Alternativ til Skype: Jitsi

Skype giver ikke længere den sikkerhed det engang gjorde, og kan tilsyneladende aflyttes af det amerikanske NSA.
New Details on Skype Eavesdropping
How the World Was Misled About Government Skype Eavesdropping
Microsoft hjalp NSA med adgang til Skype, Outlook.com og Skydrive

Dette var dråben! Skype har i de seneste år vist tegn på ikke længere at have den fokus på sikkerhed det engang havde. De seneste afsløringer gør, at vi nu trækker vores anbefaling af Skype tilbage, og i stedet anbefaler et alternativ som vi igennem længere tid har haft kig på, samt foretaget en række tests af: Jitsi.

Hvorfor Skype?
Den oprindelige beslutning om at anbefale Skype var baseret på overvejelser om, hvordan man bedst kunne finde et kompromis imellem sikkerhed og brugervenlighed. Skype har aldrig været open source, hvilket er at foretrække indenfor krypteringsprogrammer. Men Skype havde dengang stor fokus på sikkerhed, og havde desuden den væsentlige fordel, at en del folk allerede anvendte programmet, omend ikke altid med de bedste sikkerhedsindstillinger. Overgangen til Skype var derfor forholdsvis gnidningsløs. Frem for et ultra-sikkert program som meget få vil bruge, kan et rimelig sikkert program som mange er villig til at bruge, godt være at foretrække. Dermed kan den samlede sikkerhed blive øget mere end ved at vælge det i sig selv mest sikre program.

Problemet?
Men Skype blev i 2011 opkøbt af Microsoft og har gentagende gange vist tegn på, at den oprindelige fokus på sikkerhed er ved at forsvinde. Et eksempel er dette. At Microsoft har arbejdet aktivt på at gøre det muligt at aflytte Skype, og løjet om det offentligt, er dråben der nu gør, at vi ikke længere kan anbefale Skype, uanset hvor mange der bruger programmet, og uanset hvor nemt og bekvemt det er at anvende.

Hvorfor Jitsi?
Den nye anbefaling er Jitsi, og denne gang går vi ikke på kompromis med sikkerheden. Det er en anelse vanskeligere at anvende end Skype, og vi har oplevet mindre fejl i programmet som kan være irriterende (eksempelvis får man i skrivende stund fejlmeddelelsen ”null” hvis man forsøger at vælge et password med visse specialtegn). Det er dog stadig så nemt at bruge Jitsi, at enhver kan være med, efter at have fulgt vores vejledning. Og sikkerheden bliver næppe bedre. Jitsi er open source, hvilket giver en sikring imod bagdøre og skjulte funktioner, som ellers kunne bruges til aflytning, sådan som det tilsyneladende sker med Skype lige nu. Jitsi anvender XMPP standarden, hvilket gør det vanskeligere for myndigheder og ondsindede hackere at finde et centralt punkt hvorfra de kan opfange al datatrafikken. Og bliver datatrafikken alligevel opfanget, er chat-beskeder sikret med krypteringsstandarden OTR, og samtaler med ZRTP. Dette er anerkendte end-to-end krypteringsmetoder der betragtes som state-of-the-art. Yderligere giver Jitsi kun mulighed for at nulstille sit password, hvis man har indtastet en email-adresse ved sin kontooprettelse. Muligheden for at nulstille passwords til online logins, email-konti og meget andet, bliver ofte udnyttet af hackere. Ved at følge vores vejledning er der ingen email adresse tilsluttet din Jitsi konto og du er dermed sikret. Til sammenligning giver Skype mange muligheder for at nulstille sit password som potentielt kan udnyttes af hackere (og netop den tilsluttede email adresse har gentagende gange medført problemer).

Løsningen?
Følg vejledningen Krypteret samtale.

Bemærk at man sagtens kan anvende Jitsi og Skype samtidig.