kryptering

Trump, Twitter, Signal och integriteten

Publicerad 6 juni, 2020

Twitter vs Trump. Det är rubriken på ett av uppslagen i DN:s helgbilaga Lördag den här veckan. Det är en text som beskriver hur företaget, och framför allt Twitters grundare Jack Dorsey, förhåller sig till Trumps twittrande.

Det är onekligen en intressant utveckling att följa, och som det skrivs spaltkilometer om i de nyhetskällor jag följer.

Men texten i DN missar en av de detaljer som jag tycker är mest intressant i det hela: En tweet från @jack tidigare i veckan. Den var väldigt kortfattad, och handlade till synes inte över huvud taget om Trump:

Download @signalapp: https://t.co/I5SuycAqM3 https://t.co/TnWGiiwBLw
— jack (@jack) June 3, 2020

Uppdatering

Blev påmind av en kollega från tiden på Ny Teknik: 2011 köpte Twitter företaget Whisper Systems, som då utvecklade föregångaren till Signal. 2012 lämnade Whisper Systems grundare Twitter och startade Open Whisper Systems. Här finns alltså en möjligen enklare förklaring till Jacks tweet – och därmed en lite mindre läskig förklaring än de jag landar i på slutet. Men helheten i den här texten påverkas in nämntvärt.

En relevant utvikning: Signal är ett namn som inte är lika välkänt som Twitter. Signal är en chattapp, inte olik Facebook Messenger eller WhatsApp eller någon annan vi använder dagligdags. Men med en stor skillnad. Signal utvecklas för att skydda användarnas personliga integritet, med det som kallas end-2-end-kryptering som fundament. Allt som jag skriver i min telefon stoppas ned i ett virtuellt kuvert som bara – /bara/ – kan öppnas av mottagarens telefon. Allt sker automatiskt, och därmed är det jag och mina vänner, eller källor, skriver till varandra skyddat mot tjuvläsning. (Kryptering av det här slaget finns i både Facebook Messenger och WhatsApp. Faktum är att Facebook använder samma krypteringsteknik som i Signal. Men skillnaden är att i Messenger måste man välja att aktivera krypteringen. I WhatsApp är den alltid på, sedan några år tillbaka.)

Tillbaka till Dorseys tweet: Han skickade den i onsdags. Och jag har inte kunnat släppa den sedan dess.

Jag tror att den i allra högsta grad handlar om Trump.

Ytterligare en relevant utvikning: En del i min frilansverksamhet handlar som ni vet om it-säkerhet och digitalt källskydd. Om hur journalister bör och inte bör använda digitala verktyg för att källor som ska vara hemliga förblir hemliga. Det handlar bland annat om att välja hur man ska ha kontakt med sina källor. Telefon? E-post? Eller kanske direktmeddelanden på Twitter?

Inte det senare, har jag alltid sagt. Vi vet för lite om Twitter som plattform, men ändå tillräckligt mycket, för att det ska vara olämpligt. Vi vet att Twitter är en centraliserad plattform, där allt som skickas går via företagets egna servrar och lagras där. Det gäller de öppna twitterflödena, men också det som skickas i direktmeddelanden, DM. Vi vet inte hur privata meddelanden lagras. Krypterat? Okrypterat? Vi vet inte vem som har tillgång till meddelanden eller nycklar för kryptering. Resultatet av det här är att vi inte heller vet vem som kan läsa det som skrivs i direktmeddelanden. Vem som helst på Twitter? (Sannnolikt inte, gissar jag.) Några få utvalda? Hur och när lämnas sånt som skrivs i DM vidare till myndigheter?

Trots alla dessa frågetecken ser jag återkommande kollegor på små och stora redaktioner runt om i landet leta efter källor på Twitter (och andra sociala medier, ett direktmeddelande på Facebook är inte bättre i det här sammanhanget). Man beskriver ungefär vad researchen och den kommande publiceringen handlar om, vad det är för typ av källa man letar efter och lägger till (om det är ett känsligt ämne) att källskyddet givetvis gäller. Att källan får vara hemlig och att journalisten inte kommer att avslöja källan.

