Plant WhatsApp ein Neuanfang der Ende-zu-Ende-Verschlüsselung?

18

WhatsApp Ende-zu-Ende-Verschlüsselung

WhatsApp ändert ihre Nutzungsbedingungen. Eine Meldung beim Start des Messengers macht aktuell jeden Nutzer darauf aufmerksam. Man hat die Wahl die neuen Richtlinien jetzt oder erst später zum 8. Februar zu akzeptieren.

Außerdem möchte ich in diesem Artikel ein paar Gedanken zur Ende-zu-Ende-Verschlüsselung zu Wort kommen lassen, im Zusammenhang mit veränderten Ressourcen von WhatsApp. Dazu in einem späteren Abschnitt mehr.

WhatsApp Nutzungsbedingungen: EU-Nutzer bleiben verschont

Man kann den neuen, transparenteren Nutzungsbedingungen eine erhöhte Datenfreigabe entnehmen. In Zukunft soll WhatsApp alle gesammelten Informationen eines Nutzers mit Facebook teilen und somit mit einem großen Netzwerk an weiteren Diensten.

Auch Größer könnte das Ausmaß der Datensätze werden. Laut WhatsApp möchte man in Zukunft analysieren, wie die eigenen Nutzer mit dem Dienst interagieren, um die eigenen Produkte zu verbessern. Des Weiteren möchte man bessere Möglichkeiten bereitstellen, zur optimierten Kommunikation verschiedener Dienste untereinander. Darunter fallen Aktualisierungen zu Produkten sowie Marketing.

WhatsApp-Nutzer innerhalb der EU können nun aufatmen. In bspw. Amerika stellt das Unternehmen WhatsApp LLC die WhatsApp-Dienste bereit. In der EU und ein paar weiteren Ländern übernimmt jedoch WhatsApp Ireland Limited die Haftung der Dienste. Und dieses Unternehmen verfolgt gesonderte Datenschutzrichtlinien.

Laut Niamh Sweeney, Director of Policy bei WhatsApp, ändere sich im Vergleich zu vorher im europäischen Raum nichts. Weiterhin nutze Facebook die WhatsApp Account-Informationen nicht zur Anzeige personalisierter Werbung oder zur Verbesserung der Produkte. Trotzdem möchte ich nochmal anmerken, dass genauso wie vorher, die eigene Telefonnummer mit Facebook geteilt wird, zur besseren Zuordnung der Nutzer.

WhatsApp aktualisiert Paper zur Ende-Zu-Ende-Verschlüsselung

Twitter-Nutzer Shiftreduce hat eine interessante Entdeckung gemacht. WhatsApp stellt auf dieser Seite den Download eines Whitepapers zur Verfügung. Es handelt sich um ein PDF-Dokument, in dem die Technik hinter der Ende-zu-Ende-Verschlüsselung genauer erläutert wird. Interessanterweise änderte man das Informationsblatt zuletzt am 22. Oktober 2020. Vergleicht man die aktuellste Version nun mit einer ältern, fällt sofort auf, dass man folgenden Satz entfernte:

WhatsApp Ende-zu-Ende-Verschlüsselung Paper: Screenshot von der Version vom 4. April 2016

Quelle der alten Version: ein Upload auf DocumentCloud (unverifiziert)

WhatsApp Ende-zu-Ende-Verschlüsselung Paper: Screenshot von der Version vom 22. Oktober 2020

Quelle der neusten Version: WhatsApp selbst

Der frei übersetzte Satz „Zu keiner Zeit haben die WhatsApp-Server Zugriff auf irgend einen privaten Schlüssel der Clients“ ist in der neusten Version verschwunden.

Die Verschlüsselung der eigenen Nutzerdaten funktioniert grob wie folgt: der Datensatz auf den WhatsApp-Servern wird verschlüsselt und mit dem öffentlichen Schlüssel versehen. Dieser öffentliche Schlüssel behält WhatsApp, doch ist alleine unbrauchbar. Möchte man die Daten entschlüsseln, benötigt man zwingend noch den passenden Partner. Das wäre in diesem Fall der private Schlüssel des Nutzers. Würde WhatsApp nun die privaten Schlüssel aller Nutzer speichern, hätte man Zugriff auf all ihre Nachrichten und Chats. Dafür müsste man die erwähnten Daten irgendwie dauerhaft speichern, was WhatsApp bislang nicht macht. Aus diesem Grund muss man auch ein Backup der eigenen Chats in der Google- oder Apple-Cloud machen.

