Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> WhatsApp Ende-zu-Ende Verschlüsselung
LaXoR
Beitrag 21.04.2016, 22:27
Beitrag #1



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 43
Mitglied seit: 03.11.2013
Wohnort: Magdeburg
Mitglieds-Nr.: 9.733

Betriebssystem:
Mint, Debian, Kali
Virenscanner:
127.0.0.1
Firewall:
pfSense



Was haltet ihr von der Ankündigung das WhatsApp nun vollständig Ende-zu-Ende verschlüsselt?

Verwendet wird das Signal Protocol Curve25519 mit AES256-Verschlüsselung und HMAC-SHA512 zur Authentifizierung.

Zur Steigerung der Sicherheit werden Einmalschlüssel verwendet. Forward Secrecy (PFS) soll ein späteres entschlüsseln einer abgefangenen Nachricht unmöglich machen.

Das Protokoll arbeitet mit drei unterschiedlich langen gültigen Arten von Paaren privater und öffentlicher Schlüssel, die bei der Installation erstellt werden .. Eine Möglichkeit den Prozess der privaten Schlüsselgenerierung zu individualisieren gibt es nicht! Es können keine eigenen privaten Schlüssel erstellt werden, sondern es wird bei der Installation einer zugeteilt. Das ist ja z.B. bei Threema oder OpenPGP anders.

Sind die laut Security Whitepaper generierten Zufallszahlen für den privaten Schlüssel auch tatsächlich zufällig oder wird als Bacakdoor der private Schlüssel ebenso an die Server übermittelt? Durch den closed source Code kann man keine Implementierungen überprüfen!

Sicherlich etwas pranoid aber wenn man keine Möglichkeit hat den private key zu individualisieren kann man doch erstmal davon ausgehen das der Zuteiler einer geschlossenen Software den Key kennt um Nachrichten ggf. später zu dechiffrieren.

Wie stellen wir also Sicher das die privaten Schlüssel tatsächlich niemand kennt?

Wo liegt denn eigentlich der Mehrwert für ein Unternehmen wie Facebook einen Messenger für 19Mrd zu kaufen um sich hinterher wieder selber auszusperren und keinen Gewinn daraus zu ziehen. Gut zugegeben, die Metadaten sind wertvoll aber wiegen diese die Ressourcen für solche Verschlüsslung auch wieder auf?

Bericht von Open Whisper Systems:
Open Whisper Systems >> Blog >> WhatsApp's Signal Protocol integration is now complete

WhatsApp Security Whitepaper (Direktdownload)
https://www.whatsapp.com/security/WhatsApp-...-Whitepaper.pdf

Bin auf eure Meinungen gespannt .. !


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 22.04.2016, 13:06
Beitrag #2



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(LaXoR @ 21.04.2016, 23:27) *
Was haltet ihr von der Ankündigung das WhatsApp nun vollständig Ende-zu-Ende verschlüsselt?


Werbung, gepaart mit Dummenfang.

Unabhängig von der Frage, ob sie den Schlüssel selbst kennen und die Nachrichteninhalte lesen können, sollte man sich die Ankündigung genau ansehen. Darin steht: Die Nachrichteninhalte werden verschlüsselt

Das heißt:
1. Der Nachrichtenverkehr (wer mit wem, wie oft schreibst etc.) bleibt weiterhin zugänglich und Facebook kann mit diesen Daten weiter fleißig Profile erstellen und aktualisieren.
2. Ebenso werden weiterhin die kompletten Adressbücher auf die Server in den USA geladen und abgeglichen, gespeichert etc.
Das ist für mich das eigentliche Unding an Whatsapp und dem ganzen Facebook Konzern: Selbst wer das nicht nutzt, wird schön als Profil gespeichert, nur wenn man bei irgendeinem Nutzer im Adressbuch steht. Dann am besten noch mit Anschrift etc.

