Der beliebte Messenger für den Smartphone WhatsApp wird vielfach als sehr sicher angepriesen. Behörden und Geheimdienste sollen angeblich Gespräche darüber nicht mitschneiden können. Jedoch sollte niemand sich zu sehr auf diese Versprechen verlassen.
Wie genau funktioniert die Verschlüsselung bei WhatsApp?
WhatsApp setzt auf sog. asymmetrische Kryptografie. Die Basis bildet ein Schlüsselpaar bestehend aus einem öffentlichen Schlüssel (auch Publik-Key genannt) und einem privaten Schlüssel (auch Private-Key genannt). Für jeden Nutzer wird automatisch ein solches Schlüsselpaar generiert. Während der private Schlüssel vollständig geheim bleibt, wird der öffentliche Schlüssel automatisch an alle Kontakte des Nutzers übertragen.
In etwa so funktioniert das Konzept: Mit dem öffentlichen Schlüssel eines Empfängers verschlüsselt der Absender seine Nachricht. Diese überträgt er dann an den Empfänger, der anschließend wiederum mit seinem eigenen privaten Schlüssel die Nachricht entschlüsselt und liest.
Wenn der Empfänger nun an den Absender antworten möchte, chiffriert er seine Nachricht mit dem öffentlichen Schlüssel des Absenders und verschickt diese dann an ihn. Der Absender wiederum benutzt dann seinen eigenen privaten Schlüssel, um die Nachricht zu dechiffrieren und zu lesen.
Unter bestimmten Voraussetzungen gilt dieses Verfahren als sehr sicher. Es ist kein Präzedenzfall bekannt, bei dem dieses Verfahren gebrochen werden konnte.
Welche Risiken bestehen bei WhatsApp?
Da WhatsApp proprietäre Software ist, ist der Quellcode nicht verfügbar. Der wäre aber notwendig, damit die korrekte Anwendung der Verschlüsselung überprüft werden kann und ausgeschlossen ist, dass Hintertüren in der App bestehen.
Aber auch wenn der Quellcode verfügbar wäre, würde dieser nicht unbedingt Transparenz herstellen. Denn die Binärdateien von WhatsApp könnten insgeheim auch mit einem anderen Quellcode kompiliert worden sein. Deswegen müssten sie zusätzlich in einem sog. Audit analysiert werden.
Kritisiert wird auch, dass die Schlüsselpaare bei WhatsApp nicht durch ihre Besitzer selbst verwaltet werden können. Neben der technischen Sicherheit bedarf es nämlich auch einem sog. Chain of Trust. Diese stellt sicher, dass ein bestimmter öffentlicher Schlüssel auch tatsächlich einer bestimmten Person gehört, sodass vertrauliche Nachrichten am Ende auch den richtigen Empfänger erreichen.
Diese Möglichkeit ist jedoch bei WhatsApp nicht vorgesehen. Begründet wird es damit, dass WhatsApp bedienbar bleiben soll. Wenn nun ein Smartphone auf seine Werkseinstellung zurückgesetzt oder durch ein anderes ausgetauscht wird, generiert WhatsApp ein ganz neues Schlüsselpaar. Der neue öffentliche Schlüssel wird dann einfach an alle Kontakte übertragen, ohne dass diese informiert werden. Dies stellt ein Sicherheitsrisiko dar, weil Angreifer diesen Umstand dazu ausnutzen könnten, um unbemerkt falsche öffentliche Schlüssel einer Person unterzujubeln. Die Verschlüsselung würde man so umgehen und das vertrauliche Gespräch dann abhören.
Woran kann man einen sicheren Messenger erkennen?
Wenn Sie darüber nachdenken, ob Sie einen anderen Messenger verwenden möchten, sollten Sie bei der Auswahl auf folgende Punkte wert legen:
- Der Messenger wurde mit einer Open-Source-Lizenz veröffentlicht
- Der Messenger verwendet eine Ende-zu-Ende-Verschlüsselung mit einem anerkannten, ebenfalls offenen Kryptografieverfahren
- Der Messenger verfügt über eine Chain of Trust, bei der man sich authentifizieren muss
- Der Messenger überträgt nicht Ihre Kontakte an den Entwickler bzw. Betreiber