Whatsapp, die Backdoor und die Frage nach der Systemhoheit

„Whatsapp hat eine Backdoor und kann trotz angeblicher Ende-zu-Ende-Verschlüsselung die Chats mitlesen“. So titelte der Guardian am gestrigen Freitag, den 13. Januar, in einem Exklusivbericht. In dem Artikel wird Tobias Boelter, ein Kryptographie-Forscher der Universität von Kalifornien, Berkeley, mit der Aussage zitiert, dass Whatsapp jederzeit Zugriff auf die Gesprächsinhalte nehmen könne. Mit Blick darauf, dass Whatsapp erst im April 2016 unter großem Applaus eine echte Ende-zu-Ende(E2E)-Verschlüsselung auf Basis der hoch gelobten Open Whisper Systems Protokolle ausrollte, klingt das zunächst einmal extrem enttäuschend.

Und das ist es in gewisser Weise auch. Das Problem liegt aber weniger in der Verschlüsselung als in der Art, wie Whatsapp und andere Chat-Apps damit umgehen, wenn Nutzer ihr Handy wechseln, neu aufsetzen oder die SIM-Karte tauschen. Oder noch grundsätzlicher: Niemand von uns kann wirklich nachvollziehen, wie, wann und an wen unsere Chat-Apps überhaupt Nachrichten versenden. Und das ist für mich das Frustrierende an dem Bericht des Guardian: Dem normalen Nutzer wird wieder einmal suggeriert, das ganze Thema Verschlüsselung sei „eh‘ für die Katz“. Mich wundert es nicht, dass Freunde und Bekannte bedenkenlos zu Snapchat, Skype oder Google Allo greifen, wenn der Eindruck entsteht, Verschlüsselung böte ohnehin keinen verlässlichen Mehrwert.

Dabei ist die Verschlüsselung, die Whatsapp nutzt, nach allen vorliegenden Informationen weiterhin nicht zu kritisieren und arbeitet sowohl bei Whatsapp als auch beim bekannten Konkurrenzdienst Signal tadellos. Stattdessen würde ich mir wünschen, dass endlich mal hinterfragt wird, warum Whatsapp & Co noch immer daran festhalten, die einzelnen Accounts mit IMEI, Telefonnummer oder Ähnlichem zu verbinden. Der eigentliche Vorwurf, den man Whatsapp & Co hier tatsächlich machen könnte, ist, dass sie sich penetrant weiter an einzelne Geräte klammern. Dabei würde ein Whatsapp ohne Zwangsverheiratung mit der eigenen Handynummer nicht nur ein vorhersehbares Probleme wie die nun bekannte „Backdoor“ entschärfen, sondern könnte sogar ein echter Komfortgewinn sein. Vor allem aber müsste dringend diskutiert werden, warum wir den vielen Apps auf unserem Smartphone überhaupt so blind darin vertrauen, dass sie (nur) genau das tun, was wir ihnen befehlen.

Was genau ist das Problem?

Das aktuell diskutierte Problem ist tatsächlich zunächst einfach zu verstehen. Jeder von uns hat schon einmal sein Handy gewechselt und danach Whatsapp neu installiert. Das Prozedere ist unkompliziert und komfortabel: SIM ins neue Handy rein, anschalten und Whatsapp installieren. Man bekommt dann einmalig eine neue Bestätigungs-SMS und kann direkt loslegen. Für die Gesprächspartner ändert sich nichts. Die bekommen im Zweifel nicht einmal etwas davon mit und so kann man nahtlos unter der alten Whatsapp-Identität weitertexten.

