[Technik] WhatsApp: Ende-zu-Ende-Verschlüsselung für Android-User verfügbar

Der durch Komfort, Funktionalität, ständige Sicherheitslücken und vor einem halben Jahr an Facebook verkaufte, bekannte Instant-Messaging-Dienst WhatsApp, bietet nun ab der aktuellen Version zumindest für Android-User teilweise Vollverschlüsselung an. Die Umsetzung erfolgte durch den bekannten Sicherheitsexperten Moxie Marlinspike und seiner Firma Open Whisper Systems. Dabei wird die Verschlüsselung mittels der Implementierung des von Open Whisper Systems entwickelten TextSecure-Protocols in den WhatsApp-Messenger erreicht, welches eine OTR-Modifikation darstellt und ähnlich arbeitet. Bislang beschränkt sich die Funktionalität auf Einzelgespräche. Gruppenchats und sonstige Medieninhalte sollen in kommenden Versionen ebenso verschlüsselt werden können. Wann genau mit Versionen für andere Betriebssysteme zu rechnen ist, ist noch ungewiss.

Auch wenn hier sicherlich - technische Fehler und absichtliche Lücken wie durch entsprechende Patriot-Acts außen vor gelassen - ein wichtiger Schritt in Richtung Privatsphäre getan wurde, so bleiben noch immer die Meta-Daten jeglicher Kommunikation, also Teilnehmer, Dauer, Ort, Zeit, usw. Allein aus diesen Daten lassen sich sehr viele Rückschlüsse ziehen und je nach Umfang oder Art sehr schnell sehr präzise Schlussfolgerungen konstruieren. Während der Netzaktivist Cory Doctorow sich noch zu einem "It's the largest-ever deployment of end-to-end crypto, and assuming they didn't add any back-doors or make critical errors, this means that hundreds of millions of users can now communicate without being spied upon by governments, crooks, cops, spies or voyeurs." hinreißen lassen kann, scheint Moxie Marlinspike es zumindest etwas realistischer zu sehen und hat das Angehen des Problems Meta-Daten bereits angekündigt.

Quellen: http://www.sueddeutsche.de/digital/...app-setzt-endlich-auf-privatsphaere-1.2227320, http://boingboing.net/2014/11/18/whatsapp-integrates-moxie-marl.html

 

[accC]

Seit wann soll WhatsApp bitte kostenpflichtig sein? Ich hab bisher noch nie etwas dafür gezahlt o.O

Schaust du auf der Webseite von Whatsapp oder im Client selbst nach, steht dort, dass du 89ct (Preise variabel nach Währung/Kurs) pro Jahr für die Nutzung zahlst.

Tatsächlich war es so:
iOS: Der WhatsApp Client konnte für einmalig 99ct gekauft werden. Es fallen keine weiteren Kosten an.
Android: Der WhatsApp Client war kostenlos aus dem Market erhältlich. Es fallen jedoch ab dem 2 Nutzungsjahr jährlich Kosten iHv. 89ct an.
Irgendwann hat WhatsApp das Bezahlmodell vereinheitlicht, so dass nun für alle Neukunden ab dem 2 Jahr jährlich die Gebühr iHv. 89ct fällig wird/wurde.
Bei den Preisen bin ich mir nicht ganz sicher, meine aber, die waren schon immer in der Höhe, zumindest aber in der Größenordnung.
WhatsApp hat wohl von den meisten Nutzern nie - also auch nicht nach 2 oder mehr Jahren - keine Beiträge eingefordert. Vermutlich wohl wissend, dass viele zur Konkurrenz wechseln könnten. Mittlerweile hat WhatsApp allerdings die Marktmacht, WhatsApp als kostenpflichtigen Dienst durchzusetzen, da es (neben Facebook) defacto Standard geworden ist. Immerhin haben sie sogar Zeit fällige Beiträge der vergangenen 3 Jahre einzufordern - immerhin ist das die Verjährungsfrist.

Der Original-Client kostet meines Wissens eine "Schutzgebühr" von 1.- Euro pro Jahr. Scheinbar, um das Wachstum der Nutzer einzudämmen. Gegen Alternativ-Clients wird afair vorgegangen.

