Femte juli

Nätet till folket!

Kryptering

Kryptering är viktig för säker kommunikation online. Med EU och Europol i spetsen vill myndigheterna nu ha tillgång till bakdörrar till kryptering, även där sådana idag inte finns. Öppnar man sådana bakdörrar för myndigheterna, då öppnar man dem även för kriminella, främmande makt och andra illasinnade aktörer.

Belgiens tredje försök att införa datalagring

av

Förslaget till ny datalagrings-lag i Belgien försöker kringgå förbudet mot svepande övervakning av alla utan brottsmisstanke. Men fortfarande kommer de flesta människor att drabbas, om än inte hela tiden.

Efter att EU-domstolen ogiltigförklarade EU:s datalagringsdirektiv har den belgiska regeringen gjort två försök att införa ny lagstiftning på området. Båda gångerna har lagen underkänts av landets författningsdomstol. Nu gör man ett tredje försök.

Denna gång tar man fasta på att datalagring inte får vara svepande och omfatta alla medborgares alla tele- och datakommunikationer utan misstanke. Men samtidigt inte.

I förslaget skriver man att datalagring skall inriktas på vissa platser och individer. Vilket i och för sig är ett steg framåt. Men långt ifrån oproblematiskt.

Platser där datalagring skall ske är enligt förslaget till exempel: flygplatser, järnvägsstationer, tunnelbanestationer, gränser, sjukhus, motorvägar, forskningscenter, domstolar, polisstationer och kritisk infrastruktur. Plus platser med hög kriminalitet.

Vilket i praktiken innebär att så gott som alla människor som rör sig i samhället kommer att drabbas, om än inte hela tiden. Såvida man inte har oturen att bo i anslutning till ett område med hög kriminalitet. Då kommer man ändå att få det mesta av sin kommunikationsdata lagrad oavsett om man är misstänkt för något brottsligt eller ej.

Inriktning mot enskilda personer som kan misstänkas för brottslig verksamhet är dock mindre kontroversiellt.

Det skall bli intressant att se hur författningsdomstolen ställer sig till detta. Och om lagen får grönt ljus där, då kan den ändå komma att prövas i EU-domstolen.

Möjligen kan man se det belgiska lagförlaget som en testballong. Klarar det sig genom både författningsdomstolen och EU-domstolen kan det bli en modell för fler EU-länder.

En intressant detalj som egentligen inte har med datalagring att göra är att den nya lagen även omfattar kryptering.

EDRi förklarar:

»Worse still, the Belgian draft text requires that encryption systems should not prevent ‘legal’ interception operations. Judicial entities could order telecom operators to ‘switch off’ encryption for certain users. However, it is not clear how this legal requirement is technically achievable. This ‘switch off’ function would therefore lead to the introduction of some sort of backdoor in encrypted systems.»

Den goda nyheten är att detta bara är tänkt att inriktas mot vissa, misstänkta personer. Den dåliga nyheten är att bakdörrar till kryptering underminerar allas vår säkerhet online. Antingen har man säker kryptering eller så har man det inte. Hur detta är tänkt att gå till rent praktiskt är också oklart.

Läs mer hos EDRi:
• New Belgian data retention law: a European blueprint? »

EU:s medlemsstater positiva till av-kryptering och granskning av alla medelanden och all e-post

av

EU:s medlemsstater uttalar sitt stöd för bland annat av-kryptering och granskning av alla användares alla meddelanden och e-post.

För en dryg vecka sedan kom beskedet om att EU-kommissionen blir försenad med sitt förslag till ChatControl 2 – det vill säga av-kryptering och granskning av alla meddelanden och all e-post. Men det hindrar inte ministerrådet från att ge det ännu icke existerande förlaget sitt stöd.

På förra veckans möte med EU:s inrikesministrar tryckte man på för ChatControl 2. Samtidigt verkar det som om man både vill ha kakan och äta upp den:

»In this context, the importance of appropriate and feasible solutions regarding data retention, encryption, e-evidence and the darknet environment was highlighted. Such solutions should aim to ensure that investigators and other competent authorities are equipped with the tools necessary to perform their tasks of ensuring public security, including safeguarding the most vulnerable members of our societies. Any solutions should fully respect the fundamental rights and freedoms of all users concerned, including on privacy, protection of personal data and fair trial guarantees.«

Urskiljningslös granskning av alla användares meddelanden utan brottsmisstanke strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv. Det var av detta skäl EU-domstolen upphävde EU:s datalagringsdirektiv. Men nu verkar EU alltså vara på väg att begå samma misstag en gång till.

