Äskettäin jätetty ryhmäkanne Yhdysvaltain liittovaltion tuomioistuimessa(uusi ikkuna) väittää, että WhatsAppin lupaus päästä päähän -salauksesta (E2EE) on harhaanjohtava. Valitus väittää, että Metan työntekijät pystyvät käyttämään WhatsApp-viestien sisältöä sisäisten järjestelmien kautta, huolimatta toistuvista vakuutuksista siitä, että ”ei edes WhatsApp(uusi ikkuna)” voi lukea käyttäjien viestejä.
Lukekaa koko oikeusjuttu täältä:
Oikeusjuttu, joka jätettiin 23. tammikuuta Kalifornian pohjoisessa piirioikeudessa, esittää laajoja syytöksiä.
Valituksen mukaan nimettömät ilmiantajat väittävät, että Metan henkilökunta voi pyytää pääsyä WhatsApp-viesteihin sisäisen tehtäväjärjestelmän kautta. Kun se on hyväksytty, valitus väittää, viestejä voidaan tarkastella lähes reaaliajassa ja historiallisesti, ilman ylimääräistä salauksenpurkuvaihetta.
Oikeusjuttu väittää, että tämä väitetty pääsy on ristiriidassa WhatsAppin julkisten lausuntojen, markkinointimateriaalien ja lainsäätäjille annettujen todistusten kanssa, joissa vakuutetaan, että viestien sisältö on vain lähettäjien ja vastaanottajien saatavilla.
Meta kiistää väitteet. Lausunnossaan Bloombergille(uusi ikkuna) Metan tiedottaja Andy Stone sanoi: ”Kaikki väitteet siitä, että ihmisten WhatsApp-viestit eivät ole salattuja, ovat kategorisesti vääriä ja absurdeja. WhatsApp on ollut päästä päähän -salattu Signal-protokollaa käyttäen vuosikymmenen ajan. Tämä oikeusjuttu on kevytmielinen fiktiivinen teos.”
On tärkeää erottaa syytökset ja vakiintuneet tosiasiat. Valitus ei sisällä teknisiä todisteita, jotka osoittaisivat kryptografisen takaportin tai muuten todistaisivat, että WhatsAppin salaus on vaarantunut. Tässä vaiheessa väitteet ovat todistamattomia.
Aiempi raportointi on osoittanut, että WhatsApp voi käyttää viestejä, jotka käyttäjät ilmoittavat manuaalisesti väärinkäytöstä, ja että se kerää laajasti metatietoja(uusi ikkuna). Tuo raportointi ei kuitenkaan tue väitteitä rutiininomaisesta tai yleisestä pääsystä viestien sisältöön.
Silti tapaus herättää tutun ja epämukavan kysymyksen: kun alusta on suljettua lähdekoodia ja yhden yrityksen hallinnassa, voivatko käyttäjät lopulta luottaa vakuutuksiin, joita he eivät voi itsenäisesti vahvistaa?
Päästä päähän -salaus on tekninen takuu siitä, että viestien sisältö on luettavissa vain lähettäjälle ja tarkoitetulle vastaanottajalle, koska viestien salauksen purkamiseen tarvittavat avaimet ovat olemassa vain käyttäjien laitteilla eivätkä ne ole koskaan kenenkään muun saatavilla.
Tämän tapauksen edetessä se vahvistaa yksityisyyden ydinperiaatetta: salauksen tulisi olla todennettavissa, ei luottamuskysymys.