Och sen, som kontaktväg, lämnas alldeles för ofta två alternativ: ”Hör av dig på min e-postadress journalist@tidning.se eller skicka DM här på Twitter.” Jag har en uppsjö med skärmdumpade tweets från journalister av just det slaget. Jag brukar använda dem – anonymiserade – när jag föreläser om digitalt källskydd. Som exempel på hur man /inte/ ska göra när man letar efter källor som man kan förvänta sig vill vara anonyma.

Tillbaka till Dorseys tweet igen: Allt detta vet givetvis Dorsey. Att Twitters DM inte är ett lämpligt val för sånt som ska vara hemligt. Och han vet givetvis också att den förståelsen inte är tillräckligt utspridd. Att sånt som ska vara hemligt ändå skickas som DM på Twitter, alldeles för ofta.

Signal är ingen mikroblogg, inget stort socialt nätverk. Ingen direkt konkurrent till Twitter. Men ändå med en chattfuktion som konkurrerar med en del av det Twitter erbjuder sina användare.

Så frågan som inte lämnat mig sedan i onsdags är ”Varför skickar Jack ut en rekommendation om att använda Signal?”

Jag tror att svaret går att hitta i den rubrik som DN valt i Lördag, och som jag sett otaliga varianter på under de senaste veckorna: ”Twitter vs Trump”.

Jacks rekommendation handlar om hur DM på Twitter fungerar, om hur DM på Twitter används och (nu kommer min gissning) om osäkerhet kring hur Trump och hans administration kommer förhålla sig till Twitters DM i tider med omfattande protester – och framöver.

Två tänkbara scenarion: Antingen är Dorsey rädd för hur Trump kommer att agera i förhållande till företaget Twitter och vill förmå så många som möjligt att flytta känslig kommunikation till en tryggare plattform. Eller så vet Dorsey redan vad Trump gör med DM på Twitter. Det sista scenariot är det mest konspiratoriska, men det var ju precis den typen av myndighetstillgång som mycket av dokumenten som Edward Snowden läckte handlade om.

Hursomhelst: Hoppas se fler av er i min kontaktlista i Signal framöver.

Kryptering måste vara för alla

Publicerad 18 februari, 2020

🔗 Wired:

”I try to remember moments like that in building Signal,” Marlinspike told WIRED in an interview over a Signal-enabled phone call the day after that flight. ”The choices we’re making, the app we’re trying to create, it needs to be for people who don’t know how to enable airplane mode on their phone,” Marlinspike says.

Lång intervju med Moxie Marlinspike, hjärnan bakom kryptoappen Signal (och krypteringstekniken i flera andra chattappar också). Intressant att läsa hur kryptering är en funktion som allt fler förstår varför de behöver och därför också måste vara användarvänlig och enkel.

— Källa: Wired

Facebook pressas om planerna på krypterad kommunikation

Publicerad 4 oktober, 2019

USA:s utrikesminister är en av de toppolitiker som pressar Facebook om företagets planer på att införa kryptering i många av plattformens chattfunktioner. Det som i decennier kallats för kryptokriget fortsätter alltså.

”Security enhancements to the virtual world should not make us more vulnerable in the physical world” är, enligt Buzzfeed, en av formuleringarna i ett brev som snart kommer att skickas till Facebook, undertecknat av bland andra toppar från USA, Storbritannien och Australien. (Vice har förresten inte valt en riktigt lika nyanserad rubrik som Buzzfeed.)

Det är givetvis lätt att sympatisera med det resonemanget.

Men det är också viktigt att komma ihåg det omvända: Om säkerhetslösningar på nätet försvagas kan det också göra oss mer sårbara.

Precis som så mycket annat när det gäller nätet är frågan om kryptering inte svartvit.

Jag förstår att Facebooks annonserade satsning på krypterad kommunikation är ett problem för polis och säkerhetsmyndigheter. Och kring de här resonemangen hörs ofta ”har du inget att dölja har du heller inget att oroa dig för”.

Men när jag är ute och föreläser om digitalt självförsvar brukar jag påminna dem som lyssnar om att det inte bara är myndigheter i jakt på brottslingar som är intresserade av att avlyssna internettrafik. En svartsjuk person vill se vad partnern chattar om, ett företag vill försöka hitta källan som läcker till journalisterna på lokaltidningen.

