Kryptering
Kryptering är viktig för säker kommunikation online. Med EU och Europol i spetsen vill myndigheterna nu ha tillgång till bakdörrar till kryptering, även där sådana idag inte finns. Öppnar man sådana bakdörrar för myndigheterna, då öppnar man dem även för kriminella, främmande makt och andra illasinnade aktörer.
DSA: EU nu ett steg närmare statligt godkända nätcensorer
EU:s Digital Services Act är nu ett steg närmare slutligt beslut. En del saker är bra, en del är dåliga och en del är självmotsägelser. Samtidigt ser det ut som att EU:s nya statligt godkända nätcensorer – Trusted Flaggers – kommer att bli verklighet utan varesig diskussion eller protester.
Europaparlamentets utskott för den inre marknaden och konsumentskydd (IMCO) är huvudansvarigt utskott för EU:s nya Digital Services Act. Nu har man röstat fram ett huvudförslag som i sin tur skall upp till votering i parlamentets plenum (hela EP) nästa månad.
Det är ömsom vin, ömsom vatten. Här kommer några centrala punkter:
- Man behåller principen om ”safe harbor” – som gör att en plattform / operatör inte kan hållas ansvarig för olagligt innehåll om de inte varit medvetna om dess existens och samtidigt vägrat ta bort det.
- Förbudet mot generell övervakning av innehåll blir kvar och får inte heller föreskrivas genom lag eller de facto genom automatiserade eller icke-automatiserade medel. (Vilket kolliderar med den #ChatControl som man är på väg att driva igenom, såväl som de uppladdningsfilter som blir en praktisk – om än ej obligatorisk – konsekvens av andra delar av förordningen.)
- End-to-end-kryptering skall inte begränsas.
- Strängare regler för annonsering, speciellt när den riktas mot minderåriga.
- Man säger nej till förslaget från utskottet för mänskliga rättigheter (LIBE) om rätten att använda och betala för digitala tjänster anonymt.
- Krav på identifiering med telefonnummer (!) för den som laddar upp innehåll till porr-plattformar.
- Samtycke till spårning/cookies skall kunna ske med en inställning i web-läsaren istället för pop-ups på varje sida.
- Man röstade nej till LIBE:s förslag om att myndigheterna endast skall kunna få tillgång till användarnas användarhistorik om det handlar om att utreda allvarliga brott.
- Man röstade även nej till LIBE:s förslag om att olagligt material skall tas bort snarare än blockeras.
- IMCO röstade nej till LIBE:s förslag om att beslut om innehålls laglighet skall fattas av rättsväsendet istället för av administrativa myndigheter.
- Man röstade vidare nej till LIBE:s krav på att myndigheter i en medlemsstat inte skall kunna beordra nedtagning av innehåll på servrar/plattformar i ett annat land om innehållet i fråga är lagligt i det senare.
- Man menar att tidsramarna för nedtagning av olagligt material inte får vara orealistiskt kort.
- Man röstade nej till LIBE:s förslag om att beslut om nedtagning av innehåll skall vara föremål för rättslig prövning samt att den som publicerat innehållet då skall få rätt att yttra sig om saken.
- Man säger nej till obligatoriska uppladdningsfilter – men ställer samtidigt krav som kommer att leda till att sådana i praktiken blir nödvändiga.
- Samtidigt säger man att plattformarna inte skall kunna straffa användare som sprider olagligt material genom att tillfälligt de-plattformera dem, då detta skulle försvåra rättslig prövning. (Trots att man säger nej till sådan rättslig prövning i punkten ovan.)
- IMCO röstade vidare nej till LIBE:s förslag om att ge användarna mer makt över de algoritmer som styr vad som syns i deras individuella flöden.
Detta är bara ett litet urval. Som synes tycks en del beslut vara motstridiga eller strida mot annat som EU försöker driva igenom (som #ChatControl). Vi kommer att göra en större genomgång när det finns ett konsoliderat dokument för votering i plenum. Räkna med att LIBE kommer att försöka få igenom sina åsikter (se listan ovan) i den slutliga voteringen i kammaren. Plus att det då kommer att komma nya ändringsyrkanden.
