In einem Blogpost am Dienstag hat der Meta-Konzern angekündigt, dass bis Ende dieses Jahres im Facebook-Messenger eine Ende-zu-Ende-Verschlüsselung standardmäßig integriert sein soll. Auch Direktnachrichten auf dem Foto-Dienst Instagram sollen künftig verschlüsselt werden.
Schon seit dem Jahr 2019 arbeitet Facebook nach eigenen Angaben an einer Umsetzung der Ende-zu-Ende-Verschlüsselung für seine Produkte, erste Schritte gab es schon im Jahr 2016. Bislang war jedoch nur der Messenger WhatsApp seit 2016 standardmäßig verschlüsselt, während dies beim Facebook-Messenger und den Direktnachrichten in Instagram nicht der Fall ist.
Gegenwind aus den Sicherheitsapparaten
Der Facebook-Messenger soll derzeit etwa eine Milliarde, Instagram über 1,5 Milliarden Nutzer:innen pro Monat haben. Eine standardmäßige Verschlüsselung von privaten Nachrichten in beiden Diensten dürfte die Gesamtzahl verschlüsselter Nachrichten weltweit deutlich steigern.
Bei Ermittlungsbehörden und Innenpolitiker:innen stoßen die Pläne deswegen nicht auf Gegenliebe. Im vergangenen Jahr hatte beispielsweise die ehemalige britische Innenministerin Priti Patel Meta aufgefordert, von den Verschlüsselungsplänen Abstand zu nehmen. Im vergangenen April hatten weitere Behörden, unter ihnen das FBI, das Unternehmen ermahnt, die Verschlüsselung nicht einzuführen.
Offenkundig hat sich Meta davon nicht beeindrucken lassen. Der Druck auf das Unternehmen, endlich Verschlüsselung auszurollen, hatte mit einer Kampagne zugenommen, nachdem ein 17-jähriges Mädchen wegen einer Abtreibung und auf Grundlage von Facebook-Privatnachrichten juristisch verfolgt wurde. Der Konzern hatte in diesem Fall Privatnachrichten an die Polizei herausgegeben. Bei einer Ende-zu-Ende-Verschlüsselung wäre dies nicht möglich gewesen.
Von Grund auf neu geschrieben
Die lange Entwicklungszeit erklärt Meta mit der „unglaublichen“ Komplexität. Man habe fast den gesamten Nachrichten- und Aufrufcode von Grund auf neu schreiben müssen. „Wir mussten das gesamte System so umgestalten, dass es funktionierte, ohne dass die Meta-Server die Nachrichteninhalte sehen konnten“, heißt es im Blogbeitrag. Dabei habe man auch neue Möglichkeiten für die Verwaltung des Nachrichtenverlaufs entwickeln müsse, wie die Einrichtung einer PIN. Um die Ende-zu-Ende-Verschlüsselung mit diesem PIN-Ansatz aufrechtzuerhalten, habe man auch eine neue Infrastruktur von Hardware-Sicherheitsmodulen aufgebaut.
Zudem will Meta vom WhatsApp-Entwicklungsteam gelernt haben, wie sich Nachrichten in großem Umfang und mit hoher Geschwindigkeit in einer E2EE-Umgebung übermitteln lassen. Wie diese Umgebung allerdings genau aussieht, bleibt vorerst unklar: Aus der Ankündigung des Konzerns geht nicht hervor, welche Verschlüsselungstechnik Meta genau benutzt und ob es dabei auf die Technologie von WhatsApp zurückgreift.
Mit einer PIN wird es Sicherheitsorganen möglich sein, in Echtzeit verschlüsselte E2E-Kommunikation auszuleiten, als unsichtbarer und stiller Teilnehmer einer verschlüsselten Gruppendiskussion.
… und jetzt noch mal zum Mitschreiben:
Wenn die Platformbetreiberin deine Schlüssel verwaltet ist es kein End-to-End – sondern SecurityTheater (TM).
Und eine Anmerkung an den Autor: Man könnte erwähnen, das das WhatsApp Model auf Technologie basiert, die für Signal (App) entwickelt wurde.
Made My Day
ernsthaft wer glaubt das ? Total Naiv als ob Marky Mark das machen würde
haha…sorry wer wirklich denkt das META Offiziel Sichereheit anbietet in Form von EndToEnd
Verschlüßelung.
Wer kontrolliert das, also mit Live Stream usw., vor Ort, ich fahr mit.
Und ne Garantie gibts als Zertifikat ? oder w00t ?
Oder eine dieser, ach Dings Da Compliance Vereinbarung auf Papier, weil der Pressesprecher
es fest zusichert ?
In „Wild West“ Filmen gibt es immer solche Zaubetrank heilt alles Scharlatane <—
Wunderbare Beschreibung, diese Wort für das gebaren von META
lgPi
Man hätte ruhig erwähnen können, dass all diese Ankündigungen den Strom nicht wert sind mit dem sie übermittelt wurden, solange der Quellcode dieser Apps nicht offen zugänglich und überprüfbar wird. Das heißt reproducible build mit Hash-Gleichheit der Binaries, die in den offiziellen App Stores ausgeliefert werden. Erst dann kann man überhaupt in Erwägung ziehen, sich mit irgendwelchen Behauptungen über E2EE zu befassen. Dass dieser wichtigste Punkt im Artikel nicht einmal erwähnt wird, ist enttäuschend.
Zudem wird fraglich sein, ob es sich bei dem Konzept überhaupt um echte E2EE handeln wird, das heißt die öffentlichen Schlüssel werden auf einem unabhängigen Kanal zwischen den Kommunikationsteilnehmern ausgetauscht und die privaten Schlüssel werden nicht bei Meta gespeichert.