14.09.2021 WhatsApp

WhatsApp: End-to-End verschlüsselte Backups werden ermöglicht

Mit End-to-End verschlüsselten Backups hat nur noch die Person, welche WhatsApp verwendet, Zugriff auf die eigenen Daten. Facebook teilte mit, wie sie es ermöglichen, Backups von WhatsApp End-to-End zu verschlüsseln. Nachrichten werden schon jahrelang standardmässig End-to-End verschlüsselt. Nun soll aber auch das Backup diese Verschlüsselung erhalten.

Belinda Weibel
3 Min. Lesezeit
Keine Kommentare

Eine End-to-End Verschlüsselung bietet Schutz, sodass Nachrichten nur vom Absender und Empfänger gelesen werden können und sonst keine Möglichkeit besteht auf die Nachricht zuzugreifen. Bis anhin waren alle Nachrichten von WhatsApp End-to-End verschlüsselt, um die Privatsphäre der Personen zu schützen. Nun plant Facebook, dass auch die Backups zukünftig End-to-End verschlüsselt werden sollen. Bis vor Kurzem konnten Personen, welche WhatsApp benutzen, den Nachrichtenverlauf über Cloud-basierte Dienste wie etwa Google Drive oder iCloud sichern. Die Sicherung dieser Nachrichtenverläufe wird über die Speicherdienste umgesetzt und WhatsApp hat keinen Zugriff auf diese Sicherungen. Neu können WhatsApp Benutzer aber auch einstellen, dass sie gerne End-to-End verschlüsselte Backups haben möchten. Mit dieser Aktivierung der Sicherung haben anschliessend nicht einmal mehr WhatsApp oder Backup-Dienstleister auf das Backup oder auf den Backup-Verschlüsselungsschlüssel Zugriff.

Wie funktionieren End-to-End verschlüsselte Backups?

Facebook hat ein neues System für die Speicherung von Verschlüsselungsschlüssel entwickelt. Das System funktioniert mit iOS und Android. Wenn das End-to-End verschlüsselte Backup aktiviert wird, generiert das System einen zufällig und eindeutigen Verschlüsselungsschlüssel, welcher das Backup schützt. Personen, welche das Backup aktiviert haben, können zudem den zufällig generierten Schlüssel manuell oder mit einem Benutzerpasswort sichern. Entscheidet sich nun eine Person für ein Benutzerpasswort, wird der Schlüssel in einem Backup Key Vault gespeichert, der auf einer Komponente basiert, die als Hardware-Sicherheitsmodul (HSM) bezeichnet wird. HSM ist eine spezialisierte, sichere Hardware, die zum Speichern von Verschlüsselungsschlüsseln verwendet werden kann. Benötigt eine Person Zugriff auf das Backup, muss sie zuerst mittels Verschlüsselungsschlüssel oder eigenem Passwort den eigentlichen Verschlüsselungsschlüssel aus dem HSM-basierten Backup Key Vault abrufen. Dank des HSM-basierten Backup Key Vault ist es nicht einmal WhatsApp möglich den Verschlüsselungsschlüssel zu lesen. WhatsApp weiss lediglich, dass ein Schlüssel vorhanden ist. Ebenfalls wird der Schlüssel nach einer begrenzten Anzahl erfolgloser Zugriffsversuche dauerhaft unzugänglich gemacht. Die Sicherheitsmassnahme schützt vor Brute-Force-Versuchen, den Schlüssel abzufragen.

Speicherung eines Schlüssels im Backup Key Vault

ChatD, der Front-End-Service von WhatsApp, ist verantwortlich für die Client-Verbindungen und die Client-Server-Authentifizierung sowie für die Implementierung eines Protokolls, welches die Schlüssel für die Backups zu und von den WhatsApp-Servern sendet. Die Person, welche ein Backup durchführen will, tauscht mit dem Backup Key Vault verschlüsselte Nachrichten aus, deren Inhalt auch für ChatD nicht zugänglich ist.

Backup mit einem 64-stelligen Verschlüsselungsschlüssel (Quelle: Facebook)

Backup mit einem 64-stelligen Verschlüsselungsschlüssel (Quelle: Facebook)

Der HSM-basierte Backup Key Vault sitzt hinter ChatD und bietet einen hochverfügbaren und sicheren Speicher für die Verschlüsselungsschlüssel der Backups. Das Backup selbst wird als kontinuierlicher Datenstrom generiert, welcher durch symmetrische Verschlüsselung mit dem generierten Schlüssel verschlüsselt wird. Wenn dieses Backup aktiviert ist, kann das Backup nach der Verschlüsselung ausserhalb des Gerätes gespeichert werden (z.B. in iCloud).

Backup-Sicherung mit einem Passwort (Quelle: Facebook)

Backup-Sicherung mit einem Passwort (Quelle: Facebook)

Die Herausforderung bei diesem neuen System war, dass sichergestellt werden kann, dass der HSM-basierte Backup Key Vault auch zuverlässig funktioniert. Genau deshalb wird der HSM-basierte Backup Key Vault-Dienst geografisch auf mehreren Rechenzentren verteilt, um das System betriebsbereit zu halten.

Der HSM-basierte Backup Key Vault und der Ver- und Entschlüsselungsprozess

Verwendet eine Person für das Backup ein Passwort, so wird dieses im HSM-basierten Backup Key Vault gesichert und gespeichert. Der Prozess ist folgendermassen, wenn eine Person auf das Backup zugreifen will:

  1. Das Passwort wird eingegeben, welches verschlüsselt und durch den Backup Key Vault verifiziert wird.
  2. Nach der Überprüfung des Passworts sendet nun der HSM-basierte Backup Key Vault den Verschlüsselungsschlüssel zurück an die Person, welche WhatsApp bedient.
  3. Mit dem Verschlüsselungsschlüssel kann die Person jetzt auf das eigene Backup zugreifen.

Wird ohne Passwort gearbeitet, so muss die Person den 64-stelligen Schlüssel manuell eingeben, um das Backup zu entschlüsseln und darauf zuzugreifen. Es wird in den kommenden Wochen für iOS und Android verfügbar sein.

Fazit

Für die rund zwei Milliarden Menschen, welche WhatsApp verwenden, wird es bald mehr Schutz der Privatsphäre geben. Auch, dass die Server auf mehreren Rechenzentren aufgeteilt werden, ist ein zusätzlicher Schutz, damit die Daten nicht verloren gehen können oder ein Leck entsteht. WhatsApp kümmert sich darum, dass die Konversationen auch beim Abspeichern nicht zugänglich gemacht werden und dadurch wieder mehr Vertrauen geschaffen wird.

Facebook Instagram Twitter LinkedIn Xing TikTok

Kommentar via Facebook

Bitte akzeptieren Sie die Cookies um die Facebook Kommentare zu nutzen.

Schreib uns einen Kommentar

Möchtest Du immer auf dem neusten Stand mit unseren Newsletter sein?

Melde Dich jetzt an