Man kan skriva att grundläggande rättigheter skall respekteras hur många gånger man vill. Men det är bara tomma ord – när man tydligt har föresatt sig att åsidosätta dem.

Kommissionens nya förslag väntas under första kvartalet nästa år. Det är värt att notera att lagstiftningen inte ens har hunnit presenteras innan det börjat dyka upp förslag om att utöka dess syfte.

Läs mer:
• EU interior ministers welcome mandatory chat control for all smartphones »
• Chat Control – The End of the Privacy of Digital Correspondence »

EU: Ministerrådet vill ha ”lösningar” vad gäller datalagring, kryptering, eBevis och Darknet

av

På ett möte i slutet av veckan kommer EU:s inrikesministrar att göra ett nytt försök att återuppväcka datalagringen och kringgå kryptering av meddelanden. På kuppen riskerar man våra grundläggande fri- och rättigheter och säkerheten för elektronisk kommunikation.

Den 11-12 november håller EU:s inrikes- och justitieministrar möte i Slovenien. På dagordningen finns ”appropriate solutions regarding data retention, encryption, e-evidence and the darknet”. Detta i namn av att bekämpa sexuella övergrepp mot barn online (CSAM). Till mötet har man även bjudit in representanter för USA, västra Balkan, EU-kommissionen, Europol, Eurojust och Europaparlamentet.

I sammanhanget skall nämnas att Chatcontrol 2obligatorisk avkryptering och granskning av alla användares alla meddelanden – drabbats av ändamålsglidning redan innan det finns något konkret förslag på papper. Barns säkerhet på nätet används här som murbräcka för en mer omfattande övervakning av folkets nätkommunikationer.

Det är intressant att se att man vill blåsa nytt liv i datalagringen. EU:s datalagringsdirektiv upphävdes som bekant av EU-domstolen – som menar att svepande lagring av alla medborgares alla telekommunikationer utan misstanke om brott strider mot de mänskliga rättigheterna.

Hur man tänkt ta sig runt EU-domstolens beslut är oklart. Men veckans möte tyder på att man vill göra ett nytt försök.

Man kan även undra vilka ”lämpliga lösningar” ministerrådet tänkt sig vad gäller kryptering. Som påpekats många gånger finns inga lösningar som upprätthåller krypteringens funktion och integritet och samtidigt ger myndigheterna en bakdörr. Kringgår man kryptering, då blir nätet mindre säkert för oss alla.

Det känns som om vi sett liknande möten förr. Och precis som förr önskar man sig saker som inte är förenliga med medborgarnas rätt till privatliv och säker elektronisk kommunikation.

• Statewatch: Policing the internet: interior ministers to seek ”solutions regarding data retention, encryption, e-evidence and the darknet” »

EU: ChatControl 2.0 skjuts på framtiden?

av

Den nya reglering som kommer att göra det obligatoriskt för alla nätets meddelandetjänster att av-kryptera och granska sina användares kommunikationer var tänkt att presenteras till månadsskiftet. Nu har den skjutits på framtiden. Det är oklart varför – men en möjlighet är att EU-kommissionen vill utvidga meddelandekontrollen till fler syften.

Tidigare i år beslutade EU om tillfälliga regler för ChatControl – det vill säga av-kryptering och granskning av nätanvändarnas meddelanden och kommunikationer i syfte att bekämpa sexuella övergrepp på barn (CSAM). De reglerna gör det möjligt men inte obligatoriskt med sådan granskning. Samtidigt meddelades att ChatControl 2.0 är på väg, som gör detta obligatoriskt för alla meddelande- och kommunikationsplattformar.

ChatControl 2.0 var tänkt att presenteras den 1 december. Nu verkar det dock som om frågan i vart fall tillfälligt har plockats bort från EU-kommissionens agenda.

Vi vet inte varför. Men det finns ett antal tänkbara förklaringar.

Det kan handla om att sådan övervakning strider mot förbudet mot krav på generell övervakning, GDPR och/eller ePrivacy-förordningen.

