Femte juli

Nätet till folket!

Europa

Kategorin Europa används för nyheter och notiser som gäller Europa, men som inte nödvändigtvis kommer från EU. Det kan till exempel gälla människorättsfrågor i Europarådet.

Kriget mot krypterad kommunikation

av

Europeiska polischefer kräver det omöjliga: Bakdörrar till krypterade meddelanden utan att sätta säker kommunikation på spel.

I veckan gick ett antal europeiska polischefer ut och krävde att myndigheterna får tillgång till totalsträckskrypterad / end-to-end-krypterad (E2EE) kommunikation.

Detta är en dragkamp som pågått i många år. Polisen och de flesta politiker ägnar sig åt ett ständigt krypskytte mot privat kommunikation. Trots att sådan är en grundläggande mänsklig rättighet.

»Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.« Så säger EU:s människorättsstadga, som är en del av Fördragen.

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens« instämmer Europakonventionen om skydd för de mänskliga rättigheterna.

Naturligtvis skall man övervaka människor som misstänks för brott. Men inte alla andra, hela tiden. Principen har slagits fast av EU-domstolen.

Krypterad kommunikation är en förutsättning för privat korrespondens och därmed är E2EE en del av denna mänskliga rättighet, säger Europadomstolen.

Polisen kan redan använda sig av spionprogram (hemlig dataavläsning) för att komma åt misstänktas meddelanden på själva telefonen eller datorn – innan de krypterats och efter att de av-krypterats.

E2EE används för säker kommunikation av journalister, dissidenter, visselblåsare, företag, myndigheter och privatpersoner världen över. Konsekvenserna av att undergräva den är närmast oöverskådliga och oacceptabla.

Vad polisen vill är att e-post- och meddelandetjänster skall skapa bakdörrar i den kryptering de använder för sina kunders räkning.

Verkligheten går dock åt ett annat håll. Nu erbjuder även Meta (Messenger, WhatsApp, Instagram) sina användare E2EE. Meddelande-appar som Signal erbjuder redan tidigare säker, krypterad kommunikation.

Vilket fått de europeiska polischeferna att göra sitt uttalande. Graeme Biggar, director general på brittiska National Crime Agency (NCA) säger till BBC:

»Tech companies are putting a lot of the information on end-to-end encryption. We have no problem with encryption; I’ve got a responsibility to try and protect the public from cybercrime, too — so strong encryption is a good thing — but what we need is for the companies to still be able to pass us the information we need to keep the public safe.«

Detta är en självmotsägelse. Antingen har man säker totalsträckskrypterad kommunikation eller så har man det inte.

Öppnar man bakdörrar kommer dessa att läcka och att exploateras av hackare, bedragare och kriminella. Samt av andra aktörer med onda avsikter, till exempel främmande makt som vill spionera på våra myndigheter och företag.

TechCrunch noterar:

»In recent years, the U.K. Home Office has been pushing the notion of “safety tech” that would allow for scanning of E2EE content to detect CSAM without impacting user privacy. However, a 2021 “Safety Tech” challenge it ran, in a bid to deliver proof of concepts for such a technology, produced results so poor that the expert appointed to evaluate the projects, the University of Bristol’s cybersecurity professor Awais Rashid, warned last year that none of the technology developed for the challenge is fit for purpose. “Our evaluation shows that the solutions under consideration will compromise privacy at large and have no built-in safeguards to stop repurposing of such technologies for monitoring any personal communications,” he wrote.«

Naturligtvis finns här en bakomliggande historia, vilket bekräftas av polisens pressmeddelande. »Deklarationen som nu antagits av polischeferna i Europa är en direkt förlängning av det svenska initiativet Going Dark, som Sverige drev under det svenska EU-ordförandeskapet första halvåret 2023.«

Going Dark är ett ljusskyggt projekt som inleddes med att EU-kommissionen tillsatte en »High-Level Expert Group« för att diskutera hur man skall komma åt krypterad kommunikation.

