lösung nur quelloffen sein kann, sollte meines Erachtens nicht das Verteufeln von Schritten nach Vorne sein, sondern das Vorantreiben und Aufzeigen, wie es noch besser geht. Ich sehe es als einen weiteren Schritt in die richtige Richtung und bin gespannt, wie sich Ermittlungsbehörden weltweit in den nächsten Wochen und Monaten äußern werden.

      3. Nick

        ,

        Sag mir bitte, falls ich mich im Ton vergreife – aber was genau ist für dich ein Schritt nach vorne: Wenn eine Nachricht verschlüsselt (also in Bytesalat verwandelt) wird, oder wenn diese Nachricht vertraulich bleibt? Der technische Akt des Verschlüsselns ist für mich nutzlos, solange es für Dritte möglich ist, meine Nachricht trotzdem zu lesen.

        Genau dieses Problem liegt bei WhatsApp vor. Weil ich nicht ausschließen kann, dass die App neben dem Bytesalat noch andere Dinge versendet. Oder in Berlin einfach unverschlüsselt läuft. Und da haben wir noch gar nicht von möglicherweise fehlerhafter Implementierung der Krypto gesprochen.

        Ein großer Schritt wäre, WhatsApp jetzt open-source zu machen. Ich verteufle nicht die Integration der Verschlüsselung, sondern dass den NutzerInnen eine Vertraulichkeit suggeriert wird, die nicht gegeben ist.

        Für Ermittlungsbehörden, zumindest jene mit Einfluss auf Unternehmen in den Staaten, wird die Neuerung kein Problem darstellen. Ob jetzt die Nachrichten ganz normal von den Servern kopiert oder erst entschlüsselt und dann beschlagnahmt werden, macht keinen Unterschied. Wenn nicht bereits eine Hintertür integriert ist, ließe sie sich bei Bedarf im nächsten Update unbemerkt einbauen.

  6. Caveman

    ,

    Also eine Ende zu Ende Verschlüsselung bei der man nicht selbst den Schlüssel erzeugen kann- das ist alles andere als sicher.
    Wenn der Schlüssel automatisch erzeugt wird dann kann das auch ganz leicht ausspioniert werden.
    Die nötigen Daten zur Erzeugung des Schlüssels werden einfach vorher an WA geschickt.

    1. Moritz

      ,

      Wenn der Key manuell erzeugt wird, kann er ebenfalls ausspioniert werden…wo ist der Unterschied? Wenn die Software (der du eigentlich vertraust) heimlich gegen dich arbeitet, ist es halt schnell vorbei mit der Sicherheit.

  7. Klaus

    ,

    An: Khan Jost IV, Skynet und andrea – wie naiv muss man eigentlich sein?
    An Alle: warum nutzt Ihr nicht endlich Threema?

    1. Brutus

      ,

      Warum sollen wir von einem Closed-Source Messenger zum Nächsten wechseln? Macht IMHO wenig Sinn. Wenn dann schon eher Signal (iOS/Android), besser noch LibreSignal (Android) oder gleich Conversations (Android).

      LibreSignal: https://www.kuketz-blog.de/android-signal-ohne-google-cloud-messaging/

      1. badger

        ,

        Jup Conversations macht Sinn: https://www.kuketz-blog.de/conversations-sicherer-android-messenger/

    2. Skynet

      ,

      Ganz oben ersten Post lesen kann und dann meckern. Mein 2. Post war Sarkasmus! Im Moment nutze ich ausschließlich Signal und Chiffry.

  8. Llxp

    ,

    Wenn ihr WhatsApp so wenig vertraut, warum schaut ihr nicht mit z.B. einem APK-Decompiler, was das Programm macht oder wenn sich dort nur compilierter Sourcecode binär vorliegt, mit einem Disassembler? Denn End-to-End-Encryption muss sich schließlich auf dem Gerät selbst abspielen. Dann hätte jeder Gewissheit, wie sicher WhatsApp wirklich ist.

    1. Brutus

      ,

      Du wirst mit einem Decompiler den Quellcode niemals in eine überprüfbare Form überführen können. Wenn dann noch Code-Obfuskation (https://de.wikipedia.org/wiki/Obfuskation) betrieben wurde – viel Spaß!

