Cybersäkerhet 101: Hur man väljer och använder en krypterad meddelandeapp

Image Credits: Getty Images

Textsamtal har funnits sedan mobilteknologins gryning och har gett upphov till ett eget unikt språk. Men det är dags att sluta skicka vanliga SMS-meddelanden.

Om du har en iPhone är du redan på väg. iPhones (liksom iPads och Macs) använder iMessage för att skicka meddelanden mellan Apple-enheter. Det är ett databaserat meddelandesystem som är beroende av 3G, 4G och Wi-Fi, i stället för SMS, som använder ett gammalt, föråldrat men universellt 2G-cellnät. iMessage har ökat i popularitet, men har lämnat Android-enheter och andra datorer i sticket.

Det är där som andra meddelandetjänster har fyllt en lucka på marknaden.

Appar som Signal, WhatsApp, Wire och Wickr är också databaserade och fungerar på olika plattformar. Bäst av allt är att de är end-to-end-krypterade, vilket innebär att skickade meddelanden krypteras i ena änden av samtalet – enheten – och avkodas i andra änden på mottagarens enhet. Detta gör det nästan omöjligt för någon – till och med apptillverkaren – att se vad som sägs.

Många populära appar som Instagram, Skype, Slack och Snapchat erbjuder inte alls kryptering från början till slut. Facebook Messenger har möjlighet att använda ”hemliga” end-to-end-krypterade meddelanden, men det är inte aktiverat som standard.

Här är vad du behöver veta.

Varför hata SMS-meddelanden?

SMS, eller short messaging service, är mer än tre decennier gammalt. Den är generellt sett tillförlitlig, men den är föråldrad, ålderdomlig och dyr. Det finns också flera anledningar till varför SMS-meddelanden är osäkra.

SMS-meddelanden är inte krypterade, vilket innebär att innehållet i varje textmeddelande kan ses av mobiloperatörer och myndigheter, och kan till och med avlyssnas av organiserade och halvt utbildade hackare. Det betyder att även om du använder SMS för att säkra dina onlinekonton med hjälp av tvåfaktorsautentisering kan dina koder stjälas. Lika illa är det att SMS-meddelanden läcker metadata, dvs. information om meddelandet men inte själva innehållet i meddelandet, t.ex. avsändarens och mottagarens telefonnummer, vilket kan identifiera de personer som deltagit i samtalet.

SMS-meddelanden kan också förfalskas, vilket innebär att du aldrig kan vara helt säker på att ett SMS-meddelande kommer från en viss person.

Och ett nyligen fattat beslut av den federala kommunikationskommissionen ger nu mobiloperatörerna större befogenheter att blockera SMS-meddelanden. FCC sa att detta kommer att minska skräpposten, men många oroar sig för att det kan användas för att kväva yttrandefriheten.

I alla dessa fall är svaret en krypterad meddelandeapp.

Vad är de bästa apparna för krypterade meddelanden?

Det enkla svaret är Signal, en slut till slut-krypterad meddelandeapp med öppen källkod som ses som guldstandarden för säkra meddelandetjänster för konsumenter.

Signal stöder och krypterar alla dina meddelanden, samtal och videochattar med andra Signal-användare. Några av världens smartaste säkerhetsexperter och kryptografiexperter har tittat på och verifierat koden och litar på dess säkerhet. Appen använder ditt mobilnummer som kontaktpunkt – vilket vissa har kritiserat, men det är enkelt att ställa in appen med ett dedikerat telefonnummer utan att förlora ditt eget mobilnummer. Förutom ditt telefonnummer är appen byggd från grunden för att samla in så lite metadata som möjligt.

