Bei Risiken oder Nebenwirkungen, fragen Sie den Autor dieses Artikels
Zwei Tipps, um die verschlüsselten Nachrichten Ihres Telefons
verschlüsselt zu halten
Autor: Andy Greenberg.Andy Green Sicherheit
WIRED | 2016.04.26
End-to-End-Verschlüsselung
standardmäßig wird schnell zum neuen Standard für alle
Kommunikations-App, über die Privatsphäre derer, die sie verwenden, um
Pflege in Anspruch nimmt. Aber nicht alle Verschlüsselung ist gleich.
Und Standard bedeutet nicht immer Standard.
Allein im Monat April, die beide
WhatsApp und Viber schaltet dieser Schutzschicht aus der Überwachung,
die es technisch ausgelegt ist unmöglich zu machen für alle, die Dienste
Botschaften andere als die Menschen in ein Gespräch zu lesen: nicht
Hacker belauscht, nicht Strafverfolgungs und nicht einmal die
Unternehmen selbst. Für die beiden massiven "Unternehmen userbases-mehr
als 700 Millionen Handys laufen Viber, und mehr als eine Milliarde
laufen WhatsApp-dieser Schalter scheint der Beginn einer neuen Ära dar,
in dem eine starke Verschlüsselung ist nicht länger ein Privileg für
Geeks und Paranoiker, sondern ein mühelos Mainstream-Tool.
Aber das Mühelosigkeit hat recht noch
nicht angekommen. In der Tat, trotz der beiden Unternehmen touting ihre
Verschlüsselung bereit out-of-the-Box, die Sie tatsächlich ein paar
subtile Schalter Ihrer eigenen zu kippen müssen, dass die
Sicherheitsstufe zu aktivieren. Von zwicken die Apps 'Einstellungen auf
Ihre Backup-Konfigurationen überprüfen, gibt es ein paar schnelle
Schritte, die Sie ergreifen können, um diese Anwendungen zu machen
"End-to-End-Verschlüsselung sicher deutlich mehr. "Sicherheit ist keine
Zauberei, und WhatsApp verwendet wird jemand nicht auf magische Weise
aus der Überwachung zu schützen", sagt Filippo Valsorda, ein
kryptographisches Ingenieur für Cloudflare, die sowohl WhatsApp und
Viber des Krypto-Setups analysiert wird. "Es gibt immer noch Dinge, die
Sie bewusst sein müssen Sie sicherstellen, dass End-to-End-Sicherheit"
diese Anwendungen nicht untergraben ... Viele Informationen fehlen, dass
die Öffentlichkeit wissen muss. "
Tipp 1: Aktivieren Fingerprint
Verification
In WhatsApp Fall weist Valsorda heraus
eine quälende Problem der Authentifizierung gibt es: Für die
Verschlüsselung zu gewährleisten, dass nur ein beabsichtigter Empfänger
eine Nachricht entschlüsseln kann, muss der Empfänger auch zu beweisen,
sie sind, wer sie sagen, sie sind. WhatsApp und andere
End-to-End-verschlüsselten Messaging-Tools können Kommunikatoren jedes
"Schlüssel Fingerabdrücke" -an gekürzte Version eines eindeutigen
Schlüssel "andere überprüfen, dass WhatsApp Geschäfte am Telefon die
Identität einer Person zu beweisen.
Aber in seinem Standardzustand, wird
WhatsApp keinen Absender warnen, wenn der Schlüssel Fingerabdruck eines
Empfängers geändert hat. Ein neuer Fingerabdruck könnte bedeuten
lediglich, dass der Empfänger ein neues Telefon oder gelöscht wurde
gestartet und neu installiert die App. Oder es könnte bedeuten, etwas
beunruhigender: dass eine "Man-in-the-Middle" -such als
Strafverfolgungsbehörde mit einem wiretap um zwingt WhatsApp des
Kooperations hat sich eingesetzt und das Abfangen und jede Nachricht zu
entschlüsseln, bevor es vorbei an der beabsichtigte Empfänger.
Zum Glück bietet WhatsApp eine
"Sicherheitsbenachrichtigungen" funktions nicht
standardmäßig-automatisch alle Ihre Kontakte Fingerabdrücke für Sie und
warnt Sie, wenn ein Fingerabdruck ändert sich erinnert. Um sie zu
aktivieren, drehen Sie den Schalter auf der Seite Sicherheit unter
Konten in den Einstellungen der App. "Ohne diese Einstellung ist, kann
der Fingerabdruck jederzeit ändern, und das Telefon wird sagen, sicher,
ich werde diesen neuen Schlüssel verwenden", sagt Valsorda.
"Aber wenn diese Einstellung aktiviert
ist, kann ein Angreifer nicht irgendwann entscheiden, dass Sie eine
interessante Person sind und beginnen Sie dann auf das Abfangen, weil
eine Warnung angezeigt wird."
