nrk.no

Kryptert chat og meldinger som forsvinner på Facebook

Kategorier: Apps,Det sosiale nettet & Sikkerhet


Tidligere i denne uka kunne vi lese på Facebooks egen pressemeldingsside at selskapet nå starter å teste «ende-til-ende-kryptering» i sin Messenger app på iOS og Android.

Sakte men sikkert dukker nå denne funksjonaliteten opp hos Facebook Messenger-brukere via en beskjed i Messenger-appen.

Krypteringen må skrus på for hver person du ønsker å chatte kryptert med, og er visualisert ved at de samtalene hvor kryptering er på, får en liten hengelås på samtalen.
Secret

Foreløpig er det kun mulig å ha krypterte samtaler mellom Messenger-appen på iOS og Android, og samtalene vises ikke i webgrensesnittet til Messenger.

Teknologien for å kryptere samtalene er den samme som brukes i appen Signal, og er utviklet av Open Whisper Systems.

Facebook er på ingen måte den første av de store som tar i bruk denne teknologien, og både Google, med sin Allo-app, og WhatsApp har fra før «ende-til-ende»-kryptering.

Tidsbestemt levetid

I tillegg til at samtalen er kryptert fra telefon til telefon, gir også Facebook deg muligheten til å sette en tidsbestemt levetid for meldingene du sender.

Tids

Du kan med andre ord si at meldingen du sendte, kun skal vises i en gitt tidsperiode etter at mottaker har sett den. Meldinger du mottar forsvinner når tiden er utløpt, mens meldinger du selv har skrevet med tidsbegrensning blir helt sorte og uleselige når tiden er ute.

FB_messenger-teller-ned

Dette hindrer selvsagt ikke mottaker fra å for eksempel ta skjermdump av meldingen, men det tilfører et lag med beskyttelse mot at uvedkommende skal kunne lese gamle meldinger.

Kommer dere til å ta i bruk krypterte samtaler på Facebook Messenger?

16 kommentarer

  1. Hadde det ikkje vore for at dette er ei teneste frå Facebook hadde eg brukt ho med ei gong. Timing-funksjonen er genial! Men eg vil ikkje vere med på Facebook-karusellen, så eg får halde meg til Signal, Wire og XMPP.

    Svar på denne kommentaren

  2. Så lenge jeg «slipper å styre med krypteringsnøkler – appen tar hånd om det for deg» regner jeg dette i samme klasse som ukryptert klartekst. Hvis jeg må gi min klartekst over til noen andre, som så krypterer den for meg, da er det ikke ende-til-ende-kryptert. Jeg må selv kunne velge/generere mine nøkler, og være den eneste som kjenner dem (dvs. den private delen).

    Det tjeneste/app-leverandør må overbevise meg om er at de ikke stjeler kopi av min private nøkkel når mine meldinger krypteres.

    Kan de ikke det, vil jeg insistere på en uavhengig dekrypterings-dongle der jeg har lastet opp nøkkelen min, og som kun aksepterer klartekst inn og gir siffertekst ut, eller vice-versa – ingen mekanismer som kan hente ut noen nøkkel.

    Vanligvis vil ikke en slik krypto-dongle hantere hele meldingen. Det normale er at man starter konversasjonen med å utveksle lange, symmetriske engangs-nøkler, f.eks AES256, offentlig-nøkkel-kryptert. Så kan mobilen (eller PCen) bruke denne engangsnøkkelen for denne ene dialogen, uten å være avhengig av krypto-brikken.

    Å lage en slik USB-dongle er en kurant sak, men de fungerer dårlig med mobiler. Vi burde fått donglene i microSD-format (og de kunne gjerne ha 32GB flash ved siden av, slik at ikke den funksjonen ble blokkert!) og en standard API, slik at alle apper (/PC-program) kunne kryptere/dekryptere ved hjelp av brikka. DA ville jeg vært fornøyd!

