WhatsApp hat angekündigt, künftig Ende-zu-Ende verschlüsselte Backups in der
Cloud zu unterstützen. Nutzer benötigen dann ein Passwort, um auf ihre Datensicherung zuzugreifen - der Konzern hat keine Möglichkeit "mitzulesen".
Das geht aus einem
Blog-Beitrag von Konzernmutter Facebook hervor. Um die Privatsphäre von Nachrichten zu schützen, bietet WhatsApp seit Jahren standardmäßig eine Ende-zu-Ende-Verschlüsselung an, so dass Nachrichten nur vom Absender und vom Empfänger eingesehen werden können und von niemandem dazwischen. Als nächster Schritt werden nun auch WhatsApp-Backups ebenfalls mit einer Ende-zu-Ende-Verschlüsselung versehen - bestätigt hatte dies das
Unternehmen schon vor Wochen.
Nutzer können ihre WhatsApp-Nachrichten ja bereits über Cloud-basierte Dienste wie Google Drive und iCloud sichern. WhatsApp hat auch dann keinen Zugriff auf diese Backups, und sie werden von den einzelnen Cloud-basierten Speicherdiensten gesichert. Wenn man sich nun aber dafür entscheidet, Ende-zu-Ende-verschlüsselte (E2EE) Backups zu aktivieren, können weder WhatsApp noch der Anbieter des Backup-Dienstes auf die Backups oder deren Verschlüsselungsschlüssel zugreifen, heißt es.
Medienberichten zufolge dürfte das eine Reaktion darauf sein, dass
Apple bestätigt hat, einen Generalschlüssel für Cloud-Backups zu haben und diesen auch schon an US-Ermittlungsbehörden herausgeben musste.
Wie E2EE-Backups funktionieren
WhatsApp startet jetzt ein neues System für die E2EE-Backups. Wenn E2EE-Backups aktiviert sind, werden die Backups mit einem eindeutigen, zufällig generierten Verschlüsselungsschlüssel verschlüsselt, erläutert der Diensteanbieter. Die Benutzer können wählen, ob sie den Schlüssel manuell oder mit einem Benutzerpasswort sichern wollen. Wenn sich jemand für ein Passwort entscheidet, wird der Schlüssel in einem Backup Key Vault gespeichert, der auf einer Komponente namens Hardware-Sicherheitsmodul (HSM) basiert - einer speziellen, sicheren Hardware, die zur sicheren Speicherung von Verschlüsselungsschlüsseln verwendet werden kann. Wenn der Kontoinhaber Zugriff auf sein Backup benötigt, kann er mit seinem Verschlüsselungsschlüssel darauf zugreifen oder sein persönliches Passwort verwenden, um seinen Verschlüsselungsschlüssel abzurufen und sein Backup entschlüsseln.
Start in den kommenden Wochen
WhatsApp weiß nur, dass ein Schlüssel im HSM vorhanden ist - der Schlüssel selbst ist aber nicht bekannt. Sobald die E2EE-Backups aktiviert sind, kann ein Backup nach der Verschlüsselung außerhalb des Geräts gespeichert werden (z. B. in iCloud oder Google Drive). E2EE-Backups sollen in den kommenden Wochen für Nutzer von iOS und Android verfügbar sein. WhatsApp hat die Details zu den technischen Einzelheiten in einem Whitepaper über Ende-zu-Ende-verschlüsselte Backups veröffentlicht.