Andrés kysyy vain säästä
Andrés on venezuelalainen. Hän on työskennellyt naapuruston hedelmäkaupassa vuosia. Eräänä päivänä kysyin häneltä, miten hänen perheensä voi siellä, hallinnon pahimpina aikoina.
"Kotimaassani on aina hyvä sää", hän sanoi minulle.
En ymmärtänyt. Jatkoin kysymistä. Sitten hän selitti sen minulle: "Voin puhua perheelleni vain WhatsAppin kautta, koska puhelut eivät toimi hyvin. Mutta on oltava erittäin varovainen sen suhteen, mitä kirjoittaa. Emme tiedä, lukeeko joku keskusteluja. Tiedämme kuitenkin, että kenet tahansa voidaan pidättää milloin tahansa, ja ensimmäinen asia, jonka he tekevät, on puhelimen avaaminen. Jos et anna PIN-koodia, saat korvapuusteja ja joudut selliin, kunnes annat sen. Ja jos he löytävät WhatsAppista jotain, mistä he eivät pidä, hyvällä tuurilla se tarkoittaa selkäsaunaa ja muutamia päiviä putkassa. Huonolla tuurilla se henkilö katoaa."
"Siksi kysyn heiltä periaatteessa vain, millainen sää on. Jos he vastaavat, tiedän ainakin heidän olevan elossa."
Andrés ei ole rikollinen. Hänellä ei ole mitään salattavaa. Mutta hän elää maailmassa, jossa yksi chattiin kirjoitettu lause voi tuhota rakkaan ihmisen elämän.
Ei tarvitse olla rikollinen tarvitakseen yksityisyyttä
Ajattele asianajajaa, joka keskustelee asiakkaansa kanssa puolustusstrategiasta. Keskustelu on oikeutettu ja laillinen, mutta se sisältää tietoa, joka asiayhteydestään irrotettuna voisi olla tuhoisaa. Asianajajalla on ammatillinen ja laillinen velvollisuus pitää keskustelu luottamuksellisena.
Ajattele nuorta paria. Tyttö asuu vanhempiensa luona. He käyvät intiimejä keskusteluja, täysin oikeutettuja, mutta ne kuuluvat heidän yksityisimpään piiriinsä. Heillä on oikeus siihen, etteivät nuo sanat ole millään palvelimella, joka voitaisiin hakkeroida, myydä tai vaatia oikeuden kautta luovutettavaksi.
Ajattele yrittäjää, joka puhuu kirjanpitäjänsä kanssa verotuksensa optimoinnista. Hän saattaa olla rajaviivan kummalla puolella tahansa — se on hänen asiansa. Jos he istuisivat toimistossa, kukaan ei kuulisi tuota keskustelua. Miksi sen pitäisi olla erilaista, jos he puhuvat etänä?
Tai ajattele toimittajaa Iranissa ohjusten satoessa hänen ympärillään, yrittämässä pitää yhteyttä toimitukseensa Pariisissa. Tai maahanmuuttajaa Madridissa puhumassa kotimaahan jääneille vanhemmilleen.
Kaikki nämä ihmiset tarvitsevat yksityisyyttä. Kukaan heistä ei ole rikollinen.
Täydellisen salauksen ansa
Vuonna 2018 FBI perusti yrityksen, joka myi salattuja matkapuhelimia. Tuotemerkin nimi oli Anom. Sitä markkinoitiin markkinoiden turvallisimpana vaihtoehtona. Kolmen vuoden aikana yli 12 000 laitetta jaettiin yli 100 maahan. Käyttäjät puhuivat täysin luottavaisina.
Mitä he eivät tienneet, oli se, että jokainen viesti päätyi myös FBI:n palvelimille. Jokainen sana. Jokainen kuva. Jokainen suunnitelma.
Kesäkuussa 2021 operaatio Trojan Shield tuli julkisuuteen. Yli 800 pidätettyä 16 maassa. Se oli historian suurin koordinoitu poliisioperaatio.
Kyseessä ei ollut tekninen vika. Salaus oli todellinen. Teknologia toimi. Ongelmana oli se, kuka oli taustalla ja mitä hän hyötyi siitä.
