WhatsApp aktiviert Ende-zu-Ende-Verschlüsselung für alle Nutzer
Wenn ihr die neueste Version von WhatsApp auf eurem iPhone oder auch Android-Gerät installiert habt, werden eure Nachrichten und WhatsApp-Anrufe nun komplett Ende-zu-Ende-verschlüsselt.
Der für die Integration der Verschlüsselungstechnik verantwortliche WhatsApp-Partner Open Whisper Systems erläutert die Details in einem separaten Blogeintrag. Endnutzer müssen von ihrer Seite allerdings nichts tun, um in den Genuss des erweiterten Datenschutzes zu kommen. Sobald alle Chatpartner mit der neuesten App-Version arbeiten, wird die Verschlüsselung automatisch aktiviert.
Wundert euch also nicht, wenn ihr eine entsprechende Nachricht im Chat-Verlauf seht. Mit der Ende-zu-Ende-Verschlüsselung bietet euch WhatsApp zusätzliche Sicherheit und setzt klare Zeichen. Die Aktivierung des Sicherheitsmerkmals hat mit Blick auf den Machtkampf zwischen Apple und dem FBI in den vergangenen Wochen auch politisches Gewicht. Genau genommen verlieren die Behörden damit den Zugriff auf die Chats von mehr als einer Milliarde Menschen weltweit.
WhatsApp informiert an dieser Stelle über das Sicherheitskonzept (PDF) der eigenen Dienste. Ihr solltet vielleicht noch einen Blick auf die damit verbundene neue Einstellungsoption werfen. Im Bereich Account -> Sicherheit könnt ihr festlegen, ob ihr grundsätzlich darüber informiert werden wollt, wenn sich die an den Sicherheitsvorgaben eures Chat-Partners etwas ändert.
Vom ersten Tag an haben wir WhatsApp gebaut, damit du mit deinen Freunden in Kontakt bleiben, wichtige Informationen zu Naturkatastrophen teilen kannst, getrennte Familien sich wiederfinden oder Menschen nach einem besseren Leben suchen können. Einige deiner persönlichsten Momente werden über WhatsApp geteilt, was der Grund ist, warum wir Ende-zu-Ende-Verschlüsselung in die neuesten Versionen unserer App eingebaut haben. Wenn deine Nachrichten, Fotos, Videos, Sprachnachrichten, Dokumente und Anrufe Ende-zu-Ende verschlüsselt sind, sind sie davor geschützt, in die falschen Hände zu fallen.
Vielen Dank für eure zahlreichen E-Mails zum Thema.
„Open Whisper System“ ist ja mal ein ungünstiger Name
xD
Allerdings
Eigentlich überhaupt nicht. „Open“ ist eine Anlehnung ihres Konzeptes: Open Source.
Es geht um whisper du held
@Dan: Verstehe ich immer noch nicht. Whisper -> Flüstern -> Eine Unterhaltung führen ohne das jemand anderes mithören kann. Passt doch super?!
whisper -> flüstern -> dein handy flüstert einem anderen jemand etwas. Nur kennst du den anderen nicht.
man kanns positiv und man kanns negativ werten. Du verstehst es so, wie der Hersteller. Wir verstehen es ironisch :)
Endlich, jetzt nur noch die native App für die Apple Watch.
Aber ACHTUNG!
WENN man jemandem verschlüsselt schreibt, ist zwar der Inhalt sicherlich sicher, ABER es wird nicht verschleiert, wen am anschreibt oder von wem man Text beokmmt.
Das ist aber immer so, wenn man nicht P2P chattet, dann kann der Server immer die Verbindungsinformationen mitlesen.
