WhatsApp : Vollständige Ende-zu-Ende-Verschlüsselung für alle

, 124 Kommentare
WhatsApp: Vollständige Ende-zu-Ende-Verschlüsselung für alle

Nur drei Wochen nach der Ankündigung bieten die aktuellen Versionen von WhatsApp ab sofort standardmäßig eine vollständige Ende-zu-Ende-Verschlüsselung für alle Formen der Whats-App-Kommunikation und unabhängig von der verwendeten Plattform, sofern beide Seiten eine nach dem 31. März veröffentlichte Version der App nutzen.

Alle Plattformen und alle Arten der Kommunikation

Die vollständige Ende-zu-Ende-Verschlüsselung ist standardmäßig für Nachrichten, Gruppenchats, Bilder, Videos, Dokumente, Sprachnachrichten und WhatsApp-Anrufe aktiv und funktioniert plattformübergreifend zwischen den Betriebssystemen Android, iOS, Windows Phone, Nokia S40, Nokia S60, BlackBerry und BB10.

Nichts bleibt unverschlüsselt

Praktisch bedeutet eine Ende-zu-Ende-Verschlüsselung, dass Nachrichten und Daten auf dem Gerät und während des Transports verschlüsselt werden, und nur vom Empfänger wieder entschlüsselt werden können. Prinzipiell könnte WhatsApp zwar auf Daten zugreifen, die auf den Servern des Anbieters zwischengespeichert werden, wenn Empfänger offline sind. Da die Daten aber auch hier verschlüsselt vorliegen, ist der Inhalt für Dritte wie WhatsApp oder auch Behörden und Kriminelle nicht lesbar.

Verschlüsselungsstatus kann überprüft werden

Wenn die Kommunikation mit dem Gegenüber bereits verschlüsselt erfolgt, informiert eine Meldung im Chatprotokoll darüber. Zudem kann der Verschlüsselungsstatus jederzeit über die Kontaktinfo unter dem Punkt Verschlüsselung beziehungsweise im Gruppenbildschirm überprüft werden. Sobald eine erste verschlüsselte Nachricht ausgetauscht wurde, kann über diesen Menüpunkt optional auch das Gegenüber verifiziert werden. Die App bietet hierzu zwei Möglichkeiten: Entweder per Scan eines QR-Codes vom Bildschirm des Gegenüber oder Vergleich einer 60-stelligen Nummer.

Signal Protocol mit AES256-Verschlüsselung als Basis

Grundlage für die jetzt plattformübergreifende und viel weitreichendere Ende-zu-Ende-Verschlüsselung in WhatsApp ist nach wie vor das bereits seit Ende 2014 für die Ende-zu-Ende-Verschlüsselung von Nachrichten auf Android-Geräten eingesetzte Signal Protocol von Open Whisper Systems, das Curve25519 und AES-256 im CBC-Modus zur Verschlüsselung und HMAC-SHA512 zur Authentifizierung nutzt.

Das Protokoll arbeitet dabei mit drei unterschiedlich lange gültigen Arten von Paaren privater und öffentlicher Schlüssel sowie mit Sitzungsschlüsseln, die zum Ver- und Entschlüsseln der Nachrichten und Daten genutzt werden. Die zum Entschlüsseln empfangener Nachrichten notwendigen privaten Schlüssel verbleiben immer auf dem Gerät des Nutzers, während die öffentlichen Schlüssel mit den WhatsApp-Servern und Kontakten geteilt werden.

Weiter erhöht wird die Sicherheit durch die Nutzung von Einmalschlüsseln (Stichwort Perfect Forward Secrecy) für jede Nachricht. So lässt sich abgefangene verschlüsselte Kommunikation nach aktuellem Kenntnisstand auch im Nachhinein nicht durch Dritte entschlüsseln.

Ende-zu-Ende-Verschlüsselung für jede Kommunikationsart

Einmal mit einem anderen Client eröffnete Sitzungen bleiben gültig, solange kein besonderes Ereignis wie eine Neuinstallation der App oder ein Gerätewechsel auftritt. In diesem Fall muss eine neue Sitzung aufgebaut werden, was jedoch ohne Zutun des Nutzers im Hintergrund geschieht, sobald wieder Kontakt aufgenommen wird. Dazu fordert der initiierende Client von den WhatsApp-Servern die öffentlichen Schlüssel des Empfängers an, um die verschlüsselte Sitzung mit dem anderen Client aufzubauen.

Verschlüsselte Anhänge werden zunächst auf den WhatsApp-Servern gespeichert, der Client des Empfängers erhält in einer verschlüsselten Nachricht den Hashwert der verschlüsselten Daten sowie eine Adresse zum Abruf. Im Falle von WhatsApp-Gruppen erfolgt ein erneuter Austausch der Sender-Schlüssel, sobald ein Mitglied die Gruppe verlässt. Die Initiierung verschlüsselter WhatsApp-Anrufe erfolgt ebenfalls mit einer verschlüsselten Nachricht an den anderen Client, die ein zufällig generiertes, 32 Byte großes SRTP-Master-Secret zur Verschlüsselung des Gesprächs enthält.

Eine ausführliche Erklärung der Ende-zu-Ende-Verschlüsselung in WhatsApp finden interessierte Leser in einem neunseitigen Whitepaper (PDF, Direktdownload) auf der WhatsApp-Homepage. Auch Open Whisper Systems berichtet über die Umstellung und stellt die Ende-zu-Ende-Verschlüsselung für weitere Messenger in Aussicht.