Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News WhatsApp: Vollständige Ende-zu-Ende-Verschlüsselung für alle
- Ersteller Parwez
- Erstellt am
- Zur News: WhatsApp: Vollständige Ende-zu-Ende-Verschlüsselung für alle
hasenbein
Commander
- Registriert
- Feb. 2008
- Beiträge
- 2.089
Die Sache ist doch so klar und überaus durchschaubar.
Riesige Ami-Firma (Facebook) verkündet, dass ihr vielgenutzter Messaging-Service (Whatsapp) jetzt totaaal sicher und volle Pulle verschlüsselt ist.
Das dient als Signal an die Nutzer: Schreibt Euch ruhig frischfröhlich, was kein anderer sehen soll, es kann euch nichts passieren!
Und natürlich gibt es eine Geheimdienst-Hintertür; die Schlapphüte brauchen jetzt nur noch händereibend auf interessante Nachrichten zu warten.
Wer so blöd ist, über Whatsapp irgendetwas zu verschicken, das er ohne Verschlüsselung lieber nicht geschickt hätte, ist selber Schuld, Punkt, aus.
Riesige Ami-Firma (Facebook) verkündet, dass ihr vielgenutzter Messaging-Service (Whatsapp) jetzt totaaal sicher und volle Pulle verschlüsselt ist.
Das dient als Signal an die Nutzer: Schreibt Euch ruhig frischfröhlich, was kein anderer sehen soll, es kann euch nichts passieren!
Und natürlich gibt es eine Geheimdienst-Hintertür; die Schlapphüte brauchen jetzt nur noch händereibend auf interessante Nachrichten zu warten.
Wer so blöd ist, über Whatsapp irgendetwas zu verschicken, das er ohne Verschlüsselung lieber nicht geschickt hätte, ist selber Schuld, Punkt, aus.
Mithos
Lt. Commander
- Registriert
- März 2010
- Beiträge
- 1.563
Signal nutzt GCM, finde ich jetzt weniger geeignet für Anonymität/Privatsphäre. Ebenfalls dass Account=Nummer ist, finde ich nicht gut.Heronation schrieb:Ich setze lieber auf das vollständig offene Signal.
- Registriert
- Apr. 2004
- Beiträge
- 29.503
Richtig. Diese Möchtegern-Sicherheitsexperten sind einfach nur peinlich. Die glauben tatsächlich, sie sind viel intelligenter als alle Entwickler von MS, Facebook und der CIA zusammen.Turrican101 schrieb:Immer wieder lustig. Ständig wird gemeckert, dass WA ja nicht verschlüsselt und wenn sie es dann doch tun ist es ja trotzdem nutzlos und eh unsinnig und WA bleibt weiterhin scheisse und überhaupt
Jeder von ihnen hat die Ende-Ende Verschlüsselung bereits heute Nacht geknackt.
Nur Threema ist natürlich sicher. Die haben keine Hintertür, weil die sind ja viel zu cool dafür.
Es ist so lächerlich, kauft euch Brieftauben . Über WA meckern aber natürlich Payback Punkte sammeln .
Threema ist meiner Meinung nach völlig nutzlos, ein Messanger ist nur so gut, wie er Nutzer hat. Der sicherste Messanger ist natürlich einer, wo man gar keinen Gesprächspartner hat...
Zum Thema: Ich finde es klasse, ist ein Fortschritt von WA. Jetzt kann ich endlich meine Kreditkarten-PIN und meine Bankdaten in jede Gruppe posten. Puh, ich freu mich.
S
Syrell
Gast
noplan724 schrieb:Und wie holt Facebook seine 19 Mrd $ wieder rein, die es vor 2 Jahren für Whatsapp gezahlt hat, wenn nun alles kostenlos ist und man keine Daten mehr sammeln kann?
deswegen steht da nur kriminelle!
"National Security Letter im Haus und der Ofen ist aus. "
Wers genauer wissen will.
http://www.heise.de/security/artike...esselung-auf-die-Finger-geschaut-2629020.html
es bleiben weiter ???
