I anledning af nyheden om, at Pavel Durov er blevet arresteret i Paris, og han omtales som chefen for Encrypted messaging app Telegram, er der flere, der fandt det aktuelt at understrege: Krypteret, men ikke så krypteret.
Først gentog rysiek, at hans artikel Telegram is neither “secure” nor “encrypted” fortsat er aktuel, og derefter udgav Matthew Green Is Telegram really an encrypted messaging app?
Jeg vil lige samle deres pointer.
TL:DR om kryptering
Det kortere af det længere er, at der under alle omstændigheder ikke er tale om end to end encryption (E2EE) hvor det kun er afsender og modtager, der kan tilgå indholdet, der kommunikeres. Ikke af sig selv, ikke uden videre og ikke altid.
Funktionen er ikke standard, og samtaler er som udgangspunkt ikke krypterede hele vejen. De er nok krypterede under transport, men er tilgængelige ukrypteret hos tjenesten. E2EE-funktionen skal aktivt slås til som Secret Chats. Det skal aktiveres for den enkelte samtale mellem to parter og kræver, at begge er online. Indstillingen er ikke specielt nem at få øje på.
En til mange og mange til mange
Det er også væsentligt, at en del af Telegrams popularitet kommer sig af, at den på sin vis er et socialt medie.DR sammenlignet ham da også med Zuckerberg i en artikel om hans anholdelse. Telegram har kanaler, channels, som er en måde man kan publicere indlæg med tekst og forskellige typer medier på; og så har man grupper, groups, hvor man kan samles om forskellige emner. Men ingen af disse er krypterede og kan ikke sættes til være det.
Endelig er der en diskussion om metadata. Det ser ud til, at Telegram kan se alle metadataene på de personer, der bruger tjenesten til at kommunikere. Det viser sig desuden, at dataene har en form, så man kan identificere Telegram-trafik over netværket.
Ergo –
Så hvis vi looper tilbage til secure, encrypted messaging: Krypteret – ja, noget af vejen. Og ikke hos tjenesten. Sikkerhed – kryptering under transport er ikke ingenting, og selv om man tidligere har fundet sikkerhedsproblemer i Telegrams Mtproto-protokol, så er de dokumenterede fejl udbedret. Men der foregår en dekeyptering, og dataene er identificerbare undervejs.
Rysiek går også ind i kommunikationen – Durov har tidligere angrebet Signal lidt ud af det blå, man har i virksomheden skiftet mening på visse løfter, f.eks. om at vise reklamer, og gået meget aktivt ud med at kommunikere, at Telegram var sikker og krypteret – men det er så bare ikke tilfældet i forskellige sammenhænge.
I Danmark man omtaler om kriminalitet i nyheder, hvor Telegram beskrives som arbejdsformidling for bandekriminalitet. Digitaliseringsministeren fremmaner også bekymring om “det sociale og krypterede medie Telegram”. Durov er blevet anholdt for ikke at samarbejde med ordensmagten om udlevering af dokumentation, og det fører jo tanker hen på, hvem der faktisk kunne få adgang til dataene.
Telegram startede forskellige steder, men har nu juridisk base på Virgin Islands og drives fra Dubai med datacentre rundt om i verden.
Vi kommer altså tilbage til tillid. Durov er den 12. rigeste mand i verden, ifølge Forbes – med rigdom fra salget af sin del af det sociale netværk VKontakte og investeringer i kryptovaluta. I en profil fra The Guardian virker han nærmere Musk, og journalisten laver selv sammenligningen.
Så måske skal man bare tænke over, hvor tryg man ville være med Krypteret X…
Tilføjelse senere på dagen: Artiklen Keep Pavel Durov LOCKED UP når til en tillægskonklusion: My gut says Telegram is an FSB operation.
@mj-j Der landede også en kommentar på Radar:
https://radar.dk/artikel/i-dette-skaer-skal-vi-laese-anklagerne-mod-telegram-topchef
"Sagen mod Telegram-boss handler blandt andet om opsparet irritation over krypterede tech-tjenester, der blæser på lov og ret. Og så kan sagen sende stærke signaler over Atlanten."
Desuden en liste over Durovs anklagepunkter.