Femte juli Nätet till folket!

Nätet till folket!

Hemlig dataavläsning

Hemlig dataavläsning handlar om att myndigheterna tillåts installera spionprogram på människors datorer och digitala enheter. För att detta skall vara möjligt krävs att man utnyttjar säkerhetsluckor - som då förblir öppna och även kan användas av till exempel kriminella och andra illasinnade aktörer. Säkerhetsluckor bör istället rapporteras in och åtgärdas, för allas vår säkerhet.

Läcka: Regeringens finter om Chatcontrol

av 2 kommentarer

Regeringens senaste förslag om Chatcontrol ändrar inte det faktum att maskiner skall granska innehållet i våra elektroniska meddelanden. Plus att man nu vill kunna installera spionprogram på folks telefoner, plattor och datorer.

I torsdags (14/9) höll riksdagens Justitieutskott möte. Första punkten var EU-kommissionär Ylva Johanssons förslag till ny massövervakning – Chatcontrol.

Protokollet blir inte offentligt förrän torsdag den 21/9, vilket är dagen innan EU-nämnden skall ha sammanträde om samma fråga.

Vi vet dock att inget beslut fattades i Justitieutskottet. Samrådet med regeringen sker i EU-nämnden – som skall skicka med justitieminister Gunnar Strömmer en svensk position till EU:s ministerrådsmöte den 28 september.

Ett dygn innan Justitieutskottets möte delades regeringens förslag till svensk ståndpunkt till ledamöterna.

Hur man än vänder och vrider på dokumentet står en sak klar: Regeringen vill fortfarande ha obligatorisk granskning av innehållet i folks elektroniska meddelanden.

Man kan även dra slutsatsen att det slutliga beslutet (som skulle ha fattats redan under det förra svenska EU-ordförandeskapet) drar ut på tiden. Detta ministerrådsmöte blir sannolikt inte det sista och avgörande, vilket man från början hade tänkt sig.

Således är bollen fortfarande i spel – kanske ända in i vårens EU-valrörelse.

Låt oss gå igenom regeringens förslag i sin helhet, stycke för stycke:

»Förslag till svensk ståndpunkt
Regeringen välkomnar ordförandeskapets arbete med förordningsförslaget. Det är viktigt att arbetet för att förebygga och bekämpa sexuella övergrepp mot barn kan bedrivas på ett effektivt och ändamålsenligt sätt. Brottsligheten är allvarlig och omfattade. Situationen riskerar att förvärras. Därför är det viktigt att förhandlingarna om förordningen kan föras framåt.«

I sammanhanget bör nämnas att ”brottslighetens omfattning” även innefattar tonåringar som skickar nakenbilder av sexuell karaktär av sig själva, till andra tonåringar, med samtycke. (76% av det material som rapporteras in.)

Samt att det finns en hel del övrig luft i EU-kommissionär Ylva Johanssons alarmerande siffror, vilket beskrivs i denna artikel i Kvartal.

»Samtidigt bör flera rättssäkerhets- och integritetsaspekter få ökat genomslag för att nå rätt balans i förslaget. Regeringen kommer att verka för sådana förändringar som ytterligare stärker rättssäkerheten och minskar intrånget i den personliga integriteten. Detta utan att den brottsbekämpande effekten i förslaget äventyras. Regeringen avser i linje med det att verka för att begränsa tillämpningsområdet till dels redan känt och av medlemsstaterna identifierat övergreppsmaterial och alltså utesluta nytt material och grooming, dels till endast nummeroberoende tjänster, så kallade kommunikationsappar, vilket utesluter sedvanlig mobiltelefoni och sms.«

Här är en bra sak. Man vill inte att Chatcontrol skall omfatta tidigare okänt material och grooming. I vart fall inte just nu. Vilket är en rätt uppenbar position, med tanke på att tekniken ännu inte existerar.

Men det innebär att man ändå tänker skanna innehållet i allas elektroniska meddelanden, om än ”bara” i jakt på redan känt olagligt innehåll. Vilket sedan lätt kan utökas. Så grundproblemet kvarstår.

Det är lätt att misstänka att det egentligen är tillgången till folks elektroniska meddelanden som är det överordnade målet.

Man kan även konstatera att regeringen undantar fast och mobil telefoni samt SMS. Den obligatoriska skanningen skall däremot gälla alla andra meddelande-appar. Som dessutom får en 18-årsgräns.

»Regeringen välkomnar inrättandet av ett samordnande och stödjande EU-center. Det bör bland annat ges i uppgift att driva ett utvecklingsarbete mot en ännu säkrare och mer precis spårning av tidigare okänt material och grooming, med hjälp av nya tekniska metoder, t.ex. AI. Regeringen kommer att verka för ett bibehållet nationellt handlingsutrymme när det gäller hur arbetet ska organiseras och utvecklas.«

Man vill med andra ord att en ny EU-myndighet – EU-Center – skall utveckla en AI-stödd teknik som i framtiden skall identifiera eventuellt olagliga bilder (tidigare okänt material) och misstänkta konversationer i folks elektroniska meddelanden och molntjänster.

Vilket känns som att man redan backar tillbaka från vad man nyss ville i stycke två.

»Regeringen ställer sig positiv till att endast domstolar eller oberoende myndigheter ska kunna besluta om spårningsordrar samt att behöriga myndigheter ska kunna utfärda ordrar för att avlägsna, blockera och avlista identifierat och publikt tillgängligt sexuellt övergreppsmaterial från sökmotorer och värdtjänster.«

En viktig och obesvarad fråga i sammanhanget är: Vilka myndigheter?

»Regleringen bör så långt möjligt vara teknikneutral för att möjliggöra en ändamålsenlig teknikanvändning. En spårningsorder måste i sista hand kunna verkställas utan hinder av att en tjänst är krypterad, t.ex. genom en maskinscanning innan meddelandet krypteras och skickas. Samtidigt får inte informationssäkerheten äventyras, krypterade meddelanden ska vara skyddade mot obehörig åtkomst. Kraven på berörda tjänsteleverantörer får inte heller bli orimliga.«

Det man vill göra kan bara uppnås på ett sätt. Det är genom att installera spionprogram på folks datorer, telefoner, plattor m.m. Så att myndigheterna kan läsa meddelanden som skrivs innan de krypteras och/eller efter att ett mottaget meddelande har av-krypterats.

Det är ungefär samma sak som hemlig dataavläsning, som är ett hemligt tvångsmedel som polisen bara får använda vid misstanke om allvarlig brottslighet.

Skillnaden är alltså att hemlig dataavläsning endast får inriktas mot personer som misstänks för brott – inte mot alla, hela tiden som Chatcontrol.

EDIT: Det kan göras på två sätt. Det andra är att varje kommunikations-app görs till ett spionprogram.

Vad gäller informationssäkerheten är nyckelordet ”obehöriga”. Vilket i denna kontext knappast gäller myndigheterna.

Oavsett om det är någon ”behörig” eller ”obehörig” som bygger bakdörrar (i den mån det alls är möjligt) till våra kommunikationer och spionprogram för våra datorer – så gör det oss alla mindre säkra online och öppnar för angrepp från aktörer som vill oss illa.

»Regeringen bevakar även att den slutliga förordningen inte kommer i konflikt med konstitutionella regler om tryckfrihet och mediegrundlagar.«

Det var ju bra.

Således innebär regeringens förslag till svensk position:

  • Chatcontrol skall skanna innehållet i alla människors elektroniska meddelanden, men än så länge bara efter sådant som det idag finns teknik för att upptäcka.
  • Detta skall gälla alla meddelande-appar men inte vanlig telefon och SMS.
  • Den nya myndigheten (EU-Center) skall utveckla AI-verktyg för att i framtiden kunna söka efter tidigare okänt olagligt innehåll och misstänkta konversationer i människors meddelanden och molntjänster.
  • För att kringgå kryptering vill man kunna installera spionprogram på folks telefoner, datorer, plattor, spelkonsoler och andra enheter som kan användas för att sända meddelanden.

Det är ingen bra position.

Antingen skannar man innehållet i folks meddelanden eller så gör man det inte. Och spionprogram på våra telefoner och datorer känns som kinesiska fasoner.

Plus att detta bara är Sveriges åsikt. Till exempel vill det spanska EU-ordförandeskapet helt förbjuda kryptering. Detta förslag kan landa precis var som helst och bör stoppas så snart som möjligt.

Den svenska regeringens position duger inte och slutresultatet lär bli ännu värre.

Därför bör EU-nämnden uppmana regeringen att rösta nej eller lägga ner sin röst i ministerrådet, i syfte att uppnå en blockerande minoritet.

Det kan man komma fram till redan nu, utifrån vad som idag ligger på bordet. Som i Österrike.

Speciellt med tanke på att EU-kommissionens rättstjänst, ministerrådets rättstjänst, Europaparlamentets utredningstjänst, EU:s dataskyddsmyndighet, FN:s människorättskommissionär och forskare från hela världen varnar för att förslaget kommer att kränka de konventionsskyddade mänskliga rättigheterna som rätten till privatliv och privat korrespondens. Vilket kommissionen medger men samtidigt viftar bort i sitt eget förslag (!).

Bort med tassarna från våra mänskliga rättigheter. Stoppa Chatcontrol!

Update: Läs även Karl Emil Nikkas långa, djupa och utmärkta analys av regeringens förslag: Regeringen förespråkar mass­övervakning »

Läs mer:
• Svenska Dagbladet idag: Regeringen kan stoppa chat control »
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

• Använd denna mail-robot för att protestera mot förslaget om Chatcontrol »

Följ oss även på Twitter: @femtejuli

Hur mycket övervakning skall vi ha?

av

Vi lever redan i en aldrig tidigare skådad övervakningsstat. Hur mycket mer tål vi? Bryr sig någon?

F.d. justitieminister Beatrice Ask (M) menade en gång under en utfrågning i Europaparlamentet att vi inte har tid att stanna upp för att skaffa oss en överblick av övervakningsapparaten eller för att utvärdera dess effektivitet.

Så är det. Politikerna rusar på utan helhetsgrepp eller eftertanke. Det finns alltid något skäl för att utöka övervakningen av medborgarna.

