Andrés frågar bara om vädret
Andrés är från Venezuela. Han har jobbat i grannskapets fruktaffär i flera år. En dag frågade jag honom hur hans familj hade det där borta, under regimens värsta perioder.
”Det är alltid bra väder i mitt land,” sa han till mig.
Jag förstod inte. Jag insisterade. Och då förklarade han: ”Jag kan bara prata med min familj via WhatsApp, eftersom samtal inte fungerar bra. Men man måste vara väldigt försiktig med vad man skriver. Vi vet inte om någon kan läsa våra konversationer. Vad vi däremot vet är att de när som helst kan gripa vem som helst och det första de gör är att öppna telefonen. Om man inte ger PIN-koden blir det örfilar och en cell tills man ger den. Och om de hittar något de inte gillar i WhatsApp, är det i bästa fall stryk och några dagar i häktet. Med otur försvinner den personen.”
”Därför frågar jag dem i princip hur vädret är när jag pratar med dem. Om de svarar så vet jag åtminstone att de lever.”
Andrés är ingen brottsling. Han har inget att dölja. Men han lever i en värld där en mening skriven i en chatt kan förstöra livet för någon han älskar.
Man behöver inte vara brottsling för att behöva integritet
Tänk på en advokat som pratar med sin klient om en försvarsstrategi. Samtalet är legitimt och lagligt, men det innehåller information som, om den tas ur sitt sammanhang, skulle kunna vara förödande. Den advokaten har en professionell och juridisk skyldighet att hålla det samtalet konfidentiellt.
Tänk på ett ungt par. Hon bor hos sina föräldrar. De har intima samtal, helt legitima, men som tillhör deras mest privata sfär. De har rätt till att dessa ord inte existerar på någon server som kan hackas, säljas eller krävas ut via domstol.
Tänk på en egenföretagare som pratar med sin revisor om hur han ska optimera sina skatter. Han kan vara på den ena eller andra sidan av gränsen — det är hans ensak. Om de kunde sitta på ett kontor skulle ingen höra det samtalet. Varför skulle det vara annorlunda om de pratar på distans?
Eller tänk på en journalist i Iran, medan missiler faller runt omkring honom, som försöker kommunicera med sin redaktion in Paris. Eller en migrant i Madrid som pratar med sina föräldrar som blev kvar där hemma.
Alla dessa människor behöver integritet. Ingen av dem är en brottsling.
Fällan med perfekt kryptering
År 2018 skapade FBI ett företag som sålde krypterade mobiltelefoner. Märket hette Anom. Det såldes som det säkraste alternativet på marknaden. Under tre år distribuerades mer än 12 000 enheter i över 100 länder. Användarna pratade med fullt förtroende.
Vad de inte visste var att varje meddelande även nådde FBI:s servrar. Varje ord. Varje bild. Varje plan.
I juni 2021 offentliggjordes Operation Trojan Shield. Fler än 800 gripna i 16 länder. Det var historiens största samordnade polisinsats.
Det var inte ett tekniskt fel. Krypteringen var äkta. Tekniken fungerade. Problemet var vem som stod bakom och vad de tjänade på det.
Det är inget isolerat fall. Under mer än 50 år sålde det schweiziska företaget Crypto AG krypteringsmaskiner till över 120 regeringar. Vad ingen visste förrän 2020 var att Crypto AG ägdes i hemlighet av CIA och den tyska underrättelsetjänsten. Maskinerna fungerade, men med en avsiktlig svaghet som gjorde att deras verkliga ägare kunde läsa allt.
Iran, Indien, Pakistan, Vatikanen, latinamerikanska militärjuntor. Alla litade på dem. Ingen frågade sig varför någon hade så stort intresse av att sälja billig kryptering till dem.
Frågan du alltid bör ställa
Om någon erbjuder dig något och du inte förstår vad de får i utbyte, misstänk det värsta. Inte för att alla har onda avsikter — utan för att förståelse för affärsmodellen är det mest grundläggande sättet att utvärdera om du kan lita på en tjänst.
När du använder WhatsApp vet du vad Meta tjänar: din data, dina vanor, din uppmärksamhet för att sälja reklam. Du kan hålla med om det eller inte, men du förstår åtminstone utbytet.
Men när någon erbjuder dig en krypterad kommunikationstjänst, helt gratis, utan reklam, utan prenumeration och utan en synlig affärsmodell — då är frågan inte om krypteringen är bra. Frågan är: vem finansierar detta och varför?
Vad som verkligen betyder något
Det finns tecken som hjälper till att utvärdera ett integritetsverktyg. Öppen källkod, säkerhetsrevisioner, europeisk jurisdiktion. Alla är positiva. Men ingen är en absolut garanti.
Öppen källkod innebär att någon kan granska vad applikationen gör. Men låt oss vara ärliga: 99,9 % av användarna kommer aldrig att läsa en rad kod. Och historien är full av extremt allvarliga sårbarheter som fanns i åratal i open source-projekt som granskats av tusentals människor utan att någon upptäckte dem.
Säkerhetsrevisioner är värdefulla. Men revisioner betalas med pengar, och pengar är det enklaste sättet att köpa viljor. En revision säger att koden var ren den dag den granskades. Den säger ingenting om vad som ändrades efteråt.
Du kan ha världens bästa kod, reviderad och öppen, men om din data passerar genom en server — ens för en sekund, även om den är krypterad — så har någon fysisk tillgång till den serveren. Och den personen kan befinna sig i ett land där en domare, en regering eller en stor sedelbunt kan öppna vilken dörr som helst.
Det som verkligen skyddar dig är inte ett löfte om att ”vi läser inte din data.” Det som skyddar dig är en arkitektur där din data aldrig lämnar dina händer. Där det inte finns någon server att kompromettera, ingen säkerhetskopia att läcka, ingen bakdörr att öppna.
Förtroende är inget man ger bort
Användarna av Anom litade på dem för att produkten fungerade. Kunderna hos Crypto AG litade på dem för att märket var respektabelt. Andrés litar inte på WhatsApp men han har inget alternativ.
Förtroende för ett integritetsverktyg kan inte baseras på att det ”fungerar bra.” Det måste baseras på att du förstår vem som står bakom, vad de tjänar, och vad som händer med din data om företaget stänger i morgon, byter ägare eller får ett domstolsbeslut från ett land som inte är ditt.
Nästa gång någon rekommenderar en säker meddelandeapp, titta inte först på funktionerna eller designen. Kolla vem som betalar för den. Om svaret inte övertygar dig, leta efter en annan.