News WhatsApp erhält Ende-zu-Ende-Verschlüsselung

[erazzed]

somit hat die ganze wechsel-panik jetzt hoffentlich ein ende!

Welche Wechsel-Panik? Ich glaube unterm Strich war die Anzahl der Wechsler nicht signifikant. Der Aufschrei, sei es jetzt durch die Sicherheitsbdenken im WhatsApp-Protokoll oder durch den Kauf WhatsApps durch Facebook, war mMn größer als dann letzten Endes die Konsequenz der Nutzer. Selbst in sehr IT-durchdrängten Kreisen ist nur ein kleiner Teil auf andere Messenger umgestiegen. Und auch 0815-User, die von IT-affinen Freunden o.ä. bequatscht wurden, haben nach einiger Zeit einsamen Fristens in anderen Messengern auch wieder zu WhatsApp zurückgegriffen. Und wenn Leute gewechselt haben war das nicht geschlossen zu EINER Alternative, sondern kreuz und quer auf alle möglichen anderen Messenger - wodurch sich die Wechsler quasi selbst den Boden unter den Füßen weggezogen haben.

The King is dead, long live The King!

 

[SoilentGruen]

Schön, aber ich bleib trotzdem bei Telegram

edit: Solange, bis Bleep produktreife erreicht hat.

@erazzed
Also "meine" Leute sind geschloßen zu Telegram, ok, einige haben WhatsApp parallel laufen, aber ich habe echt alle leute in Telegram. Mittlerweile hat telegram über 40Mio Nutzer... ok, verglichen mit WhatsApp ~700Mio ist das nicht ganz so viel, aber ein Anfang. Und telegram ist nichtmal ein Jahr alt.

 

[tree-snake]

Whatapp hat und wird auch in Zukunft die Facebooksammelmaschine hinter sich haben. Dieses Laster werden sie ihr lebenlang nicht mehr los.

Ach, viele wissen gar nix von der Übernahme oder haben den Einstieg von FB schon lange wieder vergessen. Nicht jeder macht sich ständig Gedanken über die IT Welt.

 

[riDDi]

Und wie verschlüsseln sie Gruppenchats? Um für mehrere Empfänger gleichzeitig zu verschlüsseln bräuchte es genauso viele Privat Keys wie Empfänger. Denn das Verfahren kann nur funktionieren, wenn der Private Key wirklich privat ist. Nur auf dem Empfänger-Gerät selbst generierte Schlüsselpaare sind wirklich sicher. Wenn ein Server bei Whatsapp für die ganze Gruppe ein Schlüsselpaar generiert und an alle Gruppenmitglieder verteilt sind sie als unsicher zu betrachten.

 

[die]

Abgesehen davon würde ich mit niemanden schreiben wollen dem ich nicht auch meine Telefonnummer geben möchte .

Das Problem ist aber, dass man das Telefonbuch rausrücken muss. Und man entscheidet nicht über die eigenen Daten, sondern über die Daten anderer - dass das erlaubt ist ist eine absolute Sauerrei. Deine Freunde und Bekannten können sich dagegen nicht wehren. ;-)

 

[Tinpoint]

Was passiert, wenn die NSA Daten von Whatsapp haben möchte? z.b über Terroristen, Straftäter oder EU-Politiker (nicht, dass ich die Gruppen in enen Topf werfen möchte)

steht doch da EndzuEnd vershclüsselung an einem ENde sitzt der User am anderen Ende die NSA

 

[Drakonomikon]

Der Schritt ist zu begrüßen. Aber...

WhatsApp selbst initiiert [...] den Schlüsselaustausch

Solange kein manueller Schlüsselaustausch stattfindet halte ich diese Sicherheit für einen Trugschluß. Überzeugt mich nicht.

 

[baizon]

Wer glaubt, dadurch ändert sich überhaupt etwas, der ist so naiv wie unsere Bundesregierung.
Skype hat auch P2P Verschlüsselung, einen Masterkey hat Skype trotzdem und alles kann mitgelesen werden (siehe heise). Somit hat sich faktisch gar nichts geändert, außer dass im offenen WLAN nicht die Nachrichten von dritten mitgelesen werden können

 

[TNM]

Gehört immer noch zu FB.

