Femte juli

Nätet till folket!

Kryptering

Kryptering är viktig för säker kommunikation online. Med EU och Europol i spetsen vill myndigheterna nu ha tillgång till bakdörrar till kryptering, även där sådana idag inte finns. Öppnar man sådana bakdörrar för myndigheterna, då öppnar man dem även för kriminella, främmande makt och andra illasinnade aktörer.

Allt du behöver veta om #ChatControl – resurser, analyser och länkar

av

Äntligen har EU-kommissionens förslag om att granska innehållet i alla våra elektroniska meddelanden fått genomslag i den svenska debatten. I denna bloggpost listar vi texter och andra resurser om Chat Control för intresserade, aktivister och journalister.

• Vad är Chat Control?

Förslaget heter formellt »Proposal for a regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse COM/2022/209« även förkortat CSAR.

Syftet är att övervaka och granska innehållet i alla medborgares elektroniska meddelanden – för att med hjälp av AI identifiera kända och tidigare okända bilder på sexuella övergrepp mot barn – samt att identifiera försök till sexuella kontakter med barn (grooming) i textmeddelanden, IP-telefoni, chattar m.m.

Förslaget föreskriver även en 17-årsgräns för meddelande-appar – och ett förbud mot meddelande-appar som inte respekterar detta.

Lagstiftningsdokument:
• Kommissionens förslag »
• Legislative Observatory »

• Vad är problemet med Chat Control?

Kritiken går främst ut på att förslaget leder till massövervakning av alla människors elektroniska kommunikationer. Syftet och omfattningen kan sedan lätt utökas.

Förslaget strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens. Dessa rättigheter är inskrivna i FN:s och EU:s stadgor om de mänskliga rättigheterna, Europakonventionen om de mänskliga rättigheterna och Sveriges grundlag.

EU-domstolen har redan upphävt ett snarlikt direktiv – datalagringen (som går ut på att samla metadata om alla elektroniska kommunikationer). Enkelt uttryckt har domstolen slagit fast principen: Övervaka dem som misstänks för brott, inte alla andra, hela tiden.

EU-kommissionen skriver själv i sitt förslag (sid 13) att det begränsar användarnas möjlighet att kunna utöva sina grundläggande rättigheter som rätten till privatliv och privat kommunikation samt yttrandefriheten. Man nämner även ”informationsfriheten” och skyddet för personuppgifter. Ändå väljer man att lägga fram förslaget.

• Stop Scanning Me »
• ChatControl.eu »
• ChatControl – granskning av EU-kommissionens förslag
• EU-kommissionen: Övervakning är viktigare än mänskliga rättigheter »
• Why chat control is so dangerous »
• UN Human Rights Commissioner warns against chat control »

• Chat Control i den svenska debatten

Det har varit lång startsträcka för frågan i Sverige. Men nu tycks det ha lossnat. Bidragande kan ha varit VPN-operatören Mullvads massiva reklamkampanj mot Chat Control och en serie ledartexter i Svenska Dagbladet:

• Mattias Svensson: Chat control måste stoppas »
• HAX: Var står svenska partier i frågan om Chat Control? »

Dessutom hade TV4:s morgonprogram en lång och grundlig genomgång av Chat Control, med Emanuel Karlsten.

Ett avgörande ögonblick var när SvD:s ledarpod ordnade en diskussion mellan ansvarig EU-kommissionär Ylva Johansson och IT-säkerhetsexperten Karl Emil Nikka – i vilken det blev uppenbart att Johansson inte vet vad hon talar om och inte har förstått vad hon själv föreslår.

Vid ett tillfälle frågade programledaren Andreas Ericson kommissionären om källor fortfarande kommer att kunna tipsa SvD på ett säkert och anonymt sätt genom meddelande-appen Signal. Ylva Johansson svarade ja. Ericson frågade då hur det då kan vara att den som sprider olagligt material inte skulle kunna använda samma app för sina syften. Johansson hade inget svar.

Således kräver Chat Control att man bryter krypteringen för alla meddelandetjänster – även sådana som används för helt legitima syften som journalistik, av visselblåsare, själasörjare, terapeuter, läkare etc.

K.E. Nikka lyckades då driva hem poängen att inte ens EU-kommissionen kan knäcka end-to-end-krypterade meddelanden / totalsträckskryptering (GPG), vilket är vad många som sprider olagligt material med barn använder. Ändå kräver kommissionen just detta i sitt förslag på sidan 29-30. (Se även KEN:s Twitter.)

Vad Ylva Johanssons förslag däremot gör är att kräva att alla vanliga meddelandetjänster / appar bryter sin egen kryptering, vilket gör alla människors elektroniska kommunikation övervakad och mindre säker. Utan att man för den sakens skull kommer åt det problem förslaget är tänkt att lösa.

Andra intressanta medieinslag är till exempel SR P1 Morgon den 27/3. I del ett hör vi Mullvads VD Jan Jonsson kritisera förslaget om Chat Control – och i del två kommissionär Johansson försvara det. Åter blir det uppenbart att Ylva Johansson inte vet vad hon talar om.

Efter detta har dammluckorna öppnats och bl.a. Aftonbladet, NWT, Borås Tidning och Uppsala Nya Tidning kritiserar förslaget.

I politiken var Sverigedemokraten och ledamoten av Europaparlamentet Charlie Weimers först ut med att säga nej till Chat Control. Även Centerpartiet säger nej.

Uppdatering 5/4: Vänsterpartiet säger också nej.

Uppdatering 31 mars: Regeringen och Socialdemokraterna säger ja till Chat Control.

Uppdatering 18 april: Moderaterna i Europaparlamentet säger nej, men regeringen säger fortsatt ja.

Uppdatering 18 april: Miljöpartiet säger nej till Chat Control i sin nuvarande form.

Uppdatering 19 april: Regeringen säger varken ja eller nej till Chat Control.

Och medias intresse är just nu stort, vilket är till hjälp för att driva på politiken. Så att detta inte blir ännu ett fall där vi ställs inför fullbordat faktum, som i tryckfrihetsfrågan nyligen.

• Vad händer nu?

Både EU:s ministerråd och Europaparlementets utskott arbetar just nu med Ylva Johanssons Chat Control.

I ministerrådet säger Tyskland och Österrike nej till Chat Control. Flera andra länder är tveksamma. Sverige har inte intagit någon position, vilket kan bero på att regeringen vill hålla sig neutral i sin roll som ordförandeland.

Det finns ännu ingen blockerande minoritet i ministerrådet. För en sådan krävs antingen 13 medlemsstater eller minst fyra medlemsstater som representerar minst 35% av EU:s befolkning.

I Europaparlamentet ligger frågan nu hos utskottet för mänskliga rättigheter, LIBE (som samlar andra utskotts rapporter om förslaget). 14 april är det stopp för ändringsförslag i LIBE och den 19 maj kommer man att votera om utskottets slutliga rapport. Därefter läggs den fram för hela parlamentet som kommer att rösta om den (och ytterligare eventuella ändringsförslag) under sommaren eller hösten.

Därefter uppstår förhandlingar mellan rådet, parlamentet och kommissionen – bakom stängda dörrar i en så kallad trilog. Om enighet uppstår skall resultatet slutligen klubbas en gång till i rådet och parlamentet. Om man inte kommer överens eller om rådet eller parlamentet röstar nej till det slutliga förslaget går frågan tillbaka till kommissionen. Totalt har kommissionen tre försök på sig att få igenom ett förslag som alla kan acceptera – annars faller förslaget helt. (Om kommissionen inte ger upp innan dess.)

Om ministerrådet och Europaparlamentet kommer överens direkt kan Chat Control vara klubbad och klar till hösten. Men om frågan går i långbänk kan den mycket väl spilla över till EU-valrörelsen våren 2024. Vilket de flesta politiska partier vill undvika.

• Kampen mot Chat Control fortsätter

Nu gäller det att hålla frågan levande och trycket uppe. Helst tillräckligt länge för att göra den till en EU-valfråga.

Följ utvecklingen genom att prenumerera på våra bloggposter (se högerspalten) och genom att följa oss på Twitter där vi heter @femtejuli.

Nedan en vägg med matnyttiga länkar. Därefter ett par videos och podcasts som vi gjort om Chat Control.