Seitdem Whatsapp aber im April 2016 eine E2E-Verschlüsselung ausgerollt hat, gibt es dabei eine neue Herausforderung. Eine E2E-Verschlüsselung erlaubt, per Definition, immer nur das Lesen der Nachrichten auf dem Gerät, das den geheimen Schlüssel besitzt. Nur so können die mit meinem öffentlichen Schlüssel codierten Nachrichten wieder entschlüsselt werden („asymmetrischen Verschlüsselung“). Dieser geheime Schlüssel bleibt aber auf dem alten Gerät und installiert man sich Whatsapp auf dem neuen Smartphone neu, hat Whatsapp keine andere Wahl als einen neuen geheimen Schlüssel für das neue Smartphone zu erstellen. Sobald die App auf dem neuen Handy eingerichtet ist, werden die Nachrichten von Freunden, Bekannten und Kollegen also fortan für den neuem Schlüssel verschlüsselt und können wieder nur auf dem einen (dem neuen) Smartphone gelesen werden.

Sicherheitsbenachrichtigungen anzeigen lassen

Das Problem: Was passiert mit den Nachrichten, die während des Smartphone-Umzugs noch für das alte Handy verschlüsselt wurden? Würde man die nach Einrichtung des neuen Handys zustellen, wären sie nicht zu entziffern, denn auf dem neuen Handy ist ja nur der neue Schlüssel vorhanden. Diese Nachrichten würden also unwiderbringlich verloren gehen. Man könnte etwas verpassen, ein Alptraum. Dieses Problem löst Whatsapp – aus Komfortgründen – ganz einfach so, dass die ursprüngliche Nachricht, die der Absender noch vor dem Smartphone-Umzug an mich geschickt hat, nochmal neu an mich gesendet wird und zwar dieses mal für den neuen Schlüssel meines Whatsapp-Account auf dem neuen Telefon. Davon bekommen aber weder Absender noch der Empfänger etwas mit. Lediglich diejenigen, die in den Einstellungen die Option aktiviert haben, dass „Sicherheitsbenachrichtigungen“ (s.o.) angezeigt werden, bemerken, dass Empfänger einen neuen Schlüssel haben. Diese Neuverteilung von Schlüsseln ist dabei eine grundsätzliche Herausforderungen für jeden Anbieter asymmetrischer Verschlüsselung. Mit den Worten von Open Whisper Systems selbst, die die Technik hinter der Whatsapp-Verschlüsselung gebaut haben:

The fact that WhatsApp handles key changes is not a „backdoor,“ it is how cryptography works.

– Offizielle Stellungnahme von Open Whisper Systems

Der Vorwurf ist dabei eigentlich „nur“, dass der Neuversand der Nachricht ohne Wissen und Einflussmöglichkeit der Whatsapp-Nutzer geschieht, Nutzer also nicht verhinden können, dass Whatsapp ihnen ohne zu fragen neue Schlüssel unterschiebt. Genauer: Es gibt theoretisch wenig, was Whatsapp daran hindern würde, einfach heimlich im Hintergrund alle Nachrichten vor Versand (auch) für einen anderen Empfänger zu verschlüsseln und diesem zuzusenden. So würde gewissermaßen ein heimlicher Gruppenchat gestartet, während die eigentlichen Kommunikationspartner denken, sie würden ein Vier-Augen-Gespräch führen. Nachrichtendienste oder sonstige Dritte könnten sich so problemlos in Unterhaltungen einklinken, von denen die Gesprächspartner annehmen, dass nur sie den Inhalt lesen können. Das bedeutet: Whatsapp kann zwar nicht den Inhalt der eigentlichen Chats mitlesen. Das verhindert die E2E-Verschlüsselung zuverlässig. Es kann als Meister über seine App und Infrastruktur aber offenbar solche Nachrichten, die nicht schon zugestellt sind, jederzeit für andere Schlüssel versenden und so die Kopien mitlesen. Das Resultat wäre dann zwar keine echte Backdoor im klassischen Sinne, aber im Ergebnis trotzdem eine Umgehung der Ziele der Ende-zu-Ende-Verschlüsselung.