Zuletzt bearbeitet von einem Moderator:
Turrican101 schrieb:Immer wieder lustig. Ständig wird gemeckert, dass WA ja nicht verschlüsselt und wenn sie es dann doch tun ist es ja trotzdem nutzlos und eh unsinnig und WA bleibt weiterhin scheisse und überhaupt.
Und bei anderen IMs ist es vollkommen egal, wenn sie ClosedSource sind, Sicherheitslücken haben, eine schlechte Verschlüsselung bieten oder von anderen, nicht vertrauenswürdigen Personen stammen, die werden weiter gehypet und empfohlen und man soll doch gefälligst zu denen wechseln. Hauptsache man nutzt kein WA, dann wär man ja nicht toll alternativ und elitär.
Gut gemeint ist eben nicht gut gemacht. Für mich geht garnicht das man offenbar den zufällig generieren hash nicht beeinflussen kann und das eben auch unklar ist was in dem closed source teil der app mit dem Klartext passiert.
MR2007
Commander
- Registriert
- Mai 2007
- Beiträge
- 2.141
noplan724 schrieb:Und wie holt Facebook seine 19 Mrd $ wieder rein, die es vor 2 Jahren für Whatsapp gezahlt hat, wenn nun alles kostenlos ist und man keine Daten mehr sammeln kann?
Metadaten sind meist sinnvollere Informationen als der ganze inhaltliche Schrott.
Streng genommen macht WhatsApp das - zumindest für closed source - am besten bzw am sichersten. Der Signal Desktop Client funktioniert genauso wie WhatsApp Web. Und auch bei Telegram ist der Ende-zu-Ende "Geheime Chat" immer nur auf dem Client verfügbar, auf dem der Chat begonnen wurde, und nicht auf allen.Steven2903 schrieb:Es gibt einiges was andere Messenger deutlich besser machen.
* Alleine schon die fehlende Multigeräte Unterstützung von WhatsApp ist ein graus.
* WhatsApp Web ist auch ne Krücke im Vergleich zu echten Nutzungsmöglichkeiten per Browser mit dem Server
Denn mit Multigeräte-Unterstützung steht man vor einem Problem der Schlüsselverwaltung. Entweder man lässt die Private Keys per Hand kopieren, was die meisten User eh nicht machen würden, oder man lässt auf jedem Gerät neue Key Pairs erzeugen. Das ist zwar am komfortabelsten, aber gleichzeitig der größte Angriffspunkt.
Denn du als Sender kannst nicht wissen, wieviel Geräte der gegenüber bestitzt und bist auf die Zuverlässigkeit vom Server angewiesen. Und selbst wenn der Server nicht kompromittiert ist (wobei man in den USA wohl eh schon von ausgehen kann, das NSA mit drinsteckt), wenn ein weiteres Gerät mit einem Userkonto verbunden wird, was aber nicht dem User gehört, entweder per schwachem Protokoll oder auch per Social Engineering ("hey, kann ich mal kurz dein Handy ausleihen?", Handynummer abgetippt, Bestätigungscode abgetippt, fertig), dann ist Feierabend mit Sicherheit.
Zugegeben, da Closed Source gibt es die selben, und noch viel mehr, Angriffswege natürlich auch für WhatsApp. Allerdings:
Hirtec schrieb:Auf der einen Seite schön zu hören. Das i-Tüpfelchen wäre auf jeden Fall noch eine Open-Source-Freigabe oder wenigstens ein Code-Review/Audit.
Derweilen nutze ich noch das "Original" der Verschlüsselung: Signal ggf. auch Threema
Es gab "angeblich" einen Code Audit von WhatsApp, wodurch WhatsApp 6/7 Punkte auf der Secure Messaging Scorecard der EFF erfüllt. Übrigens genauso viele wie Threema, der fehlende Punkte ist wegen Closed Source.
https://www.eff.org/de/node/82654
Zugegebenermaßen findet man zu dem Audit aber keine Quelle...
Also grob gesagt: Ja, es ist ein großer Fortschritt, aber das die NSA mitliest kann weiterhin nicht ausgeschlossen werden. Und abseits der Ende-Zu-Ende Verschlüsselung gibt es immer noch genug Angriffswege.