Nu verkar det inte som om brevet till Facebook kommer att argumentera emot all kryptering. Däremot uppmanas Facebook tänka på allmänhetens säkerhet genom att designa lösningen så att rättsvårdande myndigheter ska kunna få tillgång till chattmeddelanden. Det här är vad som brukar kallas för bakdörrar, sätt att låsa upp krypton för dem som anses behöva det. Problemet med dem är att ”nycklarna” till dem, kännedomen om hur bakdörrarna öppnas, kan komma på drift. Eller att personer som är betrodda med att öppna dem använder dem på sätt som det inte är tänkt.

Det här är också aspekter som vi måste ha med i diskussionen. Sveriges Radios vd Cilla Benkö skrev i en debattartikel nyligen om problemen med förbud mot anonyma kontantkort och tankarna på bakdörrar in i krypterade chattar. Den är läsvärd. (Men jag har också ett utkast till ett blogginlägg som kommer att problematisera Benkös debattartikel. Den texten dyker antagligen upp här i nästa vecka.)

Läs också gärna texten om olika nyanser av personlig integritet som jag publicerade häromveckan. Eller den jag skrev i november 2015, med anledning av en intervju som Dagens Nyheter hade gjort med Edward Snowden: Man behöver inte vara kriminell för att ha något att dölja – det räcker med att vara barn.

Fem råd för en tryggare nätvardag

Publicerad 29 augusti, 2019

Engångskoder, uppdaterade prylar och färska säkerhetskopior. Lite sunt förnuft och kryptering på det. Fem viktiga vardagsråd om man vill känna sig lite tryggare i digitala (det vill säga alla) sammanhang.

Frågan som kom efter texten om säkerhetsproblem vi vanliga användare inte behöver bry oss borde egentligen fått sitt svar redan där och då: ”Vilka är vardagsråden som ger bra skydd mot vardagsproblemen?”

Svaret kommer här istället.

Det handlar framför allt om fem saker som du, jag och alla andra som har några som helst beröringspunkter med internet och digitala prylar behöver tänka på: Bra rutiner för inloggning till alla våra konton kryddat med lite sunt förnuft, att prylarna vi använder är uppdaterade och att det finns färska säkerhetskopior av det som är viktigt för oss. Bonustipset handlar om appar som gör det enkelt att chatta krypterat.

Med koll på de här grejerna kommer du upp på en nivå som inte gör det trivialt att hacka dina konton eller förstöra för dig på andra sätt, oavsett om man är en snokande kollega eller en nätbrottsling som inte vet vem du är utan bara är på jakt efter konton att kapa.

Vi tar dem i tur och ordning.

Bra rutiner för inloggning (och det sunda förnuftet)

Att inloggningsuppgifterna till bankkontot är värdefulla behöver jag inte berätta för dig. Men det finns många andra inloggningsuppgifter som andra också kan vara intresserade av att komma över. Kanske för att snoka i dina privata meddelanden på Facebook och Instagram, kanske för att posta något pinsamt som får dig att skämmas. Men kanske mer troligt för att använda ditt kapade konto i ett bedrägeri som vänder sig mot dina vänner.

Den som kapar mitt Facebookkonto kan låtsas vara Anders Thoresson i relation till alla mina vänner på plattformen. Och det är betydligt enklare att lura någon att göra något dumt om offret i fråga tror att hen gör en kompis en tjänst än om ropet på hjälp kommer från en vilt främmande person på nätet.

Det är det här som fått namnet Facebook-bedrägeri, men det förekommer på alla plattformar där vi agerar som oss själva och har direktkommunikation med våra vänner. Frågan som kommer i en privat chatt kan handla om ett snabbt lån via Swish eller, som i Swedbanks varningsfilm, om hjälp med engångskoder till bankkontot.

Det första du behöver förstå är alltså att dina inloggningsuppgifter är attraktiva för andra att komma över, även om du själv inte tycker att du har något som är värt att skydda på Instagram, Snapchat eller vilka tjänster det nu är du använder.

Nästa steg är att se till att inloggningsuppgifterna är bra. Vad som kännetecknar ett bra lösenord har upprepats oändligt många gånger, men det tål att påminnas om det igen:

Någorlunda långa, gärna åtta tecken eller mer.
Inte ord som är lätta för någon du känner att gissa.
Inte något av de lösenord som finns med på listorna över de mest använda.

