Das Dokument behandelt die Sicherheitsaspekte der Webkommunikation mit einem Fokus auf die Ende-zu-Ende-Verschlüsselung von WhatsApp, die als Reaktion auf Datenschutzverletzungen durch Behörden implementiert wurde. Es beschreibt verschiedene Verschlüsselungsverfahren, ihre Funktionen sowie deren Schwächen und beleuchtet die Herausforderungen, die durch unbefugte Zugriffe und Identitätsbetrug entstehen können. Zudem wird auf die Entwicklung von Verschlüsselungsstandards wie DES und AES sowie die Rolle von Zertifizierungsstellen in der asymmetrischen Verschlüsselung eingegangen.

1. Sicherheit in der
Webkommunikation
Für die Vorlesung „Webkommunikation, H. Mittendorfer, April 2016
1

2. Studienobjekt: WhatsApp
In einem technical white paper veröffentlichte die
WhatsApp Inc. am 4. April 2016 unter der Web-
Adresse
https://www.whatsapp.com/security/WhatsApp-
Security-Whitepaper.pdf eine Darstellung jener
Ende-zu-Ende Verschlüsselung, welche sowohl
für ausgetauschte Nachrichten, als auch für
Gespräche zwischen den Teilnehmern, in die
gleichnamige Software implementiert wurde.
2

3. Der Anlass zur Verschlüsselung
Als Folge der Aufdeckung skandalöser bzw.
ungesetzlicher Verletzungen der Privatsphäre
durch Geheim- und Nachrichtendienste während
vergangener Jahre im allgemeinen und speziell als
Konsequenz, wenngleich gescheiterter Versuche
des FBI, das Unternehmen Apple aufzufordern
Sicherheitsmechanismen aushebelbar zu
gestalten, sehen sich Anbieter von
Telekommunikationstechnolgien genötigt, mehr
Sicherheit in ihre Produkte einzubauen - der Markt
verlangt es!
3

4. Der Rechtsstreit mit Behörden
"Medienberichten zufolge ist Whatsapp in den
USA bereits in einen Rechtsstreit mit
Behörden verwickelt. Der Messenger-Dienst
soll wie das Konkurrenzprodukt Telegram von
den Attentätern benutzt worden sein, die im
November in Paris 130 Menschen töteten."
4
Quelle:
http://www.badische-zeitung.de/computer-medien-1/whatsapp-und-die-
verschluesselung--120769267.html
-> P

5. Verschlüsseln
Verschlüsseln auch chiffrieren genannt, bedeutet eine, mit
allgemein verständlichen Zeichen codierte Nachricht (den Klartext)
mittels eines Verfahrens derart um zu codieren, sodass der daraus
gewonnene Geheimtext nur unter Verwendung eines geheimen
Schlüssels wieder in den Klartext rückgeführt werden kann.
Das Ergebnis des Verschlüsselns bzw. Chiffrierens ist demnach
der Geheimtext oder das Kryptogramm. Das Rückgewinnen des
Klartextes aus dem Kryptogramm nennt sich Dechiffrieren. Die
Verallgemeinerung des Chiffrierens und Dechiffrierens wird als
Kryptographie bezeichnet. Der Versuch den Klartext ohne Kenntnis
des Schlüssels aus dem Kryptogramm zu gewinnen heißt
Kryptoanalyse.
5

6. Allgemeines Konzept der Verschlüsselung
6

7. Funktionen der Verschlüsselung
•Vertraulichkeit der Nachricht: Nur der autorisierte
Empfänger/die Empfängerin sollte in der Lage sein, den Inhalt
einer verschlüsselten Nachricht zu lesen.
• Datenintegrität der Nachricht: Der Empfänger/die
Empfängerin sollte in der Lage sein festzustellen, ob die
Nachricht während ihrer Übertragung verändert wurde.
• Authentifizierung: Der Empfänger/die Empfängerin sollte
eindeutig überprüfen können, ob die Nachricht tatsächlich vom
angegebenen Absender stammt.
• Verbindlichkeit: Der Absender/die Absenderin sollte nicht in
der Lage sein, zu bestreiten, dass die Nachricht von ihm/ihr
kommt.
Quelle: http://www.vorratsdatenspeicherung.de
7
-> P

8. Angriffspunkte: Übertragung in allgemein zugänglichen
Netzen und Zwischenspeicherung bei Dienstanbietern
Nachrichten in asynchronen Kanälen werden systembedingt nicht nur
übertragen, sondern auch in Ressourcen der Dienstanbieter
zwischengespeichert. Eine Korrumpierung der übermittelten
Nachrichten ist somit unabhängig voneinander am Übertragungsweg
und/oder der Zwischenspeicherung möglich.
8

9. Zwischenspeicherung bei E-Mail
Bedingt durch die Übertragung von E-Mails in getrennten
Diensten für den Versand (SMPT-Service) und Empfang (POP
oder IMAP-Service) erfolgt die Zwischenspeicherung der
Nachrichten in unterschiedlichen Ressourcen Anbietern.
9
-> P

10. Ende-zu-Ende-Verschlüsselung
Die Ende-zu-Ende-Verschlüsselung hat zum Ziel, Nachrichten im
Gerät des Senders zu verschlüsseln und erst nach der
Weiterleitung an den Empfänger, im Gerät des Empfängers zu
entschlüsseln.
10

11. Vermittlung durch den Dienstanbieter bei
synchronen Kommunikationsdiensten
Synchrone Kommunikationskanäle werden hingegen durch den
Dienstanbieter nur vermittelt, die verschlüsselte Übertragung findet
dann auf direktem Wege zwischen den „Gesprächspartnern“ statt.
11

12. Die Methoden der
Verschlüsselung
12

13. Transposition und
Substitution
Versetzen und Ersetzen bilden zentrale Methoden
der Verschlüsselung. Ersteres, die Transposition
belässt die Zeichen des Klartextes unverändert,
ändert jedoch deren Position im Text. Die
Substitution hingegen ersetzt die Zeichen.
Die Skytale (sieh Abb. nebenan) ist ein, in der
Antike angewandtes, kryptographisches
Verfahren mittels Transposition.
13

14. Monoalphabetische Substitution
Die Rosenkreuzer-Schablone ist eine monoalphabetische
Substitution. Jeder Buchstabe wurde mit den Seitenlinien des
entsprechenden Feldes und einem Punkt, der die Position des
Buchstabens im Feld symbolisiert, dargestellt.
14
Der größte Schwachpunkt der monoalphabetischen Substitution ist
in der statistischen Häufung von Zeichen in Texten lebender
Sprachen zu finden. Mittels Angriff durch „brut force“ ist jede
Anwendung monalpabetischer Substitution in wenigen Sekunden
gelöst.
Beispiel:

15. Polyalphabetische Substitution
Am einfachsten ist die polyalphabetische
Substitution anhand der Chiffrierscheibe des
italienischen Architekten Leon Battista Alberti
darstellbar.
Alberti konstruierte zwei Scheiben, die
zueinander verdrehbar sind. Die äußere Scheibe
enthält das Klartextalphabet, die innere das
Chiffrenalphabet, der Vorgang des Chiffrierens
erfolgt durch die Abbildung der Entsprechung
von außen nach innen. Die Sicherheit dieser
Methode besteht nun darin, dass die Stellung der
beiden Scheiben zueinander während der
Chiffrierung gewechselt wird. Jede
unterschiedliche Stellung der Scheiben
zueinander entspricht einem neuen Alphabet.
Jede Folge von Stellungswechseln ebenfalls.
15

16. Ein Schlüssel zur Alberti-
Scheibe
1. Bringe die Ziffer „1“ mit dem Buchstaben „i“ in Übereinstimmung.
2. Dechiffriere sodann die ersten 7 Buchstaben.
3. Drehe die Scheibe dann um 9 Schritte gegen den Gang der
Sonne.
4. Fahre fort, 13 Buchstaben zu dechiffrieren.
5. Drehe die Scheibe dann 4 Schritte mit dem Gang der Sonne
6. und dechiffriere die folgenden 21 Buchstaben.
7. …
8. Irgendwann - je nach Sicherheitsbedürfnis - wird wieder mit
Schritt 1 begonnen.
16
-> P

17. Enigma und der Anfang der Computerkryptographie
Arthur Scherbius entwickelte 1920 die
Verschlüsselungsmaschine "Enigma" und diese
wurde auch als "legendäre Enigma" noch während
des 2. Weltkrieges eingesetzt. Statt Scheiben
wurden auswechselbare, rotierende Walzen in
schreibmaschinen-ähnliche Apparate eingebaut
welche durch Elektromotoren angetrieben eine
Fülle unterschiedlicher Chiffrenalphabete erzeugen.
Jeder Anschlag auf der Tastatur führt automatisch
zu einem neuen Alphabet, bis die rotierende Walze
wieder an ihren Ausgangspunkt zurückgekehrt ist.
Vorläufer der heutigen "Computer" vermochten -
vor allem durch eine große Anzahl von Versuchen -
die durch Enigma chiffrierten Texte dennoch zu
knacken. Von da an hat sich die Kryptographie zur
Computerkryptographie gewandelt.
17

18. DES
Im Jahr 1977 wurde der von der Fa. IBM entwickelte DES, der Data
Encryption Standard, als allgemeiner Standard für
Datenverschlüsselung in Regierungsbehörden eingeführt. Der
Schlüssel im DES-Standard besteht aus einer Folge von acht 8-Byte-
Blöcken, dies ergibt 64 Bit. Da je Byte ein Bit als Parity-Bit (Prüfbit)
verwendet wird, stehen für die Benutzung nur 56 Bit zur Verfügung.
Mit den Augen der Kombinatorik gesehen, ergibt der DES siebzig
Quadrillionen Verschlüsselungsmöglichkeiten.
Mit der Methode Brute Force (systematisches Ausprobieren
sämtlicher Möglichkeiten) gelang es 1998 in 56 Stunden und 1999 in
22 Stunden den DES Code zu knacken. Für einen weiteren Erfolg
wurde über das Internet die Kapazität von ca. 100.000 Rechnern
zusammengeführt (distributet Net).
18

19. AES
Anstelle von DES wird derzeit der Advanced Encryption Standard eingesetzt. Es handelt
sich ebenfalls um eine symmetrisches Verfahren. Es verwendet variable Schlüssellängen
und variable Blockgrößen und wird seit dem Jahr 2000 als Nachfolgeverfahren zum DES
eingesetzt. Die Vorteile des AES liegen in seiner guten Implementierbarkeit in der Hard-
und Software. Bemerkenswert ist, dass sowohl der DES als auch der AES namhaft auf
den Methoden Substitution und Transposition beruhen.
Seit 2013 wird am UTAH DATA Center der NSA neben dem Speichern der gesamten
Internet-Kommunikation auch am Knacken des AES gearbeitet.
„According to another top official also involved with the program, the NSA made an
enormous breakthrough several years ago in its ability to cryptanalyze, or break,
unfathomably complex encryption systems employed by not only governments around
the world but also many average computer users in the US. The upshot, according to this
official: ‚Everybody’s a target; everybody with communication is a target.‘“
19
Quelle: http://www.wired.com/2012/03/ff_nsadatacenter/all/

20. Die asymmetrische Verschlüsselung
Fall 1, Vertraulichkeit u. Datenintegrität
20
Da einer der beiden Schlüssel, in diesem Fall der
Verschlüsselungs-Schlüssel, veröffentlicht werden kann, spricht
man auch von „Public - Key“ (grün).
-> P

21. Die asymmetrische Verschlüsselung
Fall 2: Authentifizierung & Verbindlichkeit
21
Die vertrauenswürdige Bestätigung der Verbindung
von Entschlüsselungs-Schlüssel und Person über-
nehmen sogenannte Zertifizierungsstellen.

22. Die WhatsApp Verschlüsselung
22
Quelle:
https://www.androidpit.de/whatsapp-news-malware-features-tipps-und-tricks-im-ueberblick

23. Die Restunsicherheit der
WhatsApp-Verschlüsselung
"Auch wenn nun selbst WhatsApp nicht mehr die Inhalte der
Kommunikation mitlesen kann – wer wann mit wem kommuniziert,
weiß der Dienst trotzdem.“
"Die wohl größte Gefahr ist, dass der Chat-Partner gar nicht derjenige
ist, für den man ihn hält – ein Problem, das in Gruppenchats noch
größer ist. Es könnte sein, dass ein Handy gestohlen wurde oder
dass ein Dritter in den Besitz der Sim-Karte – und damit an die mit
WhatsApp verbundende Telefonnummer – des eigentlichen
Gesprächpartners gekommen ist.“
23
Quelle: http://www.t-online.de/handy/id_77480886/whatsapp-verschluesselung-das-
sollten-sie-wissen-.html