Zuletzt bearbeitet:
Steven2903
Commander
- Registriert
- Okt. 2012
- Beiträge
- 2.979
@MR2007
Aus Sicherheitssicht hast du zweifelsfrei recht.
Da ist es wirklich schwierig mit der Schlüsselverwaltung, wenn mehrere Geräte genutzt werden.
Aus Sicht der Usability ist WhatsApp aber mit am unpraktischsten, weil es faktisch eben nur auf einem Smartphone mit SIM-Karte (Bindung an Rufnummer) funktioniert.
Ich bin jemand der extrem ungerne auf einem Touchscreen schreibt, und deswegen die große Abneigung von mir gegenüber Messengern die fast ausschließlich über Touchscreen / Smartphone funktionieren
Aus Sicherheitssicht hast du zweifelsfrei recht.
Da ist es wirklich schwierig mit der Schlüsselverwaltung, wenn mehrere Geräte genutzt werden.
Aus Sicht der Usability ist WhatsApp aber mit am unpraktischsten, weil es faktisch eben nur auf einem Smartphone mit SIM-Karte (Bindung an Rufnummer) funktioniert.
Ich bin jemand der extrem ungerne auf einem Touchscreen schreibt, und deswegen die große Abneigung von mir gegenüber Messengern die fast ausschließlich über Touchscreen / Smartphone funktionieren
Zuletzt bearbeitet:
Steven2903 schrieb:Naja ich denke die Verbreitung von Facebook Messenger oder Hangouts (Google Account hat ja jeder mit Android) dürfte kaum geringer sein.
Zumal bspw. Hangouts so oder so vorinstalliert ist.
Also ich hab weder Hangouts noch FB-Messenger . Ich glaube auch nicht wirklich daran das die besser sein sollten. Zudem haben in meinem Bekanntenkreis die meisten Iphones/Windows Phones und keine Androids.
Magellan
Fleet Admiral
- Registriert
- Apr. 2006
- Beiträge
- 22.536
Eusterw schrieb:Wenn ich bislang Bilder/Videos weitergeleitet habe, dann ging das immer in Millisekunden und ohne Belastung des Datenvolumens, da WhatsApp ja die Bilder/Videos schon hatte und einfach an den nächsten User geschickt hat.
Geht sowas zukünftig voll gegen mein Datenvolumen? Schließlich dürfte WhatsApp das Bild ja wegen de Ende zu Ende Verschlüsselung ja eigentlich nicht haben...
Dann hast du vermutlich kein Android?
Ja du musst Bilder usw bei jedem Weiterleiten neu hochladen, ist unter Android Nutzern schon lange so.
Ist mir aber lieber als die Alternative ohne brauchbare Verschlüsselung.
Ergänzung ()
Sun_set_1 schrieb:Damit die Nachricht vom Empfangsgerät mit dem Empfängerschlüssel entschlüsselt werden kann, müsste der Sender doch schon mit diesem Schlüssel verschlüsseln, oder sehe ich das falsch?
Nein, das Stichwort hierzu ist Asymmetrische Verschlüsselung.
MR2007 schrieb:Der Signal Desktop Client funktioniert genauso wie WhatsApp Web.
Soweit ich weiss stimmt das nicht. Signal Desktop generiert einen neuen Schluessel (bzw Schlueselpaar) fuer den Desktop Client und kommuniziert mit dem Android Client ueber Signal selbst (zB zur Initialisierung oder Synchronisation). Du kannst im Signal Desktop auch Nachrichten schreiben ohne das Handy angeschaltet zu haben. Genauere Details habe ich leider nicht, soweit ich weiss gibt es hierzu keinen Blogpost/Whitepaper etc (Links sind erwuenscht).
Das ganze hat natuerlich trotzdem deine genannten Schwachstellen.
@NoD.sunrise, hier im Thread wurde erwaehnt, dass Whatsapp Bilder etc symmetrisch verschluesselt und du nurnoch den Schluessel dem einzelnen User zuschicken musst (asymmetrisch). Ob das so ist weiss ich nicht, muss das WhitePaper noch selbst studieren.
