WhatsApp verschlüsselt endlich

[DMW007]

Wie kürzlich bekannt wurde, ist WhatsApp eine Partnerschaft mit Open WhisperSystems eingegangen. Nachrichten sollen zukünftig auf Basis des Protokolls von TextSecure verschlüsselt werden. TextSecure gilt bei sicheren Handy-Messengern als Maß der Dinge. WhatsApp würde somit über eine End-zu-End Verschlüsselung verfügen. Bei korrektem Einbau wäre es sowohl den WhatsApp-Betreibern als auch Geheimdiensten und anderen Spitzeln quasi unmöglich, die Nachrichten mitzulesen geschweige denn zu manipulieren. Allerdings ist die Verschlüsselung bislang nur unter Android verfügbar, und selbst dort lediglich für direkte Textnachrichten zwischen zwei Gesprächspartnern. Andere Inhalte wie Bilder, Gruppenchats oder Metadaten werden nach wie vor unverschlüsselt übertragen.

Noch bis vor ca. 2 Jahren wurden sämtliche WhatsApp-Nachrichten komplett unverschlüsselt übertragen. Dies begünstigte diverse Sicherheitslücken, wodurch z.B. der Status fremder Personen geändert werden konnte, wenn lediglich die Handynummer des anderen bekannt war. Gegen Ende 2012 führte WhatsApp eine Verschlüsselung namens RC4 ein. Diese stammt aus den 80ern und gilt längst als geknackt und unsicher. Selbst das Bundesamt für Sicherheit in der IT (BSI) rät seit letztem Jahr davon ab, RC4 zu verwenden.

Quellen: heise.de, chip.de, pixabay.com

Überrascht mich positiv, dass man von WhatsApp seit langem mal wieder etwas vernünftiges hört. Es gibt zwar noch genug zutun damit daraus ein halbwegs sicherer Messenger wird, aber das ist auf jeden Fall ein erster Schritt in die richtige Richtung.
Schade ist allerdings, dass dieses gesamte Thema recht chaotisch und undurchdacht wirkt:
Die Hälfte wird schon mal nicht verschlüsselt - natürlich erst mal schlecht, aber das hat möglicherweise Gründe und kann ja noch nachgereicht werden.
Nur für Android - okay, für den Anfang durchaus akzeptabel. Allerdings ist eine Anzeige ob verschlüsselt wird oder nicht dann Pflicht. Schließlich kann Kontakt X WhatsApp auf iOS, Windows Phone oder sonst wo verwenden, wo momentan noch gar nicht verschlüsselt werden kann.

Kein Changelog oder sonstige konkrete Informationen - finde ich ein Armutszeugnis, gerade weil ein Hinweis auf die Verschlüsselung offensichtlich fehlt. Muss ich nun die APK decompilieren und mich durch den wohl recht umfangreichen und für mich unbekannten Quellcode wühlen um festzustellen, ob meine Version verschlüsselt oder noch zu den alten gehört? Das kann ja nicht deren Ernst sein. Die Angabe einer Version ab der dieses Feature enthalten ist sollte doch wohl das Mindeste sein. Zumal die WhatsApp-Versionen durch die hohe Android-Fragmentierung selbst innerhalb des gleichen Betriebssystems unterschiedlich sein dürften.

Bleibt zu hoffen, dass WhatsApp bald Klarheit in dieses Chaos schafft, denn so wie es momentan ist nützt das ganze recht wenig.
Grundsätzlich klingt das Vorhaben interessant, bleibt abzuwarten wie sich das weiterhin entwickelt. Vielleicht mausert sich WhatsApp ja mit der Zeit doch noch zu einem vernünftigen Handy-Messenger, der irgendwann auch mal wieder auf mein Smartphone kommt.

[Silidor]

Ich denke, dass diese Verschlüsselung uns auch nur herzlich wenig bringen wird, da die Regierung immer ihre Wege finden werden um uns ausspionieren zu können. In meinen Augen kann das hier nur verhindern, dass irgendwelche 0815 Hacker uns einfach so ausspionieren können. Abgesehen davon bringt es uns weiterhin absolut garnichts wenn wir irgendeine Spyware auf unserem Smartphone installiert haben. Was bringt mir ein Antiviren Programm, dass mein Smartphone im Grunde nur 1000 mal langsamer macht, aber nichtmal die einfachsten Viren erkennt? In meinen Augen muss man allgemein die Sicherheit bei den ganzen Smartphones massiv verstärken, da sehr viele Menschen, sehr sehr viele sensible und private Daten darauf besitzen, die nur darauf warten jeden Moment von jemanden gestohlen zu werden.

zurück zu den News..