Richtig, Alternative Clients werden von WhatsApp nach und nach ausgeschlossen.. Nicht nur, indem man die API ändert, sondern auch aktiv, indem man solche Clients erkennt und ihnen den Zugang verweigert.

Was die Verschlüsselung angeht, so bin ich da auch unsicher, aber ich hab auch die Technik nicht komplett verstanden, geschweige denn komplett gelesen. Mir reichen ehrlich gesagt die Stichwörter OTR, PFS und Abstreitbarkeit.
SSL alleine halte ich für sinnlos gegenüber Geheimdiensten, weil sie das afaik mittels MITM umgehen können. OTR mit sicher verifizierten Keys erscheint mir dagegen sicher, soweit ich das verstanden hab. Insgesamt rechne ich aber schon damit, dass auch das irgendwie umgehbar ist, weil "der Gegner" schlicht alle wichtigen Punkte zwischen zwei Kommunikationspartnern kontrolliert.

Crypto wie bspw. OTR sie implementiert, ist dazu designed, dass du den kompletten Übertragungsweg überwachen kannst und zwei Kommunikationspartner A und B trotzdem kommunizieren können, ohne dass du mitlesen kannst.
Allerdings wundert mich, dass der WA Client nichts von Crypto spüren lässt. Auch bei OTR findet ein Schlüsselaustausch statt und zumindest der Fingerprint dessen muss überprüft werden. Was bringt es, wenn ich irgendeinen Schlüssel zum Verschlüsseln habe und darauf vertrauen muss, dass das der Schlüssel von einem bestimmten Freund ist und nicht der Schlüssel vom NSA. Natürlich kann man super duper tolle Crypto-Algorithmen verwenden, die jeder Prüfung und jedem denkbaren Angriff in jedem Szenario Stand halten, wenn sie falsch implementiert werden, bringen sie nichts.
Falls ich mich missverständlich ausgedrückt habe: Verschlüsselung bringt nichts, wenn ich nicht weiß, für wen ich verschlüssele. Kann man nicht glaubhaft überprüfen, für wen man verschlüsselt, dann kann man die Verschlüsselung auch gleich weg lassen.

Hatte FB beim Kauf von WA nicht verkündet, es kostenlos zu machen? Irgend sowas habe ich da in erinnerung...

Soweit ich weiß, waren das Gerüchte, die man auf den Weg gebracht hatte, die jedoch zu keiner Zeit von einer offiziellen Stelle kommentiert, bestätigt oder dementiert wurden. Klar, $(Beliebiger Name einer Online-Zeitschrift) bekommt halt klicks, für einen reißerischen Artikel voller Spekulationen über den Kauf von WhatsApp, aber mehr als Bildzeitungsniveau oder Klatschpresse ist das auch nicht. "So hat uns ein Insider erzählt, dass Emma Watson gerne Linsensuppe ist, weil sie sich dann Pupsduelle mit ihrer Freundin liefern kann. Die Plaudertasche erzählt weiter 'Emma trägt ihre Ohrringe gerne in der Hosentasche, weil sie das cooler findet'" und jeder Jugendliche "boah geil"... [Achtung: Es handelt sich um eine fiktive Aussage!]

 

[MSX]

Kann man nicht glaubhaft überprüfen, für wen man verschlüsselt, dann kann man die Verschlüsselung auch gleich weg lassen.

Ja, genau das mein ich auch. Also, auf jeden Fall gegenüber Dritten, die auf Knotenpunkte Zugriff haben, über die der Verbindungsaufbau stattfindet. Bei OTR hätte man ja immerhin noch Schlüssel, die man abgleichen könnte und sowas hätte ich dann nun im WhatsApp-Client auch erwartet. Wenn der nun nur automatisch abgleicht und man das nicht prüfen kann, dann kann man es ja grad lassen. Außerdem weiß man nicht, was im Client noch eingebaut ist und möglicherweise die Sache hinfällig macht. Und seien es "nur" absichtliche Fehler.

Also ich halte das zwar für sinnvoll gegenüber "normalen" Dritten, aber vollkommene Augenwischerei bezüglich Geheimdiensten. Würde ich gefühlt Moxie Marlinspike aufgrund bisheriger Infos nicht für seriös halten, würde ich dem ganzen Kram noch weniger trauen. Aber gut, zumindest ich nutz es ja nicht. Werden also nur die 500 Mio. anderen Leute angelogen und fühlen sich nun sicher.