Snabbt ändrades namnet till en »High-Level Group«. För expertgrupper gäller nämligen högre krav på öppenhet och allsidighet, vilket man tyckte var olämpligt i detta fall. Vilka som ingår i gruppen är hemligt.

Men vi har ändå viss information om vad gruppen sysslar med. På sina möten har man bland annat diskuterat client-side-scanning (på din telefon), tillgång till data hos operatörerna, tillgång till data i transit, spionprogram och hur man skall komma runt EU-domstolens förbud mot generell datalagring.

Något sätt att komma åt E2EE kommunikation har de dock inte funnit. Därav de europeiska polischefernas uttalande.

Striden om totalsträckskryptrad kommunikation fortsätter.

Länkar:
• Polisen: Europas polischefer går samman mot grov brottslighet i en digital värld »
• TechCrunch: European police chiefs target E2EE in latest demand for ‘lawful access’ »
• MEP Patrick Breyer (PP, DE): Police chiefs want to halt secure end-to-end encryption to enable chat control bulk scanning of all private messages »

Relaterat:
• Going dark – EU:s krig mot krypterad kommunikation »

Europadomstolen: Totalsträckskryptering är en mänsklig rättighet

av

Europadomstolen försvarar rätten till totalsträckskrypterad kommunikation. Detta sätter käppar i hjulet för det svenska utredningsförslag som vill avskaffa den.

Europadomstolen för de mänskliga rättigheterna (ej att förväxla med EU-domstolen) har nu slagit fast att myndigheterna inte har rätt att kräva ut nätanvändares totalsträckskrypterade (E2EE) kommunikation i läsbar form.

Domstolen slår alltså fast rätten till säker totalsträckskrypterad kommunikation.

Europadomstolen delar även EU-domstolens uppfattning om att datalagring (lagring av metadata om allas telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m.) strider mot vad de grundläggande mänskliga rättigheterna har att säga om rätten till privatliv och privat kommunikation.

Detta menar domstolen även gäller meddelandetjänster.

Domen är extra intressant för oss i Sverige. Här har en utredning nyligen föreslagit att:
i) datalagringen bör utökas till att även omfatta meddelandetjänster
ii) dessa på begäran skall tvingas lämna ut innehåll i elektronisk kommunikation till myndigheterna i läsbar form.

Båda dessa förslag säger alltså Europadomstolen nej till. Utöver deklarationen om de mänskliga rättigheterna hänvisas till flera principiella uttalanden av Europarådet (till vilket Europadomstolen är kopplad). Europarådet består av fler europeiska länder än EU och är organisationen bakom Europakonventionen om de mänskliga rättigheterna.

Vad gäller den andra punkten menar domstolen helt korrekt att en operatör inte kan bereda sig tillgång till en användares totalsträckskrypterade meddelanden utan att samtidigt undergräva möjligheten till säker E2E-kryptering för alla.

Detaljerna i fallet rör meddelande-appen Telegram. Även om dess default-läge bara är kryptering mellan användare och meddelandeserver kan användare slå på totalsträckskryptering, vilket här är fallet.

Målet är mellan användare och ryska staten. Även om Ryssland lämnat Europarådet strax efter invasionen av Ukraina påbörjades ärendet tidigare och rör perioden då landet fortfarande var med.

Ärendet är av principiell betydelse och domen gäller alla Europarådets medlemsstater. Den är sprängstoff med tanke på att EU just nu försöker finna nya former för datalagring och för att kringgå totalsträckskrypterad kommunikation.

Det skall även bli intressant att se hur detta kommer att påverka utformningen av ny svensk lagstiftning om datalagring. Sådan kommer att bli nödvändig, då den nuvarande svenska lagen (trots att den skrevs om) fortfarande bryter mot den princip som slagits fast av EU-domstolen:

Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Länkar:
• Europadomstolens dom »
• Inlaga i processen från European Information Society Insitute (EISi) »

Relaterat från denna blogg:
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Striden om ett nytt datalagringsdirektiv i EU »
• Going dark – EU:s krig mot krypterad kommunikation »

Social scoring testas nu även i Europa

av

Det system med social scoring som provats i delar av Kina har väckt uppmärksamhet och förfäran. Nu testas konceptet i Europa.

Italienska Bologna prövar nu en »Smart Citizen Wallet«. Det är en (än så länge) frivillig app, i vilken medborgarna kan samla poäng genom att till exempel sopsortera och åka kollektivt. En liknande app har testats i Rom.

Den som är duktig, lydig och välkammad kan komma att få olika former av rabatter.

Den stora frågan är OM detta skulle bli ett mer allmänt system – VEM är det då som skall bestämma VILKET BETEENDE som skall belönas eller straffas? Och på vilka grunder?

Det saknas inte politiska trender och en vilja till förmynderi som kan få genomslag här.

Man kan också fundera över om det är så bra att gradera medborgarna efter förment präktighet. Här finns en uppenbar risk att människor kommer att tillerkännas olika rättigheter inför staten. Som i Kina.

Detta för att inte nämna riskerna vad gäller skydd av persondata, rätten till privatliv och risken för övervakning.

Social scoring var en farlig och dålig idé i Kina – och är det även i Europa.

• Bologna führt Pilotprojekt für Sozialkredit-System ein »

Nu granskas hemlig europeisk övervakning i politiska syften

av

Idag har Europaparlamentet startat utfrågningar om spionprogramvaran Pegasus, som bland annat använts för att spionera mot oppositionella i Polen och Spanien.

Pegasus är en spionprogramvara som tillverkas av israeliska NSO Group. Enkelt uttryckt möjliggör den hemlig dataavläsning och ger tillgång till det mesta som finns på en mobil eller surfplatta.

Det finns gott om exempel på hur Pegasus använts för att övervaka journalister och oppositionella runt om i världen. Det gäller även europeiska länder som Polen och Spanien.

Katalanska politiker, ledamöter av Europaparlamentet, jurister, människorättsaktivister och deras anhöriga är exempel på personer som övervakats med detta verktyg.

Att detta är ett demokratiskt problem är uppenbart. Men problemet är även tekniskt. För att kunna använda hemlig dataavläsning behöver myndigheterna utnyttja tidigare okända säkerhetsluckor i vår IT-infrastruktur. Dessa luckor lämnas sedan öppna, istället för att täppas till – för att övervakningen skall kunna fortsätta. På så sätt blir vi alla mindre säkra.

Även svensk polis använder sig av hemlig dataavläsning. Om det sker med Pegasus går inte att få reda på. Men svenska staten har alltså samma slags verktyg för övervakning som de länder som inte kunnat motstå frestelsen att använda den i politiska syften.

• Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru »
• More Polish opposition figures found to have been targeted by Pegasus spyware »
• Pegasus och annan statlig spyware sågas av FN-kommissionär »

Bryt Moskvas informationsblockad mot det ryska folket

av

Det pågår en kamp om verklighetsbilden i Ryssland. Just nu tycks regimen ha kontroll. Men det kan aldrig hålla i längden. Nu är alla insatser för att visa ryska folket vad som verkligen sker i Ukraina betydelsefulla.

Jag läser om ryssar i Ukraina som helt enkelt inte blir trodda när de berättar om kriget för sina släktingar i Ryssland, per telefon. Men jag läser även om initiativ som går ut på att kontakta ryska släktingar och vänner för att på ett sakligt sätt informera dem om vad som verkligen sker.

Sådant är oerhört viktigt, då ryska folket för tillfället lever i en bubbla av propaganda och fake news.

Jag läser även om stora ryska siter som håller tyst om övergreppen mot det Ukrainska folket, trots att de som driver dem egentligen känner till vad som sker.

