Bisher konnten die Whatsapp-Nachrichten nur unverschlüsselt in der Cloud gesichert werden – was insbesondere in der iCloud nicht sicher ist.
In Zukunft sollen nicht nur die per Whatsapp versendeten Nachrichten verschlüsselt übertragen werden, sondern auch die Backups dieser Nachrichten, die Nutzer auf ihren Geräten anlegen und nicht selten in die Cloud übertragen. Die Funktion soll in den kommenden Wochen unter Android und iOS eingeführt werden.
Im Unterschied zu der Ende-zu-Ende-Verschlüsselung für Messengernachrichten ist die Verschlüsselung bei Backups optional. Die Nutzer können also selbst entscheiden, ob sie die Backups verschlüsseln wollen. Legen sie ein solches verschlüsseltes Backup an, haben sie die Wahl, den 64-stelligen Schlüssel selbst zu sichern oder passwortgeschützt auf Whatsapp-Servern abzulegen.
Damit auch Whatsapp nicht auf den Schlüssel zugreifen kann, setzt das Unternehmen auf eine Technik, die es Backup Key Vault nennt und mit einem Bankschließfach vergleicht. Mittels Opaque-Protokoll soll der Schlüssel auf einem Hardware-Sicherheitsmodul (HSM) abgelegt werden. Die Technik soll sicherstellen, dass Whatsapp weder auf das Passwort noch den Schlüssel zugreifen kann.
“Weder Whatsapp noch der verwendete Backup-Dienst wie Google Drive oder iCloud können auf ein Backup zugreifen”, versichert Whatsapp. Insbesondere Apples iCloud ist umstritten, da Strafverfolgungsbehörden und Geheimdienste über sie weitgehend alle Inhalte eines iPhones einsehen können.
Apple hatte es unterlassen, die iCloud so zu verschlüsseln, dass nur noch die Nutzer selbst auf ihre Daten und Backups zugreifen können. Eine entsprechende Funktion war zwar geplant, wurde jedoch nie umgesetzt, um einem Konflikt mit dem FBI aus dem Weg zu gehen.
Um die Backups wiederherzustellen, muss entweder der 64-stellige Schlüssel manuell eingegeben werden oder das vergebene Passwort. Mit Letzterem kann der Schlüssel zur Entschlüsselung des Backups von den Whatsapp-Servern wiederhergestellt werden. Auch hier kommt wieder das Opaque-Protokoll zum Einsatz.
Die Messenger Signal und Threema bieten bereits seit geraumer Zeit ebenfalls verschlüsselte Backups. Bei Signal muss bei der Einrichtung des Backups eine generierte 30-stellige Passphrase notiert beziehungsweise in einem Passwortmanager und zur Bestätigung erneut eingegeben werden. Anschließend werden regelmäßig verschlüsselte Backups generiert, die mit der Passphrase wieder eingespielt werden können.
Bei Threema kann entweder manuell ein lokales Backup mit einem selbst gewählten Passwort erstellt werden oder es ist ein regelmäßiges Backup in der Cloud (Threema Safe) möglich. Auch hier muss ein selbst gewähltes Passwort vergeben werden. Anschließend kann das Backup auf Threema-Servern oder einem beliebigen Webdav-Server wie beispielsweise Nextcloud gespeichert werden.