      Man könnte ja auch agumentieren: Wenn WhatsApp bzw. Facebook nichts zu verbergen hat, warum veröffentlichen sie den Quellcode dann nicht bzw. machen die App Open-Source?

    2. Nick

      ,

      Ich stimme Brutus zu. Und selbst wenn es nach absurdem Zeitaufwand gelingt, für ein Paket zu verifizieren, dass keine Hintertür eingebaut ist – was machst du bei Erscheinen der nächsten Version? Solche Kontrollen sind, wie auch die von externen Experten, bestenfalls Momentaufnahmen. Der einmalige Beweis gibt leider keine Gewissheit darüber, ob sich die App sonst auch so verhält.

  9. Ot

    ,

    Die Verschlüsselung der versendeten Nachricht ist ja ganz nett, macht sich eigentlich jemand Gedanken, was mit den anderen vertraulichen und persönlichen Daten passiert (Adressbuch, Geodaten etc.), auf die WhatsApp Zugriff hat?

  10. Anna

    ,

    Ich verstehe das mit die Fingerprint noch nicht wie funktioniert das ? Kann mir das jemand sagen ( ich hba in Samsung galaxy s 6 also es gibt Fingerprint )

    1. Lama

      ,

      Vereinfacht gesagt: Damit Verschlüsseung funktioniert, benötigt du den Key deines Gesprächspartner, immerhin muss die Verschlüsselung auf seinen Key abgestimmt sein (damit er wieder Entschlüsseln kann). Whatsapp und auch andere Messanger sorgen nun dafür, dass du den Key deiner Kontakte nicht manuell holen musst, sie machen es für dich automatisch im Hintergrund (ein Hoch auf die Benutzerfreundlichkeit^^). Dadurch entsteht aber ein Problem: Wie kannst du sicher sein, dass dir Whatsapp nicht (unbewusst oder bewusst) für einen deiner Kontakte den falschen Key gibt. Hier kommen Fingerprints ins Spiel, mit Fingerprints kannst du selbst überprüfen, dass zu einem Kontakt wirklich der richtige Key zugeordnet wurde. Dein Kontakt gibt dir seinen Fingerprint (ein eindeutiger Identifier für seinen Key) und du gleichst die Infos mit dem ab, was du auf deinem Gerät bei dem jeweiligen Kontakt als Fingerprint hinterlegt hast.

      Kannst es dir vlt ein wenig durch folgendes Old-School Szenario vorstellen: Wenn du die Telefonnummer eines Freundes haben willst, kannst du im Telefonbuch nachschauen. Aber vlt ist die dort hinterlegte Nummer deines Freundes falsch, kann ja sein. Sicherer ist es, ihn direkt nach seiner Nummer zu fragen => Ihr tauscht also Fingerprints aus. In dem Fall ist der Fingerprint einfach die Telefonnummer.

      Fingerprints gibt es immer, unabhängig von Smartphonemodell.

  11. Andreas

    ,

    Einfache Zusammenfassung:

    Die E2E Verschlüsselung ist eine Verarsche und viele Medien springen drauf an und helfen den Überwachern…

    Habt Ihr hier eigentliche irgendwas nach Snowden gelernt??!

    Schade, ich hätte gerade hier auf der Seite etwas mehr „Feingefühl“ erwartet!!!

    1. Brutus

      ,

      Wer lesen kann ist klar im Vorteil! ;-)

  12. ray

    ,

    Hier eine kleine Erläuterung zur Verschlüsselung bei Nutzung von Whatsapp WEB:

    https://security.stackexchange.com/questions/119552/how-does-end-to-end-encryption-work-with-whatsapp-web

  13. Wie? Immer noch WhatsApp? | blog.data-detox.de

    ,

    […] jetzt ist ja alles gut! Jetzt wo WhatsApp schließlich Ende-zu-Ende verschlüsselt ist! Jetzt können wir uns alle beruhigt zurücklegen und weiterhin jeden geistigen Müll in der […]

Dieser Artikel ist älter als 10 Jahre, daher sind die Ergänzungen geschlossen.