Nein, Gerum, man kann die Metadaten verschleiern. Dies ist sogar relativ gut, wenn die Anzahl der Nutzer hoch ist. Z.B. iOS: Oft versuchen Nutzer Nachrichten nicht über Tor abzusenden. Man hofft, dass Threema dies nicht speichert. Threema bekommt dann habe nur verschlüsselte Nachricht mit verschlüsseltem Absender und erfährt dann nur die Push ID. Dies sendet es an einen Apple Push Server. Threema kann also zu Push ID eigentlich nicht die Apple ID zuordnen. Dies kann evtl. Apple, falls ihr System unsicher aufgebaut ist. Aber Apple erfährt dann nur, dass Threema der Versender ist und mehr nicht. Nur über die Zeit des Absendens und Empfangens kann man mit einer gewissen Wahrscheinlichkeit feststellen, wer mit wem kommuniziert hat (vorausgesetzt, man hat Zugriff auf den Threema-Server, was nicht unbedingt wahrscheinlich ist). Mit vielen Nutzern kann auch dies verschleiert werden. Allerdings ist leider per Default an, dass per Default auch eine Vorschau und ein nicht unbedingt eindeutig gewählter Nickname versendet wird. Jedoch kann man bei Signal beides deaktivieren. Bei Threema kann man zumindest die Vorschau deaktivieren. Dann wählt man einen sicherlich recht häufig gewählten Nicknamen. Nur für den Empfänger ist es blöd, wenn alle Versender nur noch Tobias oder ähnliches heißen.
Wie kann das überprüft werden?
Das wäre schön wenn das irgendwie glaubhaft aus uneigennütziger Quelle geprüft und bestätigt werden könnte.
Schon wieder Paranoia
Schick mal deinen online banking pin. Keine Angst. Die kommentarfunktion hat End2End Verschlüsselung
@Dan
Dass du Schwachsinn schreibst, merkst du selber, oder?
Der Inhalt einer Nachricht hat nichts mit einer Verschlüsselung der Nachricht zu tun.
WhatsApp verwendet einen RC4-Algorithmus, der als geknackt gilt und außerdem für beide Kommunikationsrichtungen den gleichen aus einem Benutzerkennwort abgeleiteten Schlüssel.
Was fuer ein Benutzerkennwort bei Whatsapp?
@Mein Senf
Das war mal so. Das wurde mittlerweile geändert.
@Paniikk.
Damals war es ein Hash aus der Telefonnummer und der Seriennummer des Geräts, wenn ich mich nicht irre.
Mittlerweile ist es eine (mehr oder weniger) zufällige Zeichenkette, die bei der Verifizierung erstellt wird.
das was aus deiner telefonnummer geriert wird/wurde von whatsapp.
jeder wa account hat ein selbst generiertes passwort
Dabei ging es um die Authentifizierung nicht um die Verschlüsselung.
RC4 ist auch ein Hash-Algorithmus und kein Verschlüsselungs-Algorithmus.
Naja wers braucht. Ich hätte mir eine Geräteübergreifende App gewünscht die auch endlich auf dem iPad funktioniert. Nur ein Geräte zu unterstützen ist nicht mehr zeitgemäß. Ein Account für alle Geräte das wäre mal was.
Das war noch nie zeitgemäß. Oder wer besaß 2009 einzig und allein nur ein iPhone?!
Ich…
Und das hast du wie aktiviert? Fremdrechner?
Und damit hast Du Ende zu Ende Verschlüsselung nicht kapiert. Es darf dann nur ein legitimes Endgerät geben.
Nein. Man kann den eigenen privaten Schlüssel doch auf mehreren Endgeräten haben. PGP funktioniert doch auch auf mehreren pcs gleichzeitig.
Wenn man behauptet, dass der andere das Prinzip nicht verstanden hat, sollte man schon sicher sein, dass man bei der Erklärung nichts schreibt, was Unsinn ist.
Gibt es. nennt man iMessage.
Bei denen steht „um die End zu End Verschlüsslungen nutzen zu müssen, muss“ man diesen Code Einscannen vom 2ten
Total dämlich. Verstehe ich auch nicht so ganz. Demnach müsste ich das Gerät des anderen mit meinem Gerät scannen, was im unkehrshckuss bedeutet, dass wir uns persönlich treffen müssen. Ich sehe die Leute, mit denen ich über whatsapp schreibe, nicht jeden tag.
Wie willst du sonst sicher gehen dass die Verbindung sicher ist und sein gegenüber eindeutig identifiziert, ohne Gefahr einer mitm-attcke?
