» Whatsapp Ende-zu-Ende-Verschlüsselung ist doch eine Lüge?!

mgutt · 05.04.2016, 16:54

Whatsapp hat mir gerade angezeigt, dass meine Nachrichten verschlüsselt übertragen werden. Allerdings habe ich so meine Zweifel, dass das dadurch sicherer ist. Klar die mögen jetzt verschlüsselt übertragen werden und beim Empfänger entschlüsselt werden, aber woher hat der Empfänger das Passwort dafür?

Soll heißen, Whatsapp musste zuerst das Passwort untereinander festlegen, bevor die Verschlüsselung überhaupt möglich gemacht werden konnte und genau da kann es nun abgefangen/zwischengespeichert werden und schon kann jeder mitlesen.

Oder anders. Was ist, wenn ich Whatsapp neu installiere. Dafür muss Whatsapp ja eine Routine zur Verfügung stellen, damit ich ab dann auch wieder verschlüsselt Nachrichten versenden kann. Also ist doch da schon die Schwachstelle in dem ganzen System zu suchen. Der Angreifer tut einfach so als gäbe es eine neue Installation und kennt ab dann eben das Passwort?!

Awake · 05.04.2016, 18:16

... oder es ist einem einfach egal. Dieses ständige Datengeschütze, aber hauptsache überall angemeldet sein.
Ich sehe beim 0815 User einfach keine potentielle Gefahr beim "unverschlüsselten" Whatsappen. Mir fällt da echt kein worst-case-szenario ein.

SaschaOF · 05.04.2016, 18:23

Na nun stell Dir vor, die CIA erfährt von Deinem Plan, mit Freunden kollektiv eine Eisbombe im örtlichen Café zu verzehren? Oder das BKA fängt ein Bild deines (am Ende nicht zulassungskonformen) Honda ab ....

Mehr passiert beim Normalnutzer doch eh nicht auf whattsapp. Oder täusche ich mich? Wer Nacktfotos von sich selbst verschickt oder im Profil sich mit Familie anzeigt sowie mit vollem Namen - dem ist eh nicht zu helfen.

Awake · 05.04.2016, 18:28

Selbst wenn ich mich von meiner unschönsten Seite zeige... wen interessierts?!

mgutt · 05.04.2016, 19:23

Es gibt neben uns auch noch gefährdete Menschen wie Richter, Journalisten, Banker, Informanten etc. Wenn diesen Menschen Sicherheit vorgegaukelt wird, die gar nicht da ist, kann das schnell nach hinten losgehen. Dabei geht es dann im Kern um Erpressbarkeit und nicht um das was gesagt wird. z.B. ein Beleg für einen Seitensprung oder ähnliches.

Wenn man einen Code abfotografiert komm übrigens einfach nur ein grüner Haken:

Awake · 05.04.2016, 19:42

Awake... 0815 User ...

Jemand der etwas zu verbergen hat und weiß, dass es für jemanden von Interesse sein könnte angreifbar zu sein, der muss eben auf sicheren Kanälen kommunizieren.

DZoom · 05.04.2016, 19:43

mguttWhatsapp hat mir gerade angezeigt, dass meine Nachrichten verschlüsselt übertragen werden. Allerdings habe ich so meine Zweifel, dass das dadurch sicherer ist. Klar die mögen jetzt verschlüsselt übertragen werden und beim Empfänger entschlüsselt werden, aber woher hat der Empfänger das Passwort dafür?

Soll heißen, Whatsapp musste zuerst das Passwort untereinander festlegen, bevor die Verschlüsselung überhaupt möglich gemacht werden konnte und genau da kann es nun abgefangen/zwischengespeichert werden und schon kann jeder mitlesen.

Oder anders. Was ist, wenn ich Whatsapp neu installiere. Dafür muss Whatsapp ja eine Routine zur Verfügung stellen, damit ich ab dann auch wieder verschlüsselt Nachrichten versenden kann. Also ist doch da schon die Schwachstelle in dem ganzen System zu suchen. Der Angreifer tut einfach so als gäbe es eine neue Installation und kennt ab dann eben das Passwort?!

