WhatsApp Verschlüsselung mit Löchern

Dabei hatte WhatsApp selber noch groß behauptet: "Niemand kann in diese Nachricht schauen. Keine Hacker. Keine unterdrückenden Regimes. Nicht einmal wir." Bereits im April 2016 schrieb jedoch der deutsche IT-Sicherheitsexperte Tobias Boelter, dass dies so nicht stimme. Boelter ist ein "cryptography and security researcher" an der University of California in Berkeley. Diese renommierte amerikanische Uni liegt nördlich von San Francisco und ist traditionell eine gerne von Deutschen besuchte Uni. Jetzt nahm die britische Tageszeitung Guardian noch einmal die Erkenntnisse von Boelter in den Fokus und schrieb:

Die WhatsApp End-to-End-Verschlüsselung beruhe auf der Erzeugung von einzigartigen Sicherheitsschlüsseln ("acclaimed Signal protocol") und sei von "Open Whisper Systems" entwickelt worden.

Da selbst Edward Snowden, der in Russland untergetauchte weltberühmte US-Datenexperte und Whistleblower, gesagt hatte, man solle alles von "Open Whisper Systems" nutzen, da man diesen Entwicklern trauen könne, waren die Vorschusslorbeeren und das Lob für Whatsapp entsprechend groß. So hatte Snowden gesagt: "Use anything by Open Whisper Systems."

Auch Oscar-Preisträgerin und Filmmacherin Laura Poitras, eine Verbündete von Snowden, sagte, sie empfehle grundsätzlich nur verschlüsselte Kommunikation. ("Signal is the most scalable encryption tool we have. It is free and peer reviewed. I encourage people to use it everyday."

Soweit, so gut hört es sich an. Doch jetzt kommt es:

Verschlüsselung soll eigentlich dafür sorgen, dass die Nachrichten, welche zwischen den WhatsApp-Nutzern verschickt werden, so verschlüsselt sind, dass sie nicht durch einen Mittelsmann abgefangen werden können. WhatsApp habe jedoch die Möglichkeit, schreibt der Guardian weiter, die Generierung neuer Verschlüsselungsschlüssel für Offline-Benutzer zu erzwingen.

Dabei seien diese neuen Verschlüsselungen weder dem Absender, noch dem Empfänger der Nachrichten, bekannt. Dies führe dann beispielsweise durch einen SIM-Kartenwechsel dazu, dass WhatsApp einfach neue Schlüssel vergebe, ohne dass der Empfänger und Absender einer Nachricht dies unbedingt wisse. Letztlich läuft dies darauf hinaus, dass eine Nachricht in einem solchen Chatfenster nicht mehr zwangsläufig verschlüsselt wird.

Ein Dritter kann also parallel mitlesen, beispielsweise ein Hacker oder eine staatliche Stelle. Eine automatische Kennzeichnung einer solchen Nachricht dahingehend, dass die gesendete WhatsApp-Nachricht nicht verschlüsselt ist, bietet derzeit die Facebook-Tochter WhatsApp nicht an. Der Nachrichten-Absender kann nur dann mitbekommen, dass seine Nachricht in WhatsApp nicht mehr verschlüsselt gesendet wird, wenn er sich dazu in den WhatsApp-Einstellungen für die Option Verschlüsselungswarnungen entschieden hat.

Doch so oder so führe, moniert der Sicherheitsexperte aus Berkeley, eine Re-Verschlüsselung zur Möglichkeit, dass andere die Nachrichten dann parallel mitlesen könnten. Tim Boelter wird vom Guardian mit den Worten zitiert: "Wenn WhatsApp von einer Regierungsbehörde gefragt wird, um seine Messagingaufzeichnungen zu offenbaren, kann es effektiv Zugang dazu gewähren und zwar wegen der Änderung in den Schlüsseln."

Eine vertrauensvolle Verschlüsselung bietet derzeit der deutsche Handy-Messenger Chiffry an, aber auch Telegram. Auch die Deutsche Post bietet mit SIMsme einen Handy-Messenger an.