Frage:
Wie überprüfe ich, ob WhatsApp eine End-to-End-Verschlüsselung verwendet?
Ansis Māliņš
2015-01-13 17:15:12 UTC
view on stackexchange narkive permalink

Etwas alte Nachrichten: WhatsApp hat gerade die End-to-End-Verschlüsselung für Hunderte Millionen Benutzer aktiviert

Gibt es einen Test, den ich durchführen kann, um zu überprüfen, ob WhatsApp funktioniert? Verwenden Sie tatsächlich eine End-to-End-Verschlüsselung zwischen meinem und einem anderen Android-Telefon?

Verwenden Sie einen Schnüffler, um den Verkehr zu analysieren?
Eine andere Möglichkeit wäre, einem Ihrer Freunde etwas wie "Nächste Woche werden wir das Weiße Haus angreifen" zu sagen und zu Hause zu warten, um zu sehen, ob die Regierung an Ihre Tür klopft, wenn dies nicht der Fall ist, ist WhatApp sicher. Ich würde diesen Test aus offensichtlichen Gründen nicht empfehlen
@Ulkoma gut! In meiner Idee könnte es jedoch durchgehend verschlüsselt sein, aber immer noch klopft die Regierung an seine Tür! ;)
Dies kann erst überprüft werden, wenn Sie Zugriff auf den WhatsApp-Quellcode haben, um zu sehen, wie die Nachrichtenverschlüsselung verwaltet wird. Es sollte ein Mechanismus zum Austausch öffentlicher / privater Schlüssel vorhanden sein, um Nachrichten zu erstellen, die nur auf zwei Geräten verwendet werden können.
LOL @ Leute denken, dass die Feds derzeit nicht jedes Verschlüsselungsschema entschlüsseln können, das auf mit westlicher Technologie kompatibler Hardware auf dem Planeten verfügbar ist.
@Ulkoma Was ist, wenn ich es mir selbst schreibe? (d. h. ein anderes Gerät von mir) Gibt es ein Gesetz dagegen? Kann ich nur sagen, dass ich gerade eine Notiz über Ihren Kommentar gemacht habe?
Mein erster Gedanke war "Es kann nicht sein, denn wie würde WhatsApp Web dann funktionieren?" Ich kann Nachrichten auf WhatsApp Web sehen, daher muss mein privater Schlüssel entweder an den WhatsApp-Webserver oder an meinen Browser übertragen worden sein. Dies funktioniert anscheinend, indem eine Verbindung zwischen Ihrem Browser und Ihrem Telefon hergestellt wird (vermittelt durch die WhatsApp-Server). http://whatsapp.com/faq/web/28080002Dies schließt eine End-to-End-Verschlüsselung von Android-Android nicht aus. Wenn Sie den Webclient verwenden, werden Nachrichten über einen WhatsApp-Server von Ihrem Telefon an den Webclient ausgetauscht.
Fünf antworten:
Dinu
2015-01-13 22:02:12 UTC
view on stackexchange narkive permalink

Sie können keine schnelle Überprüfung durchführen, um sicherzustellen, dass die End-to-End-Verschlüsselung verwendet wird. Selbst wenn Sie diese Bestätigung erhalten, müssen Sie sicherstellen, dass die verwendeten Verschlüsselungsschlüssel Ihr Gerät (und das Gerät Ihres Freundes) nie verlassen haben. Wenn eine End-to-End-Verschlüsselung verwendet wird, WhatsApp oder eine andere Person jedoch Zugriff auf die Verschlüsselungsschlüssel hat, ist der Chat nicht mehr vertraulich.

Es sind einige Informationen verfügbar, mit denen ein Sicherheitsforscher mit der Untersuchung beginnen kann die Angelegenheit:

  • Die Verschlüsselungssoftware ist bekannt und der Code ist Open Source (auch wenn wir nicht wissen, welche Änderungen an der WhatsApp-Implementierung vorgenommen wurden)

WhatsApp wird die Open-Source-Software Textsecure integrieren, die von datenschutzorientierten gemeinnützigen Open Whisper-Systemen erstellt wurde und Nachrichten mit einem kryptografischen Schlüssel verschlüsselt, auf den nur der Benutzer zugreifen kann und der sein Gerät niemals verlässt.

  • TextSecure GitHub

    • PS: Es gibt mindestens eine Möglichkeit, festzustellen, ob sie nicht stark sind > Verwenden der End-to-End-Verschlüsselung und Analysieren des Inhalts Ihrer Nachrichten. Vor einiger Zeit entdeckte ein Sicherheitsforscher, dass auf URLs, die in Skype-Nachrichten gesendet werden, über Microsoft-IP-Adressen zugegriffen wird ( Link). Sie können dasselbe versuchen, indem Sie einen Webserver einrichten und einige eindeutige URLs auf WhatsApp senden.