Es würde mich mal interessieren wieso dieses Feature bisher nur für Android vorhanden ist. Ich denke so ein großer Publisher sollte wohl in sofern fähig sein auch die Verschlüsselung für IOS und Windows Phone einzuführen. Die Tatsache, dass sie es erstmal nur für Android herrausbringen und dann mit der Zeit warsch. auch noch für IOS und Windows Phone erinnert mich hierbei an die ganzen Indie Entwickler, die es auch nie gebacken kriegen alles zeitgleich rauszuhauen.

MfG

[Jats]

Sehe das wie mein Vorredner. Heutzutage ist man nirgendwo mehr anonym, geschweige denn sicher. Wenn irgendeine Macht wie Regierung, Hacker, etc. wissen möchte was ich im Internet treibe, dann lässt sich das herausfinden. Jeder Normalverbraucher der nicht selbst über enorme Kenntnisse der Verschlüsselung verfügt und praktisch keinen digitalen Fingerabdruck hinterlässt ist praktisch unsicher.

Und selbst die Freaks die über VPN und was weiß ich surfen, die Fakeangaben machen, SIM-Karten auf falschen Namen benutzen oder die teuerste Antispyware auf dem Smartphone haben - es nützt alles nichts, diese Geräte arbeiten im verborgenen und wir wissen gar nicht was da alles in der digitalen Welt passiert. Wer also was zu verbergen hat, solche Dienste wie WhatsThat oder Fakeassbook sowieso meiden.

[hpifreak]

Vor allem seitens WhatsApp von einer Verschlüsselung zu reden kann eigentlich nur ein Witz sein... selbst wenn andere keinen leichten Zugriff auf die Daten/Nachrichte etc. haben, liest Facebook mit. Und wenn mal irgendwo Daten gespeichert sind, und gewisse Stellen (Staatsanwaltschaft etc.) eine Rechtfertigung finden die Daten lesen zu dürfen, bringt dir die beste Verschlüsselung original nichts...............

[DMW007]

Dieses Gerede von wegen 'selbst die beste Verschlüsselung bringt nix' ist reine Propaganda und entspricht nicht den Tatsachen (zum Glück, sonst hätten wir ein absolut katastrophales Problem). Wobei ich nachvollziehen kann, dass jemand der sich nicht mit der Materie auskennt zu dieser Schlussfolgerung kommt und sie plausibel findet. Es stimmt natürlich, dass niemand einem 100%tige Sicherheit garantieren kann. Das gilt aber nicht nur für Technik sondern generell. Keiner kann jemandem 100%tig garantieren, dass er morgen früh noch die Augen aufmachen wird. Man kann allerdings sein bestes tun um dies zu verhindern, und die Wahrscheinlichkeit damit drastisch senken. In der IT ist es nicht anders.

Es gibt bewährte Verschlüsselungsalgorithmen, die an sich sicher sind. Da kann auch keine Staatsanwaltschaft oder NSA was daran ändern, weil es selbst mit leistungsstarken Computern das Leben eines Menschen bei weitem übersteigen würde. Das Problem liegt a) an den Schlüsseln, b) am Einbau der Verschlüsselung bzw. Backdoors. Verwende ich '123456' als Passwort, nutzt die beste Verschlüsselung nichts. Wenn der jeweilige Entwickler Fehler beim Einbau der Verschlüsselung macht, kann sie möglicherweise viel schneller geknackt werden. Statt 823748923 Jahre dauert es dann vielleicht nur ein paar Monate. Genau da spielen Geheimdienste ja bereits mit, in dem sie Sicherheitsfirmen dafür bezahlen, bewusst Schwachstellen in ihre Produkte einzubauen.

Bei solchen Diensten wie WhatsApp kommt noch hinzu, wo der Schlüssel aufbewahrt wird. Bei Apple werden PRIVATE Schlüssel in der CLOUD aufbewahrt Grade bei Apple wird sich sowieso jegliches Recht für die dort gespeicherten Daten vorbehalten, bei solch schlechten Umsetzungen nützt die beste Verschlüsselung natürlich nichts. Wenn WhatsApp auf eine ähnlich sinnvolle Idee kommen sollte, ist das ganze nur heiße Luft und kann gleich wieder vergessen werden.
Eine 3m dicke Panzertüre nutzt schließlich auch nicht viel, wenn der Schlüssel in der Tür steckt...