Willst du es sicher ist oder nicht?
Bei mir steht das nicht das ich das muss. Sondern das es direkt verschlüsselt ist.
Das steht dort nicht! Im pdf auf Seite 7 unten steht, dass du dein Gegenüber verifizieren KANNST, um sicherzustellen, dass sich keiner zwischen euch hängt und mitlauscht.
Was mich allerdings noch irritiert: wenn es wirklich eine Ende-zu-Ende-Verschlüsselung ist, dann sollte doch zumindest die Vorschau im Lockscreen nicht mehr funktionieren oder?
Das mit dem Lockscreen ist schon ganz nett. Signal kann das ja aber auch. Soweit ich weiß funktioniert das folgendermaßen: WhatsApp schickt eine spezielle Push Nachricht an das iPhone, dieses startet daraufhin im Hintergrund die WhatsApp App. Diese verbindet sich mit dem Server, holt die Nachricht, entschlüsselt diese und macht eine lokale Push-Nachricht mit dem Inhalt für den Nutzer.
Das dürfte folglich aber den Energieverbrauch etwas erhöhen, da WhatsApp immer im
Hintergrund geweckt werden muss, anstatt das ein sowieso immer laufender Systemservice nur eine Push Nachricht anzeigt. Hoffentlich haben sie wenigstens einen „Minimal-Prozess“ da, welcher nur rein für die Push-Benachrichtigung zuständig ist und auf minimalsten Ressourcenverbauch getrimmt ist.
Oder sie machen es ganz ganz anders.
@Olli wenn das wirklich technisch geht, dann schreib ich morgen ne Mail an Threema
Dazu gibt es im Threema Forum (auf deren Seite) bereits letzten August einen Thread.
https://threema-forum.de/thread-869.html?highlight=Vorschau+iOS
War aber letztendlich regt ergebnislos. Aber dennoch: jetzt kenne ich mittlerweile 2 Apps di E2E beherrschen und eine Nachrichtenvorschau.
Hat mich auch gewundert und soweit ich weiß, hat iOS keine API um die App im Hintergrund zur Entschlüsselung zu starten. Gibts bei Threema und Telegram (für geheime Nachrichten mit end-to-end Verschlüsselung) ja auch nicht… Ich bezweifle daher, dass es nicht auf dem Whatsapp-Server entschlüsselt wird.
Es gibt eine API dafür. Es gibt seit iOS6 sogenannte Silent-Push-Meldungen, die im Background die App aufwecken und ein Prozess anstoßen können. Also rein technisch sollte das möglich sein, die Nachricht lokal zu entschlüsseln und per lokaler Pushnachricht als Vorschau anzuzeigen
Seit iOS7, sorry :)
Silent Push kann es nicht sein, zumindest nicht durchgehend.
Bei einer Freundin mit iPhone 3GS (iOS 6.1.6) wird angezeigt, dass der Chat verschlüsselt ist und es werden trotzdem Push-Benachrichtigungen angezeigt.
Da muss also klassisch der plain-text über die Apple Server kommen, was die Verschlüsselung überflüssig macht.
OK, scheinbar gibt es in iOS doch die Möglichkeit, die App im Hintergrund „zu wecken“, um Aktionen auszulösen. In dem Fall könnte die App also tatsächlich die eingegangene Nachricht entschlüsseln und als Klartext im Lockscreen anzeigen:
https://developer.apple.com/library/ios/documentation/iPhone/Conceptual/iPhoneOSProgrammingGuide/BackgroundExecution/BackgroundExecution.html
Bei mir ist noch keine Nachricht von Whatsap eigegangen…..
Guten Tag Herr „noch keine Nachricht eingegangen…“ denk bitte nach bevor du hier solchen Müll verbreitest
Härbert, du verbreitest hier Müll.
Wenn die Ende-zu-Ende-Verschlüsselung aktiv ist, wird in jedem Chat eine Nachricht angezeigt. Daniel hat sich zwar nicht richtig ausgedrückt („Nachricht geht ein“ != „Information wird angezeigt“), aber was du schreibst, ist unnötig.
