Kategorien: Feature

Signal-Entwickler: Es gibt keine Hintertür in der WhatsApp-Verschlüsselung

The Guardian übte kürzlich heftige Kritik an der Ende-zu-Ende-Verschlüsselung von WhatsApp. Sicherheitsforscher hätten eine Hintertür entdeckt, über die ein Mitlesen der Nachrichten möglich wäre. Nun äußern sich die Entwickler von Open Whisper Systems, die hinter dem anerkannten Signal-Protokoll stecken, das auch in WhatsApp zum Einsatz kommt, zu Wort. Sie werfen ein gänzlich anderes Licht auf die Causa.

In ihrem Blog erklären sie, wie die Ende-zu-Ende-Verschlüsselung arbeitet, und dass es in WhatsApp keine Hintertür gebe. Prinzipiell gebe es zwei Verschlüsselungsschlüssel – ein öffentlicher Schlüssel, der über die WhatsApp-Server ausgetauscht wird, und ein privater Schlüssel, der auf dem Gerät des Nutzers gespeichert wird. In einer Unterhaltung werden diese Schlüssel durch die Sicherheitsnummer, die in WhatsApp nach einem Klick auf den Namen des Gesprächspartners und den Punkt „Verschlüsselung“ angezeigt werden kann, ausgedrückt.

Über diese Sicherheitsnummer ist es möglich zu überprüfen, ob man tatsächlich verschlüsselt mit seinem Chat-Partner schreibt. Die Verschlüsselungsschlüssel können sich mit der Zeit jedoch ändern – etwa wenn man auf ein neues Smartphone wechselt, aber auch bei der Neuinstallation von WhatsApp. „Damit muss jedes Kryptografie-System, das auf öffentliche Schlüssel beruht, umgehen. WhatsApp gibt seinen Nutzern die Möglichkeit, darüber informiert zu werden wenn diese Änderungen auftreten“, so Open Whisper Systems.

Die Option dafür ist in den WhatsApp-Einstellungen unter Account -> Sicherheit zu finden. Im Chat-Verlauf findet sich nach Aktivierung ein Hinweis, sollte sich der Schlüssel geändert haben. Dies könnte ein Hinweis auf einen Man-in-the-Middle-Angriff sein, wahrscheinlicher ist aber das Szenario eines Smartphone-Wechsels oder einer Neuinstallation der App. Jedenfalls wird der Nutzer informiert und kann sich beim Chat-Partner erkundigen.

Zudem wisse der WhatsApp-Server nicht, ob man sich als Nutzer diese Sicherheits-Benachrichtigungen anzeigen lässt, so Open Whisper Systems. Ein potentieller Angreifer wüsste also nicht, ob die Gesprächspartner über die geänderten Schlüssel nicht sowieso informiert werden. Es sei außerdem nicht möglich, bereits zugestellte Nachrichten (also jene mit zwei Häkchen) erneut zu senden um sie über einen Man-in-the-Middle-Angriff abzufangen.

„Dass WhatsApp die Änderung von Verschlüsselungsschlüsseln zulässt, ist keine ‚Hintertür‘. So funktioniert nunmal Kryptografie. Jeder Versuch, Nachrichten bei der Übertragung abzufangen, kann durch den Sender erkannt werden – genauso wie bei Signal, PGP oder irgendeinem anderen System mit Ende-zu-Ende-Verschlüsselung“, so Open Whisper Systems. Die einzige vernünftige Frage in diesem Zusammenhang sei, wie WhatsApp mit der Änderung der Sicherheitsnummer umgehe.

WhatsApp könnte bei einer Änderung der Sicherheitsnummer den User blockieren und dazu auffordern, den neuen Schlüssel manuell zu verifizieren, bevor die Kommunikation fortgesetzt werden kann. Oder aber WhatsApp lässt die Gesprächspartner weiterhin kommunizieren und blendet einen entsprechenden Hinweis ein. Einzige Kritik, die man hier üben könnte: Diese Sicherheitshinweise sind standardmäßig abgeschaltet und müssen wie weiter oben beschrieben aktiviert werden.

Open Whisper Systems schreibt, dass es aufgrund der Größe der WhatsApp-Nutzerbasis angemessen sei, Gesprächspartner bei einer Änderung der Verschlüsselungsschlüssel nicht zu blockieren. Dies ermögliche ein transparentes und kryptografisch garantiertes Vertrauen in eine sichere Kommunikation, bei gleichzeitig simpler Bedienung. Diese Meinung müsse man zwar nicht teilen, unter keinen Umständen dürfe man dieses Verhalten aber als Hintertür bezeichnen, so Open Whisper Systems.

Via Open Whisper Systems

Martin Wendel

Neueste Artikel

watchOS 11.4 offiziell veröffentlicht – das ist neu für die Apple Watch

Apple hat watchOS 11.4 nun offiziell für alle Nutzer:innen der Apple Watch freigegeben. Das Update bringt zwar keine großen Systemänderungen,…

1. April 2025

Google Nest Protect wird eingestellt: Smarter Rauchmelder ist nur noch begrenzt verfügbar

Google hat offiziell angekündigt, die Produktion seines smarten Rauchmelders Nest Protect einzustellen. (mehr …)

1. April 2025

Apple zieht watchOS 11.4 überraschend zurück

Apple hat seine neueste Version von watchOS, Version 11.4, nur wenige Stunden nach Veröffentlichung ohne Angabe von Gründen wieder zurückgezogen.…

31. März 2025

visionOS 2.4 bringt Apple Intelligence und neue immersive Inhalte auf die Apple Vision Pro

Apple hat heute visionOS 2.4 veröffentlicht – ein umfassendes Update für die Apple Vision Pro, das erstmals Apple Intelligence Funktionen,…

31. März 2025

iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 und watchOS 11.4: Apple bringt KI, neue Funktionen und Systemoptimierungen

Apple hat mit der Veröffentlichung von iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 und watchOS 11.4 ein umfangreiches Softwarepaket ausgeliefert.…

31. März 2025

Apple erhält ungewöhnliche Geldstrafe von 162 Millionen Dollar wegen App-Tracking-Transparenz

Apple wurde von der französischen Wettbewerbsbehörde wegen seiner App-Tracking-Transparenz (ATT) zu einer Geldstrafe von 162 Millionen Dollar verurteilt. (mehr …)

31. März 2025

Diese Website benutzt Cookies um Ihr Nutzererlebnis zu verbessern. Wenn Sie diese Website weiter nutzen, gehen wir von Ihrem Einverständnis aus.

Mehr lesen