Quelle


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Gast_J4U_*
Beitrag 22.04.2016, 18:47
Beitrag #3






Gäste






ZITAT(SLE @ 22.04.2016, 14:06) *
Das heißt:
1. Der Nachrichtenverkehr (wer mit wem, wie oft schreibst etc.) bleibt weiterhin zugänglich
Schreiben die doch selbst:
ZITAT
Schutz der Privatsphäre und Sicherheit sind in unseren Genen. Deshalb haben wir in den neuesten Versionen unserer App Ende-zu-Ende-Verschlüsselung. Deine Nachrichten, Fotos, Videos, Sprachnachrichten, Dokumente und Anrufe sind davor geschützt, in die falschen Hände zu fallen, wenn sie Ende-zu-Ende verschlüsselt sind.
Die haben nur nicht geschrieben, wer die richtigen Hände sind. rolleyes.gif
Dann kommt noch die Augenwischerei:
ZITAT
Die Ende-zu-Ende-Verschlüsselung von WhatsApp stellt sicher, dass nur du und die Person, mit der du kommunizierst, lesen kann, was gesendet wurde, und niemand dazwischen, nicht einmal WhatsApp.
Wie Du schon geschrieben hast, der Inhalt der Nachrichten ist weniger wichtig, es geht um die Kontakte und die haben sie.
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 22.04.2016, 20:30
Beitrag #4



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



Bin scheinbar irgendwie nicht paranoid genug. Klar, ich mag es nicht ausgeschnüffelt zu werden, mag keine Fremden im Wohnzimmer, keine wichtigen Daten im Netz verteilt. Aber meine ach so wertvolle Handy-Nummer, die steht seit es das gibt...im öffentlichen Telefonbuch. Nie Gewinnspiel-SMS bekommen, keine unseriösen Anrufe, kein nix.

Und böse Mails, welche Rückschlüsse auf die Verwendung von WhatsApp ziehen lassen könnten...auch nix. Email-Adresse ist fast schon öffentlich...dennoch nix. Nicht mal Locky wollte mich haben. Und ehrlich, WhatsApp wird genutzt um ein paar Videos von A nach B zu schicken. Wenn die weitergeleitet werden...Tja...ist auch irgendwie nix. Fummel-Videos bekomme ich keine...weil die Kontakte wissen, dass ich das nicht sehen will. Irgendwie wieder nix...

Ausspähen sehe ich ein wenig anders. Wenn ich Malware suche, dann nutze ich einen VPN, das ganze in der SandBox ohne IPv6. Nur aufgrund der seltsamen besuchten WEB-Seites. Aber ein paar Dussels-Telefonnummern (das mit dem Adressbuch ist nicht bekannt) auf einem WhatsApp-Server; Adressen, welche sowieso schon überall zu finden sind (ja ich weiß..meist ohne Handy-Nummer) halte ich jetzt nicht für tragisch. Da gibt es andere wichtigere Dinge, welche schützenswert sind. Die Daten auf dem Desktop-PC zum Beispiel.

WhatsApp verfolgt meines Wissens andere Interessen. Sie wollen Email ablösen. Ein Quasi-Monopol aufbauen, selbst Firmen dazu einladen, ihr Produkt zu nutzen.


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
Domino
Beitrag 22.04.2016, 21:31
Beitrag #5



Schauspiel-Gott
aka Kilauea
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 7.485
Mitglied seit: 20.04.2003
Wohnort: Göttingen
Mitglieds-Nr.: 46



ZITAT(SLE @ 22.04.2016, 14:06) *
1. Der Nachrichtenverkehr (wer mit wem, wie oft schreibst etc.) bleibt weiterhin zugänglich und Facebook kann mit diesen Daten weiter fleißig Profile erstellen und aktualisieren.

Das ist die klassische (polizeiliche) Telefonüberwachung. Inhalte sind zunächst völlig irrelevant.
Entscheidend ist zunächst die Vernetzung.
ZITAT(Solution-Design @ 22.04.2016, 21:30) *
Bin scheinbar irgendwie nicht paranoid genug. Klar, ich mag es nicht ausgeschnüffelt zu werden, mag keine Fremden im Wohnzimmer, keine wichtigen Daten im Netz verteilt.
................................
Da gibt es andere wichtigere Dinge, welche schützenswert sind. Die Daten auf dem Desktop-PC zum Beispiel.

Die Daten auf dem PC sind als letztes dran, wenn deine Vernetzung diese Daten interessant gemacht hat kannst du sie nicht mehr schützen.
ZITAT
WhatsApp verfolgt meines Wissens andere Interessen. Sie wollen Email ablösen. Ein Quasi-Monopol aufbauen, selbst Firmen dazu einladen, ihr Produkt zu nutzen.