Relaterat till detta kan nämnas att EU-domstolen som bekant förbjudit urskiljningslös lagring av data om alla medborgares tele- och datakommunikationer med mindre än att det finns en misstanke mot enskilda eller grupper av användare. Detta kan även appliceras på ChatControl – vilket kommer att kräva en del kreativitet från EU-kommissionens sida för att komma runt.

Alternativt kan man ha upptäckt praktiska hinder vad gäller att tvinga alla meddelandeoperatörer i hela världen att av-kryptera och granska alla europeiska användares meddelanden. Det saknas inte heller kritiker bland människorättsaktivister, krypteringsexperter, ledamöter av Europaparlamentet med flera.

En annan tolkning är att man behöver tid för att inkludera andra syften i ChatControl. Kommissionen (med flera) har till exempel nämnt terrorism och inre säkerhet.

Det är också tänkbart att man vill samordna lagstiftningen med andra länder, främst då USA och Balkan-länderna.

Möjligen är det en kombination av två eller flera av de ovanstående skälen.

Vad vi dock vet är att det – förr eller senare – kommer ett förslag om obligatorisk av-kryptering och granskning av alla användares alla elektroniska meddelanden på alla plattformar.

Länkar:
• EU Commission postpones mandatory screening of encrypted chats »
• Chatcontrol – irriterat i Europaparlamentet »
• Wrong strategy: The Commission fails to tackle child sexual abuse (video) »
• EU to attack safe encryption (video) »

Europol ges tillgång till persondata hos internetoperatörerna

av

Tillgång till persondata hos internetoperatörerna, att knäcka kryptering samt användning av AI är några av punkterna i den nya förordning för Europol som förhandlas fram i EU.

Europaparlamentet, ministerrådet och kommissionen har nu påbörjat förhandlingar om den nya förordningen för det europeiska polissamarbetet, Europol. En del saker är intressanta på vårt område.

Europols nya Innovation Laboratory får mer resurser. Bland det man jobbar med finns ny övervakningsteknik för 5G samt att knäcka kryptering.

Man kommer att få tillstånd att processa persondata med AI-stöd i forskningssyfte. (Ungefär som FRA:s ”forskningsdatabaser”.)

Ministerrådet vill ge Europol ökad tillgång till persondata hos internetoperatörerna. Sådan data skall sedan kunna analyseras med hjälp av ”big data”. Vilket låter lite som datalagringen, fast på steroider.

Man kommer att fortsätta arbetet med att knäcka / hacka krypterade och ”säkra” kommunikationsverktyg som Encrochat och Sky. Till chef för detta har man satt förre utredningschefen hos det franska gendarmeriet, som ju var operativt vad gällde att hacka Encrochat.

Den allmänna ambitionen tycks vara att göra Europol till ett europeiskt FBI. Vilket dock kommer att kräva en ändring av EU:s fördrag. Detta hindrar dock inte att man redan nu drar åt det hållet.

Den nya förordningen innehåller mycket anat viktigt som du kan läsa om här: Negotiations on the Europol Regulation: Will there be a ”European FBI” by the end of the year? »

Chatcontrol – irriterat i Europaparlamentet

av

Lägg resurserna på riktigt polisarbete mot produktionen av barnporr istället för att kringgå kryptering och övervaka befolkningens kommunikationer. Det säger ledamoten av Europaparlamentet Patrick Breyer (PP, DE) i en ordväxling med EU:s inrikeskommissionär Ylva Johansson.

Det blev en smula känsligt i Europaparlamentet när Breyer ifrågasatte förslaget om av-kryptering och granskning av alla medborgares elektroniska kommunikationer i jakt på material med övergrepp mot barn, i EU-sammanhang kallat CSM.

Breyer påpekade dels att resurserna kan satsas bättre på resurser för riktigt polisarbete, då CSM-ärenden idag ofta blir liggande utan åtgärd under lång tid. Han hänvisade också till en majoritet av remissinstanserna (consultation) och flera tunga instanser som sågar idén om Chatcontrol. Och han kritiserade kommissionen för att inte ens kommentera den ifrågasatta lagligheten i förslaget.

Inrikeskommissionär Ylva Johansson höll inte med och menade att man måste använda alla medel i kampen mot CSM. Några svar vad gäller rättighetsaspekterna och lagligheten gav hon dock inte.

Detta är naturligtvis en mycket känslig fråga. Därför är det bra att det finns i vart fall någon som vågar problematisera och som pekar på de principiella problemen. Det handlar ju ändå om att granska i princip allt som alla skriver och sänder till varandra. Och att ta sig runt kryptering, vilket kan komma att få långtgående konsekvenser vad gäller allas vår säkerhet online.

Det är lite som med övervakningsstaten i övrigt. Det är lätt att få en känsla av att man förlitar sig allt mer på teknik och allt mindre på traditionellt polisarbete – som förmodligen bättre kan gå på problemets kärna och beta av redan existerande ärenden som idag inte hinns med inom rimlig tid.

Slutligen bör man tänka på att när Chatcontrol införs i ett syfte – då kan den lätt och snabbt utvidgas till andra syften. Att bereda sig tillgång till innehållet i alla människors elektroniska kommunikationer är en närmast oemotståndlig frestelse för både politiker och myndigheter.

Läs mer på chatcontrol.eu »

Se diskussionen från Europaparlamentet här »

EU: Utskott säger ja till uppladdningsfilter, gränsöverskridande nätcensur och granskning av meddelanden

av

Uppladdningsfilter, gränsöverskridande order om att ta ner innehåll samt av-kryptering och granskning av meddelanden och mail – det blev resultatet av gårdagens omröstning om EU:s Digital Services Act i Europaparlamentets rättsliga utskott.

Nu har vi resultatet från gårdagens omröstning om EU:s Digital Services Act (DSA) i Europaparlamentets rättsliga utskott (JURI). Ledamoten Patrick Breyer (PP, DE) meddelar resultatet på Twitter och på sin blogg.

Uppladdningsfilter: Utskottet röstade ja. De gröna/PP, hälften av socialdemokraterna och en liberal röstade nej.

Gränsöverskridande order om att ta ner innehåll på plattformar i andra länder: Utskottet röstade ja. De gröna/PP, socialdemokraterna och en liberal röstade nej.

Av-kryptering och granskning av innehåll i meddelanden och mail: Utskottet röstade ja. De gröna/PP, tre socialdemokrater och en liberal röstade nej.

Nedtagning av icke-auktoriserat strömmat innehåll inom 30 minuter (!): Utskottet röstade ja. De gröna/PP, tre socialdemokrater, alla liberaler och en från den nationalistiska gruppen (iD-gruppen) röstade nej.

DSA bereds just nu i flera utskott i Europaparlamentet och i ministerrådet. På sin utmärkta samlingssida om DSA förklarar Piratpartiet:

»Efter omröstningen i JURI överlämnas utskottets åsikter till det ansvariga utskottet IMCO. IMCO ska rösta fram ett förslag till parlamentets ståndpunkt den 8 november. Därefter ska hela EU-parlamentet antingen ge stöd till IMCO:s förslag eller avslå det under sin plenumsession i december. Om parlamentet godtar IMCO:s förslag (troligt) går DSA sedan vidare till förhandlingar mellan parlamentet, ministerrådet och kommissionen under 2022.«

Läs mer hos Patrick Breyer och hos Piratpartiet.

FBI hemlighöll dekrypterings-nyckel för företag som drabbats av ransomware

av

The Washington Post:

»The FBI refrained for almost three weeks from helping to unlock the computers of hundreds of businesses and institutions hobbled by a major ransomware attack this summer, even though the bureau had secretly obtained the digital key needed to do so, according to several current and former U.S. officials. The key was obtained through access to the servers of the Russia-based criminal gang behind the July attack. Deploying it immediately could have helped the victims, including schools and hospitals, avoid what analysts estimate was millions of dollars in recovery costs. But the FBI held on to the key, with the agreement of other agencies, in part because it was planning to carry out an operation to disrupt the hackers, a group known as REvil, and the bureau did not want to tip them off.«

Det hela påminner lite om hur svensk polis hemlighåller nya säkerhetsluckor, för att själv kunna utnyttja dem för hemlig dataavläsning.

G7: Kamp mot kryptering, ökad registrering av resor och mer resurser till Interpol

av

G7-länderna har hållit möte med sina inrikes- och justitieministrar. Åter reser man kravet på bakdörrar till krypterade meddelandetjänster, samtidigt som man påstår att detta inte kommer att påverka vårt behov av säkra kommunikationer. Man vill även utöka registreringen av våra resor samt utöka Interpols mandat.

