Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
End-to-End-Verschlüsselung ist aber dazu da, den Betreiber am Einsehen der Daten zu hindern.
Also wäre es völlig schwachsinnig, wenn nur der Betreiber den Code sehen kann.
Will man Fremde abhalten die Daten zu sehen, reicht normale serverseitige Verschlüsselung. Aber grade darum geht es hier ja nicht, die gab es vorher schon.
Wenn auch nur ein Funken Verstand hinter dem System steckt bedeutet das, dass beim Senden einer Nachricht die beiden Parteien ihre Public Keys über den Whatsapp-Server tauschen. Von mir aus können NSA, GCHQ und Co. alle meine Public Keys haben, denn das befähigt sie nur dazu mir Nachrichten zu schicken, die nur ich lesen kann.
Das funktioniert nur solange, wie wirklich dein Public Key beim gegenüber ankommt. Tauscht ein ManInTheMiddle den Public Key gegen seinen eigenen aus, kann er nun alle Nachrichten weiterleiten.
Man muss dem Schlüsselübergebenden also mindestens einmal trauen.(Für jede Kommunikation).
Nichts desto trotz ist es ein sehr guter Schritt. Moxie ist unter den Entwicklern von sicheren Messangern ja kein unbekannter und ich glaube nicht, dass es in der Verschlüsselung eine bekannte Sicherheitslücke gibt. (Auch wenn ein unabhängiger Review gut wäre)
Die NSA wird sich wohl mit einer Möglichkeit beim Schlüsselaustausch dazwischen zu gehen zufrieden geben. Daher glaube ich nciht, dass eine Funktion zum manuellen Schlüsselaustausch kommt...
Ruff_Ryders88 schrieb:
Ich lese zum hundertsten mal Telegram, die App gehört dem russischen Pendant zu Facebook. Threema kann ich ja verstehen (nutze ich selber) aber Telegram ist einfach genauso dumm. Dann kann man gleich bei WhatsApp bleiben.
Wenn jemand deine Daten haben will, bekommt er sie auch. Ob du nun Threema, Telegram WhatsApp nutzt, wenn man das wirklich verhindern will, muss man schon wesentlich größeren Aufwand betreiben.
Aber der Unterschied ist, wenn ich Telegram benutze ist die Wahrscheinlichkeit, dass jemanden der die Daten gegen mich verwenden könnte, solche Daten zufällig in die Hände fallen wesentlich geringer.
Einfach weil die Verbreitung hier viel geringer ist und jemand der einfach nur nen Haufen Daten will um ein paar Leute damit zu erpressen bei uns in WhatsApp suchen würde. Gegen Zufallstreffer, bist du, bei gleicher Kryptographischer Sichertheit, bei dem Tool mit geringerer Verbreitung eben sicherer gegen Zufallstreffer.
Ergänzung ()
riDDi schrieb:
Bei Text wäre das vmtl. gerade noch zu verkraften, aber ich möchte Photos nicht zehnfach übers Mobilnetz verschicken müssen.
Du wirst die Photos nicht mehrfach verschicken. Es ist zu vermuten, dass die Fotos sowieso nciht asynchron verschlüsselt werden( viel zu rechenaufwendig), sondern ein hybrides Verfahren genutzt wird.
Das heißt, dein Foto wird synchron verschlüsselt auf den Server geladen, und du schickst jedem Gruppenmitglied mit dem jeweiligen Publickey verschlüsselt den Schlüssel für das Bild.
Selbiges vermutlich für Lange Nachrichten. Lohnt sich ab Nachrichten die länger als der symmetrische Schlüssel sind.
Threema ist auch nur ne kommerzielle Firma wie Facebook, der Messenger ist ebenso ClosedSource, niemand weiss genau wie deren Verschlüsselung überhaupt funktioniert. Wieso traust du denen jetzt und anderen nicht?
€: Und warum keiner WhatsAPP vertraut? Gibt doch 10000 gute Gründe.
Alleine das man sein ganzes Telefonbuch uploaden muss ist doch schon total für den Bunten.
Die ganzen Sicherheitslücken die in der Presse waren, alleine das es jetzt zu FB gehört müsste doch jeden abschrecken dem seine vertraulichen Daten wichtig sind. Leute wacht mal auf.
Ich habe nix zu verstecken aber ich will auch nicht das jeder Affe in meinem Privaten kram wühlt.