    Svar på denne kommentaren

    • Henrik S (svar til keal)

      Om du kunne legge inn din egen nøkkel ville det likevel kunne være en bakdør eller sidekanal du ikke kjente til. Programvare som man ikke har kildekode til, og dessuten har kompilert selv, eller hos en man stoler på, vil uansett være basert på tillit til leverandøren. Jeg synes da det tilfører et lag av sikkerhet, fordi man nå kun trenger tillit til leverandør, i stedet for både leverandør og kanal, slik det var uten kryptering.

    • Sant – men jeg tenkte å selv skrive programvaren. (Jeg utformet grovskissen for et par år siden,men fullførte aldri prosjektet.)

      Selvsagt er det en opsjon som ikke er tilgjengelig for så mange.

      Uansett ville nøkkelen (/sertifikatet) være langt tryggere om det befant seg på en fysisk enhet tilgjengelig for angriper-programmer kun mens jeg plugger inn USB-dongelen for å (de)kryptere post. Dersom APIet var en erklært standard, uten noen funksjon som kunne få info ut av dongelen, burde den som implementerer dongle-siden nekte å gjøre noe annet enn standarden sier – og DET er fullt mulig å få til. Skulle en bakdør åpnes av uoffisielle spion-APIer måtte det være et samarbeid mellom dongle-koderen og en applikasjons-koder. Hvis f.eks. epost-systemet er utviklet av Microsoft og dongelen av en kar på Vinstra, i henhold til API-standarden, er sjansene små for at de to partene konspirerer bak min rygg for bryte seg inn og stjele mitt sertifikat.

      Forøvrig, i det design-utkastet jeg hadde ville det være ytterligere sikkerhet: For å gjøre en stjålet dongle verdiløs måtte dongelen låses opp ved at den sendte en «challenge», en tilfeldig valgt kode, over Bluetooth Smart til en app på mobilen din. Appen ber om din PIN, transformerer mottatt challenge med PIN, og returnerer resultatet til dongelen. Det ville forhindre en keylogger i å avlese PIN, og en Bluetooth sniffer ville bare se en engangs-«nøkkel» som ikke ville ha noen verdi få sekunder senere. Dongelen måtte naturligvis kjenne PIN, så om den hadde en bakdør ville den blitt avslørt – men det betinger BÅDE at du blir frastjålet dongelen, OG at den har en bakdør OG at innbryteren kjenner til bakdøra og hvordan den skal utnyttes.

      Det er grenser for hvor hardt vi bør trekke til paranoia-skruen. Å få innført full public-key (/engangnøkkel)-kryptering av all kommunikasjon, og la brukeren være den som bestemmer og alene kjenner privatnøkkelen, og flytte nøkkelen fysisk ut av maskinen, med et svært begrenset API – dette er så vesentlige steg at jeg for min del tror jeg er fornøyd i denne omgang. Om jeg kjøper en uavhengig dongle-implementasjon istedetfor å lage den selv ville jeg ikke være så bekymret for noen konspirasjon mellom dongle-utvikleren og epost-leser-utvikleren.

    • sdfsdf (svar til Henrik S)

      du forutsetter at kompilatoren er sikker, at hw er sikkert etc.

      så på ett eller annet nivå må du stole på noen.

      ihvertfall slik ting er nå.

  3. Skeptisk til at Facebook legger til rette for at man skal kunne kommunisere uten at de kan samle info om det. Folk flest bryr seg ikke, så hva har de å tjene på å tilby kryptering? De må jo også innføre det på tvers av ønsker fra alle sine samarbeidspartnere som lever av vår info, for ikke å snakke om myndighetene.

    Svar på denne kommentaren

    • ola dunk (svar til FUnky)

      Hvis Facebook skal «bli internett» så må de ha sin egen versjon av alle de andre nyvinningene som folk vil ha. Whatsapp og Allo får Signal-kryptering, så da må fb ha det for at folk ikke skal kunne si «ikke bruk fb for det har ikke e2e-kryptering».

