Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News WhatsApp erhält Ende-zu-Ende-Verschlüsselung
- Ersteller Robert
- Erstellt am
- Zur News: WhatsApp erhält Ende-zu-Ende-Verschlüsselung
Endlich muss sich keiner mehr über "Blaue Hacken" aufregen . Was für ein Segen. Danke Whatsapp. Da Threema trotz einiger datenschutztechnischer Vorteile immer noch kaum bei mir im Umkreis genutzt wird nun vielleicht doch ein Grund weniger für die Messengerfragmentierung.
Zuletzt bearbeitet:
reev
Ensign
- Registriert
- Aug. 2005
- Beiträge
- 137
Das sehe ich zwar nicht ganz so, aber selbst wenn ein Benutzer seine Adressdaten überträgt, werde sie bei Threema (anders als bei WhatsApp) eben nicht in einer vom Dienstbetreiber lesbaren Form - sondern "gehasht" - also nur als "Prüfsumme" übertragen. Dem Missbrauch der persönlichen Daten ist damit also ein Riegel vorgeschoben.xbrtll schrieb:@reev: Mit großer Betonung auf "kann auch ohne Adressbuchzugriff...". Wenn dann ein hinreichend großer Anteil sein Adressbuch überträgt (wovon man denke ich ausgehen kann) ist es für den Rest letztlich auch schon wieder egal.
Also ganz und gar nicht egal.
Zuletzt bearbeitet:
Selbstverständlich wird der Schlüssel auch bei WA beim Benutzer erzeugt (also der private Schlüssel, die Sitzungsschlüssel mittels DH). Sonst wäre hier nicht von Ende-zu-Ende-Verschlüsselung die Rede
Wahrscheinlich läuft es genau ab wie bei Textsecure, das Verfahren habe ich ja vorhin beschrieben.
Wahrscheinlich läuft es genau ab wie bei Textsecure, das Verfahren habe ich ja vorhin beschrieben.
Zuletzt bearbeitet:
Bogeyman schrieb:Mal im ernst die NSA hört eh mit, das wird wohl niemand bestreiten. Und wer soll da sonst noch mithören? Für eine Privatperson ist das auch quasi nicht möglich mitzuhören AUCH wenn die Schlüssel nicht abgeglichen würden. Also die Frage vor wem will man sich da schützen.
Die Daten sind immer noch verschlüsselt auch ohne Abgleich der Schlüssel und da kommt man von "außen" nicht mal eben so einfach ran.
Soll halt mal jemand nen How2 hier veröffentlichen wie man es anstellen will: Beispielsweise Person X ist in eurem WLAN und chattet über WA mit Person Y irgendwo anders im Internet.
Man in the Middle schön und gut (in der Theorie) aber wie praktisch umzusetzen mit normalen Mitteln?
Mal angenommen ich hab nen FTP Server mit Passwort (pw wird dabei im Klartext übertragen). Mein Nachbar kennt meine IP und die IP meine Freundes der sich immer da einloggt. Er wird dennoch nicht an das PW kommen, dazu müsste er erstmal einen von uns beiden in einem von ihm kontrollierten Netzwerk bringen.
Dann schalten wir meinetwegen SSL dazu mit selbstsignierten Zertifikaten (hochgefährlich, jeder Browser spuckt ja erstmal ne Wahnmeldung aus!). Da muss er dann genau im passenden Moment das Teil abgefangen haben wenn ich meinem Freund den PublicKey schicke und ihn gegen einen eigenen ausgetauscht haben. Chatte mit meinem Freund über Skype und teile im darüber auch die Nötigen Zugangsdaten mit. Müsste mein böser Nachbar also auch Skype erstmal hacken.
Und jetzt die Frage wie praxisrelevanz ist das alles? Hier gehts doch net um die Startscodes von Atomraketen, und selbst da hat man teilweise mal aus bequemlichkeit unsichere Passwörter benutzt
Danke für den praxisorientierten Beitrag. Chapeau.
Ergänzung ()
Chapsaai schrieb:was ist die aktuellste android version?
5.0 (Lollipop)
Rexus
Lt. Commander
- Registriert
- Mai 2006
- Beiträge
- 1.401
Lar337 schrieb:Selbstverständlich wird der Schlüssel auch bei WA beim Benutzer erzeugt (also der private Schlüssel, die Sitzungsschlüssel mittels DH). Sonst wäre hier nicht von Ende-zu-Ende-Verschlüsselung die Rede
Wahrscheinlich läuft es genau ab wie bei Textsecure, das Verfahren habe ich ja vorhin beschrieben.
Ich kann mir nicht vorstellen, dass die vom User verschlüsselten Nachrichten auf den WA-Servern nicht unverschlüsselt vorliegen können.