Zuletzt bearbeitet:
Bei den meisten Kontakten bekomme ich im Chatfenster die Meldung:
"Nachrichten, die du in diesem Chat sendest, sowie Anrufe, sind jetzt mit Ende-zu-Ende-Verschlüsselung geschützt."
Zu diesen Kontakten kann ich mir auch den jeweiligen Sicherheitscode anzeigen lassen.
Gerade bei 5 Kontakten getestet: Kontakt <ich> muss WhatsApp aktualisieren um die Verschlüsselung zu aktivieren.
Haben alle Android und die aktuelle Version 2.12.556
Was kann das sein?
"Nachrichten, die du in diesem Chat sendest, sowie Anrufe, sind jetzt mit Ende-zu-Ende-Verschlüsselung geschützt."
Zu diesen Kontakten kann ich mir auch den jeweiligen Sicherheitscode anzeigen lassen.
Gerade bei 5 Kontakten getestet: Kontakt <ich> muss WhatsApp aktualisieren um die Verschlüsselung zu aktivieren.
Haben alle Android und die aktuelle Version 2.12.556
Was kann das sein?
Magellan
Fleet Admiral
- Registriert
- Apr. 2006
- Beiträge
- 22.536
M@C schrieb:@NoD.sunrise, hier im Thread wurde erwaehnt, dass Whatsapp Bilder etc symmetrisch verschluesselt und du nurnoch den Schluessel dem einzelnen User zuschicken musst (asymmetrisch). Ob das so ist weiss ich nicht, muss das WhitePaper noch selbst studieren.
Zumindest anhand des bisherigen Verhaltens unter Android würde ich dem eher widersprechen. Wenn ich ein Bild weiterleite wird jedesmal ein neuer Upload ausgelöst und der braucht genausolange wie der erstmalige Upload.
Ein reines Versenden des Schlüssels würde ja viel schneller gehen.
Habs noch nicht mit der neuen Version getestet.
H
highks
Gast
Dario schrieb:Die NSA hat nun auch das berühmte Terroristen iPhone knacken lassen. Man kann also davon ausgehen,daß so gut wie keine Verschlüsselung wirklich sicher ist!
Das Terroristen iPhone hatte nur einen 6-stelligen Pincode als Passwort. Das einzige Problem, was das FBI hatte war, dass das neueste iOS nach 10 Login-Versuchen das ganze Gerät platt macht. Das war die einzige Hürde, die sie hatten - zum Bruteforcen des Passworts braucht man möglichst unendlich viele Login Versuche
Einen 6-stelligen Pincode (nur Zahlen) per Brute Force knacken, das kann heute auch jedes Scripkiddie mit einer GTX 970 innerhalb von einer Stunde. Das ist aber keine Schwachstelle in der Verschlüsselung, sondern einfach nur ein elendig schwaches Passwort!
Hätte das Terroristen iPhone als Passwort eine 25-stellige Passphrase mit dem kompletten Zeichensatz gehabt, dann würde das FBI noch mindestens so lange erfolglos daran bruteforcen, bis endlich jemand einen funktionierenden Quantencomputer baut! (also mindestens 10 bis 15 Jahre)
Zuletzt bearbeitet von einem Moderator:
Corin Corvus
Lieutenant
- Registriert
- Dez. 2010
- Beiträge
- 831
Ich sehe hier viele, die über die Verschlüsselung meckern, das wesentliche aber nie aussprechen:
Wir vertrauen diesen Diensten nicht mehr, weil sie uns eben zu stark und zu oft verarscht haben. Sie sind durch die ganzen Gesetzeslagen an die Herausgabe gebunden und da die Server in Amerika stehen und die NSA Affäre immer noch nicht aufgeklärt wurde, bleibt es immer ein maues Gefühl im Magen.