Efter voteringen i plenum skall parlamentet, ministerrådet och EU-kommissionen förhandla sig samman i en så kallad trilog. Om den leder till ändringar kan det bli fråga om ytterligare en votering i parlamentet.
En sak nämns dock inte i rapporteringen och tycks i princip inte ifrågasättas av någon: Trusted Flaggers, det vill säga statligt godkända nätcensorer.
Trusted Flaggers skall enligt DSA kunna rekommendera (eller kräva) att plattformarna tar bort oönskat innehåll. Dessa nätcensorer skall företräda ”kollektiva intressen” och kan till exempel vara intresseorganisationer eller myndigheter. Vilket är uppseendeväckande och oroande. Men frågan förbigås i tysthet och något egentligt motstånd tycks inte finnas – inte ens bland dem som normalt sett kämpar för informationens frihet och ett fritt, öppet internet.
Länkar:
• Reuters: Key EU parliament committee agrees tough position on DSA tech rules »
• MEP Patrick Breyer (PP, DE): Digital Services Act: No game-changer for the protection of citizens’ rights online »
• LIBE:s opinion (PDF) »
• EFF: EU Parliament’s Key Committee Rejects a Filternet But Concerns Remain »
• AccesNow: Victories in the DSA vote: IMCO Committee puts people’s rights before corporate interest »
• EDRi: Has the Parliament effectively wielded the Digital Services Act to challenge platform power? The verdict is, somewhat. »
Analys: Tyskland gör en u-sväng i övervakningsfrågorna
Kommer den nya tyska regeringen att lyckas vända marschen in i övervakningsstaten? Man tänker i vart fall göra ett försök.
Som vi tidigare rapporterat är den nya tyska regeringen betydligt mer skeptisk till massövervakning än ministären Merkel. Nu är frågan hur detta kommer att omsättas i praktisk handling.
• Kryptering
I koalitionsfördraget skriver man att rätten till kryptering skall garanteras. Detta kolliderar med bland andra Europols ambitioner att knäcka eller kringgå kryptering. Frågan är knepig. Man kan tänka sig något slags inriktning av krypto-knäckning som bara får omfatta misstänkta för brott. Men det löser inte grundproblemet med att bakdörrar (eller andra sätt att kringgå eller knäcka kryptering) kommer att leda till att all kryptering utsätts för risker. Vilket i så fall kommer att göra oss alla mindre säkra. Det skall bli intressant att se hur man tänkt leverera på denna punkt.
• ChatControl 2
Fördraget säger vidare nej till generell övervakning, speciellt av privat kommunikation. Vilket kolliderar med EU:s planer på att göra det obligatoriskt för meddelande- och mailtjänster att av-kryptera och granska innehållet i alla användares alla elektroniska kommunikationer. Här är även vad som ovan nämns om kryptering tillämpligt.
I alla EU:s institutioner finns idag ett brett stöd för ChatControl 2. Det skall bli mycket intressant att se vad som händer om unionens tyngsta medlemsland plötsligt säger nej. Förutsättningarna för Tyskland att stoppa förslaget i EU är inte jättegoda, men tyska regeringar med liberala justitieministrar har lyckats med liknande saker förr.
• Datalagring
Av samma skäl som när det gäller ChatControl lär den nya tyska regeringen säga nej till datalagring, så väl inom landet som planerna på ett nytt datalagringsdirektiv i EU.
Med detta ansluter sig den nya regeringen till EU-domstolens linje. Domstolen har upphävt EU:s tidigare datalagringsdirektiv – och vid upprepade tillfällen påpekat för medlemsstater att det inte är tillåtet med svepande insamling av data om alla medborgares alla tele- och datakommunikationer utan konkret brottsmisstanke.
Räkna med att den nya linjen kommer att möta hårt motstånd från polis och underrättelsetjänst.
• Hemlig dataavläsning
Koalitionsfördraget säger även att alla säkerhetsbrister inom IT skall rapporteras in. Vilket i så fall kolliderar med användningen av hemlig dataavläsning (”Bundestrojaner”). Sådan bygger på att hålla ännu icke allmänt kända säkerhetsbrister öppna – för att sedan myndigheterna skall kunna använda dem för installation av spionprogram. Men den nya regeringen sätter istället allas säkerhet online främst.