Tämä ei ole erillistapaus. Yli 50 vuoden ajan sveitsiläinen yritys Crypto AG myi salauslaitteita yli 120 hallitukselle. Vasta vuonna 2020 selvisi, että Crypto AG oli CIA:n ja Saksan tiedustelupalvelun salaisessa omistuksessa. Laitteet toimivat, mutta niissä oli tahallinen heikkous, jonka avulla niiden todelliset omistajat pystyivät lukemaan kaiken.
Iran, Intia, Pakistan, Vatikaani, Latinalaisen Amerikan sotilasjuntat. Kaikki luottivat. Kukaan ei kysynyt, miksi jollakulla oli niin suuri kiinnostus myydä heille halpaa salausta.
Kysymys, joka pitäisi aina kysyä
Jos joku tarjoaa sinulle jotain etkä ymmärrä, mitä hän saa vastineeksi, älä luota. Ei siksi, että kaikilla olisi pahoja aikeita — vaan siksi, että liiketoimintamallin ymmärtäminen on perustavanlaatuinen tapa arvioida, voiko palveluun luottaa.
Kun käytät WhatsAppia, tiedät mitä Meta hyötyy: tietosi, tottumuksesi, huomiosi mainosten myymiseksi. Voit olla samaa mieltä tai eri mieltä, mutta ainakin ymmärrät vaihtokaupan.
Mutta kun joku tarjoaa sinulle salatun viestintäpalvelun täysin ilmaiseksi, ilman mainoksia, ilman tilausmaksua ja ilman näkyvää liiketoimintamallia — kysymys ei ole siitä, onko salaus hyvä. Kysymys on: kuka tämän rahoittaa ja miksi?
Se, mikä todella merkitsee
On merkkejä, jotka auttavat arvioimaan yksityisyystyökalua. Avoin lähdekoodi, tietoturvatarkastukset, eurooppalainen lainkäyttöalue. Kaikki ovat positiivisia. Mutta mikään niistä ei ole ehdoton takuu.
Avoin lähdekoodi tarkoittaa, että joku voi tarkistaa, mitä sovellus tekee. Mutta olkaamme rehellisiä: 99,9 % käyttäjistä ei koskaan lue riviäkään koodia. Ja historia on täynnä erittäin vakavia haavoittuvuuksia, jotka elivät vuosia avoimen lähdekoodin projekteissa, joita tuhannet ihmiset tarkistivat, ilman että kukaan huomasi niitä.
Tietoturvatarkastukset ovat arvokkaita. Mutta tarkastukset maksetaan rahalla, ja raha on yksinkertaisin tapa ostaa tahtoja. Tarkastus kertoo, että koodi oli puhdas tarkistuspäivänä. Se ei kerro mitään siitä, mitä sen jälkeen muutettiin.
Sinulla voi olla maailman paras koodi, tarkistettu ja avoin, mutta jos tietosi kulkevat palvelimen kautta — vaikka vain sekunnin ajan, vaikka ne olisivat salattuja — jollakulla on fyysinen pääsy tuohon palvelimeen. Ja tuo joku voi olla maassa, jossa tuomari, hallitus tai suuri setelinippu voi avata minkä tahansa oven.
Se, mikä todella suojaa sinua, ei ole lupaus siitä, että "emme lue tietojasi". Sinua suojaa arkkitehtuuri, jossa tietosi eivät koskaan lähde käsistäsi. Missä ei ole palvelinta vaarannettavaksi, ei varmuuskopiota vuodettavaksi eikä takaovea avattavaksi.
Luottamusta ei anneta lahjaksi
Anomin käyttäjät luottivat, koska tuote toimi. Crypto AG:n asiakkaat luottivat, koska brändi oli kunnioitettu. Andrés ei luota WhatsAppiin, mutta hänellä ei ole vaihtoehtoa.
Luottamus yksityisyystyökaluun ei voi perustua siihen, että se "toimii hyvin". Sen on perustuttava siihen, että ymmärrät, kuka on taustalla, mitä hän hyötyy ja mitä tiedoillesi tapahtuu, jos yritys huomenna suljetaan, omistaja vaihtuu tai se saa oikeuden määräyksen maasta, joka ei ole omasi.
Kun joku seuraavan kerran suosittelee sinulle turvallista viestintäsovellusta, älä katso ensin toimintoja tai muotoilua. Katso, kuka sen maksaa. Jos vastaus ei vakuuta sinua, etsi toinen.