Ich habe mittlerweile einen eigenen, völlig anonymen, XMPP Server, den ich anbiete und den viele meiner Freunde und Bekannte schon nutzen. Dabei müssen sie keinerlei Namen angeben oder Mail Adresse herausgeben. Man kann sich mit einem einfachen, fiktionalen Namen registrieren und dann mit seinen freunden Chatten, die das ebenso tun. Ich als kleiner Anbieter habe nicht viel von den Daten und will diese auch gar nicht haben. Auf dem Server wird nichts gespeichert, weder Logs noch Metadaten noch Verläufe.
Verschlüsselt sind wir über die OMEMO Ende zu Ende Verschlüsselung. Läuft super und viele vertrauen mir mehr als WA, FB und anderen Großkonzernen, die diese Dienste kostenfrei anbieten.
Schlussendlich geht es ums Vertrauen, nicht um die Technik.
Wir vertrauen diesen Diensten nicht mehr, weil sie uns eben zu stark und zu oft verarscht haben. Sie sind durch die ganzen Gesetzeslagen an die Herausgabe gebunden und da die Server in Amerika stehen und die NSA Affäre immer noch nicht aufgeklärt wurde, bleibt es immer ein maues Gefühl im Magen.
Ich habe mittlerweile einen eigenen, völlig anonymen, XMPP Server, den ich anbiete und den viele meiner Freunde und Bekannte schon nutzen. Dabei müssen sie keinerlei Namen angeben oder Mail Adresse herausgeben. Man kann sich mit einem einfachen, fiktionalen Namen registrieren und dann mit seinen freunden Chatten, die das ebenso tun. Ich als kleiner Anbieter habe nicht viel von den Daten und will diese auch gar nicht haben. Auf dem Server wird nichts gespeichert, weder Logs noch Metadaten noch Verläufe.
Verschlüsselt sind wir über die OMEMO Ende zu Ende Verschlüsselung. Läuft super und viele vertrauen mir mehr als WA, FB und anderen Großkonzernen, die diese Dienste kostenfrei anbieten.
Schlussendlich geht es ums Vertrauen, nicht um die Technik.
Tito_2000
Lt. Commander
- Registriert
- Okt. 2007
- Beiträge
- 1.451
Schon interessant diese Geschichte:
Mir wurde gestern bei einem Gesprächspartner die entsprechende Mitteilung "aktivierte Verschlüsselung" angezeigt, mit Überprüfungscode usw. .
Auf dem Gerät meines Gesprächspartners wurde nichts davon angezeigt, unter den Chatoptionen lediglich der Hinweis "keine verschlüsselte Verbindung möglich, der Gesprächspartner - also ich wiederrum - würde eine Verschlüsselung nicht unterstützen"
Bei WhatsApp Versionen waren gleich (Android zu Android).
Ich glaube dem keinen Meter weit
Mir wurde gestern bei einem Gesprächspartner die entsprechende Mitteilung "aktivierte Verschlüsselung" angezeigt, mit Überprüfungscode usw. .
Auf dem Gerät meines Gesprächspartners wurde nichts davon angezeigt, unter den Chatoptionen lediglich der Hinweis "keine verschlüsselte Verbindung möglich, der Gesprächspartner - also ich wiederrum - würde eine Verschlüsselung nicht unterstützen"
Bei WhatsApp Versionen waren gleich (Android zu Android).
Ich glaube dem keinen Meter weit
Magellan
Fleet Admiral
- Registriert
- Apr. 2006
- Beiträge
- 22.536
highks schrieb:Einen 6-stelligen Pincode (nur Zahlen) per Brute Force knacken, das kann heute auch jedes Scripkiddie mit einer GTX 970 innerhalb von einer Stunde.
6 stelliger Zahlencode? Also 000000 bis 999999 (1mio Kombinationen) durchprobieren packt jedes Smartphone in Nullkommanichts, ne brauchbare Graka macht in ner ganzen Stunde sehr viel mehr her ^^
Ähnliche Themen
- Antworten
- 116
- Aufrufe
- 7.479
- Antworten
- 20
- Aufrufe
- 2.859
- Antworten
- 40
- Aufrufe
- 3.218
- Antworten
- 3
- Aufrufe
- 747
- Antworten
- 133
- Aufrufe
- 22.931