ComputerBase Menü
Aktuelles

News WhatsApp: Vollständige Ende-zu-Ende-Verschlüsselung für alle

MR2007 schrieb:
[...] Allerdings:

Es gab "angeblich" einen Code Audit von WhatsApp, wodurch WhatsApp 6/7 Punkte auf der Secure Messaging Scorecard der EFF erfüllt. Übrigens genauso viele wie Threema, der fehlende Punkte ist wegen Closed Source.

https://www.eff.org/de/node/82654

Zugegebenermaßen findet man zu dem Audit aber keine Quelle...


Also grob gesagt: Ja, es ist ein großer Fortschritt, aber das die NSA mitliest kann weiterhin nicht ausgeschlossen werden. Und abseits der Ende-Zu-Ende Verschlüsselung gibt es immer noch genug Angriffswege.
Zum Vergrößern anklicken....
Aber die Frage, die sich mir dabei stellt, ist: Müsste dann nicht bei jedem Update eine neue Analyse des Codes erfolgen?
Denn dieser würde ja bei jedem Update verändert, sprich: es könnten dann immer wieder neue Lücken auftauchen, ob als Programmierfehler oder absichtlich.

NoD.sunrise schrieb:
6 stelliger Zahlencode? Also 000000 bis 999999 (1mio Kombinationen) durchprobieren packt jedes Smartphone in Nullkommanichts, ne brauchbare Graka macht in ner ganzen Stunde sehr viel mehr her ^^
Zum Vergrößern anklicken....
Schlecht nachgedacht. Die Kombinationsmöglichkeiten sind ungleich höher!
 
mux schrieb:
Schlecht nachgedacht. Die Kombinationsmöglichkeiten sind ungleich höher!
Zum Vergrößern anklicken....
Ja? Wie viele deiner Meinung nach? Die 1 Million scheint mir richtig.
 
Ich dachte das sei schon seit November der Fall?
 
wer das glaubt, muss den Baum antreten. NSA, KGB, CHINA, Sie sind überall, auch in den Strassenpflaster sind sog. passive abhörkristalle eingebaut. sorry, dass viele vielleicht in den Baum müssen...
 
da wird sich das FBI aber bestimmt ärgern wenn sie demnächst die Verschlüsselung knacken muss
 
Wichtig ist die Eindämmung der vollautomatisierten Massenüberwachung friedlicher Internetnutzer und nicht, dass sich einzelne Personen dem direkten (und dann meist begründeten) Zugriff der Behörden entziehen können. Von daher ist die WhatsApp-Verschlüsselung ein Schritt in die richtige Richtung.
 
Die Verschlüsselung, mal davon ausgehend, dass sie ordentlich implementiert und ohne Hintertüren implementiert ist (lol), ist so erstmal eine super Sache. Es wurde Zeit, dass WhatsApp da nachzieht. Trotzdem führt an offenen und freien Implementierungen kein Weg vorbei, ich fühle mich bei denen immer noch nicht wohler.

Was keinen zu interessieren scheint, ist, dass weiterhin die gleichen Metadaten anfallen, die mindestens so schützenswert sind, wie die Inhalte selbst. Hochgradige Metadata Obfuscation ist also der nächste wichtige Schritt und ich hoffe, dass Projekte wie Signal oder Firmen wie Threema sich der Sache mal annehmen.
 
sizeofanocean schrieb:
und ich hoffe, dass Projekte wie Signal oder Firmen wie Threema sich der Sache mal annehmen.
Zum Vergrößern anklicken....
Ich nutze Threema ohne Google Service (GCM), ohne Angabe meiner Telefonnummer und ohne Zugriff auf meine Kontakte. Was soll da noch mehr gemacht werden?
 
Also zumindest kann die NSA die nachrichten jetzt nichtmehr am Knotenpunkt unverschlüsselt abschnorcheln.
Bei x Millionen Nachrichten am Tag kostet die das schon Rechenleistung und Zeit wenn sie alles entschlüsseln wollen.
Auch wenn man sich vll noch nicht sicher sein kann, wie sicher die Verschlüsselung is - is besser als vorher :D

Und son national Security Letter bringt ja nix wenn WhatsApp tatsächlich keinen Zugriff auf die Daten hat weil sie nicht bzw nur verschlüsselt auf den Servern liegen (klar kann immer noch n "MasterPW" vorhanden sein).
 
