Den forseglede kuvert og postbuddet
Forestil dig, at du sender et brev i en pansret kuvert. Ingen kan åbne den. Ingen kan læse, hvad der står. Du er rolig. Men postbuddet, der bærer den, ved, hvem der sendte den, hvem den er adresseret til, hvornår den blev sendt, hvorfra, og hvor ofte du sender breve til den adresse. Indholdet er beskyttet. Alt andet er det ikke.
Det er præcis, hvad der sker med de fleste beskedapps, der hævder at tilbyde ende-til-ende-kryptering. Beskedens indhold kan være krypteret. Men serveren, der transporterer den, ser, hvem der taler med hvem, hvornår, hvor ofte og fra hvilken placering. Det kaldes metadata. Og metadata fortæller din historie bedre end dine egne ord.
Hvad serveren ser, selvom den ikke læser dine beskeder
En beskedserver har af design brug for at vide, hvem der sender beskeden, og hvem den er adresseret til. Uden den information kan den ikke levere den. Den logger også, hvornår den blev sendt, og hvornår den blev læst. Og hvis appen bruger placeringstjenester, kan den vide hvorfra.
Med de data — uden at læse et eneste ord af dine samtaler — er det muligt at vide, hvem du har et tæt forhold til, hvor ofte I taler sammen, på hvilke tidspunkter I er aktive, om I er på samme sted eller forskellige steder. Adfærdsmønstre kan opdages, nye relationer, relationer der køler af, usædvanlige aktiviteter. Alt sammen uden at åbne en eneste besked.
Det ubehagelige spørgsmål
Hvis en app sendte dine beskeder som ren tekst — ukrypteret, fuldstændig læsbar — men gjorde det direkte fra din enhed til den anden persons, uden at gå gennem nogen server, ville den være mere privat end en app med ende-til-ende-kryptering, der går gennem en central server.
Det lyder modstridende. Men tænk over det. I det første tilfælde ville nogen være nødt til at opsnappe den direkte forbindelse mellem dine to enheder for at læse beskeden — noget teknisk muligt, men vanskeligt og lokaliseret. I det andet tilfælde er der en virksomhed med en server, der logger alle dine metadata kontinuerligt, automatisk, massivt og permanent. Indholdskryptering er irrelevant, hvis mønstret i dit liv allerede er registreret.
Hvorfor dette ikke vil ændre sig
De store beskedplatforme vil ikke fjerne deres servere. Det kan de ikke. Deres forretningsmodel afhænger af at kende dine kommunikationsmønstre. At vide, hvem du taler med, hvornår og hvor, har enorm kommerciel værdi. Den information fodrer reklamealgoritmer, brugersegmentering og adfærdsanalyse. At fjerne serveren ville betyde at give afkald på alt det.
Det er ikke et teknisk spørgsmål. Det er en interessekonflikt. Virksomheden, der bærer dine beskeder, har et økonomisk incitament til at observere, hvordan den bærer dem. Derfor generer indholdskryptering dem slet ikke: forretningen var aldrig i indholdet. Den var altid i metadataene.
Den eneste strukturelle løsning
Den eneste måde, hvorpå ingen har dine metadata, er, at der ikke er nogen i midten. At beskeden går direkte fra din enhed til den anden persons. Ingen server til at transportere den, ingen virksomhed til at observere den, ingen registrering af, hvem der talte med hvem.
Når der ikke er nogen server, er der ingen metadata at indsamle. Intet mønster at analysere. Ingen historik at udlevere som svar på en retskendelse. Ingen database at hacke. Privatliv afhænger ikke af et virksomhedsløfte eller en privatlivspolitik, der kan ændre sig i morgen. Det afhænger af arkitekturen. Og arkitekturen lyver ikke.