Und um dieses Ziel zu erreichen schließen sie auch einen Pakt mit ......


Domino



--------------------
Keep the spirit alive.....
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 23.04.2016, 08:34
Beitrag #6



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



ZITAT(Domino @ 22.04.2016, 22:31) *
Das ist die klassische (polizeiliche) Telefonüberwachung. Inhalte sind zunächst völlig irrelevant.
Entscheidend ist zunächst die Vernetzung.


Die läuft auch bei Standard-Telefonaten und SMS. Also, nix neues im Staate. USA-Geheimdienste mit Kosten in Höhe von 60 Milliarden/y und 100.00 MAs haben keine andere Aufgabe. Und da interessiert mich WitzeVideoWhatsApp am wenigsten.

Beim BND scheint man intelligent genug zu sein, um festgestellt zu haben, dass dieser elektronische Abhörwahn bisher nichts gebracht hat und wohl auch in Zukunft nichts bringen wird.


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
Doominik
Beitrag 18.07.2016, 15:56
Beitrag #7



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 15
Mitglied seit: 23.06.2016
Wohnort: Paderborn
Mitglieds-Nr.: 10.197



ZITAT(Solution-Design @ 22.04.2016, 21:30) *
Da gibt es andere wichtigere Dinge, welche schützenswert sind. Die Daten auf dem Desktop-PC zum Beispiel.


Der Punkt hat mir gerade zu Denken gegeben: Ich nutze selbst auch Whatsapp auf dem Smartphone und hab es bisher sehr ähnlich wie Du gesehen. Jetzt hab ich schon öfter überlegt, mir Whatspp auf dem PC zu installieren. Vor allem da ich, wenn ich am PC sitze, nicht bei jeder Nachricht Lust habe, zum Smartphone zu greifen. Ich frage mich, wie es bei der Desktop-App mit der Sicherheit bzw. dem Datenschutz aussieht: Meine Recherche hat bisher ergeben, dass es sich bei der Desktop-Version laut diesem Artikel wohl um einen "App-Wrapper" handelt, der, wenn ich das richtig verstanden habe, lediglich die Web-App in Desktop-kompatible Form "quetscht" bzw. wörtlich "verpackt". Da selbst die Web-App seinerzeit einige Sicherheitslücken aufwies (meine ich mich zumindest zu erinnern), frage ich mich, ob das "wrapping" aus sicherheitstechnischer Perspektive irgendwelche bedenklichen Auswirkungen haben könnte? Ich gehe zumindest davon aus, dass die Ende-zu-Ende-Verschlüsselung weiterhin besteht, aber sonst? Besonders wenn Du schreibst, dass Whatsapp immer mehr die Email ablösen will, stelle ich mir Fragen wie etwa, ob mir Malware (manipulierte Dokumente o.ä.) per Whatsapp geschickt werden könnten, die sich durch unbedachtes Klicken in der Desktop-App installiert - oder schließt die Whatsapp-Struktur sowas aus? Vielleicht kennt sich ja jemand besser mit den Hintergründen aus und kann etwas Licht ins Dunkle bringen!

Gruß

Dominik


--------------------
"Wer nie einen schlechten Anfang gemacht hat, wird nie einen guten machen" - lettisches Sprichwort
Go to the top of the page
 
+Quote Post
Gast_J4U_*
Beitrag 18.07.2016, 17:14
Beitrag #8






Gäste






ZITAT(Doominik @ 18.07.2016, 16:56) *
da ich, wenn ich am PC sitze, nicht bei jeder Nachricht Lust habe, zum Smartphone zu greifen.
Wenn Du wegen jeder Nachricht springen musst, dann solltest Du Dein Nutzungsverhalten überpüfen. whistling.gif

WhatsApp-web und das andere Dingens funktionieren nur, wenn Du ein Handy mit WA hast, das dann auch noch am Netz hängt und das eigentliche Konto wird auf den PC / Laptop / Tablet... gespiegelt. Du kannst also auch gleich das Handy nehmen um zu sehen, wer welches lust'sche Bildchen geschickt hat.
Davon abgesehen, manchmal verwende ich WA-web durchaus auch. Bei viel Schreibkram oder bei Text, der reinkopiert werden muss oder bei Bildern aus einer Webrecherche oder... hat die Variante auf dem PC durchaus Vorteile. Und die Sicherheit? Wie halt alles, was mit www zu tun hat. Mir ist zumindest nichts anderes bekannt.
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 18.07.2016, 21:20
Beitrag #9



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



Würde ich nur in einer VM nutzen lmfao.gif

Dokumente lassen sich ja mittlerweile auch versenden und ja, sie können Code enthalten. Da sind wir dann wieder beim Schutz von MS-Office "Templates, Makroschutz Office 2016 admx-Dateien". Und beim Empfang mit anschließendem Öffnen des Anhangs ist es wie bei allen Emails.