Mithos schrieb:
Was soll da noch mehr gemacht werden?
Zum Vergrößern anklicken....
Was du jetzt tust, ist deine Inhalte zu verschlüsseln. Das ist gut. Aber Metadaten fallen weiterhin an. Das heißt, Provider, die Infrastrukturen bereitstellen, und damit Regierungen und andere Organisationen, wissen weiterhin, wann du mit wem kommunizierst (mal geolocation usw. ignoriert). Aus diesen Metadaten lassen sicher aber weiterhin Bewegungs- und Verhaltensmuster ableiten, soziale Netzwerke und Profile erstellen, usw. Es sollte also in jedermanns Interesse sein, auch diese Metadaten zu schützen. Das funktioniert natürlich nicht einfach wie bei den Inhalten, man kann Metadaten nicht einfach verschlüsseln. Man muss sie verschleiern, obfuszieren. Dafür gibt es diverse Ideen und Lösungsansätze, die auch schon in die Tat umgesetzt werden.

Ein ganz simples Beispiel: Wen du eine verschlüsselte Nachricht an deine Mutter schickst, kann zwar keiner einfach mitlesen, aber er weiß immer noch, dass du eine Nachricht an deine Mutter geschickt hast. Er weiß vermutlich auch wann das war und wo ihr beide euch zu dem Zeitpunkt aufgehalten habt. Wenn beim Senden dein Gerät aber statt nur der einen richtigen Nachricht gleichzeitig 20 "fake" Nachrichten an das Netzwerk rausschickt, die alle verteilt werden und im Rauschen untergehen, bis auf eben diejenige, die dann tatsächlich an deine Mutter geleitet wird, wird jemand, der dich überwachen möchte, größte Schwierigkeiten haben, aus all dem Rauschen noch das echte Signal herauszufischen. Das ist jetzt stark vereinfacht, aber ich glaube, das Prinzip ist klar. Es gibt natürlich viel schlauere Methoden als das, was ich beschrieben habe.

Einfach mal "metadata obfuscation" o.Ä. googlen, es gibt viele Ansätze.
 
sizeofanocean schrieb:
Ein ganz simples Beispiel: Wen du eine verschlüsselte Nachricht an deine Mutter schickst, kann zwar keiner einfach mitlesen, aber er weiß immer noch, dass du eine Nachricht an deine Mutter geschickt hast.
Zum Vergrößern anklicken....

Und woher sollen die das wissen? Threema hat meinen Namen nicht, meine Nummer/Email nicht, meine Kontakte nicht, ist nicht mit anderen Diensten verknüpft. Sie sehen nur, dass eine Person öfters mit einer anderen schreibt. Wer sich dahinter verbirgt ist nicht bekannt. Sie erheben also Metadaten von nicht identifizierbaren Leuten. Damit ist es wertlos.
Die einzige Möglichkeit, die mir einfallen würde wäre ihre Daten mit meinem Provider abzugleichen. Ich gehe nicht davon aus, dass dies derzeit der Fall ist.
 
Sicher ein Schritt in die richtige Richtung, aber sofern WhatsApp noch nicht damit aufgehört hat mein ganzes Adressbuch ungefragt und unverschämt in die Cloud hoch zu laden werde ich mich weiter in Enthaltsamkeit üben.
 
Mithos schrieb:
Und woher sollen die das wissen? Threema hat meinen Namen nicht, meine Nummer/Email nicht, meine Kontakte nicht, ist nicht mit anderen Diensten verknüpft.
Zum Vergrößern anklicken....
Aus welchem Netz/von welcher IP Addresse aus verwendest du denn Threema? Etwa aus dem gleichen, aus dem du auch deine E-Mails abrufst? Eine unverschlüsselte Webseite abrufst? Generell mit dem gleichen Kreis von Leuten auf irgend eine Weise in Kontakt trittst?
Es geht nicht darum, dass Threema dieses Wissen hat. Es geht um die akkumulierten Metadaten - ganz egal, wer Besitz über diese erlangt oder mit welchen Absichten.