Und ich bin mir zu 100% sicher das es bei WhatsAPP sicher ein Backdoor gibt.
als ob da nicht irgendwas dazwischengeschaltet wäre bzw ein oder zwei Hintertürchen offen sind... ja nee, is klar.
Und die ganzen Kiddys ohne Plan gleich " heyyy, yooo, dann sind wir ja nun sicher und brauchen doch nicht wechseln "
In 2-3 Monaten liest man dann wieder im N24 Liveticker: Drogengeschäfte wurden über Whatsapp abgewickelt, Treffpunkte ausgemacht, die Polizei musste nur geduldig auf die Täter am Treffpunkt warten, die Jugendlichen fühlten sich sicher, durch die zuletzt kürzlich eingeführte Verschlüsselungsmethode.
Ein Schritt in die richtige Richtung. Whatsapp war mir schon sehr ein Dorn im Auge, wenn bündige Verschlüsselung kommt, dann kann man's wieder nehmen. Threema ist aber nach wie vor die bessere Alternative, auch iMessage ist mir 1000 mal lieber als whatsapp, beide haben aber das Problem der vergleichsweise geringen Verbreitung.
Jetzt hoffe ich noch auf eine App für das iPad und Unterstützung für coninuity auf ios devices, dann wäre die Welt mit whatsapp ganz on Ordnung.
Selten soviel Stuss und Unwissen aufeinmal gelesen in einem Thread
Whatsapp und Facebook verdienen ihr Geld mit Auwertungen über Surf/Einkaufs etc. Verhalten, verlinkte Freunde usw....aber sicher NICHT durch das ausspionieren von privaten Nachrichten....
Mit der neuen Funktion sind eure hochgeheimen "Ich geh mal Bier holen..." Nachrichten absolut sicher (abgesehen von Bugs die evtl. überall mal vorkommen können)
Ohne Bedenken geben 99,9999999% der User jeder Hanswurst App Berechtigungen zum Auslesen des kompletten Handys. DAMIT wird das Geld verdient!)....aber machen sich bei der professionellsten Messaging App Sorgen das ihre ach so geheimen Daten zur NSA wandern könnten oder wechseln gar zu absolut unbedeutenden angeblich soviel sicheren anderen Messengern (die aber nur 1% ihrer Freunde nutzt und die damit abgesehen davon das sie schlechter als als Whatsapp sind zusätzlich damit auch noch komplett nutzlos sind...lach
Selten soviel Stuss und Unwissen aufeinmal gelesen in einem Thread
Whatsapp und Facebook verdienen ihr Geld mit Auwertungen über Surf/Einkaufs etc. Verhalten, verlinkte Freunde usw....aber sicher NICHT durch das ausspionieren von privaten Nachrichten....
Mit der neuen Funktion sind eure hochgeheimen "Ich geh mal Bier holen..." Nachrichten absolut sicher (abgesehen von Bugs die evtl. überall mal vorkommen können)
Ohne Bedenken geben 99,9999999% der User jeder Hanswurst App Berechtigungen zum Auslesen des kompletten Handys. DAMIT wird das Geld verdient!)....aber machen sich bei der professionellsten Messaging App Sorgen das ihre ach so geheimen Daten zur NSA wandern könnten oder wechseln gar zu absolut unbedeutenden angeblich soviel sicheren anderen Messengern (die aber nur 1% ihrer Freunde nutzt und die damit abgesehen davon das sie schlechter als als Whatsapp sind zusätzlich damit auch noch komplett nutzlos sind...lach
Du hast eigentlich vollkommen Recht mit deinen Aussagen, auch vorher war WhatsApp seit einiger Zeit durchaus zu 99% oder mehr % sicher gegen irgendwelche Angriffe.
Das Problem von WhatsApp liegt aber an einer anderen Stelle. Dadurch dass es soviele Nutzer es nutzen entsteht ein Datenmonopol. Und das ist insbesondere, bei privaten Daten problematisch. Weil jemand der Daten über dich Sucht (um dich z.b. zu erpressen) eben an einer Zentralen stelle an die Daten kommt, oder eben diese Stelle ist. (Theoretisch sind an so einer Stelle auch Manipulationen möglich)
Und genau das wird durch eine funktionierende End-to-End Verschlüsselung verhindert, weil niemand die Möglichkeit hat diese Daten überhaupt Zentral zu sammeln, weder NSA noch WhatsApp. Dafür muss aber das Verfahren sicher sein, die Clientsoftware vertrauenswürdig und ein direkter Schlüsselaustausch stattfinden.