Hm das soll ein Diffie Hellman basierender Algorithmus sein.
WhatsApp müsste dann irgendwie die Private Keys der Benutzer hinterlegen, damit nach einer Neuinstallation auf z.B. einem neuen Gerät sichergestellt ist, dass die alten Nachrichten noch lesbar sind. Das ist wohl die größte Herausforderung...
Aber wenn es "Perfect-forward-secrecy" umsetzen will muss sowas eh irgendwie passieren...
Aber die anderen Sachen sind dadurch abgedeckt, dass es ein asymmetrisches Verschlüsselungsverfahren ist. Also ganz so einfach kommt keiner an die Nachrichten

mgutt · 06.04.2016, 05:51

DZoomHm das soll ein Diffie Hellman basierender Algorithmus sein.

Ok verstehe. Hätte nicht erwartet, dass man Passwörter in einem offenen Kanal sicher übertragen kann. Zum Glück kannten die Nazis das noch nicht.

Dann ist es wohl doch sicher. Zumindest solange Whatsapp nicht einfach selbst die Passwörter vom Endgerät anfordert, in dem sie die App mit einer Hintertür versehen.

ZitatWhatsApp müsste dann irgendwie die Private Keys der Benutzer hinterlegen, damit nach einer Neuinstallation auf z.B. einem neuen Gerät sichergestellt ist, dass die alten Nachrichten noch lesbar sind.

Das braucht man nicht. Die Nachrichten kann man nur "lokal" mitnehmen. D.h. du musst ein Backup davon über die App gemacht haben, wo du ja auch auf Google Drive sichern kannst. Ohne dieses Backup sind die Nachrichten allerdings verloren. Das Backup selbst ist noch mal anders verschlüsselt. Ich vermute mal mit der Telefonnummer und Versionsnummer der App oder so. Und als zusätzliche Sicherheitsstufe verlangt die App ja, dass man das Backup mit der SMS TAN bestätigt, bevor Whatsapp die Wiederherstellung erlaubt.

Was mich ja wundert ist noch das:

ZitatDeine Nachrichten, Fotos, Videos, Sprachnachrichten, Dokumente und Anrufe sind davor geschützt, in die falschen Hände zu fallen, wenn sie Ende-zu-Ende verschlüsselt sind.

Wenn man Witz-Videos bei Whatsapp teilt, dann werden die nicht hochgeladen (erkennt man an den Ladezeiten), sondern offensichtlich speichert sie Whatsapp auf eigenen Servern zwischen und verteilt sie dann bei Bedarf erneut. Ist das jetzt weg? Ich mein dann könnte man ja wirklich keine Ende-zu-Ende-Verschlüsselung gewährleisten. Oder sie werden verschlüsselt bei Whatsapp hinterlegt. Nur dann braucht ja jeder, der das runterlädt das gleiche Passwort. Klingt daher auch nicht plausibel.

maxrev.de · Gast

Mach mit!

Wenn Dir die Beiträge zum Thread "Whatsapp Ende-zu-Ende-Verschlüsselung ist doch eine Lüge?!" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden:

Registrierte Mitglieder genießen die folgenden Vorteile:
✔ kostenlose Mitgliedschaft
✔ keine Werbung
✔ direkter Austausch mit Gleichgesinnten
✔ neue Fragen stellen oder Diskussionen starten
✔ schnelle Hilfe bei Problemen
✔ Bilder und Videos hochladen
✔ und vieles mehr...

Autor	Nachricht
mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52423 Wohnort: Lohmar Meine eBay-Auktionen:	05.04.2016, 16:54 zitieren Whatsapp hat mir gerade angezeigt, dass meine Nachrichten verschlüsselt übertragen werden. Allerdings habe ich so meine Zweifel, dass das dadurch sicherer ist. Klar die mögen jetzt verschlüsselt übertragen werden und beim Empfänger entschlüsselt werden, aber woher hat der Empfänger das Passwort dafür? Soll heißen, Whatsapp musste zuerst das Passwort untereinander festlegen, bevor die Verschlüsselung überhaupt möglich gemacht werden konnte und genau da kann es nun abgefangen/zwischengespeichert werden und schon kann jeder mitlesen. Oder anders. Was ist, wenn ich Whatsapp neu installiere. Dafür muss Whatsapp ja eine Routine zur Verfügung stellen, damit ich ab dann auch wieder verschlüsselt Nachrichten versenden kann. Also ist doch da schon die Schwachstelle in dem ganzen System zu suchen. Der Angreifer tut einfach so als gäbe es eine neue Installation und kennt ab dann eben das Passwort?! 2016-04-05 18_47_45-WhatsApp Web.png - [Bild vergrößern] Gefällt mir Teilen twittern Verfasst am: 05.04.2016, 16:56 zitieren Ich bekomme die Möglichkeit den aktuell eingesetzten Code anzeigen zu lassen und mit dem Empfänger abzugleichen, aber selber setzen kann ich keinen: ZitatScanne den Code auf dem Telefon deines Kontakts, oder bitte deinen Kontakt, deinen Code zu scannen, um zu bestätigen, dass deine Nachrichten und Anrufe an ihn Ende-zu-Ende verschlüsselt sind. Ihr könnt zum Bestätigen auch die oben stehende Nummer vergleichen. Auch das macht mich stutzig. Screenshot_2016-04-05-18-54-50 (Medium).png - [Bild vergrößern] 3x bearbeitet
▲	pn email