Lagstiftningsdokument:
• Kommissionens förslag »
• Legislative Observatory »

Relaterade länkar:
• Stop Scanning Me »
• ChatControl.eu »
• ChatControl – granskning av EU-kommissionens förslag
• EU-kommissionen: Övervakning är viktigare än mänskliga rättigheter »
• Why chat control is so dangerous »
• PP: EU-kommissionär Ylva Johansson ljuger om #ChatControl »
• ChatControl – nu är det skarpt läge i EU, men regeringen vill inte tala om saken »
• UN Human Rights Commissioner warns against chat control »
• Regeringen föreslår 18-årsgräns för meddelande-appar
• ChatControl – detta händer i ministerrådet »
• EU:s ministerråd vill kontrollera allt du gör på nätet
• ChatControl: EU-kommissionen duckar alla jobbiga frågor »
• Granskning: Lobbykampanjen för #ChatControl »

TL;DR:
• ChatControl / CSA Regulation – enkelt förklarad »

Några av våra produktioner på Youtube och Soundcloud nedan. Det är fritt fram att citera, dela och kopiera innehållet med eller utan hänvisning till källan (CC0).

• Chat Control – på djupet

Youtube » | Soundcloud »

• EU: Övervakning är viktigare än mänskliga rättigheter

Youtube » | Soundcloud »

• Skilj på övervakning och massövdervakning

Youtube » | Soundcloud »

Chat Control – Ylva Johansson talar i nattmössan

av

EU-kommissionär Ylva Johansson medverkar i Svenska Dagbladets ledar-podd – och visar att hon själv inte begriper vad hon föreslår och vilka konsekvenser det får.

Svenska Dagbladets ledar-podd handlar idag om Chat Control (EU-kommissionens förslag om att granska innehållet i våra elektroniska meddelanden). Medverkande är Ylva Johansson (ansvarig EU-kommissionär), Karl Emil Nikka (IT-säkerhetsspecialist) och Andreas Ericson (SvD).

Två saker sticker ut.

Till att börja med försöker Ylva Johansson med finten att påstå att denna nya övervakning skall beslutas av domstol. Det finns inget sådant i hennes eget förslag. Det kan vara en domstol. Men som förslaget till förordning är skrivet finns inget som säger att det måste vara en domstol. Snarare kommer det att vara någon godtycklig anonym myndighet.

Inte ens när detta påtalats viker hon, utan fortsätter att påstå att det skall vara en domstol. Vilket alltså inte är sant. Läser människan inte sitt eget förslag?

Sedan avslöjar Ylva Johansson att hon faktiskt inte begriper något om kryptering. Det blir direkt pinsamt att lyssna när hon gissar och spekulerar. Vilket i sin tur tyder på att hon inte förstår vad hon föreslår.

Detta är för övrigt inte första gången Ylva Johansson blir påkommen med att inte veta vad hon talar om när det gäller hennes eget förslag.

Det kan dessutom tilläggas att Ylva Johansson inte hade något att säga om att det i hennes eget förslag (sid 13) uttryckligen står att det inskränker användarnas möjlighet att utöva sina grundläggande rättigheter, till exempel rätten till privatliv och privat kommunikation och yttrandefriheten. (Man nämner även att det kränker ”informationsfriheten” och skyddet av personuppgifter.) Tack, men nej tack.

På Twitter skriver ledar-poddens producent, Jesper Sandström:

»Det är sällan jag blir illa till mods av att producera en podd, men idag hände det.

Ylva Johansson förstår inte hur kryptering fungerar, hon förstår inte överhuvudtaget konsekvenserna av den politik hon själv förordar. Lyckligtvis medverkar en sakkunnig som ryter ifrån. Lyssna!«

Förslaget om Chat Control måste gå i papperskorgen.

Lagstiftningsdokument:
• Kommissionens förslag »
• Legislative Observatory »

Relaterade länkar:
• Stop Scanning Me »
• ChatControl.eu »
• ChatControl – granskning av EU-kommissionens förslag
• EU-kommissionen: Övervakning är viktigare än mänskliga rättigheter »
• Why chat control is so dangerous »
• PP: EU-kommissionär Ylva Johansson ljuger om #ChatControl »
• ChatControl – nu är det skarpt läge i EU, men regeringen vill inte tala om saken »
• UN Human Rights Commissioner warns against chat control »
• ChatControl – detta händer i ministerrådet »
• EU:s ministerråd vill kontrollera allt du gör på nätet
• ChatControl: EU-kommissionen duckar alla jobbiga frågor »

TL;DR:
• ChatControl / CSA Regulation – enkelt förklarad »

Podcast: Chat Control – på djupet

av

Vi gör en djupdykning i frågan om Chatt Control. Längd: 34 minuter.

Vi hör: Ylva Johansson, ansvarig EU-kommissionär; Patrick Breyer, ledamot av Europaparlamentet (PP, DE); Mattias Axell, DFRi; Jan-Christoph Oetjen, ledamot av Europaparlamentet (FDP DE).

Youtube » | Soundcloud » | Ladda ner som ljudfil (MP3) under ”Mer…” på Soundcloud.

Lagstiftningsdokument:
• Kommissionens förslag »
• Legislative Observatory »

Relaterade länkar:
• Stop Scanning Me »
• ChatControl.eu »
• ChatControl – granskning av EU-kommissionens förslag
• EU-kommissionen: Övervakning är viktigare än mänskliga rättigheter »
• Why chat control is so dangerous »
• PP: EU-kommissionär Ylva Johansson ljuger om #ChatControl »
• ChatControl – nu är det skarpt läge i EU, men regeringen vill inte tala om saken »
• UN Human Rights Commissioner warns against chat control »
• ChatControl – detta händer i ministerrådet »
• EU:s ministerråd vill kontrollera allt du gör på nätet
• ChatControl: EU-kommissionen duckar alla jobbiga frågor »

TL;DR:
• ChatControl / CSA Regulation – enkelt förklarad »

Signal hotar lämna länder som bryter kryptering

av

Meddelande-appen Signal meddelar att den kan komma att lämna länder som tvingar den att kringgå kryptering. Till exempel vad gäller brittiska Online Safety Bill och EU:s #ChatControl / CSA Regulation.

Positionerna tycks vara lika låsta nu som när frågan diskuterats tidigare. Staten vill inspektera innehållet i folks elektroniska meddelanden. (Detta gäller alla, inte bara dem som misstänks för brott.) Vilket kräver att krypteringen bryts.

På andra sidan står teknik-samhället som säger att det inte går att kringgå kryptering eller att skapa bakdörrar utan att försämra säkerheten för alla.

Till BBC säger Signals chef Meredith Whittaker att det är 100 procent säkert att företaget kommer att lämna Storbritannien om the Online Safety Bill blir verklighet.

»Ms Whittaker told the BBC it was ”magical thinking” to believe we can have privacy ”but only for the good guys”.

She added: ”Encryption is either protecting everyone or it is broken for everyone.”«

Också WhatsApp har tidigare meddelat att man inte tänker försämra sin säkerhet på order av någon stat eller regering.

Även om artiklarna främst handlar om brittisk lagstiftning är de lika tillämpliga vad gäller EU:s #ChatControl / CSA Regulation. Enligt detta förslag skall alla människors elektroniska meddelanden av-krypteras, öppnas och dess innehåll inspekteras av maskiner.

Länkar:
• Unterwanderung von Verschlüsselung: Signal droht mit Rückzug »
• Signal would ’walk’ from UK if Online Safety Bill undermined encryption »
• WhatsApp: We won’t lower security for any government »
• ChatControl / CSA Regulation – enkelt förklarad »

#ChatControl /#CSAR – Europaparlamentet tycker till

av

Nej till centrala detaljer men ändå ja till #ChatControl när det första av fem utskott i Europaparlamentet lämnar ett yttrande.

EU-kommissionens förslag om att granska innehållet i våra elektroniska meddelanden tycks möta en del motstånd i Europaparlamentet. Det har redan gnisslat en del när EU-kommissionär Ylva Johansson frågades ut om sitt förslag.

Det är rapportören (Alex Saliba, S&D) i utskottet för den inre marknaden (IMCO) som lagt fram en första uppsättning ändringsförslag (PDF).

Till att börja med säger han nej till en åldersgräns för att ladda ner eller använda olika meddelande-appar. Dels är förslaget orealistiskt, dels innebär rapportörens nej en möjlighet till fortsatt anonym användning.

Ändringsförslag 17a (på sid 16) är också högst intressant:

»End-to-end encryption is an important tool to guarantee the security and confidentiality of the communications of users, including those of children. Any restrictions of encryption could potentially be abused by malicious third parties. In order to ensure effective consumer trust, nothing in this Regulation should be interpreted as prohibiting providers of information society services from providing their services applying encryption, restricting or undermining such encryption in the sense of being detrimental to users’ expectations of confidential and secure communication services. Member States should not prevent providers of information society services from providing their services applying encryption, considering that such encryption is essential for trust in and security of the digital services, and effectively prevents unauthorised third party access.«

Med andra ord: Bort med tassarna från kryptering och krypterade meddelanden.

Det blir dock lite konstigt när rapportören ändå tycks stödja kommissionens förslag om granskning av innehållet i elektroniska meddelanden som sådant. Detta då i princip alla meddelandetjänster i varierande omfattning är krypterade.

Ledamoten Patrick Breyer (PP, DE) kommenterar:

»However, ineffective netblocks with collateral damage for many legitimate contents could still be imposed. Above all, indiscriminate chat control would still be implemented: Excluding encrypted communication and telephony, leaving AI algorithms out of it – all this would not change the fact that the end of digital secrecy of correspondence for most emails and chats is imminent. Digital privacy of correspondence does not only apply to encrypted communication!«

IMCO är bara ett av de utskott som skall yttra sig. Även kulturutskottet (KULT), budgetutskottet (BUDG) och utskottet för kvinnofrågor (FEMM) skall lägga fram egna dokument. I FEMM är den svenska socialdemokraten Heléne Fritzon rapportör.

När dessa utskott är klara med sin behandling under våren går ärendet till utskottet för mänskliga rättigheter (LIBE) för huvudbehandling förmodligen i september. Därefter kan förslaget komma upp i plenum – och Europaparlamentet slå fast sin position.

Även om det finns positiva tecken från Europaparlamentet, så verkar medlemsstaterna i ministerrådet dra åt ett annat håll. Till att börja med är man splittrade, då i vart fall Österrike och Tyskland kommer att säga nej. (Vilket dock inte räcker för en blockerande minoritet.)

Vidare odlas en märklig idé i rådet om att internetoperatörerna skall åläggas att hitta och identifiera tidigare okänt olagligt innehåll.

När både parlamentet och rådet har sina positioner klara sker en så kallad trilog, som är en förhandling bakom stängda dörrar mellan de två institutionerna och kommissionen. Detta väntas ske mot slutet av året.

Sedan skall resultatet av dessa förhandlingar godkännas en sista gång i parlamentet och rådet. Där kan det bli et ja, ett nej eller bakläxa.

Enkelt uttryckt står frågan och väger. Så om man vill påverka, då är det lättare nu än längre fram.

Läs mer:
• First parliamentary amendments on EU Child Sexual Abuse Regulation: Some poison teeth are pulled, but indiscriminate chat control still looming »
• Draft opinion från IMCO (PDF, ENG) »

Lagstiftningsdokument:
• Kommissionens förslag »
• Legislative Observatory »

Relaterade länkar:
• ChatControl.eu »
• ChatControl – granskning av EU-kommissionens förslag
• EU-kommissionen: Övervakning är viktigare än mänskliga rättigheter »
• PP: EU-kommissionär Ylva Johansson ljuger om #ChatControl »
• ChatControl – nu är det skarpt läge i EU, men regeringen vill inte tala om saken »
• UN Human Rights Commissioner warns against chat control »
• ChatControl – detta händer i ministerrådet »
• EU:s ministerråd vill kontrollera allt du gör på nätet
• ChatControl: EU-kommissionen duckar alla jobbiga frågor »

TLDR:
• ChatControl / CSA Regulation – enkelt förklarad »

#ChatControl – detta händer i ministerrådet

av

Ministerrådet är splittrat när det gäller EU-kommissionens förslag om att granska innehållet i medborgarnas elektroniska meddelanden. Vad Sverige har för position är fortfarande oklart.

Information börjar läcka ut från EU:s ministerråd, vad gäller #ChatControl / CSA Regulation. (Granskning av innehållet i dina elektroniska meddelanden m.m. i syfte att skydda barnen online.) Här är några centrala punkter:

Rådet är splittrat vad gäller hur man skall hantera krypterade meddelanden. Frankrike, Tyskland, Österrike, Nederländerna, Grekland, Kroatien, Litauen och Slovenien vill försvara kryptering. Övriga medlemsstater är antingen negativa till kryptering i denna kontext eller har ingen åsikt. EU-kommissionen tar tydlig ställning mot kryptering.

• Det råder även oenighet om ifall man bör förlänga den nuvarande lagstiftningen, som gör det möjligt för sociala media, meddelandetjänster m.fl. att frivilligt söka efter sexuella övergrepp mot barn – eller om man skall gå på kommissionens linje och göra sådan skanning obligatorisk.

Tyskland och Nederländerna vill undanta kommunikationer via ljud (Skype, IP-samtal, WhatsApp-samtal m.m.) från lagförslaget. Övriga medlemsstater och kommissionen vill granska innehållet även i sådana kommunikationer.

• EU:s dataskyddsmyndighet, European Data Protection Supervisor (EDPS) – som är kritisk till #ChatControl – deltog också på ministerrådets möte. Frankrike, Tjeckien och Slovenien uttryckte besvikelse över EDPS kritiska ställningstagande.

• EDPS är särskilt kritisk till användning av AI för att upptäcka grooming, vilket den menar skulle leda till ett oacceptabelt intrång på rätten till privatliv.

• EDPS kritiserar även förslaget om en 17-årsgräns för meddelandetjänster och meddelande-appar. Man menar att det inte finns något sätt att upprätthålla detta utan omfattande intrång i den personliga integriteten.

Vad Sverige tycker framgår inte av dokumenten.

Den 16 februari skall ministerrådet diskutera frågan igen.

Länk:
• Chatkontrolle-Verhandlungen: So stehen die EU-Länder zur Verschlüsselung

Relaterat:
• EU:s ministerråd vill kontrollera allt du gör på nätet »
• Member States want internet service providers to do the impossible in the fight against child sexual abuse »

Lagstiftningsdokument:
• Kommissionens förslag »
• Legislative Observatory »

Relaterade länkar:
• ChatControl.eu »
• ChatControl – granskning av EU-kommissionens förslag
• EU-kommissionen: Övervakning är viktigare än mänskliga rättigheter »
• PP: EU-kommissionär Ylva Johansson ljuger om #ChatControl »
• ChatControl – nu är det skarpt läge i EU, men regeringen vill inte tala om saken »
• UN Human Rights Commissioner warns against chat control »

I Tyskland, till skillnad från i Sverige, är frågan om #ChatControl het.

EU:s ministerråd vill kontrollera allt du gör på nätet

av

EU:s ministerråd vill inte bara att innehållet i dina elektroniska meddelanden granskas. Allt du gör på nätet skall kontrolleras. Av AI och maskiner.

På många sätt kräver EU-kommissionens förslag om #ChatControl / CSA Regulation (om att bekämpa sexuella övergrepp mot barn på nätet) det omöjliga. Och värre blir det nu när ministerrådets ändringsförslag börjar droppa in.

Ett av dessa förslag slår direkt mot internetoperatörerna (ISP:arna). De förväntas blockera tidigare okänt olagligt innehåll. Vilket rimligen kräver att alla ISP:ar måste inspektera all trafik med filter och AI-verktyg.

Vilket för det första är omöjligt om trafiken är krypterad. Vidare finns inga fungerande verktyg för att till exempel identifiera grooming utan en stor mängd felaktiga flaggningar som drabbar oskyldiga.

Dessutom är svepande, allmän övervakning (general monitoring) olaglig enligt EU:s egen lagstiftning.

Återigen måste man fråga sig om EU:s institutioner vet vad de sysslar med.

Redan kommissionens förslag om att blockera URL:er kopplade till sexuella övergrepp mot barn tänjer på det möjligas gränser. EDRi förklarar:

»Under the Commission proposal, ISPs can be ordered to block Uniform Resource Locators (URLs) for known CSA material which is hosted outside the European Union if voluntary removal of the material is not possible. The blocking order for the list of URLs must be approved by a court.

The main problem with the Commission proposal is the practical implementation: blocking orders at the URL level is technically impossible when HTTPS is used for accessing a website because the full URL is end-to-end encrypted between the user’s browser and the web server.

HTTPS has become the de facto standard for web traffic. It is unclear from the proposal how this situation should be handled. Blocking at the domain name level (DNS blocking), that is entire websites, is a workable alternative, but this requires a different proportionality assessment than the one foreseen in Articles 16-18 of the proposal.«

Den sista meningen är ett finkänsligt sätt att påpeka att detta är ett ärende som främst berör de mänskliga rättigheterna – inte den inre marknaden, vilken kommissionär Ylva Johansson hänvisat till som laglig grund.

Så långt kommissionens förslag. Nu till ministerrådet:

»Besides blocking known CSA material, which has been assessed by competent authorities, ISPs should also block unknown CSA material. This would effectively require ISPs to monitor the content of internet traffic for all users and rely on error-prone artificial intelligence technology to detect unknown CSA material (similar to detection orders in Articles 7-11).

This type of general monitoring of internet traffic is prohibited by EU law, and no derogation is applicable for blocking orders. On a more practical level, the traffic analysis necessary to implement blocking of unknown CSA material is technically impossible when internet traffic is encrypted.

Furthermore, the Council amendments remove essentially all safeguards from the Commission proposal.« (…)

»The required proportionality assessment is also deleted from the proposal. The joint effect of these amendments is a blocking provision with very few safeguards and no independent oversight, a toxic combination which creates a high risk of over-removal of legal content

#ChatControl / CSAR / CSA Regulation kan alltså komma att sträcka sig långt bortom granskning av medborgarnas elektroniska meddelanden. Även allt vi tittar på och gör, på nätet skall – i ministerrådets värld – analyseras. Av maskiner. Så att vi inte tittar fel.

Och när verktyget väl finns på plats, då börjar ändamålsglidningen. Så är det i princip alltid.

Länk:
• Member States want internet service providers to do the impossible in the fight against child sexual abuse »

Lagstiftningsdokument:
• Kommissionens förslag »
• Legislative Observatory »

Relaterade länkar:
• ChatControl.eu »
• ChatControl – granskning av EU-kommissionens förslag
• EU-kommissionen: Övervakning är viktigare än mänskliga rättigheter »
• PP: EU-kommissionär Ylva Johansson ljuger om #ChatControl »
• ChatControl – nu är det skarpt läge i EU, men regeringen vill inte tala om saken »
• UN Human Rights Commissioner warns against chat control »

Apple skrotar planer på övervakning

av

Apple kommer att erbjuda fullt krypterad backup av iCloud.

Företaget skrotar även planerna på att skanna alla bilder på användarnas enheter (client side scanning). Tidigare har den bara pausats.

Detta är rimligen ett bakslag för EU-kommissionen som vill införa granskning av innehållet i alla elektroniska meddelanden och det folk lagrar på molntjänster (#ChatControl / CSAR).

Läs mer:
• EFF: VICTORY! Apple Commits to Encrypting iCloud, Drops Phone-Scanning Plans »
• Wired: Apple Kills Its Plan to Scan Your Photos for CSAM. Here’s What’s Next »

UK Online Safety Bill – ett hot mot ett fritt och öppet internet

av

Fängelse för otillåtna eller kränkande meddelanden och postningar, statligt godkända uppladdningsfilter och av-kryptering av meddelanden i ny brittisk internetlag.

I Storbritannien närmar sig den föreslagna Online Safety Bill beslut. Detta är ett förslag som är problematiskt på flera sätt.

  • Det föreskrivs fängelse i upp till två år för otillåtna yttranden online eller meddelanden som anses kunna orsaka »psychological harm amounting to at least serious distress«.
  • Även den som sprider »false communications« skall kunna dömas till fängelse i upp till ett år.
  • Online service providers måste använda statligt godkänd programvara för att söka efter och avlägsna innehåll och postningar som kan kopplas till terrorism eller sexuellt utnyttjande av barn.
  • Webplatser som anses vara kränkande kan bötfällas och/eller blockeras.

Det är uppenbart att mycket av detta lämnar utrymme för subjektiva bedömningar, vilket inte är bra i en lagtext. Dessutom kan syftet lätt utökas.

Det finns undantag i sektionen om »communications offenses« för etablerad media och vid spridning av film producerad för visning på biograf. Så lagen kommer inte att träffa Big Media – bara alternativmedia, medborgarjournalister, aktivister och vanligt folk.

För att kunna söka efter otillåtet innehåll måste man skanna allt som alla lägger upp. Detta är för det första ett ingrepp i användarnas rätt till privatliv. Dessutom förutsätter det att man kringgår kryptering, vilket kommer att göra alla användare mindre säkra.

Plus att uppladdningsfilter är dåliga på att bedöma kontext, humor och tonfall – vilket kommer att leda till överfiltrering. Detta gäller speciellt då dessa skall vara statligt godkända och därför blir svårare att fintrimma.

Ett antal organisationer har skrivit ett brev till den nye brittiske premiärministern Rishi Sunak. Ett utdrag:

»Undermining protections for end-to-end encryption would make UK businesses and individuals less safe online, including the very groups that the Online Safety Bill intends to protect. Furthermore, because the right to privacy and freedom of expression are intertwined, these proposals would undermine freedom of speech, a key characteristic of free societies that differentiate the UK from aggressors that use oppression and coercion to achieve their aims.«

Detta lagförslag har varit aktuellt länge, men flera gånger dragits tillbaka och omarbetats. Nu återstår att se om den nya regeringen kommer att gå fram med förslaget i sin senaste skrivning. Det mesta talar för att det kommer att läggas fram för parlamentet inom kort.

UK Online Safety Bill – another fine mess.

Länkar:
• Experts Condemn The UK Online Safety Bill As Harmful To Privacy And Encryption »
• The UK Online Safety Bill Attacks Free Speech and Encryption »

Europol brainstormar om att knäcka krypterade kommunikationer

av

Myndigheternas krig mot krypterad information fortsätter. Samtidigt vill EU:s ministerråd begränsa insynen i hur polisen använder artificiell intelligens i sitt arbete.

Bakdörrar, superdatorer och samarbete med internetoperatörer var några av de idéer som diskuterades när EU:s olika polis- och säkerhetsorgan nyligen brainstormade hur man kan gå vidare för att knäcka krypterade kommunikationer.

Detta skedde på en konferens med EU Innovation Hub for Internal Security som hölls förra månaden, enligt Statewatch som har utskrifter av vad som diskuterades.

Särskilt uppseendeväckande är att man öppnar för att hålla säkerhetsluckor i vår IT-infrastruktur öppna istället för att anmäla dem – för att själva kunna utnyttja dessa för övervakning.

Men sådana säkerhetsluckor kan även användas av andra, till exempel kriminella och främmande makt. Vilket gör oss alla mindre säkra.

Statewatch rapporterar:

»At a recent event hosted by Europol’s Innovation Hub, participants discussed questions relating to encrypted data and the ability of law enforcement authorities to access digital information. One issue raised was a possible ”EU Vulnerability Management Policy for Internal Security,” which could allow for ”temporary retention of vulnerabilities and their exploitation by the relevant authorities.” In effect, this would mean identifying weaknesses in software and, rather than informing the software developers of the problem, exploiting it for law enforcement purposes.«

EU Innovation Hub for Internal Security består av nio olika EU-myndigheter och organ som på olika sätt arbetar med polisiära och säkerhetsrelaterade frågor. Spindeln i nätet är EU:s polismyndighet Europol. Såväl EU-kommissionen som ministerrådet är medlemmar – men inte Europaparlamentet.

I övrigt diskuterade man även hur artificiell intelligens (AI) kan användas i polisiärt arbete samt vad man kan göra för att komma åt elektroniska kommunikationer i 5G-nätet (vilket tydligen är oväntat krångligt).

Intressant nog vill EU:s ministerråd begränsa transparensen vad gäller hur polisiära myndigheter använder AI i sitt arbete. Statewatch skriver:

»The Czech Presidency of the Council has inserted new provisions into the proposed AI Act that would make it possible to greatly limit the transparency obligations placed on law enforcement authorities using ”artificial intelligence” technologies. A new ”specific carve-out for sensitive operational data” has been added to a number of articles. If the provisions survive the negotiations, the question then becomes: what exactly counts as ”sensitive operational data”? And does the carve-out concern just the data itself, or the algorithms and systems it feeds as well?«

Detta är ytterligare en het fråga som lär hamna på det svenska EU-ordförandeskapets bord efter årsskiftet.

Läs mer:
• Statewatch: EU: Discussion on encryption ponders ”retention of vulnerabilities and exploitation by the authorities” »
• ”Wicked problem”: Europol considers vulnerability exploitation to break encryption »
• Statewatch: EU: AI Act: Council Presidency seeks more secrecy over police use of AI technology »