Den decentraliserade meddelandetjänsten Session har länge haft kontor och hemvist i Australien, men flyttar efter påhälsning från den australiensiska polisen till Schweiz.
Under anti-terrorism laws passed in 2018, law enforcement can issue notices requiring developers to assist with an investigation. This can include technical assistance which could require companies to build capability for law enforcement to break the encryption used in their services.
But the powers have rarely been used. And if they had, neither the Australian Federal Police or the services targeted can divulge what an organisation has been ordered to do.
The director of OPTF, Alex Linton, said the looming threat of this legislative power, along with the wider regulatory environment in Australia, had been the tipping point for the organisation shifting to Switzerland.
“The legislative and regulatory landscape in Australia is just completely hostile towards building a privacy tool such as an encrypted messaging app,” he said. “The ongoing threat of these special powers actually being used against us, in the end, being in Australia just threatened our credibility as a privacy tool.”
I korta ordalag alltså – Session är en meddelandetjänst som värderar användardata högt. De totalsträckskrypterar trafiken och använder ett slags ”onion routing”-protokoll (liksom Tor Project) för att decentralisera tjänsten så pass mycket att det både är väldigt svårt att förstå vem som pratar med vem, och samtidigt också väldigt svårt att blockera eller censurera trafik.
Det här tycker australiensisk polis är dåligt, eftersom gängkriminella/terrorister/barn kan använda internet på ett sätt som inte går att övervaka. Därför slog polisen till mot Session, som själva framförallt ser sin lösning som en spännande ny lösning som respekterar och värnar vikten av användarintegritet, dataskydd och informationsfrihet.
Här finns en tydlig intressekonflikt förstås, det går inte att sticka under stol med – men att racka ner på tekniska experter som fokuserar på cybersäkerhet och innovativ teknikutveckling tycker jag är fel.
Jag gillar Session. Inte för att jag använder appen så där oerhört mycket men utvecklarna är trevliga, deras lösning är byggd på helt öppen programvara och de delar gärna med sig av både kod och lärdomar. Just nu arbetar de frenetiskt för att göra appen mer resistent mot blockeringar i Ryssland och Iran.
När jag veckan innan jul fick möjlighet att sitta ner med en av nyckelpersonerna kring Session var han lika tydlig som upprörd.
”Det här handlar inte om Session i sig, det handlar om att man försöker göra det ännu svårare för utvecklare att bygga säker teknik. Det är inte alltid Australien hamnar i rampljuset men det är viktigt att förstå att det som hänt mot oss – att våra anställda får sina hus genomsökta av polis – är del av en historisk trend.”
Sedan följde en lång tirad av tillbakablickar, från Snowdens läckor som pekade ut Australien som en viktig spelare i det globala övervakningsspelet till hur Australiensisk polis knäckt och slagit ut en välkänd meddelandetjänst som sålde dåligt krypterad teknik till gängkriminella världen över. Hen nämnde också hur myndigheterna argumenterat mot Session i samma andetag som man pratat om att förbjuda sociala medier för minderåriga.
Allt i ovanstående stycke är relevant också i en svensk kontext. Inte minst får jag puls av ormolje-diskussionen kring att följa Australiens exempel kring sociala medie-förbud, särskilt när den kombineras med den absurda fäblessen för att föreslå Bank-ID som lösning på allt.
Session har som nämnt nu valt att flytta till Schweiz, eftersom man tror att landets lagstiftning är bättre för utveckling av säkra kommunikationstjänster. Jag tror inte det är sista vi hör från den här meddelande-appen, som ihop med några andra kan komma att bli riktigt intressanta utmanare till Signal när det är dags.