Trotz aktueller Version auf 2 Geräten, wird jeweils bei beiden angezeigt, dass der andere noch eine alte Version benutzt ( ohne Verschlüsselung ) obwohl beide die aktuellste Version nutzen .
Bei mir auch, scheint wohl noch nicht ganz „durch“ zu sein. Ich habe auch den Effekt, dass beim Partner angezeigt wird, dass der Chat verschlüsselt sei, auf meiner Seite aber noch die o.g. Meldung erscheint.
Genau das hab ich auch. Freundin hat den Chat verschlüsselt, bei mir nicht. Auch der „logisch“
Einmal die Favoriten aktualisieren, dann klappt es auch.
WhatsApp einmal komplett beenden und neu starten, danach läuft alles korrekt. ;)
Klappt nicht – aber ein anderer Tipp: Favoriten aktualisieren – danach geht’s sofort.
„die Behörden“ werden immer noch mitlesen können!
100%ige Garantie hat man leider nirgends.
Moment,… Es sei denn,… Man hätte kein Internet! Ich habe die Lös..
Hätte man zu DDR Zeiten auch nicht
Doch, hat man: Bei Open Source-Lösungen
ach, echt hat man nicht‽ Na dann…
Und das ist gut so!
Nein, ist es nicht.
Das machst du woran fest? Hast du Informationen, die sonst keiner hat?
Aluhut
Paranoia
Was hat es mit diesem Code scannen auf sich ?
Damit lässt sich verifizieren, dass die Ende zu Ende Verschlüsselung korrekt funktioniert und sie niemand manipuliert hat.
Die ist nur dafür da, damit du weisst dass der gespraechspartner auch der ist fuer den du ihn haelst
Und wer garantiert mir jetzt das WhatsApp den privaten Schlüssel nicht an sich zurück schickt?
Dir muss niemand etwas garantieren!!!
Wer generiert den eigtl? Passiert das bei der Installation? Oder macht man das beim ersten Start nachm Update?
jede nachricht bekommt einen neuen schlüssel
Muss der Code vom entsprechenden Chatpartner auf einem der Handys eingescannt werden, damit die Verschlüsselung funktioniert, oder funktioniert die Verschlüsselung auch ohne das Scannen? Das wär jetzt noch die Preisfrage…
Siehe https://www.whatsapp.com/security/?lg=de&lc=zz
Die Verschlüsslung ist aktiv . Der Code ist nur dafür da , damit man sicher ist auch den richtigen Empfänger zu kontaktieren und nicht die Verbindung „abgefangen“ wurde. In dem Fall würde der Code abgestimmte Code nicht mehr stimmen . Ähnlich wie bei Threema
Es funktioniert ohne Einscannen.
Das Einscannen kann nur als Bestätigung verwendet werden, dass die Ende zu Ende Verschlüsselung bei euch richtig funktioniert und niemand sie in irgendeiner Form manipuliert hat.
Stimmt nicht. Der Code ist dafuer da, dass du sicherstellen kannst, dass der richtige Mensch zum Whatsapp Account gehört.
01711234567890 ist Alex, sagt er. Du weisst es aber erst genau wenn du seinen code gescannt hast und der bestaetigt dass der code zur nummer gehoert
Danke für die Info! :)
Der Code ist einmalig und dazu da dein gegenüber eindeutig zu identifizieren. Wie bei Treema.
Leute……..nutzt Threema oder Simsme, zweites sogar kostenlos. Da ist es sicher ✌️
Inzwischen genauso sicher wie bei WhatsApp.
Du meinst whatsapp ist inzwischen genauso sicher wie threema. Nicht anders herum.
LOL
Ich habe keine Aktualisierung im App Store! Wie kann ich den whatsapp aktualisieren ?
Gar net… Die Funktion war einfach beim letzten Update schon dabei. WhatsApp hat nur eine weile gewartet bis auf den meisten Handys das Update installiert ist und es dann „Remote“ aktiviert. Das ist relativ normal bei WhatsApp, haben Sie schon bei diversen Funktionen so gemacht.
