Cloudflare und WhatsApp arbeiten zusammen, um eine Sicherheitsprüfung der Key-Transparency-Technologie durch Dritte zu ermöglichen

Cloudflare, Inc. (NYSE: NET), das führende Unternehmen für Konnektivitäts-Cloud-Lösungen, kündigte heute einen neuen Service an, mit dem die Integrität öffentlicher Schlüssel in der Ende-zu-Ende-Verschlüsselung beliebter Messaging-Anwendungen überprüft werden kann. Bei der Verwendung von Ende-zu-Ende-Verschlüsselungs-Messaging-Anwendungen werden Nachrichten durch einen Austausch von öffentlichen und privaten Schlüsseln verschlüsselt, um sie vor dem Abfangen durch Dritte zu schützen. Jetzt entlastet Cloudflare sicherheitsbewusste Benutzer, die bisher öffentliche Schlüssel manuell mit ihren Kontakten abgleichen mussten. Durch die automatische Überprüfung, ob öffentliche Schlüssel manipuliert wurden, trägt Cloudflare dazu bei, das Vertrauen zu stärken, dass Ende-zu-Ende-verschlüsselte Nachrichten an die vorgesehenen Empfänger zugestellt werden. WhatsApp arbeitet seit langem mit Cloudflare bei Sicherheitsüberprüfungen zusammen und ist erneut das erste Unternehmen, das diesen neuen Prüfprozess implementiert, um das Vertrauen der Benutzer in die Anwendung zu stärken.

Die Ende-zu-Ende-Verschlüsselung (E2EE) ist eine Art der Verschlüsselung, die Nachrichten vor allen anderen verborgen hält, auch vor dem eigentlichen Nachrichtendienst selbst. Bei der Ende-zu-Ende-Verschlüsselung sind Nachrichten nur für den Absender und den vorgesehenen Empfänger sichtbar. Wenn jemand eine Nachricht sendet, wird sie auf seinem Gerät verschlüsselt, bevor sie über das Internet übertragen wird. Das bedeutet, dass die Nachricht verschlüsselt wird, sodass nur das Gerät des Empfängers sie entschlüsseln kann. Da die Nachricht verschlüsselt ist, kann selbst WhatsApp ihren Inhalt nicht lesen. Wenn die Nachricht auf dem Gerät des Empfängers mit einem passenden öffentlichen Schlüssel ankommt, wird sie wieder in ihre ursprüngliche Form entschlüsselt, sodass der Empfänger sie lesen kann. Viele Dienste bieten eine Sicherheitsschlüssel-Verifizierung an, die sicherstellt, dass Benutzer tatsächlich mit dem beabsichtigten Empfänger chatten.

Die Überprüfung der E2EE-Nachrichteninfrastruktur ist zwar für sicherheitsbewusste Benutzer wie Journalisten, Aktivisten und Menschenrechtsverteidiger am wichtigsten, wird aber allen empfohlen. Sicherheitsbewusste Benutzer können die Sicherheit ihrer Konversation manuell überprüfen, indem sie den QR-Code eines Kontakts über eine alternative Kommunikationsmethode überprüfen. Diese Überprüfung sollte regelmäßig durchgeführt werden, wenn ein Kontakt ein neues Gerät erhält, oder um sicherzustellen, dass die Nachrichten-App selbst die Schlüssel nicht geändert oder manipuliert hat.

Einführung von Plexi, einem Prüfer für die Key-Transparency-Infrastruktur

Cloudflare hat jetzt Plexi eingeführt, einen Prüfer für die Key-Transparency-Infrastruktur. Key Transparency ist ein neuer Standard, der die Authentizität von Verschlüsselungsschlüsseln sicherstellen soll, die in der End-to-End-Nachrichtenübermittlung verwendet werden. Er hilft zu überprüfen, ob die Schlüssel auf beiden Seiten der Kommunikation legitim sind, und ermöglicht so den sicheren Empfang und das sichere Lesen von Nachrichten. Cloudflare kann nun als Prüfer für diese Technologie fungieren, indem es die korrekte Erstellung der Protokolle dieser Schlüssel überprüft und eine Prüfsignatur bereitstellt, die die Messaging-App dann an die Benutzer weitergeben kann, um das Vertrauen in das System zu stärken. Cloudflare ist stolz darauf, mit WhatsApp zusammenzuarbeiten, um als Prüfer für deren Open-Source-Auditable Key Directory (AKD) zu fungieren.

"Gefährdete Organisationen, Journalisten und Aktivisten verlassen sich regelmäßig auf Cloudflare, um ihre Websites, E-Mails und ihren Datenverkehr zu sichern. Millionen von Organisationen und Kunden vertrauen uns bereits, und die Rolle eines externen Prüfers für Ende-zu-Ende-verschlüsselte Messaging-Apps ist eine natürliche Erweiterung dieser Werte und unserer Technologie", sagte Matthew Prince, Mitbegründer und CEO von Cloudflare. "Die Einführung dieses Verifizierungsprozesses bei WhatsApp setzt eine hohe Messlatte für andere Messaging-Apps, die diesem Beispiel folgen wollen."

"Wir freuen uns, mit Cloudflare zusammenzuarbeiten, um die Schlüsseltransparenz auf WhatsApp weiter zu stärken und den Nutzern zu bestätigen, dass ihre verschlüsselte Sitzung sicher ist", sagte Nitin Gupta, Leiter für Engineering bei WhatsApp. "Diese Partnerschaft mit Cloudflare wird es den Nutzern noch einfacher machen, die Authentizität ihrer Chats zu überprüfen."

Unabhängige Forscher und Sicherheitsexperten können den technischen Blog unter https://blog.cloudflare.com/key-transparency lesen, um ein tieferes Verständnis für den Aufbau des Verifizierungssystems zu erhalten, und die Ergebnisse der unter https://dash.key-transparency.cloudflare.comveröffentlichten Beweisverifizierung zu überprüfen. Cloudflare ist daran interessiert, bei der Prüfung der Integrität aller Arten von Ende-zu-Ende-verschlüsselten Infrastrukturen zu helfen. Unternehmen oder Organisationen, die an einer Prüfung interessiert sind, können sich unter https://www.cloudflare.com/lp/privacy-edge/ an uns wenden.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Technischer Blog: Cloudflare arbeitet mit WhatsApp zusammen, um die Public-Key-Infrastruktur zu prüfen

Nehmen Sie online an unserem ersten Builder Day Live Stream am 26. September um 11 Uhr PT teil, um Demos, Produktankündigungen und vieles mehr zu erleben. Registrieren Sie sich unter builderday.pages.dev.