Awake Master Name: Benny Geschlecht: Fahrzeug: eg5,em1,ej6,ej8 Anmeldedatum: 08.10.2005 Beiträge: 5366 Wohnort: Fulda	05.04.2016, 18:16 zitieren ... oder es ist einem einfach egal. Dieses ständige Datengeschütze, aber hauptsache überall angemeldet sein. Ich sehe beim 0815 User einfach keine potentielle Gefahr beim "unverschlüsselten" Whatsappen. Mir fällt da echt kein worst-case-szenario ein.
▲	pn

SaschaOF Elite Geschlecht: Fahrzeug: Legend Coupé, Honda e, Civic e:HEV Advance Anmeldedatum: 19.02.2007 Beiträge: 2095 Wohnort: OF	05.04.2016, 18:23 zitieren Na nun stell Dir vor, die CIA erfährt von Deinem Plan, mit Freunden kollektiv eine Eisbombe im örtlichen Café zu verzehren? Oder das BKA fängt ein Bild deines (am Ende nicht zulassungskonformen) Honda ab .... Mehr passiert beim Normalnutzer doch eh nicht auf whattsapp. Oder täusche ich mich? Wer Nacktfotos von sich selbst verschickt oder im Profil sich mit Familie anzeigt sowie mit vollem Namen - dem ist eh nicht zu helfen.
▲	pn

Awake Master Name: Benny Geschlecht: Fahrzeug: eg5,em1,ej6,ej8 Anmeldedatum: 08.10.2005 Beiträge: 5366 Wohnort: Fulda	05.04.2016, 18:28 zitieren Selbst wenn ich mich von meiner unschönsten Seite zeige... wen interessierts?!
▲	pn

mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52423 Wohnort: Lohmar Meine eBay-Auktionen:	05.04.2016, 19:23 zitieren Es gibt neben uns auch noch gefährdete Menschen wie Richter, Journalisten, Banker, Informanten etc. Wenn diesen Menschen Sicherheit vorgegaukelt wird, die gar nicht da ist, kann das schnell nach hinten losgehen. Dabei geht es dann im Kern um Erpressbarkeit und nicht um das was gesagt wird. z.B. ein Beleg für einen Seitensprung oder ähnliches. Wenn man einen Code abfotografiert komm übrigens einfach nur ein grüner Haken: Screenshot_2016-04-05-20-48-04 (Medium).png - [Bild vergrößern] 2x bearbeitet
▲	pn email

Awake Master Name: Benny Geschlecht: Fahrzeug: eg5,em1,ej6,ej8 Anmeldedatum: 08.10.2005 Beiträge: 5366 Wohnort: Fulda	05.04.2016, 19:42 zitieren Awake... 0815 User ... Jemand der etwas zu verbergen hat und weiß, dass es für jemanden von Interesse sein könnte angreifbar zu sein, der muss eben auf sicheren Kanälen kommunizieren.
▲	pn

DZoom Premium-Member Geschlecht: Fahrzeug: race track EJ1 Anmeldedatum: 31.01.2006 Beiträge: 1628 Wohnort: münchen	05.04.2016, 19:43 zitieren mguttWhatsapp hat mir gerade angezeigt, dass meine Nachrichten verschlüsselt übertragen werden. Allerdings habe ich so meine Zweifel, dass das dadurch sicherer ist. Klar die mögen jetzt verschlüsselt übertragen werden und beim Empfänger entschlüsselt werden, aber woher hat der Empfänger das Passwort dafür? Soll heißen, Whatsapp musste zuerst das Passwort untereinander festlegen, bevor die Verschlüsselung überhaupt möglich gemacht werden konnte und genau da kann es nun abgefangen/zwischengespeichert werden und schon kann jeder mitlesen. Oder anders. Was ist, wenn ich Whatsapp neu installiere. Dafür muss Whatsapp ja eine Routine zur Verfügung stellen, damit ich ab dann auch wieder verschlüsselt Nachrichten versenden kann. Also ist doch da schon die Schwachstelle in dem ganzen System zu suchen. Der Angreifer tut einfach so als gäbe es eine neue Installation und kennt ab dann eben das Passwort?! Hm das soll ein Diffie Hellman basierender Algorithmus sein. WhatsApp müsste dann irgendwie die Private Keys der Benutzer hinterlegen, damit nach einer Neuinstallation auf z.B. einem neuen Gerät sichergestellt ist, dass die alten Nachrichten noch lesbar sind. Das ist wohl die größte Herausforderung... Aber wenn es "Perfect-forward-secrecy" umsetzen will muss sowas eh irgendwie passieren... Aber die anderen Sachen sind dadurch abgedeckt, dass es ein asymmetrisches Verschlüsselungsverfahren ist. Also ganz so einfach kommt keiner an die Nachrichten
▲	pn

mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52423 Wohnort: Lohmar Meine eBay-Auktionen:	06.04.2016, 05:51 zitieren DZoomHm das soll ein Diffie Hellman basierender Algorithmus sein. Ok verstehe. Hätte nicht erwartet, dass man Passwörter in einem offenen Kanal sicher übertragen kann. Zum Glück kannten die Nazis das noch nicht. Dann ist es wohl doch sicher. Zumindest solange Whatsapp nicht einfach selbst die Passwörter vom Endgerät anfordert, in dem sie die App mit einer Hintertür versehen. ZitatWhatsApp müsste dann irgendwie die Private Keys der Benutzer hinterlegen, damit nach einer Neuinstallation auf z.B. einem neuen Gerät sichergestellt ist, dass die alten Nachrichten noch lesbar sind. Das braucht man nicht. Die Nachrichten kann man nur "lokal" mitnehmen. D.h. du musst ein Backup davon über die App gemacht haben, wo du ja auch auf Google Drive sichern kannst. Ohne dieses Backup sind die Nachrichten allerdings verloren. Das Backup selbst ist noch mal anders verschlüsselt. Ich vermute mal mit der Telefonnummer und Versionsnummer der App oder so. Und als zusätzliche Sicherheitsstufe verlangt die App ja, dass man das Backup mit der SMS TAN bestätigt, bevor Whatsapp die Wiederherstellung erlaubt. Was mich ja wundert ist noch das: ZitatDeine Nachrichten, Fotos, Videos, Sprachnachrichten, Dokumente und Anrufe sind davor geschützt, in die falschen Hände zu fallen, wenn sie Ende-zu-Ende verschlüsselt sind. Wenn man Witz-Videos bei Whatsapp teilt, dann werden die nicht hochgeladen (erkennt man an den Ladezeiten), sondern offensichtlich speichert sie Whatsapp auf eigenen Servern zwischen und verteilt sie dann bei Bedarf erneut. Ist das jetzt weg? Ich mein dann könnte man ja wirklich keine Ende-zu-Ende-Verschlüsselung gewährleisten. Oder sie werden verschlüsselt bei Whatsapp hinterlegt. Nur dann braucht ja jeder, der das runterlädt das gleiche Passwort. Klingt daher auch nicht plausibel. 1x bearbeitet Verfasst am: 06.04.2016, 06:26 zitieren Whatsapp schreibt dazu im Whitepaper: https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf ZitatTransmitting Media and Other Attachments Large attachments of any type (video, audio, images, or files) are also end-to-end encrypted: 1. The WhatsApp user sending a message (“sender”) generates an ephemeral 32 byte AES256 key, and an ephemeral 32 byte HMACSHA256 key. 2. The sender encrypts the attachment with the AES256 key in CBC mode with a random IV, then appends a MAC of the ciphertext using HMAC-SHA256. 3. The sender uploads the encrypted attachment to a blob store. 4. The sender transmits a normal encrypted message to the recipient that contains the encryption key, the HMAC key, a SHA256 hash of the encrypted blob, and a pointer to the blob in the blob store. 5. The recipient decrypts the message, retrieves the encrypted blob from the blob store, verifies the SHA D.h. das Video wird verschlüsselt und landet in einer Whatsapp-Datenbank (der genannte Blob-Store). Der Empfänger bekommt dann mit der Nachricht den Schlüssel und kann das Video runterladen und anschließend entschlüsseln. Demnach ist das Passwort beim Weiterleiten bekannt, aber nicht, wenn man ein neues Video hochlädt, auch wenn das bereits jemand anderes bei Whatsapp hochgeladen hat. Demnach muss das Feature weggefallen sein, dass Videos nicht mehr mehrfach auf den Whatsapp-Servern landen. Das werde ich mal die Tage testen. Heftig daran wäre jedenfalls, dass Whatsapp nun deutlich mehr Speicherplatz benötigt. Ich mein überlegt mal wie viele Witzvideos über die Jahre immer wieder eingespielt werden.
▲	pn email