Danke, habe whatsapp einfach ein entfernt und erneut installiert, hat dann auch sofort funktioniert!
bei mir funktioniert jetzt auch alles – sogar ohne den Schritt des neu installierens ;)
Mir stinkt dass es nur auf einem iPhone geht und nicht bei meiner Multi sim Karte
Dafür haben die immer noch den dämlichen Geburtstagsbug: verschickt man einen Kontakt mit eingetragenem Geburtsdatum via WhatsApp, so erhält der Empfänger den Kontakt mit verändertem Geburtstag, dieser ist dann nämlich ein Tag früher. Kann man auch gut prüfen, indem man den gesendeten Kontakt im Chatverlauf öffnet, da ist das nämlich auch bereits der Fall. Ich vermute ein Problem mit dem Schaltjahr. Über iMessage passiert das nicht, allerdings kann man da die Kontaktdetails nicht vorher auswählen.
Absolut richtig!!! Ist mir gestern aufgefallen. Man wird um 1 Tag älter gemacht :-(
Die Verschlüsslung mag nun sicher sein. Aber die Kontakte werden immernoch an whatsapp bzw eher an Facebook Server geschickt und bei dieser datenkrake hab ich so meine Zweifel das da nur ein hash zum abgleichen übertragen wird…
EndezuEnde! Yes german rulez;-)))
Was ich nicht verstehe: bei Threema hieß es immer, die Nachrichten-Vorschau kann nicht angezeigt werden, da die Nachrichten im Hintergrund nicht entschlüsselt werden können bzw dürfen. Bei WhatsApp sehe ich die Nachrichten jetzt auch bei entsperrtem iPhone schon entschlüsselt in der Vorschau. Wie kann das sein?
Das würde bedeuten, dass die Push-Vorschau unverschlüsselt über die Apple-Server geht?
Siehe oben Kommentar von Olli.
Wenn das stimmt was er schreibt, schick ichs morgen an threema :)
Wenn man sonst keine Probleme hat
Dazu hat weiter oben schon jemand eine Theorie gepostet.
Abwarten, bis sich das die ersten Kritiker angesehen haben :-)
Die Antwort steht weiter oben in einem Kommentar von Olli.
Also bisher glaube ich nicht an diese Verschlüsselung. Wenn ich im Chat mit meiner Frau auf die Chatinfo klicke, steht da Ende-zu-Ende Verschl. wäre aktiv. Bei meiner Frau steht hingegen, es wäre nicht aktiv, weil ich erst Whatsapp updaten müsste. Beide haben die neueste Version. Ich nutze iOS, meine Frau android. Schon irgendwie komisch….
Du musst einmal deine Favoriten refreshen, dann passt das…
Danke!
Nur weil man paranoid ist, heißt es nicht, dass es nicht so sein kann…
„End-zu-NSA-zu-End“ – Verschlüsselung. Aha ok, danke!
Und da sage noch mal einer, hierzulande würden Menschen nicht mehr glauben: Wer braucht schon überprüfbare Fakten, wenn er mit ganz geheimen Geheimwissen aufwarten kann?
Ich bin beeindruckt.
Wie soll das hier sicher sein?
Man muss den privaten key austauschen über den QR-Code, dann ist es sicher !:)
1. man tauscht bei der verschlüsselung den öffentlichen key aus, der private bleibt immer bei dir.
2. bei threema zumindest wird das ganz geschickt im hintergrund gemacht. das qr code scannen dient nur der verifizierung.
Bei Whatsapp doch auch…
Das ist ja gerade der Trick an der asymmetrischen Verschlüsselung. Man muss keinen Privaten Schlüssel austauschen – nur den öffentlichen. Und mit dem kann man nur verschlüsseln, aber nicht entschlüsseln.
Whatsapp alias Facebook ging es nicht bzw. höchstens ganz am Rande um den Inhalt der Nachrichten.
Viel entscheidender sind Daten, wie z.B. ALLE Telefonnummern aus dem Adressbuch die auf den FB-Server übertragen werden sowie Metadaten und Bewegungs- bzw. Geodaten.