Målsättningen är att se till att ha lösenord som är så svåra som möjligt för andra att gissa eller prova sig fram till. Ett bra sätt att leva upp till de kraven är att använda en lösenordshanterare, ett program som fungerar som ett digitalt kassaskåp. Där låser du in alla dina lösenord och behöver bara komma ihåg det enda som krävs för att låsa upp det. Eftersom de flesta lösenordshanterare kan synkronisera innehållet mellan dator och mobiltelefon är det dessutom ett bättre alternativ än post-it-lapparna på datorskärmen av ytterligare en anledning: Du kommer alltid ha lösenorden med dig.

Det finns många lösenordshanterare att välja bland. Mitt råd är att inte använda en som just dykt upp på marknaden, utan en som varit med ett tag. Det är trots allt ett program som du ska anförtro känsliga uppgifter, och då är det rimligt att välja ett som bevisat sig över tid. Själv använder jag 1Password, men har hört gott om program som Lastpass och Dashlane också.

Nu kommer vi till det jobbiga (som om det inte redan var jobbigt nog): Bra lösenord räcker inte.

För att förstå varför är det här blogginlägget från en av Microsofts säkerhetsexperter bra läsning. Sammanfattningsvis finns det väldigt många intrångsförsök till nätkonton som inte är beroende av hur bra lösenord man valt. Jag nöjer mig att nämna ett av dem här.

Nätfiske, den svenska översättningen av engelskans phishing, är ett samlingsnamn för intrång som börjar med att måltavlan luras att lämna i från sig sitt lösenord. Det kan vara ett meddelande från banken, om ett säkerhetsproblem. Eller från Facebook, Instagram eller någon annan tjänst på nätet. Mailet som gör dig uppmärksam på problemet innehåller en länk till en webbsida där du uppmanas mata in användarnamn och lösenord.

Problemet är att det inte är bankens webbplats eller Facebooks inloggningsformulär du ser på skärmen, utan en kopia. En titt i webbläsarens adressfält avslöjar ofta att det är fejk, men annars ser allt trovärdigt ut. Faller du för bluffen spelar det ingen roll om ditt lösenord är ett tusen tecken långt, du har ändå frivilligt skickat det direkt till bedragaren som vill ta sig in i ditt konto.

Det finns en lösning på det här problemet. Den är inte smidig, men inte heller så bökig att det finns anledning att avstå. Den kallas för engångskoder, tvåstegsinlogg, på engelska ofta two factor authentication, förkortat 2FA.

Även om du inte känner igen begreppen vågar jag nästa lova att du redan kan handgreppen. För att betala räkningar eller överföra pengar i nätbanken räcker det inte med ett lösenord. De transaktionerna måste bekräftas på ytterligare något sätt. I min bank med en dosa som genererar kombinationer med åtta siffror, till exempel.

Engångskoder för inloggningar fungerar på samma sätt. Med den funktionen aktiverad räcker det inte med användarnamn och lösenord för att logga in, det krävs också en kompletterande kod. Den kan skickas via sms, skapas i en app eller en usb-sticka som ansluts i datorn. Men oavsett hur det sker är grundprincipen den samma: Även om du gått på en bluff och skickat ditt tusen tecken långa lösenord till en hackare någonstans i världen är ditt konto ändå inte i riskzonen, eftersom det bara är du som har prylen som kan skapa den kompletterande engångskoden.

Engångskoder går med största sannolikhet att slå på för väldigt många av dina konton. Facebook, Google, Microsoft, Instagram, Snapchat, Dropbox har det, och många, många fler. På Two Factor Auth finns en lista med tjänster där engångskod finns som säkerhetstillval.

Som sagt, det här gör inloggningsprocessen lite bökigare. Men så väldigt ofta loggar du ändå inte in på ditt Facebook-konto. Att behöva hämta upp en sexsiffrig kod i en app när du gör det är trots allt en relativt liten ansträngning i relation till det extra skydd det faktiskt innebär.

