Whatsapp: Was müsste man besser machen?

Dieses Thema im Forum "Webentwicklung" wurde erstellt von Creused, 3. November 2013 .

  1. 3. November 2013
    Hallo,
    mich würde mal genau interessieren, was man bei Whatsapp besser machen müsste.

    Ich weiß dass die "Verschlüsselung" generell fürn Anus ist,
    und die Verfügbarkeit des Dienstes in den letzten Tagen/Wochen zu Wünschen übrig lässt.

    Piercing through WhatsApp’s encryption - xnyhps’ blog

    Aber wie sieht hier eine sichere Verschlüsselung aus?
    (Damit auch WIRKLICH nur Sender und Empfänger die Nachrichten lesen können und keine Dritten.)

    Kann man so etwas auch bei Gruppenchats entsprechend bewerkstelligen?
    Wie macht man das bei mehreren Servern?

    Folgendes Beispiel:

    Was macht man, wenn man ganze Gruppenchats entsprechend verschlüsseln möchte?
    Wie geht man da vor?

    Nehmen wir an wir haben 2x Benutzer auf Server A, 1x verbindet sich mit Server B und 4x Benutzer mit Server C.

    Dann müssten Server A, B und C erstmal zueinander eine verschlüsselte Verbindung aufbauen, korrekt?

    Ggf. bietet man auch noch eine Funktion an, um die Anmeldung per Passwort zu ermöglichen.
    Wie sollte man dieses Passwort verschlüsseln?

    Wenn die Verbindung zwischen den Nodes und Clients per TLS gesichert ist, macht es, meiner Ansicht nach, dennoch Sinn, die Passwörter ebenfalls zu verschlüsseln.

    Vielen Dank im Voraus.
     
  2. 11. November 2013
    AW: Whatsapp: Was müsste man besser machen?

    Hallo,

    am besten ist eine Kombination aus SSH und das Verschlüsseln der Daten.

    Hierzu fällt mir spontan das Public-Key Verfschlüsselungsverfahren ein. Es kann nur der jenige die Nachricht entschlüsseln, der auch den public key kennt. Der Sender verschlüsselt mit seinem private Key.
    Wenn nun jede Konversation einen eigenen Private-/Public-Key hat, so können Dritte nicht mehr mitlesen.

    Wenn du nun einen Gruppenchat hast, musst du nur alle Public Keys der Teilnehmer kennen.

    Selbst wenn du nun über "Reverse Engineering" den Quellcode analysierst (Was bei apk-Files sehr einfach ist), kannst du die Verschlüsselung nicht umgehen, weil der Public/Private Key erst bei der Konverstations-Erstellung generiert wird.

    Das Thema Load Balancing auf mehrere Server ist nochmals ein anderes Thema. Aber selbst dies ist kein Problem, da die Server nur noch als digitales Telefonbuch und fürs Routing der Nachrichten verantwortlich sind.

    Ich hoffe du kannst etwas damit anfangen.

    Gruß
    wollknoll
     
    1 Person gefällt das.
  3. 11. November 2013
    Zuletzt bearbeitet: 11. November 2013
    AW: Whatsapp: Was müsste man besser machen?

    Nicht ganz korrekt:
    Man nutz den public Key des Empfängers um eine Nachricht zu verschlüsseln. Entschlüsseln kann dann nur der Empfänger mit seinem privaten Key.
    Ob man dafür nun SSH benötigt.. SSH nutzt ja z.B. zur Authentifizierung (wenn so konfiguriert) RSA-/DSA-Keys, die aber nicht mit der PGP-Verschlüsselung zu verwechseln sind.
    Entsprechend würde ich für den Transport jetzt nicht SSH nutzen, sondern die dafür vorgesehenen Möglichkeiten via HTTPS z.B. .
    Interessanter ist jedoch meiner Meinung nach eine "freie" Alternative, wie z.B. Bitmessage. Hierfür wird ein P2P-Netzwerk aufgebaut, welches nicht einfach mal so zentral manipuliert oder abgeschaltet werden kann. Um "Transaktionen" zu überprüfen ist jedoch Rechenkraft notwendig (ähnlich wie bei Bitcoins -> Kryptografie-Berechnungen). Ich bin mir daher nicht sicher, ob und wie schnell entsprechende Clienten für Android/iOS zur Verfügung stehen werden, darauf warten tue ich trotzdem

    Bis dahin nutze ich Threema. Habe schon einige Kumpels überzeugen können - ausserdem macht es die Absprache mit z.B. Kollegen einfacher, da keine Firmengeheimnisse das Gerät unverschlüsselt verlassen ;o)


    Entsprechend ist dann folgendes richtig:
     
    1 Person gefällt das.
  4. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.