De verzegelde envelop en de postbode
Stel je voor dat je een brief verstuurt in een gepantserde envelop. Niemand kan hem openen. Niemand kan lezen wat erin staat. Je voelt je veilig. Maar de postbode die hem draagt weet wie hem verstuurde, aan wie hij gericht is, wanneer hij verstuurd werd, vanwaar, en hoe vaak je brieven naar dat adres stuurt. De inhoud is beschermd. Al het andere niet.
Dat is precies wat er gebeurt met de meeste berichtenapps die beweren end-to-end-encryptie te bieden. De inhoud van het bericht kan versleuteld zijn. Maar de server die het transporteert ziet wie met wie praat, op welk tijdstip, hoe vaak en vanaf welke locatie. Dat heet metadata. En metadata vertelt je verhaal beter dan je eigen woorden.
Wat de server ziet, zelfs zonder je berichten te lezen
Een berichtenserver moet van nature weten wie het bericht verstuurt en aan wie het gericht is. Zonder die informatie kan hij het niet bezorgen. Hij registreert ook wanneer het verstuurd werd en wanneer het gelezen werd. En als de app locatiediensten gebruikt, kan hij weten vanwaar.
Met die gegevens — zonder ook maar een woord van je gesprekken te lezen — is het mogelijk te weten met wie je een hechte relatie hebt, hoe vaak je praat, op welke uren je actief bent, of jullie op dezelfde plek zijn of op verschillende plekken. Gedragspatronen kunnen worden gedetecteerd, nieuwe relaties, relaties die bekoelen, ongebruikelijke activiteiten. Allemaal zonder ook maar een bericht te openen.
De ongemakkelijke vraag
Als een app je berichten als platte tekst zou versturen — onversleuteld, volledig leesbaar — maar dit rechtstreeks van jouw apparaat naar dat van de andere persoon zou doen, zonder via een server te gaan, zou het priveer zijn dan een app met end-to-end-encryptie die via een centrale server gaat.
Het klinkt tegenstrijdig. Maar denk er eens over na. In het eerste geval zou iemand de directe verbinding tussen jullie twee apparaten moeten onderscheppen om het bericht te lezen — iets wat technisch mogelijk maar moeilijk en gelokaliseerd is. In het tweede geval is er een bedrijf met een server die al je metadata continu, automatisch, massaal en permanent registreert. Inhoudsencryptie is irrelevant als het patroon van je leven al is vastgelegd.
Waarom dit niet zal veranderen
Grote berichtenplatforms gaan hun servers niet elimineren. Dat kunnen ze niet. Hun bedrijfsmodel hangt af van het kennen van je communicatiepatronen. Weten met wie je praat, wanneer en waar heeft een enorme commerciele waarde. Die informatie voedt reclamealgoritmen, gebruikerssegmentatie en gedragsanalyse. De server elimineren zou betekenen dat ze dat allemaal opgeven.
Het is geen technisch probleem. Het is een belangenconflict. Het bedrijf dat je berichten transporteert heeft een economische prikkel om te observeren hoe het ze transporteert. Daarom stoort inhoudsencryptie hen helemaal niet: de business zat nooit in de inhoud. Het zat altijd in de metadata.
De enige structurele oplossing
De enige manier waarop niemand je metadata heeft is dat niemand ertussen zit. Dat het bericht rechtstreeks van jouw apparaat naar dat van de andere persoon gaat. Geen server om het te transporteren, geen bedrijf om het te observeren, geen registratie van wie met wie praatte.
Als er geen server is, is er geen metadata om te verzamelen. Geen patroon om te analyseren. Geen geschiedenis om over te dragen aan een gerechtelijk bevel. Geen database om te hacken. Privacy hangt niet af van een bedrijfsbelofte of een privacybeleid dat morgen kan veranderen. Het hangt af van de architectuur. En architectuur liegt niet.