Mithos schrieb:
Sie sehen nur, dass eine Person öfters mit einer anderen schreibt. Wer sich dahinter verbirgt ist nicht bekannt. Sie erheben also Metadaten von nicht identifizierbaren Leuten. Damit ist es wertlos.
Zum Vergrößern anklicken....
Der Glaube ist naiv. Es reicht eine erstaunlich geringe Menge an Metadaten, um Personen nicht nur eindeutig zu identifizieren, sondern auch deren Verhalten abzuleiten. Nur mal ein Stichwort, bei dem es letztendlich um ähnliche Prinzipien geht: Rasterfahdung (sehr hinkender Vergleich, ja, aber es gibt genug Parallelen, um den Vergleich zu ziehen).

Mithos schrieb:
Die einzige Möglichkeit, die mir einfallen würde wäre ihre Daten mit meinem Provider abzugleichen. Ich gehe nicht davon aus, dass dies derzeit der Fall ist.
Zum Vergrößern anklicken....
Es geht doch gar nicht darum, dass genau dich irgend ein böser, verschwörerischer Geheimdienst in den Hintern piekst, weil du mal an einer Straßenecke ein bisschen Gras gekauft hast. Es geht ums Prinzip. Pauschale Massenüberwachung von Telekommunikation und mehr findet statt. Es wird Zeit dagegen etwas zu unternehmen. Sowohl auf politischer als auch auf technischer Ebene.
 
Zuletzt bearbeitet:
sizeofanocean schrieb:
Es geht um die akkumulierten Metadaten
Zum Vergrößern anklicken....

Vielleicht verstehe ich das ja nicht, aber wenn ich Threema nutze und mal angenommen ich mache das über eine IP Adresse, mit der ich auch einen Google Dienst nutze, wie sollen die Daten die Threema abruft und die Daten die Google abruft verknüpft werden? Denkst du, sie tauschen ihre Daten aus?

Threema ist bei mir quasi von allen abekapselt. Es geht mir nur um die angeblichen Metadaten, die Threema sammelt. Welche Metadaten sollen dass denn sein? Ein Beispiel würde mir vermutlich weiterhelfen.

Daten die sie sammeln können: Benutzer (ID) chattet mit Benutzer (andere ID) so oft und im die jeweilige Uhrzeit. Das ist alles, mehr bekommen die von mir soweit ich das überblicke nicht. Sie wissen also, dass 2 Menschen, von denen sie beide keine anderen Daten haben miteinander reden. Solange sie keine Daten verknüpfen können, macht es keinen Sinn. Metadaten leben ja davon, dass man durch Verknüpfungen Aussagen treffen kann.

Auf das Zitat bezogen:
Es reicht eine erstaunlich geringe Menge an Metadaten, um Personen nicht nur eindeutig zu identifizieren, sondern auch deren Verhalten abzuleiten.
Zum Vergrößern anklicken....

Mit den Daten, die es von mir gibt können sie mich halt nicht identifizieren. Ebenso können sie kein verwertbares Verhalten ableiten. Sie wissen lediglich, dass sich 2 bekannte Personen öfters unterhalten. Vermutung: Freund oder Familie. Solange durch Metadaten keine Identifikation entsteht, ensteht mir keine Beeinflussung/Benachteiligung.
 
Vielleicht verstehe ich das ja nicht, aber wenn ich Threema nutze und mal angenommen ich mache das über eine IP Adresse, mit der ich auch einen Google Dienst nutze, wie sollen die Daten die Threema abruft und die Daten die Google abruft verknüpft werden? Denkst du, sie tauschen ihre Daten aus?
Zum Vergrößern anklicken....

