WhatsApp – Endlich E2E-Verschlüsselung

Nachdem Apple verkündet hatte, dass die Sicherheitsmaßnahmen weiter verstärkt werden sollen, teilt nun WhatsApp in seinem Blog mit, die Ende-zu-Ende-Verschlüsselung (auch: E2E-Verschlüsselung) für seinen Kommunikationsdienst einzusetzen. Die User von WhatsApp erhalten nach erfolgreicher Installation des neuen Updates eine Nachricht in ihren aktiven Chats, dass die Nachrichten und Anrufe jetzt mit E2E-Verschlüsselung geschützt sind – vorausgesetzt, beide Kommunikationspartner haben die aktuellste Version. Auch Gruppen-Chats sind durch die Verschlüsselung gesichert.

Nachrichten und Anrufe im aktiven Chat sind jetzt durch Ende-zu-Ende-Verschlüsselung geschützt.

Im WhatsApp Blog erklären die Gründer Jan Koum und Brian Acton, wie sich der Benutzer die Funktionalität der Verschlüsselung vorstellen kann. Zudem heben die Gründer hervor, wie wichtig es für sie ist, „private Kommunikation von Menschen“ zu schützen und diese für unbeteiligte Personen unkenntlich zu machen.

Hat WhatsApp schlussendlich nun erkannt, was für seine Nutzer wirklich wichtig ist?

Wie Koum und Acton schreiben, sei die Idee dahinter sehr simpel: Wer eine Nachricht an einen Freund sendet oder mit diesem über die App telefonieren möchte, soll sich sicher sein können, dass auch nur dieser Freund daran beteiligt ist.

Screentshot WhatApp Chat
Screenshot: Information zur Verschlüsselung von WhatsApp in einem aktiven Chat

Doch können Dritte wirklich davon abgehalten werden, die Nachrichten und Gespräche Anderer zu lesen bzw. mitzuhören?

Laut heise Security werden die Chats unter dem Betriebssystem Android schon länger verschlüsselt, jedoch konnten die Benutzer die Funktionalität nicht nachprüfen. Damals hat bereits eine Kooperation mit Moxi Marlinspike stattgefunden. Die von Moxi entwickelte Software „TextSecure“ machte es möglich, Nachrichten über standardmäßige Nachrichtenanwendung von Android zu verschlüsseln.

Hat sich ein Android-Anwender mit Kommunikationspartnern anderer Betriebssysteme ausgetauscht, wurden die Nachrichten im Klartext übertragen.

Die Kooperation mit dem Team Open Whisper Systems um Moxie macht die E2E-Verschlüsselung nun für alle WhatsApp-Nutzer möglich: Mit der Integration des „Signal“-Protokolls von Open Whisper Systems in die neue WhatsApp Version, soll der User durch neue Funktionen nun sicherstellen können, dass sein Chat-Partner wirklich derjenige ist, für den er sich ausgibt.

WhatsApp
Screenshot: Funktion “Sicherheitsnummer bestätigen”

Aber eines hat sich nicht geändert:

WhatsApp kann Metadaten wie Telefonnummer sowie Zeit-und Datenstempel der Kommunikationspartner nach wie vor auslesen. Wer wann und mit wem Daten ausgetauscht oder telefoniert hat bleibt dem Messenger-Anbieter also nicht verborgen.

Vertrauliche Daten, aber auch Daten die einer Verschwiegenheitspflicht oder Schweigepflicht unterliegen, sollten nicht bedenkenlos über die App versendet werden. Zumal Messenger-Dienste für den Austausch solcher Daten nicht unbedingt die geeignetste Lösung darstellen – trotz E2E-Verschlüsselung – und eventuell auch dafür nicht vorgesehen waren.

Wie Apple zuvor könnte nun auch dem Messenger-Anbieter WhatsApp das FBI zu Leibe rücken. Die zentrale Sicherheitsbehörde der Vereinigten Staaten wollte den Apple-Konzern dazu zwingen, ihm ein Betriebssystem zu entwickeln, mit dessen Hilfe das FBI sämtliche Sicherheitsmaßnahmen auf Apple-Geräten umgehen hätte können. Die Ende-zu-Ende-Verschlüsselung für die WhatsApp-Anwendung könnte man als frühzeitigen Abwehrmechanismus seitens des Anbieters verstehen. Denn so verschlüsselt kann auch WhatsApp der US-Bundespolizei keine Inhalte mehr liefern.

Perfect Forward Secrecy

Eine Besonderheit des Tools Signal ist, dass der Quellcode des Software-Projekts auf dem webbasierten Online-Dienst „GitHub“ einsehbar ist.

Signal verwendet Perfect Forward Secrecy (kurz: PFS), das auch für asynchrone Nachrichten gewährleistet wird. Kurz gesagt kommen bei PFS zwei geheime Schlüssel zum Einsatz, die keinen Bezug zueinander haben, d.h. dass ein Angreifer nur einen Teil der Nachrichten lesen kann, selbst wenn er einen der zwei Sitzungsschlüssel besitzt.

Dies ist jedoch kein Garant dafür, dass die Schlüssel nicht zu einem späteren Zeitpunkt geknackt werden können.

 

Quelle: www.heise.de, https://blog.whatsapp.com, http://www.thoughtcrime.org/software.html