Schlagwort: encryption

Hurra, die WhatsApp-Verschlüsselung ist endlich da!
Lange genug haben die Macher von WhatsApp die Verschlüsselung ihres Messengers ignoriert. Über die Gründe, lässt sich nur spekulieren. Offensichtlich wollte man nur abwarten, wer sich zuerst offen gegen den Einbau von Hintertüren stellt. Und das war nun mal Apple. Seit nunmehr drei Tagen kommuniziert jeder WhatsApp-Nutzer automatisch über abgesicherte Chats.
Was bei Telegram, Threema & Co schon länger zur Sicherheitsausstattung gehört, ist nun auch bei WhatsApp angekommen: Die Ende-zu-Ende-Verschlüsselung (e2e). Sie sichert alle Chats, den Versand von Audio-, Video- und Bilddateien ab. Auch das Telefonieren über WhatsApp, sowie Gruppenchats sind mit der e2e-Verschlüsselung gesichert. Die Voraussetzung ist lediglich die aktuelle WhatsApp-Version. Vor drei Tagen erschien in abgesicherten Chats folgender Hinweis:
Nachrichten, die du in diesem Chat sendest, sowie Anrufe, sind jetzt mit Ende-zu-Ende-Verschlüsselung geschützt.
Du kannst den 60-stelligen Sicherheitsschlüssel mit deinem Chatpartner überprüfen. Das dient dazu, dass beide Partner denselben Schlüssel verwenden und sich kein Mithörer eingeschlichen hat.
Entweder man liest sich den Schlüssel gegenseitig vor, oder man scannt mit dem eigenen Handy den Schlüssel (als QR-Code) des Partners. Ein spezieller Barcode-Scanner ist nicht notwendig. Dazu öffnest du nur die WhatsApp-Kontakt-Infos und tippst auf den Eintrag Verschlüsselung. Dann wird der Sicherheits-Code angezeigt.
Tipp:
In deinem eigenen WhatsApp-Account gibt es ein weiteres Sicherheitsfeature, das aktiviert werden sollte. Über Einstellungen | Account | Sicherheit schaltest du eine Benachrichtigungsfunktion ein, die dich informiert, wenn sich der Sicherheitscode einer deiner Chatpartner ändert. Der Code ändert sich dann, wenn WhatsApp neu installiert wird, der Chat-Partner ein neues Smartphone benutzt oder eine andere Person versucht, diesen Kontakt als den Eigenen auszugeben.
Die Technik
Die verwendete Sicherheitstechnik basiert auf dem Signal-Protokoll (früher Axolotl), dass von den Experten um Moxie Marlinspike (RedPhone, Signal, Open Whisper Systems) entwickelt wurde. Dieses quelloffene Protokoll enthält mehrere starke Kryptografieverfahren inklusive des Forward Secrecy.
Forward Secrecy verwendet kurzlebige Sicherheitsschlüssel. Das soll eine sichere Verbindung für jede einzelne Nachricht gewährleisten und verhindern, dass ein einmal kompromittierter Code nicht für die Entschlüsselung alter oder zukünftiger Chats genutzt werden kann.
Verschlüsselte Sprach- und Video-Chats für bis zu vier Personen
Ein Projekt der Harvard Innovation Labs ermöglicht eine verschlüsselte Kommunikation per Sprach- oder Video-Telefonie für bis zu 4 Teilnehmern. Die Simple Optimized Messaging App oder kurz SOMA genannt, ist seit Ende Juli 2015 für Android und iPhone in den App-Stores erhältlich.
Der Fokus bei SOMA liegt mehr auf der (Weiter-)Entwicklung von Gruppenchats (Textchats bis zu 500 Teilnehmer!). Einzelchats sind aber auch möglich. Abgesichert sind alle Chats mit einer 256Bit AES- und RSA-2048 End-to-End-Verschlüsselung.
Diese Kombination wird übrigens auch vom Telegram Messenger verwendet und ist bisher noch nicht geknackt worden.
Nach eigenen Angaben werden von SOMA alle Nachrichten nach Zustellung unwiederbringlich gelöscht. Nachrichten die nicht zugestellt werden konnten, werden für sieben Tage gespeichert und verfallen automatisch nach Ablauf des Zeitfensters. Eine dauerhafte Speicherung auf Servern oder in der Cloud findet nicht statt.
Der SOMA-Messenger ist für Android und iPhone in den jeweiligen App-Stores als kostenloser Download erhältlich.
Telegram Messenger: Die Funktion „Neuer Geheimer Chat“ verrät Nutzertätigkeit
Etliche Messenger bieten verschlüsselte Chats an. So auch Telegram. Hier gibt es die Funktion Neuer Geheimer Chat, die eine sichere Ende-zu-Ende-Verschlüsselung nutzt. Aber trotz dieser Verschlüsselung kann man sehen, wer mit wem in Verbindung steht. Diese Anzeige, wann du zuletzt online warst, kann abgeschaltet werden.
Der Online-Status ist sichtbar, die Unterhaltung ist trotzdem verschlüsselt
Wie bei WhatsApp auch, verrät die Anzeige des Online-Status in Telegram wer wann aktiv war. Der Messenger sendet an alle Kontakte den letzten Zeitpunkt einer Aktivität. Die Inhalte eines sicheren Chats werden aber nicht preisgegeben, da die 256Bit AES-Verschlüsselung schwer zu knacken ist. Zusätzlich kann mit dem Chatpartner der Code verglichen werden, um eine Man-in-the-Middle-Abhöraktion auszuschließen.
Selbst wenn ein Angreifer einen Command Line Interface-Client einsetzt, sieht er nur die Änderungen des Online-Status der Personen, die sich gerade unterhalten. Daraus lassen sich dann gewisse Rückschlüsse erkennen.
Status in den Einstellungen deaktivieren
Für die meisten Telegram-Nutzer wird das kein großes Problem sein, da die Unterhaltungen nach Beendigung ohnehin gelöscht werden. Wer will, kann dies trotz allem in den Privatsphäre-Einstellungen verhindern.
Dazu öffnest du über die Menüschaltfläche mit den drei Balken die Optionsübersicht und wählst hier die Einstellungen aus. Über den Eintrag Privatsphäre und Sicherheit gelangst du zur Option Zuletzt gesehen.
Tippe auf diesen Eintrag und lege im nachfolgenden Fenster die gewünschten Berechtigungen für die Anzeige deines Online-Status fest.
Wenn du dich für die Einstellung Meine Kontakte entscheidest, dann erhalten auch nur diese Personen deinen Status. Das verhindert, dass ein Fremder der eventuell irgendwo deine Telefonnummer herausbekommen hat, sehen kann, mit wem du in Verbindung stehst.
Empfehlenswert ist aber die Einstellung Niemand. Im Gegensatz zum WhatsApp-Messenger, kannst du bei Telegram dann immer noch Ausnahmen definieren, die deinen Status doch sehen sollen.
Den Telegram-Messenger gibt es für das Windows-Phone, iPhone und natürlich auch für Android.