Inspirerende Per Axbom skrev for nylig et indlæg på Mastodon, Hans rimelige pointe er, folk, der skal bruge videosamtaler og større videomøder måske skulle overveje at kigge på Signal.
Man tænker nok mest Signal som en messaging app til tekst, billeder og sådan – men den rummer jo mere end som så, og ikke mindst en tillidsvækkende baggrund. Man tænker ikke, at de vil luske rundt på samme måde, som det for eksempel er aktuelt med Zooms AI-træning.
Altså. Jeg bruger jo Signal privat, og det virker glimrende til formålet – og får meget anerkendelse for sikkerhed.
En enkelt ting – en tilføjelse, et forbehold? Det huer mig ikke rigtigt, at der skal knyttes et telefonnummer på – dels fordi det henfører til en person eller i hvert fald enhed, dels fordi… altså, telefoni som princip er antikveret, ikke? Udgangspunkt må være en identitet med adgangsrettigheder, og så kan den identitet måske få tilknyttet legacy-tjenester som telefonnummer og fax. Men for en cutting edge-teknologi er et telefonnummer noget gøgl – og man bruger det jo heller ikke rigtigt til noget. Hvad angår det at kunne entydigt fastlægge en person – i det omfang, det overhovedet er attraktivt at kunne henføre en konto til en bestemt person – så er det de fleste steder ret nemt at skaffe et nyt telefonnummer, bruge det og skille sig af med det igen, så det har så godt som ingen vægt. Det er da også en rigdom af artikler online med forslag til at anskaffe sig et nummer midlertidigt, og kritikken og muligheden for adgang efter at have droppet nummeret igen adresseres i artiklen Signal secure messaging can now identify you without a phone number fra Naked Security. Den samme diskussion møder man med Telegram.
Endelig, for at loope tilbage til Per Axboms udgangspunkt om at anvende Signal i en professionel kontekst: At støtte sig til et telefonnummer tillægger altså også telefonnummeret en antagelse om noget permanent, som ikke er reelt. Jeg havde 10-års jubilæum hos min arbejdsgiver i foråret. Jeg har haft 3 telefonnumre i den tid, men har haft mit bruger-ID, som også dobler som email, hele tiden. I en anden virksomhed kunne det være omvendt. Så i en stor organisation som min, hvor adgang, konti og dybest set al identitetsstyring foregår centralt, ville man nok komme til kort på styring. Det ser heller ikke umiddelbart ud til, at man kunne lave en centralt styret backup-funktion, og så kan jeg ikke lade være med at spekulere på GDPR-kompatibiliteten i forhold til, at det er svært at komme udenom dem som databehandler, og deres egen henvisning til GDPR er få linier uden den store detaljegrad eller forpligtelse. I denne diskussion på StackExchange diskuteres kritikpunkterne, som ikke går helt stærkt i spænd med, at man faktisk anbefalede Signal som EU-ansattes kommunikationsværktøj.
Så det vil i en organisation som min være en anelse rodet at skulle anvende Signal i vort daglige arbejde. Selv om nogle har vurderet, at Signal kan leve op til sikkerhedsbestemmelserne, så er der stadig en brugeradministration, der kommer en anelse til kort.
Jeg hører meget gerne fra folk, der har kigget på udrulning i skala og arbejdet med risiko-/konsekvensanalyse på Signal.