Men det sprids en motbild, bland annat från Anonymous som enligt uppgift hackar de stora ryska nyhetssiterna, inklusive tv. De uppger sig även ha hackat ryska försvarsministeriets databaser. Till och med laddstolpar för elbilar skall ha hackats och visar nu krav på fred. Om detta stämmer är det strålande nyheter.

I Belarus ägnar sig cyberpartisaner åt att kartlägga ryska trupprörelser i landet och att störa militära transporter som sker med järnväg. De bekämpar dessutom den egna förtryckarregimen.

Men det kan göras mer. Det måste göras mer. Även om information om den verkliga situationen för tillfället bara sipprar in i Ryssland, så kan droppen urholka stenen. Till slut når man en tipping point, där övergreppen inte längre kan förtigas.

Nu måste alla göra vad de kan. Nät- och IT-världen kan till exempel sätta upp fler TOR-bryggor – så att i vart fall nätkunniga ryssar kan få tillgång till fri information.

En annan idé kan vara att hjälpa till att sprida kunskapen om end-to-end-krypterad e-post till fler ryssar, så att de kan kommunicera rimligt fritt och säkert. Och nya, decentraliserade meddelande- och chat-appar finns tillgängliga. Kom gärna med fler tips i kommentarerna.

Kanske kan man även ta till gamla motståndsmtoder, som i kampen mot den sovjetiska diktaturen. Då spreds olaglig, underjordisk press. Detta kan ske även idag. Överallt finns kopiatorer och printers. Om ryssar förses med information och inte minst med bilder av vad som sker kan det etableras ett lowtech-motstånd.

Och varför inte faxa bilder och uppmaningar att stoppa invasionen till alla kända ryska faxnummer? Eller rent av skriva brev till alla ryska kontakter. Alla möjligheter bör nu användas.

Ryska folket lever för tillfället i en situation där det undanhålls viktiga fakta och där korrekt information kan straffas med upp till 15 år i fängelse. Det är vår plikt att stå upp för fri information som låter människor bilda sig en egen uppfattning.

Den ryska invasionen går uppenbarligen inte som planerat. Populära ryska media försvinner från nätet. Ekonomiska sanktioner slår med kraft mot den ryska ekonomin. Vanliga människor börjar undra vad som egentligen pågår. Och nu kommer dödsbuden från fronten till förkrossade ryska familjer. Hela det ryska autokratiska systemet är i gungning.

Då kan enskilda, små insatser få hela denna metastabila situation att svänga. Kaosteori (som även i delar är applicerbar på samhällsutveckling) lär oss att polskiften kan ske mycket snabbt och väldigt plötsligt. Det kan vara din insats som till sist får allt att svänga.

Låt nu kreativiteten flöda. Hjälp det ryska folket att få tillgång till fri information. Och tänk gärna utanför boxen.

Det angreppskrig som syftar till att tvinga det fria ukrainska folket till underkastelse måste få ett slut. Och det ryska folket måste få sin frihet åter.

Det live-streamade kriget

av

Rysslands anfallskrig mot Ukraina direktsänds på nätet. Vilket kommer att bli en utmaning för den ryska regimen, inte minst på hemmafronten.

Vietnamkriget var det första krig som utspelades inför rullande tv-kameror. Vilket förändrade bilden av kriget och dess fasor. Möjligen bidrog detta till att förkorta kriget, då det påverkade den amerikanska hemmaopinionen.

När Ryssland nu anfaller Ukraina kommer kriget att rapporteras i realtid, online. Utvecklingen går att följa på ständigt uppdaterade kartor. Bilder på det som sker når oss på sekunder. Vad som sker går inte att dölja.

Samtidigt skall man vara uppmärksam vad gäller desinformation, propaganda och rykten. De ryska trollfabrikerna kommer att jobba för högtryck, som den väpnade aggressionens gren på nätet.

Å andra sidan bedrivs en omfattande digital forensisk verksamhet. Det blir svårare för den som vill förvränga eller försköna verkligheten.

En del saker är uppenbara. Putins framträdanden och informationen från Kreml behöver ingen tolkning. Det som sker är inget annat än en aggression mot ett självständigt, demokratiskt land.

En front gäller det ryska folkets tillgång till fri, korrekt information. Oavsett hur mycket digitala murar Putin försöker bygga upp, så kommer information att sippra igenom och spridas. Det går inte att stoppa.

Detta är viktigt, då den enda hållbara utvecklingen är att ryska folket omvandlar landet till en demokrati. Men än så länge får de flesta ryssar sin information genom statskontrollerade media.

På samma sätt som dissidenter bekämpade den sovjetiska diktaturen med underjordisk press, kan nätet utmana den ryska krigiska regimen. Här kan den fria världen vara till hjälp.

Utöver att det som nu sker är fullständigt förfärligt – skall det att bli intressant att följa hur kriget kommer att spelas ut på nätet.

ID-krav för att få titta på nätporr

av

Allt fler länder i Europa försöker göra det omöjligt att titta på nätporr anonymt. Tyskland, Frankrike och Storbritannien är först ut.

I Storbritannien gör man ett nytt försök att införa åldersverifikation för porrsiter, i sin online safety bill. Ett liknade förslag stoppades för ett par år sedan.

I Tyskland gäller samma sak sedan 2020, vilket bland annat lett till att ett 60-tal Twitter-konton blockerats i landet.

Twitter väljer där att blockera vissa större konton med erotik för användare med tyska IP-adresser – istället för att behöva införa åldersverifikation för alla användare.

Frankrike är på väg att göra något liknande, specifikt riktat mot åtta större porrsiter.

Med tanke på att det går att dela innehåll av sexuell natur på så gott som alla plattformar (även om vissa förbjuder det i sina användarvillkor) – så innebär detta strikt tillämpat att alla användare på sociala media måste identifiera sig, för att säkerställa deras ålder.

Oavsett vad man tycker om att minderåriga kan få se något naket på nätet – så drabbar detta alla. Inför man åldersverifikation innebär det att alla besökare på siter med sexuellt innehåll måste registrera sig.

Vilket rimmar illa med att EU i sin nya Digital Services Act kan vara på väg att slå fast människors rätt att vara anonyma online.

Om den som vill titta på porr tvingas registrera sina personuppgifter hos okända företag kan det vara avskräckande i sig. Speciellt om det kan kopplas till sexuella preferenser. Inte minst då sådana databaser ibland hackas och läcker.

Dessutom är ID-krav på nationell nivå ett slag i luften, då det lätt kan kringgås med en VPN-uppkoppling till ett annat land som inte har samma regler.

Detta för att inte tala om hur många porrsiter det finns runt om i världen som inte bryr sig om europeiska regler. Har man tänkt sig blockera dem..?

Att försöka hindra tonåringar från att titta på porr känns för övrigt som en hopplös kamp.

Vill man stoppa pornografi, då får man göra den olaglig som sådan. Men att politiken inskränker tillgången till icke olagligt innehåll på grund av moralpanik är inte rimligt. Yttrandefrihetens gränser skall sättas av lagarna och gälla så väl online som i den fysiska världen.

• Wired: Twitter Has Started Blocking Porn in Germany »
• Reason: European Leaders Find Backdoor Way To Ban Porn on Social Media »

FRA: Sverige trotsar Europadomstolen för de mänskliga rättigheterna

av

Dagens rekommenderade läsning är en debattartikel om FRA i Svenska Dagbladet (9/12) från Fredrik Bergman, jurist och chef för Centrum för rättvisa.

FRA-lagen antogs 2008 och gav Försvarets radioanstalt rätt att spana på innehållet i elektroniska kommunikationer som passerar landets gränser. Sedan dess har den stegvis utökats. Nu kan den till exempel även användas för att spana på svenska folkets kommunikationer inom landet.