Wieso der Satz entfernt wurde, ist noch unklar. Es könnte auch im Zusammenhang mit der von der EU geplanten Gesetzesänderung stehen. Doch die Öffentlichkeit erfuhr erst einen Monat nach der Änderung der WhatsApp PDF von dieser Debatte.

Plant WhatsApp einen Neuanfang der Ende-zu-Ende-Verschlüsselung?

Im folgenden Abschnitt wird der Artikel spekulativer. Zusätzlich bringt der Autor seine eigene Meinung ein.

Ich habe die Recherchearbeit fortgeführt und die offizielle Webseite von WhatsApp zur Verschlüsselung untersucht. Dabei verglich ich die aktuelle Version vom 09.01.2021 mit der vom 02.09.2020, abgerufen von Archive.org. Als Hilfsmittel kam die Webseite Diffchecker zum Einsatz, auf der ich den Inhalt beider Seiten einfügte. Hier der Vergleich: Saved diff zNBVaXSd – Diff Checker.

Folgende erwähnenswerte Entdeckungen möchte ich mit euch teilen:

Alte Version, Zeile 9, in der neuen Version entfernt:

Note: End-to-end encryption is always activated. There’s no way to turn off end-to-end encryption.

Neue Version, Zeile 33, in der alten Version nicht vorhanden:

Note: This feature is only available for a contact in an end-to-end encrypted chat.

Formulierungsunterschied
alte Version, Zeile 40:

WhatsApp has no ability to see the content of messages or listen to calls on WhatsApp.

neue Version, Zeile 43:

WhatsApp has no ability to see the content of messages or listen to calls that are end-to-end encrypted.

Es klingt fast so, als verfolge man bei WhatsApp das Ziel, die Ende-zu-Ende-Verschlüsselung als optionales Feature zu implementieren. Ein Indiz dafür wären die neuen Formulierungen. Man spricht nicht mehr von Chats im Allgemeinen, sondern erwähnt immer explizit die verschlüsselten Chats.

Dadurch hätte man auch eine Erklärung, wie WhatsApp es in Zukunft schaffen möchte, WhatsApp Web unabhängig vom Smartphone nutzbar zu machen. Alternativ könne WhatsApp zur Umsetzung selbstverständlich auch ein optionales Feature einführen, welches ermögliche, die eigenen Daten samt privaten Schlüssel auf ihren Servern zu speichern.

Neue WhatsApp-Nutzungsbedingungen und Datenschutzrichtlinie

Übrigens: Der folgende Beitrag beschäftigt sich mit der Frage, ob man in die Änderung der WhatsApp-AGB zustimmen sollte oder nicht.


Quellen: WhatsApp Ireland Limited-Geltungsraum, WhatsApp LLC Datenschutzrichtlinie, WhatsApp Ireland Limited Datenschutzrichtlinie.

5 4 votes
Article Rating

Über den Autor

20 Jahre alt | Redakteur & Videoproduzent bei WindowsArea. | Instagram: @arminosaj | Twitter @Armin2208 | YouTube: Armin2208

Subscribe
Benachrichtige mich zu:
18 Comments
neuste
älteste beste Bewertung
Inline Feedbacks
View all comments
rom
2 Monate her

Signal ist sehr gut. Threema auch eine Alternative. Nur weg von whatsup

Wizardgamer100
3 Monate her

Ich würde ja gerne einen anderen Dienst nutzen wie Telegram oder Signal aber ich kann keinen meiner Freunde überenden das sie was anderes benutzen als WhatsApp denen sind ihre Daten egal

TylerDurden
Reply to  Wizardgamer100
3 Monate her

Bei mir das gleiche. Selbst in der Firma. Alle haben Teams Account. Aber vom Phone aus schreiben die alle per WA. 🙄