Mir persönlich ist es egal obs verschlüsselt ist oder nicht, aber wenn man in die Zukunft blickt und WA möchte auf Dauer der Stern am Westlichen Himmel sein, ist eine Ende-zu-Ende-Verschlüsselung echt top.
Schön, dann werden ja meine super ''geheime'' Nachrichten wie, ''bring mal chips und Erdnüsse mit wenn du schon zu tanke muss'' endlich auch geheim bleiben, sonst würde ja die nsa noch raus finden das ich chips mag.
Na jz mal ehrlich, was glaubt ihr wer ihr seid? keine will all eure dämliche Nachrichten haben, tut nicht so wichtig ihr paranoider hohl köpfe... Und wenn mal doch i-jemand ausspioniert werden soll dann hilft dem auch kein ende zu ende Verschlüsselung... da hilft gar nichts. Zb. Mann wird niee alle verklagen wenn du mal eine cd kopierst, aber man könnte, wenn eine richtig nervt. Gibst genug Beispiele...
Mal abgesehen vom Facebookumfeld: Was WA da gezeigt hat, ist historisch! Seit Jahrzehnten existiert Ende-zu-Ende-Verschlüsselung (E2EE), aber die rollen ohne Vorankündigung mal eben das aus, was die für einen Durchschnittsnutzer nicht bedienbaren Werkzeuge bisher nicht geschafft haben: Krypto für die Massen. Auf einen Schlag nutzen Millionen von Anwendern E2EE. Genau so soll es sein! Jetzt haben unzählige Lieschen Müller und Otto Normalverbraucher ihren eigenen öffentlichen und privaten PGP-Key. Mit E2EE ist der Übertragungsweg egal – selbst wenn die Übertragung mitgeschnitten wird, kann sie nicht entschüsselt werden. Vertraut der Verschlüsselung, nicht der Infrastruktur!
Man mag zu WA stehen wie man will, aber das hat echt Vorbildcharakter. Krypto muß der Standard werden, nicht die Ausnahme, und dabei hat WA gerade ein ordentliches Stück geholfen. Man muß es den Überwachungsdiensten so schwer wie nur irgend möglich machen, selbst wenn sie eine technische oder gesetzliche Handhabe besitzen.
Sicher, im Ökosystem von Facebook ist das ganze alles andere als gut aufgehoben. Das ist der Wermutstropfen. Trotzdem ist es deswegen nicht insgesamt schlecht, es ist der dringend benötigte Anfang.
(Bin weder bei Facebook noch bei WA, habe nicht mal ein Smartphone. Dafür einen Mumble- und Jabberserver mit OTR in den eigenen vier Wänden, dazu Thunderbird mit Enigmail)
Wenn für User seit Tagen nicht ersichtlich ist, das eine end to end Verschlüsselung bereits aktiv ist, wer sagt mir dann noch schnell in Zukunft Bescheid, falls/sobald die Verschlüsselung plötzlich versagt oder wieder inaktiv ist?
"Eine visuelle Rückmeldung, dass eine Nachricht verschlüsselt versendet werden kann, exisitiert aktuell nicht."
Im Fall der Fälle ziemlich glattes Eis wenn beides möglich ist.
Ich muss sagen ich finde es auch unverständlich wie hier anscheinend 70% der Leute dem einfach blind glauben schenken können. Das Ding gehört Facebook!! Vergesst das nicht! Facebook ist DAS vorzeigenprodukt für metadatenhandel und jetzt machen sie ne sichere end2end verschlüsselung für whatsapp?? Ehmm... Klar doch... Bevor das nicht ne anständige unabhängige Gruppe auf Herz und Nieren getestet hat glaub ich da kein Wort von. Und wie schon erwähnt wurde werben andere apps damit und whatsapp erwähnt es nichtmal?!? Sry aber mein bullshit*t-o-meter zeigt grade 150/100 an...
Whatsapp und Facebook verdienen ihr Geld mit Auwertungen über Surf/Einkaufs etc. Verhalten, verlinkte Freunde usw....aber sicher NICHT durch das ausspionieren von privaten Nachrichten....
Du willst mir erzählen, dass FB wirklich so dämlich ist und den Datenbatzen, den sie mit deinen WA-Nachrichten vor die Füße geschmissen bekommen, nicht mal anschauen?
