Es gab Zeiten, in denen sich jeder beliebige Hacker Zugriff auf das Smartphone oder den Computer verschaffen und alle Chatprotokolle des Besitzers lesen konnte. Einige sehr bekannte Anwendungen, wie z. B. Live Messenger, legten sogar Verzeichnisse und Klartext-Dateien an, in denen nicht nur die Nachrichtentexte, sondern auch die mit Freunden ausgetauschten Bilder und Videos ohne jeglichen Schutz gespeichert wurden.
Nach dem Datagate-Skandal und angesichts der sonstigen Herausforderungen im Bereich des digitalen Datenschutzes haben sich die Entwickler der größten Messenger-Plattformen darangemacht, ihre Ökosysteme abzusichern. Nach wie vor aufrecht bleibt die Gefahr eines physischen Angriffs, aber das ist eine andere Geschichte.
Die Initialzündung
In der Anfangszeit basierte die Kommunikationstechnologie von so beliebten Apps wie WhatsApp und Facebook Messenger auf nicht wirklich sicheren Strukturen. Seit der Einführung der End-to-End-Verschlüsselung, die mit dem Boom von Telegram – der ersten Chat-App, die mit dem Datenschutz nicht auf Kriegsfuß stand – populär wurde, hat sich jedoch viel verändert.
Privatchats
Bei der End-to-End-Verschlüsselung handelt es sich um eine sehr mächtige Funktion, mit der im Wesentlichen die von zwei Nutzern desselben Dienstes gesendeten und empfangenen Nachrichten codiert werden. Sendet man eine Nachricht an einen Freund, so wird diese codiert (und damit verschlüsselt) und kann nur auf dem Gerät des Empfängers wieder entschlüsselt werden. Derselbe Algorithmus – wir sprechen hier von einer Abfolge elektronischer Schritte zur Unlesbarmachung der Protokolle – kommt beim Teilen von Dateien und Tätigen von VoIP-Anrufen über das Internet zur Anwendung. Der Vorteil dieser Technik liegt darin, dass Chats und Telefonate vor unbefugten Blicken – beispielsweise von Hackern, der Polizei oder spionierenden Regierungen – geschützt sind. Auf technischer Ebene kann die stattfindende Konversation nur auf jenem Smartphone gelesen werden, von dem die Nachricht gesendet bzw. auf dem die Nachricht empfangen wird. Dritte, auch die Dienstanbieter selbst wie z B. WhatsApp, haben keine Möglichkeit, die Konversation mitzuverfolgen.
Der Schlüsselsatz
Zweck der End-to-End-Verschlüsselung ist die Codierung der vom Absender übermittelten Informationen. Dazu werden auf dem Gerät des Empfängers nur jene Schlüssel bereitgestellt, die eine bestimmte Nachricht des Gesprächspartners entschlüsseln können. An diesem Vorgang sind zwei Arten von Schlüsseln beteiligt: der öffentliche und der private Schlüssel.
Bei der erstmaligen Anmeldung zu WhatsApp im Zuge der Installation auf dem Smartphone werden auf dem Server des Dienstanbieters Gruppen von öffentlichen Schlüsseln generiert und gespeichert, die ausschließlich dem jeweiligen Telefon zugeordnet werden können. Diese Schlüssel werden später dazu verwendet, übermittelte Textnachrichten, Fotos und Videos zu verschlüsseln. Jede App, die eine End-to-End-Verschlüsselung unterstützt, kann Public Keys in unterschiedlicher Anzahl verwenden. Bei WhatsApp sind dies zum Beispiel drei: der Identitätsschlüssel, der signierte Schlüssel und der einmalige Schlüssel (oder one-time key), der nur beim erstmaligen Lesen einer neuen Nachricht verwendet wird.
Und so funktioniert das Zusammenspiel der einzelnen Schlüssel: Georg schickt eine Nachricht an Laura. Georgs Telefon verwendet die öffentlichen Schlüssel von Lauras Telefon für die Verschlüsselung und Übermittlung der Nachricht. Das System muss jedoch sicherstellen, dass die Kommunikation nur von Laura (d. h. dem beabsichtigten Empfänger) und sonst niemandem gelesen werden kann, nicht einmal vom Server, der die Kommunikation weiterleitet.Georgs Telefon verwendet die öffentlichen Schlüssel von Lauras Telefon für die Verschlüsselung und Übermittlung der Nachricht. Und hier kommt der private Schlüssel ins Spiel.
Jedes Gerät verfügt über einen eindeutigen privaten Schlüssel, der einzig und allein auf dem jeweiligen Smartphone gespeichert ist. Wenn Georg nun eine Nachricht an Laura schickt, wird diese zwar mithilfe von Lauras öffentlichen Schlüsseln verschlüsselt und übermittelt, kann aber nur mit ihrem privaten Schlüssel wieder entschlüsselt werden.
Wie die Post
Zum besseren Verständnis ein einfacher Vergleich: Stellen Sie sich Briefkästen vor, wie sie bei Postämtern und an verschiedenen Stellen in einer Stadt zu finden sind (diese entsprechen den Servern). Jeder kann über den Schlitz (den öffentlichen Schlüssel) Sendungen hineinwerfen, aber nur der Briefträger, der über den Zugang verfügt (den privaten Schlüssel) kann den Briefkasten öffnen, diesen entleeren und die einzelnen Sendungen an die Empfänger zustellen. Der einzige Unterschied liegt darin, dass sich ein Mensch irren kann, die Verschlüsselung jedoch nicht.
Dieser Artikel ist auch verfügbar in: FranzösischItalienisch