BerndOH
Reply to  TylerDurden
3 Monate her

Da hatte ich mehr Erfolg gehabt. 99% meines Bekanntenkreises sind auf Telegram vertreten. Aber die meisten sind immer noch WhatsApp-geil. Dort werden auch Chats schneller beantwortet als in Telegram. Und ich verstehe auch die Radiostationen nicht, die zwar Kontakt per WhatsApp zulassen aber Telegram? Fehlanzeige! Dabei finde ich das mit Telegram viel einfacher. WhatsApp läuft ja nicht solo auf dem PC.

george_martini
Reply to  TylerDurden
3 Monate her

Einfach den Account löschen und du wirst sehen wie schnell die anderen beide Systeme haben. Besonders bei Firmen funktioniert es super. Wenn Sie dir keine Infos senden können, nutzen Sie auch etwas anderes. Aber so lange man selbst nichts ändert, werden sich auch die anderen nicht ändern

Salami_1988
3 Monate her

Den Weg, die Schlüssel auf dem Server zu speichern finde ich keine gute Idee. Somit hätten Regierungen, oder Angreife die Möglichkeit alle Nachrichten mitzulesen.

Warum macht man es nicht so wie bei Signal. Wenn man die Desktop-App verwenden möchte, wird der private Schlüssel mit einem über den QR-Code erzeugten Schlüssel verschlüsselt, über den Signalserver zur Desktop-App übertragen und dort wieder entschlüsselt.
Die Betreiber der Server haben nie Zugriff auf die eigentlichen verschlüsselten Daten.

OliverL
Reply to  Salami_1988
3 Monate her

Der public key heißt nicht ohne Grund so – den müssen andere (z. B. vom Server) abfragen können, damit sie dir eine Nachricht schicken können, die nur du mit deinem private key lesen kannst. Es macht keinen Sinn, den public key teilweise zu schützen und nur bei gewünschten Kommunikationspartnern lokal zu speichern.

Salami_1988
Reply to  OliverL
3 Monate her

Hallo OliverL, ich habe auch nichts von einem public key geschrieben 😉
Der private key wird (mit einer synchronen Verschlüsselung) verschlüsselt um ihm so von dem Handy an die Desktop-App zu übertragen.

Im Artikel ging es darum, dass WhatsApp diese Änderungen macht, damit man auch ohne sein Smartphone mit einer weiteren App auf die Nachrichten Zugriff hat.
Und meiner Meinung nach löst das Signal so sehr elegant und die Nachrichten bleiben immer Ende-zu-Ende verschlüsselt.

Salami_1988
Reply to  Armin Osaj
3 Monate her

Leider nicht auf ältere Nachrichten, sondern nur auf Nachrichten die ab dem Zeitpunkt der Schlüsselübertragung empfangen oder gesendet werden.

Vermutlich hält Signal die verschlüsselten Nachrichten noch länger auf dem Server vor bis jedes verknüpfte Gerät diese erhalten hat. In der Signal-App werden die verknüpften Geräte angezeigt und wann diese zuletzt online waren.

Aber das ist nur eine Vermutung. Wie das im Einzelnen funktioniert müsste man nachlesen.

kbv
3 Monate her

: richtig. Das zu glauben ist genauso einfältig wie zu glauben daß ein Zitronenfalter Zitronen faltet…

OliverL
3 Monate her

Es ist immer lustig, wie viele Leute sich über Apps aus Rechtsstaaten aufregen, aber wie blöde Firmware aus Terror- und Unrechts-Regimen einsetzen, ohne mit der Wimper zu zucken. Ist halt ein paar € billiger, die Hardware. Cool.
Infos zur Reichweite: Messenger Apps Deutschland und Weltweit | Nutzerzahlen & Statistik (messengerpeople.com)

Last edited 3 Monate her by OliverL
mf
Reply to  OliverL
3 Monate her

So ist das mit dem Herdentrieb. Kannste mal sehen, wie viele Leute ohne Gehirn einzuschalten schon immer die AGB bestätigen, aber trotzdem den Datenschutz aller abgespeicherten Kontakte mit Füßen treten. Das hat mit Rechtsstaat überhaupt nichts zu tun. WA sichert sich ja ab mit den AGB.

mf
3 Monate her

„… innerhalb der EU können aufatmen.“ Träumt mal schön weiter. Irgendwann wird Euch der Whatsdreck um die Ohren fliegen.