Så sent som i somras beslutade Bundestag om ökad användning av hemlig dataavläsning. Men nu är det alltså tänkt att man skall göra helt om i frågan. Vilket säkert kommer att orsaka en del gnissel.
• Nej till biometrisk massövervakning
Detta är möjligen en mer omstridd fråga i Tyskland än i EU. Medan tysk polis redan prövat kameraövervakning med automatisk ansiktsigenkänning, finns ett klart motstånd mot användning av sådan teknik på EU-nivå – inte minst i Europaparlamentet.
Detta är bara några exempel. Du hittar en mer utförlig lista här.
Nu återstår att se om den nya regeringen kan leverera enligt sin överenskommelse. Det finns skäl att misstänka att socialdemokraterna (som ju satt i den förra regeringen, vilken drev en annan politik) inte är helt förtjusta.
Men framförallt är det i EU som den nya tyska linjen kan komma att skapa oreda. Förhoppningsvis blir det en ögonöppnare när det största EU-landet säger nej till mer kontroll och övervakning. Det kan bli ett tillfälle för mindre länder (som tidigare tyckt att motstånd är meningslöst) att ta sitt förnuft till fånga.
Tyskarna vet ju hur det kan gå. Så de har en viss avsändarlegitimitet i dessa frågor.
Tyskland tar steget in i internetåldern
Vi har fått tag i den nya tyska regeringens koalitionsfördrag – och hittar mycket positivt vad gäller nät- och IT-frågorna.
Efter att ha dammsugit vårt nyhetsflöde har vi nu hittat ett par översättningar till engelska av samarbetsavtalet mellan de nya tyska regeringspartierna – socialdemokraterna, liberalerna och de gröna. Än så länge finns en google-översatt variant av hela fördraget samt en preliminär manuellt översättning av de delar som rör de digitala frågorna (PDF).
Som alltid i sådana här sammanhang är det mycket blomspråk, men här är några intressanta nedslag i texten.
- Man slår fast att öppen standard skall vara regeln för offentliga IT-projekt.
- Man tänker se till att täcka in de vita fläckarna på uppkopplingskartan och erbjuda medborgarna garanterad bandvidd.
- Mobiluppkoppling och wifi på tågen skall förbättras.
- Man tänker garantera rätten till kryptering.
- Man vill även se en rätt till interoperabilitet och portabilitet.
- Alla säkerhetsbrister inom IT skall rapporteras in. Detta skall gälla alla myndigheter, vilket även lär omfatta polisen som idag använder sig av säkerhetsluckor för hemlig dataavläsning (Bundestrojaner).
- Man vill se över landets kritiserade Netzwerkdurchsetzungsgesetz (NetzDG) som inskränker yttrandefriheten online.
- Man säger nej till generell övervakning, övervakning av privat kommunikation och ID-krav online. (Det lär till exempel innebära ett nej till generell datalagring och meddelandekontroll.)
- Man vill garantera rätten att vara anonym och att använda pseudonym online.
- Man flaggar för omfattande investeringar på IT-området. Till exempel nämns AI, kvant-teknologi, cybersäkerhet, blockkedje-teknologi och robotisering.
- Man säger nej till biometrisk massövervakning och social scoring.
- Man tänker underlätta för start-ups och småföretag inom IT, till exempel vad gäller finansiering.
- Man vill stimulera delägarskap (som optioner?) för anställda i IT-företag.
Detta är bara några nedslag i en preliminär översättning av texten.
Som boende i Tyskland kan jag konstatera att det är på tiden att landet tar steget in i den digitala tidsåldern. Till exempel kan det närmast komma att leda till en revolution av den tungrodda och svårnavigerade tyska byråkratin, som idag i stora delar är manuell.
Och vad gäller nätfrihetsfrågorna är det bara att tacka och ta emot. Nu återstår att se om man klarar av att leverera.
Video: Säg nej till meddelandekontroll!
Alla dina meddelanden och all din e-post kommer nu att av-krypteras och dess innehåll kommer att granskas.
EU har redan givit sociala media, meddelandetjänster och e-post-leverantörer möjlighet att av-kryptera dina meddelanden och att granska dess innehåll.