Sammanfattning:

  • 2008 anmälde Centrum för Rättvisa den svenska FRA-lagen till Europadomstolen.
  • I maj i år kom domen. Sverige fälldes för brott mot artikel 8 i Europakonventionen, som gäller skyddet för medborgarnas privatliv.
  • Europarådets ministerkommitté har beslutat att inleda en särskild granskning av hur Sverige följer domen. Sverige hade fram till 25 november i år på sig att yttra sig.
  • Regeringens svar är att senast 2025 skall man tillsätta en utredning som skall se över frågan.
  • Härom veckan beslutade riksdagen att kraftigt utöka FRA-lagen – inte misnt på områden som Europadomstolen anser vara särskilt problematiska.

Den svenska riksdagen gör alltså – medvetet – tvärt emot vad Europas tyngsta instans i medborgarrättsfrågor kommit fram till.

Därmed bryter Sverige även mot Europakonventionen om de mänskliga rättigheterna, vilken har grundlags ställning.

Bergman avslutar sin debattare med orden:

»Europakonventionen är ett viktigt verktyg för att främja mänskliga rättigheter i hela Europa, inklusive länder som Ungern, Turkiet och Ryssland. Det kräver att Europadomstolens avgöranden respekteras av alla. Sverige kritiserar gärna andra länder för deras förhållningssätt när det gäller mänskliga rättigheter. I det här fallet är det Sverige som brister.«

Länk: Sverige fälldes – regeringen nonchalerar domen ändå »

Tyskland tar steget in i internetåldern

av

Vi har fått tag i den nya tyska regeringens koalitionsfördrag – och hittar mycket positivt vad gäller nät- och IT-frågorna.

Efter att ha dammsugit vårt nyhetsflöde har vi nu hittat ett par översättningar till engelska av samarbetsavtalet mellan de nya tyska regeringspartierna – socialdemokraterna, liberalerna och de gröna. Än så länge finns en google-översatt variant av hela fördraget samt en preliminär manuellt översättning av de delar som rör de digitala frågorna (PDF).

Som alltid i sådana här sammanhang är det mycket blomspråk, men här är några intressanta nedslag i texten.

  • Man slår fast att öppen standard skall vara regeln för offentliga IT-projekt.
  • Man tänker se till att täcka in de vita fläckarna på uppkopplingskartan och erbjuda medborgarna garanterad bandvidd.
  • Mobiluppkoppling och wifi på tågen skall förbättras.
  • Man tänker garantera rätten till kryptering.
  • Man vill även se en rätt till interoperabilitet och portabilitet.
  • Alla säkerhetsbrister inom IT skall rapporteras in. Detta skall gälla alla myndigheter, vilket även lär omfatta polisen som idag använder sig av säkerhetsluckor för hemlig dataavläsning (Bundestrojaner).
  • Man vill se över landets kritiserade Netzwerkdurchsetzungsgesetz (NetzDG) som inskränker yttrandefriheten online.
  • Man säger nej till generell övervakning, övervakning av privat kommunikation och ID-krav online. (Det lär till exempel innebära ett nej till generell datalagring och meddelandekontroll.)
  • Man vill garantera rätten att vara anonym och att använda pseudonym online.
  • Man flaggar för omfattande investeringar på IT-området. Till exempel nämns AI, kvant-teknologi, cybersäkerhet, blockkedje-teknologi och robotisering.
  • Man säger nej till biometrisk massövervakning och social scoring.
  • Man tänker underlätta för start-ups och småföretag inom IT, till exempel vad gäller finansiering.
  • Man vill stimulera delägarskap (som optioner?) för anställda i IT-företag.

Detta är bara några nedslag i en preliminär översättning av texten.

Som boende i Tyskland kan jag konstatera att det är på tiden att landet tar steget in i den digitala tidsåldern. Till exempel kan det närmast komma att leda till en revolution av den tungrodda och svårnavigerade tyska byråkratin, som idag i stora delar är manuell.

Och vad gäller nätfrihetsfrågorna är det bara att tacka och ta emot. Nu återstår att se om man klarar av att leverera.