Echte Verbindung. Maximale Sicherheit. Das ist mehr als ein Slogan – es ist ein technisches Versprechen. Aber was passiert eigentlich genau, wenn du in Nexus auf „Senden“ tippst? In diesem Artikel erkläre ich dir, wie unsere Ende-zu-Ende-Verschlüsselung funktioniert – ohne Mathe-Studium, versprochen.
Was bedeutet „Ende-zu-Ende“ überhaupt?
Stell dir eine Postkarte vor: Jeder, der sie unterwegs in die Hand bekommt, kann sie lesen – der Briefträger, das Sortierzentrum, neugierige Nachbarn. So funktionieren unverschlüsselte Nachrichten. Ende-zu-Ende-Verschlüsselung (kurz: E2E) macht aus der Postkarte einen versiegelten Briefumschlag, den nur die Empfängerin öffnen kann. Und zwar einen ganz besonderen: Der Umschlag wird bereits auf deinem Gerät verschlossen und erst auf dem Gerät deines Gegenübers wieder geöffnet. Alles dazwischen – Mobilfunknetz, WLAN, unsere Server in Frankfurt – sieht nur den verschlossenen Umschlag.
Nexus nutzt dafür das Signal-Protokoll, den offenen Standard, der von Kryptografie-Fachleuten weltweit als Goldstandard gilt. Die Bausteine: X25519 für den Schlüsseltausch, AES-256 für die eigentliche Verschlüsselung und der Double Ratchet für ständig frische Schlüssel. Klingt kompliziert? Gehen wir es Schritt für Schritt durch.
Der Schlüsseltausch: Ein Geheimnis, das nie verschickt wird
Damit zwei Geräte verschlüsselt kommunizieren können, brauchen sie ein gemeinsames Geheimnis – einen Schlüssel. Der Trick von X25519: Beide Geräte können dieses Geheimnis unabhängig voneinander berechnen, ohne dass es jemals über das Netz geschickt wird.
Jedes Nexus-Gerät erzeugt bei der Einrichtung ein Schlüsselpaar: einen öffentlichen Schlüssel, den es frei herausgeben darf (vergleichbar mit deiner Adresse), und einen privaten Schlüssel, der das Gerät niemals verlässt (vergleichbar mit deinem Haustürschlüssel). Aus dem eigenen privaten und dem fremden öffentlichen Schlüssel berechnen beide Seiten dasselbe gemeinsame Geheimnis. Ein Angreifer, der nur die öffentlichen Schlüssel mitliest, kann daraus nichts ableiten – die Mathematik dahinter macht das praktisch unmöglich.
Das Wichtigste daran: Deine privaten Schlüssel verlassen nie dein Gerät. Nicht beim Einrichten, nicht beim Sync, nicht beim Backup. Auch wir bei Nexus haben sie nie gesehen.
Double Ratchet: Jede Nachricht bekommt einen neuen Schlüssel
Ein einziges gemeinsames Geheimnis für alle Zeiten wäre riskant: Würde es irgendwann gestohlen, läge der gesamte Chatverlauf offen. Deshalb dreht der Double Ratchet („doppelte Ratsche“) nach jeder einzelnen Nachricht weiter – wie ein Zahnrad, das sich nur in eine Richtung bewegt. Für jede Nachricht wird ein frischer AES-256-Schlüssel abgeleitet, der sofort danach verworfen wird.
Das hat zwei mächtige Konsequenzen:
- Vergangenheit geschützt: Selbst wenn ein Angreifer einen aktuellen Schlüssel erbeutet, kann er damit keine älteren Nachrichten entschlüsseln – die Ratsche lässt sich nicht zurückdrehen.
- Zukunft heilt sich selbst: Sobald ihr weiter schreibt, fließen neue Zufallswerte in die Berechnung ein. Eine Kompromittierung „wächst raus“ – nach wenigen Nachrichten ist der Angreifer wieder ausgesperrt.
Was sieht unser Server eigentlich?
Kurz gesagt: verschlossene Umschläge und das Nötigste, um sie zuzustellen. Unsere Server in Frankfurt sind reine Poststellen – sie nehmen verschlüsselte Pakete (Ciphertext) entgegen und leiten sie an das richtige Gerät weiter. Den Inhalt können sie technisch nicht öffnen, denn die Schlüssel dafür existieren ausschließlich auf euren Geräten.
„Wir haben unsere Infrastruktur so gebaut, dass wir deine Nachrichten nicht lesen können – selbst wenn uns jemand dazu zwingen wollte. Was wir nicht haben, können wir nicht herausgeben.“ – Amir Khalidi, CSO der Nexus Communications GmbH
Was übrig bleibt, sind Minimal-Metadaten für den Betrieb: welches Gerät wann ein Paket abholt, damit die Zustellung funktioniert. Wir speichern keine Kontaktgraphen, keine Standortdaten und keine Inhalte – DSGVO-konform und jährlich durch ein unabhängiges Audit (zuletzt durch Cure53) überprüft. So sieht der Weg deiner Nachricht vereinfacht aus:
Zero-Knowledge-Backups: Verschlüsselt, bevor die Cloud sie sieht
„Und was ist mit meinem Backup in der Cloud?“ – die wohl häufigste Frage an unser Team. Die Antwort: Auch hier gilt Zero-Knowledge. Wenn du den Cloud-Sync aktivierst, wählst du eine Passphrase, aus der dein Gerät lokal einen Backup-Schlüssel ableitet. Erst damit werden deine Chats verschlüsselt – und erst dann hochgeladen.
Der Server erhält also ausschließlich ein bereits verschlüsseltes Paket. Deine Passphrase und der daraus abgeleitete Schlüssel werden niemals an uns übertragen. Deshalb können wir sie auch nicht zurücksetzen: Verlierst du die Passphrase, ist das Backup unwiederbringlich verschlossen – für uns genauso wie für jeden Angreifer. Das ist kein Bug, sondern der Kern des Konzepts. Bewahre die Passphrase also gut auf, zum Beispiel in einem Passwort-Manager.
Vertrauen ist gut, Verifizieren ist besser
Bleibt eine letzte Frage: Woher weißt du, dass am anderen Ende wirklich die Person sitzt, die du meinst – und kein „Mann in der Mitte“? Dafür gibt es in jedem Chat eine Sicherheitsnummer: einen Fingerabdruck aus den öffentlichen Schlüsseln beider Seiten. Trefft ihr euch persönlich, scannt ihr einfach gegenseitig den QR-Code in den Chat-Einstellungen. Stimmen die Nummern überein, ist die Verbindung mathematisch beglaubigt. Ändert sich die Sicherheitsnummer später – etwa weil dein Kontakt ein neues Gerät einrichtet – warnt dich Nexus automatisch.
In Kombination mit 2FA und Passkeys für dein Konto ist damit die gesamte Kette abgesichert: vom Login über den Transport bis zum Backup.
Das Fazit
E2E-Verschlüsselung bei Nexus heißt: Deine Nachrichten werden auf deinem Gerät versiegelt, wandern als unlesbarer Ciphertext über unsere Frankfurter Server und werden erst beim Empfänger geöffnet. Dank X25519 verlassen private Schlüssel nie dein Gerät, dank Double Ratchet heilt sich selbst eine Kompromittierung von allein, und dank Zero-Knowledge-Backups bleibt auch deine Cloud-Kopie nur für dich lesbar. Genau das meinen wir mit: Echte Verbindung. Maximale Sicherheit.