En nyligen genomförd statlig begäran om Signals uppgifter visade att apptillverkaren nästan inte har något att lämna ut. Dina meddelanden är inte bara krypterade, utan varje person i samtalet kan ställa in att meddelanden ska upphöra att gälla – så även om en enhet äventyras kan meddelandena ställas in så att de redan försvinner. Du kan också lägga till en separat låsskärm i appen för ytterligare säkerhet. Och appen fortsätter att bli starkare och starkare. Nyligen rullade Signal ut en ny funktion som maskerar telefonnumret för avsändaren av ett meddelande, vilket gör det bättre för avsändaranonymitet.

Men egentligen finns det ett mycket mer nyanserat svar än ”bara Signal”.

Alla har olika behov, önskemål och krav. Beroende på vem du är, vilket jobb du har och vem du pratar med avgörs vilken app för krypterade meddelanden som är bäst för dig.

Signal kan vara favoritappen för högriskjobb – som journalistik, aktivism och myndighetsanställda. Många kommer att tycka att till exempel WhatsApp är tillräckligt bra för de allra flesta som bara vill prata med sina vänner och sin familj utan att oroa sig för att någon ska läsa deras meddelanden.

Du kanske har hört en del felaktiga saker om WhatsApp under de senaste åren, vilket till stor del har utlösts av felaktig och vilseledande rapportering som hävdade att det fanns en ”bakdörr” som gör det möjligt för tredje part att läsa meddelanden. Dessa påståenden var ogrundade. WhatsApp samlar in vissa uppgifter om sina 1,5 miljarder användare, till exempel metadata om vem som kontaktar vem och när. Dessa uppgifter kan överlämnas till polisen om de begär det med ett giltigt rättsligt beslut. Men meddelanden kan inte läsas eftersom de är end-to-end-krypterade. WhatsApp kan inte lämna över dessa meddelanden även om de ville det.

Och även om många inte inser att WhatsApp ägs av Facebook, som har drabbats av en rad säkerhets- och integritetsskandaler under det senaste året, har Facebook sagt att de har åtagit sig att hålla WhatsApp-meddelanden end-to-end-krypterade som standard. Med det sagt är det fullt möjligt att Facebook kan ändra sig i framtiden, har säkerhetsforskare sagt. Det är rätt att vara försiktig, men WhatsApp är fortfarande bättre att använda för att skicka krypterade meddelanden än att inte använda det alls.

Det bästa rådet är att aldrig skriva och skicka något på ens en ända-till-slut-krypterad meddelandeapp som du inte skulle vilja visa i en rättssal – för säkerhets skull!

Wire uppskattas också av många som litar på den plattformsoberoende appen med öppen källkod för att dela gruppchattar och samtal. Appen kräver inget telefonnummer utan väljer istället användarnamn, vilket många som vill ha större anonymitet finner mer tilltalande än alternativa appar. Wire backar också upp sina påståenden om end-to-end-kryptering genom att be forskare genomföra en extern granskning av sin kryptografi, men användarna bör vara medvetna om att en motprestation för att använda appen på andra enheter innebär att appen håller ett register över alla du någonsin har kontaktat i klartext.

iMessage är också end-to-end-krypterat och används av miljontals människor runt om i världen som sannolikt inte ens inser att deras meddelanden är krypterade.

Andra appar bör behandlas med försiktighet eller undvikas helt och hållet.

Appar som Telegram har kritiserats av experter för sin felfria kryptografi, som har beskrivits som att ”det är som att bli huggen i ögat med en gaffel”. Och forskare har upptäckt att appar som Confide, en gång en favorit bland Vita husets medarbetare, inte krypterar meddelanden ordentligt, vilket gör det lätt för appens skapare att i hemlighet tjuvlyssna på någons konversation.

Hur man verifierar någons identitet

En kärnfråga i slut-till-slut-krypterade meddelanden är: hur vet jag att en person är den som han eller hon påstår att han eller hon är?

Alla slut-till-slut-krypterade meddelandeappar hanterar en användares identitet på olika sätt. Signal kallar det för ett ”säkerhetsnummer” och WhatsApp kallar det för en ”säkerhetskod”. Över hela linjen är det vad vi kallar ”nyckelverifiering”.”