Wer also was zu verbergen hat, solche Dienste wie WhatsThat oder Fakeassbook sowieso meiden.

Das hat jeder, aus dem Grund will und werde ich mit solchem Schrott nichts zutun haben. Zumindest nicht im jetzigen Zustand, da müsste sich schon einiges verbessern damit ich eine Nutzung dieser Dienste überhaupt in Erwägung ziehe.
Wegen der angekündigten Verschlüsselung wird aus WhatsApp auch nicht gleich ein vernünftiger Dienst. Verglichen mit dem Bau eines Hauses ist WhatsApp momentan gerade dabei das Fundament zu bauen, bis das Haus fertig bewohnbar ist fehlt jedoch noch einiges...

[marco88]

Das hört sich eher so an als wenn WhatsApp bzw. ja indirekt Facebook auch mal wieder positive Nachrichten um den Datenschutz herum brauchen.

[Silidor]

@DMW

Ich wollte ja nicht sagen, dass ich hier behaupte das eine Verschlüsselung garnichts bringt. Nur ist halt ja durch die ganzen NSA Skandale ja relativ viel aufgeflogen und man hat ja irgendwie auch gesehen, dass bewusst Backdoors eingebaut wurden, damit solche Behörden einfach Zugang dazu besitzen. Es ist ja klar, dass eine Verschlüsselung einen Effekt hat. Dein Beispiel mit dem Passwort hat dies ja relativ gut verdeutlicht. Ich bezog mich aber wie gesagt auf das was ich hier gehört und gelesen habe und das ist eben, dass bewusst Backdoors eingebaut werden oder irgendwie Spywares eingeschläust werden wodurch die Verschlüsselung auch wieder relativ unnötig wird. Bei einem Backdoorfreien System kann die NSA wie du auch sagtest dann wirklich mal Jahrelang daran sitzen bis sie das Passwort geknackt haben.

[GodfatherX]

Ich muss sagen, ich verstehe diese ganze Aufregung nicht. Spioniert, Abgehört und Mitgehört wurde doch schon immer. Auch als es noch kein Internet oder Mobilfunk gab. Natürlich würde man sich wünschen, das seine Daten und Gespräche geschützt/verschlüsselt bzw. abhörisicher sind. Wer aber ernsthaft glaubt, das das irgenwann einmal Realität wird, der lebt wohl in einer anderen Welt.

[patlux]

Bei solchen Diensten wie WhatsApp kommt noch hinzu, wo der Schlüssel aufbewahrt wird. Bei Apple werden PRIVATE Schlüssel in der CLOUD aufbewahrt Grade bei Apple wird sich sowieso jegliches Recht für die dort gespeicherten Daten vorbehalten, bei solch schlechten Umsetzungen nützt die beste Verschlüsselung natürlich nichts. Wenn WhatsApp auf eine ähnlich sinnvolle Idee kommen sollte, ist das ganze nur heiße Luft und kann gleich wieder vergessen werden.

Weil sie dazu verpflichtet sind. Jedes amerikanische Unternehmen ist dazu verpflichtet, dank dem Patriot Act. Apple verdient kein Geld damit Daten zu verkaufen, die verdienen nur durch Hardware und Software. Die machen das ganz sicher nicht, weil sie es wollen. Sie müssen.

[DMW007]

Naja Apple behält sich schon ein wenig mehr vor, ich habe die AGB der iCloud im Rahmen einer Seminararbeit mal genauer angeschaut. Letztendlich macht das den Kohl aber auch nicht mehr fett, weil alleine die gesetzlichen Vorgaben vollkommen inakzeptabel sind und bereits ein K.O.-Kriterium darstellen. Aus dem Grund meide ich Amerikanische Dienste und würde erst recht nie auf die Idee kommen, dort irgendwas zu speichern das auch nur halbwegs wichtig oder gar privat ist. Solche Daten speichert man in den eigenen Vier Wänden, und nicht bei externen Anbietern wo man jegliche Kontrolle darüber verliert, bei Amerikanischen schon 2x nicht.

Ich muss sagen, ich verstehe diese ganze Aufregung nicht. Spioniert, Abgehört und Mitgehört wurde doch schon immer. Auch als es noch kein Internet oder Mobilfunk gab.

Das ist richtig, allerdings heutzutage in einem ganz anderen Ausmaß als damals. Bis vor ~20 Jahren war es schlicht und einfach nicht möglich, mal eben die halbe Welt zu überwachen. Wie auch? Man konnte im besten Fall Telefone anzapfen, für alles andere brauchte man Spitzel vor Ort. Dementsprechend hat man sich darauf konzentriert Leute zu überwachen, gegen die Beweise vorliegen. Das war auch vernünftig und zählt zu den Aufgaben des Rechtsstates.
Heutzutage hat sich das umgekehrt: Grundsätzlich ist erst mal jeder verdächtig, alles und jeder wird überwacht um aus etlichen Millionen unschuldigen die 2 oder 3 bösen Buben zu erwischen, wenn überhaupt.
Das ist absurd und absolut unverhältnismäßig.

Natürlich würde man sich wünschen, das seine Daten und Gespräche geschützt/verschlüsselt bzw. abhörisicher sind. Wer aber ernsthaft glaubt, das das irgenwann einmal Realität wird, der lebt wohl in einer anderen Welt.

Das ist Realität wenn man ein paar Dinge beachtet, ließ dir dazu mal diesen Beitrag durch, dann reden wir weiter.

Ich wollte ja nicht sagen, dass ich hier behaupte das eine Verschlüsselung garnichts bringt. Nur ist halt ja durch die ganzen NSA Skandale ja relativ viel aufgeflogen und man hat ja irgendwie auch gesehen, dass bewusst Backdoors eingebaut wurden, damit solche Behörden einfach Zugang dazu besitzen.

Dann haben zumindest wir wohl ein bisschen aneinander vorbei geredet.
In dieser Hinsicht helfen nur 3 Dinge:
1. Keine unfähigen Parteien wie CDU & Konsorten wählen, dass damit die Katastrophe vorprogrammiert ist hat alleine Merkel ja schon gezeigt, wie sie seit über einem Jahr gegen den Schutz der Bürger ankämpft anstatt sich für diesen einzusetzen (stattdessen setzt sie sich lieber dafür ein, nicht selbst überwacht zu werden...)
2. Am Ball bleiben oder sich von entsprechenden Leuten beraten lassen und beispielsweise Dienste aus den USA meiden. Anhand des Verhaltens von Geheimdiensten kann man feststellen, ob etwas eher als sicher oder unsicher zu betrachten ist. Die NSA investiert beispielsweise Mittel, um SSL (Transportverschlüsselung, meist für Webseiten benutzt, erkennt man an https statt http und wird in den meisten Browsern mit einem Schloss neben der Adresse symbolisiert) knacken zu können. Zurzeit ist dies also als Sicher zu erachten. Natürlich unter der Voraussetzung, dass man sichere Verschlüsselungsmechanismen verwendet. Gerade bei SSL ist z.B. RC4 als Fallback-Lösung noch recht verbreitet, damit würde ich das nicht mehr als sicher erachten.
3. Selbst den Kopf einschalten. Die Einstellung "Ich kann ja ruhig alles machen was ich will, mein Virenschutz wirds schon verhindern wenn ich dabei auf etwas verseuchtes stoße" ist äußerst naiv und vergleichbar mit der Einstellung, im Winter auf gefrohrener Strecke mit 300km/h in die Kurven rasen zu wollen, da man schließlich Winterreifen hat. Beide werden im wahrsten Sinne des Wortes gegen die Wand fahren. Wer nachdenkt bevor er etwas tut und sicherheitstechnisch über ein gewisses Grundwissen verfügt, wird nicht auf die billigsten Tricks zur Infizierung der Massen hereinfallen.

100%tige Sicherheit kann natürlich keiner garantieren, aber wo gibt es das schon? Das ganze Leben basiert darauf, das Risiko für unerwünschte Dinge möglichst gering zu halten.
Wem seine Daten nicht egal sind wird sich daher um bestmöglichste Sicherheit bemühen, und das ist schon einiges mehr als das andere Extrema.
Schließlich ist die Chance, sicher und vor allem lebendig am Ziel anzukommen bei vernünftiger und vorsichtiger Fahrweise wesentlich größer wie bei 300 km/h auf eisiger Straße, um beim vorherigen Beispiel zu bleiben.
Genau so ist die Chance, seine Daten sicher gespeichert zu haben ebenfalls wesentlich größer, wenn man sich informiert und geeignete Schutzmaßnahmen trifft, anstatt wahllos Anbieter X zu nehmen weil dessen Oberfläche schick aussieht oder aus ähnlichen subjektiven Gründen.