I en ny instruktion för totalsträckekrypterade applikationer inför Försvarsmakten ett ska-krav på att appen Signal ska användas för meddelanden och samtal med motparter i och utanför Försvarsmakten om dessa också har Signal. Tillägg 2025-02-13 13:37: Karl Emil Nikka har publicerat hela instruktionen här.
I instruktionen FM2025-61:1 som publicerades idag anges det alltså att Signal ska användas för att försvara avlyssnings av samtal och meddelanden via telefonnätet och försvåra spoofning av telefonnummer.
Det står bland annat:
“Underrättelsehotet mot Försvarsmakten är högt och avlyssning av telefonsamtal och meddelanden är kända tillvägagångssätt hos hotaktörer.
[…]
Använd en totalsträckskrypterad applikation för alla samtal och meddelanden till motparter i och utanför Försvarsmakten som har möjlighet att använda totalsträckskrypterad applikation.
Utpekad applikation
Försvarsmakten använder Signal som totalsträckskrypterad applikation.“
Att Signal ska användas motiveras också:
“Huvudskälet till valet av Signal är att applikationen har en stor spridning bland myndigheter, industri, partners, allierade och andra samhällsaktörer. Bidragande skäl är att Signal har genomgått flera oberoende externa säkerhetsgranskningar, signifikanta fynd vid dessa har omhändertagits. Säkerheten i Signal antas därför vara tillräcklig för att försvåra avlyssning av samtal och meddelanden.
Signal är fri och öppen programvara och innebär inga investeringar eller licenskostnader för Försvarsmakten.”
Signal har stöd för både ljud- och videosamtal, gruppchattar och direktmeddelanden samt gruppsamtal, samt även en enkel händelsebaserad social mediafunktion.
Appen finns för iPhone, iPad, Android, och åtminstone desktopoperativsystemen MacOS, Windows och Linux.
Eftersom Signal kan användas för telefonsamtal är instruktionen i princip en instruktion att Försvarsmakten ska sluta använda vanlig telefoni utan istället föra samtal via Signalappen i varje fall där det är möjligt (t ex inte till olika företag och myndigheter som ej har Signal), och inga SMS eller andra sämre meddelandetjänster ska användas.
Notera att säkerhetsskyddsklassificierade uppgifter ej får skickas med Signal, utan detta handlar om vanlig kommunikation inklusive sekretessbelagda uppgifter som inte är säkerhetsskyddsklassade vilket också står i instruktionen. Det samma gäller filer.
Instruktionen är allmän handling och inte sekretessklassad.
Signal används redan av många myndigheter, inklusive Regeringskansliet och Utrikesdepartementet, men samtidigt vill både EU via den sk Chat Control (2.0) förbjuda appen och även regeringen mumlar om att förbjuda appen, som alltså Försvarsmakten nu anser är ett krav för all telefoni och direktmeddelanden när så är möjligt.
För övrigt bör förstås alla privatpersoner inklusive inom familj och relationer redan använda Signal för all kommunikation telefon till telefon för att säkerställa privatliv, säker, verifierad och äkta kommunikation. Att t ex spoofa ett telefonnummer är trivialt och särskilt för främmande makt med en statlig teleoperatör, som rent av med några klick kan göra så att alla mobiltelefonsamtal till din telefon går via främmande makts land eller rent av till en telefon hos främmande makts underrättelsetjänst. Det finns exakt noll säkerhet i hur ett telefonsamtal routas eller identifieras via caller id. Vet främmande makt t ex telefonnumret till svenska ÖB:s mobiltelefon så kan alla telefonsamtal dit kopplas om så de går via en rysk teleoperatör. Det går inte via Signal dock, som ej heller går att avlyssna.
Signal är för övrigt blockerat i ett antal länder med tveksam syn på demokrati, t ex Qatar (Doha) vilket man kan upptäcka om man ska byta flyg där. Kanske kan vara en tankeställare för EU och svenska regeringen om man vill uppföra sig som en fundamentalistisk diktatur eller om man har lite ryggrad och står för något.
56 kommentarer
Bloggaren har inte händelsevis en länk till instruktionen?
Jag letade efter samma sak!
Finns på berörda interna tjänster hos Försvarsmakten eller att begära ut som offentlig handling.
Ok, rimligt. Är bloggaren säker på att dokumentet heter FM2026-61:1, och inte FM2025-61:1?
Heh, 2025 ska det vara.
Handlingen är föredömligt kort på två sidor, jag har citerat nästan hela.
Say whaaat ska inte foi och KTH forska fram en egen app lagom till 2080!!!!
Jo, regeringen har tilläggs budgeterat 100miljarder för att fram en svenska app. Uppdraget har gått till svenskt bolag som ägs av en tidigare studiekamrat till statsministern.
Toppen! “Jag har också gått över till Signal”, som en gammal reklam lät.
Hemvärnet har kört Signal ett par år. Men då med tillägget, som ersättning för sms, och även om det är krytperat ska inte hemligheter skickas över Signal. Har kört det i fem år eller något sådant, fungerar utmärkt och är enkelt att använda.
Det där med att chatgpt lagen vill förbjuda det hela säger bara om vilken galenskap den lagen är. Någon har tänkt. Men inte rätt.
HV har nyligen implementerat Slack. Frågan är hur man tänker med Slack vs Signal… Iofs kan man göra mer i Slack, men i instruktionerna till Slack står uttryckligen att man inte ska använda andra kommunikationslösningar. Well…
HV har nyligen implementerat Slack. Frågan är hur man tänker med Slack vs Signal… Iofs kan man göra mer i Slack, men i instruktionerna till Slack står uttryckligen att man inte ska använda andra kommunikationslösningar. Well…
Idioti. Behöver man en “Slack/Teams/Discord” som är lika säker som Signal kör man Matrix.
Är man ett företag eller myndighet förslagsvis genom att sätta upp en egen (federerad) Matrix-server dessutom.
En app med för säker kommunikation dyker upp. En rysk entreprenör står bakom den.
Den verkar jätte bra, enkel, billig smidig. alla med något värt att skydda styr över sin kommunikation dit, regeringsfolk, militärer, you name it.
Skönt att informationen är samlad på ett säkert ställe nu. Puh det var i grevens tid att vi fick till detta. 🤔
Du får gärna utveckla vad du menar med “rysk entrepenör”. Är det Brian Acton, en av medgrundarna till WhatsApp du syftar på? Eller Moxie Marlinspike, bland annat fd head of cybersecurity på Twitter?
Eller Nikolai Durov och Pavel Durov, som står bakom Telegram?
Signal utvecklas som öppen källkod främst av en stiftelse (Signal Technology Foundation) som för närvarande leds av Meredith Whittaker.
Det var Signals grundare jag hänvisade till. De är inte ryssar.
Jag måste säga att det är ett märkligt sent beslut. Borde tagits för många år sedan.
Var rent av i säkprövning negativt att använda Signal – då hade man något att dölja …
Man får väl, för Sveriges skull, hoppas att det skett någon form av palatsrevolution inom försvaret och att Signalbeslutet bara är början på en större förändring.
Jag funderade på vem som fattar denna typ av beslut, är det GD?
Skulle tro att det i sådana här fall tas fram ett beslutsförslag av någon gruppering som kan gräva ner sig i detaljerna, och högsta hönsen på sin höjd får föredraget ett förslag till beslut som man godkänner eller återremitterar.
För egen del hoppas jag också på att detta är början till en förändring. Det är ju fler och fler länder som på senare tid konstaterat att totalsträckskryptering är bra, ett av de senaste var väl Nederländernas säkerhetstjänst som kopplat till barnpornografidirektivet (“Chat Control 2”) konstaterade att fördelarna med totalsträckskrypterad kommunikation överväger och å det starkaste rekommenderade avslag på Chat Control 2.
Till och med SIDA personal har kört det i 4-5 år
Bra att skänka en slant till Signal foundation varje månad också.
Bra att skänka en slant till Signal foundation varje månad också.
Dubbelpost.. Får skylla på morgontrötthet och skänka en peng till PowerUp, som straff… 🙂
Godmorgon
Hur säkert är whatsapp i jämförelse med Signal?