Threema und Google tauschen keine Daten aus.
Aber über "Big Data" sieht z.B. die NSA dass von IP xyz Navigation von A nach Zielort B stattfindet.
Die Logische Folge - IP xyz wohnt im Bereich von xyz.
Auch bei dynamischen IPs kannst Du grob einordnen wo die Person wohnt.
Je häufiger Du also Navi von zu Hause nach xyz online suchst und zeitgleich Threema nutzt desto sicherer können die sein, dass Du da wohnst wo dein Navi Startpunkt ist.
Natürlich kanns auch ne WG oder n öffentlicher hot-spot sein - aber wenn Du dann die Verbindungsdaten der IP prüfst kann man das relativ einfach eingerenzen (mMn).

Dann sucht man sich von der IP "exotische besuchte Seiten"
Und verfolgt alles Stück für Stück zurück bzw vergleicht wer die Seite ansurft und gleichzeitig Threema chattet mit einer IP aus dem Zielbereich des Navis...
 
Grohli schrieb:
Das es funktionieren soll ist mir klar, aber wie? Wie kommuniziert der Webclient direkt mit dem Smartphone? Ja wohl nicht über Bluetooth oder WLAN. Also über das Internet. Hier merkt sich der Browser sogar die Verbindung über einen Coockie. Verbindung kann hier aber nicht IP-Adresse heißen, da sich diese ändern kann. Folglich muss es eine Zwischenstelle geben. Und wie wird nun diese Kommunikation verschlüsselt frage ich mich.
Zum Vergrößern anklicken....
ich glaub du brauchst noch etwas pc-com-grundwissen
so Richtung handshake usw.
ich würd sogar sagen in alle richtungen
 
bei mir kamen einige Updates die letzten Tage, am System hab ich nichts geändet aber ich hab einen massiv erhöhten Battery Drain. Ist jemand von euch auch was aufgefallen?

Mein S7 braucht über Nacht eigentlich keine 3%, lief 2-3 Tage Problemlos und nun hab ich nach 10h 30% Verlust. Was genau die Ursache ist... kein Plan.

Vielleicht hat Google auch silent ein Update gepushed.

bisher:


seit ~gestern oder vorgestern


Rebootet hab ich schon. suckt....
 
Zuletzt bearbeitet:
Mithos schrieb:
Vielleicht verstehe ich das ja nicht [...] Daten die sie sammeln können: Benutzer (ID) chattet mit Benutzer (andere ID) so oft und im die jeweilige Uhrzeit. Das ist alles, mehr bekommen die von mir soweit ich das überblicke nicht. Sie wissen also, dass 2 Menschen, von denen sie beide keine anderen Daten haben miteinander reden. Solange sie keine Daten verknüpfen können, macht es keinen Sinn. Metadaten leben ja davon, dass man durch Verknüpfungen Aussagen treffen kann.
Zum Vergrößern anklicken....
Ja, das verstehst du offenbar noch nicht. Ich weiß nicht, wie ich das anschaulich erklären kann, schau dich doch mal bei Amazon in den einschlägigen Abteilungen um. Da gibt's ganze Bücher zu dem Thema. Heute ist im Netz eben nichts mehr voneinander getrennt und "abgekapselt", Verbindungen lassen sich immer irgendwo irgendwie herstellen. :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
News Europäischer Gerichtshof für Menschenrechte: Schwächung von Ende-zu-Ende-Verschlüsselung rechtswidrig
4 5 6
Antworten
116
Aufrufe
7.479
NedFlanders
NedFlanders
Andy
Notiz Facebook und Messenger: Meta macht Ende-zu-Ende-Verschlüsselung zum Standard
2
Antworten
20
Aufrufe
2.859
Thaxll'ssillyia
Thaxll'ssillyia
M
News Facebook-Messenger: Ende-zu-Ende-Verschlüsselung noch 2023
2 3
Antworten
40
Aufrufe
3.218
UrlaubMitStalin
UrlaubMitStalin
K
Suche Web-Videokonferenz aus DE/EU mit Ende-zu-Ende Verschlüsselung
Antworten
3
Aufrufe
747
konkretor
konkretor
nlr
News Apple: Ende-zu-Ende-Verschlüsselung für iCloud-Backup und mehr
5 6 7
Antworten
133
Aufrufe
22.931
JohnLoki
JohnLoki

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz