Signal er en mye meldings- og videomøte-tjeneste som har blitt særlig populær blant dem som er spesielt opptatt av sikker kommunikasjon. Indirekte er det en non-profit-organisasjon, Signal Foundation, som nå står bak appen, og sentralt på organisasjonens nettsted er det gjengitt rosende uttalelser fra kjente brukere, inkludert varsleren Edward Snowden og sikkerhetsguruen Bruce Schneier.
Vanskelig å avlytte
Ende-til-ende-kryptering er obligatorisk i Signal. Krypteringen gjøres med en åpen protokoll som ganske enkelt kalles for Signal Protocol, som senere også har blitt tatt i bruk av flere andre, lignende tjenester.
Signal Protocol skal gjøre det svært vanskelig for uvedkommende å få tilgang til Signal-kommunikasjonen, også for etterforskere som har tilgang til en enhet som er brukt i kommunikasjonen.
Derfor er Signal-tjenesten mye brukt av blant annet demokratiaktivister i autoritære regimer, men også av journalister i kommunikasjon med kilder.
Avslørende blogginnlegg slettet
Nå hevder israelske Cellebrite at selskapet er i stand til å dekryptere informasjon i en database som er lagret lokalt på brukerenheten.
Selskapet omtaler dette i et nokså kort blogginnlegg på selskapets nettsted, som på ingen måte går i detalj på hvordan dette er gjort. Det gjør derimot en tidligere versjon av blogginnlegget, som har blitt fjernet, men som er tilgjengelig i Wayback Machine-tjenesten til Internet Archive.
Til den israelske avisen Haaretz oppgir Cellebrite at den originale utgaven av blogginnlegget var et internt utkast. Sannsynligvis avslører det mer enn det selskapet egentlig ønsker å gå ut med. Men nå er katten uansett ute av sekken.
I det opprinnelige blogginnlegget forklares det hvordan selskapet har greid å dekryptere databasen til Signal-appen for Android. Det oppgis ikke om det samme er mulig i andre operativsystemer.
Fant nøklene
Databasen er ifølge Cellebrite kryptert med SqlScipher, en utvidelse av databasesystemet SQLite. Det benyttes 256-bit AES-kryptering.
Cellebrite har ikke greid (eller forsøkt) å knekke krypteringen, men selskapet har greid å finne nøkkelen som databasen er kryptert med, i tillegg til metodene for hvordan denne kan brukes til å dekryptere databasen.
Fullt så enkelt er det likevel ikke. På dette stadiet kan tekstmeldinger leses, men vedlegg til meldingene, som bilder og lydfiler, er separat kryptert. I det opprinnelige blogginnlegget er det også beskrevet hvordan Cellebrite kom rundt dette.
Omdiskuterte kunder
De primære kundene til Cellebrite er politi- og justismyndighetene i land over hele verden, noe som har ført til at selskapet har fått kritikk, blant annet for å selge produktene sine til nasjoner som i liten grad bryr seg om ytringsfrihet og andre menneskerettigheter.
Ifølge Haaretz hevder selskapet at det ikke selger til hvem som helst, og at det er et krav om at de som bruker teknologiene må følge lokal lovgivning. Dette inkluderer likevel land som Indonesia, Hviterussland, Saudi-Arabia og Venezuela.
Dette har ført til at i alle fall én menneskerettsadvokat i Israel har tatt til orde for at landet må regulere Cellebrites teknologier på samme måte som våpensalg.
I forrige uke avslørte Gizmodo for øvrig at flere skoledistrikter i USA har kjøpt produkter eller tjenester fra Cellebrite eller lignende selskaper.
Det er kjent at Kripos (for abonnenter) er blant de norske kundene til Cellebrite.