Det är uppenbart att detta vid någon punkt blir farligt. Inskränker man de mänskliga rättigheternas skydd för privatliv och privat korrespondens skapas ett samhälle där övergrepp görs möjliga – med ont uppsåt, av överdrivet nit, missriktad välvilja eller inkompetens.

Övergrepp mot individens rättigheter brukar alltid motiveras med det gemensammas bästa. Det är därför de grundläggande mänskliga rättigheterna skall vara orubbliga. Det finns en gräns där individens frihet och rätt inte får kränkas.

Så hur ser det då ut med den svenska övervakningsstaten?

Försvarets Radioanstalt (som trots sitt namn är en civil myndighet) skannar kommunikationer i underrättelsesyfte. Nationens säkerhet är tveklöst viktig.

Men nu har verksamheten utökats och butiken är öppen för såväl svenska som utländska myndigheter. Vilket är problematiskt, om än inte oväntat.

Övervakningslagar utökas alltid till syfte och metod.

Polisens hemliga tvångsmedel blir allt fler. Övervakning av människor som misstänks för brott kan visserligen motiveras.

Men flera av dessa tvångsmedel är ändå problematiska. Till exempel leder hemlig dataavläsning (spionprogram) till att även oskyldiga kommer att övervakas och att sårbarheter i vår IT-infrastruktur lämnas öppna, vilket gör oss alla mindre säkra.

Datalagringen är en följetong. Lagring av metadata om alla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner med mera skulle bara användas för att utreda verkligt allvarliga brott.

I verkligheten kom den att användas för att jaga fildelare och av Skatteverket för att snoka i folks privatliv.

EU-domstolen har upphävt datalagringsdirektivet då det strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens.

Vilket många av EU:s medlemsstater (bl.a. Sverige) struntar i.

Nyligen föreslog en statlig utredning att den svenska datalagringen skall utökas till att även gälla meddelande-appar och -tjänster.

Vilket för oss till EU-kommissionens förslag om Chatcontrol 2 – det vill säga obligatorisk granskning av innehållet i våra elektroniska meddelanden.

Syftet är tredelat. Dels handlar det om att leta efter kända bilder på övergrepp mot barn – vilket sker redan idag, frivilligt på större sociala media och meddelandetjänster. (Detta kräver alltså ingen ny lagstiftning.)

Men Chatcontrol 2 vill även använda AI för att leta efter tidigare okända bilder av samma natur.

Vilket innebär att AI – med teknik som ännu inte existerar – måste analysera alla bilder du delar och har på molntjänster, för att kontrollera att du inte ägnar dig åt olagligheter.

Chatcontrol 2 föreskriver även att AI skall analysera vad du skriver och säger i meddelanden och samtal på nätet. För att kontrollera att du inte är en ful gubbe / gumma.

Inte heller denna teknik existerar ännu. Men lagen skall ändå börja gälla redan nästa sommar…

Detta är ett verktyg som sedan lätt kan utökas till vad politikerna för tillfället tycker är viktigt. Eller till regelrätt åsiktskontroll och förtryck. Så öppna inte den dörren.

Till allt detta kan läggas den övervakning som bedrivs av Försvarsmakten och Säpo – om vilken vi vet väldigt lite.

Helhetsbilden är förfärande. Och det finns som sagt inget politiskt intresse av att analysera helhetsbilden eller att utreda om denna övervakning ens är ändamålsenlig.

Läs mer om Chatcontrol:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

• Använd denna mail-robot för att protestera mot förslaget om Chatcontrol »

F.d. justitieminister Beatrice Ask i Europaparlamentet

Chatcontrol – ännu ett steg närmare i ministerrrådet

av 1 kommentar

Det finns motstridiga signaler om Chatcontrol i ministerrådets senast läckta dokument. Men grundproblemet kvarstår: Man vill kontrollera och analysera innehållet i medborgarnas elektroniska meddelanden.

I slutet av förra veckan höll EU:s justitie- och inrikesministrar möte. Bland annat behandlades EU-kommissionens förslag till massövervakning – Chatcontrol. Det framlagda förslaget är delvis motsägelsefullt.

Det dokument som läckte ut under gårdagen är på 126 sidor och kommer att kräva en del djupare analys. Vissa saker står dock klara efter en första påsyn.

  • Förslaget om granskning av innehållet i användarnas meddelanden och kommunikationer finns kvar.
  • Detta skall gälla tjänster som tillåter användare att kontakta andra användare (d.v.s. alla meddelandetjänster) eller att sända bilder eller video.
  • Samtidigt säger man sig slå vakt om medborgarnas grundläggande rättigheter, som rätten till privatliv och privat kommunikation. Vilket i sammanhanget känns som en självmotsägelse.
  • Man skriver att förslaget inte skall leda till allmän övervakning (som är förbjuden i EU). Vilket också strider mot förslagets själva grundfunktion.
  • Man vill ha en 18-årsgräns för meddelandetjänster/appar med funktioner för åldersverifiering (vilket gör det omöjligt att vara anonym). Dock får detta inte innebära profilering eller biometrisk identifiering.
  • En möjligt god nyhet är att rådet säger att man inte vill förbjuda, försvaga, kringgå eller på annat sätt underminera kryptering eller E2EE / totalsträckskryptering. Man skriver även ”This Regulation shall not create any obligation to decrypt data.” Vilket dock inte är någon garanti mot client-side-scanning på användarnas telefoner, datorer, plattor m.m. innan ett meddelande har krypterats eller efter att det har av-krypterats på enheten.

Detta är alltså det förslag som lagts fram av det svenska ordförandeskapet. Hur detta kommer att landa är ännu oklart. Mer information följer när fler detaljer från mötet läcker ut. Men det är möjligt att ovanstående i princip kan bli ministerrådets slutliga position.

Grundproblemet – granskning av innehållet i medborgarnas elektroniska korrespondens – finns kvar, även om det omgärdats med nya högtidliga formuleringar om rätten till privatliv.

Vad gäller kryptering blir förslaget uppenbart motsägelsefullt. Man vill granska innehållet i folks meddelanden – men inte kringgå krypteringen. Ett möjligt sätt att göra detta är som sagt med spionprogram (client-side-scanning), av den typ som redan används för hemlig dataavläsning riktad mot misstänkta för allvarliga brott. (En ny arbetsgrupp under ministerrådet flaggar redan för en sådan approach under den aningen vilseledande etiketten ”Security by Design”.)

Dessutom skall man komma ihåg att förslaget om Chatcontrol är tänkt att leda till att meddelande-appar som inte underkastar sig de nya reglerna kan förbjudas i respektive app-stores i EU. (Det är även här man tror sig kunna upprätthålla idén om en 18-årsgräns.)

Sammanfattningsvis kvarstår grundproblemet: Man vill granska innehållet i användarnas elektroniska kommunikationer. Vilket – oavsett hur mycket man säger sig värna dem – kommer att inskränka människors möjlighet att utöva sina grundläggande fri- och rättigheter.

Läs mer:

• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

• Använd denna mail-robot för att protestera mot förslaget om Chatcontrol »

Följ oss även på Twitter: @femtejuli

Övervakning: Justitieministern balanserar på slak lina

av Lämna en kommentar

Regeringens proposition om utökad övervakning är oroande på flera sätt. Man närmar sig gränserna för vad som är acceptabelt i en demokratisk rättsstat. Och djävulen bor i detaljerna.

Regerings förslag om ”utökade möjligheter att använda hemliga tvångsmedel” är problematiskt på flera sätt. Samtidigt är kritiken mot densamma ofokuserad och i värsta fall kontraproduktiv.

Möjligen är det enklare att påstå att regeringens förslag kommer att leda till ett totalitärt samhälle än att granska vad som verkligen föreslås. Men om man vill förändra det som sker i sak, då är det bättre att fokusera kritiken. Sakkritik är svårare att vifta bort än tillmälen.

• Övervakning av människor som inte misstänks för brott

Här råder begreppsförvirring. Man kan lätt få intrycket av att det handlar om urskiljningslös massövervakning.

(Det är visserligen en beskrivning som passar in på EU:s förslag om Chatcontrol och den olagliga datalagring som Sverige fortfarande bedriver. Men det är en missvisande bild vad gäller det förslag som regeringen presenterade förra veckan.)

Ur regeringens pressmeddelande:

»Ett av förslagen i proposi­tionen innebär att det ska bli möjligt att använda hemliga tvångs­medel, till exempel hemlig avlyss­­ning, i preventivt syfte mot gäng­­kriminella för att för­hindra dödliga skjut­­ningar och spräng­­ningar och annan allvarlig brotts­­lighet kopplad till krimi­­nella nätverk.«

Här måste det alltså ändå finnas något slags misstanke om att någon eller några kommer att kränka någon annans säkerhet eller egendom. Så någon urskiljningslös, godtycklig övervakning av alla är det inte fråga om – även om man befinner sig på ett sluttande plan.

Djävulen bor dock i de detaljer som inte orsakar tidningsrubriker och generella protester. Så låt oss grotta ner oss i ett par av dessa.

• Så kan du drabbas

En av regeringens punkter är:

»Tillstånd till hemlig rums­­avlyss­ning och hemlig kamera­­över­vak­ning ska få knytas till en skäligen misstänkt person i stället för en viss plats.«

Den bakomliggande logiken är enkel: Om man skall övervaka en person är det personen ifråga som skall övervakas inte en plats/platser där denne emellanåt vistas.

Problemet med detta är att även fler oskyldiga människor kommer att drabbas av övervakningen.

Vid användning av till exempel hemlig dataavläsning (spionprogram) kommer människor som bara råkar befinna sig i närheten av eller kommunicerar med någon som misstänks för brott att drabbas av hemlig rumsavlyssning och övervakning. Detta gäller även meddelanden (client-side-scanning), telefonsamtal med mera.

Man kan kanske inte förvänta sig att ingen oskyldig någonsin kommer att drabbas av övervakning. Men det känns som om vi hoppat över debatten om var den gränsen bör gå.

Dessutom kan det vara bra att hålla i minnet att många av de nya förslagen inte är exklusivt inriktade på gängbrottslighet. De kan drabba vem som helst som ovetande har någon som kan misstänkas ägna sig åt brott i sin släkt eller bekantskapskrets.

Och om fler oskyldiga kommer att övervakas, då befinner vi oss uppenbarligen på ett sluttande plan. Sedan är det en annan fråga om vi är villiga eller känner oss tvingade att ta det steget. Men varje utökning av övervakningsstaten är i sig problematisk.

• Ribban sänks

En klart problematisk del av förslaget är att regeringen föreslår ett straffvärde på minst tre månader för användning av hemliga tvångsmedel. Lagrådet föreslår sex månader.

Regeringens motivering är att man även vill fånga upp ett antal brott som annars riskerar att hamna utanför lagförslaget – som mened, utpressning, skyddande av brottsling och lindrigare fall av övergrepp i rättssak.

Detta är förvisso allvarliga brott. Men frågan är om det inte hade varit bättre att höja dessa brotts minimistraff (till t.ex. sex månader) än att sänka ribban för användning av hemliga tvångsmedel.

Enkelt uttryckt kommer nu även ett stort antal smärre brott att omfattas, även sådana som inte har med gängkriminalitet att göra. Vilket även det kommer att öka antalet oskyldiga i omgivningen som drabbas.

Grundfrågan är om ett visst brott står i proportion till den integritetskränkning som hemlig övervakning innebär. Traditionellt har gränsen varit ett straffvärde på två år, även om detta stegvis urholkats.

Regeringens förslag innebär alltså en radikal sänkning av golvet för användning av hemliga tvångsmedel. Vilket också är ett tecken på att vi befinner oss på något slags sluttande plan.

Målat med bred pensel kan man säga att dammluckorna för hemlig övervakning nu öppnas mer än vad som är lämpligt i en demokratisk rättsstat.

• Vad vill justitieministern, egentligen?

Justitieminister Gunnar Strömmer (M) är gammal människorättsadvokat – och bör således vara högst medveten om riskerna med de förslag som nu läggs fram.

Att säga att ovanstående förslag är att kliva in i ett totalitärt samhälle är på objektiva grunder en överdrift. Men, det är ett steg åt det hållet. En svällande övervakningsstat blir vid någon punkt ett demokratiskt problem.

Regeringen känner sig naturligtvis pressad av gängbrottslighet och dödsskjutningar – och tvingad att göra något konkret åt saken. Vilket för övrigt var vad den gick till val på.

Resultatet är en balansakt på slak lina.

Vi kan bara hoppas att Strömmer håller fast vid sina gamla principer. I detta förslag är han farligt nära den röda linjen. Övervakningsstaten tillåts svälla. Det sluttande planet är ett faktum.

Men att säga att Sverige nu blir ett totalitärt samhälle är möjligen att ta i. I vart fall än så länge. I händerna på en mer auktoritär regim är de verktyg som nu kommer att klubbas dock direkt farliga.

Därför gäller det att nu hålla ögonen på bollen – i sak och detalj.

• Regeringens pressmeddelande: Utökade möjligheter att använda hemliga tvångsmedel »
• Regeringens proposition (PDF) »

Se justitieministerns presskonferens på Youtube:

Chat Control: Ministerrådet vill bryta eller förbjuda E2E-kryptering

av 2 kommentarer

Tre av fyra EU-länder anser att end-to-end-kryptering måste brytas eller förbjudas för att kontrollera innehållet i medborgarnas elektroniska meddelanden. Antingen med teknik som ännu inte existerar eller med spionprogram på varje telefon, dator och platta.

EU:s medlemsstater i ministerrådet har fått frågan om sin inställning till totalsträckskryptering (end-to-end-encryption, E2EE) i samband med behandlingen av massövervakningsförslaget Chat Control (CSAR).

Av de 20 som svarat uttrycker 15 att de gärna vill se skanning av innehållet även i totalsträckskrypterade meddelanden. Längst går Spanien, Ungern och Cypern – som i princip kräver det. Hur det är tänkt att gå till är dock oklart.

Tyskland, Finland och Estland har samtidigt starka invändningar – och säger nej till att bryta E2EE. Även Italien uttrycker oro.

Det är Wired som kommit över ett dokument från ministerrådets generalsekretariat. (Sverige som just nu är ordförandeland har inte framfört någon åsikt.)

»Of the 20 EU countries represented in the document leaked to WIRED, the majority said they are in favor of some form of scanning of encrypted messages, with Spain’s position emerging as the most extreme. “Ideally, in our view, it would be desirable to legislatively prevent EU-based service providers from implementing end-to-end encryption,” Spanish representatives said in the document.« (…)

»“It is shocking to me to see Spain state outright that there should be legislation prohibiting EU-based service providers from implementing end-to-end encryption,” says Riana Pfefferkorn, a research scholar at Stanford University’s Internet Observatory in California who reviewed the document at WIRED’s request. “This document has many of the hallmarks of the eternal debate over encryption.”«

Kroatien anser att E2E-krypterade meddelanden inte får vara ett skäl för att låta bli att rapportera in kommunikationer som rör sexuella övergrepp mot barn. Slovenien säger att spårningsorder även måste gälla totalsträckskrypterade ”nätverk”. Rumänien säger att kryptering inte får bli en ”fristad” för illvilliga aktörer.

Frågan ”Hur?” blir dock fortfarande hängande i luften.

Danmark och Irland vill både skanna E2E-krypterade meddelanden och försvara sådan kryptering mot att försvagas. (!) Därför hoppas de att teknik som kommer att göra sådant möjligt på något magiskt sätt kommer att uppstå innan förordningen träder ikraft nästa sommar. Vilket känns en smula optimistiskt.

»“They want to keep the security of encryption whilst being able to circumvent it,” says Ella Jakubowska, a senior policy advisor at European Digital Rights (EDRI). Jakubowska says she is “unsurprised but nevertheless shocked” to see that European countries have a “really shallow understanding” of encryption. “They want privacy but they also want to indiscriminately scan encrypted communications,” Jakubowska says.«

Nederländerna vill se client-side-scanning med spionprogram på alla telefoner, datorer, plattor med mera. Sådana ”statstrojaner” kan läsa av allt användarna gör redan innan meddelanden krypteras respektive efter att de av-krypterats. (Plus möjligen komma åt allt annat på enheten.)

Polen vill att kryptering skall kunna upphävas genom domstolsbeslut… Vilket lämnar oss med fler frågor än svar.

Finland ställer å andra sidan frågan hur kommissionen tänkt lösa denna fråga rent tekniskt. Tyskland säger att kryptering inte får störas, kringgås eller modifieras. Vilket tyder på viss insikt om de tekniska realiteterna.

Men majoriteten av länderna i ministerrådet tycks inte riktigt förstå vad de sysslar med. De föreslår sådant som är tekniskt omöjligt och saker som inte existerar.

Alternativt vill de ha spionprogram på alla medborgares alla digitala enheter.

Eller förbjuda totalsträckskrypterade meddelande-appar, vilket EU-kommissionär Ylva Johansson redan öppnat för i sitt förslag.

Detta är häpnadsväckande okunnigt och oroväckande.

(Notera att detta är respektive regerings ställningstagande. Parlamenten i länder som till exempel Österrike, Irland och Frankrike säger nej till Chat Control eller uttrycker tveksamhet.)

• Wired: Leaked Government Document Shows Spain Wants to Ban End-to-End Encryption »

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Chat Control: Ministerrådets jurister säger nej – men svenska ordförandeskapet bryr sig inte

av 1 kommentar

Ministerrådets egna jurister sågar Chat Control – men det svenska EU-ordförandeskapet bryr sig inte, utan fortsätter att arbeta för granskning av innehållet i alla medborgares elektroniska meddelanden.

Ungefär samtidigt som det svenska EU-ordförandeskapet lade fram sitt kompromissförslag om Chat Control (som fortfarande föreskriver granskning av innehållet i folks elektroniska meddelanden) – så sågar ministerrådets legal service förslaget.

Detta kan möjligen tolkas som att det svenska ordförandeskapet inte alls är tjänstemännens gisslan i frågan – utan snarare pådrivande.

Vilket i så fall rimmar illa med regeringens påstående om att den bara handlar som opartiskt ordförandeland.

Hur det än är med den saken är rådets legal service hård i sin kritik. Något förenklat:

  • Det är inte troligt att Chat Control skulle klara en prövning i EU-domstolen.
  • I den mån meddelandetjänster sänder sina användares meddelanden mellan varandra (t.ex. e-post) kommer förslaget att de facto leda till övervakning av alla interpersonella meddelanden.
  • Förslaget hotar rätten till privat korrespondens och rätten till privatliv (som båda är grundläggande mänskliga rättigheter).
  • Förslagets spårningsorder kommer att leda till allmän och urskiljningslös övervakning. Vilket är något EU-domstolen redan sagt nej till.
  • Övervaka dem som misstänks för brott, inte alla andra.
  • En åldersgräns (18 år) för meddelande-appar medför med nödvändighet en störning av användarnas fri- och rättigheter. Sådan kräver antingen massprofilering, biometrisk åldersanalys eller ett digitalt identifieringssystem (som omöjliggör anonym kommunikation).

Huruvida medlemsstaterna i rådet kommer att bry sig är dock oklart. Nyligen uttryckte tio av dessa att man även vill se granskning av innehållet i totalsträckskrypterade (E2EE) meddelanden. Vilket i så fall kommer att kräva client-side scanning med spionprogram på alla telefoner, plattor, datorer och andra enheter som kan användas för att sända meddelanden.

Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) säger:

»I call on EU governments to take a U-turn and stop the dystopian China-style chat control plans which they now know violate the fundamental rights of millions of citizens! No one is helping children with a regulation that will inevitably fail before the European Court of Justice. The Swedish government, currently holding the EU Council Presidency, must now immediately remove blanket chat control as well as generalised age verification from the proposed legislation. Governments of Europe, respect our fundamental right to confidential and anonymous correspondence now!«

Länk:
• Leaked EU Council legal analysis: EU chat control plans for indiscriminately searching private messages doomed to failure »

Demonstrera mot Chat Control!
Mynttorget i Stockholm lördag 20 maj kl 15!

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Chat Control: Tio EU-länder kräver att även E2E-krypterade meddelanden skall granskas

av 1 kommentar

Varför skriver tio EU-länder ett gemensamt dokument till stöd för de sämsta delarna av förslaget om Chat Control? Finns det en spricka i ministerrådet?

Här är ett intressant litet papper från den 27 april. Det är tio EU-stater som skrivit ett gemensamt position paper om Chat Control.

De tio gör det mycket tydligt att de förväntar sig att innehållet i alla våra elektroniska meddelanden skall granskas för att identifiera visst olagligt beteende.

Det kommer i så fall att utföras av maskiners algoritmer. Och med AI, som är så populärt nu för tiden. Vad kan möjligen gå fel?

Dessutom kräver de tio – uttryckligen – att även totalsträckskrypterade meddelanden skall omfattas av förordningen. Punkt 2.3:

»The relevant online services, regardless of any technological choices made by the provider in their deployment, in coherence with the principle of technological neutrality and the need to future-proof the proposal. Therefore, end-to-end-encrypted services (E2EE) should not be excluded from the scope of detection orders

Vilket i så fall kräver att man förbjuder appar som Signal. Och hur de tänkt, om alls, när det gäller användare som själva krypterar sin e-post är höljt i dunkel.

Denna skrivning driver förslaget närmare client-side-scanning där dina meddelanden granskas av något slags spionprogram på din telefon eller dator innan de krypteras och sänds iväg.

De tio länder som står bakom dokumentet är Belgien, Bulgarien, Cypern, Ungern, Irland, Italien, Lettland, Litauen, Rumänien och Spanien.

Vilket väcker frågan vad de andra länderna tycker – och om detta är ett tecken på något slags spricka i ministerrådet.

• Länk till dokumentet (PDF) »

Demonstrera mot Chat Control!
Mynttorget i Stockholm lördag 20 maj kl 15!

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Chat Control kräver spionprogram i din telefon

av 3 kommentarer

För att Ylva Johanssons förslag till ny massövervakning skall bli verklighet kommer det att krävas någon form av spionprogram i din telefon.

EU-kommissionens vill ha kontroll av innehållet i våra elektroniska meddelanden – Chat Control.

Innehållet i totalsträcks-krypterade (end-to-end-krypterade) meddelanden kan inte granskas av tjänstens operatör eller någon annan in transit. Sedan kan Ylva Johansson jämföra med knarkhundar hur mycket hon vill. Det går inte.

Enda sättet att kontrollera innehållet i ett hårdkrypterat meddelande är att göra det innan det krypteras och sänds. Eller efter att mottagaren av-krypterat meddelandet.

Det kräver i så fall att något slags spionprogramvara är installerad. Antingen i telefonen som sådan. Eller inbyggd i respektive meddelande-app.

Spionprogram med i princip samma funktion som Pegasus – trojanen som regeringar i länder som Polen och Spanien har använt för att spionera på journalister och oppositionella.

Det är precis för att hindra sådant som vi har de mänskliga rättigheterna och dess krav på rätt till privatliv och privat korrespondens. Mänskliga rättigheter som kommissionen uttryckligen väljer att bortse från (sid 13).

Dessutom skall man komma ihåg att alla former av hemlig dataavläsning kräver att man lämnar säkerhetsluckor öppna för spionprogrammet – i din telefon.

Vilket kommer att göra oss alla mindre säkra – och mer sårbara för brottslighet, främmande makt och andra ondsinta aktörer som kan använda samma sårbarheter.

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Utredning föreslår övervakning i förebyggande syfte

av Lämna en kommentar

Idag presenterades ett delbetänkande av utredningen om preventiva tvångsmedel. Enkelt uttryckt handlar det om förebyggande övervakning av personer som kan antas begå vissa brott, men innan det finns konkret misstanke om något specifikt brott.

Idag tog justitieminister Strömmer (M) emot ett delbetänkande av utredningen om utökade möjligheter att använda preventiva tvångsmedel (SOU 2022:52). Utredningen är tillsatt av den förra regeringen.

Huvudpunkter:

  • Man överväger möjligheterna att använda tvångsmedel utanför en förundersökning, så kallade preventiva tvångsmedel, för att förhindra allvarlig brottslighet inom kriminella nätverk.
  • Tvångsmedelsanvändningen ska syfta till att förhindra viss särskilt allvarlig brottslig verksamhet och åtgärderna ska vara av synnerlig vikt för detta ändamål.
  • Tvångsmedel ska endast få användas om det finns en påtaglig risk för att brottslig verksamhet av visst slag kommer att utövas inom en organisation eller grupp.
  • Tvångsmedelsanvändningen får endast riktas mot en person som tillhör eller verkar för organisationen eller gruppen och kan befaras medvetet främja den brottsliga verksamheten.
  • Det utökade tillämpningsområdet ska endast omfatta den slags allvarlig brottslighet som har en tydlig koppling till kriminella nätverk.
  • Endast brott där behovet och den förväntade nyttan överväger integritetsintrånget ska ingå i brottskatalogen.
  • Det är fråga om mord, människorov, sprängningsbrott, grova vapen- och narkotikabrott samt olovlig hantering av explosiva varor.
  • Det kan handla om hemlig övervakning, hemlig avlyssning, hemlig kameraövervakning, postkontroll och hemlig dataavläsning.
  • I nästa steg skall utredningen överväga om ytterligare tvångsmedel och verkställighetsåtgärder, till exempel hemlig rumsavlyssning, genomsökning på distans och biometrisk autentisering, skall få användas preventivt.
  • Beslut skall fattas av domstol efter begäran från åklagare. Vid behandling skall det finnas ett allmänt ombud, som förväntas värna integritetsfrågorna. Verksamheten skall granskas av Säkerhet- och integritetsskyddsnämnden (SIN).
  • Lagen skall gälla fem år och sedan utvärderas.
  • Lagändringarna föreslås träda i kraft 1 januari 2024.
  • SÄPO har likande regler för sitt område, genom Preventivlagen.

Detta delbetänkande får ses som ett direkt svar på den förändrade typen av brottslighet i Sverige. Och vid första påseende verkar den hålla sig inom de undantag för rätten till privatliv som till exempel finns i Europakonventionen om de mänskliga rättigheterna.

Men det finns risker.

Lagstiftning om övervakning drabbas i princip alltid av ändamålsglidning. Med tiden brukar såväl syfte som metoder utökas. Därför är varje framflyttning av övervakningsstatens positioner riskabel, även om den till att börja med sker med begränsat syfte, snäva regler och med garantier om rättsstatens principer.

FRA-lagen och datalagringen kan nämnas som varnande exempel på brutna löften på övervakningsområdet.

Man flaggar som sagt redan för förslag om ytterligare tvångsmedel och verkställighetsåtgärder i utredningens slutbetänkande.

Dessutom är det i praktiken omöjligt att förhindra att lagar av detta slag missbrukas, om ont uppsåt finns eller om någon handlar av oförstånd.

Införandet av preventiva tvångsmedel var en central punkt i regeringens och SD:s Tidö-avtal. Men detta är ändå lite av ett slag i luften politiskt sett, eftersom utredningen redan var tillsatt och nu levererar ungefär det som alla förväntat sig.

Vad som kan bli särskilt intressant är dels om regeringen kommer med tilläggsdirektiv och dels om utredningen kommer med fler förslag i sitt slutbetänkande.

Du följer hur frågan utvecklas, här på bloggen.

Länkar:
• Regeringen: Utredning föreslår utökade möjligheter till preventiv tvångsmedelsanvändning för att hindra gängkriminalitet »
• SOU 2022:52: Utökade möjligheter att använda preventiva tvångsmedel »
• Presentationsbilder från presskonferensen (PDF) »

Europol brainstormar om att knäcka krypterade kommunikationer

av Lämna en kommentar

Myndigheternas krig mot krypterad information fortsätter. Samtidigt vill EU:s ministerråd begränsa insynen i hur polisen använder artificiell intelligens i sitt arbete.

Bakdörrar, superdatorer och samarbete med internetoperatörer var några av de idéer som diskuterades när EU:s olika polis- och säkerhetsorgan nyligen brainstormade hur man kan gå vidare för att knäcka krypterade kommunikationer.

Detta skedde på en konferens med EU Innovation Hub for Internal Security som hölls förra månaden, enligt Statewatch som har utskrifter av vad som diskuterades.

Särskilt uppseendeväckande är att man öppnar för att hålla säkerhetsluckor i vår IT-infrastruktur öppna istället för att anmäla dem – för att själva kunna utnyttja dessa för övervakning.

Men sådana säkerhetsluckor kan även användas av andra, till exempel kriminella och främmande makt. Vilket gör oss alla mindre säkra.

Statewatch rapporterar:

»At a recent event hosted by Europol’s Innovation Hub, participants discussed questions relating to encrypted data and the ability of law enforcement authorities to access digital information. One issue raised was a possible ”EU Vulnerability Management Policy for Internal Security,” which could allow for ”temporary retention of vulnerabilities and their exploitation by the relevant authorities.” In effect, this would mean identifying weaknesses in software and, rather than informing the software developers of the problem, exploiting it for law enforcement purposes.«

EU Innovation Hub for Internal Security består av nio olika EU-myndigheter och organ som på olika sätt arbetar med polisiära och säkerhetsrelaterade frågor. Spindeln i nätet är EU:s polismyndighet Europol. Såväl EU-kommissionen som ministerrådet är medlemmar – men inte Europaparlamentet.

I övrigt diskuterade man även hur artificiell intelligens (AI) kan användas i polisiärt arbete samt vad man kan göra för att komma åt elektroniska kommunikationer i 5G-nätet (vilket tydligen är oväntat krångligt).

Intressant nog vill EU:s ministerråd begränsa transparensen vad gäller hur polisiära myndigheter använder AI i sitt arbete. Statewatch skriver:

»The Czech Presidency of the Council has inserted new provisions into the proposed AI Act that would make it possible to greatly limit the transparency obligations placed on law enforcement authorities using ”artificial intelligence” technologies. A new ”specific carve-out for sensitive operational data” has been added to a number of articles. If the provisions survive the negotiations, the question then becomes: what exactly counts as ”sensitive operational data”? And does the carve-out concern just the data itself, or the algorithms and systems it feeds as well?«

Detta är ytterligare en het fråga som lär hamna på det svenska EU-ordförandeskapets bord efter årsskiftet.

Läs mer:
• Statewatch: EU: Discussion on encryption ponders ”retention of vulnerabilities and exploitation by the authorities” »
• ”Wicked problem”: Europol considers vulnerability exploitation to break encryption »
• Statewatch: EU: AI Act: Council Presidency seeks more secrecy over police use of AI technology »