SIKKERHET

Cellebrite hevder at selskapet kan dekryptere meldingsdatabasen til Signal-appen

Slettet blogginnlegg avslører hvordan.

Cellebrite hevder at selskapet nå kan dekryptere og leser meldinger og vedlegg som Signal-appen lagrer lokalt i en kryptert database på brukernes enheter.
Cellebrite hevder at selskapet nå kan dekryptere og leser meldinger og vedlegg som Signal-appen lagrer lokalt i en kryptert database på brukernes enheter. Foto: Signal Messenger
Harald BrombachHarald BrombachJournalist
18. des. 2020 - 05:00

Signal er en mye meldings- og videomøte-tjeneste som har blitt særlig populær blant dem som er spesielt opptatt av sikker kommunikasjon. Indirekte er det en non-profit-organisasjon, Signal Foundation, som nå står bak appen, og sentralt på organisasjonens nettsted er det gjengitt rosende uttalelser fra kjente brukere, inkludert varsleren Edward Snowden og sikkerhetsguruen Bruce Schneier.

Thomas Koefoed er partner og direktør for offentlig digitalisering i Netcompany. Det er en ting som gjør det spesielt vanskelig å bytte fra big tech til EU-alternativer.
Les også

IT-topp om alternativer: – Én ting står i veien

Vanskelig å avlytte

Ende-til-ende-kryptering er obligatorisk i Signal. Krypteringen gjøres med en åpen protokoll som ganske enkelt kalles for Signal Protocol, som senere også har blitt tatt i bruk av flere andre, lignende tjenester. 

Signal Protocol skal gjøre det svært vanskelig for uvedkommende å få tilgang til Signal-kommunikasjonen, også for etterforskere som har tilgang til en enhet som er brukt i kommunikasjonen. 

Derfor er Signal-tjenesten mye brukt av blant annet demokratiaktivister i autoritære regimer, men også av journalister i kommunikasjon med kilder.  

Avslørende blogginnlegg slettet

Nå hevder israelske Cellebrite at selskapet er i stand til å dekryptere informasjon i en database som er lagret lokalt på brukerenheten. 

Selskapet omtaler dette i et nokså kort blogginnlegg på selskapets nettsted, som på ingen måte går i detalj på hvordan dette er gjort. Det gjør derimot en tidligere versjon av blogginnlegget, som har blitt fjernet, men som er tilgjengelig i Wayback Machine-tjenesten til Internet Archive. 

Til den israelske avisen Haaretz oppgir Cellebrite at den originale utgaven av blogginnlegget var et internt utkast. Sannsynligvis avslører det mer enn det selskapet egentlig ønsker å gå ut med. Men nå er katten uansett ute av sekken. 

I det opprinnelige blogginnlegget forklares det hvordan selskapet har greid å dekryptere databasen til Signal-appen for Android. Det oppgis ikke om det samme er mulig i andre operativsystemer. 

Kristi Noem har siden januar 2025 ledet U.S. Department of Homeland Security, som til nå har finansiert CVE-programmet gjennom en kontrakt med organisasjonen Mitre. Her deltar hun under sin velkomstseremoni ved Coast Guard Headquarters i Washington D.C.
Les også

USA har stoppet finansieringen av sårbarhetsregisteret CVE

Fant nøklene

Databasen er ifølge Cellebrite kryptert med SqlScipher, en utvidelse av databasesystemet SQLite. Det benyttes 256-bit AES-kryptering. 

Cellebrite har ikke greid (eller forsøkt) å knekke krypteringen, men selskapet har greid å finne nøkkelen som databasen er kryptert med, i tillegg til metodene for hvordan denne kan brukes til å dekryptere databasen. 

Fullt så enkelt er det likevel ikke. På dette stadiet kan tekstmeldinger leses, men vedlegg til meldingene, som bilder og lydfiler, er separat kryptert. I det opprinnelige blogginnlegget er det også beskrevet hvordan Cellebrite kom rundt dette. 

Omdiskuterte kunder

De primære kundene til Cellebrite er politi- og justismyndighetene i land over hele verden, noe som har ført til at selskapet har fått kritikk, blant annet for å selge produktene sine til nasjoner som i liten grad bryr seg om ytringsfrihet og andre menneskerettigheter.

Ifølge Haaretz hevder selskapet at det ikke selger til hvem som helst, og at det er et krav om at de som bruker teknologiene må følge lokal lovgivning. Dette inkluderer likevel land som Indonesia, Hviterussland, Saudi-Arabia og Venezuela. 

Dette har ført til at i alle fall én menneskerettsadvokat i Israel har tatt til orde for at landet må regulere Cellebrites teknologier på samme måte som våpensalg. 

I forrige uke avslørte Gizmodo for øvrig at flere skoledistrikter i USA har kjøpt produkter eller tjenester fra Cellebrite eller lignende selskaper. 

Det er kjent at Kripos (for abonnenter) er blant de norske kundene til Cellebrite.

Kvantemaskiner vil kunne løse beregninger som klassiske datamaskiner bruker uoverkommelig lang tid på. For eksempel kan de faktorisere store tall, som er grunnlag for mange krypteringsmetoder.
Les også

Kvantemaskiner kan sette vår digitale sikkerhet i fare

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Fra usikker student til ombruksrådgiver i bærekraftig byggebransje!
Les mer
Fra usikker student til ombruksrådgiver i bærekraftig byggebransje!
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra