WhatsApp automatisiert die kryptografische Überprüfung von Benutzerkonten
WhatsApp wird den Prozess der kryptografischen Verifizierung von Endnutzern automatisieren. Derzeit können Nutzer die Integrität ihrer Gesprächspartner noch über einen QR-Code verifizieren, aber dieser Prozess wird bald über das Open Source Auditable Key Directory automatisiert werden können.
Das Mutterunternehmen Meta sagt, dass diese Funktion jetzt für die Nutzer ausgerollt wird. WhatsApp nennt die Funktion „Auditable Key Directory“, eine öffentliche und damit überprüfbare Liste von Änderungen an den öffentlichen Schlüsseln, die Nutzer zur Überprüfung ihrer Identität austauschen. Die Funktion dreht sich um die QR-Codes, die WhatsApp seit 2014 für Nachrichten verwendet, die Ende-zu-Ende verschlüsselt sind.
Die Verschlüsselung von WhatsApp funktioniert auf der Grundlage eines privaten Schlüssels, der auf dem Gerät verbleibt, und eines öffentlichen Schlüssels, der mit anderen Nutzern geteilt werden kann, um eine verschlüsselte Verbindung herzustellen. Dieser öffentliche Schlüssel wird vom Absender an den Empfänger über WhatsApp gesendet. Um zu überprüfen, ob ein Absender mit dem richtigen Empfänger spricht, hasht WhatsApp diesen öffentlichen Schlüssel. Dieser 60-stellige Hash kann zwischen zwei Nutzern verglichen werden. Dies kann auch in Form eines QR-Codes geschehen. Wenn diese Hashes auf beiden Geräten übereinstimmen, hat kein Man-in-the-Middle-Angriff stattgefunden.
Dieses Verfahren ist jedoch umständlich, räumt WhatsApp ein. Zum Beispiel müssen zwei Nutzer physisch zusammen sein, um den QR-Code zu scannen, oder sie müssen eine Fernverbindung aufbauen, um die Hashes zu vergleichen. Bei Gruppenunterhaltungen ist das völlig kompliziert. In der Praxis ist das auch der Grund, warum nur wenige Menschen die Funktion nutzen. WhatsApp wird nun genau diesen Prozess automatisieren.
Das Unternehmen tut dies durch ein neues Protokoll. Mit diesem Protokoll wird auf den Servern von WhatsApp eine öffentliche Datenbank namens „Auditable Key Directory“ erstellt. Dieses Verzeichnis enthält Zuordnungen zwischen Benutzerkonten und ihren öffentlichen Schlüsseln. Werden diese ohne Zutun des Nutzers verändert, kann der Empfänger den öffentlichen Schlüssel nicht verifizieren. WhatsApp empfiehlt, diesen Vorgang in diesem Fall manuell durchzuführen.
WhatsApp stellt den Code hinter diesem Verzeichnis als Open Source zur Verfügung. Es handelt sich um eine Rust-Bibliothek, die verschiedene Schlüsseltransparenzprotokolle wie Coniks verwendet. Nach Angaben von WhatsApp verarbeitet die Bibliothek „Zehntausende von Schlüsseländerungen pro Tag“ und ist daher eine reine Append-Datenbank.