Apple macht es kaum besser

Das Geschrei über diesen „Fehler“ sollte aber eigentlich nicht besonders groß sein. Genau der gleiche Designfehler liegt schließlich der Nachrichtenverteilung von iMessage zugrunde. In Apples Nachrichten-Dienst besteht nämlich ein sehr ähnliches Problem. Jeder Apple-Nutzer kennt den entscheidenden Vorteil von iMessage: Die blauen Chat-Blasen tauchen nicht nur auf dem iPhone, sondern inhaltich und zeitlich synchron auch auf iPad, Macbook & Co auf. Apple verspricht nun aber ebenfalls, alle Nachrichten über iMessage per E2E-Verschlüsselung zu sichern. Um eine iMessage trotzdem auf allen Apple-Geräten empfangen (und lesen) zu können, muss Apple zu einem ähnlichen „Trick“ greifen wie es Whatsapp tut. Die Nachricht wird schlicht dreimal für drei verschiedene Geräte verschlüsselt. Bei Ersteinrichtung von iMessage auf iPhone, iPad und Macbook generiert Apple jeweils ein eigenes Schlüsselpaar pro Gerät und ordnet es meinen jeweiligen Geräten zu. Will mir dann eine Bekannte eine iMessage schicken, fragt ihr iPhone bei Apple an, welche Schlüssel für meine Apple ID bekannt sind und sendet die gleiche Nachricht dann entsprechend in Kopie an alle meine Empfangsgeräte.

Das ist komfortabel für alle Beteiligten, führt aber zu exakt dem gleichen Problem wie bei Whatsapp. Bereits im Februar 2014 wies Techcrunch (mit Verweis auf Apples eigene Dokumentation) darauf hin, dass Apple als Herr über die iMessage Infrastruktur meiner Apple ID jederzeit ein weiteres Schlüsselpaar zuordnen könnte und schon würde meine Bekannte ihre Geburtstagsgrüße nicht nur an mein iPhone, iPad und Macbook schicken, sondern auch an einen vierten Unbekannten, von dem aber weder sie noch ich etwas wissen.

Wie steht es bei Signal und Threema?

Die Verbreitung dieser grundlegenden Problematik stellt natürlich sofort die Frage, wie denn die aktuellen Vorzeige-Krypto-Messenger damit umgehen. Signal, das wie Whatsapp ja auf Basis der Open Whisper Systems Protokolle arbeitet, löst das Problem so, dass Nachrichten per default nicht automatisch neu versendet werden, wenn sich der Schlüssel eines Gesprächspartners ändert. Statt also, wie bei Whatsapp, im Hintergrund automatisch die Nachrichten neu für das neue Smartphone zu verschlüsseln, wartet Signal stets auf Freigabe. So wird verhindert, dass bei Signal ohne mein Wissen, Nachrichten an einen neuen Empfänger verschlüssel werden.

Threema hingegen umgeht das Problem schlicht. Da sich Threema anders als Whatsapp, Signal oder iMessage nicht an die IMEI des Endgeräts klammert oder zwingend mit einer Handynummer verbunden werden muss, gibt es auch kein ständiges Wechseln der Schlüssel. Stattdessen erstellt Threema bei Neuinstallation stets ein neues Schlüsselpaar und für meine Gesprächspartner erscheine ich als komplett neuer Gesprächsteilnehmer. Das ist natürlich unkomfortabel und viele meiner Bekannten schimpfen gelegentlich, dass ihrer Freunde sie bei Threema nicht wiedererkennen, nachdem sie sich ein neues Handy gekauft haben. Die Lösung bei Threema: Die Threema-ID samt Schlüssel wird manuell via Datenbackup oder via QR-Code auf das neue Gerät übertragen. So bleibt die kryptografische Identität unter der mich meine Gesprächsteilnehmer erreichen, stets die gleiche und es gibt keine Notwendigkeit, neue Schlüssel (unbemerkt wie bei Whatsapp oder transparent wie bei Signal) zu verteilen.