G7-gruppen (Frankrike, Italien, Japan, Kanada, Storbritannien, Tyskland och USA plus EU) skriver efter sitt möte i London bland annat följande om kryptering:

»We reject that, in democratic societies with strong human rights laws and procedural safeguards, there is inevitably a choice to be made between either protecting the confidentiality of digital communications and other activities or protecting our citizens from harm.«

Vilket är lite som att uttala att månen är en grön ost. Antingen är kryptering säker. Eller så har man bakdörrar – och då är krypteringen inte längre säker.

Man förväntar sig bland annat att internetföretagen skall vara samarbetsvilliga i att ge myndigheterna tillgång till krypterad kommunikation..

Vidare vill man utsöka Interpols mandat. Här skall man hålla i minne att även skurkstater är medlemmar i Interpol, så till exempel ökad informationsdelning kan vara problematisk.

Och så vill man se mer registrering av våra resor genom att utvidga det rådande PNR-systemet (Passenger Name Record).

Utöver detta fastnade jag för punkt 8 i G7-mötets slutdokument. Det handlar om våldsam extremism och terrorism. Man talar här om »anti-government, anti-authority and other violent grievances«.

Det verkar alltså som att man ser motstånd mot staten eller sittande regim samt anti-auktoritär verksamhet som ett problem. Och man kopplar detta till våld. Det kan naturligtvis förekomma. Men det kan vara värt att påpeka att sådan verksamhet till sin natur ofta är baserad på principer om anti-våld och lika rättigheter.

Statewatch: G7: Still coming after encryption, plans to reinforce Interpol and global travel surveillance »

Utredare vill kriminalisera krypterad kommunikation

av

Gängbrottsutredningen föreslår, som vi tidigare rapporterat, en kriminalisering av förberedelse till ringa narkotikabrott. När man granskar utredningen närmare visar det sig att användning av till exempel en krypterad chat eller meddelandetjänst kan räknas som ett sådant förberedelsebrott.

Gängbrottsutredningen (SOU 2021:68 Skärpta straff för brott i kriminella nätverk) och dess förslag till en kriminalisering av förberedelse till ringa narkotikabrott (innehav för personligt bruk samt eget bruk) öppnar inte bara för användning av statens olika övervakningsverktyg. Även användning av krypterad kommunikation bör enligt utredningen betraktas som förberedelse. Från sidan 509:

»Ett förberedelsebrott kan t.ex. föreligga om köparen införskaffat hjälpmedel som syftar till att undgå upptäckt eller identifikation i samband med brott. Ett sådant hjälpmedel skulle kunna vara en krypterad chattfunktion eller något annat tekniskt hjälpmedel för att anonymt kunna beställa narkotika via internet.«

Om det handlar om förberedelse till inköp av narkotika för eget bruk – då är per definition köpet ännu inte genomfört.

Även om förslaget skall ses i sitt sammanhang, så är det mycket märkligt. Då blir krypterad kommunikation som sådan en indikation på något brottsligt, som kan innebära straff för användaren.

Eller, för att uttrycka saken på ett annat sätt: Om kryptering blir olaglig i samband ett brott som inte genomförts och som kanske aldrig kommer att genomföras – då blir kryptering i sig ett brott.

Och hur har man i sammanhanget tänkt förhålla sig till vanlig end-to-end-krypterad e-post? Den kan användas för att beställa narkotika – och i otaliga andra, helt lagliga syften. Hur kommer man i sammanhanget att förhålla sig till TOR? VPN? ProtonMail?

Ser man till den större bilden blir det än mer oroväckande. EU:s #ChatControl innebär att meddelande- och e-post-tjänster tillåts avkryptera och granska alla meddelanden i jakt på visst olagligt material. Med den kommande #ChatControl 2 väntas detta utökas till att bli obligatoriskt. (Hur nu det är tänkt att gå till.) Dessutom finns tecken på att syftet med sådan kontroll av våra kommunikationer kan komma att utökas. Vilket i så fall passar som hand i handske med utredningens förslag ovan.

Anonymitet är inget brott och krypterad kommunikation är som regel både nödvändig och önskvärd.

• SOU 2021:68 (PDF) »