Da kannst du aber mächtig einen drauf lassen, dass da irgendwelche Computerprogramme Schlagwörter rausfiltern und die nur weiter an dem Bild zeichnen, das sie von dir bekommen. Fußabdruck ist Fußabdruck, egal ob du im Browser 'nen neuen Tab öffnest und dein FB-Cookie bekommt davon Wind, oder ob du bei WA schreibst, dass du gerade ordentlich einen abgeseilt hast.
Threema ist auch nur ne kommerzielle Firma wie Facebook, der Messenger ist ebenso ClosedSource, niemand weiss genau wie deren Verschlüsselung überhaupt funktioniert. Wieso traust du denen jetzt und anderen nicht?
sehe ich auch so und wenn man sich anschaut was der Gesetzgeber anstellen will in der schweiz dann ist es spätestens in 2-3Jahren da so wie in der USA... daher überzeugt mich threema nicht.
Schon ma was von industriespionage gehört und massenphänomene analysiert man nun mal mit möglichst vileen daten siehe twitterauswertungen, das ist alles auhc mit den messender app nachrichten möglich...
und wenn mn sich überlegt was so ein uber manager sich so überlegt um kritiker mundtod zu machen, daten mafia anstelle von russenmafia oder Geheimdienste.
Blödsinn also, dass man überhaupt nicht weiss, wie es funktioniert.
2) Auch, wenn die Software nicht komplett open-source ist (der Krypto-Teil schon!), vertraue ich Threema. Warum? Die ganze Herangehensweise macht einen vertrauenswürdigen Eindruck: Der Adressbuchabgleich ist z.B. optional (keine Pflicht).
Außerdem werden App-Teile, die kritische Berechtigungen voraussetzen, als optionale Plugins herausgebracht (Barcode-Scanner, Sprachnachrichten). Da nimmt sich Threema nicht einfach die Berechtigungen, sondern macht das ganze optional.
Diese grundsätzliche Herangehensweise finde ich gut und vertrauenserweckend.
WhatsApp hat bei mir das Vertrauen hingegen nachhaltig verspielt...schon längst!
In Zusammenarbeit mit Open Whisper Systems, den Entwicklern von TextSecure, hat WhatsApp eine Ende-zu-Ende-Verschlüsselung für den Instant-Messaging-Dienst entwickelt. In der aktuellen Android-Version soll das Feature bereits aktiv sein.
lol ... harte Ende-zu-Ende Verschlüsselung für die Unterhaltung von Chatpartnern ... und die Datenübermittlung an die Server, wenn die mein Telefonbuch auslesen oder ähnliches? die News beweist, dass es bei WA noch immer keine Full Encrypted Communication gibt.
schade, da hätten sie mal was richtig machen können und dann isses doch wieder nur ne Seifenblase?!
Zur Diskussion um den Schlüsselaustausch bei Gruppen:
Es wäre doch denkbar, dass beim Erstellen einer neuen Gruppe ein privater Schlüssel für diese Gruppe erstellt wird (auf dem Smartphone des Erstellers), und wann immer der jemanden hinzufügt, wird der private Schlüssel dieser Gruppe dem neuen Mitglied mitgeteilt.
Als Erweiterung wäre es auch möglich, bei jedem Hinzufügen oder Entfernen eines Gruppenmitglieds einen neuen privaten Gruppenschlüssel zu erzeugen (wieder auf dem Ersteller-Smartphone), der nach(!) der Änderung mit dem alten Schlüssel (den die aktuellen Mitglieder ja haben) verschlüsselt und so an die Mitglieder verteilt wird. Das neue Mitglied würde den Schlüssel mit seinem eigenen öffentlichen Schlüssel verschlüsselt erhalten. Damit hat niemand den neuen Schlüssel unverschlüsselt erhalten, und entfernte Mitglieder können neuen Nachrichten nicht mehr entschlüsseln. Wobei das meiner Meinung nach auch mit der ersten Methode schon so sein sollte, da durch Forward Secrecy ja das wissen um den privaten Schlüssel nichts bringt, wenn man nicht an der Aushandlung des Sitzungsschlüssel teilnimmt.
Allerdings denke ich, dass das Team von Open Whisper Systems da bereits einen vernünftigen Ansatz hat
@katzilla: Und wie willst du die Übertragung des Telefonbuchs schützen? Whatsapp MUSS hier Zugriff auf die Daten haben, um den Abgleich ausführen zu können. Und wie im Thread schon diskutiert bringt Hashing nix, weil es hier einfach zurückzurechnen ist.