Nu skall detta bli obligatoriskt. Det skall gälla alla meddelandetjänster och alla e-postleverantörer.
Alla dina meddelanden och all din e-post, allt du sänder och tar emot kommer att av-krypteras och dess innehåll kommer att granskas.
Allt du sänder till släkt och vänner skall kontrolleras. Allt du sänder i jobbet skall öppnas och granskas. Alla filer, bilder, filmer och ljud du sänder skall analyseras.
Granskningen kommer att göras av maskiner och deras algoritmer. Som inte begriper sig på sammanhang och kontext.
Syftet är att kontrollera att du inte sprider barnporr eller ägnar dig åt sexuella övergrepp mot barn.
Erfarenheter visar att 86 av 100 sådana automatiserade flaggningar är felaktiga och drabbar helt oskyldiga människor.
När meddelandekontrollen väl är på plats då kommer det att vara enkelt att utöka dess syfte. På samma sätt som all övervakning tenderar att utökas såväl vad gäller syfte som omfattning.
Detta är ett verktyg för övervakning och kontroll som lätt kan komma att missbrukas av illvilja, inkompetens eller oförstånd.
Dessutom kommer den första granskningen av innehållet i dina meddelanden och din e-post att göras av Facebook, Google, Apple och andra jättar inom sociala media och kommunikation – som redan vet allt för mycket om dig.
Försvara rätten till privatliv och privat korrespondens. Säg nej till öppning och granskning av allas alla meddelanden och e-post! Säg nej till EU:s meddelandekontroll!
• Läs mer på Chat.control.eu »
Belgiens tredje försök att införa datalagring
Förslaget till ny datalagrings-lag i Belgien försöker kringgå förbudet mot svepande övervakning av alla utan brottsmisstanke. Men fortfarande kommer de flesta människor att drabbas, om än inte hela tiden.
Efter att EU-domstolen ogiltigförklarade EU:s datalagringsdirektiv har den belgiska regeringen gjort två försök att införa ny lagstiftning på området. Båda gångerna har lagen underkänts av landets författningsdomstol. Nu gör man ett tredje försök.
Denna gång tar man fasta på att datalagring inte får vara svepande och omfatta alla medborgares alla tele- och datakommunikationer utan misstanke. Men samtidigt inte.
I förslaget skriver man att datalagring skall inriktas på vissa platser och individer. Vilket i och för sig är ett steg framåt. Men långt ifrån oproblematiskt.
Platser där datalagring skall ske är enligt förslaget till exempel: flygplatser, järnvägsstationer, tunnelbanestationer, gränser, sjukhus, motorvägar, forskningscenter, domstolar, polisstationer och kritisk infrastruktur. Plus platser med hög kriminalitet.
Vilket i praktiken innebär att så gott som alla människor som rör sig i samhället kommer att drabbas, om än inte hela tiden. Såvida man inte har oturen att bo i anslutning till ett område med hög kriminalitet. Då kommer man ändå att få det mesta av sin kommunikationsdata lagrad oavsett om man är misstänkt för något brottsligt eller ej.
Inriktning mot enskilda personer som kan misstänkas för brottslig verksamhet är dock mindre kontroversiellt.
Det skall bli intressant att se hur författningsdomstolen ställer sig till detta. Och om lagen får grönt ljus där, då kan den ändå komma att prövas i EU-domstolen.
Möjligen kan man se det belgiska lagförlaget som en testballong. Klarar det sig genom både författningsdomstolen och EU-domstolen kan det bli en modell för fler EU-länder.
En intressant detalj som egentligen inte har med datalagring att göra är att den nya lagen även omfattar kryptering.
EDRi förklarar:
»Worse still, the Belgian draft text requires that encryption systems should not prevent ‘legal’ interception operations. Judicial entities could order telecom operators to ‘switch off’ encryption for certain users. However, it is not clear how this legal requirement is technically achievable. This ‘switch off’ function would therefore lead to the introduction of some sort of backdoor in encrypted systems.»
Den goda nyheten är att detta bara är tänkt att inriktas mot vissa, misstänkta personer. Den dåliga nyheten är att bakdörrar till kryptering underminerar allas vår säkerhet online. Antingen har man säker kryptering eller så har man det inte. Hur detta är tänkt att gå till rent praktiskt är också oklart.
Läs mer hos EDRi:
• New Belgian data retention law: a European blueprint? »
EU:s medlemsstater positiva till av-kryptering och granskning av alla medelanden och all e-post
EU:s medlemsstater uttalar sitt stöd för bland annat av-kryptering och granskning av alla användares alla meddelanden och e-post.
För en dryg vecka sedan kom beskedet om att EU-kommissionen blir försenad med sitt förslag till ChatControl 2 – det vill säga av-kryptering och granskning av alla meddelanden och all e-post. Men det hindrar inte ministerrådet från att ge det ännu icke existerande förlaget sitt stöd.
På förra veckans möte med EU:s inrikesministrar tryckte man på för ChatControl 2. Samtidigt verkar det som om man både vill ha kakan och äta upp den:
»In this context, the importance of appropriate and feasible solutions regarding data retention, encryption, e-evidence and the darknet environment was highlighted. Such solutions should aim to ensure that investigators and other competent authorities are equipped with the tools necessary to perform their tasks of ensuring public security, including safeguarding the most vulnerable members of our societies. Any solutions should fully respect the fundamental rights and freedoms of all users concerned, including on privacy, protection of personal data and fair trial guarantees.«
Urskiljningslös granskning av alla användares meddelanden utan brottsmisstanke strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv. Det var av detta skäl EU-domstolen upphävde EU:s datalagringsdirektiv. Men nu verkar EU alltså vara på väg att begå samma misstag en gång till.
Man kan skriva att grundläggande rättigheter skall respekteras hur många gånger man vill. Men det är bara tomma ord – när man tydligt har föresatt sig att åsidosätta dem.
Kommissionens nya förslag väntas under första kvartalet nästa år. Det är värt att notera att lagstiftningen inte ens har hunnit presenteras innan det börjat dyka upp förslag om att utöka dess syfte.
Läs mer:
• EU interior ministers welcome mandatory chat control for all smartphones »
• Chat Control – The End of the Privacy of Digital Correspondence »
EU: Ministerrådet vill ha ”lösningar” vad gäller datalagring, kryptering, eBevis och Darknet
På ett möte i slutet av veckan kommer EU:s inrikesministrar att göra ett nytt försök att återuppväcka datalagringen och kringgå kryptering av meddelanden. På kuppen riskerar man våra grundläggande fri- och rättigheter och säkerheten för elektronisk kommunikation.
Den 11-12 november håller EU:s inrikes- och justitieministrar möte i Slovenien. På dagordningen finns ”appropriate solutions regarding data retention, encryption, e-evidence and the darknet”. Detta i namn av att bekämpa sexuella övergrepp mot barn online (CSAM). Till mötet har man även bjudit in representanter för USA, västra Balkan, EU-kommissionen, Europol, Eurojust och Europaparlamentet.
I sammanhanget skall nämnas att Chatcontrol 2 – obligatorisk avkryptering och granskning av alla användares alla meddelanden – drabbats av ändamålsglidning redan innan det finns något konkret förslag på papper. Barns säkerhet på nätet används här som murbräcka för en mer omfattande övervakning av folkets nätkommunikationer.
Det är intressant att se att man vill blåsa nytt liv i datalagringen. EU:s datalagringsdirektiv upphävdes som bekant av EU-domstolen – som menar att svepande lagring av alla medborgares alla telekommunikationer utan misstanke om brott strider mot de mänskliga rättigheterna.
Hur man tänkt ta sig runt EU-domstolens beslut är oklart. Men veckans möte tyder på att man vill göra ett nytt försök.
Man kan även undra vilka ”lämpliga lösningar” ministerrådet tänkt sig vad gäller kryptering. Som påpekats många gånger finns inga lösningar som upprätthåller krypteringens funktion och integritet och samtidigt ger myndigheterna en bakdörr. Kringgår man kryptering, då blir nätet mindre säkert för oss alla.
Det känns som om vi sett liknande möten förr. Och precis som förr önskar man sig saker som inte är förenliga med medborgarnas rätt till privatliv och säker elektronisk kommunikation.
EU: ChatControl 2.0 skjuts på framtiden?
Den nya reglering som kommer att göra det obligatoriskt för alla nätets meddelandetjänster att av-kryptera och granska sina användares kommunikationer var tänkt att presenteras till månadsskiftet. Nu har den skjutits på framtiden. Det är oklart varför – men en möjlighet är att EU-kommissionen vill utvidga meddelandekontrollen till fler syften.
Tidigare i år beslutade EU om tillfälliga regler för ChatControl – det vill säga av-kryptering och granskning av nätanvändarnas meddelanden och kommunikationer i syfte att bekämpa sexuella övergrepp på barn (CSAM). De reglerna gör det möjligt men inte obligatoriskt med sådan granskning. Samtidigt meddelades att ChatControl 2.0 är på väg, som gör detta obligatoriskt för alla meddelande- och kommunikationsplattformar.
ChatControl 2.0 var tänkt att presenteras den 1 december. Nu verkar det dock som om frågan i vart fall tillfälligt har plockats bort från EU-kommissionens agenda.
Vi vet inte varför. Men det finns ett antal tänkbara förklaringar.
Det kan handla om att sådan övervakning strider mot förbudet mot krav på generell övervakning, GDPR och/eller ePrivacy-förordningen.
Relaterat till detta kan nämnas att EU-domstolen som bekant förbjudit urskiljningslös lagring av data om alla medborgares tele- och datakommunikationer med mindre än att det finns en misstanke mot enskilda eller grupper av användare. Detta kan även appliceras på ChatControl – vilket kommer att kräva en del kreativitet från EU-kommissionens sida för att komma runt.
Alternativt kan man ha upptäckt praktiska hinder vad gäller att tvinga alla meddelandeoperatörer i hela världen att av-kryptera och granska alla europeiska användares meddelanden. Det saknas inte heller kritiker bland människorättsaktivister, krypteringsexperter, ledamöter av Europaparlamentet med flera.
En annan tolkning är att man behöver tid för att inkludera andra syften i ChatControl. Kommissionen (med flera) har till exempel nämnt terrorism och inre säkerhet.
Det är också tänkbart att man vill samordna lagstiftningen med andra länder, främst då USA och Balkan-länderna.
Möjligen är det en kombination av två eller flera av de ovanstående skälen.
Vad vi dock vet är att det – förr eller senare – kommer ett förslag om obligatorisk av-kryptering och granskning av alla användares alla elektroniska meddelanden på alla plattformar.
Länkar:
• EU Commission postpones mandatory screening of encrypted chats »
• Chatcontrol – irriterat i Europaparlamentet »
• Wrong strategy: The Commission fails to tackle child sexual abuse (video) »
• EU to attack safe encryption (video) »
Europol ges tillgång till persondata hos internetoperatörerna
Tillgång till persondata hos internetoperatörerna, att knäcka kryptering samt användning av AI är några av punkterna i den nya förordning för Europol som förhandlas fram i EU.
Europaparlamentet, ministerrådet och kommissionen har nu påbörjat förhandlingar om den nya förordningen för det europeiska polissamarbetet, Europol. En del saker är intressanta på vårt område.
Europols nya Innovation Laboratory får mer resurser. Bland det man jobbar med finns ny övervakningsteknik för 5G samt att knäcka kryptering.
Man kommer att få tillstånd att processa persondata med AI-stöd i forskningssyfte. (Ungefär som FRA:s ”forskningsdatabaser”.)
Ministerrådet vill ge Europol ökad tillgång till persondata hos internetoperatörerna. Sådan data skall sedan kunna analyseras med hjälp av ”big data”. Vilket låter lite som datalagringen, fast på steroider.
Man kommer att fortsätta arbetet med att knäcka / hacka krypterade och ”säkra” kommunikationsverktyg som Encrochat och Sky. Till chef för detta har man satt förre utredningschefen hos det franska gendarmeriet, som ju var operativt vad gällde att hacka Encrochat.
Den allmänna ambitionen tycks vara att göra Europol till ett europeiskt FBI. Vilket dock kommer att kräva en ändring av EU:s fördrag. Detta hindrar dock inte att man redan nu drar åt det hållet.
Den nya förordningen innehåller mycket anat viktigt som du kan läsa om här: Negotiations on the Europol Regulation: Will there be a ”European FBI” by the end of the year? »