    • e12e (svar til FUnky)

      Merk at facebook nok er mest interessert i hvem som snakker med hvem, når de gjør det, og hvilke nettsteder de besøker etterpå/samtidig. Det siste finner de gjennom «like»-knapper på sider rundt om kring, de første skjules ikke av kryptering alene.

      Hva gjelder samarbeid med myndigheter mv, så er det nok ingen grunn til å tro at Facebook har noe sterkt ønske om å knytte nære bånd til etteretningstjenester mv – for dem er det mer en utgift og et problem enn noe annet. Det betyr ikke at de hever seg over loven – de må selvsagt etterkomme lovlige (om ikke moralske) pålegg – som alle andre.

      Det ironiske er at før Facebook slo av støtte for XMPP så fungerte OTR utmerket med vanlige IM-klienter også til/fra Facebook-addresser/brukere.

      En må også huske på at Facebook ønsker å bli foretrukket sosialt nettverk for hele verden – ikke «bare» den milliarden +/- brukere de har nå. Dermed må de levere samme funksjoner som feks Wechat mv.

    • FUnky (svar til Sarcasm)

      Ikke du i deg selv nei, men tenk hva man kan gjøre når man vet mye/alt om mange/alle: hva dere stemmer, hvorfor dere stemmer slik, hvordan dere påvirkes til å kjøpe ting, hvordan dere får kontakt med hverandre, når, hvordan og hvorfor politiske bevegelser oppstår, hvordan man skal styre folkemeningen, etc etc. Med den track record myndighetene allerede har med å skjule ting for folk, er det naivt å anta at man ikke vil benytte seg av den skattkisten av info Facebook og andre tjenester tilbyr.

    • Har du gardiner i vinduene på soverommet? Hvis ja, er det fordi du driver så «interessante» aktiviteter der at du tror andre folk eller myndigheter ville være interessert i å kartlegge det? Ellers behøver du vel ikke gardiner!

      Nei, kanskje ikke du frykter noe fra Erna og Anders. Men informasjonen som samles er ikke flyktig; den blir liggende til etterfølgerne. Er du 100% sikker på at ingen etterfølger vil ha helt andre kriterier for hva som er rett og galt, lovlig og forbudt?

      Jeg sitter på en 1936-utgave av Norges Lover, og det er «interessant» å se hva som var tillatt og forbudt da min mor var småjente. (Vi snakker norsk lov, verken sharia eller annet fremmedkulturelt!) Går vi tilbake til viktorianismen på slutten av 1800-tallet (stadig flere hundre år etter «middelalderen») blir det enda mer spennende.

      Ikke stol på at bare fordi vi i dag styres av dine favoritt-politikere vil det fortsette å være slik i hele din levetid. Og stol heller ikke på at det kun er våre norske, demokratisk valgte, politikere som kartlegger for ulike formål.

      Det er ikke noe nytt,og det krever ikke store datanettverk: På 1970-tallet var det en stor oppvask da det ble avslørt at stiftelsen Libertas opererte med hemmelige lister over vestrevridde «samfunnsfiender» som var de første man skulle «ta» hvis det bygde seg opp en større konflikt med den kommunistiske verden. Alt fra AP og videre mot venstre var kandidater for å stå på listene, og listen var lange!

      Dagens muslim-frykt er langt mer panisk og langt mer utbredt blant «folk flest» enn frykten for «de røde» var i Libertas-tiden. Slik Libertas kartla tusenvis og titusenvis som mistenkte for å ha røde sympatier, kan det godt hende at tilsvarende organisasjoner i dag observerer og loggfører nordmenn som besøker innvandrer-butikker, og KAN ha annen kontakt enn bare som ren kjøper av krydder og jasminris. Havner du på en slik liste er det ikke islamister som truer deg, tvert om.

      «Jeg har ingenting å skjule» er å si i klartekst «Jeg er ekstremt naiv».

      Eller alternativt: Jeg er villig til å svinge som en værhane hit og dit ettersom hvor den politiske vinden blåser, og vil ALLTID være lydig mot makthaverne, leve etter dere lover, uansett hva lovene sier.

      Det er ikke særlig mye bedre.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.