 

[SomeChap]

Immerhin wieder ein guter Beweis dafür, dass ein herausragendes Abitur nichts über die 'Intelligenz' eines Menschen aussagt. Das tröstet mich etwas.

Da geb ich dir absolut Recht... Wenn ich teils sehe was heute so alles studieren darf...

Dinge auswendig lernen hat rein gar nichts mit Intelligenz zu tun

 

[accC]

IQ Tests..

Spoiler

Dinge auswendig lernen hat rein gar nichts mit Intelligenz zu tun

Leider doch. Intelligenz definiert sich auch über die Fähigkeit sich Dinge zu merken.
Intelligenz definiert sich nicht alleine über diese Fähigkeit, aber sie ist denn noch ein Punkt, nachdem sie bemessen wird.

Im Übrigen können Intelligenztests durch pures "Lernen" der Aufgabentypen manipuliert werden.
Natürlich nicht, indem man die konkrete Aufgabe auswendig lernt, sondern indem man den Aufgabentyp trainiert.
Dann geht der Test sogar zu 100% an dem vorbei, was er eigentlich messen möchte.
Deshalb erzielen Psychologen, über IQ-Tests automatisch bessere Ergebnisse, als der Schnitt, sie kennen die Aufgabentypen ja.

Das Problem liegt in der Standardisierung/ Normierung, was aber wiederum essenziell für einen sinnvollen Vergleich verschiedener Versuchspersonen ist.


Wenn wir schon mal dabei sind: Die IQ Tests, die im Internet herum schwirren, sind zu 99,99999999999 (auf 11 Dezimalen abgerundet) vollkommener Unsinn und absolut unbrauchbar. Da kann man noch 3x dran schreiben, dass sie von dem berühmten Dr. Dr. Prof. Dipl.-Ing. von und zu Ajds adw Asdzhq aus China sind, besser macht es die Tests natürlich kein Stück..

Aber genug rage..

Ab welcher Version steht die E2E Verschlüsselung denn zur Verfügung?

 

[Patroklos]

Hier könnt ihr die aktuellste WhatsApp-APK in der Version 2.11.448 herunterladen, mit dieser Version könnt ihr ebenfalls die blauen Lesebestätigungs-Haken von WhatsApp deaktivieren. Leider geht aus dem WhatsApp-Changelog nicht hervor, ob bei dieser bereits die Ende-zu-Ende-Verschlüsselung implementiert ist.

Jedoch wurde die Verschlüsselung bereits in die FAQs aufgenommen, daher dürfte sie schon in der aktuell angebotenen Version vorliegen. Ebenfalls gibt Open WhisperSystems im entsprechenden Blogeintrag bekannt, dass diese bereits in der aktuellsten WhatsApp-Version verfügbar sein sollte.

Quelle: Open Whisper Systems, via TechCrunch

Seit einem halben Jahr arbeitet WhatsApp bereits mit Open Whisper Systems zusammen, um die Krypto-Infrastruktur von TextSecure zu integrieren. Die Android-Versionen sollen dessen Ende-zu-Ende-Verschlüsselung schon beherrschen und "täglich bereits Milliarden verschlüsselte Nachrichten austauschen" heißt es in einem Blog-Beitrag von Open Whsiper Systems. In weiteren Ausbaustufen sollen verschlüsselte Gruppen-Chats und die anderen Betriebssysteme folgen.

Quelle: heise.de

Mehr finde ich gerade nicht.

 

[gelöschter Benutzer]

Naja solange keine Hintertüren eingebaut worden sind, ....

und genau davon darf man getrost ausgehen.
Ist doch nur ein Marketinggag das ganze.
Man will halt mehr Leute zu WA bringen in dem man ihnen vermeintliche Sicherheit vorgaukelt.

Einfach kurz Hirn einschalten, nachdenken wem WhatsApp gehört und was dieses Unternehmen sonst so treibt, und erkennen, dass wenn man wirklich möchte, dass seine Unterhaltungen privat bleiben, man WA meiden sollte.

Nur, vielleicht braucht es einen ja eh nicht zu jucken, weil die Unterhaltungen auf WA ja zu 99% eh keinen interessieren und schon gar keine Geheimdienste...