I lang tid har man forsøgt at skabe et whistleblower-system, hvor kilder kan aflevere informationer nemt og hurtigt uden at afsløre deres identitet. Der er selvfølgelig mange metoder til at skjule sig online; men i de fleste tilfælde er det alligevel muligt at spore sig tilbage til den oprindelige ip-adresse og dermed den bruger, der har siddet bag skærmen.
Nu har det amerikanske magasin New Yorker udviklet en open source-løsning med navnet Strongbox, som skal gøre det lettere at lække informationer til medierne helt anonymt. Strongbox bruger TOR-netværket til at anonymisere data og krypterer samtidig hele overførslen med PGP.
Den nye løsning er udviklet af hacker-legenden Kevin Poulsen og aktivisten Aaron Schwartz, der begik selvmord i januar. Han var en af stifterne af internet-tjenesten Reddit, men stod anklaget for at have hacket elite-universitetet MIT. Hans arbejde med Strongbox-projektet er beskrevet i denne artikel.
Strongbox bygger på en serie af trin, der sammen skal garantere afsenderens anonymitet. Hele processen er beskrevet i denne infografik.
Det starter med, at meddeleren går på TOR-netværket. Herefter kan man så uploade sine filer eller beskeder, hvorefter afsenderen modtager et tilfældigt genereret kodenavn. Filerne bliver krypteret med PGP og sendt til en server, der er adskilt fra resten af medieselskabets netværk.
Redaktionen hos New Yorker bruger en bærbar computer med en VPN-forbindelse til at kontakte den dedikerede Strongbox-server og se, om der er kommet nyt materiale. Herefter bliver de krypterede filer downloadet til en usb-nøgle.
En anden bærbar computer, der ikke er forbundet med nettet, bliver så bootet fra en live-cd. Indholdet på denne computer slettes, hver gang den starter op. Det skal forhindre, at den f.eks. kan inficeres med malware, der aflurer informationerne.
Herefter bliver en anden usb-nøgle med PGP-krypteringsnøglerne sat i computeren. Den første usb-nøgle med det sendte materiale bliver så tilsluttet, og filerne bliver dekrypteret. Nu har journalisterne adgang til selve filerne.
Strongbox-systemet er indrettet sådan, at redaktionen har mulighed for at sende en besked tilbage til kilden - stadig uden at kende dennes identitet. Denne besked er kun synlig, hvis den oprindelige afsender vender tilbage til Strongbox og benytter det tildelte kodenavn. Ingen andre kan se beskeden.
Den bagvedliggende kode, kaldet DeadDrop, bliver nu frigivet som open source, og avisen forventer, at andre medier og organisationer vil bruge den til at bygge lignende systemer.
Muligheden for at garantere afsenderens anonymitet er helt afgørende for at få meddelere hos store virksomheder og myndigheder til at komme frem med belastende materiale. Historiens mest berømte anonyme kilde er nok "Deep Throat", som bidrog til afsløringen af Watergate-skandalen, der fældede den amerikanske præsident Richard Nixon. Kildens identitet blev først afsløret i 2005.
