Thread
Forum zu:
Threads:
Übersicht
Menü

Auch hier zeigt sich die Schwäche der WhatsApp Ende-zu-Ende Verschlüsselung


25.08.2023 16:50 - Gestartet von unixasket
In WhatsApp kann man sich über Inhalte beschweren und ein Moderator schaut sich dann die Inhalte an. Nun: WhatsApp wirbt mit seiner sicheren Ende-zu-Ende Verschlüsselung. Wie soll sich denn ein Moderator Inhalte ansehen, wenn diese doch Ende-zu-Ende verschlüsselt versendet wurden?

Auch hier: Wenn der betreffende Account vorher gar nicht in der Gruppe war, wurden die Inhalte auch nicht für ihn verschlüsselt, dennoch soll er vergangene Inhalte sehen können! Die Frage ist wie dies mit einer Ende-zu-Ende Verschlüsselung technisch umgesetzt wird?

Fakt ist auch: WhatsApp ist Closed Source und niemand kennt die technischen Details zum Sicherheitskonzept in WhatsApp, außer WhatsApp selber. Es ist durchaus vorstellbar, dass WhatsApp in der Lage ist, Verschlüsselungsschlüssel auf den Geräten neu generieren zu lassen und Inhalte nochmal mit anderen Schlüsseln erneut zu senden. Keine Ahnung, ob dass so gemacht wird, wäre aber ein gangbarer Weg. Würde dann auch heißen: WhatsApp kann prinzipiell jederzeit seine eigene Ende-zu-Ende Verschlüsselung aushebeln.

Ein System, das zwar Ende-zu-Ende Verschlüsselung umsetzt, aber Closed Source (und damit eine Black Box) ist und einen Mechanismus eingebaut hat, welcher dafür sorgt, dass Inhalte nochmal neu gesendet werden (ohne dass dies für den Anwender ersichtlich ist), ist kein vertrauenswürdiges System (ganz davon abgesehen, dass WhatsApp auch jede Menge Metadaten abgreift, aber das ist ein eigenes Thema).
Menü
[1] Kuch antwortet auf unixasket
25.08.2023 17:42
Hallo,

WhatsApp hat die Ende-Zu-Ende-Verschlüsselung gar nicht selbst entwickelt, sondern von Open Whisper Systems übernommen (heute: Signal Foundation). Und das ist Open Source und kann hier eingesehen werden:

https://signal.org/docs/specifications/doubleratchet/
https://signal.org/blog/advanced-ratcheting/

Da kann man also alles selbst prüfen. Die eigentliche WhatsApp Messenger-App ist aber in der Tat leider Closed Source.

Alexander Kuch
Menü
[1.1] unixasket antwortet auf Kuch
25.08.2023 17:58
Benutzer Kuch schrieb:

WhatsApp hat die Ende-Zu-Ende-Verschlüsselung gar nicht selbst entwickelt, sondern von Open Whisper Systems übernommen (heute: Signal Foundation). Und das ist Open Source und kann hier eingesehen werden:

Missverständnis: Implementierung und Algorithmus sind ein Unterschied!

Der Algorithmus ist von Open Whisper Systems und Open Source, dass ist mir natürlich bekannt. Aber, was wann wie genau angewendet wird oder nicht ist implementierungsspezifisch und z. B. in Signal ganz anders, als in WhatsApp. Wenn z. B. in einem Closed Source System einfach eine durch den Nutzer nicht registrierbare Neugenerierung des Schlüssels ausgelöst werden kann, welcher dann womöglich auch noch an einen zentralen Server übermittelt wird (nur als Beispiel), dann ist das eben unabhängig von irgendwelchen noch so sicheren OpenSource Verschlüsselungsalgorithmen, sondern Sache der Implementierung! Und genau darum geht es!

Sonst hätte Threema auch nicht seinen Quellcode vollständig OpenSource legen brauchen, denn der Verschlüsselungsalgorithmus war auch vorher schon OpenSource.

Man kann im übrigen bei jedem verschlüsselnden Softwareprodukt den Fehler machen, eine zwar sichere Verschlüsselung, aber eine schlechte Implementierung zu verwenden und ist dann eben auch nicht sicher.

Sichere Verschlüsselungen müssen auch sicher angewandt werden.

Ansonsten kommt nämlich genau das heraus, was sich manche Politiker wünschen: Ende-zu-Ende Verschlüsselung, aber mit Hintertüren (die dann das Gesamtprodukt wieder unsicher machen).