Varje användare har sitt eget unika ”fingeravtryck” som är kopplat till användarnamnet, telefonnumret eller enheten. Det är vanligtvis en kedja av bokstäver och siffror. Det enklaste sättet att verifiera någons fingeravtryck är att göra det personligen. Det är enkelt: ni tar båda fram era telefoner, öppnar en konversation i valfri krypterad meddelandeapp och ser till att fingeravtrycken på de båda enheterna är exakt likadana. Vanligtvis trycker ni sedan på en ”verifiera”-knapp – och det var allt.

Att verifiera en kontakts fingeravtryck på distans eller via internet är knepigare. Ofta krävs det att du delar ditt fingeravtryck (eller en skärmdump) via en annan kanal – t.ex. ett Twitter-meddelande, på Facebook eller via e-post – och ser till att de stämmer överens. (Micah Lee från The Intercept har en enkel genomgång av hur man verifierar en identitet.)

När du har verifierat någons identitet behöver den inte verifieras på nytt.

Om din app varnar dig för att en mottagares fingeravtryck har ändrats kan det vara en oskyldig anledning – den kan ha ett nytt telefonnummer eller skickat ett meddelande från en ny enhet. Men det kan också betyda att någon försöker utge sig för att vara den andra personen i din konversation. Du gör rätt i att vara försiktig och försöka verifiera deras identitet igen.

Vissa appar bryr sig inte om att verifiera en användares identitet alls. Det finns till exempel inget sätt att veta att någon inte i hemlighet snokar i dina iMessage-konversationer eftersom Apple inte meddelar dig om någon i hemlighet övervakar din konversation eller om någon inte på något sätt har ersatt en meddelandemottagare med en annan person.

Du kan läsa mer om hur Signal, WhatsApp, Telegram och Wire gör det möjligt för dig att verifiera dina nycklar och varna dig för nyckelbyten. (Spoiler alert: Signal är det säkraste valet.)

Det finns några andra tips som du bör känna till:

Backuper av krypterade meddelanden är vanligtvis inte krypterade i molnet: En mycket viktig punkt här – ofta är dina krypterade meddelanden inte krypterade när de säkerhetskopieras i molnet. Det innebär att regeringen kan kräva att din molnleverantör – som Apple eller Google – hämtar och överlämnar dina krypterade meddelanden från sina servrar. Du bör inte säkerhetskopiera dina meddelanden till molnet om detta är ett bekymmer.

Rädda dig för skrivbordsappar: En av fördelarna med många krypterade meddelandeappar är att de finns tillgängliga på en mängd olika plattformar, enheter och operativsystem. Många erbjuder också skrivbordsversioner för att kunna svara snabbare. Men under de senaste åren har de flesta av de större sårbarheterna funnits i den buggiga skrivbordsmjukvaran. Se till att du har koll på appuppdateringar. Om en uppdatering kräver att du startar om appen eller datorn bör du göra det direkt.

Sätt dina meddelanden så att de löper ut: Kryptering är ingen magi, utan kräver medvetenhet och omtanke. End-to-end-krypterade meddelanden räddar dig inte om din telefon äventyras eller stjäls och dess innehåll kan komma åt. Du bör starkt överväga att ställa in en utgångstid för dina konversationer för att se till att äldre meddelanden raderas och försvinner.

Håll dina appar uppdaterade: Ett av de bästa sätten att se till att du förblir säker (och får nya funktioner!) är att se till att dina dator- och mobilappar hålls uppdaterade. Säkerhetsfel upptäcks ofta, men du kanske inte alltid hör talas om dem. Att hålla dina appar uppdaterade är det bästa sättet att se till att du får dessa säkerhetsfixar så snart som möjligt, vilket minskar risken för att dina meddelanden kan avlyssnas eller stjälas.