Wenn eh alle mitlesen dann wenigstens nicht alle auf einem Ort....ergo Kommunikation aufteilen. Telegram hat sich bei uns gut durchgesetzt, dabei bleibts erstmal.

 

[Turrican101]

Klingt wie eine dieser abstrusen Meldungen am 4.April.

Ist am 4. April irgendwas bestimmtes?

Ich finds gut, hoffentlich sind diese Alternativ-Missionierer bei jeder WA-News nun endlich mal ruhig. Ach ne, Backdoor, stimmt gar nicht, PR-Aktion, kann eh nicht überprüft werden, blabla.

 

[Robert]

Müsste das nicht der Sender sein?

Exakt. Danke, sonst macht der Satz natürlich keinen Sinn.

 

[riDDi]

Solange kein manueller Schlüsselaustausch stattfindet halte ich diese Sicherheit für einen Trugschluß. Überzeugt mich nicht.

Wenn auch nur ein Funken Verstand hinter dem System steckt bedeutet das, dass beim Senden einer Nachricht die beiden Parteien ihre Public Keys über den Whatsapp-Server tauschen. Von mir aus können NSA, GCHQ und Co. alle meine Public Keys haben, denn das befähigt sie nur dazu mir Nachrichten zu schicken, die nur ich lesen kann.

 

[tobi14]

Facebook soll jetzt also keine Nachrichten mehr lesen können ... da sage ich nur 19 Milliarden Dollar!!!!!!!!!!! Kaufpreis
Für was bitte??? Schöner Presse Gag, mehr nicht das ganze!

 

[WhiteShark]

Das Problem ist aber, dass man das Telefonbuch rausrücken muss. Und man entscheidet nicht über die eigenen Daten, sondern über die Daten anderer - dass das erlaubt ist ist eine absolute Sauerrei. Deine Freunde und Bekannten können sich dagegen nicht wehren. ;-)

Naja das ist halt die Funktionsweise eines Messengers der über die Rufnummer funktioniert. Das ist der Grund des Erfolgs, installieren und direkt ohne Usernamen auszutauschen mit seinen Freunden chatten können.

Viele synchronisieren ihr Telefonbuch mit Google. Sehe da jetzt nichts schlimmes. Problematisch wird es erst wenn Google oder Whatsapp die Daten weitergibt. Dafür kann der Nutzer aber nichts.

 

[Autokiller677]

Der Schritt ist zu begrüßen. Aber...

Solange kein manueller Schlüsselaustausch stattfindet halte ich diese Sicherheit für einen Trugschluß. Überzeugt mich nicht.

Ein Man-in-the-Middle ist so noch möglich, stimmt schon, aber soweit ich die Möglichkeiten überblicke, ist das der einzige Weg, irgendeine Art von Ende - zu - Ende Verschlüsselung flächendeckend zu machen. Irgendwo muss vertrauen investiert werden. Einen manuellen Austausch bekommt man nicht benutzerfreundlich realisiert, sonst hätte das schon längst jemand vorgeschlagen. Auch bei Mails mit PGP ist ja genau das der "Pain in the ass" bisher - hier werden zur Erleichterung Signaturen und (unabhängige) Keyserver verwendet, aber ein Grundstock an Vertrauen muss man auch hier investieren.

Wer glaubt, dadurch ändert sich überhaupt etwas, der ist so naiv wie unsere Bundesregierung.
Skype hat auch P2P Verschlüsselung, einen Masterkey hat Skype trotzdem und alles kann mitgelesen werden (siehe heise). Somit hat sich faktisch gar nichts geändert, außer dass im offenen WLAN nicht die Nachrichten von dritten mitgelesen werden können

Wo hat Skype eine Peer-to-peer Verschlüsselung? Im verlinkten Heise Artikel steht davon nichts, sehr wohl steht aber drin, dass MS in den Nutzungsbedingungen ausdrücklich darauf hinweist, das mitgelesen werden kann. Wer dem zustimmt und dann meckert ist selbst Schuld. Ich weiß nicht, ob sowas auch bei WhatsApp drinsteht. Wenn ja darf man sich da dann halt auch nicht wundern.