Das ist für mich übrigens weiterhin einer der zentralen Pluspunkte von Threema: Die Unabhängigkeit von irgendwelchen gekoppelten Identifikatoren wie Handynummer, IMEI und Co. Ich wechsle als Technikblogger oft zwischen diversen Smartphones. Bei Threema klappt das dank dieser Unabhängigkeit problemlos, ohne ständig Geräte erneut bei Threema registrieren zu müssen. Whatsapp hingegen nörgelt nach mehreren Smartphone-Wechseln schnell mal, dass ich meinen Account zu oft gewechselt hätte und mich doch bitte telefonisch verifizieren solle. Vor allem mag ich es, dass ich neuen Gesprächspartnern nicht zwangsläufig meine Handynummer offenbaren muss, sondern lediglich meine Threema-ID zur Verfügung stellen kann.

Verlorene Systemhoheit

Das eigentliche Problem ist damit nicht, dass Whatsapps Verschlüsselung mies wäre. Ganz im Gegenteil: Wenn überhaupt zeigt der Bericht des Guardian eigentlich nur, dass die Kryptografie genau so funktioniert wie erwartet und versprochen. Das Problem ist vielmehr, dass für jede asymmetrische Verschlüsselung diese Schlüssel auch verteilt werden müssen. Um die Nutzer nicht ständig mit manueller Schlüsselverwaltung zu nerven, nehmen Whatsapp, iMessage & Co das dem Nutzer komfortabel ab. Die Folge ist dann eben, dass wir Nutzer die Kontrolle über die Schlüsselerzeugung und Verwaltung verlieren. Das Probem ist also nicht, dass Whatsapp & Co die Nachrichten nicht vorbildlich verschlüsseln würden, sondern dass wir Nutzer schlicht nicht wissen, an wen unsere Apps eigentlich wieviele Nachrichten verschicken. Ich will damit Whatsapp nicht verteidigen. Gründe, nicht zur Facebook Tocher zu greifen, gibt es genug, eine vermeintlich schlechte Verschlüsselung scheint mir jedoch keiner von ihnen.

Im Grunde landen wir letztlich bei der alten Frage nach der Kontrolle über die eigene Technik. Niemand von uns weiß, was Android und iOS tatsächlich im Hintergrund treiben. Niemand kann sagen, welche Funktionen sich in Whatsapp, Twitter oder Facebook verbergen. Die Hersteller der Betriebssysteme und Entwickler der Apps sichern natürlich zu, nichts zu tun, was der Nutzer nicht aktiv in Gang setzt. Rein technisch wäre z.B. Twitter allerdings wohl jederzeit in der Lage, in unserem Namen rassistische oder frauenfeindliche Tweets abzulassen. Und rein technisch können Whatsapp & Co eben doch leicht Nachrichtenkopien auch an Dritte weiterleiten.

Die klassische Antwort, die darauf gegeben wird, ist Open Source, Open Source und nochmal Open Source, in der Hoffnung, dass die Armee an freiwilligen Hobby-Bastlern die gröbsten Fehler in den Apps und Betriebssystemen schon bemerken würde. Dass diese Hoffnung nicht immer erfüllt wird, sieht man allerdings am viele Jahre unbekannt gebliebenen Heartbleed-Bug. Trotzdem zeigt das aktuelle Aufbranden der Kritik an Whatsapp wie wichtig, unabhängige Kontrollen und Zertifizierungen von Apps und Smartphone-Betriebssystemen sind. Auf die Beteuerungen von Whatsapp, sich jederzeit gegen Aufforderungen der US-Geheimdienste zur Ausnutzen dieser Schwachstelle verteidigen zu wollen, will ich mich hingegen genauso wenig verlassen müssen, wie auf die Beteuerungen von Apple, sich auch weiter als Wächter der Bürgerrechte zu gerieren.

See you in the comments!

5 Kommentare

Artikel kommentieren

Dein Kommentar wird in der Regel sofort veröffentlicht. Bei erhöhtem Spam-Aufkommen kann es aber zu Verzögerungen kommen. Hab dann bitte einfach Geduld. Zur Erkennung von Spam verwendet das Blog ein Plugin, das den Inhalt des Kommentars, seine Uhrzeit sowie einige weitere Daten, wie zB enthaltene URLs, berücksichtigt. Bitte beachte deshalb die Datenschutzhinweise zur Kommentarfunktion.

Notwendige Felder sind mit * markiert.