Allerdings habe ich noch nirgendwo (offiziell) gelesen, dass die Schlüssel beim User auf dem Gerät erzeugt werden und nicht von WA über die Server verteilt werden, wenn man den "verschlüsselt"-Button aktiviert. Solltest du hier aber ein Statement von offizieller Seite, wie die Verschlüsselung funktionieren soll, finden, bitte poste mir das mal.
Sorry, aber bei der Antwort hast du dich nicht wirklich mit dem Thema beschäftigt. Eine Diskussion des Themas z.B. hier: https://whispersystems.org/blog/contact-discovery/reev schrieb:Das sehe ich zwar nicht ganz so, aber selbst wenn ein Benutzer seine Adressdaten überträgt, werde sie eben nicht in einer vom Dienstbetreiber lesbaren Form - sondern "gehasht" - also nur als "Prüfsumme" übertragen. Dem Missbrauch der persönlichen Daten ist damit also ein Riegel vorgeschoben.
Wesentlicher Absatz:
Unfortunately, this doesn’t work because the “preimage space” (the set of all possible hash inputs) is small enough to easily calculate a map of all possible hash inputs to hash outputs. There are only roughly 10^10 phone numbers, and while the set of all possible email addresses is less finite, it’s still not terribly great. Inverting these hashes is basically a straightforward dictionary attack. It’s not possible to “salt” the hashes, either (they always have to match), which makes building rainbow tables possible.
promashup schrieb:Backdoor ist aber immer noch drin, sonst gäbe es keinen Grund für FB WA weiterzuentwickeln.
ohne "Backdoor" dürften die es gar nicht bei Apple oder Google den Store stellen, da jede Verschüsselung sowohl von der NSA mitentwickelt als auch am Ende von ihr für den Einsatz auf US Geräten genehmigt werden muss. Bei einer End-to-End Verschlüsselung geht es aber auch gar nicht um den Schutz der Daten vor der Staatsgewalt sondern vor Dritten die euren Whatapps Chat mitlesen könn(t)en wenn sie mit euch zusammen im gleichen (offenen) (W)LAN hängen.
Zuletzt bearbeitet:
reev
Ensign
- Registriert
- Aug. 2005
- Beiträge
- 137
Doch, habe ich schon.xbrtll schrieb:Sorry, aber bei der Antwort hast du dich nicht wirklich mit dem Thema beschäftigt. Eine Diskussion des Themas z.B. hier: https://whispersystems.org/blog/contact-discovery/
Ich bin sicher nicht so naiv zu glauben, dass Hashsummen keinesfalls zurückzurechnen seien - du hast ja selbst zittiert: "There are only roughly 10^10 phone numbers, and while the set of all possible email addresses is less finite, it’s still not terribly great." Aber darum geht es mir in diesem Zusammenhang auch nicht. Worum es mir geht, ist, dass WhatsApp die Adressdaten in einer für sie lesbaren Form überträgt.
Also warum tut man hier nicht das technisch Mögliche?
Sicher? Ich meine, das wurde mal geändert. Unter der Prämisse, dass sie es sowieso zurückrechnen könnten, wäre es aber ohnehin egal.Worum es mir geht, ist, dass WhatsApp die Adressdaten in einer für sie lesbaren Form überträgt.
Ruff_Ryders88
Rear Admiral
- Registriert
- Jan. 2008
- Beiträge
- 5.460
SoilentGruen schrieb:Schön, aber ich bleib trotzdem bei Telegram
edit: Solange, bis Bleep produktreife erreicht hat.
@erazzed
Also "meine" Leute sind geschloßen zu Telegram, ok, einige haben WhatsApp parallel laufen, aber ich habe echt alle leute in Telegram. Mittlerweile hat telegram über 40Mio Nutzer... ok, verglichen mit WhatsApp ~700Mio ist das nicht ganz so viel, aber ein Anfang. Und telegram ist nichtmal ein Jahr alt.
Ich lese zum hundertsten mal Telegram, die App gehört dem russischen Pendant zu Facebook. Threema kann ich ja verstehen (nutze ich selber) aber Telegram ist einfach genauso dumm. Dann kann man gleich bei WhatsApp bleiben.
Aha, es hat sich nur nichts geändert.Sgt.Slaughter schrieb:einfach seit der Facebook Zugehörigkeit ein Dorn im Smartphone
Man kann "hinterfragen" auch heucheln nennen.Sgt.Slaughter schrieb:Schade das bei einem Großteil der Menschheit kein kritisches Denken und Hinterfragen mehr existiert.Ich schränke dank Cyanogen Mod die Rechte von Whats App sehr ein.