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
Doominik
Beitrag 19.07.2016, 14:00
Beitrag #10



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 15
Mitglied seit: 23.06.2016
Wohnort: Paderborn
Mitglieds-Nr.: 10.197



ZITAT(J4U @ 18.07.2016, 18:14) *
Wenn Du wegen jeder Nachricht springen musst, dann solltest Du Dein Nutzungsverhalten überpüfen. whistling.gif

WhatsApp-web und das andere Dingens funktionieren nur, wenn Du ein Handy mit WA hast, das dann auch noch am Netz hängt und das eigentliche Konto wird auf den PC / Laptop / Tablet... gespiegelt. Du kannst also auch gleich das Handy nehmen um zu sehen, wer welches lust'sche Bildchen geschickt hat.
Davon abgesehen, manchmal verwende ich WA-web durchaus auch. Bei viel Schreibkram oder bei Text, der reinkopiert werden muss oder bei Bildern aus einer Webrecherche oder... hat die Variante auf dem PC durchaus Vorteile. Und die Sicherheit? Wie halt alles, was mit www zu tun hat. Mir ist zumindest nichts anderes bekannt.


Verstehe! Erstmal vielen Dank für die Infos. Ja ist schon schlimm, wie schnell man zum Handy greift, wenn wieder ne Whatsapp-Nachricht reinkommt... aber es könnte ja auch mal was Wichtiges sein lmfao.gif

@ Solution-Design: Ja das hatte ich vermutet und befürchtet. Danke für die Info! So werd wohl erstmal bei der mobilen Version bleiben.

Gruß

Dominik


--------------------
"Wer nie einen schlechten Anfang gemacht hat, wird nie einen guten machen" - lettisches Sprichwort
Go to the top of the page
 
+Quote Post
eXer
Beitrag 19.07.2016, 20:50
Beitrag #11



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 563
Mitglied seit: 06.02.2016
Wohnort: Schöllkrippen
Mitglieds-Nr.: 10.157

Betriebssystem:
Win 10 Pro
Virenscanner:
Bitdefender



Ich verstehe die AGB nicht. Wenn der Chat in WhatsApp nun vollständig Ende-zu-Ende verschlüsselt ist warum will dann der Betreiber noch die Rechte der Bilder die versendet werden ?
Wenn was verschlüsselt ist dann nur die Kommunikation aber nicht gesendete Dateien oder ?

https://www.youtube.com/watch?v=4qyppU7IPiI

Der Beitrag wurde von eXer bearbeitet: 19.07.2016, 20:55


--------------------
Schatzsuche an Land und Wasser mit Metalldetektor. Schatz Tauchen in der Dominikanischen Republik.
https://schatzsucher.online
Go to the top of the page
 
+Quote Post
citro
Beitrag 19.07.2016, 21:36
Beitrag #12



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.829
Mitglied seit: 06.10.2005
Mitglieds-Nr.: 3.709

Betriebssystem:
Win 10 Home (1909)
Virenscanner:
Avira free
Firewall:
Comodo



In dem Kommentaren des Videos, sind sich die Leute mit der Aussage nicht einig

http://www.n24.de/n24/Mediathek/videos/d/4...bildrechte.html
Go to the top of the page
 
+Quote Post
act
Beitrag 20.07.2016, 05:33
Beitrag #13



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 60
Mitglied seit: 02.05.2016
Mitglieds-Nr.: 10.180



Ich glaube dass WhatsApp zu 99 % sowieso kein Interesse an 0815-Currywurst Gesprächen hat, sensible Daten werden wohl kaum über Whatsapp verbreitet. smile.gif
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 20.07.2016, 19:34
Beitrag #14



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



http://www.heise.de/security/artikel/Test-...ng-3165567.html


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 14:52
Impressum