Nochmal zu Skype: Selbst MS schreibt nichts von P2P Verschlüsselung:

For instant messages, we use TLS (transport-level security) to encrypt your messages between your Skype client and the chat service in our cloud, or AES (Advanced Encryption Standard) when sent directly between two Skype clients. Most messages are sent both ways, but in the future it will only be sent via our cloud to provide the optimal user experience.
Voice messages are delivered to you encrypted in the same way as Skype calls and instant messages are encrypted. However, after you have listened to a voice message, it is transferred from our servers to your local machine, where it is stored as an unencrypted file.

Besonders zu beachten ist, dass ausdrücklich geschrieben wird, dass fast alles über deren Server läuft (und das "fast" in Zukunft entfallen soll für eine besser Nutzungserfahrung) und diese Kommunikation per TLS verschlüsselt ist - also nix mit Ende - zu - Ende.

@ Topic: Klingt ja erstmal nicht schlecht. Noch etwas abwarten und Tee trinken, aber vielleicht schaffe ich mir WhatsApp dann doch mal an. Bisher hab ich es nicht eingesehen, für einen Service, den Hangouts und Facebook besser & kostenlos bieten Geld zu zahlen, aber eine (halbwegs) ordentliche Verschlüsselung + die Verbreitung wären ein Argument.

 

[Daedal]

Was passiert, wenn die NSA Daten von Whatsapp haben möchte? z.b über Terroristen, Straftäter oder EU-Politiker (nicht, dass ich die Gruppen in enen Topf werfen möchte)

Warum nicht? Die US-Regierung wirft sie doch auch in einen Topf

Persönliche Daten wie Adressen, Kontonummer etc. versende ich nach wie vor über die gute alte SMS, nicht das diese sicher ist, aber da muss man sich "etwas mehr Mühe" geben um an die Daten zugelangen, so tue ich das ja schon freiwillig wenn ich das via Whatsapp täte.

Ich wüsste nicht was an diesen Daten verschleiert werden muss. Das steht auf Millionen von Briefköpfen von Kleinunternehmern und Rechnungen von Restaurants und Kneipen. Von Amazon, DHL und anderen Online-Shops und Lieferdiensten will ich gar nicht sprechen. Da wüsste ich kritischeres das ich nicht offen kommunizieren würde.

 

[Themis]

Versteh net ganz wie eine Man in the middle Attack stattfinden soll, wenn es funktioniert wie PGP dann gibts nen private Key, der muss nicht gesendet werden. Und den Public Key kann ich senden weil der ja auch Public sein soll..

 

[XDANEO]

Ganz ehrlich? Ist mir ja sowas von Latte ob die nun verschlüsseln oder nicht!
Auch wenn diese Frau aus der Werbung mich fragen würde ob sie mitlesen könne, würde ich ihr mein Handy in die Hand drücken und sie darum bitten es wieder zu geben wenn sie alles gelesen hat.

Alles was mir zu Privat ist wird offline gehalten und private Fotos die kein fremder sehen darf kommen schon garnicht aufs Telefon!

 

[Quetzalkoatlus]

Wunderbar, dann kann ich ja meinen Kollegen Mustafa und Ali demnächst per Whatsapp mitteilen wo sie ihre nächste Bombe legen sollen, das freut mich
Oder gibt es da doch eine Backdoor ?? Das glaube ich nicht, wie wir alle wissen ist Facebook ja ein wohltätiger Verein, dem nichts mehr am Herzen liegt als die Privatsphäre seiner Kunden. Und die NSA hat da sicher nicht ihre Finger mit im Spiel, denn die steckt überhaupt nicht mit FB unter einer Decke !!

Nein also mal in Ernst, das ist doch einfach nurnoch lächerlich, als ob es da wirklich eine Verschlüsselung gäbe. Eher würde FB die 19Milliarden das Klo runterspülen als sowas einzuführen.

 

[bu.llet]

WhatsApp selbst initiiert nur den Schlüsselaustausch, kann die verschlüsselten Nachrichten allerdings nicht mehr im Klartext auslesen – dies ist mit einer Ende-zu-Ende-Verschlüsselung lediglich dem Empfänger möglich

WhatsApp ist ja hier ohnehin "man in the middle". Womit ist denn garantiert, dass die nicht mit jedem einen Schlüssel austauschen und dazwischen entschlüsseln?