WhatsApp Ende-zu-Ende Verschlüsselung Einstellungen

[LaXoR]

Was haltet ihr von der Ankündigung das WhatsApp nun vollständig Ende-zu-Ende verschlüsselt?

Verwendet wird das Signal Protocol Curve25519 mit AES256-Verschlüsselung und HMAC-SHA512 zur Authentifizierung.

Zur Steigerung der Sicherheit werden Einmalschlüssel verwendet. Forward Secrecy (PFS) soll ein späteres entschlüsseln einer abgefangenen Nachricht unmöglich machen.

Das Protokoll arbeitet mit drei unterschiedlich langen gültigen Arten von Paaren privater und öffentlicher Schlüssel, die bei der Installation erstellt werden .. Eine Möglichkeit den Prozess der privaten Schlüsselgenerierung zu individualisieren gibt es nicht! Es können keine eigenen privaten Schlüssel erstellt werden, sondern es wird bei der Installation einer zugeteilt. Das ist ja z.B. bei Threema oder OpenPGP anders.

Sind die laut Security Whitepaper generierten Zufallszahlen für den privaten Schlüssel auch tatsächlich zufällig oder wird als Bacakdoor der private Schlüssel ebenso an die Server übermittelt? Durch den closed source Code kann man keine Implementierungen überprüfen!

Sicherlich etwas pranoid aber wenn man keine Möglichkeit hat den private key zu individualisieren kann man doch erstmal davon ausgehen das der Zuteiler einer geschlossenen Software den Key kennt um Nachrichten ggf. später zu dechiffrieren.

Wie stellen wir also Sicher das die privaten Schlüssel tatsächlich niemand kennt?

Wo liegt denn eigentlich der Mehrwert für ein Unternehmen wie Facebook einen Messenger für 19Mrd zu kaufen um sich hinterher wieder selber auszusperren und keinen Gewinn daraus zu ziehen. Gut zugegeben, die Metadaten sind wertvoll aber wiegen diese die Ressourcen für solche Verschlüsslung auch wieder auf?

Bericht von Open Whisper Systems:
Open Whisper Systems >> Blog >> WhatsApp's Signal Protocol integration is now complete

WhatsApp Security Whitepaper (Direktdownload)
https://www.whatsapp.com/security/WhatsApp-...-Whitepaper.pdf

Bin auf eure Meinungen gespannt .. !

[Solution-Design]

Bin scheinbar irgendwie nicht paranoid genug. Klar, ich mag es nicht ausgeschnüffelt zu werden, mag keine Fremden im Wohnzimmer, keine wichtigen Daten im Netz verteilt. Aber meine ach so wertvolle Handy-Nummer, die steht seit es das gibt...im öffentlichen Telefonbuch. Nie Gewinnspiel-SMS bekommen, keine unseriösen Anrufe, kein nix.

Und böse Mails, welche Rückschlüsse auf die Verwendung von WhatsApp ziehen lassen könnten...auch nix. Email-Adresse ist fast schon öffentlich...dennoch nix. Nicht mal Locky wollte mich haben. Und ehrlich, WhatsApp wird genutzt um ein paar Videos von A nach B zu schicken. Wenn die weitergeleitet werden...Tja...ist auch irgendwie nix. Fummel-Videos bekomme ich keine...weil die Kontakte wissen, dass ich das nicht sehen will. Irgendwie wieder nix...

Ausspähen sehe ich ein wenig anders. Wenn ich Malware suche, dann nutze ich einen VPN, das ganze in der SandBox ohne IPv6. Nur aufgrund der seltsamen besuchten WEB-Seites. Aber ein paar Dussels-Telefonnummern (das mit dem Adressbuch ist nicht bekannt) auf einem WhatsApp-Server; Adressen, welche sowieso schon überall zu finden sind (ja ich weiß..meist ohne Handy-Nummer) halte ich jetzt nicht für tragisch. Da gibt es andere wichtigere Dinge, welche schützenswert sind. Die Daten auf dem Desktop-PC zum Beispiel.

WhatsApp verfolgt meines Wissens andere Interessen. Sie wollen Email ablösen. Ein Quasi-Monopol aufbauen, selbst Firmen dazu einladen, ihr Produkt zu nutzen.