Originalansicht: WhatsApp-Verschlüsselung - Sicherheitslücke soll keine Backdoor sein

Am Freitag vergangener Woche hat eine Meldung die Runde gemacht, dass sich die Sicherheitslücke in der Verschlüsselungstechnik des Messengers WhatsApp angeblich auch als sogenannte Backdoor nutzen lässt, wodurch dann der Gesprächsverlauf ausgelesen werden könnte. Aufgrund dessen kam es zu heftigen Diskussionen im Netz, in welche sich nun Sicherheitsforscher aber auch Mitentwickler der Verschlüsselungstechnik eingeklinkt haben um die Sache zumindest etwas aufzuklären




Lange Zeit wurden dem Messenger WhatsApp Sicherheitslücken nachgesagt, wodurch Konkurrenzsysteme wie Threema (Ende-zu-Ende-Verschlüsselung) stark beworben worden sind, doch letztlich haben sich die wenigsten Nutzer von dem mittlerweile zu Facebook gehörenden Messenger ernsthaft trennen können. Das lag nicht nur daran, dass WhatsApp mittlerweile zum Pflichtprogramm eines jeden Smartphones gehört, da quasi so gut wie jeder diesen Messenger nutzt, sondern auch daran, dass WhatsApp mittlerweile ebenfalls eine Ende-zu-Ende-Verschlüsselung erhalten hat, welche mit einem von Open Whisper Systems entwickelten und hoch gelobten Signal-Protokoll ausgestattet ist.

Obwohl der Kryptographie- und Sicherheitsforscher Tobias Boelter von der University of California (Berkeley) Facebook bereits im April 2016 über eine entdeckte Schwachstelle informiert hat, ist diese Thematik immer noch aktuell und sorgt im Netz für hitzige Diskussionen, dass zum Beispiel Behörden in der Lage sein würden, die jeweiligen Nachrichten zwischen Gesprächspartnern auslesen zu können. So kam beispielsweise ein Sicherheitsexperte in einem Artikel des Guardian zu Wort, welcher von einer Bedrohung der Redefreiheit spricht.

Doch auch Boelter äußert sich in einem eigenen Blogbeitrag nochmalig der Thematik und schreibt, dass es sich zwar um eine Sicherheitslücke handele, diese aber ein schlichter Programmierfehler und keine beabsichtigte Backdoor sei. Würde es sich dabei um solch eine besagte Backdoor handeln, müsste diese Funktion deutlich umfangreicher ausfallen. Die von ihm entdeckte Sicherheitslücke würde sich aber nicht dazu eignen, den Gesprächsverlauf zwischen zwei oder mehreren Nutzern auslesen zu können. Andererseits widerspricht er aber auch der Darstellung von WhatsApp selbst, dass es sich hierbei um keinen Bug, sondern eher um ein "Komfort-Feature" handele, welches den Nutzern einen zusätzlichen Aufwand ersparen soll.

Das Problem dieser Sicherheitslücke ist, dass sowohl Absender als auch Empfänger einer Nachricht in den Standardeinstellungen nichts davon mitbekommen, wenn sich an den Sicherheitsschlüsseln etwas ändern würde. Die Verschlüsselungstechnik in WhatsApp arbeitet - wie jede Verschlüsselungstechnologie auch - mit einem Schlüsselpaar, wovon einer der Schlüssel direkt auf dem WhatsApp-Server hinterlegt ist und ein zweiter, privater Schlüssel beim Nutzer verbleibt. Selbst wenn sich der private Sicherheitsschlüssel ändert - sei es durch Smartphone-Wechsel oder Neuinstallation der App, informiert WhatsApp den Nutzer in den Standard-Einstellungen nicht darüber, dass hier ein neuer Schlüssel verwendet wird, der eigentlich eine fortführende Kommunikation im gleichen Gesprächsverlauf fortführen können dürfte. Die Kommunikation funktioniert aber dennoch, da die Nachricht mit dem neuen Key verschlüsselt, zugestellt und entschlüsselt wird, selbst wenn der Empfänger für längere Zeit "offline" gewesen und nach einem erneuten Login mit einem neuen Sicherheitsschlüssel ausgestattet ist.

Die Alternative dazu würde allerdings so aussehen, dass WhatsApp eine Zustellung der Nachricht unterbindet und den Absender daraufhin benachrichtigt, dass diese Nachricht erneut zugestellt werden muss, da sich die Verschlüsselung geändert hat. Das wollte WhatsApp allerdings verhindern, da es dem Nutzer einen zusätzlichen Aufwand beschert.

Hinsichtlich dieser Diskussion hat sich auch Moxie Marlinspike zu Wort gemeldet, welche vom mitentwickelnden Open Whisper Systems über die verwendete Verschlüsselungstechnik schreibt, dass es sich definitiv um keine bewusste Backdoor handelt. Mann könne gerne über die Art und Weise diskutieren, wie WhatsApp die Änderung des Schlüssels verarbeitet, aber von einer Backdoor zu sprechen, sei maßlos übertrieben.

Wie ihr zukünftig darüber informiert werden könnt, wenn ein Nutzer eurer Kontaktliste einen neuen Sicherheitsschlüssel erhält, erklären wir euch in einem gesondertem Ratgeber.

Meinung des Autors: Wenn man es genau nehmen möchte, lässt sich fast jede Verschlüsselungstechnik irgendwann entschlüsseln beziehungsweise hacken - es ist alles eine Frage des Aufwands und der benötigten Zeit. Wer einen Messenger wie WhatsApp nutzt, sollte sich dessen stets bewusst sein.