    In Bezug auf den über Skype gesendeten Link würde ich davon ausgehen, dass Microsoft sie besucht, um zu überprüfen, ob sie sicher sind, und wenn nicht, blockiert es sie, um zu verhindern, dass sich Spam-, Betrugs- oder Pishing-Angriffe über Skype ausbreiten. Natürlich ändert es nichts.
    @entropid in diesem Szenario würde eine End-to-End-Verschlüsselung jedoch verhindern, dass sie dazu in der Lage sind.
    Mein Punkt war zu erklären, warum das passiert; natürlich könnte es verhindert werden. :) :)
    pjc50
    2015-01-13 23:30:31 UTC
    view on stackexchange narkive permalink

    Ich habe vor einiger Zeit tatsächlich an der Rückentwicklung des WhatsApp-Protokolls gearbeitet. Zu dieser Zeit war es SSL-verschlüsselt über Wi-Fi und Klartext über 3G. Es ist möglich, Ihr Android-Gerät zu rooten und einen lokalen Paket-Sniffer zu installieren, um den Datenverkehr zu entleeren. In der Regel ist es auch möglich, Ihr eigenes CA -Stammzertifikat für MITM SSL-Verkehr zu installieren.

    Die interessante Frage ist, ob es innerhalb von der SSL-Wrapper, da SSL von Gerät zu Server und nicht von Ende zu Ende ist.

    Das Senden einer Nachricht M sollte ein Paket P mit gesendeten Daten erzeugen, möglicherweise fragmentiert. Wenn das empfangende Gerät nicht P erhält, sondern etwas anderes, wird es nicht ordnungsgemäß durchgängig verschlüsselt oder es läuft ein "Tunneling" -System.

    Julian Knight
    2015-01-13 19:23:58 UTC
    view on stackexchange narkive permalink

    Nein. Nur wenn Sie über die Ressourcen verfügen, um Sniffer an jedem Zwischenstandort einzufügen, einschließlich der privaten in der WhatsApp-Infrastruktur.

    Selbst wenn Sie die Pakete beschnuppern und feststellen, dass sie verschlüsselt sind, können Sie nicht sicher wissen, ob sie wirklich nur mit dem Schlüssel des Empfängers und nicht mit einem kombinierten NSA-Schlüssel verschlüsselt sind ...
    Könnte dies nicht getan werden, wenn der Tester über zwei Geräte verfügt, Nachrichten zwischen ihnen sendet und dann testet, wenn die Nachricht nicht von gesendet an empfangen geändert wird?
    @Serverfrog: Wie ändert die Verschlüsselung die Nachricht?
    Ich denke, er bezieht sich auf einen MITM-Angriff, während Tobias sich darauf bezieht, ob der ursprüngliche Signaturschlüssel tatsächlich privat ist oder ob ein gemeinsam genutzter Schlüssel verwendet wird, wodurch die Nachricht außerhalb des normalen Flusses entschlüsselt werden kann.
    JohnEye
    2015-01-14 22:33:57 UTC
    view on stackexchange narkive permalink

    Um wirklich sicher zu sein, müssten Sie WhatsApp dekompilieren und überprüfen, was der Code tatsächlich tut. Dies ist möglicherweise einfacher als erwartet, wenn die Android-Version in Java geschrieben und nicht verschleiert ist. Ich habe dies bereits zuvor getan und der dekompilierte Code war überraschend lesbar.

    Auch danach kann eine (un) absichtliche Schwäche in das System eingebaut sein, die eine Entschlüsselung ermöglichen würde, wie beispielsweise die berüchtigte Apple goto fail bug.

    MarkH
    2015-04-03 07:53:11 UTC
    view on stackexchange narkive permalink

    WhatsApp-Nachrichten sind bereits zwischen Ihrem Gerät und seinen Servern verschlüsselt, sodass ein Paket-Sniffer nicht funktioniert. AFAIK sie rollen die Verschlüsselung leise aus und beginnen zuerst mit Nur-Android-Textnachrichten. Ich könnte mir also nur vorstellen, die App zurückzuentwickeln. Ich denke jedoch, dass die neueste Version der Android-App Ende-zu-Ende funktioniert.

    Wie reagieren Sie auf die andere Antwort, die besagt, dass es sich um einfachen Text über 3G handelt?


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...