Viber behandelt, dass die
Schlüsselfingerabdrucküberprüfung mit einem anderen Prozess, der seine
eigene Art manuelle Überprüfung erfordert. Da das Unternehmen in seiner
Sicherheit FAQ erklärt, wird ein Kontakt nur "verifiziert" angesehen,
nachdem Sie sie durch Viber Stimme-Telefonie-Funktion aufgerufen haben,
die beide bestätigt, dass Sie an die Person reden Sie denken, Sie
sprechen, und dann ein Schlosssymbol während des Gesprächs abgegriffen.
Von da an, dass Nachrichten, die Person wird in grün erscheinen. Wenn
der die Farbe wechselt zu rot, es ist eine automatische Warnung, dass
ihre neue Schlüssel geändert hat. Aber bis die Person überprüft wird,
wird ihr Fingerabdruck als ungeprüfter und kann ohne eine solche
Benachrichtigung ändern.
Tipp 2: Deaktivieren Wolke Backups
Jenseits Schlüssel Fingerabdrücke,
alle, die ihre Daten sichert möglicherweise eine noch krasser Problem
konfrontiert: diese Backups werden oft nicht verschlüsselt oder
zumindest nicht ein Verschlüsselungssystem verwendet, für die Sie nur
den Schlüssel zu steuern. Beide WhatsApp und Viber-Nachrichten, für alle
ihre Phantasie End-to-End-Verschlüsselung haben, dass der Schutz
abgestreift, wenn sie bis zu Apples iCloud-Server oder Google Drive
gesichert sind. Und das lässt Ihre Nachrichten offen für alle üblichen
Risiken der Exposition gegenüber Hackern, Apple oder Google selbst, oder
an eine Regierung, die die Unternehmen zwingen können, um die Daten zu
übergeben. "Wenn Sie eine App haben, die bis zu iCloud sichert, dass für
den Zweck ist, dass die Inhalte auf ein anderes Gerät zur
Wiederherstellung ... End-to-end [Verschlüsselung] schlägt vor, kein
anderes Gerät die Nachrichten lesen kann", sagt iOS-Forensik-Berater
Jonathan Zdziarski. "Für mich sind diese beiden Begriffe schließen
einander aus."
Auf dem iPhone können diese
Sicherungen leicht für spezifische Anwendungen unter dem Backup-Optionen
im Menü Einstellungen ausgeschaltet werden. Für iPhone-Besitzer mit
WhatsApp, die sich eigentlich zwei Möglichkeiten sichert, müssen Sie
einen zusätzlichen Schritt: Deaktivieren Backups innerhalb der App
selbst unter "Chat Backup" im Chats Menü Einstellungen. Android-Besitzer
können das Problem nicht durch die Einrichtung von
Google-Laufwerk-Backups von WhatsApp in erster Linie zu vermeiden. Und
der gleiche Rat gilt auch für Drittanbieter-Cloud-Backups wie Dropbox.
Wenn Sie Ihre Nachrichten vollständig End-to-End-Verschlüsselung zu
halten wollen, nie WhatsApp oder Viber mit einem Cloud-Backup-Programm
synchronisieren.
Der Nachteil ist natürlich, dass
Sicherungen ausgeschaltet bedeutet, dass Nachrichten können nicht
wiederhergestellt werden, wenn das Telefon zerstört wird oder verloren
geht. Mit echte End-to-End-Verschlüsselung, ist, dass fast ein Merkmal
betrachtet. Entcodert Matthew Green hat darüber geschrieben, was er die
Mud Puddle Test: Wenn Sie Ihr Telefon in einer Schlammpfütze fallen,
rutschen dann in dieser Pfütze und knacken Sie den Kopf, vergessen Sie
alle Ihre Passwörter, können Sie immer noch Ihre Daten wiederherstellen?
Wenn Sie können, sagen wir, unter Verwendung von Passwort-Recovery-Funktion
von Apple zuzugreifen eine iCloud-Backup-die Daten nicht wirklich an
erster Stelle verschlüsselt. Die verschlüsselte Nachrichten-App Signal,
empfohlen von Edward Snowden und weithin als die sicherste Option für
verschlüsselte Nachrichten betrachtet, übergibt diesen Test. Wenn ein
Telefon Signal läuft in einer Schlammpfütze fallen gelassen wird und
zerstört, werden die Nachrichten einfach weg.
Nicht jeder ist bereit, ihre
Botschaften im Austausch für die Sicherheit von
End-to-End-Verschlüsselung zu riskieren. Aber das ist der Kompromiss,
die vollständig gesichert End-to-End-Verschlüsselung erfordert. Und
diejenigen, die Privatsphäre sollten so viel wissen, und nicht in einem
falschen Gefühl der Sicherheit "von Unternehmen der Schutz verspricht
eingelullt werden, enthalten keine Einschränkungen und Rand-Fälle. "Die
Chancen stehen gut, du machst einen Kompromiss durch die Sicherung in
die Cloud nach oben", sagt Zdziarski. "Das hat seinen Platz, und es ist
nützlich. Aber der Benutzer muss sich bewusst sein, dass, indem Sie,
dass sie wahrscheinlich ihre Daten ausgesetzt werden. "
https://www.wired.com/2016/04/tips-for-encrypted-messages/