WhatsApp Ende-zu-Ende Verschlüsselung Einstellungen

[LaXoR]

Was haltet ihr von der Ankündigung das WhatsApp nun vollständig Ende-zu-Ende verschlüsselt?

Verwendet wird das Signal Protocol Curve25519 mit AES256-Verschlüsselung und HMAC-SHA512 zur Authentifizierung.

Zur Steigerung der Sicherheit werden Einmalschlüssel verwendet. Forward Secrecy (PFS) soll ein späteres entschlüsseln einer abgefangenen Nachricht unmöglich machen.

Das Protokoll arbeitet mit drei unterschiedlich langen gültigen Arten von Paaren privater und öffentlicher Schlüssel, die bei der Installation erstellt werden .. Eine Möglichkeit den Prozess der privaten Schlüsselgenerierung zu individualisieren gibt es nicht! Es können keine eigenen privaten Schlüssel erstellt werden, sondern es wird bei der Installation einer zugeteilt. Das ist ja z.B. bei Threema oder OpenPGP anders.

Sind die laut Security Whitepaper generierten Zufallszahlen für den privaten Schlüssel auch tatsächlich zufällig oder wird als Bacakdoor der private Schlüssel ebenso an die Server übermittelt? Durch den closed source Code kann man keine Implementierungen überprüfen!

Sicherlich etwas pranoid aber wenn man keine Möglichkeit hat den private key zu individualisieren kann man doch erstmal davon ausgehen das der Zuteiler einer geschlossenen Software den Key kennt um Nachrichten ggf. später zu dechiffrieren.

Wie stellen wir also Sicher das die privaten Schlüssel tatsächlich niemand kennt?

Wo liegt denn eigentlich der Mehrwert für ein Unternehmen wie Facebook einen Messenger für 19Mrd zu kaufen um sich hinterher wieder selber auszusperren und keinen Gewinn daraus zu ziehen. Gut zugegeben, die Metadaten sind wertvoll aber wiegen diese die Ressourcen für solche Verschlüsslung auch wieder auf?

Bericht von Open Whisper Systems:
Open Whisper Systems >> Blog >> WhatsApp's Signal Protocol integration is now complete

WhatsApp Security Whitepaper (Direktdownload)
https://www.whatsapp.com/security/WhatsApp-...-Whitepaper.pdf

Bin auf eure Meinungen gespannt .. !

[Doominik]

Da gibt es andere wichtigere Dinge, welche schützenswert sind. Die Daten auf dem Desktop-PC zum Beispiel.

Der Punkt hat mir gerade zu Denken gegeben: Ich nutze selbst auch Whatsapp auf dem Smartphone und hab es bisher sehr ähnlich wie Du gesehen. Jetzt hab ich schon öfter überlegt, mir Whatspp auf dem PC zu installieren. Vor allem da ich, wenn ich am PC sitze, nicht bei jeder Nachricht Lust habe, zum Smartphone zu greifen. Ich frage mich, wie es bei der Desktop-App mit der Sicherheit bzw. dem Datenschutz aussieht: Meine Recherche hat bisher ergeben, dass es sich bei der Desktop-Version laut diesem Artikel wohl um einen "App-Wrapper" handelt, der, wenn ich das richtig verstanden habe, lediglich die Web-App in Desktop-kompatible Form "quetscht" bzw. wörtlich "verpackt". Da selbst die Web-App seinerzeit einige Sicherheitslücken aufwies (meine ich mich zumindest zu erinnern), frage ich mich, ob das "wrapping" aus sicherheitstechnischer Perspektive irgendwelche bedenklichen Auswirkungen haben könnte? Ich gehe zumindest davon aus, dass die Ende-zu-Ende-Verschlüsselung weiterhin besteht, aber sonst? Besonders wenn Du schreibst, dass Whatsapp immer mehr die Email ablösen will, stelle ich mir Fragen wie etwa, ob mir Malware (manipulierte Dokumente o.ä.) per Whatsapp geschickt werden könnten, die sich durch unbedachtes Klicken in der Desktop-App installiert - oder schließt die Whatsapp-Struktur sowas aus? Vielleicht kennt sich ja jemand besser mit den Hintergründen aus und kann etwas Licht ins Dunkle bringen!

Gruß

Dominik

[Gast_J4U_*]

da ich, wenn ich am PC sitze, nicht bei jeder Nachricht Lust habe, zum Smartphone zu greifen.

Wenn Du wegen jeder Nachricht springen musst, dann solltest Du Dein Nutzungsverhalten überpüfen.

WhatsApp-web und das andere Dingens funktionieren nur, wenn Du ein Handy mit WA hast, das dann auch noch am Netz hängt und das eigentliche Konto wird auf den PC / Laptop / Tablet... gespiegelt. Du kannst also auch gleich das Handy nehmen um zu sehen, wer welches lust'sche Bildchen geschickt hat.
Davon abgesehen, manchmal verwende ich WA-web durchaus auch. Bei viel Schreibkram oder bei Text, der reinkopiert werden muss oder bei Bildern aus einer Webrecherche oder... hat die Variante auf dem PC durchaus Vorteile. Und die Sicherheit? Wie halt alles, was mit www zu tun hat. Mir ist zumindest nichts anderes bekannt.