Wer bisher über WhatsApp Nachrichten verschickt hat, der konnte nie wirklich sicher sein, dass sie auch per Ende-zu-Ende Verschlüsselung gesichert waren. Zwar wird schon seit geraumer Zeit verschlüsselt, jedoch nur bei Android und auch nur bei bestimmten Versionen (zu alte Clients verschlüsselten nicht). Auch gab es bisher keine Anzeige, die eine vorhandene Ende-zu-Ende Verschlüsselung gekennzeichnet hätte.

Das hat sich nun geändert: WhatsApp verschlüsselt nach eigenen Aussagen alles mit einer Ende-zu-Ende Verschlüsselung, sodass FBI, NSA und auch WhatsApp selbst die Nachrichten nicht mehr lesen können. Unterstützt wird das aber erst ab Version 2.16.9, also alle schnell updaten.

WhatsApp benutzt Elliptische Kurven und AES256

Hauptsächlich zum Einsatz kommt die Elliptische Kurve Curve25519 , der Verschlüsselungsalgorithmus AES256 und die Hash-Funktion SHA-256. Der AES -Algorithmus erledigt die Hauptarbeit beim verschlüsseln, denn Nachrichten und Anhänge werden darüber Abgewickelt. Dabei gibt es eine Vielzahl von Mechanismen zum absichern der Verschlüsselung.

Für jede Nachricht wird über die Curve25519 ein neuer Message Key generiert, der diese dann verschlüsselt. Der Message Key ändert sich zudem bei jeder Nachricht, sodass ein Angreifer mit einem gecrackten Key auch nur eine Nachricht entschlüsseln kann und nicht die gesamte Konversation.

Auch Gruppennachrichten, Anhänge (Bilder, Videos, Sprachnachrichten, etc.), sowie Telefonate werden ebenfalls Ende-zu-Ende verschlüsselt. Zudem wird der Nutzer durch ein Icon davon in Kenntnis gesetzt, dass die Verschlüsselung aktiv ist. Ist das Icon nicht da, so ist die Verbindung unverschlüsselt.

Teilweise Open Source

Die Software Bibliotheken, die WhatsApp verwendet sind sogar OpenSource, was die Kryptoanalyse stark erleichtert. Dennoch bleibt der Kern des ganzen unter Verschluss und somit für Kryptoanalysten und Entwickler nicht einsehbar.

Auch wenn ich jetzt den Teufel spiele: Ich schließe nicht aus, dass es da eine Hintertür gibt, da das Interesse von Geheimdiensten an einem Dienst wie WhatsApp gigantisch ist. Der Fall FBI vs. Apple, der ja mächtig durch die Medien ging und bei dem Apple ja seine eigene Verschlüsselung knacken sollte, zeigte sehr schön unter welchem Druck IT-Giganten stehen und welcher Gefahr durch Geheimdienste deren Verschlüsselung steht.

Auch die bisherige Verschlüsselung von WhatsApp war den Ermittlern vom FBI ein Dorn im Auge und so scheiterte eine von einem Richter angeordnete Überwachung an der Verschlüsselung von WhatsApp. Das lässt mich ein wenig aufatmen, da es zeigt, dass die Verschlüsselung stark ist und zumindest für Nicht-Geheimdienste bisher nicht knackbar ist.

Fazit

Ob die Verschlüsselung wirklich den Geheimdiensten Stand hält (s. Apple vs. FBI) und ob es nicht doch einen Haken an der Sache gibt, bleibt offen. Zumindest macht WhatsApp keine halben Sachen: Elipptische Kurven, AES-256 und SHA-256 (und kein unsicheres SHA-1 😉 ) sind neuste Verfahren und eine sehr gute Basis.

Dennoch bedeutet die eingeführte Ende-zu-Ende Verschlüsselung nicht, dass WhatsApp jetzt ein super Dienst ist … z.B. sollte deren Datenschutz nicht außer Acht gelassen werden. Die Entwicklung ist jedoch sehr interessant und sollte weiter verfolgt werden.