Andrés spørger kun til vejret
Andrés er venezuelaner. Han har arbejdet i kvarterets grønthandel i årevis. En dag spurgte jeg ham, hvordan det gik med hans familie derhjemme i regimets værste stunder.
"Vejret er altid godt i mit land," sagde han til mig.
Jeg forstod det ikke. Jeg spurgte igen. Og så forklarede han mig det: "Jeg kan kun tale med min familie via WhatsApp, fordi opkald ikke fungerer godt. Men man skal være meget forsigtig med, hvad man skriver. Vi ved ikke, om nogen kan læse samtalerne. Det, vi ved, er, at de når som helst kan anholde hvem som helst, og det første, de gør, er at åbne deres telefon. Hvis du ikke giver PIN-koden, er det øretæver og en celle, indtil du gør det. Og hvis de finder noget i WhatsApp, de ikke kan lide, er det i bedste fald en omgang tæsk og et par dage i kælderen. Hvis man er uheldig, forsvinder den person."
"Derfor spørger jeg dem dybest set om, hvordan vejret er, når jeg taler med dem. Hvis de svarer, ved jeg i det mindste, at de er i live."
Andrés er ikke kriminel. Han har intet at skjule. Men han lever i en verden, hvor en sætning skrevet i en chat kan ødelægge livet for en, han holder af.
Man behøver ikke at være kriminel for at have brug for privatliv
Tænk på en advokat, der taler med sin klient om en forsvarstaktik. Samtalen er legitim og lovlig, men indeholder information, der, hvis den blev taget ud af kontekst, kunne være ødelæggende. Den advokat har en faglig og juridisk pligt til at holde samtalen fortrolig.
Tænk på et ungt par. Hun bor hos sine forældre. De har intime samtaler, helt legitime, men som tilhører deres mest private sfære. De har ret til, at de ord ikke findes på nogen server, der kan hackes, sælges eller udleveres via en retskendelse.
Tænk på en selvstændig, der taler med sin revisor om, hvordan man optimerer skatten. Vedkommende kan være på den ene eller den anden side af stregen — det er deres sag. Hvis de sad på et kontor, ville ingen høre den samtale. Hvorfor skulle det være anderledes, hvis de taler sammen over afstand?
Eller tænk på en journalist i Iran, mens missilerne falder omkring ham, der forsøger at kommunikere med sin redaktion i Paris. Eller en immigrant i Madrid, der taler med sine forældre, som blev derhjemme.
Alle disse mennesker har brug for privatliv. Ingen af dem er kriminelle.
Fælden med den perfekte kryptering
I 2018 skabte FBI et firma, der solgte krypterede mobiltelefoner. Mærket hed Anom. Det blev solgt som det sikreste alternativ på markedet. I løbet af tre år blev over 12.000 enheder distribueret i mere end 100 lande. Brugerne talte sammen i fuld tillid.
Hvad de ikke vidste, var, at hver eneste besked også landede på FBI's servere. Hvert ord. Hvert billede. Hver plan.
I juni 2021 blev Operation Trojan Shield offentliggjort. Over 800 anholdte i 16 lande. Det var den største koordinerede politiaktion i historien.
Det var ikke en teknisk fejl. Krypteringen var ægte. Teknologien virkede. Problemet var, hvem der stod bag, og hvad de fik ud af det.
Det er ikke et enestående tilfælde. I over 50 år solgte det schweiziske firma Crypto AG krypteringsmaskiner til mere end 120 regeringer. Hvad ingen vidste før i 2020, var, at Crypto AG var hemmeligt ejet af CIA og den tyske efterretningstjeneste. Maskinerne virkede, men med en bevidst svaghed, der gjorde det muligt for de virkelige ejere at læse alt.
Iran, Indien, Pakistan, Vatikanet, latinamerikanske militærjuntaer. Alle stolede på det. Ingen spurgte, hvorfor nogen havde så stor interesse i at sælge dem billig kryptering.
Spørgsmålet, du altid bør stille
Hvis nogen tilbyder dig noget, og du ikke forstår, hvad de får ud af det, så vær på vagt. Ikke fordi alle har dårlige hensigter — men fordi forståelse af forretningsmodellen er den mest grundlæggende måde at vurdere, om man kan stole på en tjeneste.
Når du bruger WhatsApp, ved du, hvad Meta får ud af det: dine data, dine vaner, din opmærksomhed for at sælge reklamer. Du kan være enig eller uenig, men du forstår i det mindste udvekslingen.
Men når nogen tilbyder dig en krypteret kommunikationstjeneste, helt gratis, uden reklamer, uden abonnement og uden en synlig forretningsmodel — så er spørgsmålet ikke, om krypteringen er god. Spørgsmålet er: Hvem finansierer dette, og hvorfor?
Det, der virkelig betyder noget
Der er tegn, der hjælper med at vurdere et privatlivsværktøj. Open source, sikkerhedsrevisioner, europæisk jurisdiktion. De er alle positive. Men ingen af dem er en absolut garanti.
Open source betyder, at nogen kan gennemse, hvad applikationen gør. Men lad os være ærlige: 99,9 % af brugerne kommer aldrig til at læse en eneste linje kode. Og historien er fuld af meget alvorlige sårbarheder, der har eksisteret i årevis i open source-projekter gennemset af tusindvis af mennesker, uden at nogen opdagede dem.
Sikkerhedsrevisioner er værdifulde. Men revisioner betales med penge, og penge er det enkleste middel til at købe sig til velvilje. En revision siger, at koden var ren den dag, den blev gennemset. Den siger intet om, hvad der blev ændret bagefter.
Du kan have verdens bedste kode, revideret og åben, men hvis dine data går gennem en server — selv i et sekund, selvom de er krypterede — har nogen fysisk adgang til den server. Og den person kan være i et land, hvor en dommer, en regering eller en stor sum penge kan åbne enhver dør.
Det, der virkelig beskytter dig, er ikke et løfte om, at "vi læser ikke dine data." Det, der beskytter dig, er en arkitektur, hvor dine data aldrig forlader dine hænder. Hvor der ikke er nogen server at kompromittere, ingen backup at lække, ingen bagdør at åbne.
Tillid er ikke noget, man bare giver væk
Brugerne af Anom stolede på det, fordi produktet virkede. Kunderne hos Crypto AG stolede på det, fordi mærket var respekteret. Andrés stoler ikke på WhatsApp, men han har intet alternativ.
Tillid til et privatlivsværktøj kan ikke baseres på, at det "virker godt." Det skal baseres på, at du forstår, hvem der står bag, hvad de får ud af det, og hvad der sker med dine data, hvis det firma i morgen lukker, skifter ejer eller modtager en retskendelse fra et land, der ikke er dit.
Næste gang nogen anbefaler dig en sikker besked-app, så kig ikke først på funktionerne eller designet. Se på, hvem der betaler for den. Hvis svaret ikke overbeviser dig, så find en anden.