Die Leute Posten jeden scheiß oder auf Fatzenbuch oder bei zwitter und jammern rum von wegen "Privatsphäre"
Die Leute beschweren sich das eine automatische Lesebestätigung angezeigt wird, posten aber gleichtzeitig das die grad probleme beim Stuhlgang haben.
D
DirtyOC
Gast
Hintertürchen sind immer vorhanden, ob in Android, Verschlüsselung, oder auf dem Server. Es kursieren Gerüchte, dass Hintertüren schon von Anfang an eingebaut werden. Und wenn diese Hintertürchen von jemanden entdeckt werden, dann gibts ein Update, dass alles behebt
Whatsapp ist gut, aber glauben, dass deine Nachrichten niemand lesen könnte ist sehr naiv
Whatsapp ist gut, aber glauben, dass deine Nachrichten niemand lesen könnte ist sehr naiv
Zuletzt bearbeitet:
(Ergänzung)
C
carom
Gast
Trefoil80 schrieb:Ich vertraue WhatsApp, dass sie die Verschlüsselung von Textsecure tatsächlich eingebaut haben.
Das nützt aber nahezu nichts, weil ich mir zu 99,9999 % sicher bin, dass WhatsApp sich selbstverständlich die privaten Keys der User zieht und somit die Nachrichten selbstverständlich lesen kann.
Oder die Nachricht einfach per bypass direkt nach Eingabe an WA leiten, selbst wenn die Verschlüsselung danach bombensicher ist.
reev
Ensign
- Registriert
- Aug. 2005
- Beiträge
- 137
Entspricht meinem aktuellen Kenntnisstand. Aber ich muss hier auch nicht zwingend Recht behalten. Schließlich würden wir alle von der Umsetzung des technisch Machbaren bei IM-Diensten profitieren. Denn unabhängig davon - ob man WhatsApp nun nutzt oder nicht - die eigenen Daten werden über die Adressbücher der Freunde und Bekannten ja trotzdem weitergegeben.xbrtll schrieb:Sicher? Ich meine, das wurde mal geändert. Unter der Prämisse, dass sie es sowieso zurückrechnen könnten, wäre es aber ohnehin egal.
Ich spreche hier auch ganz bewusst vom technisch Machbaren - etwaigen Angreifern ihr Geschäft eben so schwer wie möglich zu machen. Und wenn Threema sich zu so einem Schritt entscheidet, ist dies imho um Welten besser als sich gar nicht erst darum zu bemühen bzw. sein Bemühen gar bewusst einzuschränken oder zu vernachlässigen.
bu.llet
Banned
- Registriert
- Sep. 2005
- Beiträge
- 3.338
ich hab zwar nirgends gesagt, dass andere es besser machen, aber generell gilt: ein Verschlüsselungssystem muss Open Source sein.Turrican101 schrieb:Womit ist denn garantiert, dass die ganzen WA-Alternativen, die immer so gehypet werden, nicht auch alle böse sind und Hintertüren und Möglichkeiten haben? Da wird immer geschwiegen und in den Himmel gelobt, bei WA wird dagegen nur kritisiert und alles ist böse.
tranceonline
Cadet 4th Year
- Registriert
- Nov. 2008
- Beiträge
- 73
Ich muss sagen ich finde es auch unverständlich wie hier anscheinend 70% der Leute dem einfach blind glauben schenken können. Das Ding gehört Facebook!! Vergesst das nicht! Facebook ist DAS vorzeigenprodukt für metadatenhandel und jetzt machen sie ne sichere end2end verschlüsselung für whatsapp?? Ehmm... Klar doch... Bevor das nicht ne anständige unabhängige Gruppe auf Herz und Nieren getestet hat glaub ich da kein Wort von. Und wie schon erwähnt wurde werben andere apps damit und whatsapp erwähnt es nichtmal?!? Sry aber mein bullshit*t-o-meter zeigt grade 150/100 an...
Trefoil80
Commodore
- Registriert
- Dez. 2009
- Beiträge
- 4.890
bu.llet schrieb:ich hab zwar nirgends gesagt, dass andere es besser machen, aber generell gilt: ein Verschlüsselungssystem muss Open Source sein.
Das denke ich nach dem OpenSSL-Desaster nicht mehr...dann (vielleicht) lieber doch Closed-Source, wo nur eine Handvoll Leute den Code kennt.
Ähnliche Themen
- Antworten
- 116
- Aufrufe
- 7.497
- Antworten
- 20
- Aufrufe
- 2.895
- Antworten
- 40
- Aufrufe
- 3.244
- Antworten
- 3
- Aufrufe
- 750
- Antworten
- 133
- Aufrufe
- 23.249