Wenn ich WhatsApp sowohl auf meinem Mobiltelefon als auch im Webbrowser öffne, sehe ich auf beiden Clients dieselben Nachrichten. Da WhatsApp jedoch eine End-to-End-Verschlüsselung verwendet, sollte ich vom Mobiltelefon gesendete Nachrichten nicht auf dem Webclient sehen können, da dieser ein anderes Paar privater/öffentlicher Schlüssel verwenden sollte.
Wie ist es also möglich, dass die Kommunikation im Web angezeigt wird? Sind die Schlüssel identisch?
Ich glaube nicht…
Meine Theorie ist, dass die einzige verschlüsselte Kommunikation mit dem Mobiltelefon stattfindet und das Mobiltelefon dann Nachrichten über eine andere Verbindung an den Webbrowser sendet. Diese andere Verbindung verfügt möglicherweise nicht über eine starke asymmetrische Verschlüsselung und kann eine Schwachstelle darstellen. Was meinen Sie?
Antwort1
Der Signal-Sesame-Algorithmus (von WhatsApp verwendet) gibt an, dass Nachrichten mit Ende-zu-Ende-Verschlüsselung zwischen Geräten gesendet werden.
Wenn Ihnen jemand eine Nachricht sendet, wird diese von Ihrem „Hauptgerät“ entschlüsselt. Dieses Gerät verschlüsselt die Nachricht dann erneut und sendet sie an Ihre anderen Geräte (immer mit Ende-zu-Ende-Verschlüsselung).
Jedes Gerät hat sein eigenes Schlüsselpaar und private Schlüssel werden nur auf dem Gerät selbst gespeichert.
Quelle: "Der Sesame-Algorithmus: Sitzungsverwaltung für asynchrone Nachrichtenverschlüsselung”
Antwort2
Ihre Annahme, was „Ende-zu-Ende“-Verschlüsselung ist, ist selbst falsch.
Bei der Verschlüsselung von WhatsApp handelt es sich um eine kontobasierte „Ende-zu-Ende“-Verschlüsselung. Es handelt sich nicht um eine gerätespezifische Form der Verschlüsselung.
Sie stellen dies dar und machen dabei eine ziemlich weitreichende Annahme; die fette Hervorhebung stammt von mir:
„Aber weil WhatsApp eine Ende-zu-Ende-Verschlüsselung verwendet,Ich sollte im Webclient keine vom Mobiltelefon gesendeten Nachrichten sehen können, da dieser ein anderes Paar privater/öffentlicher Schlüssel verwenden sollte.”
Die Verschlüsselung bei WhatsApp ist eine kontobasierte „Ende-zu-Ende“-Verschlüsselung.keine gerätespezifische Form der Verschlüsselung. Das bedeutet, dass Ihre Schlüssel – bestehende oder neu generierte; ich weiß nicht, wie die Intervalle von WhatsApp genau sind – überall, wo Sie angemeldet sind, verwendet werden, um Ihren Zugriff auf Ihr Konto und Ihre Nachrichten zu verwalten. Wenn Ihre Theorie, wie es funktioniert, zuträfe, wie könnten Sie sich dann – zum Beispiel – bei der Nutzung Ihres Telefons jemals wieder bei WhatsApp anmelden? Lesen Sie mehr dazu aufihre offiziellen FAQ:
„Die Ende-zu-Ende-Verschlüsselung von WhatsApp stellt sicher, dass nur Sie und die Person, mit der Sie kommunizieren, die gesendeten Daten lesen können und niemand dazwischen, nicht einmal WhatsApp.“
Das alles läuft auf eines hinaus: Ihr Konto verschlüsselt nur Nachrichten an und von Ihrem Konto. Wenn Sie sich von einem neuen Gerät aus bei Ihrem Konto anmelden, verbindet die App dieses Gerät über das von WhatsApp verwendete Schlüsselverwaltungsschema mit Ihrem WhatsApp-Konto.