WhatsApp-Verschlüsselung: Anbieter und Entwickler wehren sich gegen Vorwürfe

WhatsApp hat den vergangene Woche bekannt gewordenen Vorwurf des Kryptografieexperten Tobias Boelter von der University of California in Berkeley zurückgewiesen, die von ihm gewählte Implementierung der Verschlüsselungstechnologie erlaube es Dritten, Nachrichten abzufangen und zu entschlüsseln. Boelter hält die Funktion für unsicher, mit der sich Verschlüsselungsschlüssel für Offline-Nutzer erstellen lassen, die weder dem Absender noch dem Empfänger bekannt sind. Nachdem er WhatsApp-Besitzer Facebook im April 2016 darüber informiert hatte, dies ihm aber antwortete, die Funktion sei bekannt und kein Fehler, ging er vergangene Woche mit seinen Erkenntnissen in der britischen Zeitung The Guardian an die Öffentlichkeit.

WhatsApp wies die darin erhobenen Vorwürfe nun zurück. “Der Guardian hat einen Artikel veröffentlicht, in dem behauptet wird, eine absichtliche Design-Entscheidung, die verhindern soll, dass Nutzer Millionen von Nachrichten verlieren, sei eine Hintertür, die es Regierungen erlaubt, WhatsApp zur Entschlüsselung von Nachrichtenströmen zu zwingen”, erklärte ein WhatsApp-Sprecher am Freitag gegenüber silicon.co.uk. “Diese Behauptung ist falsch.”

WhatsApp gebe Behörden keinen verdeckten Zugang zu seinen Systemen. Es wehre sich auch gegen jedwede Forderungen dieser Art. Der im Artikel des Guardian beschriebene Umgang mit Offline erstellten Nachrichten sorge dafür, dass Nutzer nach dem Wechsel zu einem anderen Gerät keine Nachrichten verlieren. Nutzer hätten zudem die Möglichkeit, in den Einstellungen der Messaging-App Benachrichtigungen zu möglichen Sicherheitsrisiken zu aktivieren. Sofern sie das getan haben, informiert WhatsApp sie, dass für eine nicht gesendete Nachricht ein neuer Schlüssel generiert wird.

Boelter hatte erklärt, dass offline erstellte Nachrichten sobald wieder eine Verbindung vorhanden ist wie andere, noch nicht gesendete Nachrichten behandelt werden: Es werden dann neue Schlüssel generiert und mit dem Empfänger ausgetauscht. Da dem Empfänger nicht bekannt ist, dass neue Schlüssel erstellt werden und der Sender standardmäßig nicht über den Schlüsselaustausch informiert wird, könne WhatsApp die Kommunikation (nicht nur die einzelne Nachricht, sondern den gesamten Kommunikationsverlauf) abfangen, lesen und diese Möglichkeit potenziell auch anderen eröffnen: Falls WhatsApp von einer Regierungsbehörde aufgefordert wird, seine Messaging-Protokolle offenzulegen, könne es damit “einen effektiven Zugang gewähren”, zitierte The Guardian den Forscher.

Obwohl der Forscher ausdrücklich betont hatte, dass es sich dabei nicht um einen Fehler in dem von WhatsApp verwendeten und von Whisper Systems entwickelten “Signal”-Protokoll handelt, das auch in anderen Messengern verwendet wird, meldete sich auch der CEO von Open Whisper Systems, Moxie Marlinspike, umgehend zu Wort. Er erklärte, es gebe keine “Backdoor” in WhatsApp. Marlinspike räumt jedoch ein, dass WhatsApp in dem von Boelter untersuchten Szenario theoretisch als “Man in the Middle” auftreten könne.

Das sei jedoch nicht nur bei WhatsApp denkbar. “Die Tatsache, dass WhatsApp Schlüsseländerungen erlaubt, ist keine ‘Hintertür’, Verschlüsselung funktioniert so”, erklärt Marlinspike. Er wies zudem darauf hin, dass WhatsApp-Nutzer eine Schlüsselprüfung aktivieren können, die einen Man-in-the-Middle-Angriff erkennen lasse. WhatsApp sei zudem nicht bekannt, ob Nutzer diese Einstellung aktiviert haben. Das sieht er aber angesichts der großen Zahl an Whats-App-Nutzern als zulässigen Kompromiss zwischen Sicherheit und Benutzbarkeit.

Außerdem gibt er zu bedenken, dass andernfalls der WhatsApp-Server wüsste, wer die Benachrichtigung bei einer Schlüsseländerung aktiviert habe und wer nicht. Dadurch wiederum wüssten WhatsApp dann, wer sich unbemerkt ausspähen lässt und wer nicht. Das wäre seiner Ansicht nach schlimmer als die aktuelle Situation, in der ein potenziell überwachungswilliges WhatsApp sich nie sicher sein könne, wer die Überwachung bemerke und wer nicht. “Es gibt viele Dinge, für die man Facebook kritisieren kann, ein Produkt zu betreiben, dass Ende-zu-Ende-Verschlüsselung standardmäßig für über eine Milliarde Menschen verfügbar macht, ist keiner davon”, so Marlinspike.

Letztendlich räumen aber sowohl WhatsApp als auch Open Whisper Systems ein, dass sich Nachrichten unter bestimmten Umständen wie von Boelter beschrieben abfangen lassen. Beide wehren sich nur vehement gegen die Interpretation von Boelter respektive The Guardian, dass es ich dabei um eine absichtlich eingebaute Hintertür handele, über die Überwachungsinstitutionen in großem Stil Zugriff auf die Kommunikation der Nutzer bekommen können. Marlinspike weist zudem darauf hin, dass sicherheitsbewusste Nutzer sich durch Änderungen der Einstellungen zumindest darüber informieren lassen können, wenn sie belauscht werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.