Här finns ytterligare en detalj om sunt förnuft: Engångskoder är alltid kopplade till ett specifikt konto. Om det kommer ett chattmeddelande från en kompis som behöver ”låna” engångskoder eftersom hens bankdosa gått sönder, som i Swedbanks film, är det ett uppenbart bedrägeriförsök. Dina engångskoder kan bara låsa upp ditt konto, ingen annans!

En sista uppmaning bara, innan vi går vidare. Om du slår på engångskoder (vilket, om det inte framgått, jag verkligen tycker att du ska göra), läs också på om hur de fungerar hos just de tjänster du använder. Eftersom det inte längre räcker med lösenord blir konsekvensen att du kommer att låsa dig själv ute om du förlorar möjligheten att skapa eller ta emot engångskoden. Alla tjänster har funktioner och lösningar som minimerar risken för att det ska inträffa, men de kräver att man läser på innan!

Uppdaterade prylar

När det dyker upp notifieringar och informationsrutor om att det finns uppdateringar till dina prylar, oavsett om det är själva operativsystemet eller till de appar och program du använder – installera dem. Så snart som möjligt.

Många gånger är det uppdateringar som innehåller nya finesser och funktioner. De är inte intressanta i det här sammanhanget. Det vi bryr oss om är istället att uppdateringarna också, nästan alltid, täpper till säkerhetshål som nätkriminella kan utnyttja för att ta sig in i dina prylar eller ställa till oreda på andra sätt.

Att installera uppdateringar är att stänga fönster som står på glänt. Gör det.

Färska säkerhetskopior

I mobiler, datorer och hos nättjänster har vi massor av dokument, bilder och annat digitalt innehåll vi bryr oss om. Som kanske till och med går att kalla för värdefullt.

Se till att ha färska säkerhetskopior av allt som faller in under den beskrivningen.

En säkerhetskopia är ett skydd mot en stulen mobiltelefon, en kraschad hårddisk eller ett utpressningsvirus som krypterar allt innehåll på hårddisken och kräver en lösensumma för att återställa allt i ursprungligt skick.

För att säkerhetskopior ska vara något värda måste de vara färska. Kommer man inte ihåg eller orkar göra backupen finns ändå risken att månader av dokument och bilder försvinner den dagen olyckan är framme.

Lösningen är att komma bort från ”orka” och ”komma ihåg” genom att se till att säkerhetskopiorna sker automatiskt. Det innebär i praktiken att du väljer en molntjänst för dina säkerhetskopior, eftersom en extern hårddisk kräver att du orkar och kommer ihåg att koppla in den. Med en molntjänst sker säkerhetskopierandet automatiskt, och dessutom hamnar dina kopior på en annan fysisk plats än originalet. Det ger skydd mot stöld och brand.

Tjänster om Apples iCloud och Google Photos kan kännas som säkerhetskopior, men är egentligen inte det. De är tjänster som flyttar bilder mellan olika prylar. Men en bild som av misstag raderas på ett ställe kommer att raderas på de andra också. Bättre då att använda speciella backuptjänster. Vad som är bra varierar över tid, så sök på ”säkerhetskopia molnet” och läs färska recensioner om vad som är bra och prisvärt för tillfället. Backblaze, Carbonite och Crashplan är namn som ofta återkommer.

Kryptoappar

I debatten om kryptering påstås ofta att den som inte har något att dölja inte heller har något behov av kryptering. Rent mjöl i påsen-argumentet. Men det är ett resonemang som förs fram i relationen medborgare-stat. Vi använder internet till all möjlig vardagskommunikation, och även om där inte skrivs olagligheter finns det sånt man inte vill sprida vind för våg.

Saker du kan tänka dig att ställa dig på torget och skrika ut behöver inte kryptering. Det gör däremot sånt som du bara pratar om med några få utvalda personer bakom stängda dörrar.

E-post är ett exempel på kommunikationsverktyg som är mer ”torg” än ”stängd dörr”. Det finns inget som hindrar en uttråkad nätverkstekniker att fördriva några minuter med att läsa e-post som skickas på arbetsplatsen.

Att kryptera var länge bökigt. För e-post var rekommendationen PGP, men där är risken för misstag stor. Idag finns appar som Wire och Signal som gör det lika enkelt att chatta som i vilket annat chattfönster som helst. Till och med mer vardagliga lösningar som WhatsApp och Apples iMessage är krypterade.

Några invändningar eller kompletteringar?

Så. Det var vardagsråden jag hade i huvudet när jag skrev förra inlägget. Men det här är komplext. Saker och ting förändras snabbt. Därför är jag nyfiken på om du som läser har något att invända mot mina råd, eller tycker att de behöver kompletteras med ytterligare några. Lämna i så fall gärna en kommentar!

Foto: Mikayla Mallek.

Därför slutar jag inte att tjata om kryptering

Publicerad 30 november, 2016

”Du kan påverka vad som ska granskas. Kontakta oss dold@svt.se – du kan självklart vara anonym.”

Så har det hänt igen. En redaktion som ägnar sig åt granskande journalistik ber sin publik om tips, inser att den som tipsar mycket väl kan tänkas vilja vara anonym och poängterar därför att källan givetvis får vara det om hen vill.

Detta i samma mening som e-post föreslås som kontaktväg.

Tyvärr är Dolds redaktion inte på något sätt unik. Det ser ut på liknande sätt hos exempelvis Hallands Nyheter och Göteborgs-Posten (del av samma mediakoncern, samma kontaktsida med okrypterat formulär). Dagens Industri en e-postadress i sidfoten och på kontaktsidan. Sidan som hamnar överst när jag googlar efter ”tipsa aktuellt” innehåller en Tänk på-ruta – som handlar om rättigheter för läsarinskickat material. Men inget om källskydd utöver att tipsare kan få vara anonyma. Uppdrag Granskning är som man kan förvänta sig något bättre (vanlig e-postadress i huvudtexten, men länk till säkrare tipsvägen TV-leaks i spalten till höger).

Det här är enligt min uppfattning ett representativt urval över hur det ser ut på svenska redaktioner. Några enstaka som tänkt till i frågan (guldstjärna till bland andra Dagens Nyheter, som på en skrikande röd bakgrund betonar kryptering), en majoritet som inte har gjort det.

Återkommande påminnelser bygger förhoppningsvis medvetenhet

Det här är en av de viktigaste anledningarna till att jag inte slutar tjata om kryptering. Att jag skriver om det här på min egen webbplats och föreslår PGP-krypterad e-post eller direktmeddelanden via Wire för kontakt. Att jag skriver om kryptering i Journalisten. I Internetguider. Att jag pratar om det i Digitalsamtal, att jag twittrar om det. Och att jag tjatar på släkt och vänner att det ska installera appar som Signal och Wire i sina telefoner, och i sin tur tjata vidare på sin släkt och sina vänner att göra det samma.

Allt detta trots att jag under 16 år som journalist fått ett enda tips skickat till mig via en krypterad kanal på internet. Och att jag bara använt kryptering vid några enstaka tillfällen över huvud taget. Men, det ska sägas: Vid de tillfällena har kryptering varit fullständigt nödvändigt, utan den hade kontakten med källan över huvud taget inte blivit av.

Men trots att jag inte ägnar mig åt journalistik där källorna normalt sett vill kunna kommunicera med mig i hemlighet gör många andra journalister det. Och det är inte heller bara i en eventuell roll som hemlig källa släkt och vänner behöver kryptering. Bara vetskapen om att en kommunikationskanal är end-to-end-krypterad gör att man betraktar den på ett lite annorlunda sätt. (End-to-end-kryptering innebär att ett meddelande krypteras i avsändarens telefon och är krypterat över internet, hela vägen fram till mottagarens telefon. Det innebär att det inte finns någon möjlighet för någon på vägen att avlyssna meddelandet.)

Att prata och skriva om kryptering är alltså mitt sätt att höja medvetenheten om kryptering. Vad det är, varför det behövs och – faktiskt – hur lätt det har blivit.

Kryptera nu – sen är det för sent

För journalister är det här ett sätt att visa omtanke gentemot sina källor. Men också ett sätt att göra sig tillgängliga för de källor som på egen hand funderat över risken att deras uppgifter hamnar i fel händer. Jag har inte på något sätt belägg för det här påståendet, men min magkänsla säger mig att det stämmer: Det kommer att bli allt vanligare att källor som kan avslöja riktigt stora saker väljer journalister som på förhand visat att de tänker på källskyddet. Och då inte bara som en viktig princip, utan hur man gör för att i praktiken skydda sin källa.

