Lange Zeit ein Kritikpunkt, jetzt ein Qualitätsmerkmal? WhatsApp hat eine Ende-zu-Ende-Verschlüsselung (E2E) eingeführt. Plötzlich erschien in den Chatverläufen folgende Meldung:

WhatsApp1

Klickt man auf die Schaltfläche, erscheinen weitergehende Informationen:

 

WhatsApp2                      WhatsApp3

 

Ende-zu-Ende-Verschlüsselung

Bei einer E2E-Verschlüsselung liegen die zu transportierenden Daten während des gesamten Übertragungsvorganges ausschließlich in verschlüsselter Form vor. Entschlüsseln und damit die Nachricht lesen können ausschließlich der Versender und der oder die Empfänger. Das eingesetzte Verfahren basiert dabei auf dem TextSecure-Verfahren von Moxie Marlinspike

Alles Sicher?

heise Security hatte sich im April 2015  die die Ende-zu-Ende-Verschlüsselung genauer angesehen:

  • Zwar könne man die Datenpakete, die vom Smartphone aus verschickt werden unter bestimmten Voraussetzungen abfangen. „Der […] Inhalt der Nachrichten blieb […] unlesbarer Binärcode.“
  • Die verwendete Transportverschlüsselung beruht auf einem RC4-Algorithmus. Das RC4-Verfahren gilt als geknackt, zudem werde offenbar für beide Kommunikationsrichtungen der gleiche, aus einem Benutzerkennwort abgeleitete Schlüssel verwendet. Aufgrund dessen sind erfolgreiche Angriffe grundsätzlich möglich, unmöglich sei hingegen eine einfache Massenüberwachung der WhatsApp-Kommunikation (im aktuellen WhatsApp-Security-Whitepaper wird  nicht mehr auf das RC4-Verfahren sondern auf elliptic curve verwiesen).
  • Eine zusätzliche E2E-Verschlüsselung erfolge nur, wenn die Gegenstelle (der Empfänger) in der Lage ist, diese Verschlüsselungsdaten zu verarbeiten. Im Test mit Android-Geräten konnte dies festgestellt werden (Dies konnten nunmehr auch bei iOS-Geräten bestätigt werden).
  • Als weiteres großes Problem wurde ferner festgestellt, dass der Anwender nicht sicher wissen könne, ob E2E tatsächlich zum Einsatz kommt. Zudem scheint es kein Commitment von WhatsApp zu konsequenter E2E-Verschlüsselung zu geben

Und nun?

WhatsApp scheint die Bedürfnisse seiner Nutzer erkannt und sein Produkt entsprechend modifiziert zu haben. heise Security hat bereits angekündigt, die Modifizierungen einer genauen Prüfung zu unterziehen. Davon unabhängig sollte eine Kommunikation vertraulicher oder einer Verschwiegenheit oder Schweigepflicht unterliegender Daten zurückhaltend erfolgen.