WhatsApp soll nun sämtliche Kommunikaton auf allen Plattformen standardmäßig verschlüsseln, wie Krypto-Guru Moxie Marlinspike verkündet. Marlinspike ist in die Entwicklung der Verschlüsselungs-Funktionen involviert. Die beliebte Messaging-App wäre damit auf einen Schlag der weltweit meistgenutzte Krypto-Messenger. Konversationen unter Android-Nutzern verschlüsselt WhatsApp bereits seit einiger Zeit, allerdings nicht so, wie man es gerne haben wollte: So gab es etwa keine einfache Möglichkeit, festzustellen, ob ein Chat verschlüsselt ist. Dieser und ein weiterer Kritikpunkt sollen nun der Vergangenheit angehören.

Ende-zu-Ende-Verschlüsselung für alle

Zwischen den jeweils aktuellen Versionen der WhatsApp-Clients soll nun sämtliche Form der Kommunikation Ende-zu-Ende-verschlüsselt werden. Das bedeutet, dass sichergestellt ist, dass nur der Empfänger eine für ihn bestimmte Nachricht entschlüsseln kann. Dies umfasst nach Angaben von Marlinspike sowohl Chats als auch Gruppenchats, WhatsApp-Anrufe, Sprachnachrichten und die Übertragung von Dateianhängen. WhatsApp nutzt für die Verschlüsselung das von Moxie erdachte Signal-Protokoll, ehemals als Axolotl-Protokoll bekannt. Eine online gestelltes Whitepaper erläutert technische Details.

Unter Android verschlüsselt WhatsApp zwar schon länger, es gab jedoch gleich zwei Haken: Zum einen konnte der Nutzer nicht überprüfen, ob seine Verbindung tatsächlich verschlüsselt wird. Hat er etwa mit einem iOS-Nutzer kommuniziert, wurden die Gespräche im Klartext übertragen, ohne dass es in irgendeiner Form erkennbar war. Das ist jetzt anders: Sowohl im Chat-Verlauf als auch in den Einstellungen wird man von WhatsApp über das Vorhandensein der Verschlüsselung informiert.

Bild 1 von 7 Ende-zu-Ende-Verschlüsselung bei WhatsApp (7 Bilder) Nach einem Neustart findet sich (unter Android) in den Einstellungen der neue Punkt "Sicherheit".



Nutzer verifizieren

Zum anderen hatte man bisher keine Möglichkeit, zu überprüfen, ob das Gegenüber tatsächlich derjenige ist, für den er sich ausgibt. Auch das hat sich geändert: WhatsApp zeigt einen QR-Code ein, den man einmalig gegenseitig einscannt, wenn man eine Person trifft. Alternativ kann man eine längere Ziffernfolge (Sicherheitsnummer) abgleichen. Von diesem Zeitpunkt an ist der Kontakt verifiziert und der Client kann überprüfen, dass die Nachricht tatsächlich die Person erreicht, für die sie bestimmt ist. Mit diesem Verfahren arbeitet auch der beliebte Krypto-Messenger Threema.

Allerdings kann man derzeit nicht davon ausgehen, dass automatisch sämtliche Kommunikation verschlüsselt erfolgt: Tauscht man sich mit Nutzern aus, die nicht die aktuelle Version des Clients oder einen alternativen Client nutzen, ist die Verschlüsselung nicht aktiv. Wenn es darauf ankommt, sollte man sich also besser davon überzeugen, dass die Daten tatsächlich chiffriert zum Empfänger übertragen werden.

Krypto-Chats auf vielen Plattformen

Die Verschlüsselung steckt laut Marlinspike in den aktuellen Versionen für Android, iPhone, Windows Phone, Nokia S40, Nokia S60, Blackberry und BB10 – Hinweise in den Changelogs sucht man jedoch vergeblich. Bei einem ersten Test von heise Security zeigte WhatsApp bei Verbindungen zwischen Android und iOS wie angekündigt an, dass die Verbindung verschlüsselt wird. Unter Android kann es notwendig sein, die App oder das Gerät neuzustarten, ehe die erweiterten Krypto-Funktionen aktiv werden.

heise Security wird die WhatsApp-Verschlüsselung testen, mehr dazu in den nächsten Tagen. Eine detaillierte Analyse der bisher unter Android genutzten Verschlüsselung finden Sie hier:

(rei)