maxrev.de Gast	20.10.2016, 15:36 zitieren Mach mit! Wenn Dir die Beiträge zum Thread "Whatsapp Ende-zu-Ende-Verschlüsselung ist doch eine Lüge?!" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden: Registrierte Mitglieder genießen die folgenden Vorteile: ✔ kostenlose Mitgliedschaft ✔ keine Werbung ✔ direkter Austausch mit Gleichgesinnten ✔ neue Fragen stellen oder Diskussionen starten ✔ schnelle Hilfe bei Problemen ✔ Bilder und Videos hochladen ✔ und vieles mehr...
▲

	Re: √	Letzter Beitrag
S2000 eine Ära ^^ geht zu Ende Im Juni 2009 wird der letzte S2000 vom Band laufen :cry: für die die es noch nicht... Seite 2 [S2000]von EarL_VTEC	14 1.366	03.02.2009, 11:04 Mattes
Ben´s 04er EM2 Fl \| for Sale \| eine Ära geht zu ende Moins, tja bin ja hier und im civiccoupe Forum schon ne weile unterwegs und wollt nun auch mal mein Coupe vorstellen. Zur Vorgeschichte: 2004er Em2 LS Serie 53000 Kilometer aufem Tacho. Der ein oder andere kleine schönheitsfleck aber nur bei genauer... Seite 2, 3, 4, ... 38, 39, 40 [Civic 01-05]von Ben_is_lol	396 19.120	13.05.2018, 08:44 Ben_is_lol
Kevin´s CG8 Black S.30 eine ära geht zu ende :-( mein CG8 Pre-facelift : Auch auf Instagram zu finden: ks_civic89 Fahrzeug: Honda Accord CG8 Bj: 2000 Pre-Facelift Emk: D3 Farbe: Schwarz Erz: 20.04.2000 in mein besitz seit: 22.02.2013 Innenraum: Oem Innenraum Map Light (Weiss smd) Oem 2te... Seite 2, 3, 4, ... 29, 30, 31 [Accord 97-02]von tuning_civic	302 23.693	25.06.2018, 20:10 tuning_civic
Todo: Bei Verlinkungen am Ende eine schließende Klammer Das sollte man nicht mit... [Geld & Finanzen]von mgutt	0 40	28.03.2012, 07:06 mgutt
ende ende... [Integra]von K20 Integra	9 536	15.10.2009, 11:02 daco85
Das Ende ist da! Hallo zusammen. So nun hab ich meinen Del Sol schon bald 2 Jahre. Ich habe Unmengen an Geld investiert und er hat mich Unmengen an Nerven gekostet. Doch genauso schöne Zeiten hatte ich auch mit Ihm. Im Sommer mit offenem Dache fahren, den Wind im... Seite 2, 3, 4 [Del Sol]von X-Ray	30 1.853	22.12.2009, 10:44 X-Ray
Ende jo... Seite 2 [Allgemein]von SoliD1990	11 1.112	22.11.2009, 22:07 Keule113
Auch Ende? Tja, nu sitz ich hoier und meine Frau will sich evtl. scheiden lassen, weil mein Vater und meine Stiefmutter geistigen Dünnpfiff erzählt haben. Ich Liebe sie und meine Tochter, aber das es so endet... :cry: Es kann nicht sein so etwas. naja soll wo... Seite 2, 3, 4, 5, 6, 7 [Liebe & Flirt]von skylinedriver	62 3.302	20.09.2006, 16:11 Evil-Baby
Karosserieteile mit ZZ am Ende ? Hi zusammen, muss mir eine neue Heckklappe bestellen weil die verostet war. Weiß jemand ob die Teile mit ZZ am Ende der Teilenummer nochmal in ein KTL Tauchbad müssen ? oder sind die schon vorlackiert... [Civic 01-05]von Starfox	0 116	21.09.2015, 16:34 Starfox
Die Suche hat ein Ende... Hondateam-Hessen ...näheres auf unserer... [Hondafahrer in der Nähe]von DaFadory	0 459	01.03.2006, 16:02 DaFadory