WhatsApp hat gestern verkündet, dass nun alle Nachrichten und Telefongespräche Ende-zu-Ende verschlüsselt werden. Das ist ein ziemlich beeindruckender und wichtiger Schritt, da WhatsApp in der Vergangenheit oft mit Sicherheitsproblemen aufgefallen ist.
WhatsApp hat dabei mit Open Whisper Systems zusammen gearbeitet, die sich im Crypto Messenger Umfeld mit der App Signal (ehem. TextSecure) einen großen Namen gemacht haben.
Details zur Funktionsweiße der Crypto finden sich im Security Whitepaper von WhatsApp.
Ist jetzt alles gut?
Es gibt ein paar Punkte, die man in all der Euphorie nicht vergessen sollte:
Wir können nicht nachprüfen, was im Quellcode von WhatsApp tatsächlich steht, der auf unseren Smartphones läuft. Wer kann garantieren, dass es keine Backdoor gibt mit der WhatsApp meinen privaten Schlüssel einfach abrufen kann?
Es fallen außerdem weiter Metadaten an. Wer kommuniziert wann mit wem, inklusive Profilfoto und komplettem Adressbuch. WhatsApp kann also weiter problemlos das soziales Netzwerk von jedem Nutzer analysieren.
Viele WhatsApp Nutzer haben eine Backup Funktion aktiviert, die die Inhalte aller Chats noch einmal in der Cloud ablegt. In der Regel unverschlüsselt.
Offen bleibt auch weiterhin die interessante Frage nach dem Geschäftsmodell von WhatsApp.
Was ist mit Threema?
Threema wird es schwerer haben. Einziger Vorteil gegenüber WhatsApp bleibt, dass sich Threema zumindest bzgl. ihres Geschäftsmodells nicht für meine Metadaten interessiert und mein Adressbuch nicht im Klartext hochlädt. Am Ende muss ich aber auch auf deren Aussage vertrauen und kann das nicht nachprüfen. Das gilt auch für Backdoors im Code.
Wer sicherstellen will, dass sich im Code keine Backdoor befindet, dem bleibt nichts anderes übrig als die Signal App selbst zu kompilieren und den Code zu lesen.