Man bezahlt bei Whatsapp mit seinen Daten, eine Währung der heutigen digitalen Zeit.
…man wird gezwungen, damit zu bezahlen, da man sich das Zahlungsmittel ja nicht aussuchen kann.
Ich glaube, niemand zwingt Dich Whatsapp zu nutzen.
Ihr glaubt doch nicht etwa an den Quatsch. Die NSA hat schon längst eine Möglichkeit das zu entschlüsseln. Die werden sich doch nicht das Durchscannen der ganzen Chats nehmen lassen. Wenn selbst die FBI Deppen das mit nem angeblich unknackbaren iPhone hinbekommen, hat die NSA schon längst ne Lösung. Damit will man die Kunden nur beruhigen damit sie sich sicher fühlen. Dank Edward Snowden wissen wir doch wie gläsern wir alle sind und dass die Regierungen immer datenhungriger werden. Das traurige daran ist nur, dass es nichts bringt. Terroranschläge wird es trotzdem immer geben. Man suggeriert den Leuten nur, dass sie ihre Privatsphäre aufgeben sollen und so etwas zu verhindern. Siehe Vorratsdatenspeicherung.
Welche Lösung schlägst du vor?
Ah, lass mich raten, du bist einer, der Threema benutzt, auf SMS & Anrufe verzichtet, seine E-Mails mit PGP verschlüsselt und alle, die nicht so denken wie du, Pech gehabt haben, richtig?
…..und wenn ich es richtig verstehe weis whatsapp auch wer mir so nahe steht und wichtig ist das ich mich perönlich mit ihm/ihr hinsetzte und den Code scanne…
Mir wäre ja eigentlich wichtig die Chats auf meinem Handy mit nem Passwort zu versehen wie bei Simsme… Gibt es da bei whatsapp eine Möglichkeit? Sorry nicht ganz das Thema, aber hier sind so viele schlaue Köpfe, vielleicht kann mir dazu jemand was sagen…
Von Haus aus nicht. Mit Jailbreak (bzw. bei Android auch ohne Root) gibt es die Möglichkeit mit entsprechenden Apps.
Habe da auf Golem folgenden Kommentar gelesen:
„Der Angriff gegen Whatsapps Ende-zu-Ende-Verschlüsselung entbehrt dabei nicht einer gewissen Ironie. Das von dem Messenger für die Verschlüsselung verwendete Messaging-Protokoll Axolotl wurde ursprünglich von Open Whisper Systems mitentwickelt, das seit 2013 über 2,2 Millionen US-Dollar finanzielle Förderung durch den Open Technology Fund erhalten hat, der wiederum durch die US-Regierung finanziert wird.“
Klingt schon ein bischen interessant
Finde ich lustig wie Leute hier das echt in Betracht ziehen. Eine Ende-zu-Ende Verschlüsselung bei Whatsapp. Habt ihr vergessen wem Whatsapp gehört ? Und derjenige weiß garnicht was Privatsphäre heißt, außer seine eigene. Wenn ich noch zurück denke, als Threema rauskam damit, und keiner es glauben wollte weil es ja nicht Open Source ist, und speziell deren Verschlüsselung. Aber stattdessen zieht ihr echt in Betracht, das Herr Zuckerberg eine Ende-zu-Ende Verschlüsselung einbaut ??? hahaha…. wohl eher eine ENDE- ZU- ZUCKERBERG Verschlüsselung.
Drollig…
Die Chatverläufe liegen doch noch immer auf dem Server von Facebook und die Behörden können darauf zugreifen, ebenso wie auf das hochgeladene Adressbuch. Die Ende-zu-Ende-Verschlüsselung ist schon gut, aber leider nur 50% von dem was möglich ist, oder sehe ich das falsch ?
Jein. Sie liegen auf den Servern, aber nur das Endgerät des Empfängers kann sie entschlüsseln. Das bedeutet Ende-zu-Ende Verschlüsselung – im Gegensatz zu einer Transportverschlüsselung z.B.