Mitt envisa tjat om kryptering hoppas jag ska vara ett sätt att göra framtida källor medvetna om den skillnaden: Att journalister håller källskyddet väldigt, väldigt högt – men att det inte är alla som har förmågan att leva upp till det.

Jag hoppas också att jag kan göra fler av mina kollegor runt om på landets redaktioner medvetna om problemen med bland annat e-post eller direktmeddelanden på Twitter, vilket är en annan kanal där jag sett profilerade reportar be om ”källskyddade tips”, och få fler av dem sluta be om tips via osäkra vägar.

Det har blivit enkelt att kryptera!

Någonstans tror jag att det finns en medvetenhet om de här problemen, men att bilden av hur krångligt det är att kryptera lever kvar. Tack och lov är det inte så längre.

Att skicka krypterad e-post är fortfarande bökigt. PGP är den beprövade metoden, och även om det blivit enklare är det fortfarande inte enkelt.

Alternativet är istället att välja någon av de mobilappar med inbyggd kryptering som dykt upp. Signal och Wire är två jag kan rekommendera, eftersom personer jag litar på har rekommenderat dem för mig. Och när det gäller Signal så finns det dessutom namnkunnigt folk som gett appen sitt stöd offentligt.

Men det finns fler appar som är krypterade: Apples iMessage är det. Facebook Messenger är det. WhatsApp är det. Och det är bra, eftersom det får fler att kommunicera krypterat utan att ens vara medvetna om det. Men i det här sammanhanget har de alternativen sina brister.

Krypteringen i iMessage fungerar bara mellan Apple-prylar. Och skulle avsändare eller mottagare för tillfället sakna internetuppkoppling kommer meddelandet att skickas som ett vanligt sms istället. Det vill säga utan kryptering.

Facebook Messenger och WhatsApp har bra kryptering, samma lösning som i Signal. Här är istället problemet Facebook. Det är helt enkelt onödigt för en journalist och dennes hemliga källor att använda meddelandetjänster som är en del av Facebook. Har man inte varit vänner i de sociala nätverken tidigare är det inte rätt tillfälle att bli det nu, när källan lämnar hemliga uppgifter till journalisten.

Inga journalister har råd att slarva med krypteringen

Så vilka journalister ska fundera på det här? Alla avslöjanden som startade med Edward Snowdens läckor har visat hur omfattande statlig övervakning är. Vilket givetvis är en varningsklocka för journalister som ägnar sig åt journalistik på den nivån att statliga övervakar har ett intresse i den.

Men också den som granskar det lokala näringslivet behöver vara medveten om hur lätt det är att avlyssna exempelvis okrypterad e-post. Har du avslöjat fusk med farligt avfall på den lokala kemifabriken? Har företagets IT-avdelning i så fall läst den e-post som du och källan skickat till och från hens e-postadress på jobbet? Sannolikheten för att svaret på frågan faktiskt är ”ja” är kanske liten. Men den personliga risken källan tar är fortfarande stor, och med det är den lilla extra insats som det tar att installera Signal eller Wire i telefonen inte att begära för mycket.

Att vara proaktiv i de här frågorna är att ge de källor som vill vara hemliga största möjliga förutsättningar att faktiskt vara hemliga. Se till att tidningens/radiokanalens/tv-programmets webbplatser föreslår alternativ till vanlig e-post så att redan den första kontakten kan tas på ett säkert sätt. Några e-postvändor in i kommunikationen kan det vara så dags att reportern föreslår en säkrare lösning.

Några lästips på vägen

Installerar du Wire eller Signal och får dina vänner eller källor att göra samma sak har du kommit väldigt långt. Vill du läsa mer rekommenderar jag bland annat:

Internetstiftelsen i Sveriges Internetguider – Jag är jävig, eftersom jag varit med och skrivit några av dem, men det här är ett bra ställe att börja på: Digitalt källskydd, Digitalt självförsvar, Kom igång med säkrare mobiltelefon, Kom igång med Tor och Kom igång med Tails.
Signal for Beginners – En bra introduktion till funktionerna i Signal.
Surveillance Self-defence – En gedigen samling tips från amerikanska Electronic Frontier Foundation.

Nästa sida »