Ryska säkerhetstjänsten varnar plötsligt för Telegram

Rysslands säkerhetstjänst FSB går plötsligt ut och varnar medborgare för att använda Telegram – en plattform som Kreml omväxlande försökt stoppa, tämja och utnyttja. Der Spiegel rapporterar att FSB säger till ryssar att Telegram är förenat med risker och uppmanar till ”säkerhetsåtgärder” som, om man läser mellan raderna, i praktiken innebär ett krav på att kommunikationen ska flyttas in i system där staten kan tvinga fram tillgång.

Tekniskt sett är den hotbild FSB antyder inte att Telegrams så kallade totalsträckskryptering är ”knäckt” (de flesta Telegram-samtal är inte totalsträckskrypterade alls; det gäller bara ”hemliga samtal”). Poängen är i stället att själva apparaten och nätmiljön är sårbara. Om staten kan ta kontroll över ändpunkterna – genom skadlig programvara, påtvingade ”uppdateringar”, fysisk beslagtagning eller genom att utöva tvång mot administratörer – blir kryptering en bisak. Och om staten kan tränga in i distribution och autentisering behöver den inte bryta kryptografin; den kan byta ut klientprogram, plantera spionprogram eller samla in trafikuppgifter i stor skala.

Det är den egentliga undertonen i varningen: trafikuppgifter och kontroll över klientprogrammen. Telegrams konstruktion lämnar redan i dag stort utrymme för insamling av trafikuppgifter i vanliga molnbaserade samtal (vem som talar med vem, när, från vilka nätadresser och apparater), och Ryssland har länge visat att det är detta skikt man prioriterar. En stat som kan pressa teleoperatörer, internetleverantörer, programbutiker, certifikatutfärdare och inhemska värdtjänster kan bygga en praktisk miljö för avlyssning och manipulation utan att någonsin behöva påstå att man ”avkrypterar” något.

Men FSB:s budskap är också politik förklädd till ingenjörskonst. Telegram är en av de sista masskanalerna i Ryssland där oppositionsföreträdare, granskande redaktioner och gemenskaper som följer kriget fortfarande kan nå stora publikgrupper snabbt – även om det sker under ständig övervakning och med återkommande nedstängningar. En offentlig ”säkerhetsvarning” fungerar som en knuff – och ett svepskäl – mot alternativ som kan kontrolleras inom landet, där staten kan kräva inte bara trafikuppgifter utan även nyckelmaterial, loggning och innehållsstyrning. Den sortens foglighet är lättast att få när företagsledning, servrar och betalningssystem befinner sig inom den egna rättsordningen.

FSB varnar inte ryssar för statlig övervakning; man varnar dem för besväret med att använda en plattform som staten inte fullt ut behärskar. I auktoritära system kan ”säker” betyda ”styrbar med säker hand”. Råden till användare är därför gammaldags och okonstlade: utgå från att ändpunkten är den svagaste länken; minimera spårbara trafikuppgifter; håll identiteter åtskilda; och förväxla inte ett meddelandeprograms varumärke med en hotbildsanalys som står pall för en beslutsam säkerhetstjänst.