Enligt uppgift ska WhatsApp använda samma protokoll som Signal, så kryptografiskt borde det inte vara någon större skillnad. Däremot ska man nog räkna med att WhatsApp-användning leder till att stora mängder metadata skickas till annonsföretaget Meta och lagras där för vilka syften de kan tänkas hitta på.
Signal Foundation har vid ett flertal tillfällen fått domstolsförelägganden om att lämna ut information om användare, och publicerar också själva de svar som de ger. Ska man lita på att de inte vid upprepade tillfällen begått mened så har Signal Foundation typ ingenting alls om sina användare. Att jämföra med Meta som vi vet har massor om sina användare.
Det gör som standard en okrypterad backup på Google Drive.
Signal om jag minns rätt är baserat på telefonnumret va? Som whatsapp.
Smidigt såklart men är det tillräckligt säkert?
Telefonnumret är bara en identifierare på samma sätt som epost i andra sammanhang, så det har inget med kryptering eller liknande att göra. Förutsatt att du vet vem det är som du lägger till så är det tillräckligt bra (precis som i alla andra sammanhang så måste du vara säker på att den på andra sidan är rätt person).
Telefonnumret är bara en identifierare på samma sätt som epost i andra sammanhang, så det har inget med kryptering eller liknande att göra. Förutsatt att du vet vem det är som du lägger till så är det tillräckligt bra (precis som i alla andra sammanhang så måste du vara säker på att den på andra sidan är rätt person).
En fördel med telefonnummer är ju också att det är bökigt att regga fejkkonton.
Jag tänker på risken att få sitt Signalkonto kapat?
Används telefonnumret för att t ex återställa tillgång till kontot via sms.
Kryptonyckeln finns bara på din klient, den kan inte kapas. Skulle någon registrera ett nytt konto på samma telefonnummer kommer alla notifieras om att kryptonyckeln har ändrats.
Fysisk säkerhet över klienten gäller alltid. Det enklaste sättet att hacka något är en stor skiftnyckel och två personer med framåtlutat våldsmandat riktat mot en person med tillgång, och det gäller alla system.
I övrigt kan man inte återställa tillgång utan kryptonyckeln. Du kan vid byte av telefon bli av med all din historik.
Precis som Pekn skrev 08:34 så är telefonnumret i sammanhanget bara en identifierare. Telefonnumret har inget med krypteringen att göra och även om du lyckas ta över både telefonnummer och Signalkonto (som i sig kan skyddas ytterligare med starkt lösenord om man vill) så får du inte tillgång till tidigare trafik. (“Forward secrecy”.) Har folk du kommunicerar med dessutom markerat kontakten som verifierad så skriker appen i högan sky om att motpartens nycklar ändrats i det läget, så det är svårt att av misstag kommunicera med en tredjepart i det läget.
Frågar du folk inom infosäk så är konsensus att Signal sett till säkerhets- och integritetsgarantier är i absolut toppklass inom vad tjänsten tillhandahåller; alltså främst textmeddelanden, grupptextchattar, telefonsamtal och videosamtal.
Vore det helt säkert och omöjligt att avlyssna så skulle varenda liten smågangster använda Signal. Är något för bra för att vara sant, då är det oftast inte sant. Så vad har jag missat? Måste man ha ett fast telefonabonnemang och/eller identifiera sig vid nedladdning eller?
Det gör dom. Googla “gängkriminella appen signal” så får du en uppsjö med artiklar om hur det används. Även info från polismyndigheten och kris.se. Varsågod.
Använder Signal och är inte gängkriminell.
Ja, appen används av kriminella precis som Bitcoin vilket inte är så konstigt då det finns kriminella.
Du behöver ha ett sim-kort i mobilen för att få tjänsten att lira.
Nej, du behöver inte ha SIM-kort i mobilen.
Däremot behöver du ha något telefonnummer där du kan ta emot antingen SMS eller telefonsamtal, för den första registreringen.
Efter det sätter man självklart upp ett användarnamn så behöver man inte lämna ut telefonnumret alls.
Ska bli tydligare framöver.
Lira i detta sammanhang är för mig ett sim-kort med kontakter.
Ja, det finns andra alternativ som du beskriver om man är paranoid eller kriminell.
Du registerar dig med ett telefonnummer, tex en gammal avlägsen släkting. Sen tar du ut simkortet ur telefonen och kommunicerar via wifi. Behöver du mobilitet så tar du en mobil router som är registerad på någon kompis, som du fyller på med kontantkort. Ett problem är dock påfyllnad av kontantkortet, då många operatörer inte tillåter utländska kort som N26 eller Revolut.
Det spelar ingen roll om det inte är helt säkert. Det handlar om informationshygien.
Även om du tvättar händerna efter toabesök kan du ändå drabbas av magsjuka men du slutar väl inte tvätta händerna bara för det?
Och lite som Werner är inne på… även om det skulle vara “för bra för att vara sant” (vilket det inte är enligt många som nagelfarit både tjänsten och deras klienter) så gör ju inte det att man behöver använda ett sämre alternativ.
Verkar bli dubbelpost per automatik ibland? Kanske om man loggar in för att svara, men inte om man redan är inloggad?
Även “Slack” har börjat användas.
Slack är ju Salesforce, ett US-företag. Allt vi skriver hamnar hos NSA, och Trump säljer väl då valda delar till Ryssland för att tjäna en hacka. Jag kan inte lita på en app som har server i USA. Det går bara inte.
Vi ska ligga på egen server, i Sverige, sades det på en Hv-konferens i höstas.
Och har du granskat källkoden så den inte läcker ut allt till NSA, som kravet är? Nähä, inte öppen källkod. Ojdå.
Har du granskat den?
Jag har ingen aning, kan inte veta allt. Ibland får man ju ta folk på orden.
MUST har förmodligen varit involverad på något sätt, betvivlar att RiksHv har gjort detta hipp som happ. På något sätt har det godkänts av “Försvaret”.
Hur installerar man signal på Fältapa M/37?
Det finns ett USB-uttag på undersidan, du laddar ned appen på USM modell 1964 och sen sköter fältapan uppdateringen själv, du ser på m/37 färgskärm när uppdateringen är klar.
Signal är förbjudet i Ryzzland. Det är en kvalitetsstämpel.
Jag har lämnat FM nu sen länge, men under min tid där så hann jag inse att vid en konflikt skulle internet och mobilnätet fungera, och med alla telefoner skulle en liten mobilrouter nära en väg inte singlas ut eller identifieras på samma sätt som en sändarmast i ett radiofordon. Hemlig kommunikation skulle kunna göras med en typ Netgear 5G router som har proton VPN, protonmail och signal. Hemlig kommunikation. Ljudfil inspelad från modemet i Kryapp 306 (det finns säkert nyare nu), och sen har ju Starlink tillkommit med tiden. Så visst finns det alternativ som kostar en bråkdel av FM upphandling och som skulle fungera i en Ad hoc miljö, i ett försvar där vi har två brigader idag och där det frivilliga hemvärnet utgör yttäckningen av FM närvaro i landet. Mobil 5G router, Starlink och bra VPN, samt signal räcker långt.
Fungerar i krig för Ukraina, Starlink och VPN alltså.
Fungerar internetbaserad kommunikation i de av Ryssland ockuperade områdena?
Det är något jag verkligen inte förstått med Chat Control 2.0. Det är som att de inte förstår överhuvudtaget vad det är de gör om den lagen blir verklighet.
Det är läskigt att Sverige har sån kåthet på lagen. Helt brainless.
Om man var intresserad av att hjälpa barn skulle man ge signifikant mer till de verktyg som polisen redan har. Istället sitter polisen idag och har överfulla bord med arbete.
Dessutom samarbetade Ylva med amerikanska underrättelsetjänsten genom det där företaget. Nu med Trump i spetsen och eventuella framtida presidenter så vill man ju inte alls att dessa ska ha en igång i våra kommunikationer.
Återigen är det läskigt hur landsförrädare sitter i högsta posterna och bestämmer. Riktigt riktigt vidrigt.